Blue Frost Security
Security Beyond Compliance
Sprechen Sie mit unserem Team

Red Teaming

Mit einem Red Team Test können wir einen echten Angriff simulieren, der Ihre Fähigkeiten zur Erkennung von Bedrohungen testet und Ihr Blue Team darin schult, ihre Abwehrreaktion zu verfeinern.

Das Vorgehen bei einem Red Team Test kommt einem echten Angriff sehr nahe. Wir müssen unentdeckt in Ihre Systeme eindringen, um Schwachstellen in der Gesamtsicherheit Ihres Unternehmens aufzudecken. Der Umfang solch eines Auftrages ist im Allgemeinen weiter gefasst als bei einem Penetrationstest, da hier verschiedene Methoden angewandt werden.

Ihr Unternehmen investiert in eine Vielzahl verschiedener Sicherheitsmaßnahmen, um vor externen Angreifern geschützt zu sein. Diese Maßnahmen werden jedoch nur selten getestet und sind höchstwahrscheinlich anfällig für sehr einfache Angriffe, die aus Sicht eines Angreifers nur sehr geringen Aufwand erfordern.

Der Einsatz maßgeschneiderter Malware, der physische Zugang zum Unternehmensgelände unter falschen Vorwänden oder sich am Telefon als eine andere Person auszugeben, sind nur einige Beispiele für die Methoden, die uns während eines Red Team Tests zur Verfügung stehen.

Darüber hinaus ist dieser Angriff nicht nur ein Test der Sicherheitsmaßnahmen, sondern auch ein gutes Training für das Blue Team. In der anschließenden Auswertung zusammen mit dem Blue Team ergibt sich meist ein guter fachlicher Austausch, um sicherzustellen, dass unsere Arbeit beim nächsten Test schwieriger wird.

Red Team und verschiedene Ziele
Bei klassischen Red Team Projekten geht es für uns darum, ein bestimmtes Ziel zu erreichen (wie z.B. den Domain Controller zu übernehmen, ein bestimmtes Dokument im Netzwerk zu stehlen, etc.), während das Blue Team des Kunden versucht unsere Angriffe aufzudecken und abzuwehren.

Mitunter ist der Übergang zu unseren Penetrationstests fließend, wenn dem klassischen Red Teaming von Kundenseite aus etwas entgegensteht. Ist beispielweise kein Blue Team vorhanden, so macht es wenig Sinn zu testen ab wann dieses unsere Angriffe erkennt. In solchen Fällen werden wir die Ziele und das Vorgehen vorher absprechen, um den optimalen Mehrwert aus diesen Angriffssimulationen zu erhalten.
Auch werden bei manchen dieser Tests bestimmte Szenarien mit besonderem Fokus getestet: Beispielsweise kann mit der Annahme gestartet werden, ein Mitarbeiter sei bereits kompromittiert. Dies wird manchmal als Blue Team Test mit geänderten Startbedingungen und somit einer Zeitersparnis gesehen oder teilweise auch als zielorientierter Penetrationstest mit vereinfachtem Start.

Ebenfalls gibt es viele Variationen, wie die Zusammenarbeit mit dem Blue Team und die Planung insgesamt gestaltet wird, mit dem Ergebnis, dass es je nach Definition weitere Teams gibt, von Purple Team Operationen über das White Team hin zu Orange Teams, Yellow Teams und Green Teams. Da die Terminologie in diesem Bereich noch nicht fest definiert ist, gibt es immer wieder neue Begrifflichkeiten und Buzzwords - in der Praxis sind die Unterschiede jedoch meist graduell und werden ohnehin in der Planung besprochen.

Wir erleben immer wieder, wie positiv sich ein guter Umgang zwischen Red Team und Blue Team auswirkt. Letztlich geht es um den langfristigen Lernerfolg und die Verbesserung des Blue Teams.

Phishing
Reale Phishing-Angriffe haben einen hohen Verbreitungsgrad, da sie, trotz des mittlerweile hohen Bekanntheitsgrades, immer noch oft genug erfolgreich sind. Erfahrungen zeigen, dass eine Sensibilisierung der Mitarbeiter die Erfolgsraten von Phishing-Angriffen deutlich senken kann.

Hier bieten wir Phishing-Angriffs-Simulationen in einer abgemilderten Form, bei welchen keine Zugangsdaten erfasst werden. Diese simulierten Angriffe bieten zum einen eine bessere Einschätzung der aktuellen Bedrohungslage (z.B. wie viele Mitarbeiter dem Link in der Phishing-E-Mail folgen). Zum anderen - und das ist meistens der wichtigste Aspekt - kann die Erfahrung mit einem simulierten Phishing-Angriff die Sensibilität der Mitarbeiter massiv erhöhen. Wir können beobachten, dass bei Folgetests die Erfolgsraten dieser Angriffe deutlich sinken.

Auch im Rahmen von Red Teaming greifen wir gelegentlich auf diese bewährte Angriffsmethode zurück. Allerdings ist dies nur eine von vielen Methoden, die wir bei einem Red Team Test einsetzen.

Social Engineering
Im Zusammenhang mit Red Teaming versuchen wir auch meist durch Social Engineering an Information oder Zugänge zu gelangen. Diese Art des Angriffs erfordert meist Kreativität und ein entsprechendes Auftreten. In der Praxis ergeben sich so oft spontane Situationen, in denen wir improvisieren müssen.