Pur restando operativo nel campo della sicurezza offensiva mi sono reso conto, in particolare negli ultimi due anni, che una parte importante del mio lavoro si svolge a quattro mani con chi si occupa della “difesa” di una infrastruttura. Che il dialogo tra red e blue fosse indispensabile ne ero già più che convinto, la differenza è che negli ultimi anni molto spesso le Cyber Ops. che ho eseguito avevano “dall’altra parte della barricata” un SOC o un Defense Team.

In passato non era così frequente, chi si occupa di PenTesting da qualche anno si ricorderà che molto spesso la partita era “contro” il sistema nella maggior parte dei casi. Oggi è molto frequente trovare aziende che hanno implementato qualcosa a livello Blue Team, anche di minimale come piccoli servizi MDR. È un’evoluzione che ritengo positiva anche se, bisogna dirlo, c’è ancora tanto lavoro da fare per portare questi servizi ad un buon livello di maturazione: alcune realtà hanno implementato strutture coerenti con le esigenze di identificazione e gestione delle minacce, ma esistono molti casi (e alcuni li ho intercettati) in cui è evidente la mancanza di struttura o la limitata capacità di disegnare soluzioni e processi che siano veramente di supporto all’organizzazione che si sta difendendo.

Solitamente lavoro in contesti maturi e incontro strutture SOC/MDR o servizi di Defense ben strutturati. Ovviamente l’opportunità di migliorarsi esiste sempre ed in tutti i campi e, a seguito di diversi confronti operativi, ho sentito l’esigenza di approfondire meglio il lato “blue”. Sono convinto che conoscere la struttura su cui si sta eseguendo un security test è sempre un vantaggio strategico, inoltre una profonda conoscenza dei sistemi che si “affrontano” consente di definire remediation plan molto dettagliati ed efficaci. Penso che lo stesso principio sia applicabile al contesto SOC: conoscerne i processi e le tecnologie mi può essere sicuramente d’aiuto quando si entra nella fase di remediation o durante le sessioni di confronto (es: Purple Teaming).

Sulla base di queste riflessioni, visto che lavoro per una company molto strutturata e che prende la formazione molto seriamente, ho iniziato un percorso all’interno della piattaforma di learning di Cisco per quanto riguarda le Cybersecurity Cert. Parto con il corso 350-201 che sicuramente mi darà modo di condividere qualche approfondimento e riflessione, soprattuto sulle tecnologie che avrò modo di provare nei labs.

Vi tengo aggiornati qui, su YouTube e su Patreon.