Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Costruiamo un “SOC domestico” con soli 100 Euro. Accendiamo Caldera, Infection Monkey e Atomic Test – Seconda Parte

Alessandro Molinari : 6 Luglio 2024 09:04

Quest’articolo si lega, ed é propedeutico al precedente, nel quale abbiamo iniziato a creare il nostro SOC casalingo con circa 100 euro. Qui di seguito le piattaforme che andremo ad utilizzare nei nostri test.

Oggi confrontiamo tre strumenti open-source di simulazione di attacchi e violazioni: Caldera, Infection Monkey e Atomic Test. Questi strumenti aiutano a individuare le vulnerabilità e a validare i controlli di sicurezza esistenti.

Caldera è noto per la sua capacità di automatizzare vari scenari di attacco, fornendo un’analisi dettagliata delle misure di difesa. Infection Monkey è ampiamente utilizzato per la sua facilità d’uso ed efficacia nel simulare ransomware e valutazioni di fiducia zero. Atomic Test, d’altra parte, offre flessibilità nei test personalizzati su specifici vettori di attacco.

FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber

Affrettati!

Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:

  • NIS2 : Network and Information system 2 scontato del 25%
  • Dark Web & Cyber Threat Intelligence scontato del 50%

  • Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Conoscere le caratteristiche distintive di ciascuno di questi strumenti può aiutare le aziende a scegliere quello più adatto alle loro esigenze di sicurezza. Un’adeguata simulazione di attacchi può migliorare significativamente la postura di sicurezza di una rete, prevenendo incidenti gravi prima che si verifichino.

    Panoramica su Caldera

    Caldera è una piattaforma open-source per la simulazione degli attacchi e la valutazione della sicurezza dei sistemi informatici. Questa sezione esplora l’architettura e i componenti, l’installazione e la configurazione, e fornisce un codice esempio per l’uso.

    Architettura e Componenti

    Caldera utilizza una architettura modulare che permette agli utenti di aggiungere o rimuovere funzionalità in base alle esigenze. Il cuore della piattaforma è il server, che funge da nucleo per la gestione delle operazioni.

    Le principali componenti includono:

    • Agenti: software che si installa sui sistemi target per eseguire operazioni definite.
    • Plug-in: moduli aggiuntivi che estendono le funzionalità di base.
    • Interfaccia Web: un’applicazione semplice da usare per gestire e monitorare le attività.

    La modularità rende Caldera flessibile e facilmente adattabile a diverse esigenze di sicurezza.

    Installazione e Configurazione

    Installare Caldera è semplice. È possibile clonare il repository GitHub e seguire le istruzioni fornite. Alcuni prerequisiti includono:

    • Git
    • Python 3.7+

    Per iniziare:

    1. Clonare il repository: git clone https://github.com/mitre/caldera.git
    2. Installare i requisiti: pip install -r requirements.txt
    3. Avviare il server: python server.py

    La configurazione prevede la modifica di file YAML per personalizzare l’attività degli agenti e i plug-in. La documentazione ufficiale fornisce dettagli ulteriori.

    Codice Esempio

    Un esempio comune è quello di eseguire un test di attacco phishing. Una semplice operazione può essere definita tramite uno script Python:

    import requests
    
    url = 'http://localhost:8888/api/rest'
    payload = {
        'name': 'Phishing Test',
        'technique': 'T1566.002',
        'target': '192.168.1.10'
    }
    
    response = requests.post(url, json=payload)
    print(response.json())
    
    

    Questo codice invia una richiesta al server Caldera, attivando un test di phishing. È importante configurare correttamente il target e i parametri. Caldera fornisce un’ampia gamma di opzioni per simulare vari tipi di attacco, consentendo una valutazione completa delle difese di sicurezza.

    Ulteriori dettagli sono disponibili nel repo ufficiale e attraverso la loro interfaccia web, rendendo l’uso della piattaforma efficiente e versatile.

    Analisi di Infection Monkey

    Infection Monkey è una piattaforma open source per la simulazione di attacchi e violazioni. Essa consente di validare controlli di sicurezza esistenti e identificare lacune nella rete usata.

    Funzionalità di Infection Monkey

    Infection Monkey offre diverse funzioni utili per la sicurezza informatica. Il Monkey utilizza vari metodi per auto-propagarsi all’interno di una rete. Questo include l’uso di vulnerabilità note e tecniche di furto credenziali per vedere come gli attaccanti potrebbero muoversi nella rete.

