Penetration Test und Red Teaming: Wo liegt hier der Unterschied?
von Svenja Koch
Begriffliche Einordnung von Penetration Test und Red Teaming
Beim Red Teaming handelt es sich um eine evolutionäre Weiterentwicklung des Penetrationstests: der Angriffssimulation. Unsere IT-Sicherheitsexperten agieren dabei als „freie“ Angreifer, die mit denselben Taktiken, Methoden und Zielen realer Akteure aus den Bereichen Wirtschafts- und Industriespionage, Cyberaktivismus und organisierter Kriminalität arbeiten.
Ziel ist, die tatsächliche Wirksamkeit Ihrer IT-Sicherheitsmechanismen als Gesamtheit auf den Prüfstand zu stellen und die Resilienz von Organisationen gegen feindliche Angriffe nachhaltig zu stärken: Die Abwehr- und Reaktionsfähigkeit Ihrer Organisation hinsichtlich technischer, psychologischer und physischer Angriffsmethoden wird unter realistischen Bedingungen getestet, bewertet und kontinuierlich optimiert.
Im Gegensatz zu klassischen Penetrationstests steht hierbei nicht die Identifikation von technischen Schwachstellen in ausgewählten IT-Systemen im Vordergrund, sondern das Feststellen und die Abwehr von realen Gefahren für die kritischen Vermögenswerte und Kernprozesse Ihrer Organisation. Dafür werden konkrete Zielvorgaben eines fiktiven Angreifers unter Einbeziehung einer realistischen Motivation zugrunde gelegt.
Im Rahmen dieser umfassenden Angriffssimulation beziehen die IT-Security Consultants unseres Red Teams die gesamte Umgebung Ihres Unternehmens mit ein, um diese Ziele zu erreichen. Nach individueller Absprache mit den Unternehmensverantwortlichen agieren sie idealerweise frei und uneingeschränkt als Angreifer – ohne:
- vorab festgesetzte Zielsysteme
- definierte Zeitfenster und Durchführungszeitpunkte der Aktivitäten
- begrenzenden Testumfang und
- restriktive Handlungseinschränkungen.
Es erfolgt bei Bedarf eine regelmäßige Feedback-Schleife an das Verteidiger-Team des Unternehmens, um eine effektive Abwehr schrittweise zu trainieren.
Am Ende des Red Teaming Projekts werden im Rahmen des ausführlichen Abschlussberichts zeitliche Abläufe, Angriffsindikatoren und erfolgte Gegenmaßnahmen erörtert und bewertet sowie weitere organisatorische und technische Maßnahmen empfohlen, um die Abwehrfähigkeit Ihrer Organisation langfristig zu stärken.
Vorgehensweise des Red Teams
Das Red Team macht sich als „agierender Aggressor“ alle in Betracht zu ziehenden Untersuchungsmethoden zunutze, um herauszufinden, welche Angriffsmöglichkeiten aktuell in Ihrem Unternehmen bestehen. Dabei handeln unsere Consultants maßgeblich unter einem Vorsatz: ihre übergeordnete Szenarienziele (z.B. Ausleiten von spezifischen Geschäftsgeheimnissen oder Auslösen von Geldtransfers) zu erreichen.
Das Vorgehensmodell orientiert sich an Advanced Persistent Threats (=fortgeschrittene, anhaltende Bedrohung, kurz APT). Hierbei handelt es sich um breit angelegte Angriffskampagnen auf Unternehmen und Organisationen, die sich durch Professionalität, hoch eingesetzte personelle und finanzielle Mittel, langfristige Ausrichtung und der Verwendung fortschrittlicher Angriffstechniken von üblicher IT-Kriminalität absetzen.
Der Angriffszyklus des Red Teams
Der mehrstufige Angriffszyklus des Red Teams wird im folgenden Abschnitt dargestellt.
Ab der Infiltrationsphase wird das formierte Verteidigungsteam des Kunden über jeden erfolgreichen Phasenabschluss informiert. Zusätzlich gibt das Red Team graduelle Hinweise über seine Aktivitäten und gezielte Hilfestellungen, um einen effektiven Lerneffekt zu erzielen.
Mehrstufiger Angriffszyklus des Red Teams
Auskundschaften des Zielunternehmens / Angriffsvorbereitung durch das secion Red Team
Unserer Experten beginnen mit dem Ausforschen der technischen, personellen und organisatorischen Strukturen von außen und zunächst ohne tiefergehende Kenntnisse von (vertraulichen) Informationen Ihres Unternehmens, um daraus mögliche Angriffspfade abzuleiten, die für das Erreichen des übergeordneten strategischen Ziels genutzt werden können.
