Cos'è il red team in cybersecurity
Il red team in cybersecurity è un gruppo di professionisti della sicurezza offensiva che simula attacchi reali contro un'organizzazione — con il suo permesso formale — per testare in modo olistico la capacità di detection, risposta e resilienza. Il termine nasce dal gergo militare e dei servizi di intelligence, dove il "red team" giocava il ruolo dell'avversario in esercitazioni strategiche.
In ambito aziendale, il red team va molto oltre il penetration test tradizionale: usa qualsiasi vettore disponibile per raggiungere un obiettivo specifico definito dall'azienda. Phishing mirato ai dirigenti, tentativi di accesso fisico agli uffici, social engineering telefonico verso l'helpdesk, exploit di vulnerabilità tecniche, compromissione delle credenziali di fornitori — tutto quello che farebbe un attaccante reale motivato.
La caratteristica più distintiva: il blue team — il team interno di sicurezza o il provider MDR — non sa che l'operazione è in corso. Questo è ciò che rende il red team prezioso: non si testa la prontezza artificiale, ma la detection reale in condizioni normali di operatività.
Red team vs penetration test vs vulnerability assessment
| Caratteristica | Vulnerability Assessment | Penetration Test | Red Team |
|---|---|---|---|
| Scope | Definito (sistemi specifici) | Definito (sistemi specifici) | Aperto (qualsiasi vettore) |
| Obiettivo | Lista di vulnerabilità | Sfruttamento vulnerabilità tecniche | Raggiungere un target critico |
| Durata | 1-5 giorni | 1-3 settimane | 4-12 settimane |
| Vettori usati | Scanner automatici | Exploit tecnici | Tutti (phishing, fisico, social eng.) |
| Blue team informato | Sì | Sì | No (solitamente) |
| Cosa testa | Vulnerabilità tecniche | Catene di attacco tecniche | Persone, processi, tecnologia |
| Costo PMI | 1.000-3.000 € | 3.000-10.000 € | 15.000-40.000 € |
Come si svolge un red team engagement
Un'operazione red team segue fasi strutturate che replicano la kill chain di un attaccante reale avanzato:
Fase 1 — Planning e Rules of Engagement
Prima di iniziare, si definiscono con precisione le Rules of Engagement (RoE): quali sistemi sono in scope, quali sono esplicitamente esclusi (es. sistemi di produzione critici con zero tolleranza di downtime), quali vettori sono consentiti (es. phishing sì, accesso fisico no), la finestra temporale dell'operazione, il nome e i contatti dell'engagement authority (la persona in azienda che sa dell'operazione e può autorizzare azioni borderline). Questo documento ha valore legale e protegge sia l'azienda che il red team.
Fase 2 — Reconnaissance passiva e attiva
Il red team raccoglie informazioni sull'obiettivo da fonti pubbliche (OSINT): struttura organizzativa su LinkedIn, tecnologie usate (job posting, header HTTP, certificati SSL), indirizzi email dei dipendenti, range IP pubblici, sottodomini, fornitori tecnologici chiave. Questa fase è interamente passiva: nessun pacchetto inviato ai sistemi target.
Fase 3 — Initial Access
Il punto d'ingresso più usato nei red team reali è il phishing: email personalizzate per specifici dipendenti (spear phishing), con pretesti convincenti costruiti sull'OSINT raccolto. Alternative: sfruttamento di servizi esposti (VPN vulnerabile, Outlook Web Access con credenziali rubate da dark web, portale fornitori con password di default).
Fase 4 — Post-Exploitation e Lateral Movement
Una volta dentro, l'obiettivo è espandere l'accesso in silenzio. Tecniche comuni: Kerberoasting e AS-REP Roasting per rubare hash di password di Active Directory, pass-the-hash per muoversi lateralmente senza conoscere la password in chiaro, Living Off The Land (LOLBins) per usare strumenti legittimi del sistema operativo invece di malware rilevabili.
Fase 5 — Objective
Si raggiunge il target definito nelle RoE: accesso al sistema ERP, download di un file "confidenziale" di prova dal server file server, accesso come Domain Admin, installazione di un impianto C2 persistente su un server critico. L'obiettivo è documentato con screenshot e log che provano il raggiungimento.
Fase 6 — Purple Team e Reporting
Il red team rivela le proprie azioni al blue team in una sessione collaborativa (purple team). Si analizza ogni passo: il blue team l'ha rilevato? A che punto? Cosa avrebbe potuto fare diversamente? Il report finale documenta la timeline completa, le detection mancate e le raccomandazioni concrete per colmare i gap.
TIBER-EU (Threat Intelligence Based Ethical Red Teaming) è il framework europeo per esercitazioni red team nel settore finanziario, sviluppato dalla BCE. Richiede threat intelligence specifica sull'attaccante reale più probabile per l'organizzazione e report standardizzati. È obbligatorio per le istituzioni finanziarie significative nell'Eurozona e opzionale ma raccomandato per le altre.
Quando ha senso un red team per una PMI
Il red team non è per tutti. Ha senso quando queste condizioni sono soddisfatte:
- Hai già un SOC o un MDR attivo — il red team testa la tua detection. Se non hai detection, non c'è nulla da testare e il risultato sarà solo "siamo entrati ovunque senza che nessuno se ne accorgesse" — ovvio e costoso.
- Hai fatto almeno un penetration test — le vulnerabilità tecniche di base sono già state risolte. Il red team cerca vettori più sofisticati.
- Hai asset critici ad alto rischio — dati molto sensibili, infrastrutture industriali (OT/ICS), servizi finanziari, fornitori di infrastrutture critiche.
- Hai budget sufficiente — un red team sotto i 15.000 € è quasi certamente troppo limitato per essere utile.
- Sei disposto a ricevere feedback duro — il red team svelerà gap imbarazzanti. Se l'organizzazione non è pronta a investire nella remediation, il risultato sarà solo un report che nessuno legge.
Per la maggior parte delle PMI italiane, la sequenza ottimale è: 1) penetration test annuale per trovare e correggere le vulnerabilità tecniche, 2) phishing simulation + awareness training per ridurre il rischio umano, 3) MDR per la detection continuativa. Il red team diventa il passo successivo quando questi tre elementi sono consolidati.
Come scegliere il provider red team giusto
Il mercato italiano della sicurezza offensiva è frammentato. I criteri per valutare un provider red team:
- Portfolio documentabile — i provider seri hanno casi studio (anonimizzati) che mostrano la complessità delle operazioni condotte. Diffida di chi non può mostrare nulla per ragioni di "confidenzialità" — una protezione eccessiva spesso nasconde l'assenza di referenze reali.
- Certificazioni offensive — OSCP, CRTO (Certified Red Team Operator), CRTE (Certified Red Team Expert) sono le certificazioni più riconosciute per il red teaming. La certificazione non garantisce qualità, ma è un filtro ragionevole.
- Approccio custom — diffida di operazioni "standardizzate". Un red team efficace personalizza la threat actor simulation sull'azienda specifica, non applica metodologie generiche.
- Chiarezza sulle RoE — un provider professionale dedica tempo significativo alla definizione delle Rules of Engagement prima di iniziare. Se spinge a iniziare subito senza documenti formali, è un segnale negativo.
Domande frequenti
Cos'è il red team in cybersecurity?
Il red team è un gruppo di professionisti offensivi che simula attacchi reali contro un'organizzazione, con scope aperto e qualsiasi vettore disponibile (phishing, fisico, social engineering, exploit tecnici), per testare la capacità di detection e risposta. A differenza del penetration test, il blue team non sa che l'operazione è in corso.
Cos'è il purple team?
Il purple team è la sessione collaborativa che riunisce red e blue team dopo l'esercitazione per analizzare le tecniche usate, le detection mancate e le opportunità di miglioramento. È la fase più formativa: il blue team capisce esattamente come funzionano gli attacchi che non ha rilevato e come configurare detection rule più efficaci.
Quanto costa un red team engagement per una PMI?
Parte da 15.000-25.000 € per operazioni di 4-6 settimane con scope limitato. Per la maggior parte delle PMI, la combinazione phishing simulation + penetration test annuale offre un ROI migliore. Il red team diventa prioritario quando c'è già un SOC/MDR attivo da testare.