Red Teaming 101: Was ist Red Teaming?
Tags
Security
19. Juli 2023

Lesezeit: 5 Min.
Autor
Evan Anderson Chief Offensive Strategist, Randori, an IBM Company

Dieser Blogbeitrag ist Teil der Serie „Alles, was Sie über Red Teaming wissen müssen“ des IBM® Security Randori Teams. Die Randori-Plattform kombiniert Angriffsflächenmanagement (Attack Surface Management, ASM) und kontinuierliches automatisiertes Red Teaming (Continuous Automated Red Teaming, CART), um Ihren Sicherheitsstatus zu verbessern.

„Kein Schlachtplan überlebt den Kontakt mit dem Feind“, schrieb der Militärtheoretiker Helmuth von Moltke, der davon ausging, dass man statt eines einzigen Plans eine Reihe von Optionen für die Schlacht entwickeln sollte. Diese Lektion müssen Cybersicherheitsteams auch heute noch auf die harte Tour lernen. Laut einer IBM Security X-Force Studie ist die Zeit für die Ausführung von Ransomware-Angriffen in den letzten Jahren um 94 % gesunken – wobei die Angreifer immer schneller werden. Wofür sie früher Monate brauchten, dauert jetzt nur noch wenige Tage.

Um Schwachstellen zu schließen und die Resilienz zu verbessern, müssen Unternehmen ihre Sicherheitsabläufe testen, bevor Bedrohungsakteure dies tun. Red-Team-Operationen sind wohl eine der besten Möglichkeiten, dies zu tun.

 Was ist Red Teaming?

Red Teaming kann als Prozess definiert werden, bei dem die Effektivität Ihrer Cybersicherheit getestet wird, wobei der Bias der Verteidiger dadurch vermieden wird, dass eine gegnerische Sichtweise auf das Unternehmen eingenommen wird.

Red Teaming liegt vor, wenn ethische Hacker von Ihrem Unternehmen autorisiert werden, die Taktiken, Techniken und Verfahren (Tactics, Techniques, Procedures, TTPs) echter Angreifer gegen Ihre unternehmenseigenen Systeme nachzuahmen.

Es handelt sich um einen Service zur Bewertung von Sicherheitsrisiken, den Ihr Unternehmen nutzen kann, um proaktiv IT-Sicherheitslücken und Schwachstellen zu erkennen und zu beheben.

Ein Red Team nutzt die Methodik der Angriffssimulation. Es simuliert die Aktionen ausgeklügelter Angreifer (oder fortschrittlicher, hartnäckiger Bedrohungen), um zu ermitteln, wie gut die Mitarbeiter, Prozesse und Technologien Ihres Unternehmens einem Angriff standhalten können, der auf ein bestimmtes Ziel abzielt.

Schwachstellenbewertungen und Penetrationstests sind zwei weitere Sicherheitstests, die dazu dienen, alle bekannten Schwachstellen in Ihrem Netzwerk zu untersuchen und zu ermitteln, wie sie ausgenutzt werden können. Kurz gesagt: Schwachstellenbewertungen und Penetrationstests sind nützlich, um technische Schwachstellen zu identifizieren, während Red-Team-Übungen verwertbare Erkenntnisse über den Zustand Ihres gesamten IT-Sicherheitsstatus liefern.

 Die Bedeutung von Red Teaming

Durch die Durchführung von Red-Teaming-Übungen kann Ihr Unternehmen feststellen, wie gut Ihre Verteidigungsmaßnahmen einem realen Cyberangriff standhalten würden.

Eric McIntyre, VP of Product and Hacker Operations Center für IBM Security Randori, erklärt: „Wenn Sie eine Red-Team-Aktivität haben, können Sie die Feedbackschleife beobachten, die Ihnen zeigt, wie weit ein Angreifer in Ihr Netzwerk vordringen kann, bevor er Ihre Abwehrmaßnahmen auslöst. Oder wo Angreifer Lücken in Ihrer Verteidigung finden und wo Sie Ihre Verteidigung verbessern können.“

 Vorteile von Red Teaming

Ein effektiver Weg, um herauszufinden, was in Bezug auf Kontrollen, Lösungen und sogar Personal funktioniert und was nicht, besteht darin, sie gegen einen dedizierten Gegner einzusetzen.

Red Teaming bietet eine wirkungsvolle Methode zur Bewertung der gesamten Cybersicherheitsleistung Ihres Unternehmens. Sie und andere Sicherheitsverantwortliche erhalten so eine realitätsnahe Einschätzung der Sicherheit Ihres Unternehmens. Red Teaming kann Ihrem Unternehmen helfen:

  • Schwachstellen zu identifizieren und zu bewerten
  • Sicherheitsinvestitionen zu evaluieren
  • Fähigkeiten zur Bedrohungserkennung und -reaktion zu testen
  • Eine Kultur der kontinuierlichen Verbesserung zu fördern
  • Sich auf unbekannte Sicherheitsrisiken vorzubereiten
  • Angreifern immer einen Schritt voraus zu sein
Abwehrmaßnahmen zu stärken

Erhalten Sie verständliche, hochwirksame Einblicke von IBM Sicherheitsexperten, die intelligente Strategien und unschätzbares Fachwissen zur Bekämpfung moderner Cyberbedrohungen bieten – direkt in Ihren Posteingang.

