Cyberbedrohungen
Sicherheitstest: Red, Blue oder Purple Teaming
Wissen Security-Verantwortliche wirklich, wie sicher das Unternehmen ist? Mit Red, Blue oder Purple Teaming lässt sich das testen. Es zeigen sich die Schwächen und auch die Mitarbeiter werden auf den Ernstfall vorbereitet.
Für moderne Geschäftsführungen hat neben vielfachen anderen Verpflichtungen die Cybersicherheit hohe Priorität. Nicht nur gibt es immer wieder Horrornachrichten über die Probleme, die Unternehmen oder Behörden infolge von Angriffen bekommen, auch die Gesetzgebung verschärft ihre Anforderungen. So spricht bereits die EU-Direktive NIS 2, die in Deutschland spätestens ab Oktober 2024 Gesetz werden dürfte, von einer persönlichen Haftung bei einem erfolgreichen Cyberangriff auf einen Betreiber kritischer Infrastrukturen (KRITIS). Zu Recht werden daher die Vertreter der eigenen Security-Abteilung gefragt, ob das Unternehmen sicher bzw. wie hoch das Risiko eines erfolgreichen Angriffs ist. Selbstverständlich haben Sie als IT-Security Verantwortliche(r) in den letzten Jahren in Technologien und Prozesse investiert, Leute ausgebildet und alles getan, was nach „Stand der Technik“ gefordert wurde aber… wie sicher sind Sie wirklich? Das lässt sich herausfinden.
Red Team
Red Teaming ist das Mittel der Wahl, wenn Sie zuversichtlich sind. Sie haben alles aufgesetzt und beauftragen nun eine Gruppe von Hackern, den Ernstfall zu auszuprobieren. Dazu gibt es verschiedene Ansätze. Natürlich können Sie prüfen lassen, ob Angreifer mittels Phishing oder Schwachstellen in Ihre Systeme eindringen können. Oder Sie gehen davon aus, dass dies geschafft wird (Red Teams sind damit immer erfolgreich) und starten, indem Sie den „ethical Hackern“ einen Zugriff innerhalb Ihres Netzes gestatten und dann sehen, wie gut Ihre Technologie und Prozesse in der Lage sind, den Angriff in vollem Umfang zu erkennen und los zu werden. Koordiniert wird das Unterfangen durch ein so genanntes „White Team“, in der Regel der Auftraggeber und die Koordinationsstelle des Red Teams. Das White Team setzt die Rahmenbedingungen, die unter anderem auch Systeme beinhalten, die für das Red Team tabu sind, weil beispielsweise eine Beeinträchtigung der dort vorhandenen Dienste ein Risiko für das Unternehmen darstellen könnte. Auch werden Ziele vereinbart, die den Erfolg des Red Teams messen - beispielsweise das Ausspähen von Domain-Administrationspasswörtern. Genauere Informationen zum Red Teaming bietet dieser Blog.
Dann heißt es, warm anziehen
Ganz optimistische Verantwortliche warnen ihre Cybersicherheitsabteilungen nicht vor einer solchen Aktion. Dadurch wird das Szenario eines echten Angriffes simuliert. Auch das geschieht nicht ohne Grund, denn in der Theorie kann es tatsächlich sein, dass sich durch einen dummen Zufall auch gerade ein echter Täter im System bewegt. Zudem soll gerade eben nicht nur die Technik getestet werden, sondern auch die Reaktion der Mitarbeiter sowie die Prozesse, um einer solchen Situation zu begegnen. Eine Bekanntgabe der Simulation würde die Ergebnisse diesbezüglich verfälschen. Die Red Teamer werden nun in der Regel zuerst versuchen, sich lateral im Unternehmen auszubreiten und Daten zu sammeln. Im international besetzten Webinar von Trend Micro wurden einige der Tricks gezeigt. Besonders beeindruckend war beispielsweise das Knacken von Administrations Passwörtern im sogenannten „Kerberroasting“-Verfahren. Dank Einsatz von Cloud Technologie gelang dies für ein achtstelliges Passwort nach gängigen Sicherheitsrichtlinien innerhalb von Minuten.
Das Blue Team
In dieser simulierten Attacke wird die Verteidigung als Blue Team bezeichnet. Es ist normalerweise nicht darauf vorbereitet, dass die Attacke gerade stattfindet, was Teil der Simulation ist. Das Blue Team ist hoffentlich auf den Einsatz seiner Werkzeuge trainiert, und die Prozesse sind eingespielt. Denn jetzt zeigt es sich, wie gut ein Unternehmen tatsächlich auf einen Vorfall vorbereitet ist. Leider, oder vielleicht zum Glück stellt sich in diesen Simulationen oft das Gegenteil heraus. Denn es bedeutet einen Unterschied, einen Angriff im Labor zu analysieren oder ihn live zu erleben. Und das ist völlig normal.
