Red Teaming

“Schafft es Ihr Blue Team uns aus Ihren Systemen zu halten?”

Image

Offensive Security

Seit nun inzwischen vielen Jahren geht auch in Europa der Trend zunehmend zu einem eher offensiveren Umgang mit dem Thema IT-Sicherheit in Firmennetzen. Auch wenn sich dieser Ansatz leider noch nicht in jeder Entscheidungsebene hat durchsetzen können, so zeigt der Bedarf an qualifizierten offensiv ausgerichteten Spezialisten und die durchschnittlich recht hohe Auslastung entsprechender Dienstleister, dass dieser Dienstleistungsbereich eine wesentliche Rolle im Gesamtkonzept IT-Sicherheit in Firmen einnimmt. Und das ist auch gut so.

Der angesprochene offensive Umgang umfasst hierbei zwei wesentliche Ausprägungen: Penetrationstests und Red Teaming (oder Red Team Operationen)

Andere oft in diesem Zusammenhang genannte Maßnahmen, wie etwa Schwachstellenanalysen (Schwachstellenscans) oder Audits, sind aufgrund mangelnder Kreativität (bspw. Abarbeiten von Checklisten) und fehlender Unabhängigkeit aus unserer Sicht nicht dem "Offensive Security" Bereich zuzuschreiben, aber dennoch grundsätzlich wichtige Bausteine im Gesamtkonzept IT-Sicherheit in Firmennetzen.

Natürlich sollte hierbei beachtete werden, dass diese Unterteilung keineswegs Anspruch auf allgemeine Gültigkeit besitzt. Wie in jeder Branche lebt das Produkt vom Marketing, das es begleitet. Je nach Quelle und/oder Firma, die entsprechend Dienstleistungen anpreist, kann es zu anderen Unterteilungen kommen. Wir haben diese Unterteilung aus rein fachlicher Sicht vollzogen. Das Produkt, welches Sie als Kunde am Ende von uns erhalten ist stets an Ihre Bedürfnisse angepasst und lässt sich nicht zwingend in etwaige Schubladen einordnen.

Penetrationstests

Ein Penetrationstest umfasst Prüfungen der technischen sowie organisatorischen Sicherheitsmaßnahmen, wobei der Fokus eher auf technischen Aspekten liegt. Hierbei werden oft vorab definierte Zugangspunkte zu den zu testenden Systemen durch den Auftraggeber bereitgestellt. Penetrationstests können Einzelsysteme, wie auch ganze Infrastrukturen beinhalten. Derartige Tests sind häufig individualisiert und auf die Zielsysteme zugeschnitten. Identifizierte Schwachstellen werden je nach Art und Umfang der Beauftragung ausgenutzt, um deren tatsächlichen Impact besser abschätzen zu können.

Kurzum, PenTests konzentrieren sich auf:

  • Patchstände
  • Konfigurationsprobleme
  • bereits implementierte IT-Sicherheitsmaßnahmen (IDS/IPS, Firewalls, Verschlüsselung, ...)
... und setzen voraus, dass:
  • Zugang zum Zielsystem bereitgestellt wird
  • Dokumentation bereitgestellt werden kann
  • gesamte IT-Organisation involviert wird

Penetrationstests sind von abschätzbarer Komplexität und daher verhältnismäßig günstig. Ein weiterer Vorteil dieser Ausprägung liegt in der Planbarkeit der Ergebnisse. Da es sich bei dem Ziel um dedizierte Systeme (oder Netze) handelt, ist der zeitliche Aufwand und der zu erwartende Output (Bericht nach Maßgabe des Auftraggebers) einfach planbar. Etwaige Risiken (bspw. Ausfall von Systemen) sind minimal.


Red Teaming

Die Idee einer solchen Maßnahme lässt sich im Grunde gut zusammenfassen: "Wie würde ein echter Angriff auf unser Produktivsystem aussehen?"

Anders als bei einem Penetrationstest liegt nun der Fokus nicht länger ausschließlich auf technischen Maßnahmen. Selbstverständlich werden auch hierbei Sicherheitslücken gesucht und ggf. ausgenutzt. Interessant ist jedoch insbesondere der Umgang der IT-Organisation mit Extremsituationen/Angriffen. Anders als beim Penetrationstest, möchte ein Red Team nicht zwangsläufig alle Schwachstellen eines Systems identifizieren, sondern nur jene, die es für die Erfüllung des Auftrags (beispielsweise Einbruch in ein Zielnetz) benötigt. Im Mittelpunkt steht demnach der Auftrag und nicht nur das Einzelsystem. Wie dieser Auftrag genau aussieht, wird vorab vereinbart.

