Zurück

Red Teaming

Zur Stärkung Ihrer Verteidiger

Regelmäßige Penetrationstests mit einem klar definierten Scope und einer soliden Methodik sind wichtig und tragen dazu bei, das IT-Sicherheitsniveau eines Unternehmens zu erhöhen. Im Gegensatz zu einem herkömmlichen Penetrationstest, der sich hauptsächlich auf die technischen Aspekte der IT-Sicherheit konzentriert, bietet ein Red Team Assessment / Red Teaming einen umfassenderen, anspruchsvolleren Ansatz und einen anderen Mehrwert. Red Teaming simuliert einen realen Cyber-Angriff und testet, wie ein Unternehmen als Ganzes auf einen Cyber-Angriff reagiert. Mit anderen Worten: Red Teaming ermöglicht es, nicht nur die technische Seite der IT-Sicherheit zu bewerten, sondern auch die Reaktion und das Verhalten des Unternehmens als Organisationseinheit.

Durch die Simulation realer Cyber-Angriffe mit Red Teaming können wir Fragen beantworten wie: Wird der Cyberangriff von der Organisation wahrgenommen, wie gut funktioniert die interne Kommunikation der Mitarbeiter, welche Sichtbarkeit bieten ihr EDR und SIEM, bekommt ihr Security Operation Center (SOC) den Angriff mit, wie schnell lokalisieren ihre Verteidiger den Eintrittspunkt des Cyberangriffs, gelingt es dem Blue Team, den Angreifer aus dem internen Netzwerk zu entfernen, etc.

Die Methodik des Red Teaming unterscheidet sich grundlegend von der eines Penetration Tests, so wird z.B. zu Beginn ein klares Ziel definiert, z.B. das Erreichen des Initial Access, die Kompromittierung des CEO Clients oder eines bestimmten Fileservers, etc. Die Kommunikation mit dem Unternehmen findet nur zwischen unserem Red Team und dem White Team oder der White Cell des Unternehmens statt. Das Blue Team weiß in der Regel nicht, dass eine Angriffssimulation geplant ist, denn nur so hat das Unternehmen die Möglichkeit zu überprüfen, wie das eigene Blue Team unvorbereitet auf einen realen Cyber-Angriff reagiert. Mit anderen Worten: Sie erhalten ein absolut unverzerrtes Bild davon, wie Ihr Unternehmen im Ernstfall reagieren würde. Es ist wichtig zu verstehen, dass sich der Begriff Blue Team hier nicht nur auf das technische Abwehrteam Ihres Unternehmens bezieht, sondern alle Mitarbeiterinnen und Mitarbeiter Ihrer Organisation umfasst.

Mit Red Teaming wollen wir auch aufzeigen, dass selbst etablierte EDR-Lösungen wie CrowdStrike, SentinelOne, Elastic etc. Schwachstellen und blinde Flecken haben, die von böswilligen Hackern ausgenutzt werden können. Gleichzeitig ist es aber immer unser primäres Ziel, ihr Blue Team zu stärken und ihnen zum Beispiel zu zeigen, wie wir ihr intern eingesetztes Antivirus (AV), Endpoint Protection (EPP) und Endpoint Detection and Response (EDR) umgehen konnten.

Ein häufiges Missverständnis (sowohl auf Seiten des Dienstleisters als auch auf Seiten des Kunden) im Zusammenhang mit Red Teaming ist, dass es nur darum geht, unerkannt als Red Team zu agieren. Bis zum Erreichen der definierten Ziele ist dies auch sinnvoll. Wenn jedoch alle vereinbarten Ziele erreicht wurden, z.B. die Kompromittierung eines bestimmten Servers, und das Unternehmen noch nicht in irgendeiner Weise reagiert hat, d.h. der Angriff noch nicht bemerkt wurde, der AV/EPP/EDR noch nicht reagiert hat usw., muss das Red Team dem Blue Team die Möglichkeit geben, auf den noch nicht entdeckten Cyber-Angriff zu reagieren. D.h. das Red Team sollte zu diesem Zeitpunkt, wenn nötig, auch eine sehr auffällige Aktion durchführen, z.B. Code Execution via Fork and Run, um z.B. den EDR auszulösen.

