Purple Teaming: Gezielter Schlagabtausch, Prozesse und Monitoring verbessern

Die IT Security-Branche ist im ständigen Wandel. Jeden Tag werden neue Schwachstellen und Angriffstechniken bekannt gemacht und das Toolarsenal von Angreifern wächst beständig. Damit Ihre Überwachungsysteme und Teams auch die aktuellsten Angriffsmuster erkennen und schnell reagieren können, führt die SySS koordnierte Angriffe aus. Diese simulierten Szenarien können sowohl theoretisch als auch praktisch durchgespielt werden.

Dabei können verschiedene Aspekte getestet und geschult werden:

• Incident Response-Prozesse
• Implementation der Detektierungsmaßnahmen
• Konfiguration der Monitoring-Systeme

Die Angreiferposition wird vom Red Team eingenommen, während Experten aus der digitalen Forensik das Verteidigerteam (Blue Team) unterstützen. Das Zusammenspiel wird als Purple Teaming bezeichnet.

Mithilfe von abgestimmten Angriffen können mehrere Szenarien simuliert werden. Diese Simulation bietet die Möglichkeit, sowohl Fehler in der Konfiguration von Systemen zur Detektierung von aktiven Angriffen als auch Fehler in den festgelegten Prozessen zur Incident Response zu identifzieren.

Purple Team-Projekte werden über mehrere Tage durchgeführt und beinhalten in der Regel die folgenden Aspekte:

• Planungsworkshop
• Vorbereitung technischer Komponenten
• Test der vordefinierten Szenarien
• Durchführung aktiver Angriffe und Gegenmaßnahmen
• Dokumentation

Phase 1: "Getting Started"-Workshop

Im Rahmen eines Workshops wird der Umfang des Purple Team Assessment gemeinsam mit Ihnen gesteckt. Anhand der folgenden Aspekte können Sie einen ersten Eindruck über den Workshopverlauf gewinnen, wobei wir hier sehr gerne auf Ihre individuellen Wünsche und Fragen eingehen:

• Kennenlernen
• Vorstellung des Rollenspielkonzepts
• Vorstellung des Purple Teaming-Konzepts
• Vorstellung der Module/Phasen
• Definition des Ziels

Das Ziel des Workshops besteht darin, dass im Anschluss ein individualisierter und kundenorientierter Ablaufplan für das Purple Team Assessment erstellt werden kann.

Phase 2: Theorie, Rollenspiel

Hier wird ein gewähltes Bedrohungsszenario durchgespielt. Die Basis für das Szenario liefert der zuvor durchgeführte Purple Team-Planungsworkshop. Ziel ist das vollständige Durchlaufen eines Incident in einem möglichst realistischen Szenario bis zur Herstellung eines Notbetriebs. Hierbei liegt der Fokus auf dem Entscheiden und Ergreifen der Maßnahmen (Prozesse). Die Reaktion Ihres Hauses auf getroffene Maßnahmen wird durch den Spielleiter simuliert. Im kleinen Rahmen werden zudem von Einzelpersonen Aufgaben erledigt, welche die Durchführbarkeit der getroffenen Maßnahmen prüfen.

Phase 3: Offenes technisches Purple Team Assessment

Im offenen technischen Purple Teaming werden Szenarien mit dem jeweiligen Blue Team besprochen. Anhand dieser Szenarien werden die Übungen praktisch durchgeführt. Hierbei richtet sich die SySS nach den Anforderungen des Kunden, inwieweit bereits bei der Durchführung offengelegt wird, welche Angriffsvektoren die SySS wählt. Im „Purple Team Playbook“ sind diverse Vorschläge für Szenarien sowie deren Zielsetzung enthalten. Gerne ergänzen wir diese durch Ihre individuellen Szenarien, welche auch im Workshop entwickelt werden können.

Phase 4: Verdecktes technisches Purple Team Assessment

Die SySS führt verdeckt mit einem engen Personenkreis Angriffe durch. Dabei steht das zuvor erarbeitete Wissen des Blue Team im Vordergrund. In dieser Phase wird getestet, ob das zuvor erarbeitete Wissen im Alltag angewendet werden kann. Auch hier kann auf das Purple Team Playbook oder auf die im Planungsworkshop erarbeiteten Szenarien zurückgegriffen werden.