Offensive Security 30 Giugno 2026 · 10 min di lettura · Team FrameSec

Red team cybersecurity: cos'è e quando serve alle PMI

Il red team è la simulazione di attacco più realistica disponibile: professionisti che pensano e agiscono come criminali reali, per settimane, senza che il tuo team di difesa sappia che l'operazione è in corso. Una guida per capire cos'è, come funziona, quando ha senso per una PMI e cosa distingue un buon red team da uno che non aggiunge valore.

red team purple team blue team offensive security TIBER-EU

Cos'è il red team in cybersecurity

Il red team in cybersecurity è un gruppo di professionisti della sicurezza offensiva che simula attacchi reali contro un'organizzazione — con il suo permesso formale — per testare in modo olistico la capacità di detection, risposta e resilienza. Il termine nasce dal gergo militare e dei servizi di intelligence, dove il "red team" giocava il ruolo dell'avversario in esercitazioni strategiche.

In ambito aziendale, il red team va molto oltre il penetration test tradizionale: usa qualsiasi vettore disponibile per raggiungere un obiettivo specifico definito dall'azienda. Phishing mirato ai dirigenti, tentativi di accesso fisico agli uffici, social engineering telefonico verso l'helpdesk, exploit di vulnerabilità tecniche, compromissione delle credenziali di fornitori — tutto quello che farebbe un attaccante reale motivato.

La caratteristica più distintiva: il blue team — il team interno di sicurezza o il provider MDR — non sa che l'operazione è in corso. Questo è ciò che rende il red team prezioso: non si testa la prontezza artificiale, ma la detection reale in condizioni normali di operatività.

Red team vs penetration test vs vulnerability assessment

CaratteristicaVulnerability AssessmentPenetration TestRed Team
ScopeDefinito (sistemi specifici)Definito (sistemi specifici)Aperto (qualsiasi vettore)
ObiettivoLista di vulnerabilitàSfruttamento vulnerabilità tecnicheRaggiungere un target critico
Durata1-5 giorni1-3 settimane4-12 settimane
Vettori usatiScanner automaticiExploit tecniciTutti (phishing, fisico, social eng.)
Blue team informatoNo (solitamente)
Cosa testaVulnerabilità tecnicheCatene di attacco tecnichePersone, processi, tecnologia
Costo PMI1.000-3.000 €3.000-10.000 €15.000-40.000 €

Come si svolge un red team engagement

Un'operazione red team segue fasi strutturate che replicano la kill chain di un attaccante reale avanzato:

Fase 1 — Planning e Rules of Engagement

Prima di iniziare, si definiscono con precisione le Rules of Engagement (RoE): quali sistemi sono in scope, quali sono esplicitamente esclusi (es. sistemi di produzione critici con zero tolleranza di downtime), quali vettori sono consentiti (es. phishing sì, accesso fisico no), la finestra temporale dell'operazione, il nome e i contatti dell'engagement authority (la persona in azienda che sa dell'operazione e può autorizzare azioni borderline). Questo documento ha valore legale e protegge sia l'azienda che il red team.

Fase 2 — Reconnaissance passiva e attiva

Il red team raccoglie informazioni sull'obiettivo da fonti pubbliche (OSINT): struttura organizzativa su LinkedIn, tecnologie usate (job posting, header HTTP, certificati SSL), indirizzi email dei dipendenti, range IP pubblici, sottodomini, fornitori tecnologici chiave. Questa fase è interamente passiva: nessun pacchetto inviato ai sistemi target.

Fase 3 — Initial Access

Il punto d'ingresso più usato nei red team reali è il phishing: email personalizzate per specifici dipendenti (spear phishing), con pretesti convincenti costruiti sull'OSINT raccolto. Alternative: sfruttamento di servizi esposti (VPN vulnerabile, Outlook Web Access con credenziali rubate da dark web, portale fornitori con password di default).

Fase 4 — Post-Exploitation e Lateral Movement

Una volta dentro, l'obiettivo è espandere l'accesso in silenzio. Tecniche comuni: Kerberoasting e AS-REP Roasting per rubare hash di password di Active Directory, pass-the-hash per muoversi lateralmente senza conoscere la password in chiaro, Living Off The Land (LOLBins) per usare strumenti legittimi del sistema operativo invece di malware rilevabili.

Fase 5 — Objective

Si raggiunge il target definito nelle RoE: accesso al sistema ERP, download di un file "confidenziale" di prova dal server file server, accesso come Domain Admin, installazione di un impianto C2 persistente su un server critico. L'obiettivo è documentato con screenshot e log che provano il raggiungimento.

Fase 6 — Purple Team e Reporting

Il red team rivela le proprie azioni al blue team in una sessione collaborativa (purple team). Si analizza ogni passo: il blue team l'ha rilevato? A che punto? Cosa avrebbe potuto fare diversamente? Il report finale documenta la timeline completa, le detection mancate e le raccomandazioni concrete per colmare i gap.

TIBER-EU

TIBER-EU (Threat Intelligence Based Ethical Red Teaming) è il framework europeo per esercitazioni red team nel settore finanziario, sviluppato dalla BCE. Richiede threat intelligence specifica sull'attaccante reale più probabile per l'organizzazione e report standardizzati. È obbligatorio per le istituzioni finanziarie significative nell'Eurozona e opzionale ma raccomandato per le altre.

Quando ha senso un red team per una PMI

Il red team non è per tutti. Ha senso quando queste condizioni sono soddisfatte:

Consiglio

Per la maggior parte delle PMI italiane, la sequenza ottimale è: 1) penetration test annuale per trovare e correggere le vulnerabilità tecniche, 2) phishing simulation + awareness training per ridurre il rischio umano, 3) MDR per la detection continuativa. Il red team diventa il passo successivo quando questi tre elementi sono consolidati.

Come scegliere il provider red team giusto

Il mercato italiano della sicurezza offensiva è frammentato. I criteri per valutare un provider red team:

Domande frequenti

Cos'è il red team in cybersecurity?
Il red team è un gruppo di professionisti offensivi che simula attacchi reali contro un'organizzazione, con scope aperto e qualsiasi vettore disponibile (phishing, fisico, social engineering, exploit tecnici), per testare la capacità di detection e risposta. A differenza del penetration test, il blue team non sa che l'operazione è in corso.

Cos'è il purple team?
Il purple team è la sessione collaborativa che riunisce red e blue team dopo l'esercitazione per analizzare le tecniche usate, le detection mancate e le opportunità di miglioramento. È la fase più formativa: il blue team capisce esattamente come funzionano gli attacchi che non ha rilevato e come configurare detection rule più efficaci.

Quanto costa un red team engagement per una PMI?
Parte da 15.000-25.000 € per operazioni di 4-6 settimane con scope limitato. Per la maggior parte delle PMI, la combinazione phishing simulation + penetration test annuale offre un ROI migliore. Il red team diventa prioritario quando c'è già un SOC/MDR attivo da testare.