Red Teaming: Simulation eines echten Hacker-Angriffs
Wir stellen ein kleines Team von ethischen Hackern zusammen und versuchen über einen definierten Zeitraum kontinuierlich in Ihr Unternehmen einzubrechen - so wie es echte Angreifer tun würden. Ihr Vorteil: Sie sehen, wo Problemzonen sind.
Red Teaming ist eine gute Methode, um ein realistisches Bild der Sicherheit Ihres Unternehmens zeichnen zu können. Wir handeln dabei genauso, wie es echte Angreifer tun würden. Hierbei kann traditionelles Penetrationstesting, aber auch Phishing, Social Engineering und andere Methoden zum Einsatz kommen.
Wie ist Red Teaming in der IT Sicherheit definiert?
Eine exakte Definition von Red Teaming ist schwer zu finden, da es sich in der Regel um eine Kombination diverser Taktiken, Techniken und Prozeduren (TTP) realer Cyber-Bedrohungen (APT) handelt. Am einfachsten kann man sich ein Team aus Hackern vorstellen, die versuchen in ein Unternehmen von außen einzudringen. Hierbei sind sie in der Regel nicht auf eine bestimmte Methode beschränkt, sondern können jeden Weg gehen, den sie für richtig erachten (und der vom Kunden vorab freigegeben wurde).
Im groben ist das Ziel eines Red Teams, die Sicherheit eines Unternehmens zu testen, indem es die Methoden eines echten vorbereiteten Angreifers nutzt. Im besten Fall werden dabei die Fähigkeiten des internen Blue Teams oder ggf. eines externen MDR Anbieters getestet. Dies dient dazu, die IT-Security des Unternehmens zu verbessern. Teil dieser Aktivitäten ist das enumerieren der IT-Systeme des Opfers, das allgemeine Sammeln von Informationen aber auch das Suchen und Ausnutzen von Sicherheitslücken. Ebenso zählen Phishing, Social Engineering oder Threat Intelligence Quellen zu den Methoden eines externen Angreifers. Durch die Simulation von realen Cyberangriffen können kleine Probleme, die isoliert meist keine großen Auswirkungen haben, so kombiniert werden, dass sie ein großes Problem darstellen und dem Angreifer den Zugriff auf das Netzwerk oder auf bestimmte Informationen gestatten. Oft inkludiert Red Teaming nicht das Thema “physischer Zugang”. Dieses wird in der Regel durch gesonderte Tests oder groß angelegte Red Teaming Übungen abgedeckt. Das wird final jedoch mit dem Kunden abgestimmt.
Wie viel kostet Red Teaming für Unternehmen?
Red Teaming ist ein komplexes Unterfangen. Die Kosten für ein Red-Teaming-Projekt hängen von verschiedenen Faktoren ab, darunter die Größe und Komplexität des Zielsystems bzw. der Systeme, die Anzahl der Angriffsvektoren, die Anzahl der Angriffsszenarien, die Anzahl der beteiligten Red-Team-Mitglieder und die Dauer des Projekts. In der Regel sind beim Red Teaming verschiedene Spezialisten beteiligt, darunter Personen mit Erfahrung im Bereich Penetrationstests, Phishing, Social Engineering, Exploit-Entwicklung und so weiter. Alleine dieser Umstand macht Red Teaming in der Regel deutlich teurer als "kurze" fokussierte Penetrationstests. Kommen physische Angriffe dazu, steigen die Kosten in der Regel ebenfalls. Im Allgemeinen kann man sagen, dass sehr kurze sehr fokussierte Red Teaming-Einsätze tendenziell im kleinen fünfstelligen Bereich anfangen. Größere und längere Einsätze können jedoch auch schnell in den sechsstelligen Bereich gehen. Die Investition in Red Teaming ist jedoch gerechtfertigt, da sie dazu beiträgt, die Sicherheitsmaßnahmen des Unternehmens zu verbessern und die Reaktionsfähigkeit im Falle eines Angriffs zu erhöhen.
DSecured spezialisiert sich primär auf externe Angriffsszenarien. Diese gehen davon aus, dass der Angreifer von "außen" kommt. Der Fokus ist dann entsprechend auf dem Testen aller extern erreichbaren Systeme und Dienste sowie deren kontinuierlicher Überwachung - in der Regel über mindestens 3 Monate. Ergänzt wird dies durch Social Engineering und Phishing sowie Informationen, die beispielsweise im Darknet (siehe Darknet Intelligence) gefunden werden (Passwörter via InfoStealer beispielsweise). So versuchen wir ein bestimmtes Ziel zu erreichen - in der Regel ist das beispielsweise Zugang ins interne System oder Zugang zu vertraulichen Informationen.
Ausgehend von einem klassischen relativen simplen Einsatz, wie wir ihn am häufigsten erleben, sollten Sie mit einem Budget von 30.000 Euro für einen Zeitraum von 3 Monaten rechnen. Diese Zahl kann aber stark variieren, wenn beispielsweise Pivoting innerhalb eines internen Netzwerks erlaubt ist.
Aktivitäten
Luftfahrt
Als externes Red Team durften wir eines der größten Luftfahrtunternehmen angreifen.
Universitäten
In einem britischen Forschungsinstitut haben wir externe und interne Bedrohungen gefunden.
Autohersteller
Für einen deutschen Hersteller haben wir Dutzende Sicherheitslücken gefunden.
IT-Unternehmen
Wir konnten einen großen PII Leak in einem brasilianischen Unternehmen aufspüren.
Versicherungsunternehmen
Regelmäßig bewerten wir die externe IT-Sicherheit von potentiellen Versicherungsnehmern.
Robotik
In regelmäßigen Abständen führen wir Penetrationstests gegen eine bekannte Applikation aus der Robotik durch.
Bahnunternehmen
Wir durften die gesamte Infrastruktur eines ausländischen Bahnunternehmens analysieren.
SaaS Anbieter
Anbieter von SaaS sind klassische Kunden - die Komplexität dieser Applikationen machen regelmäßige Pentests nötig.
Gaming
Gaming-Portale gehören ebenfalls in unser Kunden-Portfolio.
Ablauf eines Red Teaming-Einsatzes
Kickoff
Im ersten Meeting klären wir die Ziele, den Scope und die Methodik. Wir definieren gemeinsam wie weit wir als Auftragnehmer gehen dürfen und welche Informationen wir vom Kunden erhalten. Wir klären, welche Informationen dem Kunden besonders wichtig sind - meist sind das die Dinge, an denen auch ein potentieller Angreifer interessiert wäre. Wichtiges Thema hierbei ist oft "Phishing" - viele Kunden möchten nicht, dass das getestet wird - obwohl es eine der häufigsten Methoden ist, um in ein Unternehmen einzudringen.
Ausführung von Angriffsszenarien
Je nach Anforderungen stellen wir ein kompaktes Team an Experten zusammen, das für gewöhnlich 2-6 Monate an dem Projekt arbeitet. Wir führen die Tests aus und dokumentieren unsere Funde. Wir stellen sicher, dass wir die Ziele erreichen und dabei Methodik einhalten. Wenn gewünscht, wird der Kunde in regelmäßigen Abständen über den Fortschritt informiert - in der Regel geschieht das wöchentlich oder monatlich.
Berichterstattung über Sicherheitsmaßnahmen
Je nach Absprache gibt es einen finalen Bericht, der darlegt, mit welchen Methoden wir Erfolg hatten, was wir exfiltrieren konnten. Neben dem technischen Teil wird hier ebenfalls dargestellt in welchen Bereichen das Unternehmen einen guten Job gemacht hat und ggf. unsere Aktivitäten frühzeitig erkennen konnte.
Finales Meeting
Das finale Meeting ist in der Regel der Projektabschluss bei dem wir den Bericht präsentieren und die Ergebnisse diskutieren. Wir geben Empfehlungen, wie die Sicherheit des Unternehmens verbessert werden kann.
Red teaming beinhaltet auch:
Red Teaming anfragen
Red Team: Ergänzende Leistungen
Kontinuierliche Überwachung
Unsere eASM Plattform "Argos" ist in der Lage ihre gesamte externe Infrastruktur nonstop zu überwachen - so erkennen Sie und wir schnell potenzielle Probleme. Die Platform sucht und meldet uns Anomalien.
Penetrationstests
Penetrationstests dienen dazu in besonders wichtigen Applikationen sehr fokussiert nach Sicherheitslücken zu suchen.
Darknet Intelligence
Zu oft sind wir Teil von hochkomplexen technischen Penetrationstest, die aber nicht verhindern, dass im Internet Daten von Mitarbeitern für das getestete Portal geleakt werden. Sie sollten als Kunde davon wissen!
Was Kunden über uns sagen
„Wir waren sehr von DSecured beeindruckt. Die Ergebnisse, die vorgestellt wurden, übertrafen unsere Erwartungen bei weitem. Es wurde eine Vielzahl von IT-Problemen und schwerwiegenden Schwachstellen gefunden - die klar und deutlich kommuniziert wurden. Die Zusammenarbeit war unkompliziert und reibungslos.“
„Die Sicherheit der Daten unserer Kunden steht für uns an erster Stelle. Dank DSecured waren wir in der Lage die Resilienz unserer Systeme zu verbessern und festzustellen, wie wichtig das Thema "Shadow IT" ist. Das Engagement des Teams und deren Fähigkeiten haben für uns den entscheidenden Unterschied gemacht.“
„DSecured konnte erstaunlich viele bisher unentdeckte Sicherheitslücken in unserer Infrastruktur entdecken. Hierfür wurde die Plattform Argos als auch klassische Penetrationstests verwendet. Wir haben die ehrliche Beratung rund um das Thema IT-Sicherheit sowie Automatisierung sehr geschätzt und danken Herrn Strobel hierfür.“
„Herr Strobel und sein Team führen regelmäßig Penetrationstests gegen unsere Automatisierungsplattform durch - und werden immer wieder fündig. Die Ergebnisse werden klar und reproduzierbar dargestellt. Die Kommunikation erfolgte bisher auf kurzem Wege via z.B. Slack. Wir können DSecured definitiv weiter empfehlen.“