Mit anderen Worten: Es ist keine Schande, als Red Team vom Blue Team entdeckt zu werden, nur sollte das Red Team idealerweise die Kontrolle darüber haben, wann und aufgrund welcher Aktion es entdeckt wird, nachdem alle Ziele erreicht wurden. Nur so hat das Unternehmen die Möglichkeit, einen wirklichen Nutzen/Mehrwert aus dem Red Team Assessment zu ziehen.

Red Teaming eignet sich vor allem als Real-Life-Test zur Simulation eines realen Cyber-Angriffs für Unternehmen, die bereits gut gewappnet sind und über ein entsprechendes IT-Sicherheitsniveau verfügen. Unsere Kunden erhalten einen ersten Eindruck, wie die eigenen (IT-)Mitarbeiter reagieren und über welche Reaktionsfähigkeit und Sichtbarkeit (am Endpoint und im Netzwerk) ihre internen IT-Verteidiger aktuell verfügen.

Wir bei RedOps sind aber auch davon überzeugt, dass Red Teaming in angepasster Form auch unerfahrenen Unternehmen einen Mehrwert bieten kann, indem es ihnen ein absolut unverzerrtes Bild ihres IST-Zustandes im Falle eines böswilligen Cyber-Angriffs vermittelt. Angst ist nie ein guter Ratgeber, aber diese Art der Sensibilisierung kann für die IT-Sicherheitsabteilung oft ein Türöffner in den Etagen sein, in denen Budgetentscheidungen für mehr IT-Sicherheit getroffen werden.

Wer braucht Red Teaming?

Red Teaming richtet sich in erster Linie an Unternehmen, die bereits über einen fortgeschrittenen Reifegrad im Bereich IT-Sicherheit verfügen. Dazu gehören regelmäßige Penetrationstests, implementierte Härtungsmaßnahmen am Endpoint und im Active Directory, der Einsatz einer EDR-Lösung sowie regelmäßige Awareness-Schulungen der Mitarbeiter. Darüber hinaus spielt auch das Budget eine entscheidende Rolle, da ein Red Teaming mehrere Wochen oder sogar Monate dauern kann und dementsprechend kostenintensiver ist.

Dennoch glauben wir bei RedOps, dass Red Teaming in angepasster Form auch für Unternehmen mit weniger Erfahrung im Bereich IT-Sicherheit interessant sein kann. Warum? Die Simulation eines realen Cyber-Angriffs mit Red Teaming kann helfen, ein realistisches Bild des aktuellen Sicherheitsniveaus im Unternehmen zu erhalten, was mit einem herkömmlichen Penetrationstest nicht möglich ist. Natürlich muss im Einzelfall abgewogen werden, ob diese Art der Überprüfung sinnvoll ist oder ob zunächst ein Penetrationstest geeigneter wäre.

Red Teaming

Mit Red Teaming simulieren wir reale Cyber-Angriffe, bei denen wir strategisch, dynamisch und möglichst bedacht vorgehen. Basierend auf aktuellen Advanced Persistent Threats (ATPs) und dem Mitre Attack Framework stellen wir Ihr Unternehmen auf die Probe.

Auf Basis der Threat Intelligence werden mögliche Angriffsszenarien erarbeitet. Primäres Ziel des Red Teams ist es, das definierte Ziel zu erreichen. Für ein möglichst realistisches Szenario sollten nur die notwendigsten Personen (White Team) involviert sein.

Wir simulieren einen realen Cyber-Angriff und agiere strategisch und möglichst unauffällig. Erkennungen durch technische Komponenten wie EDR und SIEM sowie durch menschliche Komponenten wie das Blue Team (SOC) sollen möglichst vermieden werden.

Grundsätzlich gibt es keine Regeln, aber es ist sinnvoll, durch "Rules of Engagement" zu definieren, was wir als Angreifer dürfen und was nicht.

Ein Red Teaming erstreckt sich über mehrere Wochen bis Monate. Der hohe strategische Anteil erfordert viel Zeit und Vorbereitung, ca. 50% werden für den Initial Access benötigt.

