Zurück

Red Team Approach

Verteidiger stärken mittels Red Team Approach

Mit dem Werkzeug Red Team Approach simuliere ich für kleine und mittlere Unternehmen (KMUs) reale Cyberangriffe, bei denen ich strategisch, dynamisch und möglichst leise agiere. Angelehnt an aktuellen Advanced Persistent Threats (APTs) und dem Mitre Attack Framework stelle ich Ihr Unternehmen auf die Probe. Basierend auf meiner Expertise im Bereich Defense Evasion umgehe ich auch gängige Security Produkte (AV/EPP/EDR) wie zum Beispiel Microsoft Defender for Endpoint (ATP), SentinelOne, CrowdStrike etc. und zeige Ihnen aktuelle Blindspots auf.

Für den Fall, dass meine Kunden einen vollwertiges Red Team Engagement z.B. nach TIBER-DE simulieren wollen, kann ich auf ein Netzwerk von Partnern zurückgreifen, mit denen ich gemeinsam auch komplexe Red Teamings durchführen kann.

Der Mehrwert des Red Team Approachs für KMUs besteht darin, dass sie ein möglichst unverzerrtes Bild ihres IST-Zustandes im Falle eines realen Cyber-Angriffs erhalten. Meine Kunden erhalten einen ersten Eindruck davon, wie die eigenen (IT) Mitarbeiter reagieren und über welche Reaktionsfähigkeit und Visibilität (am Endpoint und Netzwerk) ihre internen IT-Verteidiger aktuell verfügen.

Penetration Testing ist ein sehr wichtiger Aspekt bzw. ein wichtiges Werkzeug, hat aber einen anderen Mehrwert als ein Red Team Approach oder Red Teaming. Ich denke, Angriffssimulationen mittels Red Team Approach sind für KMUs von entscheidender Bedeutung, um reale Cyber-Angriffe zu verstehen und die eigene Cyber-Resilienz schrittweise zu erhöhen.

Wer braucht einen Red Team Approach?

Ich bin der Meinung, dass auch für KMUs eine rein technische Analyse der IT-Sicherheit zu kurz greift. Regelmäßige Penetrationstests sind zwar sehr wichtig für ein ausgereiftes Sicherheitskonzept, reichen aber allein nicht aus, um Unternehmen nachhaltig vor realen Cyberangriffen und Advanced Persistent Threats (APTs) zu schützen. Ergänzend kann der Red Team Approach ein wirkungsvolles Instrument für Unternehmen sein, dies hängt aber natürlich auch stark vom jeweiligen Unternehmen selbst, dem gewünschten Ziel/Mehrwert, dem zur Verfügung stehenden Budget und auch dem aktuellen IT-Sicherheitsniveau des Unternehmens ab.

Der Red Team Approach kann dabei helfen, ein unverzerrtes Bild über den aktuellen IST-Zustand der IT-Sicherheitskultur im eigenen Unternehmen zu erhalten. Wie bereits erwähnt, halte ich das Werkzeug des Red Team Approach für sehr wichtig, jedoch ist jeder Kunde individuell und es muss abgewogen werden, ob ein Red Team Approach in Bezug auf das aktuelle IT-Sicherheitsniveau des Kunden auch sinnvoll ist.

Red Team Approach

Grundsätzlich gibt es keine Regeln und keinen Scope. Primär gilt es für das Red Team das definierte Ziel zu erreichen. Für ein möglichst realistisches Szenario sollten nur die notwendigsten Personen (White Team) involviert sein.

Ich simuliere einen realen Cyber-Angriff und agiere strategisch und möglichst unauffällig. Erkennungen durch technische Komponenten wie EDR und SIEM sowie durch menschliche Komponenten wie das Blue Team (SOC) sollen möglichst vermieden werden.

Grundsätzlich gibt es keine Regeln, trotzdem mach es Sinn, mittels "Rules of Engagement" zu definieren, was ich als Angreifer darf und was nicht.

Der Red Team Approach erstreckt sich über mehrere Wochen bzw. ein Red Team Engagement bis zu mehreren Monaten. Der hohe strategische Anteil verlangt sehr viel Zeit, ca. 50% werden für den Initial Access benötigt.

