Beim Red Team Assessment testen unsere Sicherheitsexpert*innen die Verteidigungsfähigkeit Ihrer Sicherheitsorganisation gegen einen Cyberangriff unter realistischen Bedingungen. Sie erhalten so einen umfassenden Überblick über Ihr reales Sicherheitsniveau.
Mark Zorko, Senior Consultant im usd HeroLab und Verantwortlicher für unsere Red Team Assessments, bringt uns im Interview näher, was sich hinter Red Teaming verbirgt, für wen es relevant ist, wo die Unterschiede zum Penetrationstest (Pentest) liegen und wie wir Ihnen zu mehr Sicherheit verhelfen können.
Was verstehen wir unter Red Teaming?
Während eines Red Team Assessments nehmen unsere Analyst*innen die Rolle eines böswilligen Angreifers ein. Gemeinsam mit Ihnen definieren wir vorab ein individuell ausgearbeitetes Bedrohungsszenario. Hierbei werden unter anderem folgende Fragestellungen geklärt: Welche IT-Assets sind für Sie besonders schützenswert? Soll während des Red Team Assessments ein spezielles Angriffsszenario simuliert werden? Welche Angreifer-Perspektive sollen die Security Analyst*innen während der Überprüfung simulieren? Die eines Innentäters (z.B. böswillige Mitarbeiter*innen), eines externen Angreifers ohne vorherigen Zugang zum Unternehmen oder die Perspektive eines Angreifers mit physischem Zugang zum Unternehmen jedoch ohne legitimen Zugriff auf die IT-Infrastruktur (z.B. Lieferanten)? Unser Red Team nutzt bei der Angriffssimulation Methoden, Techniken und Vorgehensweisen, die auch reale Angreifer anwenden. So nutzen wir Schwachstellen in Technologien, Prozessen und im Faktor Mensch aus, um das vorher gemeinsam definierte Ziel zu erreichen. Das kann z.B. ein Ransomware-Angriff, die Exfiltration von wichtigen Geschäftsgeheimnissen aus internen Datenbanken oder die Sabotage von Produktionsprozessen sein. Dadurch erfahren Sie unter anderem, wie effektiv die Verteidigungsmechanismen Ihrer Sicherheitsorganisation bzw. des Blue Teams* (nachfolgend “Verteidiger“) sind. Diese sind meist nicht über das Red Team Assessment informiert, um die Widerstandsfähigkeit während des Szenarios realitätsnah prüfen zu können.
Sobald alle Rahmenbedingungen geklärt sind, starten wir mit dem simulierten Angriff. Dabei prüfen wir unter anderem: War der Hackerangriff des Red Teams erfolgreich? Wurde der Cyberangriff von den Verteidigern bemerkt? Falls ja, wurde es rechtzeitig erkannt, um größeren Schaden zu verhindern? Oder wurden lediglich Teile des Angriffs erkannt, während der Hauptangriff im Hintergrund weiterlaufen konnte? Gelang es den Verteidigern, wirkungsvolle Maßnahmen zu treffen, um den Angriff zu stoppen? Die während der Angriffssimulation identifizierten Schwachstellen und Angriffsflächen in der Technologie als auch in Prozessen und im Faktor Mensch werden Ihnen im Anschluss inklusive Maßnahmenempfehlungen zur Verfügung gestellt. Auf Wunsch können wir die Ergebnisse gern mit allen Beteiligten in einem gemeinsamen Debriefing besprechen. Ein Red Team Assessment liefert Ihnen somit wertvolle Erkenntnisse über Ihre Verteidigungsfähigkeit gegen Hackerangriffe. So können Sie Ihren Schutzwall gezielt stärken und Ihr Unternehmensrisiko deutlich reduzieren.
Wer sollte usd Red Team Assessments durchführen lassen?
Im Grunde sollte jedes Unternehmen Red Team Assessments durchführen, das eine dediziertes Team für die Verteidigung gegen Cyberangriffe einsetzt. Denn nur so kann die Wirksamkeit der Verteidigung gegen Cyberangriffe eingehend geprüft und entsprechende Maßnahmen zur Verbesserung Ihrer IT-Sicherheit implementiert werden. Zudem verstehen wir die Assessments auch als Herausforderung für das Verteidiger-Team. So können diese ihre Fähigkeiten unter realen Bedingungen trainieren, um im Ernstfall richtig zu agieren. Darüber hinaus erfüllen Unternehmen, die den Anforderungen der BaFin unterliegen, mit Red Team Assessments nach TIBER-EU die Awareness-Maßnahmen in Vorbereitung auf die BAIT-Audits. Wir verstehen Red Teaming Assessments dabei ergänzend zu Pentests, da sich die Zielsetzung unterscheidet.
