Beim Red Teaming wird die Sicherheit Ihrer Systeme getestet, indem versucht wird, diese zu hacken. Ein Red Team kann eine extern beauftragte Gruppe von Pentestern oder ein Team in Ihrer eigenen Organisation sein, aber seine Rolle ist immer die gleiche: einen äußerst bösartigen Akteur zu simulieren und zu versuchen, in Ihr System einzudringen.
Warum ein Red Team so wertvoll ist, veranschaulicht ein einfaches fiktives Szenario: Nehmen wir an, eine Organisation hat einen extrem gut entwickelten Pentesting-Prozess und ist daher zuversichtlich, dass ihre Systeme nicht von externen Akteuren angegriffen werden können. Ein Red Team bemerkt das und wählt möglicherweise einen direkteren Ansatz: sie fälschen eine Mitarbeiterzugangskarte, kommen in das Büro der Organisation und sagen den Mitarbeitern, sie seien „von der IT“. In einigen Fällen lassen hilfsbereite Mitarbeiter sie auf sensible Daten zugreifen, sie kopieren und mit ihnen hinausspazieren. Klingt unrealistisch? Glauben Sie, es kommt vor.
Red Teams existieren in der Cybersicherheitslandschaft parallel zu vielen anderen Teams. Blue Teams können neben Red Teams arbeiten, konzentrieren sich aber darauf, die Systemsicherheit von innen heraus zu verbessern. Purple Teams verwenden eine Kombination aus Angriffs- und Verteidigungsmethoden. Red Teaming ist jedoch eine der am wenigsten verstandenen Vorgehensweisen im Cybersicherheitsmanagement, und viele Unternehmen zögern immer noch, sich diese Praxis zunutze zu machen.
In diesem Leitfaden wird genau erklärt, was Red Teaming ist und wie die Einführung von Red-Team-Praktiken in Ihrem Unternehmen zur Verbesserung Ihrer Sicherheit beitragen kann. Wir möchten Ihnen zeigen wie Red Teaming die Sicherheit Ihrer IT-Systeme drastisch verbessern kann.
Obwohl das Red Teaming heute eher als Cybersicherheitstaktik bekannt ist, hat es seinen Ursprung im Militärwesen. Beim Militär habe auch ich meinen Einstieg ins Red Teaming gefunden. Die Arbeit als Verteidigungsanalyst für Cybersicherheit in den 1980er Jahren war in vielerlei Hinsicht anders als heutzutage: Der Zugriff auf verschlüsselte Computersysteme war deutlich beschränkter als heute, und die nichttechnischen Mitarbeiter arbeiteten in der Regel eng mit Sicherheitsanalysten zusammen, um darauf zuzugreifen.
Auf andere Art und Weise waren auch meine frühen Erfahrungen mit Konfliktsimulationen relativ ähnlich wie der heutige Red-Teaming-Prozess. Genau wie heute wurde ein großer Fokus auf den Einsatz von Social-Engineering-Techniken gelegt, um Mitarbeiter davon zu überzeugen, dem „Feind“ unbefugten Zugang zu militärischen Systemen zu gewähren. Obwohl sich also die technischen Aspekte des Red Teaming seit den 1980er Jahren deutlich weiterentwickelt haben, ist es bemerkenswert, dass viele Kernwerkzeuge des „feindlichen“ Ansatzes – und vor allem des Social Engineering – weitgehend plattformunabhängig sind.
Ebenso bleibt der Hauptvorteil von Red Teaming seit den 1980er Jahren weitgehend unverändert. Indem man einen Angriff auf seine eigenen Systeme simuliert, kann man leichter erkennen, wo die eigenen Schwachstellen liegen und wie sie ausgenutzt werden könnten. Und obwohl das Red Teaming zu Beginn im ethischen Hacking und Pentesting eingesetzt wurde, hat die Technik inzwischen viel mehr Anwendungen in der Cybersicherheit und der Unternehmenswelt gefunden.
Red Teaming basiert auf einer wichtigen Erkenntnis: Man kann nicht wirklich wissen, wie sicher die eigenen Systeme sind, bis man angegriffen wird. Und anstatt die Risiken eines echten bösartigen Angriffs auf sich zu nehmen, ist es deutlich sicherer, ihn mit einem Red Team zu simulieren.
Die Grundlagen des Red Teaming lassen sich gut anhand einiger grundlegender Beispiele verstehen. Hier sind zwei:
In beiden Fällen untersucht das Red Team die Gesamtheit des Systems auf Lücken, und wo etwas schiefgehen kann, anstatt nur die Schwachstellen der einzelnen Systeme isoliert zu suchen.