Red Teaming lebt von vielen dynamischen Elementen, dennoch gibt es auch hier ein strukturiertes Vorgehen. Für die Simulation realer Cyber-Angriffe wird jeder Schritt gut überlegt und möglichst geräuschlos durchgeführt (OPSEC). Ihre technische IT-Sicherheit und Ihre Verteidiger werden auf eine harte Probe gestellt.

Durch die Angriffssimulation erhalten Unternehmen am Ende des Tages ein unverzerrtes Bild, wie sie auf einen realen Cyber-Angriff reagieren bzw. wie gut sie vorbereitet sind. Sie erhalten einerseits wichtige Erkenntnisse über das technische Niveau Ihrer IT-Sicherheit und andererseits über die Reaktionszeiten und die Sichtbarkeit Ihrer internen Verteidiger.

Penetration Testing

Bei einem Penetration Test liegt der Fokus klar darauf, innerhalb des definierten Scopes möglichst viele Schwachstellen zu finden und diese kontrolliert auszunutzen. Auch bei einem Penetration Test orientieren wir uns am Mitre ATT&CK Framework, jedoch liegt der Fokus nicht darauf, möglichst unauffällig und unentdeckt zu agieren.

Zum einen gibt es einen klar definierten Scope und zum anderen werden Rahmenbedingungen mittels Rules of Engagement festgelegt. Das IT-Team ist in den Pentest involviert.

Es besteht kein Bedarf möglichst leise und unbemerkt zu agieren. Strukturierte eher statisches Vorgehen mit dynamischen Elementen.

Die Rahmenbedingungen werden durch "Rules of Engagement" festgelegt.

Der Zeitraum ist sehr flexibel, je nach Wunsch kann der Kunde mehr oder weniger Manntage buchen. Es empfiehlt, sich den Zeitraum auf den definierten Scope abzustimmen.

Penetrationstests stehen und fallen mit der angewandten Methodik. Penetration Testing enthält viele statische Elemente, die regelmäßig durch dynamische Elemente ergänzt werden. Es geht nicht um OPSEC, d.h. die IT-Abteilung ist informiert und es besteht keine Notwendigkeit für den Tester, im Stillen zu agieren.

Mit einem Penetrationstest erhalten Sie wichtige Informationen über das technische Niveau Ihrer IT-Sicherheit. Ein Pentest bietet Unternehmen einen guten Einstieg in das Thema Cyber Security. Der Pentest Report kann als Grundlage für die Einleitung einer effektiven Härtung Ihrer IT-Infrastruktur verwendet werden.

Ein Red Team Engagement und ein Penetration Test haben durchaus Gemeinsamkeiten, dennoch gibt es wesentliche und sehr wichtige Unterschiede zwischen den beiden Verfahren.

Allgemeines

Planung / Ablauf

Vorgehensweise

Regeln

Zeitraum

Methodik

Mehrwert

Wie wir beim Red Teaming vorgehen

Vorbereitung | Scoping

Jeder Red Team Engagement beginnt mit einer genauen Definition des Umfangs und einer klaren Zielsetzung. Dies kann beispielsweise die Kompromittierung des Microsoft Active Directory, der Zugriff auf den Computer des Geschäftsführers oder der Zugriff auf bestimmte sensible Kundendaten sein. Während der Planung und Durchführung sollte die Beteiligung von Mitarbeitern so gering wie möglich gehalten werden, um den Angriff authentisch erscheinen zu lassen und ein realistisches, unverfälschtes Bild Ihrer IT-Sicherheitslage und der Reaktion Ihres Teams zu erhalten.
Methodik | Umsetzung

Zu Beginn eines jeden Red Team-Engagements werden umfassende Threat Intelligence-Daten beschafft, z. B. von Threat Intelligence-Anbietern. Ergänzt wird dies durch die Beschaffung taktischer Informationen über den Kunden. Darauf aufbauend werden zwei bis drei realistische Angriffsszenarien mit Vorbereitungen für Spearphishing, Command-and-Control-Infrastruktur, Malware etc. entwickelt und gründlich vorbereitet, um den Erstzugriff zu erreichen. Schlägt der Initial Access beim ersten Versuch fehl, werden 1-2 weitere Versuche unternommen. Schlägt der Erstzugriff vollständig fehl, wird zu einem Assumed-Breach-Szenario übergegangen.

