Lesezeit: 5 Min.
Dieser Blogbeitrag ist Teil der Serie „Alles, was Sie über Red Teaming wissen müssen“ des IBM® Security Randori Teams. Die Randori-Plattform kombiniert Angriffsflächenmanagement (Attack Surface Management, ASM) und kontinuierliches automatisiertes Red Teaming (Continuous Automated Red Teaming, CART), um Ihren Sicherheitsstatus zu verbessern.
„Kein Schlachtplan überlebt den Kontakt mit dem Feind“, schrieb der Militärtheoretiker Helmuth von Moltke, der davon ausging, dass man statt eines einzigen Plans eine Reihe von Optionen für die Schlacht entwickeln sollte. Diese Lektion müssen Cybersicherheitsteams auch heute noch auf die harte Tour lernen. Laut einer IBM Security X-Force Studie ist die Zeit für die Ausführung von Ransomware-Angriffen in den letzten Jahren um 94 % gesunken – wobei die Angreifer immer schneller werden. Wofür sie früher Monate brauchten, dauert jetzt nur noch wenige Tage.
Um Schwachstellen zu schließen und die Resilienz zu verbessern, müssen Unternehmen ihre Sicherheitsabläufe testen, bevor Bedrohungsakteure dies tun. Red-Team-Operationen sind wohl eine der besten Möglichkeiten, dies zu tun.
Red Teaming kann als Prozess definiert werden, bei dem die Effektivität Ihrer Cybersicherheit getestet wird, wobei der Bias der Verteidiger dadurch vermieden wird, dass eine gegnerische Sichtweise auf das Unternehmen eingenommen wird.
Red Teaming liegt vor, wenn ethische Hacker von Ihrem Unternehmen autorisiert werden, die Taktiken, Techniken und Verfahren (Tactics, Techniques, Procedures, TTPs) echter Angreifer gegen Ihre unternehmenseigenen Systeme nachzuahmen.
Es handelt sich um einen Service zur Bewertung von Sicherheitsrisiken, den Ihr Unternehmen nutzen kann, um proaktiv IT-Sicherheitslücken und Schwachstellen zu erkennen und zu beheben.
Ein Red Team nutzt die Methodik der Angriffssimulation. Es simuliert die Aktionen ausgeklügelter Angreifer (oder fortschrittlicher, hartnäckiger Bedrohungen), um zu ermitteln, wie gut die Mitarbeiter, Prozesse und Technologien Ihres Unternehmens einem Angriff standhalten können, der auf ein bestimmtes Ziel abzielt.
Schwachstellenbewertungen und Penetrationstests sind zwei weitere Sicherheitstests, die dazu dienen, alle bekannten Schwachstellen in Ihrem Netzwerk zu untersuchen und zu ermitteln, wie sie ausgenutzt werden können. Kurz gesagt: Schwachstellenbewertungen und Penetrationstests sind nützlich, um technische Schwachstellen zu identifizieren, während Red-Team-Übungen verwertbare Erkenntnisse über den Zustand Ihres gesamten IT-Sicherheitsstatus liefern.
Durch die Durchführung von Red-Teaming-Übungen kann Ihr Unternehmen feststellen, wie gut Ihre Verteidigungsmaßnahmen einem realen Cyberangriff standhalten würden.
Eric McIntyre, VP of Product and Hacker Operations Center für IBM Security Randori, erklärt: „Wenn Sie eine Red-Team-Aktivität haben, können Sie die Feedbackschleife beobachten, die Ihnen zeigt, wie weit ein Angreifer in Ihr Netzwerk vordringen kann, bevor er Ihre Abwehrmaßnahmen auslöst. Oder wo Angreifer Lücken in Ihrer Verteidigung finden und wo Sie Ihre Verteidigung verbessern können.“
Ein effektiver Weg, um herauszufinden, was in Bezug auf Kontrollen, Lösungen und sogar Personal funktioniert und was nicht, besteht darin, sie gegen einen dedizierten Gegner einzusetzen.
Red Teaming bietet eine wirkungsvolle Methode zur Bewertung der gesamten Cybersicherheitsleistung Ihres Unternehmens. Sie und andere Sicherheitsverantwortliche erhalten so eine realitätsnahe Einschätzung der Sicherheit Ihres Unternehmens. Red Teaming kann Ihrem Unternehmen helfen:
Erhalten Sie verständliche, hochwirksame Einblicke von IBM Sicherheitsexperten, die intelligente Strategien und unschätzbares Fachwissen zur Bekämpfung moderner Cyberbedrohungen bieten – direkt in Ihren Posteingang.
Erfahren Sie mehr über IBM Security® Randori Attack Targeted
Red Teaming und Penetrationstests (oft auch Pen-Tests genannt) sind Begriffe, die oft synonym verwendet werden, aber völlig unterschiedlich sind.
Das Hauptziel von Penetrationstests besteht darin, ausnutzbare Sicherheitslücken zu identifizieren und Zugriff auf ein System zu erhalten. Bei einer Red-Team-Übung hingegen besteht das Ziel darin, sich Zugang zu bestimmten Systemen oder Daten zu verschaffen, indem man einen realen Gegner nachahmt und Taktiken und Techniken in der gesamten Angriffskette einsetzt, einschließlich der Eskalation von Berechtigungen und der Exfiltration.
Die folgende Tabelle zeigt weitere funktionale Unterschiede zwischen Pen-Tests und Red-Teaming:
Penetrationstests
Red Teaming
Ziel
Identifizieren Sie ausnutzbare Schwachstellen und verschaffen Sie sich Zugang zu einem System.
Greifen Sie auf bestimmte Systeme oder Daten zu, indem Sie einen realen Angreifer emulieren.
