Perché ti serve
I pentest singoli (web, network, AD) testano un singolo vettore. Un attaccante reale combina tutti i vettori: invia phishing per il primo accesso, poi si muove nella rete, scala su AD, abusa del cloud per esfiltrare. Il Red Team Assessment simula esattamente questo, e ti dice se il tuo IT/SOC se ne accorgerebbe.
La differenza con un pentest classico è la stessa che passa fra un test antincendio sui rilevatori di fumo e una vera simulazione di emergenza. Il primo controlla che le sirene suonino. Il secondo controlla cosa fanno le persone quando la sirena suona davvero, se c'è confusione, se la procedura è chiara, se qualcuno arriva a spegnere l'incendio prima che si propaghi. Il Red Team è la prova generale: serve a far emergere i problemi organizzativi che nessun audit teorico mostra.
Cosa è incluso
- ✓ Pre-engagement con definizione "flag" (obiettivo target da raggiungere)
- ✓ OSINT esteso sull'azienda e dipendenti chiave (LinkedIn, breach data, social)
- ✓ Campagna phishing mirata su 3-5 dipendenti chiave (con consenso titolare)
- ✓ Setup C2 infrastructure (Cobalt Strike o Sliver, dominio, redirector)
- ✓ Initial access tramite phishing o vulnerabilità web
- ✓ Persistence + privilege escalation locale
- ✓ Lateral movement nell'Active Directory (Pass-the-Hash, Kerberoasting)
- ✓ Domain Admin path identification + dimostrazione
- ✓ Cloud privilege escalation (se applicabile: AWS/Azure/GCP)
- ✓ Data exfiltration simulata (file fittizi marker)
- ✓ Verifica capacità di detection del tuo IT/SOC
- ✓ Report con timeline MITRE ATT&CK + raccomandazioni
- ✓ Debrief tecnico (2 ore) + presentazione management
Metodologia
Metodologia MITRE ATT&CK framework con TTP realistici. Approccio assumed breach: parto come se un attaccante avesse già il primo foothold, ma dimostro anche come può ottenerlo. Reportistica conforme a standard CREST/CRT.
01
Pre-engagement (settimana 1)
Definizione obiettivi ("flag"), regole di ingaggio dettagliate, white card per emergenze, autorizzazione legale.
02
Reconnaissance
OSINT su azienda, dipendenti chiave, infrastruttura esposta. 2-3 giorni.
03
Initial Access
Phishing mirato con scenario credibile (es. fattura finta, recruiter LinkedIn). Tasso atteso: 20-40%.
04
Post-exploitation
Setup C2, persistence, privilege escalation, lateral movement. Documentato passo per passo.
05
Objectives
Raggiungimento dei "flag" concordati: Domain Admin, accesso a dato sensibile specifico, exfiltration.
06
Reporting + Debrief
Report timeline + sessione debrief tecnica + presentazione executive.
Quando ti serve
- Hai già fatto pentest singoli e vuoi un test full-stack
- Hai un IT/SOC interno e vuoi testarne la capacità di rilevamento
- Sei soggetto a NIS2 / DORA / ISO 27001 e ti serve evidenza di test avanzato
- Hai subito incidenti passati e vuoi capire la maturity attuale
- Sei un'azienda 50+ dipendenti con dati sensibili (sanitari, finanziari)
- Stai facendo M&A e vuoi due-diligence cyber
FAQ
È legale fare phishing sui dipendenti?
Sì, con autorizzazione scritta del titolare e clausole apposite nelle RoE. Non avvisiamo il personale (sennò perderemmo realismo), ma il tutto è documentato e i dati raccolti rientrano in obblighi GDPR specifici. Fornisco il template legale conforme.
Quanto è invasivo il test?
Tanto quanto un attacco reale, ma SOLO sui sistemi/persone autorizzati. White card disponibile in ogni momento per fermare il test. Niente downtime intenzionale, niente data destruction. La exfiltration è sempre simulata con file marker, mai dati reali.
Cosa succede se il mio SOC mi vede?
È il punto del test! Se ti vedono e ti bloccano, hai un SOC efficace. Se non ti vedono per 10 giorni e arrivi a Domain Admin, c'è un problema. Entrambi gli scenari sono utili: il valore è la timeline + lessons learned.
Quanti dipendenti vengono coinvolti nel phishing?
3-5 dipendenti chiave (es. amministrazione, IT, manager). Concordati prima. Non spam massivo: simuliamo un attaccante che ha fatto OSINT mirato.
Qual è la differenza con un pentest classico?
Il pentest cerca vulnerabilità tecniche. Il Red Team simula un attaccante REALE che combina tecniche, gestisce persistenza, evade detection, raggiunge obiettivi business. È un livello sopra. Lo consiglio solo dopo aver fatto pentest base.