Dipendenti di Google al lavoro in un’area di lavoro di Google. Immagine: Google
Google è una delle più grandi società di tecnologia e software al mondo, con oltre 150.000 dipendenti e miliardi di utenti, e questo status significa che è un obiettivo di alto profilo per gli attacchi informatici.
Google sa che è un obiettivo e ha un team di esperti di sicurezza che hanno il compito di condurre i propri tentativi di irruzione, con l’obiettivo di proteggere l’azienda e i suoi utenti dalle ultime minacce informatiche che potrebbero provenire da hacker malintenzionati.
“Il team ha essenzialmente la missione di rendere Google più sicuro per i nostri utenti, per Google stesso e per la nostra infrastruttura, e lo facciamo simulando le minacce e gli attacchi a cui Google è effettivamente esposto”, afferma Stefan Friedli, responsabile tecnico del team rosso e manager di Google.
Il termine “squadra rossa” ha avuto origine nell’esercito, dove una squadra designata avrebbe assunto il ruolo di avversari in uno scenario progettato per testare la reazione dei difensori. Il termine ha trovato la sua strada nel mondo della sicurezza delle informazioni e rappresenta un team autorizzato che utilizza tecniche di hacking offensivo per testare le difese di una “squadra blu”: i difensori della sicurezza informatica.
“Quello che stiamo cercando di fare e perché stiamo cercando di farlo è fornire al nostro team di rilevamento e risposta uno sparring partner per vedere quanto velocemente possiamo fermare qualcosa”, spiega Friedli.
Per fare ciò, la squadra rossa utilizza tattiche e tecniche utilizzate dai veri gruppi di hacker e cerca di simulare come agirebbero nel modo più accurato possibile. Ma può anche significare essere creativi: secondo il mini documentario di Google sul team, in un tentativo di entrare nella rete di Google, il team ha inviato globi al plasma USB ad alcuni dipendenti di Google che stavano celebrando un anniversario di lavoro; se avessero collegato il giocattolo al proprio PC di lavoro, sarebbe stato infettato e avrebbe consentito al team di continuare la sua missione, che consisteva nel testare i piani di sicurezza per il dispositivo Google Glass.
Entrare nella mentalità di un avversario significa anche che il team rosso deve agire con la consapevolezza che un attaccante farebbe: non ha senso che il team rosso sfrutti la propria conoscenza di come funzionano i sistemi di Google perché è improbabile che si tratti di un vero hacker cercare di compromettere la rete lo saprebbe in anticipo.
“A volte può essere difficile separarli perché, come attaccante, pensi davvero in base ai risultati, ma devi anche eliminare tutte le cose che sai come ingegnere della sicurezza di Google che un utente malintenzionato non conoscerebbe. Questa distinzione è complicato per quanto riguarda come assumere la prospettiva”, afferma Friedli.
“Probabilmente sarebbe molto audace dire che possiamo emulare al cento per cento il modo in cui agisce un attore di una minaccia criminale, ma con i rapporti che abbiamo da TAG [Google’s Threat Analysis Group] e con l’esperienza che abbiamo in una squadra diversificata, possiamo riunirci e capire cosa farebbe un attaccante con un certo intento e motivazione, e poi modellare le nostre azioni in seguito”, aggiunge.
Anche: Una strategia vincente per la cybersecurity
Con l’enorme numero di potenziali minacce informatiche che prendono di mira Google, una delle sfide principali che il team rosso deve affrontare è decidere cosa deve essere testato come priorità.
Mentre gli attacchi informatici come le e-mail di phishing rappresentano una minaccia per le persone e il team rosso occasionalmente esegue simulazioni di phishing, spesso la priorità è testare una minaccia nuova o nuova che i difensori potrebbero non aver mai incontrato prima, perché Google deve garantire che le sue reti siano protette .
“Il nostro obiettivo è migliorare le cose; e se troviamo qualcosa a cui non abbiamo pensato prima, allora preferirei che lo trovassimo noi piuttosto che chiunque altro. Perché allora speriamo di essere i primi a sapere e poi possiamo aggiustare prima che qualcun altro arrivi a quel punto. Cerchiamo davvero di mantenere il vantaggio di casa”, spiega Friedli.
Il ruolo della squadra rossa è quello di eseguire attacchi informatici offensivi contro il resto di Google. Ma ciò non significa che il successo si misuri solo hackerando con successo la rete. L’obiettivo della squadra rossa è aiutare a migliorare la sicurezza, quindi se i loro attacchi vengono rilevati, anche questo è un risultato positivo.
“C’è un malinteso sul fatto che la squadra rossa sia utile solo se riesce a raggiungere gli obiettivi che stanno simulando, come irrompere in qualcosa. Ma la vediamo in modo leggermente diverso: se veniamo scoperti all’inizio, è una buona cosa che funziona come previsto”, afferma Friedli.
