Simulierte Angriffe helfen Ihnen, Ihre Angriffsfläche zu analysieren, erfolgreiche Verteidigungstaktiken zu entdecken und Schwachstellen zu beheben.
Vector Command entdeckenEin Red Team ist eine Gruppe von Sicherheitsexperten, die von einem internen Stakeholder oder externen Kunden damit beauftragt werden, über einen Penetrationstest hinauszugehen und einen tatsächlichen simulierten Angriff auf ein Zielnetzwerk durchzuführen – und zwar so lange wie nötig.
Das ultimative Ziel eines Red Team-Angriffs ist es, sowohl zu verstehen, wie ein Angreifer vorgehen würde, wenn er versucht, sich Zugang zu einem Netzwerk zu verschaffen, als auch die aktuellen Gefährdungen und Schwachstellen der Angriffsläche zu erkennen. Das United States Institute of Standards and Technology definiert ein Red Team so:
„Eine Gruppe von Personen, die autorisiert und organisiert ist, die Angriffs- oder Ausnutzungsmöglichkeiten eines potenziellen Gegners gegen die Sicherheitslage eines Unternehmens zu simulieren. Das Ziel des Red Teams besteht darin, die Cybersicherheit von Unternehmen zu verbessern, indem es die Auswirkungen erfolgreicher Angriffe demonstriert und indem es zeigt, was für die Verteidiger (also das Blue Team) in einer operativen Umgebung funktioniert.“
Eine Red Team-Angriffssimulation — oder „Red Teaming“ — sollte immer auf die einzigartige Angriffsfläche einer Sicherheitsorganisation zugeschnitten sein und branchenspezifische Bedrohungsstufen berücksichtigen.
Je nach Cybersecurity-Team und dem Unternehmen, das es schützen soll, setzt ein Red Team-Angriff eine bestimmte Reihe von Taktiken, Techniken und Verfahren (TTPs) ein, um in ein Netzwerk einzudringen und Daten zu stehlen. Daher ist es wichtig, dass sich ein Security Operations Center (SOC) mit den verwendeten TTPs vertraut macht und lernt, wie man sie abwehrt und/oder überwindet.
Wie oben erläutert, sieht das Format der von einem Red Team durchgeführten Angriffssimulation für jede Organisation anders aus. Um den tatsächlichen Prozess, die Tools und Taktiken jedoch ganzheitlich zu beschreiben, kann man sagen, dass der Red Team-Anbieter gemeinsam mit seinem Kunden ein maßgeschneidertes Angriffsausführungsmodell entwickelt, um die Bedrohungen, denen das Unternehmen ausgesetzt ist, angemessen zu simulieren.
Die Simulation sollte reales gegnerisches Verhalten und TTPs beinhalten, sodass das SOC des Kunden die wahre Effektivität des Sicherheitsprogramms gegen hartnäckige und entschlossene Angreifer messen kann. Als Beispiel dafür, wie eine Red Team-Übung durchgeführt werden kann, schauen wir uns diesen Fall an, den von der United States Cybersecurity and Infrastructure Security Agency ausgeführt wurde.
Dieses spezielle Red Team begann den Prozess, indem es sich in zwei Phasen mit der "Zielorganisation" auseinandersetzte.
In diesem Fall bestand das Ziel des Red Teams darin, die Domain der bewerteten Organisation zu kompromittieren und Angriffspfade zu anderen Netzwerken zu identifizieren, indem es sich als ausgeklügelter nationalstaatlicher Akteur ausgab.
Es simulierte bekannte TTPs beim ersten Zugriff und nach der Ausnutzung. Danach diversifizierte das Team seine Tools , um eine breitere und oft weniger ausgeklügelte Gruppe von Bedrohungsakteuren nachzuahmen, um die Aufmerksamkeit der Netzwerkverteidiger zu erregen.
Das Rote Team traf sich regelmäßig mit dem Cybersecurity-Personal der Organisation, um die Verteidigungsmaßnahmen zu besprechen:
Die folgenden Open-Source-Red-Teaming-Tools sind – obwohl sie kein Ersatz für ein menschliches Team sind – Optionen für SOCs, die möglicherweise mit Budget- oder Priorisierungsproblemen der C-Suite konfrontiert sind:
Sicherheitstests jeglicher Art haben viele Vorteile, ob es sich nun um ein externes Beratungsunternehmen handelt, das dabei hilft, die Stärke des Netzwerkschutzes zu prüfen, oder um ein internes Team, das Schwachstellen in DevSecOps-Prozessen aufdecken soll.
Was den Bereich der Penetrationstests - und insbesondere der Red Teaming-Tests - betrifft, sollten wir uns einige der vorteilhaften Ergebnisse für das Cybersecurity-Team und das Unternehmen insgesamt ansehen.
Forrester stellte fest, dass die Durchführung von Red Team-Sicherheitstests in der Regel zu einer Reduzierung der Sicherheitsvorfälle um 25% und der Kosten von Sicherheitsvorfällen um 35% führt. Es versteht sich von selbst, dass diese Kürzungen erhebliche Auswirkungen auf die allgemeine Widerstandsfähigkeit und den ROI der Cybersecurity-Abteilung haben können.
