Bei diesem Ansatz handelt es sich um eine praktische Demonstration vor einem Managementkomitee, die veranschaulichen soll, was ein Computerangreifer mit ihren Systemen anstellen kann. Diese offensive Herangehensweise an die Sicherheit von Informationssystemen wird heute als wichtiger Bestandteil jeder Sicherheitsbewertung vor der Implementierung von Verbesserungen der bestehenden Schutzmaßnahmen angesehen.

 

PENTESTING UND RED TEAM TESTING, WAS IST DER UNTERSCHIED?

Penetrationtesting (auch Pentesting genannt)ist der heute am häufigsten verwendete offensive Ansatz. Pentesting wird eingesetzt, um schnell eine praktische Bewertung des Sicherheitsniveaus eines bestimmten geschützten Bereichs vorzunehmen. Der Prozess umfasst die folgenden Aspekte: Aufdeckung von technischen Schwachstellen, Bewertung des Ausnutzungspotenzials und Berichterstattung über die Risiken, die von den identifizierten Schwachstellen ausgehen.

 

Red Team Tests bieten einen umfassenderen Ansatz für das Testen: Red Team-Tests dienen der Bewertung der Gesamtsicherheit auf Unternehmensebene. Ziel ist es, das Vorhandensein von technischen und nicht-technischen Schwachstellen zu erkennen und die Erkennungs- und Reaktionsfähigkeiten der Abwehrteams (Blue Team) zu bewerten.

 

PENTEST PENETRATION TESTING: WIE SIE FUNKTIONIEREN

Es gibt zahlreiche etablierte Leitfäden und Referenz-Frameworks, die Intrusionstests erklären. Jeder dieser Leitfäden ist an eine bestimmte Methode angepasst, die heute verwendet wird (OSSTMM, OWASP, NIST, PASSI usw.). Die in jedem Leitfaden enthaltene Methodik folgt im Großen und Ganzen demselben Muster: Die Intrusionstests werden durch einen genauen Testumfang definiert und folgen einem oder mehreren verschiedenen Angriffsszenarien. Für jedes Szenario werden unterschiedliche Anforderungen festgelegt, um sicherzustellen, dass die durch die Tests gesammelten Informationen relevant sind und dass die Tests für die zu Beginn festgelegten Bedingungen (Zeitrahmen, verfügbare Ressourcen) geeignet sind.

 

Der Test kann beispielsweise mit einer „Blackbox“-Phase beginnen, in der die Tester einen Angreifer simulieren, der über keine spezifischen Informationen über das Ziel verfügt, gefolgt von einer „Greybox“-Phase, in der die Tester einen Angreifer simulieren, dem es gelungen ist, sich vor dem Angriff bestimmte Schlüsselinformationen zu verschaffen, z. B. ein Benutzerkonto mit Zugriffsrechten auf das getestete System. Die Tests werden entsprechend einer festgelegten Reihenfolge durchgeführt, die verschiedene Phasen zum Scannen der Schwachstellen und zur Ausnutzung der Schwachstellen umfasst. Die letztere Phase dient dazu, die entdeckte Schwachstelle zu bestimmen und gegebenenfalls den Umfang der Tests zu erweitern.

 

Bei Penetrationstests verschwenden Pentester aus Gründen der Effizienz keine Zeit damit, ihre Aktionen zu verbergen und unter dem Radar zu bleiben, wie es ein echter Angreifer während eines Angriffs tun würde.

 

RED TEAM MISSIONEN: WIE SIE ABLAUFEN

 

Methoden und Referenz-Frameworks

Der Einsatz von Red Team Tests ist eine viel neuere Entwicklung als Pentesting. Die wichtigsten Referenz-Frameworks befinden sich ebenfalls noch in den Kinderschuhen und brauchen Zeit, um sich zu entwickeln. Eines der ersten veröffentlichten Referenzmaterialien war „Cyber Red Teaming – Organisational, technical and legal implications in a military context“, das 2015 vom NATO Cooperative Cyber Defence Centre of Excellence veröffentlicht wurde. Es war für den militärischen Gebrauch gedacht und ist nicht ohne weiteres auf andere Kontexte übertragbar.