Red Teaming bzw. der Red Team Approach lebt von vielen dynamischen Elementen, dennoch gibt es auch hier ein strukturiertes Vorgehen. Für die Simulation realer, fortgeschrittener Cyber-Angriffe wird jeder Schritt gut überlegt und möglichst geräuschlos durchgeführt (OPSEC). Ihre technische IT-Sicherheit und Ihre Verteidiger werden auf eine harte Probe gestellt.

Durch die Angriffssimulation erhalten Unternehmen am Ende des Tages ein unverzerrtes Bilde darüber, wie sie auf einen realen Cyber-Angriff reagieren bzw. wie gut sie vorbereitet sind. Zum einen erhalten Sie wichtige Erkenntisse über den technischen Level Ihrer IT-Sicherheit und zum anderen über die Reaktionszeiten und Visibilität Ihrer internen Verteidiger.

Penetration Test

Bei einem Penetration Test liegt der Fokus klar darauf, in einem mit dem Kunden definierten Scope möglichst viele Schwachstellen zu finden und diese kontrolliert auszunutzen. Auch bei einem Penetration Test orientiere ich mich stark am Mitre ATT&CK Framework, jedoch liegt der Fokus nicht darauf, möglichst unauffällig und unentdeckt zu agieren.

Zum einen gibt es einen klar definierten Scope und zum anderen werden Rahmenbedingungen mittels Rules of Engagement festgelegt. Das IT-Team ist in den Pentest involviert.

Es besteht kein Bedarf möglichst leise und unbemerkt zu agieren. Strukturierte eher statisches Vorgehen mit dynamischen Elementen.

Die Rahmenbedingungen werden durch "Rules of Engagement" festgelegt.

Der Zeitraum ist sehr flexibel, je nach Wunsch kann der Kunde mehr oder weniger Manntage buchen. Es empfiehlt, sich den Zeitraum auf den definierten Scope abzustimmen.

Penetrationstests stehen und fallen mit der angewandten Methodik. Penetration Testing enthält viele statische Elemente, die regelmäßig durch dynamische Elemente ergänzt werden. Es geht nicht um OPSEC, d.h. die IT-Abteilung ist informiert und es besteht keine Notwendigkeit für den Tester, im Stillen zu agieren.

Mit dem Penetration Test erhalten Sie wichtige Informationen über das technische Niveau Ihrer IT-Sicherheit. Ein Pentest bietet Unternehmen einen guten Einstieg in das Thema Cyber Security. Der Pentest Report kann als Grundlage für die Einleitung einer effektiven Härtung Ihrer IT-Infrastruktur verwendet werden.

Der Red Team Approach bzw. ein Red Team Engagement und ein Penetration Test haben durchaus Gemeinsamkeiten, dennoch gibt es wesentliche und sehr wichtige Unterschiede zwischen den beiden Verfahren.

Allgemeines

Planung / Ablauf

Vorgehensweise

Regeln

Zeitraum

Methodik

Mehrwert

Wie ich beim Red Team Approach vorgehe

Vorbereitung | Scoping

Im Vergleich zu einem sehr komplexen und aufwändigen Red Team Engagement agiere ich bei einem Red Team Approach allein und kann dadurch sehr flexibel und dynamisch agieren. Jeder Red Team Approach beginnt mit der Definition klarer Ziele, die ich zu Beginn gemeinsam mit Ihnen festlege. Das kann zum Beispiel die Kompromittierung des Microsoft Active Directory sein, der Zugriff auf den Computer Ihres Geschäftsführers oder der Zugriff auf sensible Kundendaten. Bei der Planung und Durchführung des Red Team Approach sollten so wenige Mitarbeiter wie möglich bzw. nur so viele Mitarbeiter wie wirklich nötig involviert sein, damit der Angriff als echter Hackerangriff wahrgenommen wird und ein realistisches, unverzerrtes Bild Ihrer IT-Sicherheit und der Reaktion Ihres Teams entsteht.
Methodik | Umsetzung

