Red Teaming

Ihr Partner für ganzheitliche Angriffssimulationen zur Stärkung Ihrer Cyber Resilience.

Red Teaming

Red Teaming

Sie möchten die Wirksamkeit Ihrer Verteidigungssysteme in einer realitätsnahen Angriffssimulation überprüfen?


Sie benötigen eine realistische Sicherheitsbewertung Ihrer eingesetzten Verteidigungsmechanismen?


Wir stehen Ihnen gern mit unserem Fachwissen zur Seite.


KONTAKTIEREN SIE UNS

Ganzheitliche Angriffssimulationen

Security Information and Event Management (SIEM), Endpoint Detection Response (EDR) und Incident Response Prozesse sind essenzielle Bestandteile eines Unternehmens, welche bei einem Cyberangriff funktionieren müssen. Um sich bestmöglich auf den Ernstfall vorzubereiten und die Resilienz nachhaltig zu verbessern, bieten wir Ihnen die Durchführung von aktiven Cyberangriffen auf Ihr Unternehmen unter realen Bedingungen im Rahmen einer Red Teaming Kampagne an. Dabei werden bereits etablierte Sicherheitsmechanismen gezielt überprüft, um Optimierungspotenziale aufzuzeigen. Neben Sicherheitslücken einzelner Systeme stehen dabei besonders die Cyber Defense Maßnahmen Ihres Unternehmens im Fokus.

Unser Angebot für Sie

Keine zwei Unternehmen sind gleich, womit sich auch die IT-Landschaft und damit verbundene Schutzmaßnahmen unterscheiden. Dem passen sich auch Angreifer an, indem sie Cyberangriffe auf das jeweilige Unternehmen zuschneiden. Denkbare Angriffe wären zum Beispiel ein gezielter Phishing-Angriff, um an die Login-Daten eines bestimmten Nutzers zu kommen oder das Ausnutzen einer Schwachstelle eines im Internet erreichbaren Dienstes. Hat der Angreifer einen initialen Zugriff erhalten, beweget er sich weiter im Netz des Unternehmens.

Wir bieten Ihnen verschiedene Szenarien an, welche reale Angreifer abbilden. Das jeweilige Szenario bestimmt den Ausgangspunkt für die Kampagne und beschreibt, auf welchem Weg der simulierte Angreifer versucht, in das Unternehmensnetzwerk einzudringen:

Assumed Breach

Bei diesem Szenario wird angenommen, dass sich ein Angreifer bereits Zugang zu internen IT-Systemen verschafft hat oder ein Innentäter seinen bestehenden Zugang missbraucht. Zur Simulation dieses Szenarios stellen Sie uns einen internen Zugang zur Verfügung. Ausgehend von diesem prüft unser Red Team, inwieweit ein solcher Angreifer seine Zugriffsrechte erweitern und weitere Systeme kompromittieren könnte.

Beispiele:

  • Wir simulieren, dass der Computer eines Mitarbeiters aus dem Bereich HR per Phishing-Mail kompromittiert wurde. 
  • Der Rechner eines Mitarbeiters aus dem Bereich Finance wurde mit einem maliziösen USB-Stick kompromittiert, wodurch der Angreifer Zugriff aus der Ferne erhält.

Physical Breach

Wir agieren wie ein Angreifer, welcher durch gezielte Täuschung versucht, den physischen Perimeter-Schutz zu überwinden und ein präpariertes Gerät am Unternehmensstandort zu installieren. Ziel ist es, die Sicherheitsmaßnahmen vor Ort zu überwinden und sich unbemerkt Zugriff auf das Unternehmensnetzwerk zu verschaffen (z. B. durch die Platzierung eines Mini-PCs).

