NH SEC Logo
Home Servizi Vision & About Blog Academy FAQ Contatti

Red Teaming

Il Red Teaming è una simulazione end‑to‑end che replica tecniche, tempi e obiettivi di attori reali per mettere alla prova persone, processi e tecnologie.

L’esercizio è condotto in modo autorizzato e controllato, con regole d’ingaggio chiare, per misurare esposizione, capacità di rilevazione e risposta dell’organizzazione. Le simulazioni possono inoltre essere calibrate per settore (es. sanità, industria, finanza, PA, retail), allineando scenari e TTP ai rischi più credibili e pertinenti.

Richiedi informazioni

Scenari Operativi di Red Teaming

Standard - Partenza Esterna

Il team replica il comportamento di un attaccante esterno privo di credenziali o accessi iniziali. L’attività comprende ricognizione e raccolta di informazioni (es. phishing mirato, sfruttamento di esposizioni note o dati provenienti da leak), seguita da ottenimento di un primo accesso. Una volta all’interno, vengono simulate escalation di privilegi, movimenti laterali e mantenimento della persistenza, così da dimostrare in maniera concreta l’impatto operativo di una compromissione.

Assumed Breach - Presunto Accesso Iniziale

In questo scenario si assume che l’attaccante disponga già di un punto d’appoggio (es. credenziali a basso privilegio o un endpoint compromesso). Il focus si sposta quindi sulla fase di post-exploitation, con test su containment, lateral movement e privilege escalation, verificando la capacità dei team interni di rilevare e rispondere tempestivamente. È lo scenario ideale per valutare la maturità del SOC/Blue Team e l’efficacia delle difese interne in condizioni di compromissione già avvenuta.

APT Simulation - Attacco Persistente Avanzato

Simulazione estesa che riproduce il comportamento di un attore avanzato (APT), calibrata su settore e contesto dell’organizzazione. L’obiettivo è validare la resilienza contro minacce evolute con focus su esfiltrazione di dati sensibili, compromissione di account privilegiati e controllo di sistemi critici.

L’attività enfatizza furtività, persistenza e tecniche realistiche, adottando procedure documentate nel framework MITRE ATT&CK per garantire allineamento con scenari di minaccia reali e massima pertinenza per il business.

Obiettivi simulabili (personalizzabili):
  • Accesso a dati riservati o sistemi critici
  • Compromissione di credenziali e privilege escalation
  • Evasione e bypass dei controlli (EDR, firewall, proxy)
  • Mantenimento della persistenza e chain di compromissione
  • Impatto su processi/servizi senza interrompere la continuità
Illustrazione Red Teaming
Illustrazione Red Teaming

Modalità Operative

L’attività di Red Teaming è svolta in maniera sicura, autorizzata e regolata da specifiche ROE. Vengono concordati in anticipo finestre orarie, limiti tecnici, canali di emergenza e criteri di interruzione, così da garantire che la simulazione resti realistica ma sempre sotto controllo. Le operazioni seguono una kill chain completa, con particolare attenzione a furtività, dwell time e alla tracciabilità delle evidenze raccolte.

Scoping & Regole

  • Definizione congiunta di perimetro, obiettivi e success criteria
  • Scelta del livello di visibilità (black / grey / white-box) e della profondità consentita
  • Definizione di policy su dati sensibili, social engineering e impatto sui servizi

Esecuzione

  • Recon & Initial Access con tecniche plausibili e coerenti con il settore del cliente
  • Post-exploitation: escalation di privilegi, movimenti laterali, persistence controllata
  • Exfiltration di dati simulata in maniera tracciata e solo se autorizzata

Detection, Response & Debrief

  • Valutazione dei tempi medi di rilevazione (MTTD) e di risposta (MTTR), con analisi della copertura log e degli allarmi
  • Sessioni opzionali di Purple Teaming per ottimizzare difese e playbook operativi
  • Consegna di un report, con evidenze riproducibili, analisi dell’impatto e un piano di remediation prioritizzato

Red Teaming vs Penetration Test

Il Penetration Test è un test mirato su una specifica superficie (interna, esterna, web, API), con focus tecnico sulle vulnerabilità e sul loro impatto. Il Red Teaming è una simulazione olistica che valuta l’intera catena difensiva: persone, processi e tecnologia. Misura non solo le falle, ma la capacità dell’organizzazione di prevenire, rilevare e rispondere a un attacco coordinato.

Come Lavoriamo

Scoping & Regole d’Ingaggio
Definizione congiunta di obiettivi, perimetro e success criteria. ROE operative (finestre orarie, limiti tecnici, canali d’emergenza, trattamento dati) e livello di visibilità (black/grey/white‑box).
Targeting, Recon & Weaponization
OSINT, enumeration e profiling per mappare superfici e identità. Selezione dei target e preparazione di catene d'attacco credibili (phishing, abuso di esposizioni note, misconfig) allineate al sector threat model.
Initial Access
Ottenimento dell’accesso iniziale tramite tecniche plausibili (phishing mirato, servizi esposti, credenziali compromesse). In Assumed Breach si parte da un punto d’appoggio controllato.
Privilege Escalation & Lateral Movement
Ricerca e sfruttamento di catene di elevazione e spostamenti tra sistemi per costruire percorsi realistici verso gli asset critici, con profilo stealth e nel rispetto delle ROE.
Objective Actions
Dimostrazione controllata degli obiettivi concordati: accesso a dati riservati, compromissione di account privilegiati, exfiltration simulata o takeover di applicazioni chiave, senza interrompere i servizi.
Detection & Response Assessment
Misura di MTTD/MTTR, copertura log/alert e efficacia dei playbook. Opzionale Purple Teaming per ottimizzare controlli e regole in base alle evidenze raccolte.
Reporting, Debrief & Remediation
Report executive + tecnico con kill chain ricostruita, evidenze riproducibili e roadmap di remediation prioritaria. Debrief con Q&A e, se richiesto, re‑test.

Contatti

Indica obiettivi, perimetro e tempistiche: ti invieremo una proposta tecnica chiara e mirata.

📧 info@nhsec.it
📍 Italia · Milano - Rimini · Remote