 

Ende 2017 veröffentlichte die Nederlandsche Bank (die niederländische Zentralbank) „TIBER: Threat Intelligence Based Ethical Red teaming“, das 2018 von der EZB (Europäische Zentralbank) zu TIBER-EU weiterentwickelt wurde. Dieses Dokument scheint sich zum wichtigsten Referenzmaterial für Red-Team-Tests entwickelt zu haben. Obwohl die Methode ursprünglich für den Einsatz im Bankensektor entwickelt wurde, ist sie auch auf andere Sektoren anwendbar. Sie ist in erster Linie für den Einsatz in großen Unternehmensorganisationen gedacht.

 

Eines der Merkmale des Materials ist, dass der Schwerpunkt von Anfang an auf der Durchführung von Informationsrecherchen (Threat Intelligence) liegt, sowie auf der Bedeutung der Beauftragung von Teams außerhalb der geprüften Organisation mit der Durchführung der Tests.Ziel: jede potenzielle Voreingenommenheit in Bezug auf die Informationen oder eine Verbindung zu vermeiden, die ein internes Team gegenüber einem externen Team haben könnte. Die TIBER-EU-Methode geht davon aus, dass die Teilnehmer, die die Phasen der Informationsbeschaffung durchführen, und die Verantwortlichen für die offensiven Phasen unterschiedliche Untergruppen sind.

 

Das ist nicht unbedingt ideal, wenn man sicherstellen will, dass die gesuchten Daten für die Durchführung des Angriffs am relevantesten sind. Und es ist auch nicht ideal, wenn man sicherstellen will, dass das offensive Team alle während der Ausführung des Angriffs gesammelten Informationen im Kopf behält. Die Methodik umfasst auch bestimmte Ergebnisse, darunter eine Wiederholung des Übungsszenarios, bei der das offensive Team (Red Team) und das defensive Team (Blue Team) zusammenarbeiten, um die von beiden Seiten während des Prozesses durchgeführten Aktionen zu überprüfen.

 

In Zusammenarbeit mit CREST hat die Bank of England kürzlich die CBEST Threat Intelligence-Led Assessments veröffentlicht, eine Methodik, die stärker auf den Bankensektor ausgerichtet ist als die ursprüngliche TIBER-EU und insbesondere an die britische Gesetzgebung angepasst wurde.

 

Angriffsszenario

Jede Red Team-Übung wird daher mit einer oder mehreren dieser Methoden durchgeführt, die speziell an die Bedürfnisse und Anforderungen des betreffenden Kunden angepasst sind. Sie werden unter Berücksichtigung kritischer Ziele definiert, die denen ähneln, die einen echten Angreifer dazu bewegen würden, das betreffende Unternehmen anzugreifen. Dazu könnte die Beschaffung vertraulicher Daten im Zusammenhang mit einem sensiblen Projekt, der Zugriff auf eine oder mehrere kritische Funktionen oder der Einsatz von Ransomware gehören.

 

Wie ein echter Angreifer beginnt auch eine Red Team-Mission mit einer Phase der Informationsrecherche, die sich auf den Kunden konzentriert, um die wahrscheinlichste Angriffsstrategie besser zu definieren. Zu den gesuchten Informationen gehören Details zu den von der Zielorganisation verwendeten Technologien und zu den Akteuren, die Zugang zu den Zielen haben, insbesondere durch OSINT (Open Source INTelligence: Informationen aus offenen Quellen). Auf der Grundlage der erhaltenen Informationen werden dann vom Red Team ein oder mehrere Angriffsszenarien entwickelt.