Seit jeher nennt man Soldaten, die schon mehrere Kämpfe erlebten, Veteranen. Sie gehen in einer solchen Stresssituation mit ihren Aufgaben besonnener um und verlieren nicht so leicht die Nerven, wenn sie unter Druck geraten. Sie teilen sich ihre Kräfte ein, um durchzuhalten. Kein Drill kann das erreichen, und genau deshalb führt man Red Teaming Simulationen durch. Es macht aus Experten Veteranen. Aber sind Sie in Ihrem Unternehmen eigentlich in der Lage, einen richtigen Cyberangriff zu überstehen oder … hätte Ihr Blue Team überhaupt eine Chance? Im Trend Micro Blue Teaming Webinar (deutsch) erklären unsere Experten in Theorie und Praxis, was häufig falsch läuft, und wie Angriffe technisch erkannt werden können.
Purple Team
Fragt man Security-Verantwortliche in Unternehmen, wie sie selbst die Fähigkeiten ihrer Teams einschätzen, erhält man häufig wenig optimistische Antworten. Die aktuelle Personalknappheit, speziell bei Cybersicherheitsfachkräften hinterlässt eher gerupfte Security-Abteilungen, die entweder kein geeignetes Personal finden oder sich quasi im Dauerausbildungsmodus befinden. Ein echter Red Teaming-Einsatz würde nur Druck auf eine ohnehin hoch belastete Abteilung ausüben.
Das Mittel der Wahl ist dann Purple Teaming -- also eine Mischung aus Rot und Blau. Auch hier gibt es die gleichen Prozesse wie beim Red Teaming, aber anders als in der Angriffssimulation wird das Blue Team sozusagen an die Hand genommen. Sie erhalten Informationen darüber, was durchgeführt wurde und was sie auf diversen Plattformen sehen müssten. Dadurch können immer noch Lücken und Schwachstellen entdeckt werden. Außerdem erlernen die Verteidiger den Umgang mit den vorhandenen Lösungen und können für sich oft auch kleinere Erfolgserlebnisse verbuchen, wenn sie den einen oder anderen Vorgang bereits beobachten, obwohl noch keine Ankündigung der Red Teamer erfolgt ist. Purple Teaming ist dabei ein „Training on the Job“ – eine Fortbildung mit echtem Mehrwert für alle Beteiligten. Im Trend Micro Webinar (Deutsch) erklären unsere Experten weitere Hintergründe.
Aufwand und Nutzen
„Theorie ist, wenn nichts funktioniert, aber jeder weiß warum. Praxis ist, wenn alles funktioniert, aber keiner weiß warum. Wenn Theorie und Praxis vereint sind, bedeuten es, dass nichts funktioniert und keiner weiß warum.“ Dieser, als Witz gemeinte Ausspruch trifft den Stand der Cybersicherheit wesentlich häufiger, als es viele wahrhaben wollen. Denn erst in einer Angriffssituation werden Theorie und Praxis tatsächlich geprüft. Genau das simuliert Red Teaming.
Der Mehrwert für ein Unternehmen ist klar, wird doch der tatsächliche Stand der eigenen Fähigkeiten getestet. Dabei werden Schwächen offenbart, die dann in die Risikobetrachtung übernommen werden können. Parallel werden die Mitarbeiter auf den Ernstfall vorbereitet. Die Erfahrungswerte helfen ihnen in echten Situationen weiter und geben ihnen sozusagen die „virtuelle Feuertaufe“.
Die Herausforderung bei Red Teaming ist, dass auch die psychische Belastbarkeit der Mitarbeiter getestet wird. In einer echten Angriffssituation ist das im Übrigen eine der wichtigsten Achilles-Fersen in Unternehmen. Sehr oft kommt es vor, dass wichtige Mitarbeiter genau in dieser Stresssituation krankheitsbedingt ausfallen, speziell dann, wenn sie ohnehin im Normalbetrieb schon stark belastet sind. Dieses Risiko gilt es vorab zu analysieren und mit Betriebsräten und Personalabteilungen zu besprechen.
Im Zweifel wählt man die weniger aggressive Variante: das Purple Teaming. Es erfüllt ebenfalls alle oben beschriebenen Mehrwerte, ohne die Mitarbeiter unter Druck zu setzen. Tatsächlich ist Purple Teaming auch die Empfehlung, wenn Sie sich in Bezug auf die Fähigkeiten Ihrer Verteidiger nicht sicher sind.