Red Teaming

Red Teaming ist eine gute Methode, um ein realistisches Bild der Sicherheit Ihres Unternehmens zeichnen zu können. Wir handeln dabei genauso, wie es echte Angreifer tun würden. Hierbei kann traditionelles Penetrationstesting, aber auch Phishing, Social Engineering und andere Methoden zum Einsatz kommen.

Red Teaming

Wie ist Red Teaming definiert?

Eine exakte Definition von Red Teaming ist schwer zu finden, da es sich in der Regel um eine Kombination diverser Taktiken, Techniken und Prozeduren (TTP) realer Cyber-Bedrohungen (APT) handelt. Am einfachsten kann man sich ein Team aus Hackern vorstellen, die versuchen in ein Unternehmen von außen einzudringen. Hierbei sind sie in der Regel nicht auf eine bestimmte Methode beschränkt, sondern können jeden Weg gehen, den sie für richtig erachten (und der vom Kunden vorab freigegeben wurde).

Im groben ist das Ziel eines Red Teams, die Sicherheit eines Unternehmens zu testen, indem es die Methoden eines echten vorbereiteten Angreifers nutzt. Im besten Fall werden dabei die Fähigkeiten des internen Blue Teams oder ggf. eines externen MDR Anbieters getestet. Im besten Fall unterbinder dieser die Aktivitäten eines Red Teams.
Teil dieser Aktivitäten ist das enumerieren der IT Infrastruktur des Opfers, das allgemeine Sammeln von Informationen aber auch das Suchen und Ausnutzen von Sicherheitslücken. Ebenso zählen Phishing, Social Engineering oder Threat Intelligence Quellen zu den Methoden eines externen Angreifers. So können kleine Probleme, die isoliert meist keine großen Auswirkungen haben, so kombiniert werden, dass sie ein großes Problem darstellen und dem Angreifer den Zugriff auf das Netzwerk oder auf bestimmte Informationen gestatten.
Oft inkludiert Red Teaming nicht das Thema "physischer Zugang". Dieses wird in der Regel durch gesonderte Tests oder groß angelegte Red Teaming Übungen abgedeckt. Das wird final jedoch mit dem Kunden abgestimmt.

Wie viel kostet Red Teaming?

Red Teaming ist ein komplexes Unterfangen. Die Kosten für ein Red-Teaming-Projekt hängen von verschiedenen Faktoren ab, darunter die Größe und Komplexität des Zielsystems bzw. der Systeme, die Anzahl der Angriffsvektoren, die Anzahl der Angriffsszenarien, die Anzahl der beteiligten Red-Team-Mitglieder und die Dauer des Projekts. In der Regel sind beim Red Teaming verschiedene Spezialisten beteiligt, darunter Personen mit Erfahrung im Bereich Penetrationstests, Phishing, Social Engineering, Exploit-Entwicklung und so weiter. Alleine dieser Umstand macht Red Teaming in der Regel deutlich teurer als "kurze" fokussierte Penetrationstests. Kommen physische Angriffe dazu, steigen die Kosten in der Regel ebenfalls. Im Allgemeinen kann man sagen, dass sehr kurze sehr fokussierte Red Teaming-Einsätze tendenziell im kleinen fünfstelligen Bereich anfangen. Größere und längere Einsätze können jedoch auch schnell in den sechsstelligen Bereich gehen.

DSecured spezialisiert sich primär auf externe Angriffsszenarien. Diese gehen davon aus, dass der Angreifer von "außen" kommt. Der Fokus ist dann entsprechend auf dem Testen aller extern erreichbaren Systeme und Dienste sowie deren kontinuierlicher Überwachung - in der Regel über mindestens 3 Monate. Ergänzt wird dies durch Social Engineering und Phishing sowie Informationen, die beispielsweise im Darknet (siehe Darknet Intelligence) gefunden werden (Passwörter via InfoStealer beispielsweise). So versuchen wir ein bestimmtes Ziel zu erreichen - in der Regel ist das beispielsweise Zugang ins interne System oder Zugang zu vertraulichen Informationen.

