Vai al contenuto
BastionSec
Contattaci
Offensive Security · Red Team

Red team: simuliamo un avversario reale per mettere alla prova la tua risposta.

Un'operazione goal-based che simula come opererebbe un attaccante vero: in stealth, su obiettivi, non su uno scope di sistemi. Mette alla prova non solo i controlli, ma anche detection e capacità di risposta del tuo team (blue team). Avanzato: ha senso su una postura già matura.

  • Goal-based e in stealth: simuliamo l'avversario, non eseguiamo una checklist.
  • Mette alla prova detection e risposta (people, process), non solo i controlli tecnici.
  • TTP mappate a MITRE ATT&CK; opzione Purple Team per lavorare col tuo blue team.
Parla di un'operazione red teamVedi un report di esempio

Quando ha senso un red team

Auto-qualificazione rapida: ti riconosci in uno di questi?

Hai già una postura matura

Controlli in piedi, monitoraggio attivo, magari già pentest alle spalle: ora vuoi sapere se li sapresti rilevare e fermare sotto attacco reale.

Vedi detection & response

Vuoi testare detection e risposta

Non ti interessa solo 'cosa è vulnerabile', ma se il tuo team se ne accorge e reagisce in tempo. È il dominio del red team, non del pentest.

Parlane con noi

Scenario specifico da validare

Vuoi verificare un'ipotesi concreta: 'cosa succede se un account viene compromesso?' o 'fin dove arriva un attaccante partito dal phishing?'.

Parlane con noi

Cos'è il red teaming (e perché non è un pentest)

Il red teaming è la simulazione di un avversario reale: si parte da obiettivi (es. accedere a un dato critico, compromettere un account privilegiato) e si lavora in stealth, scegliendo le tecniche come farebbe un attaccante vero. Non si testa uno scope predefinito di sistemi: si testa l'organizzazione nel suo insieme, tecnologia, persone e processi, compresa la sua capacità di rilevare e rispondere.

È diverso dal penetration test, che ha uno scope definito e punta a trovare e dimostrare il maggior numero di vulnerabilità sfruttabili, di solito senza l'obiettivo di restare invisibile. Ed è diverso dal vulnerability assessment, che identifica e classifica senza sfruttare. Un red team su un'azienda immatura è spreco: prima si chiudono le falle ovvie (VA, pentest), poi si mette alla prova la difesa.

Onestà sui confini: questa è un'attività avanzata. Se non hai ancora controlli e monitoraggio di base, ti consigliamo di partire da vulnerability assessment e penetration test: un red team non darebbe valore. Te lo diciamo in fase di scoping, non dopo.

Cosa mettiamo alla prova

Catena d'attacco realistica: accesso iniziale (es. phishing concordato, sfruttamento di un'esposizione), persistenza, escalation di privilegi, movimento laterale e raggiungimento dell'obiettivo concordato. Tutto sotto regole d'ingaggio scritte e con un canale di sicurezza per fermare l'operazione in qualsiasi momento.

L'oggetto del test non sono solo i controlli tecnici, ma le persone e i processi: il tuo team di difesa (blue team) si accorge dell'attività? In quanto tempo? Reagisce nel modo giusto? È questa la domanda a cui risponde un red team.

Cosa ricevi: il report

  • Narrazione dell'attacco: il percorso completo, dall'accesso iniziale all'obiettivo, passo per passo.
  • TTP utilizzate mappate a MITRE ATT&CK, con evidenze e timeline delle azioni.
  • Valutazione della detection: cosa è stato rilevato, cosa no, e dopo quanto tempo.
  • Findings con severità CVSS dove applicabile e impatto di business contestualizzato.
  • Remediation prioritizzata su controlli, detection e processo di risposta.
  • Executive summary leggibile dalla direzione, con le lacune più rilevanti in evidenza.

Come funziona, fase per fase

Un'operazione strutturata con regole d'ingaggio chiare. L'esecuzione è guidata da operatori umani: il red teaming è giudizio e creatività avversaria, non automazione.

  1. 1

    Scoping & obiettivi

    Definiamo obiettivi, regole d'ingaggio, livello di stealth, vincoli e canale di sicurezza per fermare tutto.

  2. 2

    Ricognizione & threat modeling

    Studiamo la superficie e gli scenari d'avversario rilevanti per il tuo contesto.

