4. Red Teaming

Red Teaming: Gezielte Angriffe, um Ihre Unternehmenssicherheit zu testen

APT geplant erleben – Abwehr trainieren

Die Bedrohung durch gezielte Angriffe auf Unternehmen und Institutionen steigt zunehmend an. In einem zielgerichteten Angriff gegen Ihr Unternehmensnetzwerk simulieren wir einen Advanced Persistent Threat (APT) und prüfen so Ihre IT-Sicherheitsmaßnahmen. Das Red Team erhält außer dem Unternehmensnamen hierfür keinerlei Informationen, d. h. es führt seine Angriffe aus einer externen Perspektive als Blackbox-Test aus.

Dabei werden die drei wesentlichsten Aspekte der Unternehmenssicherheit betrachtet:

  • Systemsicherheit
  • Prozesse
  • Sensibilität und Know-how der Mitarbeitenden

Ein Red Teaming-Test ist mit einer Feuerwehrübung vergleichbar. Das Red Team legt gezielt Feuer und Sie können überprüfen, ob Sie im Ernstfall richtig reagieren und das Feuer löschen können.

Erkenntnisgewinn

Red Teaming bietet für verschiedene Unternehmensabteilungen unter­schied­liche Erkenntnisse. Die folgenden Fragen werden durch ein Red Teaming Assessment beantwortet:

  • CSIR: Erkennen wir gezielte Angriffe und können wir diese abwehren?
  • Unternehmensführung: Ist es einem Angreifer in x Tagen möglich, die Unternehmens-IT zu übernehmen?
  • Compliance/Revision: Sind notwendige Prozesse vorhanden und werden diese eingehalten?
  • Schulungsbeauftragte: Sind weitere Awareness-Maßnahmen notwendig?

Sie interessieren sich für Red Teaming?

Steffen Stepper
steffen.stepper(at)syss.de
redteam(at)syss.de
+49 (0)7071 - 40 78 56-6157
PGP Key

Projektumfang

Red Team-Projekte werden über mehrere Monate durchgeführt und durch­lau­fen in der Regel die nachfolgenden Projektphasen:

  • Kick-off
  • Analyse öffentlich zugänglicher Daten [optional]
  • Sammeln von Informationen [optional]
  • Persistieren im Unternehmensnetzwerk [optional]
  • Social Engineering [optional]
  • Kompromittierung von Systemen und Diensten
  • Ausweitung von Rechten
  • Erreichen von definierten Zielen
  • Absichtliches Auslösen von Schutzsystemem und Prozessen [optional]
  • Exfiltration von Daten [optional]
  • Zugriff auf das Backup [optional]
  • Bereinigung der Advanced Persistent Threat-Simulation [optional]
  • Dokumentation

Sollten die einzelnen Phasen nicht mit Ihrem Anforderungsprofil über­ein­stim­men, erarbeiten wir gerne im Rahmen eines gemeinsamen Workshops ein passendes maßgeschneidertes Angebot.

Red Teaming-Startpunkte

Falsche Sicherheitsannahme

Häufig wird angenommen, dass keine Gefahr droht, sofern die äußerste Schicht – z. B. der VPN-Zugang eines Unternehmens – sicher ist. Dies ist generell eine falsche Annahme, da Angreifer auf der einen Seite auch immer Zugriff auf bis dato unbekannte Schwachstellen in von Unternehmen bereitgestellten App­li­ka­tion­en – sogenannte "0 Days" – haben können.
Auf der anderen Seite kann ein Mitarbeiter mit bösartigen Abischten diese erste Schutzschicht leicht überwinden, da er bereits einen legitimen Zugriff auf die internen Systeme hat.
Deswegen ist es wichtig, verschiedene Bedrohungsszenarien zu betrachten und auch immer "Defense in Depth", also ein Zwiebelsystem an Si­cher­heits­maß­nah­men, zu realisieren.