Zeitrahmen
Kurz: Ein Tag bis einige Wochen.
Länger: Mehrere Wochen bis über einen Monat.
Toolset
Kommerziell erhältliche Pen-Testing-Tools.
Große Vielfalt an Tools, Taktiken und Techniken, einschließlich benutzerdefinierter Tools und bisher unbekannter Exploits.
Sicherheitsbewusstsein
Verteidiger wissen, dass ein Pen-Test stattfindet.
Die Verteidiger wissen nicht, dass eine Red-Team-Übung im Gange ist.
Sicherheitslücken
Bekannte Schwachstellen.
Bekannte und unbekannte Schwachstellen.
Bewerten
Testziele sind schmal und vordefiniert, z. B. ob eine Firewall-Konfiguration effektiv ist oder nicht.
Testziele können mehrere Domains betreffen, wie z. B. das Exfiltrieren von sensiblen Daten.
Testen
Das Sicherheitssystem wird in einem Pen-Test unabhängig getestet.
Systeme, die gleichzeitig in einer Red-Team-Übung anvisiert werden.
Aktivitäten nach einer Verletzung
Pen-Tester beschäftigen sich nicht mit Aktivitäten nach einer Sicherheitsverletzung.
Red-Team-Mitglieder nehmen an Aktivitäten nach einer Verletzung teil.
Ziel
Die Umgebung eines Unternehmens zu kompromittieren.
Handeln Sie wie echte Angreifer und exfiltrieren Sie Daten, um weitere Angriffe zu starten.
Ergebnisse
Identifizieren Sie ausnutzbare Schwachstellen und geben Sie technische Empfehlungen.
Bewerten Sie die allgemeine Cybersicherheitslage und geben Sie Empfehlungen für Verbesserungen.
Rote Teams sind offensive Sicherheitsexperten, die die Sicherheit eines Unternehmens testen, indem sie die von echten Angreifern verwendeten Tools und Techniken imitieren. Das rote Team versucht, die Verteidigungsanlagen des blauen Teams zu umgehen, ohne entdeckt zu werden.
Blaue Teams sind interne IT-Sicherheitsteams, die ein Unternehmen vor Angreifern, einschließlich roter Teams, schützen und ständig daran arbeiten, die Cybersicherheit ihres Unternehmens zu verbessern. Zu ihren täglichen Aufgaben gehört es, Systeme auf Anzeichen von Eindringlingen zu überwachen, Alarme zu untersuchen und auf Vorfälle zu reagieren.
Violette Teams sind eigentlich gar keine Teams, sondern eher eine kooperative Denkweise, die zwischen roten und blauen Teammitgliedern besteht. Obwohl sowohl die Mitglieder des roten als auch des blauen Teams daran arbeiten, die Sicherheit ihres Unternehmens zu verbessern, tauschen sie ihre Erkenntnisse nicht immer untereinander aus. Die Rolle des violetten Teams besteht darin, eine effiziente Kommunikation und Zusammenarbeit zwischen den beiden Teams zu fördern, um die kontinuierliche Verbesserung beider Teams und der Cybersicherheit des Unternehmens zu ermöglichen.
Rote Teams werden versuchen, die gleichen Tools und Techniken zu verwenden, die auch von Angreifern in der realen Welt eingesetzt werden. Im Gegensatz zu Cyberkriminellen verursachen rote Teams jedoch keinen tatsächlichen Schaden. Stattdessen zeigen sie Schwachstellen in den Sicherheitsmaßnahmen eines Unternehmens auf.
Einige gängige Tools und Techniken des Red-Teaming sind:
Red Teaming ist ein zentraler Treiber für die Resilienz, kann aber auch eine ernsthafte Herausforderung für Sicherheitsteams darstellen. Zwei der größten Herausforderungen sind die Kosten und der Zeitaufwand für die Durchführung einer Red-Team-Übung. Das bedeutet, dass in den meisten Unternehmen Red-Team-Übungen bestenfalls in regelmäßigen Abständen durchgeführt werden, was nur zu einem bestimmten Zeitpunkt Einblick in die Cybersicherheit des Unternehmens gibt. Das Problem ist, dass Ihre Sicherheitslage zum Zeitpunkt des Tests vielleicht gut ist, dies aber möglicherweise nicht so bleiben wird.
Die Durchführung kontinuierlicher, automatisierter Tests in Echtzeit ist die einzige Möglichkeit, Ihr Unternehmen wirklich aus der Perspektive eines Angreifers zu verstehen.
IBM® Security Randori bietet eine CART-Lösung namens Randori Attack Targeted. Mit dieser Software können Unternehmen ihre Sicherheitslage kontinuierlich bewerten, ähnlich wie ein internes Red Team es tun würde. Auf diese Weise können Unternehmen ihre Abwehrmaßnahmen genau, proaktiv und vor allem kontinuierlich testen, um ihre Widerstandsfähigkeit zu erhöhen und zu sehen, was funktioniert und was nicht.
IBM® Security Randori Attack Targeted ist so konzipiert, dass es mit oder ohne ein bestehendes internes Red Team funktioniert. Randori Attack Targeted wird von einigen der weltweit führenden Sicherheitsexperten im Bereich offensive Sicherheit unterstützt und gibt Sicherheitsverantwortlichen die Möglichkeit, sich einen Überblick über die Leistung ihrer Verteidigung zu verschaffen, sodass selbst mittelgroße Unternehmen für Sicherheit auf Unternehmensebene sorgen können.
Bleiben Sie dran für meinen nächsten Beitrag darüber, wie Red Teaming zur Verbesserung der Sicherheitslage in Ihrem Unternehmen beitragen kann.