Red Teaming: Wie gut ist Ihre Resilience und Detection?
Wie erfolgreich könnten Angreifer in einem bestimmten Bedrohungsszenario sein? Und wie viel würden Sie erkennen? Ein Red Teaming Assessment gibt die Antwort.
Die Königsdisziplin: Red Teaming
Eine realitätsnahe Simulation eines echten Angriffs, um Ihre Cyber Defense herauszufordern.
Ein Red Teaming ist die perfekte Lösung, wenn Sie ein konkretes Bedrohungsszenario vor Augen haben und wissen wollen, mit welcher Wahrscheinlichkeit es eintreten kann und welche Teile des Angriffs Ihr Cyber Defense Center (das Blue Team) erkennen würde.
Da beim Red Teaming das Blue Team nicht vorab informiert wird, ist ein solches Assessment ohne ein gut entwickeltes Blue Team wenig zielführend. Frisch etablierte SOCs oder CDCs sind noch mit dem Tagesgeschäft beschäftigt und werten ein solches vorhersagbares Ergebnis typischerweise (nicht ganz zu Unrecht) weniger als Hilfestellung, sondern eher als Bloßstellung. Um aber von einem Red Teaming zu profitieren, hilft nicht die Suche nach Schuldigen, sondern nach Lösungen.
Wie gehen wir bei Red Teaming vor
Zu Beginn definieren wir gemeinsam ein realistisches und fundiertes Szenario mit klar definierten Zielen (Flags), das eine konkrete Bedrohung gut abbildet, umsetzbar ist und Erkenntnisgewinn verspricht.
Auf der Grundlage dieses Szenarios sammeln wir relevante Threat Intelligence. Das sind Methoden, Taktiken und Verfahrensweisen (Techniques, Tactics and Procedures = TTP), wie echte Angreifer in diesem Szenario vorgehen oder vorgehen würden. Zusätzlich werten wir Informationen über Ihre Organisation wie Geschäftsfelder, Standorte, Mitarbeiter und die Infrastruktur aus. Dazu nutzen wir sowohl OSINT- und HUMINT-Quellen als auch interne Informationen. Aus diesen Informationen erstellen wir einen Angriffsplan und bereiten die einzelnen Schritte vor. Da wir echte Produktivsysteme angreifen, sind die Aufgaben des sogenannten White Teams erfolgskritisch: eine gute Vorbereitung, ein abgestimmter Angriffsplan, definierte Spielregeln und Eskalationsverfahren, sowie enge Abstimmung in regelmäßigen Meetings.
Dann erst startet der eigentliche Angriff. Unser Red Team versucht, über verschiedene Methoden Schritt für Schritt dem definierten Ziel näher zu kommen. Hierfür können - je nach Szenario - auch mehrere Anläufe und Pausen notwendig sein, beispielsweise wenn ein Alarm ausgelöst wurde. Auch eine Anpassung des Angriffsplans oder Hilfestellung durch Sie kann notwendig sein, wenn das Red Team in einer Sackgasse landet.
Nach der Durchführung und Berichterstellung legt das Red Team dem Blue Team in einem Replay Workshop alle Aktivitäten offen. Gemeinsam besprechen wir konstruktiv, welche Aktivitäten erkannt wurden und wo Verbesserungsmaßnahmen geplant werden sollten.
Im Gesamtergebnis beantwortet ein Red Teaming also nicht nur die Frage, ob die betrachtete Bedrohung eintreten könnte. Es liefert vor allem wertvolle Hinweise zur Verbesserung Ihrer Resilience und den Erkennungsfähigkeiten Ihres Blue Teams. Nach einem Red Teaming werden aber immer noch unentdeckte Schwachstellen existieren, da sich im Gegensatz zu einem IT Stresstest das Red Team nur einen Weg zum Ziel sucht.
Hintergrundinformationen und Ausprägungen
Vorbereitung
- Termin zur Abstimmung des Scopes
- Kick-Off-Meeting
Durchführung
- Workshop zur Szenario Definition
- Threat intelligence (HUMINT / OSINT)
- Angriffsplanung und Vorbereitung
- Durchführung des Angriffs mit Hacking, ggf. Vor-Ort-Begehung und Social Engineering
- Regelmäßige Status Meetings
Auswertung
- Erstellung eines detaillierten Berichts
- Replay Workshop mit dem Blue Team
- Management Präsentation
Bei der Durchführung von Security Assessments orientiert sich HvS an gängigen Branchenstandards. Bei realitätsnahen Assessments liegt es nahe, das Mitre Att&ck Framework zu nutzen, das die generische Vorgehensweise von echten Angreifern beschreibt.
Es besteht aus den folgenden Phasen: Reconnaissance, Resource Development, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact.
Die Schwerpunktsetzung auf einzelne Phasen hängt vom jeweiligen Szenario ab. Wir empfehlen aber, nicht gleich die gesamte Angriffskette durchzuspielen, sondern lieber mehrere kleinere Assessments durchzuführen. Das reduziert die Projektrisiken und das Blue Team muss jederzeit mit einem Angriff rechnen... echte Angreifer schlagen ja auch nicht nur alle drei Jahre zu.
- Lateral Movement von der DMZ in das interne Netz
- C2-Kanal auf Client und interne Reconnaissance
- Wäre die Ransomware-Gruppe X mit ihrem Standardvorgehen bei Ihnen erfolgreich?
- Kann ein interner Mitarbeiter eine illegale Finanztransaktion tätigen?
Die Europäische Zentralbank hat das TIBER-EU Framework veröffentlicht, das einen umfassenden Ansatz zur Durchführung von Red Teaming Assessments innerhalb der Finanzbranche beschreibt. Die Deutsche Bundesbank hat dieses Framework als TIBER-DE Framework angepasst.
Die Motivation ist, dass in den letzten Jahren Angriffe gegen das Finanzsystem zugenommen haben. Während viele Organisationen selbst Assessments durchführen, dabei den Fokus aber auf Ihre Kerngeschäftsprozesse und Kronjuwelen ausrichten, konzentriert sich das TIBER auf kritische Funktionen des globalen Finanzsystems und versucht die Auswirkungen durch Angriffe auf einzelne Institute zu beleuchten.
Abgesehen von der spezifischen Zielsetzung beschreibt das Framework einen sehr professionellen Ansatz, wie man Red Teaming gestalten kann und enthält neben Erfolgsfaktoren und Risiken auch viele Tips für die Vorgehensweise. Ein TIBER Test wird von einem großen Projektteam durchgeführt, das aus einem White Team, einem Threat Intelligence Team, einem Red Team, einem Blue Team und Managementvertretern besteht.
Die Kernphasen eines TIBER Tests sind: Scope Definition, Erstellung eines gezielten Threat Intelligence Berichts (TTIR), Erstellung eines Red Team Test Plans, Durchführung der definierten Szenarien, Erstellung eines Test Berichts, einem Replay Workshop und Erstellung eines Maßnahmenplans.
Unser ganzer HvS-Ansatz für Red Teaming ist durch das TIBER Framework inspiriert. Solange Sie aber nicht zu TIBER verpflichtet sind, empfehlen wir immer die Durchführung eines Red Teamings, da Sie die Inhalte an Ihre Bedürfnisse anpassen können.
Wenn Sie Interesse an einem TIBER Test haben, sprechen Sie uns gerne an, dann erläutern wir Ihnen gerne unsere Vorgehensweise.
Mehr Informationen zum TIBER-EU Framework finden Sie bei der EZB: https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html und Informationen zu TIBER-DE bei der Bundesbank: https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/serviceangebot/tiber-de/tiber-de-816986