  3. 3

    Accesso iniziale

    Otteniamo un punto d'appoggio con la tecnica concordata (es. phishing, esposizione esterna).

  4. 4

    Operazione

    Persistenza, escalation, movimento laterale verso l'obiettivo, in stealth e mappando le TTP.

  5. 5

    Reporting

    Narrazione dell'attacco, mapping ATT&CK, valutazione della detection e remediation.

  6. 6

    Debrief & Purple Team

    Sessione con il tuo blue team per trasferire le lezioni e rafforzare detection e risposta.

Stack & metodologie

Il riferimento principale è MITRE ATT&CK per la mappatura di tattiche e tecniche d'avversario. Integriamo PTES e NIST SP 800-115 per la struttura del testing e CVSS per la severità dei finding tecnici dove applicabile.

Su richiesta lavoriamo in modalità Purple Team: il red team e il tuo blue team collaborano in tempo reale, così ogni tecnica diventa subito un miglioramento misurabile della detection. È spesso il modo più efficace per far crescere davvero la capacità di risposta.

Modello e tempi

  1. 1

    Modello a progetto : su misura, 'a partire da' + range

    Un'operazione red team è dimensionata su obiettivi e livello di stealth; di norma è più impegnativa di un pentest. Prezzo definito dopo lo scoping. Vedi la pagina prezzi.

  2. 2

    Esecuzione : tipicamente alcune settimane

    Lo stealth richiede tempo: muoversi 'lenti e bassi' fa parte del realismo. Definito nello scoping.

  3. 3

    Debrief & Purple Team : a chiusura operazione

    Sessione con il blue team per trasferire le lezioni e alzare la capacità di detection e risposta.

Per mantenere la postura nel tempo, il testing offensivo periodico entra nel retainer di sicurezza continua.

Domande frequenti

Qual è la differenza tra red team e penetration test?

Il pentest ha uno scope definito di sistemi e punta a trovare e dimostrare il maggior numero di vulnerabilità sfruttabili. Il red team parte da obiettivi, lavora in stealth e mette alla prova l'intera organizzazione, inclusa la capacità del tuo team di rilevare e rispondere. Il pentest chiede 'cosa è bucabile?'; il red team chiede 've ne accorgereste?'.

Mi serve davvero un red team?

Solo se hai già una postura matura: controlli in piedi, monitoraggio attivo, idealmente pentest già fatti. Su un'azienda immatura un red team è spreco: emergerebbero falle che un VA o un pentest avrebbero trovato a costo minore. Scrivici e capiamo cosa ti serve, onestamente.

Cos'è un'operazione Purple Team?

È quando il nostro red team e il tuo blue team collaborano in tempo reale invece di operare in cieco: ogni tecnica simulata viene subito discussa e tradotta in un miglioramento della detection. Spesso è il modo più efficace di far crescere la capacità di risposta.

È pericoloso per i miei sistemi di produzione?

Operiamo sotto regole d'ingaggio scritte, con vincoli concordati e un canale di sicurezza per sospendere l'operazione in qualsiasi momento. Lo stealth riguarda l'essere rilevati, non il causare danni: l'obiettivo è realismo controllato, non rischio per il tuo business.

Cosa ricevo alla fine?

La narrazione completa dell'attacco, le TTP mappate a MITRE ATT&CK con timeline, la valutazione di cosa è stato rilevato e cosa no, remediation prioritizzata su controlli e risposta, e un executive summary per la direzione. Più, se scelta, la sessione di debrief col tuo blue team.

Garantite di non riuscire a entrare?

Al contrario: un avversario determinato spesso un appiglio lo trova. Il valore del red team non è 'passare o non passare', ma scoprire fin dove si arriva senza essere fermati, e usarlo per rendere detection e risposta più rapide. Diffida di chi vende sicurezza in termini assoluti.

Approfondisci

Penetration Test

Lo scope definito e lo sfruttamento controllato: il passo che di solito viene prima del red team.

Scopri

Monitoraggio & Risposta

Detection e risposta sono ciò che un red team mette alla prova: ecco come le rafforziamo nel continuo.

Scopri

Audit & Pentest (hub)

La nostra linea di testing offensivo: VA, penetration test e red team, con il modello di erogazione.

Vai all'hub

Pronto a mettere alla prova la tua difesa, sul serio?

Raccontaci obiettivi e maturità: ti diciamo se il red team fa per te ora o se conviene partire da pentest. Onestamente.

Parla di un'operazione red team