Infiltration: Eindringen des Red Teams ins Ziel-Unternehmensnetzwerk
Nachdem potenzielle Angriffsvektoren für den initialen Zugriff identifiziert wurden, erfolgt die aktive Ausnutzung, um einen ersten Einstiegspunkt in das Netzwerk zu erreichen. Neben rein technischen Schwachstellen wird dabei bei Bedarf auch bewusst der Faktor Mensch mit einbezogen.
Zugangssicherung und Ausbreitung
Der Einstiegspunkt wird genutzt, um einen dauerhaften Zugriff zu etablieren und in tiefere Netzebenen vorzudringen. Dabei wird die zugreifbare Infrastruktur analysiert, um Schlüsselsysteme mit Bezug zum Szenarioziel zu identifizieren und ggf. höhere Zugangsberechtigungen zu erreichen. Sofern an dieser Stelle die unternehmensseitige Abwehr bereits aktiv ist, versucht das Red Team adaptiv auf etwaige Gegenmaßnahmen zu reagieren.
Exfiltration / Mission Completion
Das Erreichen des zu Projektbeginn definierten Szenarioziels stellt die finale Phase der Angriffssimulation dar. Es kann sich dabei z.B. um das erfolgreiche Ausleiten zentraler geschäftskritischer Informationen handeln, muss jedoch nicht auf derartige Daten beschränkt sein, sondern ist frei definierbar. Weitere beispielhafte Szenarien sind das Initiieren von nicht autorisierten Geldtransfers, Kontrolle von Produktionsanlagen oder auch das tatsächliche Entfernen physischer Gegenstände.
Ist das secion Red Team in der Lage, diese Phase im Sinne des simulierten Angreifers erfolgreich zu beenden, stellt die Zeitspanne bis zu diesem Punkt die „Time to Adversary Success“ als weitere wichtige Metrik dar.
Ergebnisdokumentation und Nachbesprechung mit Erörterung des Vorfalls
Es erfolgt die Präsentation von eingesetzten Angriffsvektoren sowie die Erläuterung von eingesetzten Angreifertaktiken und Technologien durch unsere Red Team Consultants. In einem gemeinsamen Workshop werden Lösungen und Optimierungsmaßnahmen aufgezeigt und eine Roadmap für durchzuführende Verbesserungen erarbeitet.
Erreichen von Lerneffekten für Ihre Unternehmenssicherheit
Das secion Red Team agiert während seines Einsatzes mit dem Anspruch, bestehende Schwachstellen Ihres Unternehmens mit Methodiken und Techniken auf dem Niveau dokumentierter echter Sicherheitsvorfälle auszunutzen. Sein übergreifendes Ziel: Die Fähigkeiten der Angriffsabwehr Ihres Unternehmens zu evaluieren und trainieren sowie tatsächliche Risiken für Ihre kritischen Geschäftsprozesse und Vermögenswerte sichtbar zu machen.
Unter realen Gegebenheiten wird den Unternehmensverantwortlichen aufgezeigt, wie effektiv die aktuell implementierten Sicherheitsmaßnahmen sind – auf technischer, organisatorischer und verhaltensbezogener Ebene.
Um den Eintritt von Trainingseffekten zu erreichen, reporten die Mitglieder des Red Teams regelmäßig an Ihre Unternehmensverantwortlichen. Im Rahmen dieser Zwischenbilanz geben sie gezielt Informationen zu ihrer Vorgehensweise heraus, die dazu dienen, erforderliche Sicherheitsmaßnahmen zielführend in Ihrem Unternehmen zu implementieren oder auszubauen und ein Bewusstsein für Taktiken der Angreifer zu schaffen.
Zu einem späteren Zeitpunkt erfolgt ein weiterer Angriff, mit dem das erreichte Sicherheitsniveau erneut bewertet wird. Eine kontinuierliche Reduzierung der Zeitspanne bis zur Identifikation des Angriffs und der Beseitigung der Angriffsaktivitäten wird durch einsetzende Lerneffekte sicher erreicht.
Fazit:
Die Bedrohung durch gezielte Angriffe (Advanced Persistent Threats) auf Unternehmen steigt zunehmend an. Beim Verfahren des Red Teaming handelt es sich um einen zielgerichteten Angriff gegen das Unternehmensnetzwerk, mit dem unsere Cyber Security Consultants die Wirksamkeit von technischen, physischen und organisatorischen Sicherheitsmaßnahmen überprüfen. Das Red Team führt seine Angriffe von einer externen Perspektive, vergleichbar mit einem Black Box Audit, aus. Ziel ist, die Resilienz von Unternehmen in allen Bereichen nachhaltig gegen Cyberangriffe zu stärken.