I creatori di Kali Linux si dedicano alla defensive security con il progetto Kali Purple. L'abbiamo provato per capire se sarà davvero il promesso "SOC-in-a-box"
Autore: Francesco Pignatelli
Tra chi si occupa di cybersecurity, Kali Linux è una distribuzione Linux ben nota. Non sempre ben vista, però, perché secondo molti ha reso più semplice, per potenziali apprendisti hacker ostili, conoscere e usare diversi strumenti di offensive security. D'altronde Kali Linux nasce proprio come "cassetta degli attrezzi" per chi fa penetration testing, era inevitabile che venisse usato anche da chi cerca illecitamente di violare reti e sistemi aziendali.
In sé, infatti, Kali Linux non è altro che uno strumento ben assemblato per professionisti della cyber security offensiva. Uno strumento rivoluzionario, da un certo punto di vista, perché pensato per integrare a costo zero tutto quello che serve per l'offensive security: un sistema operativo configurato ad hoc e qualche centinaio di applicazioni e tool mirati, più o meno utili e sofisticati. Tutto già pronto all'uso e, nei limiti del possibile, preconfigurato e funzionante senza dover scrivere o ricompilare codice.
In questo Kali Linux ha di certo semplificato il lavoro a chi deve testare la sicurezza delle aziende, perciò il suo ruolo nella storia della cyber security è importante. Di conseguenza, è potenzialmente altrettanto importante che il suo team di sviluppo abbia deciso di focalizzarsi anche sulla difesa delle reti e dei sistemi, con il progetto Kali Purple.
Kali Purple è, in estrema sintesi, una versione di Kali Linux pensata anche per la defensive security. Da qui la sua anima "viola": il rosso dei Red Team offensivi, utenti tipici di Kali Linux, unito al blu dei Blue Team che ne contrastano gli attacchi. "Stiamo rendendo la defensive security accessibile a tutti", spiega il team di Kali Purple, sottolineando come anche stavolta il vantaggio stia nella possibilità di avere una piattaforma "chiavi in mano" con tutto quello che serve ad un Blue Team.
È davvero così? Ancora no. Kali Purple è un progetto in corso e mancano ancora diversi tasselli perché porti la stessa semplicità d'uso (in senso relativo, per professionisti) di Kali Linux. Però è già scaricabile e la sua impostazione di base si può già sperimentare concretamente. Ed è quello che abbiamo fatto, per averne una prima impressione.
Kali Purple si installa come una qualsiasi distribuzione Linux. L'installer è quasi lo stesso di Kali Linux, con la differenza che si ha la possibilità di indicare quali strumenti difensivi installare (in teoria, ovviamente, tutti) tra quelli previsti. In questa fase si nota per la prima volta una caratteristica importante di Kali Purple: l'organizzazione dei tool difensivi segue il Cybersecurity Framework del NIST.
Il NIST Cybersecurity Framework è in sintesi una serie di linee guida utili a organizzare una strategia difensiva di cyber security. In particolare, scompone le attività da svolgere in cinque fasi/funzioni chiave (Identify, Protect, Detect, Respond, Recover) che sono semplici da comprendere e che, insieme, coprono ragionevolmente il ciclo di vita della gestione del rischio collegato alla cyber security. Kali Purple "posiziona" già in partenza i tool disponibili secondo il ruolo che possono avere in tali fasi.
Completata l'installazione, ci si trova calati in un ambiente molto simile a Kali Linux (colori a parte). La distribuzione Linux di partenza è sempre Debian Testing, quindi si punta non alla stabilità assoluta ma alla possibilità di scaricare sempre le versioni più aggiornate dei vari package. I repository attivi sono comunque pochi e certificati, per ovvie ragioni di sicurezza. L'ambiente desktop è Xfce, a tutto vantaggio della reattività.
Avviso importante: come accennato, Kali Purple non è un progetto completo e si possono incontrare diversi intoppi nel suo utilizzo. Come già Kali Linux in generale - ed a maggior ragione, essendo in una fase preliminare di sviluppo - non è un ambiente per l'operatività quotidiana al di fuori delle esigenze di cyber security.
Gli strumenti di defensive security integrati in Kali Purple sono organizzati in cinque gruppi specifici del menu principale delle applicazioni, ciascuno relativo a una delle funzioni difensive NIST citate in precedenza. Qui si vede bene che la piattaforma è ancora in costruzione, perché la maggior parte dei tool più importanti previsti oggi non è installata in automatico.
I tool che sono stati scelti per costituire la spina dorsale di Kali Purple sono Elastic come SIEM, Greenbone come vulnerability scanner, diversi software per l'analisi del traffico di rete (Arkime, Malcolm, Suricata, Zeek), TheHive come piattaforma collaborativa per l'incident response. Ci sono poi molti altri strumenti, ma questi dovrebbero essere il "cuore" caratterizzante del sistema.
Al momento i componenti mancanti vanno aggiunti manualmente e non sempre tutto funziona come dovrebbe, specie riguardo le dipendenze tra i vari moduli. Kali Purple insomma richiede una buona manualità, in linea d'altronde con il suo pubblico di riferimento. Preinstallato troviamo invece un altro tool utile: Kali Autopilot, che serve a definire script per condurre in automatico un workflow di attacco nelle operazioni di test della sicurezza.
Quello che oggi è davvero difficile fare è stabilire se Kali Purple può davvero essere una sorta di "SOC-in-a-box". La piattaforma è in una fase ancora troppo preliminare per capirlo, anche se gli sviluppatori hanno delineato una architettura di riferimento in cui versioni ottimizzate di Kali Purple "muovono" diversi nodi in rete per realizzare un sistema di monitoraggio, difesa e risposta alle minacce.
Di sicuro Kali Purple vale una prova da parte di chi si occupa direttamente di cybersecurity in azienda. Anche se è presto per poter dire che avrà lo stesso impatto del fratello maggiore Kali Linux, è opportuno quantomeno "giocare" un po' con una piattaforma che ha decisamente grandi ambizioni.