Vorwort
Unter Offensive Security versteht man Dienstleistungen, welche Angriffe auf Systeme, Infrastrukturen, oder komplette Unternehmen simulieren. Der Umfang, die Durchführung und Vorgehensweise können (und müssen) dabei gut auf das gewünschte Ergebnis abgestimmt werden. Es gibt keine allgemein "beste" Art, ein solches Projekt durchzuführen, aber es ist wichtig zu evaluieren, welche Projektart die gewünschten Ziele am besten erreicht.
Ein gemeinsames Ziel aller Projekte ist es, Cyber-Security in Unternehmen mithilfe von simulierten Angriffen und daraus abgeleiteten Lücken in der Verteidigung zu verbessern.
Wir als SecCore GmbH haben uns dafür auf drei Projektarten spezialisiert, die unterschiedlich aufgebaut sind: Penetration Testing, Red Team Engagements sowie Purple Team Exercises. Die Vor- und Nachteile, und welches davon am besten zu Ihren Anforderungen passt, wird in diesem Blog-Eintrag erläutert.
Zusammenfassung
Als Kurzübersicht fasst die folgende Grafik die drei Projektarten Penetration Testing, Red Team Engagements und Purple Team Exercises zusammen:
Penetration Testing
Penetration Tests (kurz Pentests) simulieren technische Angriffe auf Systeme, welche sich in einem vorher definierten Scope befinden. Eintrittspunkte, Ziele und gewährleistete Hilfestellungen werden dabei für jedes Projekt in Vorab-Terminen abgesteckt und genauestens dokumentiert, um eine möglichst sinnvolle und wiederholbare Herangehensweise zu gewährleisten.
Penetration Tests können dabei auf verschiedene Ziele durchgeführt werden, darunter:
- Externe Infrastrukturen (Kundenportale, Remote/VPN-Zugänge, E-Mail Server etc.)
- Interne Infrastrukturen (Active-Directory, Netzwerkprotokolle, Zutrittssysteme etc.)
- Applikationen (Webapps, Mobile Apps, Thick-Clients etc.)
Penetration Tests haben gemeinsam, dass diese angekündigt werden und möglichst effizient technische Angriffspfade überprüfen. Angriffe im Zuge von Penetration Tests sind nicht darauf ausgelegt, unerkannt zu passieren, sondern in kurzer Zeit möglichst viele relevante Schwachstellen und Angriffspfade zu finden. Die Überprüfung von Alarmierungen und organisatorischen Maßnahmen mithilfe von Penetration Tests spiegelt dadurch nicht die Realität tatsächlicher Angriffe wider.
Die Bewertung und Dokumentation von Schwachstellen, welche im Zuge eines Penetration Tests entdeckt wurden, erfolgen dabei auf Basis des Unternehmenskontexts und deren Relevanz für gefundene Angriffspfade.
Vorteile
- Ideal um Schwachstellen und technische Angriffspfade zu erkennen
- Dedizierter, eingeschränkter Umfang möglich
- Effizienz kann durch Hilfestellungen weiter verbessert werden
- Durchführung ohne lange Vorbereitung
Penetration Tests machen Sinn, wenn technische Angriffspfade überprüft werden sollen.
Red Team Engagement
Bei einem Red Team Engagement werden Angriffe auf gesamte Infrastrukturen möglichst realitätsnah simuliert. Im Vergleich zu einem Penetration Test können hierbei nicht nur technische, sondern auch organisatorische Maßnahmen überprüft werden. Anhand einer Angriffssimulationen im Zuge eines Red Team Engagements ist es also möglich, auch Alarmierungen und Verhaltensweisen verschiedener definierter Bereiche (Security Operation Center, IT-Systemadministratoren, Management etc.) zu überprüfen. Damit das funktioniert, ist in der Regel der Umfang dieses Projekts nicht eingeschränkt, es können also Social Engineering Angriffe und Vor-Ort Besuche durchgeführt werden. Systeme werden nur in Ausnahmefällen vom Scope ausgenommen.
In die Durchführung dieser Engagements ist nur ein kleiner Kreis von Personen eingeweiht, um keine Verfälschung des Verhaltens zu gewährleisten. Eine fallweise Zusammenarbeit, um beispielsweise zusätzliche Szenarien zu testen, ist dennoch möglich.
Ein großer Vorteil ist also, dass nicht nur Schwachstellen und Angriffspfade in Infrastrukturen gefunden werden, sondern auch Lücken in der Erkennung und Alarmierung. Des weiteren ist es möglich, Prozesse in einem Information Security Management System (ISMS) auf deren Wirksamkeit hin zu überprüfen.
Vorteile
- Ideal um technische und organisatorische Probleme zu erkennen
- Möglichst realistischer Einblick in Prozesse
- Verhalten im Ernstfall kann überprüft werden
Ein Red Team Engagement eignet sich am besten dazu, einen realistischen Angriff und die Reaktion aller Bereiche zu überprüfen.
Purple Team Exercise
Mithilfe eines Purple Team Exercise werden Verteidigungsmaßnahmen und Prozesse in gemeinsam geplanten simulierten Angriffen überprüft. Im Unterschied zu Red Team Engagements werden Purple Team Exercises in steter Zusammenarbeit mit IT-Security Verantwortlichen durchgeführt. Das gewährleistet einen direkten Austausch zwischen Red Team (Angriff) und Blue Team (Verteidigung).
Dabei werden Angriffe simuliert, während das Verteidigungsteam live überprüft, ob und wann Alarme ausgelöst werden. Werden Schlüsselmomente des Angriffs nicht erkannt, können Alarmregeln und Erkennungsmuster direkt angepasst werden und der Angriff wird wiederholt. So lassen sich realistische und funktionierende Indicators of Compromise (IoCs) erstellen, welche auch in tatsächlichen Angriffen erkannt werden können.
Vorteile
- Effiziente Anpassung von Angriffserkennungen
- Direkter Austausch mit dem Red Team
- Schulung von Security Operations Center und IT-Mitarbeitenden
Purple Team Exercises sollten durchgeführt werden, um Erkennungs- und Alarmierungsregeln zu validieren.
Was ist mit Schwachstellenscans / automatischen Audits?
Oft wird in diesem Zusammenhang auch das Thema Schwachstellenscans mit Offensive Security in Verbindung gebracht. Wir bieten diese Dienstleistungen nicht an, da dabei Schwachstellen und Konfigurationsprobleme ohne Kontext ausgegeben werden. Ohne langwierige Nachbereitungsarbeit sind diese daher nicht zielführend. Im schlimmsten Fall fördern sie ein falsches Sicherheitsverständnis.