Aus unserer Sicht ist eine solche Maßnahme am effizientesten, wenn vorab bereits alles unternommen wurde, um die eigene IT-Organisation optimal zu schützen. Ein Red Teaming bildet somit, als zusätzliche Maßnahme, einen ergänzenden, wenn auch zugleich sehr wertvollen Baustein im Gesamtkonzept IT-Sicherheit.

Menschen im Focus

Natürlich geht es nicht darum, einzelne Personen gezielt persönlich anzugreifen. Dennoch gilt der Mensch inzwischen als schwächstes Element in der IT-Verteidigung. Daher ist es wichtig hier nichts unversucht zu lassen ihr Team auf alles vorzubereiten, was Ihnen und Ihren Geschäftsprozessen gefährlich werden könnte.

Train as you fight

IT-Sicherheitskomponenten (IDS/IPS, Firewalls, ...) sind lediglich teure Briefbeschwerer, sofern Ihr Team nicht damit umzugehen weiß. Setzen Sie sich, Ihre Infrastruktur und Ihr Team einmal einem echten Stresstest aus. Die Systeme zu kennen und zu verstehen, wie sie sich in solchen Situation verhalten, verschafft Ihnen im Ernstfall den erforderlichen Überblick und lässt Ihr Team etwaigen Handlungsbedarf schnellstmöglich erkennen.

Blind / Black Box

Sie haben in der Hand wem welche Informationen zu welchem Zeitpunkt bekannt gegeben werden. Die Effizienz, insbesondere mit Blick auf Ihre IT-Organisation, steigt mit der Ungewissheit.

Selbiges gilt gewissermaßen für die Angreifer Seite. Das realistischste Bild erhalten Sie, wenn Sie auch dem Red Team keine weiteren Informationen bereitstellen. Die daraus resultierenden Rechercheergebnisse geben Ihnen obendrein ein Gefühl für Ihren digitalen Fußabdruck.

Prozesse prüfen

Eine Schwachstelle allein muss nicht zwangsläufig zu einem gefährlichen Angriff werden. Solange Ihre Prozesse funktionieren und Sie imi Stande sind Schwachstellen zu schließen, Angriffe schnell zu erkennen und angemessen zu reagieren, hat der Angreifer in aller Regel kein leichtes Spiel.

Hoher Aufwand

Ein Red Team gibt sich nicht so schnell geschlagen und entwickelt, sofern es der Auftrag zulässt, maßgeschneiderte Angriffe gegen das vorab festgelegte Ziel. Anders als etwa bei einem Penetrationstest, welches maßgeblich mit Schwachstellenlisten (sog. CVE-Listen) und bereits verfügbaren Angriffen (sog. Exploits) arbeitet.

Kontrolliert

Der Erfolg eines Red Teaming hängt nicht zuletzt von den Freiheitsgraden ab, die vorab festzulegen sind. Umso weniger Einschränkungen es gibt, desto besser kann sich die Kreativität des Red Teams entfalten. Dennoch werden die Maßnahmen vorab, bzw. bei Bedarf mit Ihnen besprochen. Sie erhalten einen Überblick über die geplante Maßnahme, das erhoffte Ergebnis und welche Konsequenzen folgen könnten. Sie haben zu jeder Zeit (wenn Sie das möchten) volle Kontrolle über die Art und Intensität der durchzuführenden Maßnahmen und können im Ernstfall den Not-Aus-Knopf betätigen.


Welches Produkt benötigen Sie nun?

Diese Frage können auch wir nicht pauschal beantworten. Natürlich ist ein Red Teaming die gründlichste und der Realität am ehesten entsprechende Maßnahme. Ebenso ist sie aber auch die aufwändigste und teuerste Maßnahme. Sind Sie allerdings bereits gut aufgestellt und davon überzeugt eine solide Absicherung implementiert zu haben, so wäre eine Penetrationstest wohl bereits unter Ihrem Niveau. Evtl. kommt für Sie auch eine Mischform in Frage.

Gerne können wir uns auch gemeinsam überlegen, welcher Maßnahmenumfang für Sie, Ihre IT-Landschaft und Ihr Team optimal wäre.

“Ein Intrusion Detection System ist wirkungslos, wenn man es nie in Aktion sieht.”

Björn Trappe, CTO