Red Teaming

Im Unterschied zum Penetrationstest, der auf ein eindeutig definiertes Objekt mit dem Ziel möglichst viele Schwachstellen zu finden und einem zeitlich eng begrenztem Umfang ausgeführt wird, stellt das Red Teaming einen längerfristigen Prozess dar, bei dem wir mit einer Gruppe von Experten über einen längeren Zeitraum einen echten Angreifer simulieren und versuchen ein abgestimmtes Ziel zu erreichen, beispielweise den Zugang zu sensiblen Daten, Systemen oder Ressourcen. Dabei werden auch Sicherheitsmaßnahmen geprüft, die häufig bei einem Penetrationstest mit spezifischer Ausgangsposition des Angreifers ungeprüft verbleiben, wie z.B. Phishing.

Unser Vorgehen

  1. Planung und Scope-Definition

Vor der Angriffssimulation werden die Ziele, Umfang und Regeln des Red Team Assessments sowie organisatorische Rahmenbedingungen festgelegt. Dabei werden spezifische Bedrohungsszenarien und kritische Assets berücksichtigt. Zudem sollte die Ausgangsposition definiert werden, die entweder vollständig extern erfolgt oder nach einem „Assumed Breach“-Szenario ausgelegt wird. Bei der externen Ausgangsposition wird versucht über externe Wege (z.B. Phishing oder der Ausnutzung von Schwachstellen) in den Perimeter des Kunden einzudringen. In der „Assumed Breach“-Ausgangsposition befindet sich der Angreifer bereits im internen Netzwerk des Kunden. Sollte über die externe Ausgangsposition kein Weg ins interne Netzwerk des Kunden möglich sein, kann auch während des Assessments auf ein „Assumed Breach“-Szenario gewechselt werden. Dadurch werden die verfügbaren Ressourcen auf den Bereich fokussiert, bei dem der Kunde den größten Mehrwert hat.

  1. Informationsbeschaffung (Reconnaissance)

Die passive Informationsbeschaffung bezeichnet die Sammlung von öffentlich zugänglichen Informationen und internen Daten mit denen ein Angreifer seine Angriffsstrategie plant. Ziel ist es, durch öffentliche Informationen potenzielle Angriffsvektoren und Schwachstellen zu identifizieren. Eine genauere Beschreibung findet sich unter Open Source Intelligence (OSINT).

  1. Angriffssimulation

In der Angriffssimulation werden Angriffe basierend auf den gesammelten Informationen durchgeführt. Dabei wird initial weitestgehend mit unauffälligen Angriffstechniken gearbeitet, um das definierte Ziel zu erreichen. Nach Erreichung des Ziels werden sukzessive auffälligere Angriffstechniken verwendet, um die Erkennungswahrscheinlichkeit durch das Blue Team zu erhöhen. 

  1. Analyse und Berichtserstellung

Nach der Angriffssimulation wird der Angriffsverlauf analysiert, rekonstruiert und die durchgeführten Angriffe und identifizierten Schwachstellen dokumentiert. Ziel der Dokumentation ist es, dass der Kunde die zeitliche Abfolge der Angriffe nachvollziehen kann und für jeden Angriffsschritt Empfehlungen zur Verbesserung der Sicherheitsmaßnahmen definiert werden.

  1. Feedback and Nachbesprechung

Diese Phase dient der gemeinsamen Besprechung der Ergebnisse und der Unterstützung bei der Umsetzung der empfohlenen Sicherheitsmaßnahmen. Zudem kann hier bereits eine Nachprüfung besprochen werden, nachdem Sicherheitsmaßnahmen umgesetzt wurden. Dazu eignet sich zur Nachprüfung beispielsweise ein Purple Teaming

Red Teaming Standards

Bei der Durchführung von Red Team Assessments orientieren wir uns an den folgenden Frameworks, wobei wir bei TIBER und ART als Red Team Provider (RTP) auftreten.

  • MITRE ATT&CK
  • TIBER
  • ART (Advanced Red Teaming)