Um die Bedrohungslage Ihres Unternehmens realistisch widerzuspiegeln, werden unterschiedliche Szenarien modelliert. Auf der einen Seite steht ein vollumfänglicher Blackbox-Ansatz mit einem simulierten Außentäter ohne Wissen über interne Strukturen und Systeme. Auf der anderen Seite steht der reduzierte Umfang durch die Annahme, dass bereits ein Mitarbeiteraccount kompromittiert wurde, ein Gerät gestohlen wurde oder auch der Mitarbeiter selbst als Täter auftritt und dem Unternehmen schaden möchte. Hierbei wird von dem Innentäterszenario gesprochen.

Außentäter

Das Außentäterszenario beschäftigt sich mit der Frage: "Welchen Schaden kann ein Angreifer ohne Wissen über das Unternehmen anrichten?" Hierbei wird typischerweise nicht nur versucht, über das Internet in das Unternehmensnetzwerk einzudringen, sondern auch über andere Wege, wie Physical Assessments und Social Engineering-Maßnahmen. Für den Fall, dass es dem Red Team nicht gelingen sollte, in das interne Netzwerk vorzudringen, kann es sinnvoll sein, sogenannte "Leg-Ups", also Hilfestellungen, mithilfe des Ansprechpartners zu definieren. Hierbei kann z. B. ein Minicomputer vom Ansprechpartner in das Netzwerk eingegliedert werden, um den Netzwerkzugriff zu erlauben.

Projektumfang

Ab 40 Personentagen

Voraussetzungen für das Außentäterszenario

Nachweis des Kunden über die Hoheit einzelner in der RECON-Phase ermittelter Systeme

 

Charakteristik

  • Überblick über mögliche Angriffsvektoren
  • Wenig Vorarbeit notwendig, geringere Mindestanzahl an involvierten Personen
  • Höherer Mindestprojektumfang als für das Innentäterszenario

Erkenntnisgewinn

Von einem Außentäterszenario sind die folgenden Ergebnisse zu erwarten:

  • Angriffsmöglichkeiten aus dem Internet
  • Überblick über die Gebäudesicherheit
  • Sicherheit im internen Netzwerk
  • Lücken im Logging
  • Reaktion des Blue Team

Innentäter

Das Innentäterszenario beschäftigt sich mit der Frage: "Welchen Schaden können unachtsame Mitarbeitende oder sogar Mitarbeitende mit bösartigen Absichten für das Unternehmen verursachen?" Mögliche Beispiele wären hierfür ein gestohlenes eingeschaltetes Gerät oder ein Gerät mit Zugangsdaten, Erpressung der Mitarbeitenden durch ATPs oder Wut auf das Unternehmen.

 

 

Projektumfang

Ab 20 Personentagen

Vorraussetzungen für das Innentäterszenario

  • Gültige Zugangsdaten
  • Client [optional]
  • VPN-Zugang [optional]
  • Wissen über interne Strukturen und Prozesse [optional]

Charakteristik

  • Geringerer Projektumfang als für das Außentäterszenario
  • Schnelleres Vordringen in sensible Bereiche und damit auch schnellere Ergebnisse
  • Keine Aussage über die erste Schicht der Schutzmaßnahmen

Erkenntnisgewinn

Von einem Innentäterszenario sind die folgenden Ergebnisse zu erwarten:

  • Sicherheit im internen Netzwerk
  • Lücken im Logging
  • Reaktion des Blue Team

Weitere Szenarien

Red Teaming Assessments sind frei gestaltbare Projekte. Hat Ihr Unternehmen andere Anforderungen oder wünschen Sie einen speziellen Angriffsweg? Gerne berücksichtigen wir hier Ihre notwendigen Rahmenbedingungen wie auch Wünsche und gestalten in einem Workshop eine maßgeschneiderte Lösung für Ihr Unternehmen.

Red Teaming ohne Social Engineering

Ein Red Teaming Assessment sieht in der Regel auch Social Engineering-Angriffsvektoren vor. Diese sind aufgrund interner Richtlinien und der Unternehmenskultur in einzelnen Fällen schwer umsetzbar. Aus diesem Grund besteht auch die Möglichkeit, ein rein technisches Red Teaming Assesment ohne Social Engineering zu realisieren.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer