Purple Teaming: Gezielter Schlagabtausch, Prozesse und Monitoring verbessern

Angriff und Verteidigung koordiniert erleben

Die IT Security-Branche ist im ständigen Wandel. Jeden Tag werden neue Schwachstellen und Angriffstechniken bekannt gemacht und das Toolarsenal von Angreifern wächst beständig. Damit Ihre Überwachungsysteme und Teams auch die aktuellsten Angriffsmuster erkennen und schnell reagieren können, führt die SySS koordnierte Angriffe aus. Diese simulierten Szenarien können sowohl theoretisch als auch praktisch durchgespielt werden.

Dabei können verschiedene Aspekte getestet und geschult werden:

  • Incident Response-Prozesse
  • Implementation der Detektierungsmaßnahmen
  • Konfiguration der Monitoring-Systeme

Die Angreiferposition wird vom Red Team eingenommen, während Experten aus der digitalen Forensik das Verteidigerteam (Blue Team) unterstützen. Das Zusammenspiel wird als Purple Teaming bezeichnet.

Erkenntnisgewinn

Mithilfe von abgestimmten Angriffen können mehrere Szenarien simuliert werden. Diese Simulation bietet die Möglichkeit, sowohl Fehler in der Konfiguration von Systemen zur Detektierung von aktiven Angriffen als auch Fehler in den festgelegten Prozessen zur Incident Response zu identifzieren.

Sie interessieren sich für Purple Teaming?

Steffen Stepper
steffen.stepper(at)syss.de
redteam(at)syss.de
+49 (0)7071 - 40 78 56-6157
PGP Key

Projektumfang

Purple Team-Projekte werden über mehrere Tage durchgeführt und beinhalten in der Regel die folgenden Aspekte:

  • Planungsworkshop
  • Vorbereitung technischer Komponenten
  • Test der vordefinierten Szenarien
  • Durchführung aktiver Angriffe und Gegenmaßnahmen
  • Dokumentation

Der Purple Team-Prozess

Insofern ein Unternehmen noch dabei ist, ein Security Operations Center (SOC) aufzubauen, macht es Sinn, nicht direkt mit einem technischen Purple Teaming zu starten, da in einem technischen Purple Teaming nicht die Prozesse im Vordergrund stehen. Diese sollten aber für eine perfekte Abwehr als erstes modelliert und gelebt werden. Aus diesem Grund hat die SySS einen Purple Team-Prozess vorgesehen, in dem das SOC Schritt für Schritt weitergebildet wird. Ziel ist es, zuerst Prozesse zu schaffen, zu testen und zu festigen. Anschließend werden die technischen Möglichkeiten mit der vorhandenen Infrastruktur sowie die Fähigkeiten der Mitarbeitenden betrachtet. Mitarbeitende werden direkt geschult und die vorhandene Infrastruktur bestmöglich optimiert. In der letzten Phase entfällt die Unterstützung der DFIR-Abteilung der SySS für das Blue Team des Kunden. Hier soll das erlernte Wissen getestet werden. Anschließend gibt es einen Workshop, in dem die Ergebnise besprochen werden.

Phase 1: "Getting Started"-Workshop

Im Rahmen eines Workshops wird der Umfang des Purple Team Assessment gemeinsam mit Ihnen gesteckt. Anhand der folgenden Aspekte können Sie einen ersten Eindruck über den Workshopverlauf gewinnen, wobei wir hier sehr gerne auf Ihre individuellen Wünsche und Fragen eingehen:

  • Kennenlernen
  • Vorstellung des Rollenspielkonzepts
  • Vorstellung des Purple Teaming-Konzepts
  • Vorstellung der Module/Phasen
  • Definition des Ziels

Das Ziel des Workshops besteht darin, dass im Anschluss ein individualisierter und kundenorientierter Ablaufplan für das Purple Team Assessment erstellt werden kann.

Phase 2: Theorie, Rollenspiel

Hier wird ein gewähltes Bedrohungsszenario durchgespielt. Die Basis für das Szenario liefert der zuvor durchgeführte Purple Team-Planungsworkshop. Ziel ist das vollständige Durchlaufen eines Incident in einem möglichst realistischen Szenario bis zur Herstellung eines Notbetriebs. Hierbei liegt der Fokus auf dem Entscheiden und Ergreifen der Maßnahmen (Prozesse). Die Reaktion Ihres Hauses auf getroffene Maßnahmen wird durch den Spielleiter simuliert. Im kleinen Rahmen werden zudem von Einzelpersonen Aufgaben erledigt, welche die Durchführbarkeit der getroffenen Maßnahmen prüfen.

Phase 3: Offenes technisches Purple Team Assessment

Im offenen technischen Purple Teaming werden Szenarien mit dem jeweiligen Blue Team besprochen. Anhand dieser Szenarien werden die Übungen praktisch durchgeführt. Hierbei richtet sich die SySS nach den Anforderungen des Kunden, inwieweit bereits bei der Durchführung offengelegt wird, welche Angriffsvektoren die SySS wählt. Im „Purple Team Playbook“ sind diverse Vorschläge für Szenarien sowie deren Zielsetzung enthalten. Gerne ergänzen wir diese durch Ihre individuellen Szenarien, welche auch im Workshop entwickelt werden können.

Phase 4: Verdecktes technisches Purple Team Assessment

Die SySS führt verdeckt mit einem engen Personenkreis Angriffe durch. Dabei steht das zuvor erarbeitete Wissen des Blue Team im Vordergrund. In dieser Phase wird getestet, ob das zuvor erarbeitete Wissen im Alltag angewendet werden kann. Auch hier kann auf das Purple Team Playbook oder auf die im Planungsworkshop erarbeiteten Szenarien zurückgegriffen werden.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer