Worauf es beim Red Teaming ankommt

Datensicherheit, IT-Experten

red team

Man kann nicht wirklich wissen, wie sicher seine Systeme sind, bis sie angegriffen werden. Diese Security-Binsenweisheit ist der Grundgedanke hinter dem Red Teaming-Ansatz, der in jüngster Zeit mehr und mehr an Bedeutung gewinnt. Denn anstatt das Risiko einzugehen und auf einen wirklichen Angriff zu warten, wird dieser durch ein spezielles Team simuliert. Dieses Red Team schlüpft in die Rolle eines Angreifers und versucht auf den unterschiedlichsten Wegen, in die Unternehmenssysteme einzudringen. Oft wird dabei auf spezielle, extern beauftragte Experten zurückgegriffen, allerdings kann es sich dabei auch um ein Team aus Sicherheitsspezialisten des eigenen Unternehmens handeln. Den Mehrwert, den ein solches Team bietet, kann durch ein einfaches Szenario verdeutlicht werden: Ein Unternehmen hat einen extrem gut entwickelten Pentesting-Prozess und wiegt sich deshalb in Sicherheit, dass seine Systeme nicht von externen Angreifern durchbrochen werden können. Ein Red Team ist in der Lage, dies zu erkennen und einen anderen, wesentlich direkteren Ansatz zu wählen: Es könnte etwa eine Zugangskarte für Mitarbeiter fälschen, das Gebäude betreten und den Mitarbeitern sagen, sie seien „aus der IT“. In einigen Fällen werden hilfsbereite Mitarbeiter ihnen Zugang zu sensiblen Räumen und Daten gewähren, sie diese kopieren und mitnehmen lassen. Auch wenn sich dies unwahrscheinlich anhört, sind solche Fälle durchaus schon passiert.

Grundsätzlich können alle Unternehmen vom Red Teaming-Ansatz profitieren. Gleichwohl hängt der richtige Zeitpunkt und die Häufigkeit dieser (verhältnismäßig aufwändigen) Operationen von verschiedenen Faktoren ab, etwa der Branche oder auch des Reifegrads der Cyberabwehr. Einfach gesagt: Das Unternehmen sollte bereits eine gewisse Cyber-Resilienz vorweisen können, da ansonsten der Aufwand und der Erkenntnisgewinn in keinem Verhältnis zueinander stehen. Entsprechend sollten bereits automatisierte Schwachstellenanalysen durchgeführt und die automatisierte Technologie auch mit menschlicher Intelligenz kombiniert werden – etwa, indem man regelmäßige Penetrationstests durchführt. Ist dies (noch) nicht der Fall, werden die „Angreifer“ zu leichtes Spiel haben und in der Lage sein, die Umgebung so schnell und einfach zu kompromittieren, dass es wenig zu lernen gibt. Um wirklich effektiv zu sein, müssen die vom roten Team gewonnenen Erkenntnisse durch vorherige Penetrationstests und Schwachstellenbewertungen in einen kenntnisbringenden Kontext gestellt werden.

Echter Härtetest für die Security

Im Gegensatz zu anderen, durchaus sinnvollen Security-Tests, liegt der große Vorteil des Red Team-Ansatzes darin, ein umfassendes Bild des Sicherheitsniveaus zu liefern. Ein typischer Red Teaming-Prozess umfasst Penetrationstests (Netzwerke, Anwendungen, Mobiltelefone, weitere Geräte), Social Engineering (vor Ort, via Telefon, E-Mail/Text, Chat) und physisches Eindringen (Diebstahl von Schlössern, Umgehen von Kameras, Umgehen von Alarmen). Wenn es in einem dieser Aspekte der Systeme eine Schwachstelle gibt, wird diese aufgedeckt. Und ist die Schwachstellen aufgedeckt, kann sie behoben werden. Effektive Red Team-Operationen enden dabei nicht mit der Entdeckung von Sicherheitslücken. Nachdem diese isoliert und behoben wurden, sollte ein weiterer Test durchgeführt werden. Zudem sollte nach dem Eindringen der „Angreifer“ eine forensische Analyse des Angriffs durchgeführt werden, um auch hier mögliche Schwachpunkte identifizieren zu können.

Wenn Red Teaming in Verbindung mit anderen Techniken der Bedrohungsanalyse eingesetzt wird, bietet der Ansatz noch weitere Vorteile: So kann Red Teaming

  • das Risiko und die Anfälligkeit für Angriffe auf wichtige und sensible Unternehmensdaten identifizieren.
  • die Techniken, Taktiken und Verfahren (TTP) echter Bedrohungsakteure in einer risikobeherrschten und kontrollierten Art und Weise simulieren.
  • zu bewerten helfen, wie Unternehmen ausgeklügelte und gezielte Bedrohungen erkennen, hierauf reagieren und diese verhindern.