Erfahren Sie mehr über IBM Security® Randori Attack Targeted
Penetrationsprüfung versus Red Teaming

Red Teaming und Penetrationstests (oft auch Pen-Tests genannt) sind Begriffe, die oft synonym verwendet werden, aber völlig unterschiedlich sind. 

Das Hauptziel von Penetrationstests besteht darin, ausnutzbare Sicherheitslücken zu identifizieren und Zugriff auf ein System zu erhalten. Bei einer Red-Team-Übung hingegen besteht das Ziel darin, sich Zugang zu bestimmten Systemen oder Daten zu verschaffen, indem man einen realen Gegner nachahmt und Taktiken und Techniken in der gesamten Angriffskette einsetzt, einschließlich der Eskalation von Berechtigungen und der Exfiltration.

Die folgende Tabelle zeigt weitere funktionale Unterschiede zwischen Pen-Tests und Red-Teaming:

Penetrationstests

Red Teaming

Ziel

Identifizieren Sie ausnutzbare Schwachstellen und verschaffen Sie sich Zugang zu einem System.

Greifen Sie auf bestimmte Systeme oder Daten zu, indem Sie einen realen Angreifer emulieren.

Zeitrahmen

Kurz: Ein Tag bis einige Wochen.

Länger: Mehrere Wochen bis über einen Monat.

Toolset

Kommerziell erhältliche Pen-Testing-Tools.

Große Vielfalt an Tools, Taktiken und Techniken, einschließlich benutzerdefinierter Tools und bisher unbekannter Exploits.

Sicherheitsbewusstsein

Verteidiger wissen, dass ein Pen-Test stattfindet.

Die Verteidiger wissen nicht, dass eine Red-Team-Übung im Gange ist.

Sicherheitslücken

Bekannte Schwachstellen.

Bekannte und unbekannte Schwachstellen.

Bewerten

Testziele sind schmal und vordefiniert, z. B. ob eine Firewall-Konfiguration effektiv ist oder nicht.

Testziele können mehrere Domains betreffen, wie z. B. das Exfiltrieren von sensiblen Daten.

Testen

Das Sicherheitssystem wird in einem Pen-Test unabhängig getestet.

Systeme, die gleichzeitig in einer Red-Team-Übung anvisiert werden.

Aktivitäten nach einer Verletzung

Pen-Tester beschäftigen sich nicht mit Aktivitäten nach einer Sicherheitsverletzung.

Red-Team-Mitglieder nehmen an Aktivitäten nach einer Verletzung teil.

Ziel

Die Umgebung eines Unternehmens zu kompromittieren.

Handeln Sie wie echte Angreifer und exfiltrieren Sie Daten, um weitere Angriffe zu starten.

Ergebnisse

Identifizieren Sie ausnutzbare Schwachstellen und geben Sie technische Empfehlungen.

Bewerten Sie die allgemeine Cybersicherheitslage und geben Sie Empfehlungen für Verbesserungen.
Unterschied zwischen roten, blauen und violetten Teams (Red Teaming, Blue Teaming, Purple Teaming)

Rote Teams sind offensive Sicherheitsexperten, die die Sicherheit eines Unternehmens testen, indem sie die von echten Angreifern verwendeten Tools und Techniken imitieren. Das rote Team versucht, die Verteidigungsanlagen des blauen Teams zu umgehen, ohne entdeckt zu werden.

Blaue Teams sind interne IT-Sicherheitsteams, die ein Unternehmen vor Angreifern, einschließlich roter Teams, schützen und ständig daran arbeiten, die Cybersicherheit ihres Unternehmens zu verbessern. Zu ihren täglichen Aufgaben gehört es, Systeme auf Anzeichen von Eindringlingen zu überwachen, Alarme zu untersuchen und auf Vorfälle zu reagieren.

Violette Teams sind eigentlich gar keine Teams, sondern eher eine kooperative Denkweise, die zwischen roten und blauen Teammitgliedern besteht. Obwohl sowohl die Mitglieder des roten als auch des blauen Teams daran arbeiten, die Sicherheit ihres Unternehmens zu verbessern, tauschen sie ihre Erkenntnisse nicht immer untereinander aus. Die Rolle des violetten Teams besteht darin, eine effiziente Kommunikation und Zusammenarbeit zwischen den beiden Teams zu fördern, um die kontinuierliche Verbesserung beider Teams und der Cybersicherheit des Unternehmens zu ermöglichen.

