Red Team und Blue Team waren ursprünglich Begriffe, die vom Militär verwendet wurden. In einem so genannten Wargame ist das Red Team für die Durchführung des Angriffs verantwortlich, während das Blue Team die Abwehr übernimmt. Red Teaming spielt eine ähnliche Rolle in der Cybersicherheit. Der Zweck eines Auftrags von Red Teaming besteht darin, dass ein Tester einen Hackerangriff simuliert, um in das Netzwerk eines Unternehmens einzubrechen und sich vertikal und lateral zu bewegen, um die Kontrolle über das Netzwerk zu übernehmen, bis es die Autorität der Domain Admin erreicht hat. Solche offensiven Tests decken Schwachstellen im Sicherheitsprogramm eines Unternehmens auf und bieten eine Grundlage für deren Verstärkung.
Wer braucht Red Teaming?
Wie hilft Red Teaming?
Red Teaming ist ein nützliches Element eines Cyber-Sicherheitsplans für Unternehmen jeder Größe, von kleinen und mittleren Unternehmen bis zu Konzernen. Kleinere Unternehmen werden häufiger Opfer von Hackern, da sie nicht mit Sicherheitsprotokollen oder einem Sicherheitsteam entwickelt werden. Um ein Unternehmen auf einen möglichen Angriff vorzubereiten, gibt es eine wirksame Lösung, um den Angriff zu simulieren. Alternativ kann der Pentest (Penetrationstest) eine Lösung sein, die Red Teaming sehr ähnlich, aber nicht genau gleich ist (mehr darüber können Sie hier lesen.).
Die Wirksamkeit offensiver Tests besteht darin, einen echten Hackerangriff mit den gleichen Werkzeugen und Techniken zu simulieren. Der Test wird von einem hochqualifizierten Cybersecurity-Experten (Ethical Hacker) durchgeführt. Im Falle eines Angriffs in einer kontrollierten Umgebung können die Ergebnisse analysiert werden, um die folgende Informationen darüber zu erhalten:
- Auf welche Daten kann ein potentieller Angreifer zugreifen?
- Wie tief können er in das Netzwerk Ihres Unternehmens eindringen?
- Was sind die häufigsten Probleme, die auftreten?
- Welche Sicherheitsprozesse sind unzureichend?
Mit diesen Informationen können wir einen Plan zur Behebung technischer Mängel sowie neue Sicherheitsrichtlinien entwickeln, um zu verhindern, dass ähnliche Probleme in der Zukunft auftreten.
METHODOLOGIE
Bei Red Teaming verwendet AXEN Cyber die folgenden Testphasen:
Sammlung von Informationen
Für einen erfolgreichen Angriff ist es wichtig, dass der Tester über genügend Informationen verfügt. Um sich auf den Angriff vorzubereiten, bildet er alle Domänen ab, sammelt IP-Adressen, E-Mail-Adressen und sammelt nützliche Informationen aus offenen Datenbanken (Social Media, Job-Portal …), wie z.B. Namen von Mitarbeitern, verwendete Technologien.
Scannen
Wenn ein Angreifer die gesammelten IP-Adressen und Domänen kennt, würde er mit dem Scannen beginnen, um die verwendeten Technologien und Versionsnummern zu erfassen. Während des Scans erhält der Tester detailliertere Informationen über die auf dem System / Netzwerk verwendeten Dienste, Konfigurationsfehler. Der Tester, der im Besitz der Versionsnummern ist, sucht nach bekannten Schwachstellen, die zum Starten von Angriffen genutzt werden könnten.
Exploitation
Unter Verwendung von Informationen, die aus früheren Arbeitsabläufen gewonnen wurden, entwickelt und führt der Tester einen oder mehrere Angriffe aus, die Zugriff auf das Zielsystem erhalten.
Post-Exploitation
Sobald ein Angreifer administrativen Zugriff auf einen Host hat, startet er weitere Angriffe gegen andere im Netzwerk befindliche Benutzer. Während des Tests bewegt er sich lateral und vertikal und versucht, so viele Hosts wie möglich zu kompromittieren, in Subnetze einzudringen und mehr Informationen zu sammeln. Das Ziel von Red Teaming ist es, Domain-Administrator-Privilegien sowie die vollständige Kontrolle über das Netzwerk zu erlangen.
Cleaning
Nach Abschluss des Auftrags und einer ausführlichen Dokumentation entfernt der Tester alle Codes, Werkzeuge und anderen Geräte, die bei dem Angriff verwendet wurden, aus dem Netzwerk, so dass sie später nicht mehr verwendet werden können.
AUFTRAGSARTEN
Bei Red Teaming verwenden wir in der Regel die folgenden zwei Arten von Aufträgen:
Intern
Der Zweck des Internal Red Teaming besteht darin, einen internen Angriff auf ein Netzwerk zu simulieren. Dies ist eine der häufigsten Arten, da die meisten Cyber-Sicherheitsangriffe mit Hilfe ehemaliger / aktueller Mitarbeiter erfolgen, wobei externe Schutzmechanismen umgangen werden.
Extern
Der Zweck der externen Tests besteht darin, die externen Sicherheitsmechanismen des Unternehmens zu testen. Heutzutage werden Websites und Netzwerke, die über das Web zugänglich sind, ständig angegriffen. Bots scannen das Internet ständig nach potenziellen Zielen. Während des Tests versuchen wir, uns in der Rolle eines externen Angreifers zu versetzen und so tief wie möglich in das Unternehmensnetzwerk einzudringen.