Anstatt Ihr Sicherheitsprogramm aufgrund, sagen wir, eines kürzlichen Verstoßes, der erheblichen Schaden angerichtet und das Unternehmen viel Geld gekostet hat, komplett zu verwerfen, können Testszenarien wie Red Teaming dem Cybersecurity-Team dabei helfen, genau zu bestimmen, wo sie ihre Verteidigung und Training verbessern und/oder verstärken sollten, um einen ähnlichen oder wiederholten Angriff zu verhindern.
Einer der Hauptgründe, warum sich ein Unternehmen in der Defensive befindet, ist die Tatsache, dass man sich einfach nicht die Zeit genommen hat, "über den Tellerrand hinauszuschauen", um das Unternehmen so zu sehen, wie es ein Angreifer tun würde. Red-Team-Simulationen können die notwendigen Daten liefern, um schließlich einen umfassenden „Innen-/Außen“-Überblick darüber zu erhalten, wie ein SOC den Geschäftsbetrieb schützt. Mit dieser Perspektive können Sicherheitsteams einen stärkeren offensiven und defensiven Status einnehmen und auf potenzielle Bedrohungen vorbereitet sein.
Penetrationstests – auch Pentesting genannt – Services können als eine Art Dach betrachtet werden, unter dem Red Teams, Blue Teams und Purple Teams arbeiten. Die Meinungen gehen auseinander, aber im Allgemeinen ist Pentesting der allgemeinere Begriff, der verwendet wird, bevor Sicherheitsexperten bei der Diskussion über Red Team-Angriffssimulationen konkreter werden.
Es gibt jedoch einige wichtige Unterschiede zwischen Pentesting und Red Teaming. Pentests erfolgen im Allgemeinen direkter und sichtbarer; die Kundenorganisation weiß, dass sie stattfinden. Im Gegenteil,sollen Red Teaming-Aktivitäten – nachdem der Auftrag offiziell erteilt wurde – so lange wie möglich verdeckt und für die Zielorganisation unbekannt bleiben. Werfen wir einen Blick auf diese praktische Tabelle, um einige zusätzliche Unterscheidungen zu treffen:
| KRITERIEN | PENTESTING | RED TEAMING |
|---|---|---|
| Ziel | Übersicht über Schwachstellen | Testen der Widerstandsfähigkeit gegen Angriffe |
| Umfang | Definierte Teilmenge von Systemen | Von Bedrohungsakteuren verwendete Angriffspfade |
| Kontrolltests | Vorbeugende Kontrollen | Erkennung und Abwehrkontrollen |
| Testmethode | Effizienz statt Realismus | Realistische Simulation |
| Testtechniken | Kartieren, scannen, ausnutzen | TTPs ausgewählter Bedrohungsakteure |
| Nach der Ausnutzung | Traditionell begrenzte Aktionen | Fokussierung auf kritische Assets/Funktionen |
Ist also eine Option besser als die andere? Oftmals sind Pentester und Red-Teamer dieselben Sicherheitsexperten, die unterschiedliche Methoden und Techniken für unterschiedliche Bewertungen verwenden. Die wahre Antwort ist, dass das eine nicht unbedingt besser ist als das andere, sondern dass jedes in bestimmten Situationen nützlich ist.
Wir haben Red Teaming bisher ausführlich definiert und besprochen. Um diese Vorgehensweise von den anderen farblich gekennzeichneten Sicherheitsübungen zu unterscheiden, wollen wir nun zu einigen grundlegenden Definitionen zurückkehren, um die Unterschiede zwischen Red Team, Blue Team und Purple Team richtig zu verstehen (und ja, Purple, also lila, ist eine Mischung aus den Farben Rot und Blau, aber die Funktion des Teams lässt sich nicht ganz so einfach erklären):
Die größte Herausforderung für ein effektives Purple Teaming besteht darin, den blauen und roten Teams dabei zu helfen, die Konkurrenzsituation zu überwinden, die zwischen ihnen bestehen kann. Team Blau will nicht verraten, wie sie die Bösewichte fangen, und Team Rot will die Geheimnisse des Angriffs nicht verraten.
Aber wenn Sie diese Mauern niederreißen, können Sie dem blauen Team zeigen, wie es sich besser verteidigen kann, indem es versteht, wie das rote Team arbeitet. Und Sie können dem roten Team zeigen, wie es seine Effektivität erhöhen kann, indem es sein Wissen über Verteidigungsoperationen in Zusammenarbeit mit dem blauen Team erweitert.
Purple Teaming unterstützt einen kombinierten Red Team/Blue Team-Ansatz, der es einem Sicherheitsteam ermöglicht, Gegenmaßnahmen während eines simulierten, gezielten Angriffs zu testen.
Es geht natürlich nicht einfach darum, einzelne SOC-Mitarbeiter nach dem Zufallsprinzip einem Red, Blue oder Purple Team zuzuweisen. Beim Aufbau eines effektiven Red Teams ist Folgendes von entscheidender Bedeutung:
Penetrationstests: Aktuelles aus dem Rapid7-Blog