Quali sono i rischi di un Red Team? Potremmo riassumerli in tre punti principali:
- Esecuzione parziale o incompleta: in questo caso, il rischio è quello di sottovalutare e non risolvere alcune problematiche di sicurezza (magari con criticità elevata). Più spesso di quel che si pensi, si vedono report che, alla fine dei conti, risultano essere mere esecuzioni di vulnerability scanners. Tuttavia, questi software fanno esattamente quello che gli viene richiesto: per quanto è il loro potere non sono onniscienti e non possono modificare il loro comportamento in base alla struttura analizzata. Non possono farlo se chi li esegue non sa esattamente cosa sta facendo e, soprattutto, come può usare un determinato risultato.
- Malafede: non crediamo servano grandi delucidazioni su questo punto. Il rischio della malafede, purtroppo, è sempre presente.
- Conflitto d’interessi: questo deriva dal fatto che, avendo partecipato alla costruzione di un sistema/prodotto/software, si ragiona entro gli schemi della costruzione. Ciò può risultare in analisi che si fossilizzano in punti specifici trascurando invece altre importanti problematiche. Il non rispetto del principio della Segregation of Duties può portare ad una cecità parziale dell’osservatore. Questo è lo scenario più comune per il quale, molte volte, ci viene richiesto di verificare il lavoro di altri Red Team.
Chiunque abbia effettuato attività di cybersecurity offensiva sa benissimo quanto l’oggettività e la riproducibilità dei test sia fondamentale. Per ottenere il miglior servizio possibile, dunque, è necessario rispettare alcune questioni specifiche:
- Dare le giuste informazioni ai tester: nessuna informazione in più rispetto a quanto è necessario (per non interferire con la verosimiglianza della simulazione) ma, quelle necessarie, dovranno essere precise e puntuali per evitare che i testers debbano “perdere tempo prezioso” a ricostruire informazioni parziali o fasulle;
- Evitare di richiedere interventi di terzi coinvolti: rispettare il principio della Segregation of Duties non è un piccolo vantaggio ma ciò che rende valido un risultato
Ma alla fine non abbiamo detto nulla di nuovo: questo si può applicare a qualsivoglia fornitore, giusto?