Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Worauf es beim Red Teaming ankommt

Man kann nicht wirklich wissen, wie sicher seine Systeme sind, bis sie angegriffen werden. Diese Security-Binsenweisheit ist der Grundgedanke hinter dem Red Teaming-Ansatz, der in jüngster Zeit mehr und mehr an Bedeutung gewinnt.
Klaus Nemelka
4 minute gelesen
Letzte aktualisierung 1. November 2021

Inhalt

    Man kann nicht wirklich wissen, wie sicher seine Systeme sind, bis sie angegriffen werden. Diese Security-Binsenweisheit ist der Grundgedanke hinter dem Red Teaming-Ansatz, der in jüngster Zeit mehr und mehr an Bedeutung gewinnt. Denn anstatt das Risiko einzugehen und auf einen wirklichen Angriff zu warten, wird dieser durch ein spezielles Team simuliert. Dieses Red Team schlüpft in die Rolle eines Angreifers und versucht auf den unterschiedlichsten Wegen, in die Unternehmenssysteme einzudringen. Oft wird dabei auf spezielle, extern beauftragte Experten zurückgegriffen, allerdings kann es sich dabei auch um ein Team aus Sicherheitsspezialisten des eigenen Unternehmens handeln. Den Mehrwert, den ein solches Team bietet, kann durch ein einfaches Szenario verdeutlicht werden: Ein Unternehmen hat einen extrem gut entwickelten Pentesting-Prozess und wiegt sich deshalb in Sicherheit, dass seine Systeme nicht von externen Angreifern durchbrochen werden können. Ein Red Team ist in der Lage, dies zu erkennen und einen anderen, wesentlich direkteren Ansatz zu wählen: Es könnte etwa eine Zugangskarte für Mitarbeiter fälschen, das Gebäude betreten und den Mitarbeitern sagen, sie seien „aus der IT“. In einigen Fällen werden hilfsbereite Mitarbeiter ihnen Zugang zu sensiblen Räumen und Daten gewähren, sie diese kopieren und mitnehmen lassen. Auch wenn sich dies unwahrscheinlich anhört, sind solche Fälle durchaus schon passiert.

    Grundsätzlich können alle Unternehmen vom Red Teaming-Ansatz profitieren. Gleichwohl hängt der richtige Zeitpunkt und die Häufigkeit dieser (verhältnismäßig aufwändigen) Operationen von verschiedenen Faktoren ab, etwa der Branche oder auch des Reifegrads der Cyberabwehr. Einfach gesagt: Das Unternehmen sollte bereits eine gewisse Cyber-Resilienz vorweisen können, da ansonsten der Aufwand und der Erkenntnisgewinn in keinem Verhältnis zueinander stehen. Entsprechend sollten bereits automatisierte Schwachstellenanalysen durchgeführt und die automatisierte Technologie auch mit menschlicher Intelligenz kombiniert werden – etwa, indem man regelmäßige Penetrationstests durchführt. Ist dies (noch) nicht der Fall, werden die „Angreifer“ zu leichtes Spiel haben und in der Lage sein, die Umgebung so schnell und einfach zu kompromittieren, dass es wenig zu lernen gibt. Um wirklich effektiv zu sein, müssen die vom roten Team gewonnenen Erkenntnisse durch vorherige Penetrationstests und Schwachstellenbewertungen in einen kenntnisbringenden Kontext gestellt werden.

    Echter Härtetest für die Security

    Im Gegensatz zu anderen, durchaus sinnvollen Security-Tests, liegt der große Vorteil des Red Team-Ansatzes darin, ein umfassendes Bild des Sicherheitsniveaus zu liefern. Ein typischer Red Teaming-Prozess umfasst Penetrationstests (Netzwerke, Anwendungen, Mobiltelefone, weitere Geräte), Social Engineering (vor Ort, via Telefon, E-Mail/Text, Chat) und physisches Eindringen (Diebstahl von Schlössern, Umgehen von Kameras, Umgehen von Alarmen). Wenn es in einem dieser Aspekte der Systeme eine Schwachstelle gibt, wird diese aufgedeckt. Und ist die Schwachstellen aufgedeckt, kann sie behoben werden. Effektive Red Team-Operationen enden dabei nicht mit der Entdeckung von Sicherheitslücken. Nachdem diese isoliert und behoben wurden, sollte ein weiterer Test durchgeführt werden. Zudem sollte nach dem Eindringen der „Angreifer“ eine forensische Analyse des Angriffs durchgeführt werden, um auch hier mögliche Schwachpunkte identifizieren zu können.

    Wenn Red Teaming in Verbindung mit anderen Techniken der Bedrohungsanalyse eingesetzt wird, bietet der Ansatz noch weitere Vorteile: So kann Red Teaming

    • das Risiko und die Anfälligkeit für Angriffe auf wichtige und sensible Unternehmensdaten identifizieren.
    • die Techniken, Taktiken und Verfahren (TTP) echter Bedrohungsakteure in einer risikobeherrschten und kontrollierten Art und Weise simulieren.
    • zu bewerten helfen, wie Unternehmen ausgeklügelte und gezielte Bedrohungen erkennen, hierauf reagieren und diese verhindern.