Wo liegt denn genau der Unterschied zwischen Pentests und Red Team Assessments?
Bei einem Pentest liegt das Hauptaugenmerk meist auf dem Aufdecken möglichst vieler technischer Schwachstellen in einem konkreten Prüfobjekt. Werden diese dann im Nachgang behoben, haben es reale Angreifer in der Zukunft schwerer einzudringen. Bei Pentests liegt das Hauptaugenmerk also auf der Reduktion von Angriffsoberflächen in der Technologie.
Während eines Red Team Assessment liegt der Fokus dagegen auf dem Gesamtzustand Ihrer Verteidigungsfähigkeit und der erfolgreichen Kompromittierung des vorab definierten Ziels, z.B. der Datenbank Ihrer Forschungs- und Entwicklungsabteilung. So können die Assessments realitätsnahe, hochprofessionelle Angriffe von Angreifergruppen simulieren, die Ihr Unternehmen in mehreren Stufen angreifen. Wie echte Angreifer wird auch das Red Team dabei äußerst behutsam vorgehen und alles unterlassen, was die Gefahr einer Entdeckung durch die Verteidiger mit sich bringt. So wird ein Red Team, anders als ein Pentester, viele Schwachstellen gar nicht angreifen, wenn sie nicht unmittelbar dem Missionsziel dienen. Denn das würde zu einer unnötigen Gefahr der Aufdeckung führen.
An diesem Beispiel erkennt man die sehr unterschiedlichen Ziele und Methoden – und wie sich Pentests und Red-Team Assessments gegenseitig ergänzen.
Welche Informationen erhält das Red Team vorab?
Über wie viele Informationen das Red Team vorab verfügt, hängt von Ihrem gewünschten Ansatz bzw. Angreifer-Perspektive ab. In einem sogenannten „Full Engagement“-Ansatz erhält das Red Team von Ihnen keine oder kaum Informationen und muss daher erstmal mit der sogenannten Reconnaisance-Phase beginnen. Dazu gehört unter anderem das definierte Ziel auszukundschaften, Informationen über die technische Infrastruktur zusammenzutragen, Social Media-Accounts von Mitarbeiter*innen auszuwerten oder E-Mail-Adressen von Mitarbeiter*innen zu enumerieren. Die so beschafften Informationen können dann z.B. für gezielte Phishing-Angriffe genutzt werden, um einen Arbeitsplatzrechner eines Ihrer Mitarbeiter unter unsere Kontrolle und somit Zugriff auf Ihr internes Netzwerk zu bekommen. Ab diesem Punkt beginnt dann der eigentliche Angriff im internen Netzwerk. Oft kann jedoch davon ausgegangen werden, dass ein gezielter Phishing-Angriff eines hartnäckigen Angreifers über kurz oder lang erfolgreich sein wird.
Deshalb ist es alternativ möglich, mit dem „Assumed Breach“-Ansatz, direkt an diesem Punkt zu beginnen. Zum Beispiel, indem ein in die Operation eingeweihter Mitarbeiter absichtlich auf einen manipulierten E-Mail-Anhang klickt. Kein Unternehmen sollte heute mehr davon ausgehen, dass es ein Eindringen von Angreifern absolut verhindern kann. Die eigentliche Frage ist: Wird ein solches Eindringen schnell und zuverlässig erkannt und schon im Ansatz wirkungsvoll gestoppt? Viele Kunden entscheiden sich daher das Vorgehen nach dem “Assumed Breach”-Ansatz, welches die Ressourcen des Red Team genau auf diese Fragestellungen konzentriert.
Was gilt es beim Red Teaming zu beachten?
Red-Team-Assessment-Projekte sind sehr individuell. Die konkrete Ausgestaltung des Red Team Assessments hängt maßgeblich von der Art der simulierten Bedrohung, dem Angreifermodell sowie den gesetzten Zielen ab. Unser Red Team Assessment findet stets im kontrollierten Rahmen und unter Einbeziehung der Ansprechpartner*innen Ihres Unternehmens statt. Sie bestimmen beispielsweise, ob bestimmte Teile der Infrastruktur ausgeschlossen werden oder bestimmte Tests nur zu bestimmten Uhrzeiten durchgeführt werden sollen. Hier erfahren Sie mehr zu unserem Vorgehen. Sie benötigen Unterstützung? Sprechen Sie uns gern an.
*Blue Team = Das Blue Team sind unternehmensinterne IT-Security-Expert*innen, die das Unternehmen vor Hackerangriffen sowie Red-Team-Offensiven verteidigen.