Ausgehend von einem klassischen relativen simplen Einsatz, wie wir ihn am häufigsten erleben, sollten Sie mit einem Budget von 30.000 Euro für einen Zeitraum von 3 Monaten rechnen. Diese Zahl kann aber stark variieren, wenn beispielsweise Pivoting innerhalb eines internen Netzwerks erlaubt ist.

Aktivitäten

Luftfahrt

Luftfahrt

Als externes Red Team durften wir eines der größten Luftfahrtunternehmen angreifen.

Universitäten

Universitäten

In einem britischen Forschungsinstitut haben wir externe und interne Bedrohungen gefunden.

Autohersteller

Autohersteller

Für einen deutschen Hersteller haben wir Dutzende Sicherheitslücken gefunden.

IT-Unternehmen

IT-Unternehmen

Wir konnten einen großen PII Leak in einem brasilianischen Unternehmen aufspüren.

Versicherungsunternehmen

Versicherungsunternehmen

Regelmäßig bewerten wir die externe IT-Sicherheit von potentiellen Versicherungsnehmern.

Robotik

Robotik

In regelmäßigen Abständen führen wir Penetrationstests gegen eine bekannte Applikation aus der Robotik durch.

Bahnunternehmen

Bahnunternehmen

Wir durften die gesamte Infrastruktur eines ausländischen Bahnunternehmens analysieren.

SaaS Anbieter

SaaS Anbieter

Anbieter von SaaS sind klassische Kunden - die Komplexität dieser Applikationen machen regelmäßige Pentests nötig.

Gaming

Gaming

Gaming-Portale gehören ebenfalls in unser Kunden-Portfolio.

Ablauf eines Red Teaming-Einsatzes

Kickoff

Im ersten Meeting klären wir die Ziele, den Scope und die Methodik. Wir definieren gemeinsam wie weit wir als Auftragnehmer gehen dürfen und welche Informationen wir vom Kunden erhalten. Wir klären, welche Informationen dem Kunden besonders wichtig sind - meist sind das die Dinge, an denen auch ein potentieller Angreifer interessiert wäre. Wichtiges Thema hierbei ist oft "Phishing" - viele Kunden möchten nicht, dass das getestet wird - obwohl es eine der häufigsten Methoden ist, um in ein Unternehmen einzudringen.

Ausführung

Je nach Anforderungen stellen wir ein kompaktes Team an Experten zusammen, das für gewöhnlich 2-6 Monate an dem Projekt arbeitet. Wir führen die Tests aus und dokumentieren unsere Funde. Wir stellen sicher, dass wir die Ziele erreichen und dabei Methodik einhalten. Wenn gewünscht, wird der Kunde in regelmäßigen Abständen über den Fortschritt informiert - in der Regel geschieht das wöchentlich oder monatlich.

Berichterstattung

Je nach Absprache gibt es einen finalen Bericht, der darlegt, mit welchen Methoden wir Erfolg hatten, was wir exfiltrieren konnten. Neben dem technischen Teil wird hier ebenfalls dargestellt in welchen Bereichen das Unternehmen einen guten Job gemacht hat und ggf. unsere Aktivitäten frühzeitig erkennen konnte.

Finales Meeting

Das finale Meeting ist in der Regel der Projektabschluss bei dem wir den Bericht präsentieren und die Ergebnisse diskutieren. Wir geben Empfehlungen, wie die Sicherheit des Unternehmens verbessert werden kann.

Kontaktformular

Red Team: Ergänzende Leistungen

Kontinuierliche Überwachung

Kontinuierliche Überwachung

Unsere eASM Plattform "Argos" ist in der Lage ihre gesamte externe Infrastruktur nonstop zu überwachen - so erkennen Sie und wir schnell potenzielle Probleme. Die Platform sucht und meldet uns Anomalien.

Penetrationstests

Penetrationstests

Penetrationstests dienen dazu in besonders wichtigen Applikationen sehr fokussiert nach Sicherheitslücken zu suchen.

Darknet Intelligence

Darknet Intelligence

Zu oft sind wir Teil von hochkomplexen technischen Penetrationstest, die aber nicht verhindern, dass im Internet Daten von Mitarbeitern für das getestete Portal geleakt werden. Sie sollten als Kunde davon wissen!

Was Kunden über uns sagen