Red Teaming
Erkennt und übersteht Ihr Unternehmen einen echten Cyberangriff?
Red Teaming
Handlungssicherheit im Ernstfall! Das ist das Ziel eines Red Teamings. Wir agieren wie echte Angreifer und greifen Ihr Unternehmen an. Ohne Kompromisse.
Red Teamings zielen auf die Erfüllung eines vorher festgelegten Auftrages ab. Dieser kann zum Beispiel das Ausschleusen bestimmter Firmengeheimnisse oder die Lahmlegung einer bestimmten Business Unit sein.
Im Fokus steht damit nicht zwangsläufig das Aufdecken aller technischen Schwachstellen im Unternehmen. Viel wichtiger ist die Analyse der Prozesse, die im Falle einer Erkennung des Angriffs in Gang gesetzt werden. Sind die Maßnahmen wirkungsvoll? Sie die Verteidiger in der Lage, die richtigen Maßnahmen zu treffen?
Aus unserer Sicht sind die Ergebnisse einer solchen Maßnahme am effizientesten, wenn vorab bereits alles unternommen wurde, um Ihre IT-Organisation optimal zu schützen. Ein Red Teaming bildet somit einen ergänzenden Baustein.
Es geht im Kern darum, Ihnen und Ihrem Team zu vermitteln wie ein realer Angriff aussieht und Ihr Team so zu befähigen, diesen Angriff bestmöglich zu bestehen.
Was ist der Unterschied zwischen einem Penetrationstest und Red Teaming?
Ein Penetrationstest, auch als Pen-Test bezeichnet, ist eine Überprüfung der Sicherheit von Computersystemen, um möglichst alle Schwachstellen und Sicherheitslücken der geprüften Systeme und Anwendungen aufzudecken.
Im Gegensatz dazu bezieht sich Red Teaming auf die Simulation von Angriffen durch ein feindliches oder bedrohliches Szenario, um die Fähigkeiten und Verfahren eines Unternehmens oder einer Organisation im Umgang mit Bedrohungen zu testen.
Im Allgemeinen ist Red Teaming ein umfassenderer Ansatz, der auch die menschliche Komponente von Angriffen und Verteidigungen berücksichtigt, während Penetrationstests sich hauptsächlich auf technische Schwachstellen konzentrieren.
Wichtig zu wissen: Das Team der Verteidiger (Blue Team) ist in die Planung und Vorbereitung des Red Teamings, im Gegensatz zu Durchführung eines Penetrationstests, nicht eingeweiht. Ein wesentlicher Bestandteil des Red Teamings ist die Analyse, ob und wann ein Angriff entdeckt wird und wie die Prozesse nach der Entdeckung funktionieren.
Wie läuft Red Teaming ab?
Eine Red Teaming Kampagne besteht im Allgemeinen aus mehreren Phasen, darunter:
1. Pre-Engangement Aktivitäten
In dieser Phase werden die Ziele und das Ziel des Red Teaming festgelegt, ein Team zusammengestellt und ein Plan für die Durchführung der Kampagne erstellt. Wir beginnen mit einer eingehenden Analyse Ihrer Organisation, um klare Ziele und Schwerpunkte für das Red Teaming Assessment zu definieren. Dies ermöglicht es uns, Ihre spezifischen Anforderungen und Sicherheitsziele zu verstehen.
2. Intelligence Gathering
Durch Identifikation potenzieller Ziele und die Sammlung von Informationen über Ihre Organisation erhalten wir ein umfassendes Bild Ihrer Infrastruktur, Mitarbeiter und Netzwerktopologien.
3. Threat-Modelling
Basierend auf den gesammelten Informationen entwickeln wir realistische Angriffsszenarien, um die Sicherheitslage Ihrer Organisation zu testen. Unser Fokus liegt auf der Identifizierung von Schwachstellen, die für potenzielle Angreifer von Interesse sein könnten.
4. Schwachstellenanalyse
Durch aktive Suche identifizieren wir Schwachstellen in Ihrer Infrastruktur, Anwendungen und physischen Sicherheitsmaßnahmen.
5. Exploitation
Wir simulieren Angriffe, um die Identifizierung und Ausnutzung von Schwachstellen zu testen. Dabei setzen wir realistische Methoden und Techniken ein, um den Ansatz eines echten Angreifers zu simulieren.
6. Post-Exploitation
Wir prüfen die Ausweitung von Zugriffsrechten, um die Wirksamkeit Ihrer internen Sicherheitsmaßnahmen zu bewerten.
7. Reporting und Debriefing
Wir erfassen Daten, um den Erfolg der Angriffe zu bewerten und identifizieren Schwachstellen, die möglicherweise nicht sofort offensichtlich sind. Nach Abschluss der Tests erstellen wir einen umfassenden Bericht mit den identifizierten Schwachstellen, erfolgreichen Angriffsszenarien und konkreten Empfehlungen für Sicherheitsverbesserungen.
Wir setzen uns mit Ihnen zusammen, um die Ergebnisse zu besprechen, Fragen zu beantworten und unsere Empfehlungen zu erläutern.
Die Phasen können sich je nach Anwendungsfall und Kunden in der Ausprägung unterscheiden.
Kontinuierliches Red Teaming
Die Durchführung eines kontinuierlichen Red Teamings ist empfehlenswert. Hier können in Absprache mit der auftraggebenden Stelle regelmäßig unterschiedliche Schwerpunkte gesetzt werden, um ein umfangreiches Bild der Sicherheit und der Prozesse zu gewinnen.
Schwerpunkte können sein:
- Faktor Mensch (bspw. Spear-Phishing, Vishing)
- Offene Informationsgewinnung (OSINT, Darknet-Recherche, Passwort-Leaks)
- Perimeter Sicherheit
- Technische Sicherheit
- Intrusion Detection
In der Regel gibt die auftraggebende Stelle ein Budget für einen Zeitraum frei, in dem das Red Teaming durchgeführt wird. So ist auch dem Auftraggeber nicht klar, wann genau die Angriffe stattfinden. So kann ein realistischeres Bild gezeichnet werden.
Wann macht Red Teaming für mein Unternehmen Sinn?
- Ihr Unternehmen stützt sich bereits auf eine gewachsene IT-Sicherheitsinfrastruktur
- Sie beschäftigen ein Blue-Team oder Personal, dass sich in erster Linie mit der Verteidigung der Systeme beschäftigt
- Sie sind besonderen Bedrohungen ausgesetzt, bspw. durch aggressive Konkurrenten, staatliche Akteure
- Sie haben einen einen hohen Anspruch an Ihre IT-Sicherheit und möchten sich nicht nur auf Theorie und Konzepte verlassen, sondern ein realitätsgetreues Bild erhalten.
Die Kollegen von Laokoon waren für uns bei wirklich jeder Frage umgehend zur Stelle und haben unkompliziert unterstützt.
Teamleiter Entwicklung