Red Teaming
Für viele Unternehmen stellen zielgerichtete Angriffe eine reale Bedrohung dar. Innerhalb eines Red Team Assessments werden gezielte Angriffe durch spezialisierte Auditoren simuliert. Der Fokus liegt hierbei auf der Durchführung möglichst realistischer Angriffsszenarien, die insbesondere auf Infrastrukturen mit einem hohen Reifegrad der IT-Sicherheit (z.B. durch ein unternehmenseigenes Blue Team) ausgerichtet sind. Zielsetzung dieser Projekte ist die Bewertung und Verbesserung der Erkennungs- und Reaktionsfähigkeiten für solche Angriffsszenarien.
Ziel
Bewertung der Erkennungs- und Reaktionsfähigkeit hinsichtlich realer Angriffe durch die Simulation zielgerichteter und möglichst realistischer Angriffsszenarien
Fragestellung
Wie effektiv sind vorhandene Schutzmaßnahmen im Unternehmen und können Angriffe erkannt bzw. abgewehrt werden?
Scope
Alle IT-Systeme und Komponenten sowie Mitarbeiter und ggf. Unternehmensgebäude/-gelände
Ablauf
Abhängig von Perspektive und Szenario werden neben allen lokalen / cloudbasierten IT-Infrastrukturen und -komponenten auch Mitarbeiter, Gebäude bis hin zu Dienstleistern in die Angriffsversuche einbezogen. Diese reichen vom Exploiting zentraler Systeme über die Infizierung von Clients mit Trojanischen Pferden bis hin zu Social Engineering. Dabei wird sogenanntes Multistaging praktiziert, bei welchem die Kombination verschiedenster, erfolgreich ausgenutzter Schwachstellen angewendet wird. Dies soll zur Erreichung des gesetzten Ziels führen (z.B. persistenter Zugriff auf Kundeninfrastrukturen oder Erlangung des Zugriffs auf eine zentrale Datenbank mit sensiblen Daten/Informationen).
Es geht zu keinem Zeitpunkt eine reale Bedrohung durch das Red Team Assessment für Ihre Unternehmenswerte oder Ihre Produktion aus. Die Durchführung von Angriffen zur Erreichung eines vordefinierten Ziels soll so unauffällig wie möglich stattfinden und somit unentdeckt bleiben. Dies entspricht auch der Vorgehensweise von realen Angreifern. Eine Störung des Geschäftsbetriebs wäre auffällig und daher kontraproduktiv.
Bei der Durchführung von Red Team Assessments orientieren wir uns unter anderem am TIBER-EU Standard. In der Regel wird dabei eines der folgenden Bedrohungsszenarien und Vorgehensweisen betrachtet:
- Advanced Persistent Threat: Angriff aus externer Perspektive
- Assumed Breach: Angriff aus interner Perspektive
Bestandteile
Das Red Teaming Assessment umfasst üblicherweise folgende Punkte:
- Definition von Zielen, die während der Angriffssimulation erreicht werden sollen
- Sammlung von öffentlich oder intern (bei Assumed Breach) verfügbaren Informationen, die für einen Angriff verwendet werden können (OSINT)
- Erfassung der relevanten IT-Assets eines Unternehmens
- Iteratives Testen verschiedener Angriffsmethoden und -wege
- Eindringen in das interne Unternehmensnetzwerk bzw. Vordringen in weitere Netzwerkbereiche über Angriffe auf zugängliche Systeme, Phishing, Social Engineering, etc.
- Ausweitung der Privilegien
- Erlangen von Persistenz im Zielbereich
- Analyse der Ergebnisse in Zusammenarbeit mit Ihrer IT-Administration / Ihrem IT-Security-Team (oder auch Blue Team falls vorhanden)
- Dokumentation inklusive Risikobewertung und Maßnahmenbeschreibung
Ergebnis
Bei allen Red Team Assessments wird während des Projekts jeder Schritt detailliert dokumentiert. So kann nach Projektabschluss nachvollzogen werden, welche Faktoren zu einem erfolgreichen Angriff geführt haben aber auch welche Verteidigungsmechanismen (z.B. durch das unternehmenseigene Blue Team) bereits ausreichend umgesetzt sind.
Als Ergebnis des Assessments erhalten Sie einen ausführlichen Abschlussbericht. Abhängig von Art und Umfang des Projekts umfasst der Abschlussbericht folgende Bestandteile:
- Management Summary mit Zusammenfassung der Ergebnisse und des Sicherheitsniveaus
- Beschreibung Projektablauf, Zielsetzung, Umfang und Methodik
- Detaillierte Beschreibung der identifizierten Schwachstellen, um diese nachvollziehen und mögliche Angriffe rekonstruieren zu können (ggf. mit Proof-of-Concept-Implementierungen)
- Detaillierte Beschreibung des iterativen Vorgehens bei der Ausnutzung verketteter Schwachstellen
- Risikobewertung der identifizierten Schwachstellen unter Berücksichtigung des IT-Umfelds bzw. des Anwendungskontextes (Risikoeinstufung: niedrig, mittel, hoch, kritisch)
- Beschreibung von Maßnahmen zur Behebung der Schwachstellen
- Falls erforderlich auch eine Beschreibung von übergeordneten strategie-, konzept- und prozessbezogenen Maßnahmen oder Optimierungsvorschlägen.
Abgrenzung zum Penetrationstest
Im Gegensatz zu einem Red Team Assessment, das meist über einen längeren Zeitraum erfolgt und als Ziel Ihre Abwehrmechanismen testet, werden im Penetrationstest zielgerichtete Angriffe in kurzer Zeit auf einen meist eingeschränkten Umfang (zum Beispiel ein konkreter IP-Adressbereich oder ein konkretes Bedrohungsszenario) ausgeführt. Bei einem Penetrationstest wird üblicherweise kein Wert darauf gelegt, dass die Angriffe unentdeckt bleiben, da diese für alle Beteiligten möglichst transparent durchgeführt werden. Der Fokus liegt auf einer möglichst effizienten Durchführung der Tests.
Der Fokus beim Red Teaming liegt hingegen auf der Durchführung möglichst realistischer Angriffsszenarien, die insbesondere auf Infrastrukturen mit einem hohen Reifegrad der IT-Sicherheit ausgerichtet sind. Zielsetzung dieser Projekte ist die Verbesserung der Erkennungs- und Reaktionsfähigkeiten für solche Angriffsszenarien.