TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) è un framework europeo che fornisce delle linee guida sull’esecuzione di attività avanzate di test della postura cyber. In sostanza, esso si propone di stabilire i ruoli e le fasi chiave per un’efficace implementazione di Red Team Assessment da parte delle entità che operano nei settori più critici, riferendosi in particolare a quello finanziario. L’adozione dei principi del TIBER-EU avviene su base volontaria, e gli stati europei hanno la facoltà di recepire questo framework a livello nazionale, adattandolo con la creazione di guide nazionali (ad esempio, in Italia esiste il TIBER-IT) ed eventualmente rendendolo obbligatorio per certe categorie di enti.
L’obiettivo fondamentale di un processo TIBER-EU è condurre attività “Intelligence-led”, in modo tale da individuare le persone, i processi e le tecnologie chiave dell’ente bersaglio. Successivamente prevede l’applicazione di tattiche, tecniche e procedure (TTPs) di un attore malevolo senza informare il personale interno, così da valutare la capacità dell’organizzazione di individuare e rispondere ad un attacco mirato.
Il processo TIBER-EU prevede alcune macro-fasi:
- Analisi del panorama delle minacce: raccolta di informazioni sul settore a cui appartiene l’ente bersaglio, individuando gli scenari d’attacco avanzato che potrebbero minacciare tale ecosistema;
- Preparazione: definizione dei gruppi responsabili delle diverse attività e dello scope di azione, con la collaborazione della dirigenza dell’ente bersaglio;
- Test: analisi di Threat Intelligence sull’ente bersaglio, volta a definire scenari d’attacco simulabili e informazioni rilevanti sull’organizzazione. I risultati della Threat Intelligence sono successivamente usati dal Red Team per formulare ed eseguire delle simulazioni d’attacco che coinvolgano sistemi critici in produzione, persone e processi chiave;
- Chiusura: il Red Team fornisce un report che include dettagli sull’approccio intrapreso e sui risultati ottenuti. Esso dovrebbe comprendere consigli su possibili aree di miglioramento di qualsiasi tipo: da controlli tecnici, a politiche da adottare, ad attività di formazione. Gli stakeholder dell’ente vengono quindi informati del test, e si procede a discutere le evidenze e a redigere un Remediation Plan. I risultati sono infine condivisi con le autorità competenti.
Un test di questo tipo coinvolge diversi attori, fra cui i principali sono:
- Tiber Cyber Team: definito dall’autorità nazionale competente, sovrintende il test per garantire che rispetti i dettami del TIBER-EU o della sua declinazione nazionale;
- White Team: unico gruppo interno all’organizzazione bersaglio a conoscenza del test. Si occupa dell’organizzazione del test, della definizione dello scope in accordo con la dirigenza, della ricerca dei team esterni e della comunicazione tra questi e le autorità competenti;
- Blue Team: tutto il personale interno all’ente bersaglio, escluso il White Team, e in particolare chi ne gestisce le attività di sicurezza e risposta agli attacchi. Non deve essere messo a conoscenza del test se non nella fase di chiusura, in modo da rendere il test stesso realistico;
- Threat Intelligence provider: gruppo solitamente esterno all’ente, in grado di effettuare attività avanzate di Threat Intelligence, sfruttando più fonti e creando un report in grado di circoscrivere gli scenari utilizzabili nella simulazione d’attacco;
- Red Team provider: anch’esso di norma esterno all’ente, si occupa dell’attività d’attacco vera e propria in accordo con lo scope e gli scenari d’attacco definiti, nonché della redazione di un report e della conseguente discussione dei risultati ottenuti, al fine di consentire all’ente la creazione di un Remediation Plan.
Il ruolo del Red Team
Il Red Team si configura come un gruppo con comprovata esperienza nell’ambito del Red Team Assessment, ancor meglio se confermata da certificazioni professionali rilasciate da enti internazionali riconosciuti. La guida al procurement fornisce i requisiti da verificare durante la ricerca di un Red Team.
Lo svolgimento del test mira a simulare il comportamento di un attaccante reale, bersagliando le persone, le tecnologie e i processi chiave, in modo da massimizzare l’impatto (ipotetico) del proprio attacco. Questo deve essere fatto adottando TTPs calibrate sull’organizzazione in esame, simulando sia scenari di attacco dall’esterno che da parte di personale interno, e adottando un approccio opportunistico: il Red Team dovrebbe quindi essere in grado di modificare dinamicamente i piani d’attacco, al sopraggiungere di ostacoli o nuove informazioni, anche agendo di concerto con gli altri attori coinvolti nel test. Si tratta, per altro, di un test di durata estesa, dato che la sola fase di red-teaming ha una durata consigliata di 10-12 settimane. Lo scope va dunque ben oltre le attività offensive standard, e richiede l’utilizzo di strumenti tecnologici adatti.
Il framework TIBER-EU è tecnologicamente neutrale: è dunque responsabilità del Red Team individuare e proporre gli strumenti adatti all’engagement. Per via della natura avanzata di questa attività, molte tecnologie standard, sia commerciali che open-source, difficilmente possono trovare un’applicazione efficace.
La Suite ZAIUX® può venire in aiuto al Red Team offrendo funzionalità avanzate e, laddove consentito dallo scope, la possibilità di automatizzare parte delle attività.
ZAIUX Framework: uno strumento C2 per TIBER-EU
ZAIUX® Framework è un tool di Command-and-Control (C2) con avanzate capacità di elusione delle difese. Grazie ad esso, un Red Team può simulare un attacco proveniente dall’esterno della rete, sfruttando le tecniche adottato dal nostro malware per instaurare un canale di comunicazione che rimanga nascosto nella maggior parte delle infrastrutture, comprese quelle presidiate da sistemi avanzati come EDR ed NDR. Una volta ottenuto un primo accesso con l’esecuzione del malware in una macchina all’interno dell’infrastruttura, gli operatori possono eseguire una vasta gamma di tecniche, sia realizzate ad-hoc che scegliendole tra quelle pronte all’uso, per muoversi nella rete verso i bersagli critici definiti dalla Threat Intelligence.
ZAIUX Framework può, quindi, essere utilizzato come principale strumento a supporto dell’engagement nelle sue fasi più avanzate, ovvero a seguito della penetrazione della superficie d’attacco esterna o del via libera del White Team all’avvio manuale del malware. Grazie ad esso, il Red Team è in grado di simulare efficacemente un’intrusione a livello infrastrutturale, cercando di raggiungere gli obiettivi in termini di compromissione di asset critici, esfiltrazione di dati sensibili, accesso a privilegi amministrativi.
ZAIUX Evo: massimizzare l’efficacia del proprio Red Team
Sebbene un test TIBER-EU preveda tempistiche di ampio respiro, gli enti operanti nei settori critici hanno solitamente infrastrutture complesse e ben presidiate. Pertanto, applicare tutte le possibili TTPs, dal riconoscimento dei bersagli vulnerabili alle azioni di post-exploitation, può rivelarsi molto oneroso in termini di tempo, lasciando poco spazio al Red Team per la definizione di soluzioni ad-hoc e il superamento degli ostacoli che si troverà di fronte. Pertanto, una soluzione di Breach & Attack Simulation (BAS) in grado di operare con un approccio elusivo, e quindi simile ad un attaccante umano esperto, può rivelarsi un utile strumento da utilizzare a seguito dell’ottenimento di un accesso iniziale, per testare un’ampia gamma di tecniche e raggiungere accessi e privilegi più avanzati.
Con ZAIUX® Evo è possibile ottenere questo risultato in maniera completamente automatizzata. Tramite la guida della IA, la nostra piattaforma BAS può generare ed eseguire dei percorsi d’attacco adattivi all’interno di un’infrastruttura MS Active Directory, sulla base del contesto in cui si trova ad agire.
È dunque possibile, per il Red Team, automatizzare parte delle proprie attività, nel caso in cui le tecniche eseguite da ZAIUX Evo siano accettate dal White Team tra le TTPs, nelle frequenti situazioni in cui il principale bersaglio di un attacco sia un dominio MS Active Directory. Un Red Team potrebbe, potenzialmente, lanciare più BAS automatizzati in contemporanea sui diversi domini a cui abbia ottenuto accesso, focalizzando nel frattempo i propri sforzi su altri fronti.
E al termine dei BAS?
Grazie all’integrazione delle nostre soluzioni, sarà possibile per il Red Team migrare su ZAIUX Framework gli Implant che si saranno generati durante uno o più BAS di ZAIUX Evo, nonché i dettagli sullo storico delle attività svolte sin lì, così da completare l’engagement apportando il valore aggiunto delle proprie competenze.
Un Red Team coinvolto in attività avanzate, come i test TIBER-EU, dovrebbe assicurarsi di utilizzare strumenti all’avanguardia, rivolgendosi a partner specializzati.
Scopri i prodotti della Suite ZAIUX e contattaci per valutare le tue esigenze di red-teaming!