Während der Fokus eines Penetrationstests auf dem Aufdecken von möglichst vielen Schwachstellen der im Umfang des Tests befindlichen Ziele liegt, gilt es beim Red Teaming, einen tatsächlichen Angriff auf das Unternehmen nachzustellen. Dadurch wird getestet, wie gut ein Unternehmen auf Cyberbedrohungen vorbereitet ist. In Abstimmung mit dem Auftraggebenden werden realistische Szenarien und Ziele (z.B. Übernahme eines vereinbarten Systems oder Stehlen von definierten Informationen) definiert, die durch unsere Expert:innen simuliert werden.
Beim Red Teaming wird primär das Verteidigungsteam (Blue Team) getestet. Wir versuchen bei der Durchführung unserer Angriffe möglichst unentdeckt zu bleiben, um die Fähigkeiten der Angriffserkennung zu testen. Sollte ein Angriff trotzdem erkannt werden, werden dadurch auch die Notfallpläne getestet. Dadurch kann festgestellt werden, ob die gesetzten Aktionen ausreichend sind, um einen Angriff in kürzest möglicher Zeit vollständig zu neutralisieren.
Red Teaming richtet sich an Unternehmen, die bereits eine ausgereifte IT-Sicherheit und eine Strategie zur Verteidigung gegen Angriffe haben. Sollte das Ziel sein, Schwachstellen in Systemen aufzudecken, empfehlen wir stattdessen einen Penetrationstest der internen Infrastruktur durchzuführen.
Ablauf eines Red Teaming Assessments
Bei einem Red Teaming Assessment, werden alle Phasen eines tatsächlichen Cyber-Angriffs simuliert. Vom initialen Eindringen in das Unternehmen, über das Festsetzen im System bis hin zur Ausführung von Angriffen im Unternehmensnetzwerk und Erreichung des definierten Ziels. Alle Aktionen werden genauestens dokumentiert, um später nachvollziehen zu können, wie das Verteidigungsteam besser reagieren hätte können.
Mögliche Eintrittsvektoren sind hier beispielsweise Phishing-Mails, Social Engineering, physische Angriffe oder auch die Ausnutzung von Schwachstellen in öffentlich zugänglichen Applikationen. Wir stellen dieselben Angriffe zur Eindringung nach, die eine echte bösartige Partei durchführen würde. Die Phase der Eindringung kann auf Wunsch auch übersprungen werden (Assumed Breach Model).
In den weiteren Phasen wird versucht, im System unentdeckt zu bleiben und das vereinbarte Ziel zu erreichen. Der Fokus ist hierbei, das Verteidigungsteam zu testen. Als Nebenprodukt werden aber auch gefundene Schwachstellen dokumentiert und schlussendlich in den Bericht aufgenommen.
Benefits
- Übung und Test der Notfallpläne
- Überprüfung der Widerstandsfähigkeit gegen echte Angriffe
- Verifikation des vollumfassenden Sicherheitskonzeptes