Einfach ausgedrückt: Fast jedes Unternehmen kann vom Red Teaming profitieren. Wie unser Global Data Risk Report 2019 zeigt, haben beunruhigend viele Unternehmen nicht die Kontrolle über ihre Daten, die sie annehmen. Wir haben zum Beispiel festgestellt, dass durchschnittlich 22 % der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind und dass 87 % der Unternehmen über mehr als 1.000 sensible, veraltete Dateien in ihren Systemen verfügen.
Wenn Ihr Unternehmen nicht in der Technologiebranche tätig ist, mag es so scheinen, als wäre Red Teaming für Sie nur von begrenztem Nutzen. Aber das ist nicht der Fall. Bei der Cybersicherheit geht es nicht nur um den Schutz sensibler Informationen.
Böswillige Akteure versuchen auch, die Technologien zu übernehmen, die von allen genutzt werden. Beispielsweise könnten sie versuchen, auf Ihr Netzwerk zuzugreifen, um ihre Aktivitäten besser verbergen zu können, während sie ein anderes System oder Netzwerk an einem anderen Ort übernehmen. Bei diesem Angriff spielen Ihre Daten keine Rolle: die Angreifer wollen Ihre Computer mit bösartiger Software infizieren, damit sie Ihre Systeme zu einer Botnet-Gruppe hinzufügen können.
Für kleinere Unternehmen ist es allerdings oft schwierig, die erforderlichen Ressourcen für das Red Teaming bereitzustellen. In solchen Fällen kann es sinnvoll sein, das Red Teaming von einem externen Anbieter erledigen zu lassen.
Obwohl fast jedes Unternehmen vom Red Teaming profitieren kann, hängt der beste Zeitpunkt und die Häufigkeit von Red Teaming von der jeweiligen Branche und vom Reifegrad der Cybersicherheitsabwehr ab.
Insbesondere müssen Sie bereits automatisierte Aktivitäten wie Asset-Untersuchungen und Schwachstellenanalysen durchführen. Ihr Unternehmen sollte außerdem automatisierte Technologie mit menschlicher Intelligenz kombinieren, indem es robuste, regelmäßige Penetrationstests implementiert.
Sobald Sie mehrere Konjunkturzyklen mit Schwachstellen- und Pentests abgeschlossen haben, können Sie mit dem Red Teaming anfangen. Dann kann auch der tatsächliche Wert des Red Teaming wirklich umgesetzt werden. Red Teaming ohne wirklich solide Grundlagen bringt nämlich relativ wenig.
Das ethische Hacking-Team wird Ihre Umgebung wahrscheinlich so schnell und einfach kompromittieren, dass es wenig zu lernen gibt. Um wirklich effektiv zu sein, müssen die vom Red Team gewonnenen Erkenntnisse durch frühere Penetrationstests und Schwachstellenanalysen in einen Kontext gesetzt werden.
Red Teaming wird oft mit Penetrationstests verwechselt, aber die beiden Techniken unterscheiden sich ein wenig. Genauer gesagt sind Pentests nur eine der Techniken, die von Red Teams eingesetzt werden können.
Wie wir in unseren früheren Artikeln über Pentests erläutert haben, ist die Rolle des Pentesters relativ eng umrissen. Die Arbeit von Pentestern gliedert sich in vier grobe Phasen: Planung, Informationsfindung, Angriff und Berichterstattung. Wie Sie sehen können, machen Pentester mehr, als nur nach Software-Schachstellen zu suchen. Sie denken wie Hacker: Sobald sie in Ihr System kommen, beginnt ihre eigentliche Arbeit.
Sie werden Ihre Systeme weiter ausspionieren und dann neue Angriffe auf Grundlage der Informationen planen, die sie bei der Navigation durch die Verzeichnishierarchien gewinnen. Und das unterscheidet Pentester von jemandem, der einfach Schwachstellen suchen soll, etwa durch Port-Scanning- oder Viren-Sniffing-Software. Ein erfahrener Pentester kann ermitteln:
Bei Penetrationstests wird versucht, Fehler auf Anwendungs-, Netzwerk- und Systemebene zu finden sowie Möglichkeiten zur Kompromittierung physischer Sicherheitsbarrieren zu identifizieren. Während automatisierte Tests einige Cybersicherheitsprobleme identifizieren können, berücksichtigen echte Penetrationstests auch manuell die spezifischen Schwachstellen eines Unternehmens.