 

Um die Realität von böswilligem Verhalten besser zu simulieren, können die Szenarien sowohl physisches Eindringen als auch Social-Engineering-Techniken wie Phishing umfassen. Strategien, die einen optimalen Kompromiss zwischen Effizienz, Komplexität und Entdeckungsrisiko darstellen, werden bevorzugt. Sobald das Szenario vorbereitet ist, beginnt die Angriffsphase. Diese Phase umfasst in der Regel ein oder mehrere erste Eindringversuche, gefolgt von der Sammlung von Informationen, dem Scannen von Schwachstellen, seitlichen Bewegungen und der Erhöhung von Berechtigungen. Während dieser Phase verbirgt das Angriffsteam oft seine Aktionen, um für das Verteidigungsteam unsichtbar zu bleiben. Je nach Reaktion des Verteidigungsteams oder der Zielpersonen der Angriffe wird die Strategie dann entsprechend angepasst, um die vereinbarten Ziele zu verfolgen.

 

Gegebenenfalls können bestimmte Testphasen ausgelassen oder abgeändert werden, um den Anweisungen des Kunden, zeitlichen Beschränkungen und Budgetvorgaben Rechnung zu tragen. So könnte das Team beispielsweise die Phase der Informationsrecherche auslassen, indem es ein vom Kunden bereitgestelltes Einbruchsszenario verwendet. Ein solches Vorgehen ist jedoch nicht ohne Risiko. Eine Angriffsstrategie sollte der Strategie eines echten Angreifers sehr ähnlich sein. Es ist zwar nicht ideal, aber es ist auch möglich, das anfängliche Eindringen zu umgehen und davon auszugehen, dass ein Angreifer bereits in das System eingedrungen ist. Das Szenario beginnt dann direkt aus dem lokalen Netzwerk heraus. In diesem Szenario ist es jedoch unmöglich, die externen Verteidigungsmaßnahmen und die damit verbundenen Erkennungsmaßnahmen der betreffenden Organisation zu testen.

 

Eine andere Möglichkeit ist, dass sowohl das offensive als auch das defensive Team während der Übung zusammenarbeiten. Diese Zusammenarbeit zwischen blauen und roten Teilnehmern wird gemeinhin als Purple Team bezeichnet. Dadurch können defensive Teams schneller vorankommen, allerdings auf Kosten des Realismus, der im Allgemeinen durch die Interaktionen zwischen den Teams beeinträchtigt wird. Interne Red Teams sind häufig an dieser Art von Übung beteiligt, die insbesondere bei großen Unternehmen mit erheblichen Cybersicherheitsbedenken zusätzlich zu gelegentlichen Red Team-Übungen im engeren Sinne des Wortes kontinuierlich durchgeführt werden kann.

 

Das wichtigste Ergebnis des Penetrationstests ist ein Bericht, der es dem Kunden ermöglicht, die Bewertung seines Sicherheitsniveaus für den betreffenden Bereich oder das betreffende System zu verstehen. Der Bericht enthält eine Liste der gefundenen Schwachstellen sowie Empfehlungen für zukünftige Abhilfemaßnahmen. Für jede Schwachstelle führen die Pentester eine Bewertung nach dem CVSSv3-Standard durch. Der Grad der Kritikalität und die mit dem Vorgang verbundenen Risiken werden klar angegeben. Der Kunde kann daher einen Aktionsplan mit Prioritäten für die zu ergreifenden Abhilfemaßnahmen zur Verbesserung seiner Sicherheit festlegen.

 

Bei Red Team-Tests enthält der Bericht alle als relevant erachteten Informationen, die während der Phase der Informationsbeschaffung gesammelt wurden; eine detaillierte Beschreibung des Angriffs einschließlich der wichtigsten Erfolge und Misserfolge; die möglichen Kompromittierungsindikatoren (IOC), durch die der Angriff hätte entdeckt werden sollen, die Ausnutzungsketten gemäß der MITRE ATT&CK-Referenzdatenbank sowie eine Liste der entdeckten Schwachstellen, wie sie in gewöhnlichen Penetrationstestberichten angegeben sind. Außerdem findet ein Treffen mit Vertretern des offensiven und des defensiven Teams statt, um alle Aspekte des Angriffs zu besprechen, die möglicherweise vom defensiven Team entdeckt oder blockiert wurden. Das Ziel dieses Treffens ist es, so viel wie möglich aus der durchgeführten Übung zu lernen.