Ad esempio, se la squadra rossa utilizza tecniche che ha utilizzato in precedenza e viene rilevata in precedenza nel processo di attacco, è un successo perché significa che l’esercizio precedente ha dimostrato miglioramenti che devono essere apportati, che sono stati agiti per aiutare individuare attività insolite e proteggere la rete e i suoi utenti.
Questo lavoro potrebbe consistere nell’esecuzione di test che portano più utenti a implementare l’autenticazione a più fattori (MFA) o a renderne più semplice e intuitivo l’utilizzo. E se migliora la sicurezza per il personale interno di Google, che utilizza i prodotti Google, in definitiva aiuta anche gli utenti aziendali e generici a rimanere protetti.
A volte la squadra rossa potrebbe inventare quello che sente essere un attacco innovativo, solo per scoprire che non funziona, mentre d’altra parte qualcosa di inaspettato potrebbe produrre risultati nuovi e interessanti.
“Questo è un ruolo molto sorprendente sotto molti aspetti. Spesso le cose che ti aspetteresti di avere una bassa probabilità di lavorare potrebbero produrre spunti più interessanti per cui ti aspettavi”, afferma Friedli.
“E poi a volte provi a progettare qualcosa di veramente complesso, e senti che sarà rilevante, solo per scoprire che questa non è nemmeno un’opzione fattibile”, aggiunge.
VEDERE: Mettere in sicurezza il cloud (caratteristica speciale ZDNET)
Mentre Friedli e il suo team sono lì per pensare e in qualche modo agire come criminali informatici, a differenza degli hacker malintenzionati, il team rosso deve assicurarsi di agire in modo etico e responsabile in modo da non mettere in pericolo il personale o gli utenti di Google.
“Abbiamo una solida esperienza all’interno di Google di agire in modo professionale ed etico, e come parte di ciò abbiamo regole di ingaggio che essenzialmente dettano ciò che è accettabile, e in quali circostanze e dove tracciamo il confine”, spiega Friedli.
Una delle limitazioni è che il team rosso non prende mai di mira i dati degli utenti di Google effettivi: se un esercizio implica la necessità di simulare ciò, viene eseguito solo su account di prova appositamente designati non di proprietà di utenti effettivi.
Oltre a questo, mentre i criminali informatici possono tentare di prendere di mira account personali, smartphone e computer dei dipendenti di Google, per il team rosso di Google questo è un passo troppo avanti ed esplorano questi rischi con mezzi alternativi.
“Dobbiamo rispettare i nostri colleghi, quindi passiamo ad altri mezzi per esplorare questi vettori di minacce utilizzando nuovamente account di prova o utilizzando i nostri dispositivi”, afferma Friedli.
A volte il tentativo di irruzione può comportare l’avvantaggiarsi degli esseri umani che commettono errori onesti mentre cercano di fare il proprio lavoro, come qualcuno che fa clic su un collegamento di phishing o viene ingannato con un numero qualsiasi di metodi che i veri aggressori cercherebbero di sfruttare. Ma incolpare le vittime non fa parte del processo.
“Di certo non andremo in giro a puntare il dito contro qualcuno che fa clic sul collegamento”, spiega Friedli, che afferma che le informazioni su chi ha fatto clic non vengono nemmeno registrate: “Questo non è affatto rilevante per noi in alcun modo”.
L’importante è esaminare gli attacchi del team rosso e utilizzarli per migliorare la sicurezza, sia che si tratti di implementare controlli tecnici, rimuovere parte di un ciclo di attacco che i criminali informatici potrebbero sfruttare o qualsiasi altra cosa, con l’obiettivo di migliorare la sicurezza informatica per Google e i suoi dipendenti e i suoi utenti in un panorama di minacce in continua evoluzione.
Google gestisce una squadra rossa dal 2010 e la squadra è esperta in quello che fa, come interagisce con i difensori della squadra blu e sa quali limiti non dovrebbero essere superati durante l’esecuzione degli esercizi: tutto ciò aiuta Google a mantenere le reti, i dipendenti e utenti sicuri.
E Friedli pensa che altre organizzazioni e i loro team di sicurezza informatica possano trarre vantaggio dall’esecuzione di esercizi di squadra rossa.
“Penso che allora ci sia un’opportunità per trarne vantaggio, per avere il secondo punto di vista; questo paio di occhi contraddittori che sfidano le cose e offrono questo”, dice.
Tuttavia, avverte anche che creare una squadra rossa non è qualcosa in cui affrettarsi. Prima di pensare a qualsiasi tipo di esercizio della squadra rossa, è importante che le organizzazioni abbiano la casa in ordine: non c’è molta ricompensa per l’esecuzione di esercizi contraddittori se non stanno già facendo le basi prima.
“Ma una volta che hai una certa maturità e vuoi vedere dove puoi modificare e migliorare, è lì che penso che la squadra rossa possa tornare davvero utile”, afferma Friedli. “Non è banale, ma ripaga”.