Obwohl Pentests wichtig sind, ist das nur ein Teil der Arbeit eines Red Teams. Red-Team-Einsätze haben deutlich umfangreichere Ziele als Pentester, deren Ziel oft nur darin besteht, Zugang zu einem Netzwerk zu erhalten. Red-Team-Operationen sind so konzipiert, dass sie ein realistischeres APT-Szenario nachbilden, einschließlich Verteidigungsstrategien und detaillierter Risikoanalysen.
Penetrationstests sind ein kleiner Teil des Red Teaming. Red Teaming umfasst auch die Umgehung von Schutzmaßnahmen, Persistenz, Berechtigungseskalation und Exfiltration. Penetrationstests sind nur der erste Teil der Cyber-Kill-Chain. Red-Teaming-Operationen umfassen die gesamte Cyber-Kill-Chain.
Red Teaming bietet viele Vorteile, aber im Allgemeinen ist die Technik so wertvoll, da sie einen umfassenden Überblick über das Niveau der Cybersicherheit in einem Unternehmen bietet. Ein typischer Red-Team-Prozess umfasst Penetrationstests (Netzwerk, Anwendung, mobile und andere Geräte), Social Engineering (vor Ort, per Telefon, E-Mail/SMS, Chat) und physisches Eindringen (Knacken von Schlössern, Umgehung von Überwachungs- und Alarmsystemen). Wenn es in einem dieser Aspekte Ihrer Systeme eine Schwachstelle gibt, wird diese offengelegt.
Sobald Schwachstellen bekannt sind, können sie behoben werden. Effektive Red-Teaming-Maßnahmen hören nicht nach der Entdeckungsphase auf. Stattdessen sollten Sie nach der Isolierung von Sicherheitslücken an der Behebung und Neuprüfung arbeiten. Tatsächlich beginnt die eigentliche Arbeit in der Regel nach dem Eindringen eines Red Teams. Dann werden nämlich forensische Analysen des Angriffs durchgeführt und man versucht, Schwachstellen zu eliminieren.
Neben diesen beiden allgemeinen Vorteilen bietet Red Teaming auch viele Vorteile, wenn es in Verbindung mit anderen Techniken zur Bedrohungsanalyse eingesetzt wird. Red Teaming dient zu folgenden Zwecken:
Am besten lässt sich die detaillierte Funktionsweise des Red Teaming verstehen, indem man sich anschaut, wie eine typische Red-Team-Operation abläuft. Im normalen Red-Team-Prozess gibt es mehrere Phasen:
In der Realität nutzen erfahrene Mitglieder des Red Teams eine Vielzahl von Techniken für jeden dieser Schritte. Die wichtigste Erkenntnis aus dem obigen Beispielangriffsplan ist jedoch, dass kleine Schwachstellen in einzelnen Systemen zu katastrophalen Lücken führen können, wenn sie miteinander verkettet werden.
Um den größtmöglichen Nutzen aus einer Red-Team-Operation zu ziehen, müssen Sie sich sorgfältig vorbereiten. Die Systeme und Prozesse, die in einer Organisation verwendet werden, sind stets unterschiedlich. Eine qualitativ hochwertige Red-Team-Operation ist speziell auf die Suche nach Schwachstellen in Ihren Systemen zugeschnitten. Aus diesem Grund ist es wichtig, eine Reihe von Faktoren zu zu berücksichtigen:
Zunächst einmal ist es wichtig zu verstehen, welche Systeme und Prozesse Sie testen wollen. Möglicherweise wissen Sie, dass Sie Ihre Web-Anwendung testen möchten, haben jedoch kein sehr gutes Verständnis dessen, was das eigentlich für Sie bedeutet, und welche Ihrer anderen Systeme mit Ihren Web-Anwendungen integriert sind. Daher ist es wichtig, dass Sie Ihre eigenen Systeme ziemlich gut verstehen und alle offensichtlichen Schwachstellen beheben, bevor Sie mit einer Red-Team-Operation beginnen.
Das gehört zum obigen Tipp, es geht hierbei jedoch mehr um die technischen Spezifikationen Ihres Netzwerks. Je besser Sie in der Lage sind, Ihre Testumgebung zu quantifizieren, desto genauer und spezifischer kann Ihr Red Team arbeiten.