Während des Red Teamings stehen wir in ständigem Kontakt mit unserem Ansprechpartner auf Kundenseite (White Team), um ihn über den Fortschritt auf dem Laufenden zu halten.
Report | Weiterentwicklung

Anhand der Ergebnisse des Abschlussberichts und einer Präsentation zeigen wir Ihnen detailliert auf, wie wir vorgegangen sind, welche Szenarien wir erarbeitet haben, wie wir (möglicherweise) den Initial Access erhalten haben, welche Angriffsflächen wir in Bezug auf Ihr Unternehmen identifiziert haben, wie sie sich verbessern können etc.

Dabei geht es uns nicht darum, mit dem Finger auf einzelne Personen zu zeigen. Ziel ist es, Ihr IT-Team für das Thema Informationssicherheit zu sensibilisieren und die Kompetenzen so auszubauen, dass Ihre Mitarbeitenden in Zukunft besser auf reale Cyber-Angriffe vorbereitet sind und reagieren können.

Warum Red Teaming mit RedOps?

Aufbauend auf unserer Expertise in den Bereichen OSINT, Windows OS, Active Directory, EDR-Evasion etc. bieten wir Ihnen die Möglichkeit, Ihr Unternehmen im Rahmen eines Red Teamings einer eingehenden Prüfung zu unterziehen. Dabei konzentrieren wir uns nicht nur auf die technische Seite Ihrer IT-Infrastruktur, sondern betrachten auch die Reaktion Ihres gesamten Unternehmens auf einen realen Cyber-Angriff. Wir analysieren, wie sich ein solcher Angriff auf Ihre internen Prozesse auswirken würde und wie Ihre Verteidiger im Ernstfall reagieren würden. Unser Ziel als Experten für offensive Sicherheit ist es, Ihnen zu helfen, reale Cyber-Angriffe zu verstehen, sich entsprechend vorzubereiten und Ihr gesamtes IT-Sicherheitsniveau kontinuierlich und langfristig zu verbessern.

Verantwortung und Integrität

Wer Offensive Security Services in Anspruch nimmt und sich bewusst einem ethischen Hackerangriff aussetzt, sollte dies mit einem Partner tun, auf den er sich absolut verlassen kann. Wir behandeln alle Informationen streng vertraulich und sind zu 100% integer in dem, was wir tun.
Forschungsorientierung

IT-Security ist kein Produkt, sondern ein ständiger Lernprozess. Deshalb investieren wir viel Zeit in Weiterbildung und Forschung. Unsere Ergebnisse im Bereich Endpoint Security konnte wir bereits auf mehreren internationalen IT-Security Konferenzen präsentieren.
Qualität statt Quantität

Mit der Offensive Security haben wir unsere Leidenschaft zu unserer Kernkompetenz gemacht. Wir verkaufen keine Produkte oder Lizenzen, sondern leben ausschließlich von unserer Expertise im Bereich der IT-Sicherheit. Qualität geht bei uns klar vor Quantität.

Making sense of IT:Security

Penetration Tests

Penetration Testing konzentriert sich auf die technische Analyse eines bestimmten Bereichs, einer Umgebung, eines Systems usw. Als freundliche Hacker aus der Nachbarschaft helfen wir Ihrem Unternehmen, innerhalb des definierten Scopes und der gebuchten Zeit so viele Schwachstellen wie möglich zu finden. Der abschließende Pentest-Report bildet die Grundlage für einen anschließenden effektiven Härtungsprozess Ihrer IT-Infrastruktur.

Assumed Breach

Wie bei einem Red-Team Engagement simulieren wir mit einem Assumed Breach Szenario einen realen Cyber-Angriff auf Ihr Unternehmen. Mit dem Unterschied, dass die Phase der externen Angriffsflächenbestimmung, die Phase der taktischen Informationsbeschaffung und der Initial Access wegfallen. Der Fokus liegt konsequent auf der Post-Exploitation-Phase eines Cyber-Angriffs.