 Tools und Techniken bei Red-Teaming-Einsätzen

Rote Teams werden versuchen, die gleichen Tools und Techniken zu verwenden, die auch von Angreifern in der realen Welt eingesetzt werden. Im Gegensatz zu Cyberkriminellen verursachen rote Teams jedoch keinen tatsächlichen Schaden. Stattdessen zeigen sie Schwachstellen in den Sicherheitsmaßnahmen eines Unternehmens auf.

Einige gängige Tools und Techniken des Red-Teaming sind:

  • Social Engineering: Nutzt Taktiken wie Phishing, Smishing und Vishing, um an vertrauliche Informationen zu gelangen oder von ahnungslosen Mitarbeitern Zugriff auf Unternehmenssysteme zu erhalten.
  • Physical Security Testing: Testet die physischen Sicherheitskontrollen eines Unternehmens, einschließlich Überwachungssysteme und Alarme.
  • Penetrationsprüfungen von Anwendungen: Testet Web-Apps auf Sicherheitsprobleme, die sich aus Codierungsfehlern wie SQL-Injection-Sicherheitslücken ergeben.
  • Netzwerk-Sniffing: Überwacht den Netzwerkverkehr auf Informationen über eine Umgebung, z. B. Konfigurationsdetails und Benutzeranmeldedaten.
  • Beschädigung geteilter Inhalte: Fügt einem Netzlaufwerk oder einem anderen gemeinsamen Speicherort Inhalte hinzu, die Malware-Programme oder Exploit-Code enthalten. Wenn sie von einem ahnungslosen Benutzer geöffnet werden, wird der bösartige Teil des Inhalts ausgeführt und ermöglicht es dem Angreifer möglicherweise, sich lateral zu bewegen.
  • Brute-Forcing von Zugangsdaten: Systematisches Erraten von Passwörtern, z. B. durch Ausprobieren von Anmeldedaten aus Breach Dumps oder Listen mit häufig verwendeten Passwörtern.
 Continuous Automated Red Teaming (CART) ist ein Game-Changer

Red Teaming ist ein zentraler Treiber für die Resilienz, kann aber auch eine ernsthafte Herausforderung für Sicherheitsteams darstellen. Zwei der größten Herausforderungen sind die Kosten und der Zeitaufwand für die Durchführung einer Red-Team-Übung. Das bedeutet, dass in den meisten Unternehmen Red-Team-Übungen bestenfalls in regelmäßigen Abständen durchgeführt werden, was nur zu einem bestimmten Zeitpunkt Einblick in die Cybersicherheit des Unternehmens gibt. Das Problem ist, dass Ihre Sicherheitslage zum Zeitpunkt des Tests vielleicht gut ist, dies aber möglicherweise nicht so bleiben wird.

Die Durchführung kontinuierlicher, automatisierter Tests in Echtzeit ist die einzige Möglichkeit, Ihr Unternehmen wirklich aus der Perspektive eines Angreifers zu verstehen.

 So macht IBM Security® Randori automatisiertes Red Teaming leichter zugänglich

IBM® Security Randori bietet eine CART-Lösung namens Randori Attack Targeted. Mit dieser Software können Unternehmen ihre Sicherheitslage kontinuierlich bewerten, ähnlich wie ein internes Red Team es tun würde. Auf diese Weise können Unternehmen ihre Abwehrmaßnahmen genau, proaktiv und vor allem kontinuierlich testen, um ihre Widerstandsfähigkeit zu erhöhen und zu sehen, was funktioniert und was nicht.

IBM® Security Randori Attack Targeted ist so konzipiert, dass es mit oder ohne ein bestehendes internes Red Team funktioniert. Randori Attack Targeted wird von einigen der weltweit führenden Sicherheitsexperten im Bereich offensive Sicherheit unterstützt und gibt Sicherheitsverantwortlichen die Möglichkeit, sich einen Überblick über die Leistung ihrer Verteidigung zu verschaffen, sodass selbst mittelgroße Unternehmen für Sicherheit auf Unternehmensebene sorgen können.

Bleiben Sie dran für meinen nächsten Beitrag darüber, wie Red Teaming zur Verbesserung der Sicherheitslage in Ihrem Unternehmen beitragen kann.
Erste Schritte mit IBM Security Randori Kostenlose 7-Tage-Testversion anfordern Fordern Sie eine Live-Demo an, um Ihre Angriffsfläche zu überprüfen Erfahren Sie mehr über IBM Security Randori Attack Targeted Melden Sie sich zu unserem Webinar „Mehr als nur Schwachstellen-Scans zur Stärkung Ihrer Angriffsfläche“ an.
IBM Newsletter

Erhalten Sie unsere Newsletter und Themen-Updates mit dem neuesten Thought Leadership und Erkenntnissen zu neuen Trends.

 Jetzt abonnieren Weitere Newsletter