Red Teaming kann auf verschiedenen Ebenen durchgeführt werden, aber ein simulierter Angriff auf Ihr Netzwerk mit dem gesamten Spektrum – einschließlich Social Engineering und physischem Eindringen – kann teuer werden. Aus diesem Grund ist es wichtig zu verstehen, wie viel Sie für Ihre Red-Team-Operation ausgeben können und den Umfang entsprechend festzulegen.
Einige Unternehmen sind in der Lage, im Rahmen ihrer standardmäßigen Geschäftsprozesse ein relativ hohes Risiko zu tolerieren. Andere – insbesondere in Branchen mit detaillierten und komplexen Compliance-Anforderungen – müssen ihr Risikoniveau in einem viel höheren Maße begrenzen. Bei der Durchführung einer Red-Team-Operation ist es daher wichtig, sich auf die Risiken zu konzentrieren, die tatsächlich Konsequenten für Ihr Unternehmen haben.
Wenn man es richtig macht, ist Red Teaming ein Angriff auf Ihre Netzwerke, bei dem das gesamte Spektrum abgedeckt wird und alle den Hackern zur Verfügung stehenden Werkzeuge und Techniken eingesetzt werden. Dazu gehören:
Es liegt im Wesen des Red Teaming, dass die Red Teams ständig versuchen, neue Sicherheitslücken zu finden, und die Blue Teams kontinuierlich daran arbeiten, sie zu schließen. Dementsprechend entwickeln sich die Techniken für das Red Teaming ständig weiter. Und deswegen ist es auch schwierig, eine Liste mit aktuellen Red-Team-Techniken zu erstellen, die nicht sehr schnell veralten wird.
Die meisten Red Teamer werden daher zumindest einen Teil ihrer Zeit damit verbringen, aufkommende Techniken und neue Exploits zu erforschen, indem sie die vielen Ressourcen der Red-Teaming-Community nutzen. Und das sind die beliebtesten:
Bei so vielen unterschiedlichen und verschiedenfarbigen Teams ist man schnell verwirrt darüber, welches Team seine eigene Organisation nun benötigt.
Eine Alternative zum Red Team, bzw. eine andere Art von Team, das parallel zum Red Team arbeiten kann, ist ein Blue Team. Ein Blue Team hat jedoch ein anderes Ziel. Blue Teams sind die Verteidigung gegen die Offensive der Red Teams und benutzen Gegentechniken, um die Angriffe des Red Teams zu verhindern.
Eine gängige Frage für viele Organisationen ist, ob es besser wäre, ein Red Team oder ein Blue Team einzusetzen. Diese Frage wird oft auch von einer freundschaftlichen Konkurrenz zwischen den Leuten untermauert, die in den verschiedenen Teams arbeiten. In der Realität macht jedoch keines der beiden Teams ohne das andere Sinn. Die wirkliche Antwort auf diese Frage ist: man braucht beide Teams.
Das Red Team wird benötigt, um herauszufinden, wie man eindringen kann. Und das Blue Team braucht man, um diesen Angriffen etwas entgegenzusetzen und die Verteidigung zu verbessern. Anschließend braucht man wieder das Red Team, um die neuen Verteidigungsmaßnahmen zu testen, und so geht es immer weiter.
Was ist Purple Teaming?
Das Purple Team ist eine Idee, die aus dem Versuch hervorgegangen ist, das Red Team und das Blue Team zu integrieren. Purple Teaming ist eher ein Konzept als ein wirklich eigenständiges Team. Stattdessen lässt es sich am besten als eine Kombination zwischen Red Team und Blue Team betrachten. Es integriert beide Teams für eine Zusammenarbeit.
Varonis bietet ein Purple Team an, das Ihr Unternehmen bei Ihrer Cybersicherheitsstrategie und Vorfallsreaktion beraten kann.
Red Teaming ist eine leistungsstarke Technik zum Testen der Sicherheitsschwachstellen Ihres Unternehmens, sollte aber mit Bedacht eingesetzt werden. Insbesondere müssen Sie über relativ ausgereifte Cybersicherheits-Schutzmaßnahmen verfügen, wie sie von Varonis angeboten werden, bevor Sie die wahren Vorteile des Red Teaming nutzen können.
Wenn es jedoch richtig gemacht wird, kann Red Teaming Schwachstellen in Ihrem System aufdecken, die Ihnen gar nicht bewusst waren, und Ihnen helfen, diese zu beheben. Mit einem feindlichen Ansatz können Sie simulieren, was ein Hacker wirklich tun würde, wenn er Ihre Daten stehlen oder Ihre Assets beschädigen wollte.