Beispiele:

  • Ihr Unternehmen verfügt über mehrere Filialen, welche an das zentrale Unternehmensnetzwerk angebunden sind. Der Angreifer versucht die Filialinfrastruktur vor Ort zu infiltrieren und sich darüber Zugriff zum Unternehmensnetzwerk zu verschaffen.
  • Einer Ihrer Unternehmensstandorte verfügt über verschiedene, teils öffentliche Bereiche – von der Lobby und Kantine, über die Büros bis zur Produktionshalle. Ein Angreifer versucht Zugangswege für Gäste, Mitarbeiter und Lieferanten auszunutzen und in die Produktionshalle vorzudringen.

Technical Breach

Bei diesem Ansatz nehmen wir die Rolle eines Angreifers an, welcher Cyberangriffe über das Internet durchführt. Mit Hilfe verschiedener Methoden zur Informationsbeschaffung werden Schwachstellen am externen Perimeter identifiziert und unter Ausnutzung dieser versucht, das Unternehmensnetzwerk zu infiltrieren.

Beispiele:

  • Ein veraltetes Testsystem mit bekannten Schwachstellen ist im Internet exponiert. Es wird versucht, das System zu kompromittieren.
  • Interne Anmeldedaten sind durch fehlerhafte Konfiguration frei im Internet verfügbar und werden vom Angreifer genutzt.

Social Engineering

Der Fokus von Social Engineering liegt auf dem Ausnutzen menschlicher Faktoren. Das Ziel ist es, Mitarbeiterinnen und Mitarbeiter in ihren jeweiligen Rollen zur Preisgabe von sensiblen Informationen oder zur Ausführung bestimmter Aktionen zu verleiten. Ausgehend von einer erfolgreichen Kompromittierung wird versucht, die Unternehmensinfrastruktur zu infiltrieren.

Neben klassischem Phishing per E-Mail sind auch alternative Kommunikationswege wie zum Beispiel Messenger-Dienste oder Social Media möglich.

Beispiele:

  • Über LinkedIn werden relevante Zielpersonen ermittelt. Zusammen mit einer im Internet exponierten Login-Seite wird eine individuelle Spear-Phishing-Kampagne konzipiert, um an Login-Daten zu gelangen.
  • Ein Angreifer gibt sich als jemand aus, der eine vertrauenswürdige Beziehung zum Opfer hat und erfindet ein Szenario, um das Opfer zur Herausgabe sensibler Informationen zu bewegen.

Ablauf einer Red Teaming Kampagne

Vor Beginn der Kampagne analysieren wir mit Ihnen in einem gemeinsamen Kick-Off relevante Bedrohungsszenarien, definieren passende Szenarien und bestimmen die Angriffsziele. Diese Informationen werden anschließend in den sogenannten Rules of Engagement dokumentiert, welche die Grundlage für die durchgeführte Kampagne sind. 

Eine Angriffssimulation im Rahmen einer Red Teaming Kampagne läuft in neun, teils iterativen Stufen ab:


Im Rahmen der Red Teaming Kampagne werden die folgenden Rollen definiert:

  • Das Blue Team stellt den Verteidiger dar, der die Infrastruktur gegen Angriffe schützt. Hierbei handelt es sich um die IT-Abteilung Ihres Unternehmens. Um die Simulation möglichst realistisch zu gestalten, wird das Blue Team in der Regel nicht über die laufende Kampagne informiert.
  • Unsere Experten agieren nach den vereinbarten Rules of Engagement und stellen als Red Team den Angreifer dar.
  • Das White Team steuert die Kampagne und steht im regelmäßigen Austausch mit dem Red Team. Es besteht aus ein bis zwei Personen, welche Kenntnis über die Infrastruktur des Unternehmens haben. Zentrale Aufgabe des White Teams ist es, sicherstellen zu können, dass mögliche Beeinträchtigungen ohne große Verzögerungen gelöst werden können.

Die Phasen der Red Teaming Kampagne sind wie folgt definiert:

Aufklärung (Reconnaissance)

In der Aufklärungsphase werden Informationen über das zu prüfende Unternehmen gesammelt. Diese Informationen werden aus frei verfügbaren Quellen mittels Open-Source Intelligence (OSINT) beschafft.

