Adversary Simulation: simulare un attacco informatico per testare la cyber security

La maggior parte delle aziende, di qualsiasi dimensione, ha ben presente che la tematica della Cyber Security deve essere presente nella loro agenda: le attività di assessment, prevention and response sono sempre più spesso affidate a Managed Security Service Provider (MSSP), società specializzate che gestiscono esternamente quello che le imprese al loro interno non possono affrontare, a causa principalmente di uno shortage di competenze e risorse.

Le strategie di difesa originariamente poste in essere dalle aziende (se presenti) spesso rivelano alcune debolezze:

• mancanza di test delle tecnologie su casi d’uso reali;
• assenza di procedure di comunicazione validate;
• lentezza nel rilevamento di eventi anomali;
• difficoltà di contenimento di una minaccia interna (es. insider, MITM);
• validazione insufficiente di nuove policy endpoint e network;
• verifiche parziali ad opera di enti non terzi.

Vulnerability Assessment e Penetration Test effettuati singolarmente non sono sufficienti: l’Adversary Simulation è invece un’attività molto più completa, che riesce a rispondere meglio alla costante evoluzione degli attacchi informatici.

Come funziona l’Adversary Simulation

L’Adversary Simulation mira a simulare una libreria di attacchi su differenti vettori e afferenti a diversi Advanced Persistent Threat (APT), per sollecitare la componente umana, le tecnologie di protezione endpoint, le difese perimetrali fino a redigere un report che descrive i casi in cui le operazioni sono riuscite ad arrivare al termine della catena di attacco.

È quindi uno stress test molto esteso, anche nel tempo di esecuzione, che misura le diverse componenti di un’azienda che possono essere colpite.

I controlli messi in campo, per essere efficaci, devono ottenere una validazione su tutti i layer:

• Identity Management;
• Vulnerability Management;
• Security Awareness dei dipendenti;
• Secure Rngineering and Dev;
• Data Security;
• Incident Management;
• Endpoint Protection.

Modalità di esecuzione dell’Adversary Simulation

All’interno del Cyber Security Operation Center (SOC) agisce il Red Team, un gruppo di lavoro che si occupa delle attività legate ai servizi di simulazione di attacco e valutazione della posture delle aziende.

Le peculiarità dell’Adversary Simulation sono le seguenti:

• emulazione di processi d’attacco di APT noti, dalla fase di information gathering fino al pivoting nella rete e l’esfiltrazione di dati;
• approccio esteso per mettere alla prova l’intera strategia di difesa;
• ogni vettore di attacco viene messo alla prova, dal software al fattore umano.

Le fasi dell’Adversary Simulation

1. Assessment, con incontri di kick-off tra cliente e i cyber security engineer allo scopo di delineare ambito di business e modalità specifiche di testing.
2. Execution, le simulazioni di attacco avvengono in modalità sicura per i sistemi coinvolti e con la possibilità di reporting di azioni ed entità coinvolte.
3. Delivery, il termine dell’esecuzione dell’attività culmina con la bonifica di tutto l’ambiente da eventuali file o script utilizzati.

Alla luce di ciò, l’Adversary Simulation è una delle soluzioni più complete per testare il livello di cyber security di un’azienda o organizzazione.

Scopri i servizi di cyber security di Axitea.