Red Teaming

Lassen Sie ihr gesamtes Unternehmen von unserem Red Team testen

Red Teaming greift den Auftraggeber ohne Vorankündigung auf allen Kanälen an und beinhaltetet Methoden wie Penetration Testing, Social Engineering, klassisch-materiell Einbrüche mit dem Ziel alle Angriffsmöglichkeiten zu identifizieren und von einem Blue Team beheben zu lassen.
Wenn Sie mehr Security Testing treiben wollen als nur gezieltes Penetration Testing einzelner Server, sondern umfassend Ihr gesamtes Unternehmensnetz bis in alle Verästelungen, alle Server und Clients auf Eindringmöglichkeiten (Sicherheitslücken) prüfen wollen, kommt Red Teaming in Betracht.
Red Teaming geht also weit über klassische Penetrationstests hinaus, da weit mehr als nur ein Server oder ein System aus technischer Sicht getestet wird. Ein Red Team simuliert potenzielle Angreifer mit allen ihren Möglichkeiten. Daher macht ein Red Team nicht bei einem einzelnen System halt, sondern versucht, auch alle anderen unternehmensinternen Systeme zu infiltrieren.
Dazu sollen alle Mittel recht sein. Es werden also auch nicht-technische Methoden verwendet wie Social Engineering (Personelle Sicherheit: Manipulationen um an vertrauliche Informationen zu gelangen) und physisches Überwinden von Raum- oder Gebäudeschutz. Getestet wird also das gesamte Unternehmen mit der kompletten Infrastruktur und allen Mitarbeitern.
Penetration Tests sind tatsächlich unverzichtbar, doch sind sie vom Umfang her deutlich eingeschränkter. Ein Unternehmen besteht ja nicht nur aus einer Software oder einem System – vielmehr ist meist eine Vielzahl oft miteinander verknüpfter Produkte installiert. Diese Software-Produkte werden wiederum von Menschen bedient, programmiert und ausgerollt. Betrieben werden diese oft auf physischen Servern im Unternehmen. Es gilt also deutlich mehr Angriffspunkte und Aspekte zu beachten als nur einzelne Software-Systeme.
Optimalerweise findet ein Red Team Angriff ohne Warnung, ohne Vorwarnung oder auch nur Information der Verantwortlichen im Unternehmen (Sicherheitsbeauftragter, IT-Leiter, Administratoren etc.) statt – ganz so also, als wenn ein tatsächlicher, feindlicher Angriff laufen würde.

Blue und Purple Team
Oftmals kommt der Informationsaustausch zwischen dem Red und dem Blue Team zu kurz. Aus diesem Grund wurde das Konzept des Purple Teams geschaffen. Ein Purple Team sorgt also für verbesserte Resultate eines Red Team Tests durch eine effektive Zusammenarbeit zwischen beiden Teams.
Ein Blue Team stellt den Gegenspieler zum Red Team dar und ist Teil des zu testeten Unternehmens. Aufgabe dieses Teams ist es, ihr Unternehmen abzusichern und kontinuierlich die IT-Security Maßnahmen zu verbessern. Ebenfalls soll Angriffe des Red Teams aufgedeckt werden. Durch Angriffe und Berichte des Red Teams, lernt das Blue Team dazu.

Aufbau des Teams
Ein Red Team besteht notwendigerweise aus Spezialisten mehrerer Security-Bereiche (wie Server, Web-Applications, Netzwerk, …). Insbesondere Social Engineering und Angriffe im Unternehmen erfordern entsprechende Experten.

Vorbereitungen
Ein Unternehmen sollte als Grundlage zuerst einen Penetrationstest durchführen. Dadurch wird erreicht, dass die ‚low hanging fruits (vulnerabilities)‘ behoben sind.
Optimalerweise besitzt das Unternehmen ein Blue Team, welches versucht, Angriffe zu erkennen. Red Teaming eignet sich daher nur eingeschränkt für kleine Unternehmen, da diese oftmals kein Blue Team besitzen.


Red Teaming Venn Diagram

Red Teaming besteht neben Angriffe auf die eingesetze Software auch aus physischem Eindringen ins Unternehmen sowie Social Engineering

Durchführung von Red Team Security Assesments
orientiert sich bei Red Team Security Assesments an dem von Lookhead Martin entwickelten siebenstufigen Cyber Kill Chain Attacker-Model:

  1. Reconnaisance (Informationsbeschaffung)
  2. Weaponization (Erstellen eines Exploits)
  3. Delivery (Exploit wird ans Zielsystem geschickt)
  4. Exploitation (Exploit wird ausgeführt)
  5. Installation (Backdoor wird im System installiert)
  6. Command & Control (System kann von außen kontrolliert werden)
  7. Actions on Objectives (Angreifer verfolgt sein Ziel z.B Daten Exfiltration)

Phase 2 bis 7 werden hierbei in die zwei Gruppen Angriffe Extern und Angriffe Intern gegliedert.
Außerdem wurde der Punkt Berichterstellung hinzugefügt.

Im Detail sieht der Red Teaming Prozess wie folgt aus:

  1. Reconnaisance
    • Information Gathering aus Suchmaschinen und anderen öffentlich zugänglichen Quellen (Open Source Intelligence)
    • Extraktion von Metadaten aus PDF und Office-Dateien
    • Identifikation relevanter Hosts durch:
      • DNS und Whois Informationen
      • Subdomain Bruteforcing
      • Zone Walking
      • DNS-Namen in SSL-Zertifikaten, extrahiert aus Certificate Transparency
      • Spezialisierte Suchmaschinen wie Shodan, Censys und ZoomEye
  2. Angriffe Extern
    • Portscans auf identifizierte Hosts
    • Angriffe gegen identifizierte Webanwendungen:
      • Extraktion von API-Informationen aus Smartphone Apps und Angriffe auf die APIs
      • Brute-Force Angriffe auf öffentlich verfügbare Dienste ohne Brute-Force Schutz oder Zwei-Faktor-Authentifizierung
  3. Angriffe Intern
    • Security Tests der gesamten Netzwerkinfrastruktur, inklusive Devices wie Drucker, IP-Telefone und Telefonanlagen, Konferenzsysteme etc.
    • Auslesen von Active Directory Informationen
    • Offline Cracking extrahierter Kerberos-Hashes von Service Accounts
    • Lateral Movement zur Rechteerweiterung mit dem Ziel, die Rechte eines Domänenadministrators zu erlangen
    • Weaponization: Vorbereitung maßgeschneiderter Payloads (z.B. PowerShell Skripte) anhand bereits gewonnener Informationen über eingesetzte Schutzmaßnahmen wie Anti-Virus, Advanced Endpoint Protection und Next-Generation Firewalls
    • Exploitation und dokumentierte Installation der Payloads
    • WLAN-Angriffe auf zugehörige WLANs und Scans von Gastnetzwerken
    • Verifikation vorhandener Möglichkeiten zur Daten-Exfiltration sowie Command & Control Channels, z.B. über HTTP(S) oder DNS
    • Überprüfung der Onboarding-Prozesse für neue Mitarbeiter auf Schwächen (Account-Erstellung, MDM, SSO und 2-Faktor Systeme)
  4. Berichterstellung
    • Management Summary mit Bewertung des allgemeinen Sicherheitsniveaus, einer Übersicht identifizierter Sicherheitslücken sowie Handlungsempfehlungen
    • Beschreibung der Methodologie
    • Auflistung der Reconnaisance Ergebnisse
    • Alle identifizierten Sicherheitslücken, Konfigurationsfehler oder Mängel in Design und Architektur werden ausführlich beschrieben und mit Screenshots und ggf. Proof of Concept Code oder verwendeten Exploits versehen.
    • Bewertung der Kritikalität der Sicherheitslücken anhand von Eintrittswahrscheinlichkeit und potentiellem Schaden. Falls gewünscht geben wir zusätzlich eine Bewertung nach dem CVSSv3 ab.
    • Benennung konkreter Mitigierungsmaßnahmen zur Behebung der Sicherheitslücken. Falls eine Behebung nicht möglich sein sollte, werden Schritte zur maximalen Risikominimierung beschrieben
    • Einordnung der Sicherheitslücken in die MITRE ATT&CK Matrix bekannter Angriffstechniken. Diese gibt Verteidigern einen umfassenden Überblick über noch bestehende Lücken in Detektion- und Abwehrmaßnahmen.

Fazit
Jedes Unternehmen kann – bei Einsatz übergroßer Ressourcen gehackt werden. Es ist nur eine Frage des Aufwands für den Angreifer. Wird der Aufwand zu hoch, so führt er seinen Angriff nicht zu Ende. Das Unternehmen sollte also so starke Abwehrmaßnahmen implementieren, dass der Aufwand für erfolgreiche Angriffe für die Angreifer zu hoch wird.
ist erfolgreich beim kostengünstigen Einsatz von Red Teaming.
Zögern Sie nicht ihr Unternehmen durch unser Red Team testen zu lassen. Kontaktieren Sie uns noch heute.