    I risultati delle simulazioni vengono inviati a un server di comando e controllo centrale chiamato Monkey Island. La dashboard permette di visualizzare facilmente le falle di sicurezza scoperte.

    La piattaforma fornisce anche report dettagliati che aiutano a capire le vulnerabilità e a implementare misure di mitigazione efficaci.

    Codice Esempio

    Per utilizzare Infection Monkey, è possibile iniziare clonando il repository open source da GitHub. Un semplice esempio di deploy su un ambiente di test Linux potrebbe richiedere i seguenti passi:

    git clone https://github.com/guardicore/monkey.git
    cd monkey
    ./install.sh
    
    

    Dopo l’installazione, si avvia il comando per distribuire i “Monkeys”:

    ./run_monkey.sh --targets 
    
    

    Questi comandi aiutano a lanciare rapidamente una simulazione di attacco. Ulteriori configurazioni possono essere fatte modificando i file di configurazione disponibili nel repository.

    Studio su Atomic Red Team

    Atomic Red Team è un insieme di test che permette ai team di sicurezza di verificare la resilienza dei loro sistemi contro specifiche tecniche e tattiche di attacco. Questo toolkit è altamente compatibile con varie piattaforme e si integra facilmente con gli ambienti SIEM.

    Atomic Test e TTPs

    Atomic Red Team offre una libreria di Atomic Test che copre una vasta gamma di tattiche, tecniche e procedure (TTPs) mappate secondo il framework MITRE ATT&CK. Ogni test è progettato per simulare scenari di attacco realistici in modo rapido e ripetibile. Gli utenti possono eseguire test che vanno dalla raccolta di credenziali al movimento laterale, fornendo così una visione completa sulla robustezza delle difese.

    I test sono portatili, il che significa che possono essere eseguiti su diverse piattaforme senza richiedere modifiche significative. Questo rende Atomic Red Team uno strumento essenziale per team di sicurezza che desiderano una soluzione versatile e affidabile per la simulazione degli attacchi.

    Integrazione con Ambienti SIEM

    Uno degli aspetti chiave di Atomic Red Team è la sua capacità di integrarsi con gli ambienti SIEM. Grazie a questa integrazione, i team di sicurezza possono monitorare e analizzare in tempo reale gli eventi di sicurezza generati durante i test. I plugin SIEM permettono di correlare i dati raccolti con altri eventi nel sistema, fornendo una visione olistica dello stato di sicurezza.

    Atomic Red Team supporta l’uso di vari plugins che facilitano l’importazione dei risultati dei test direttamente nel sistema SIEM. Questo consente una gestione centralizzata e una rapida risposta agli eventi di sicurezza critici, migliorando così l’efficienza operativa e la capacità di rilevamento delle minacce.

    Codice Esempio

    Per aiutare gli utenti a iniziare rapidamente, Atomic Red Team offre numerosi esempi di codice. Ad esempio, usando il modulo Invoke-AtomicRedTeam con PowerShell, è possibile eseguire test specifici con poche righe di codice:

    Invoke-AtomicTest -TestNumbers 1,2 -Verbose
    
    

    Questa riga di codice esegue test numerati 1 e 2 con dettagli aggiuntivi. Altri esempi includono funzioni come New-AtomicTest per creare nuovi test personalizzati. Questi esempi sono estremamente utili per chi desidera adattare i test alle proprie esigenze specifiche e garantirne l’efficacia.

    Il repository GitHub fornisce una documentazione estensa e continuamente aggiornata che facilita ulteriormente l’uso e l’integrazione degli Atomic Test nei flussi di lavoro esistenti.

    Scenario di Test e Simulazioni

    Gli strumenti di simulazione come Caldera, Infection Monkey e Atomic Test sono utilizzati per creare scenari realistici e valutare le performance delle misure di sicurezza.

    Creare Scenari Realistici

    Per testare l’efficacia delle misure di sicurezza, è essenziale creare scenari che rispecchino situazioni reali. Caldera, ad esempio, permette di simulare attacchi basati su tecniche reali utilizzate da hacker. Questo strumento utilizza una vasta libreria di tattiche e procedure per creare un ambiente di test accurato.