    Ablauf

    Für gewöhnlich besteht ein Red Teaming-Prozess aus mehreren Phasen:

    • Zunächst legt das Unternehmen gemeinsam mit dem roten Team (dabei spielt es keine Rolle, ob es ein internes oder externes ist) das Ziel der Übung fest. Dies könnte zum Beispiel der Diebstahl sensibler Unternehmensinformationen von einem bestimmten Server sein.
    • Das rote Team führt zunächst eine Erkundung des Ziels durch. Das Ergebnis ist eine Art Karte der Zielsysteme, einschließlich der Netzwerkdienste, Webanwendungen und Mitarbeiterportale.
    • Die „Angreifer“ finden in einem Zielsystem Schwachstellen, etwa durch den Einsatz von Phishing-Techniken oder Cross-Site-Scripting (XSS).
    • Sobald sie sich Zugang gesichert haben, werden die „Angreifer“ diesen dazu nutzen, um nach weiteren Schwachstellen zu suchen.
    • Dabei versucht das rote Team, seine Zugriffsrechte auf die für das Zielsystem benötigte Stufe zu eskalieren.
    • Sobald dies geschehen ist, hat das rote Team sein Ziel erreicht.

    Um die einzelnen Schritte umzusetzen, können die Mitglieder des roten Teams eine Vielzahl von Techniken und Verfahren anwenden. Es ist wichtig zu verstehen, dass durch diesen Prozess deutlich gemacht wird, dass bereits eine kleine Schwachstelle in einem einzelnen System zu einem verheerenden Schaden führen kann.

    Es ist klar, dass sich die verwendeten Systeme und Prozesse von Unternehmen zu Unternehmen unterscheiden. Entsprechend muss die Suche nach Schwachstellen und Sicherheitslücken ganz speziell auf das jeweilige Unternehmen zugeschnitten werden. Bei Red Teaming gibt es keinen Standardplan, den man 1:1 durchlaufen und abhaken kann. Um das Maximum aus einer Red Teaming-Aktion herauszuholen, müssen sich Unternehmen gründlich vorbereiten und die folgenden Punkte genau kennen:

    Die eigenen Systeme

    Zuallererst muss festgelegt werden, welche Systeme und Prozesse überhaupt getestet werden sollen. Diese sollten die Sicherheitsverantwortlichen gut kennen und auch wissen, wie sie mit anderen Systemen verbunden sind und interagieren. Möchte man beispielsweise Webanwendungen testen, benötigt man eine gute Vorstellung davon, welche anderen Systeme in diese integriert sind, und sollte hier bereits vor dem Red Teaming mögliche Schwachstellen erkennen und schließen.

    Das eigene Netzwerk

    Ganz ähnlich verhält es sich mit dem Netzwerk, wenngleich hier mehr die technischen Spezifikationen ins Blickfeld rücken. Je besser man in der Lage ist, die Testumgebung zu quantifizieren, desto genauer und spezifischer kann das rote Team agieren.

    Das Budget

    Red Teaming kann in unterschiedlichem Umfang durchgeführt werden. Ein simulierter Angriff, der das gesamte Spektrum bis hin zu Social Engineering und physisches Eindringen abdeckt, kann schnell recht teuer werden. Aus diesem Grund ist es wichtig, sein Budget zu kennen und den Umfang des Tests entsprechend festzulegen – immer ausgerichtet auf die eigenen Anforderungen.

    Die Risiko-Stufe

    Bei allen Cybersecurity-Anstrengungen geht es letztlich darum, das Risiko zu minimieren. Dabei sind einige Unternehmen in der Lage, auch ein vergleichsweises hohes Risiko im Rahmen ihrer Standard-Prozesse zu tolerieren. Andere, vor allem solche in stark regulierten Branchen mit detaillierten und komplexen Compliance-Anforderungen, müssen ihr Risikoniveau in viel stärkerem Maße begrenzen. Beim Red Teaming sollte man sich deshalb auf die Risiken konzentrieren, die tatsächlich Konsequenzen für das Unternehmen haben.

    Red Teaming ist eine leistungsstarke Technik zum Testen der Sicherheitsschwachstellen eines Unternehmens – wenn sie sorgfältig eingesetzt wird. Bevor man von den Vorteilen dieses Ansatzes wirklich profitieren kann, muss man zunächst seine Security-Hausaufgaben machen und über ausgereifte Schutzmaßnahmen verfügen. Richtig durchgeführt, kann Red Teaming die Schwachstellen der eigenen Systeme aufdecken, an die man nicht einmal im Entferntesten gedacht hat. Durch diesen Ansatz können Unternehmen simulieren, wie Angreifer wirklich vorgehen würden, wenn sie es auf das Unternehmen abgesehen hätten und beispielsweise sensible Daten stehlen wollen würden. Und sie sind in der Lage, basierend auf den Ergebnissen, die richtigen Schlussfolgerungen zu ziehen und ihre Sicherheit nachhaltig und zielgerichtet zu verbessern.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Klaus Nemelka
    Klaus Nemelka

    Technology Evangelist for Varonis Systems & Head of Marketing for DACH region, Klaus also writes Cybersecurity related content for the Blog.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?