Purple Teaming

Beim Purple Teaming liegt der Schwerpunkt bei der kooperativen Zusammenarbeit von Red Team (Angreifer) und Blue Team (Verteidiger). Das Ziel ist die Überprüfung der Angriffserkennung und Reaktionsfähigkeit des Unternehmens. Weiters soll das Aufdecken von Sicherheitsschwachstellen und die Erarbeitung von Schutzmaßnahmen für die Systeme und Prozesse des Unternehmens im Fokus stehen. Dies wird mittels einer Angriffssimulation erreicht, die unter anderem aktuelle Szenarien wie Ransomware, Phishing- und Privilegienausweitungsversuche inkludiert. Im Vergleich zum Red Teaming findet dieser Angriff aber nicht verdeckt statt, sondern in Kooperation mit dem Blue Team.

Ablauf des Purple Teamings

• Festlegen von Zielen und Anforderungen: Gemeinsam mit dem Kunden werden die Ziele, Anforderungen und Erwartungen für das Purple-Teaming-Projekt definiert. Vorher identifizierte Risiken und Bedrohungen werden hinsichtlich ihrer Kritikalität gewichtet und fließen weiters in die Definition von möglichst realistischen Angriffsszenarien ein.
• Angriffssimulation (Red Team): Das Red Team führt die vorab definierten Angriffsszenarien durch.
• Erkennung und Reaktion (Blue Team): Das Blue Team überwacht die Systeme und Anwendungen auf Anzeichen von Angriffen und reagiert darauf entsprechend mit Incident-Response-Aktivitäten.
• Zusammenarbeit und Kommunikation: Es findet eine regelmäßige Abstimmung zwischen Red und Blue Team statt. So werden Erkenntnisse, Taktiken und Strategien zum Zweck des gemeinsamen Lerneffekts ausgetauscht.
• Berichterstellung: Erstellung eines detaillierten Berichts mit den Ergebnissen und Erkenntnissen des Projekts. Weiters werden darin Handlungsempfehlungen zur Verbesserung der Angriffserkennung und -reaktionen gegeben.
• Ergebnispräsentation: Präsentation der Ergebnisse und Empfehlungen in einem Abschlussmeeting mit dem Kunden. Hierbei setzen sich die Projektpartner noch einmal mit den Erkenntnissen auseinander und es können die nächsten Schritte geplant werden.