    Infection Monkey è utile per individuare vulnerabilità e punti deboli nella rete. Simula attacchi da interni per testare la resilienza delle difese di sicurezza. Gli amministratori possono così capire come un attaccante potrebbe muoversi all’interno della rete e quali controlli potrebbero fallire.

    Atomic Test automatizza la creazione di scenari specifici per testare singoli controlli di sicurezza. Ogni scenario è progettato per verificare la risposta delle contromisure a eventi particolari, facilitando l’identificazione di eventuali lacune.

    Valutazione delle Performance

    Valutare le performance delle misure di sicurezza è cruciale per garantire che le difese siano efficaci. Caldera fornisce report dettagliati che analizzano il comportamento delle difese durante gli attacchi simulati. Questi report aiutano gli amministratori a identificare aree di miglioramento e ottimizzare le risorse.

    Infection Monkey genera grafici che mostrano i punti di ingresso e la propagazione degli attacchi. Questo aiuta a comprendere come migliorare le difese interne e rafforzare i controlli esistenti.

    Atomic Test, con i suoi test mirati, permette di confrontare le performance di diversi strumenti di sicurezza in scenari specifici. Gli amministratori possono utilizzare questi dati per decidere quali soluzioni implementare o migliorare, garantendo una protezione efficace contro le minacce.

    Risultati e Reporting

    In questa sezione, discuteremo come i report di sicurezza generati da Caldera, Infection Monkey e Atomic Red Team possono essere interpretati e come utilizzare queste informazioni per migliorare la sicurezza della rete.

    Interpretazione del Security Report

    I report di Caldera, Infection Monkey e Atomic Red Team forniscono dati dettagliati sugli attacchi simulati e sul comportamento delle potenziali minacce. Ad esempio, Caldera offre un’interfaccia browser-friendly per visualizzare i percorsi d’attacco e le vulnerabilità sfruttate. Questo aiuta a capire meglio dove la rete è più vulnerabile.

    Infection Monkey invia i suoi dati a un server centralizzato chiamato Monkey Island, permettendo un’analisi approfondita del movimento laterale delle minacce. Questi report sono utili per vedere come gli aggressori potrebbero propagarsi nella rete.

    Atomic Red Team fornisce un’analisi dettagliata delle tecniche TTP (Tactics, Techniques, and Procedures) utilizzate durante le simulazioni, facilitando l’identificazione delle carenze nei controlli di sicurezza esistenti. I report generati possono essere utili per determinare quali misure di mitigazione sono necessarie per rafforzare la postura di sicurezza della rete.

    Azioni Post-Valutazione

    Dopo aver analizzato i report di sicurezza, è essenziale intraprendere azioni concrete per mitigare le vulnerabilità identificate. Caldera permette di creare piani di azione basati sui risultati delle simulazioni, aiutando a rinforzare le difese della rete passo dopo passo.

    Con Infection Monkey, le azioni post-valutazione possono includere l’aggiornamento dei firewall, l’implementazione di patch di sicurezza, e la revisione delle policy di accesso per prevenire movimenti non autorizzati all’interno della rete.

    Atomic Red Team consiglia di utilizzare i suoi report per validare se le contromisure adottate sono efficaci. Questo può includere l’esecuzione di test di penetrazione periodici per assicurarsi che le nuove misure siano adeguatamente implementate e operative. Questi passaggi aiutano a mantenere una sicurezza di rete robusta e aggiornata.

    Mitigazione e Miglioramento

    L’implementazione di tecniche di mitigazione e il potenziamento della sicurezza della rete sono essenziali per proteggere le aziende dalle vulnerabilità e migliorare la loro postura di sicurezza.

    Tecniche di Mitigazione

    Tecniche di mitigazione aiutano a ridurre o eliminare le minacce alla sicurezza. Infection Monkey può individuare le aree vulnerabili e suggerire misure come la segmentazione della rete e la configurazione di password robuste. La segmentazione isola parti della rete, impedendo ad un attacco di diffondersi facilmente.

    Caldera, sviluppato da MITRE, utilizza simulazioni per testare la resilienza dei sistemi e offre raccomandazioni su tecniche di difesa efficaci. Queste raccomandazioni includono l’implementazione di protocolli di autenticazione multifattoriale (MFA) e il monitoraggio continuo delle attività sospette.