Ziel ist es, ein Lagebild zu erhalten und mögliche Angriffspfade zu identifizieren, welche für den weiteren Verlauf der Red Teaming Kampagne essenziell sind.

Initialer Zugriff (Initial Access)

Der initiale Zugriff auf das Netzwerk erfolgt über den im Vorfeld vereinbarten Einstiegspunkt. Die folgenden Einstiegspunkte sind hierbei möglich:

Persistierung im Unternehmensnetzwerk und Erweiterung des Zugriffs (Post-Exploitation)

Die Post-Exploitation Phase ist die Kernphase der Kampagne und beinhaltet mehrere wiederkehrende Schritte:

  • Maßnahmen zum Erhalt von persistentem Zugriff (Persistence)
  • Sammlung von Informationen über dieses System (Situational Awareness)
  • Analyse der Netzwerkumgebung, weiterer Systeme, Nutzer oder Applikationen ausgehend vom kompromittierten System (Internal Reconnaissance) 
  • Erweiterung der Berechtigungen durch das Ausnutzen von Fehlkonfigurationen oder Schwachstellen (Privilege Escalation)
  • Ausweitung des Zugriffs auf weitere Systeme, Nutzer oder Applikationen (Lateral Movement)

Nachweis des Erreichens der Kampagnenziele

Das Erreichen der für die Kampagne festgelegten Ziele wird dem White Team durch gemeinsam definierte Aktionen nachgewiesen, beispielweise:

  • Erstellen eines Benutzers mit den höchsten Berechtigungen
  • Zugriff auf relevante Serversysteme
  • Exfiltrieren von sensiblen Unternehmensdaten

Dokumentation (Reporting)

Nach Abschluss der Angriffssimulation wird ein Ergebnisbericht bereitgestellt, welcher folgendes beinhaltet:

  • Management Summary, inkl. Ausgangssituation und Zielen sowie einer Zusammenfassung des Kampagnenverlaufs
  • Detaillierte Dokumentation des Kampagnenverlaufs
  • Schwachstellen, inkl. detaillierter Beschreibung, Risikobewertung und Maßnahmen zur Behebung

Debriefing

Im abschließenden Debriefing werden die identifizierten Schwachstellen und Handlungsempfehlungen gemeinsam mit dem Blue Team und den IT-Verantwortlichen besprochen und offene Fragen geklärt.

Auch nach der Red Teaming Kampagne bleiben wir selbstverständlich Ihr Ansprechpartner und stehen für Fragen zur Verfügung.

Methodiken und Frameworks

Es existieren viele etablierte Methodiken und Frameworks, welche als Leitfaden für eine Red Teaming Kampagne dienen. Ziel ist es sicherzustellen, dass die Ergebnisse stets vergleichbar sind und Regularien wie dem Digital Operation Resilience Act (DORA) oder NIS-2 entsprechen. 

  • Das MITRE ATT&CK Framework (Adversarial Tactics, Techniques & Common Knowledge) beinhaltet Angriffstaktiken und -verfahren (Tactics, Techniques and Procedures), welche auf der Grundlage von realen Beobachtungen bei Cyberangriffen entstanden und von Sicherheitsexperten dokumentiert worden sind.
  • Die Lockheed Martin Cyber Kill Chain beschreibt die Vorgehensweisen eines Angreifers in mehreren aufeinander aufbauenden Stufen. 
  • Threat-Led Penetration Testing ist eine Weiterentwicklung des Threat Intelligence-based Ethical Red Teaming Frameworks (TIBER), welches als Rahmenwerk für Red Teaming Kampagnen im Finanz- und Bankensektor gilt und in Kombination mit der Verordnung DORA zum Einsatz kommt.
 

Kontaktieren Sie uns!