Ablauf

Für gewöhnlich besteht ein Red Teaming-Prozess aus mehreren Phasen:

  • Zunächst legt das Unternehmen gemeinsam mit dem roten Team (dabei spielt es keine Rolle, ob es ein internes oder externes ist) das Ziel der Übung fest. Dies könnte zum Beispiel der Diebstahl sensibler Unternehmensinformationen von einem bestimmten Server sein.
  • Das rote Team führt zunächst eine Erkundung des Ziels durch. Das Ergebnis ist eine Art Karte der Zielsysteme, einschließlich der Netzwerkdienste, Webanwendungen und Mitarbeiterportale.
  • Die „Angreifer“ finden in einem Zielsystem Schwachstellen, etwa durch den Einsatz von Phishing-Techniken oder Cross-Site-Scripting (XSS).
  • Sobald sie sich Zugang gesichert haben, werden die „Angreifer“ diesen dazu nutzen, um nach weiteren Schwachstellen zu suchen.
  • Dabei versucht das rote Team, seine Zugriffsrechte auf die für das Zielsystem benötigte Stufe zu eskalieren.
  • Sobald dies geschehen ist, hat das rote Team sein Ziel erreicht.

Um die einzelnen Schritte umzusetzen, können die Mitglieder des roten Teams eine Vielzahl von Techniken und Verfahren anwenden. Es ist wichtig zu verstehen, dass durch diesen Prozess deutlich gemacht wird, dass bereits eine kleine Schwachstelle in einem einzelnen System zu einem verheerenden Schaden führen kann.

Es ist klar, dass sich die verwendeten Systeme und Prozesse von Unternehmen zu Unternehmen unterscheiden. Entsprechend muss die Suche nach Schwachstellen und Sicherheitslücken ganz speziell auf das jeweilige Unternehmen zugeschnitten werden. Bei Red Teaming gibt es keinen Standardplan, den man 1:1 durchlaufen und abhaken kann. Um das Maximum aus einer Red Teaming-Aktion herauszuholen, müssen sich Unternehmen gründlich vorbereiten und die folgenden Punkte genau kennen:

Die eigenen Systeme

Zuallererst muss festgelegt werden, welche Systeme und Prozesse überhaupt getestet werden sollen. Diese sollten die Sicherheitsverantwortlichen gut kennen und auch wissen, wie sie mit anderen Systemen verbunden sind und interagieren. Möchte man beispielsweise Webanwendungen testen, benötigt man eine gute Vorstellung davon, welche anderen Systeme in diese integriert sind, und sollte hier bereits vor dem Red Teaming mögliche Schwachstellen erkennen und schließen.

Das eigene Netzwerk

Ganz ähnlich verhält es sich mit dem Netzwerk, wenngleich hier mehr die technischen Spezifikationen ins Blickfeld rücken. Je besser man in der Lage ist, die Testumgebung zu quantifizieren, desto genauer und spezifischer kann das rote Team agieren.

Das Budget

Red Teaming kann in unterschiedlichem Umfang durchgeführt werden. Ein simulierter Angriff, der das gesamte Spektrum bis hin zu Social Engineering und physisches Eindringen abdeckt, kann schnell recht teuer werden. Aus diesem Grund ist es wichtig, sein Budget zu kennen und den Umfang des Tests entsprechend festzulegen – immer ausgerichtet auf die eigenen Anforderungen.

Die Risiko-Stufe

Bei allen Cybersecurity-Anstrengungen geht es letztlich darum, das Risiko zu minimieren. Dabei sind einige Unternehmen in der Lage, auch ein vergleichsweises hohes Risiko im Rahmen ihrer Standard-Prozesse zu tolerieren. Andere, vor allem solche in stark regulierten Branchen mit detaillierten und komplexen Compliance-Anforderungen, müssen ihr Risikoniveau in viel stärkerem Maße begrenzen. Beim Red Teaming sollte man sich deshalb auf die Risiken konzentrieren, die tatsächlich Konsequenzen für das Unternehmen haben.

Red Teaming ist eine leistungsstarke Technik zum Testen der Sicherheitsschwachstellen eines Unternehmens – wenn sie sorgfältig eingesetzt wird. Bevor man von den Vorteilen dieses Ansatzes wirklich profitieren kann, muss man zunächst seine Security-Hausaufgaben machen und über ausgereifte Schutzmaßnahmen verfügen. Richtig durchgeführt, kann Red Teaming die Schwachstellen der eigenen Systeme aufdecken, an die man nicht einmal im Entferntesten gedacht hat. Durch diesen Ansatz können Unternehmen simulieren, wie Angreifer wirklich vorgehen würden, wenn sie es auf das Unternehmen abgesehen hätten und beispielsweise sensible Daten stehlen wollen würden. Und sie sind in der Lage, basierend auf den Ergebnissen, die richtigen Schlussfolgerungen zu ziehen und ihre Sicherheit nachhaltig und zielgerichtet zu verbessern.

Avatar

Klaus Nemelka

Technology Evangelist for Varonis Systems & Head of Marketing for DACH region, Klaus also writes Cybersecurity related content for the Blog.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990