    Atomic Red Team fornisce script che eseguono test di penetrazione automatizzati per identificare e mitigare le vulnerabilità prima che possano essere sfruttate da attaccanti.

    Potenziare la Sicurezza della Rete

    Potenziamento della sicurezza della rete implica l’adozione di misure proattive per proteggere i sistemi informativi. Infection Monkey, ad esempio, offre una mappa dettagliata della rete, evidenziando i sistemi violati e i servizi aperti, che possono essere utili per ridurre la superficie di attacco.

    L’utilizzo di strumenti come Caldera permette alle aziende di simulare attacchi complessi e di valutare la loro capacità di risposta, migliorando così il loro livello di preparazione. Questi strumenti aiutano a rafforzare i controlli di sicurezza esistenti e a rilevare eventuali debolezze nascoste.

    Atomic Red Team consente di testare le difese della rete attraverso esercizi pratici che imitano realisticamente le tattiche degli attaccanti, fornendo alle organizzazioni le conoscenze necessarie per migliorare le loro difese contro le minacce reali.

    Comparazione e Conclusioni

    Le piattaforme Caldera, Infection Monkey e Atomic Test sono strumenti potenti per emulare gli attacchi e identificare le lacune nella sicurezza delle reti. Esaminiamo le differenze principali e i punti di forza di ciascuna piattaforma per aiutarti a fare una scelta informata.

    Confronto delle Piattaforme

    Caldera è noto per la sua capacità di eseguire operazioni automatizzate e personalizzabili che mimano il comportamento di attori malevoli. Questa piattaforma utilizza un’interfaccia grafica intuitiva e offre molteplici plugin che permettono campagne di attacco complesse.

    Infection Monkey è una soluzione open-source specializzata nel testare la resilienza della rete contro minacce avanzate. È particolarmente utile per identificare falle nella configurazione di sicurezza e per simulare attacchi interni. Inoltre, fornisce report dettagliati che aiutano nelle migliorie strutturali.

    Atomic Test si distingue per la sua semplicità e focalizzazione su test modulari specifici. Questa piattaforma fornisce una raccolta di test che possono essere eseguiti rapidamente per verificare l’efficacia dei controlli di sicurezza esistenti. È ideale per chi cerca un approccio diretto e veloce.

    PiattaformaAutomazionePersonalizzabilitàReport dettagliatiFocalizzazione su Test Specifici
    CalderaElevataMedieNo
    Infection MonkeyLimitataElevateNo
    Atomic TestNoBassaBasse

    Considerazioni Finali

    Caldera è adatta per aziende che necessitano di emulazioni complesse e personalizzabili e che hanno team di sicurezza esperti. Infection Monkey è ottimale per l’analisi di vulnerabilità delle configurazioni di rete, perfetta per individuare lacune nella sicurezza interna. Atomic Test è l’opzione migliore per chi vuole eseguire test rapidi e specifici in modo efficiente.

    Gli utenti devono considerare i propri bisogni specifici e le risorse a disposizione per scegliere lo strumento giusto. Ogni soluzione ha punti di forza e debolezze, e una valutazione accurata delle necessità aziendali aiuterà a identificare l’opzione che offrirà il miglior ritorno sull’investimento in termini di sicurezza della rete. Nel nostro SOC vedremo nella pratica come si differenziano queste tre potenti piattaforme.

    Th3R3dP1ll
    Direttore di Crociera per 6 mesi all'anno, parla Italiano, Inglese, Tedesco, Francese, Spagnolo, Portoghese, Russo e sta attualmente studiando Giapponese (quest'ultima senza grandi risultati... :) ). Detiene Comptia A+ , Network+ , Security+ Pentest+ ed eJPT e sta studiando per eCCPT e PNPT. Nel tempo libero fa sport e legge/ascolta libri dai 60 ai 120 minuti al giorno. Sostiene che con grandi poteri arrivino grandi responsabilitá, come quelle di educare chi ha difficoltà a navigare il mondo digitale ed eventualmente difenderlo/a dai “pirati” e dalle entità che danneggiano il pianeta e la libertà delle persone. Sostiene inoltre che il futuro naturale della vita biologica sia la fusione ed integrazione con il digitale, transizione che tra l'altro è già iniziata con il movimento del transumanesimo del quale é sostenitore.