In dieser Phase geht es ans Eingemachte und ich stelle Ihre IT-Infrastruktur einschließlich Ihrer Mitarbeiter und internen Verteidiger auf die Probe. Ich beginne mit einer ausgiebigen Reconnaissance und versuche durch taktische Informationsgewinnung möglichst viele nützliche Informationen über mein Ziel zu sammeln. Darauf aufbauend suche ich nach möglichen Eintrittspunkten in Ihr internes Netzwerk, bereite meine Initial Access Payload (Command and Control Trojaner) vor und versuche den Initial Access / Foothold zu bekommen. Ist der Initial Access erfolgreich, versuche ich im nächsten Schritt in der Post-Breach Phase Schritt für Schritt die zuvor definierten Ziele zu erreichen (z.B. Kompromittierung von Kundendaten). Während des Red Team Approach stehe ich in regelmäßigem Kontakt mit meinem Ansprechpartner auf Kundenseite (White Team) und halte so meinen Kunden auf dem Laufenden.
Report | Weiterentwicklung

Basierend auf den Erkenntnissen des Red Team Approach zeige ich Ihnen und Ihrem Team in einem Abschlussbericht und einer Präsentation auf, in welchen Bereichen Sie bereits gut aufgestellt sind und wo es noch Potenzial zur Verbesserung Ihrer IT-Sicherheit gibt. Dabei geht es mir nicht darum, mit dem Finger auf einzelne Fehler zu zeigen. Ziel ist es, Ihr IT-Team für das Thema Informationssicherheit zu sensibilisieren und die Kompetenzen so auszubauen, dass Ihre Mitarbeiterinnen und Mitarbeiter in Zukunft besser auf reale Cyber-Angriffe vorbereitet sind und reagieren können.

Warum Red Team Approach bei RedOps

Ich untersuche nicht nur den technischen Aspekt Ihrer IT-Infrastruktur, sondern schaue mir auch an, wie Ihr Unternehmen als Ganzes auf einen realen Cyber-Angriff reagiert. Welche Auswirkungen hat er auf Ihre internen Prozesse? Wie verhalten sich Ihre Verteidiger im Ernstfall eines Cyber-Angriffs? Bekommen Ihre Verteidiger den Angriff überhaupt mit?

Kurzum: Als Experte für Offensive Security ist es mein Ziel, Ihnen dabei zu helfen, reale Cyber-Angriffe zu verstehen, sich darauf vorzubereiten und Ihr gesamtes IT-Sicherheitsniveau kontinuierlich und langfristig zu verbessern.

Verantwortung und Integrität

Wer Offensive Security Services in Anspruch nimmt und sich bewusst einem ethischen Hackerangriff aussetzt, sollte dies mit einem Partner tun, auf den er sich absolut verlassen kann. Ich behandle alle Informationen streng vertraulich und bin 100% integer in dem, was ich tue.
Forschungsorientierung

IT-Security ist kein Produkt, sondern ein ständiger Lernprozess. Deshalb investiere ich viel Zeit in Weiterbildung und Forschung. Meine Ergebnisse im Bereich Endpoint Security konnte ich bereits auf mehreren internationalen IT-Security Konferenzen präsentieren.
Qualität statt Quantität

Mit der Offensive Security habe ich meine Leidenschaft zu meiner Kernkompetenz gemacht. Ich verkaufe keine Produkte oder Lizenzen, sondern lebe rein von meiner Expertise im Bereich der IT-Security. Qualität geht bei mir klar vor Quantität.

Making sense of IT:Security

Penetration Testing

Penetration Testing konzentriert sich auf die technische Analyse Ihrer Systeme und bildet die Grundlage für einen effektiven Härtungsprozess.

Assumed Breach

Das Assumed Breach Szenario ermöglicht eine Angriffssimulation mit Fokus auf die Post-Breach-Phase im Unternehmensnetzwerk.

Egress / C2-Test

Der Egress / C2-Test untersucht, über welche Protokolle, Ports und Kanäle ein böswilliger Angreifer Command and Control (C2) Verbindungen von innen nach außen aufbauen kann.