Es ist keine Frage, ob ein Unternehmen kompromittiert wird, sondern wann. Ein versierter, ressourcenstarker und erfahrener Angreifer könnte in Bezug auf Cyberbedrohungen Ihr schlimmster Albtraum sein. Glücklicherweise kann ein ethischer Hacker auch Ihr bester Freund sein, wenn Ihr Unternehmen ein Red Team engagiert.
Die Durchführung von Red-Team-Tests ist die realistischste Methode, um Ihre Abwehrmaßnahmen zu validieren, Schwachstellen zu finden und die Cybersicherheit Ihres Unternehmens zu verbessern. Der Einsatz eines roten Teams gibt Ihrem blauen Team die Möglichkeit, die Wirksamkeit Ihres Sicherheitsprogramms genauer zu beurteilen und Verbesserungen vorzunehmen. Auf diese Weise integrieren auch immer mehr Unternehmen eine auf Resilienz ausgerichtete Denkweise in ihre Cybersicherheits-Strategie.
Erfahren Sie mehr über die Vorteile von Red Teaming, die Unterschiede zwischen roten und blauen Teams und was ein violettes Team ist in meinem vorherigen Blogbeitrag: „Red Teaming 101: Was ist Red Teaming?“
Im Rahmen von Sicherheitstests sind rote Teams Sicherheitsexperten, die die „Bösewichte“ spielen, um die Verteidigungsmaßnahmen des Unternehmens gegen die Verteidiger des blauen Teams zu testen.
Red Teams sind genauso geschickt wie echte Bedrohungsakteure und untersuchen eine Angriffsfläche auf Möglichkeiten, um Zugang zu erhalten, Fuß zu fassen, sich lateral zu bewegen und Daten zu exfiltrieren. Dieser Ansatz steht im Gegensatz zur Methodik hinter Penetrationstests (oder Pen-Tests), bei denen der Fokus darauf liegt, sensible Informationen oder ausnutzbare Sicherheitslücken zu finden und Cybersicherheitsmaßnahmen zu testen, um Zugriff auf Sicherheitskontrollen zu erhalten.
Im Gegensatz zu Cyberkriminellen beabsichtigen die Mitglieder roter Teams nicht, tatsächlichen Schaden anzurichten. Stattdessen ist es ihr Ziel, Lücken in der Cybersicherheit aufzudecken und Sicherheitsteams dabei zu unterstützen, aus den Erkenntnissen zu lernen und ihr Programm anzupassen, bevor ein tatsächlicher Angriff stattfindet.
Ein berühmtes Zitat besagt: „In der Theorie sind Theorie und Praxis dasselbe. In der Praxis sind sie es nicht.“ Der beste Weg, um zu lernen, wie man Cyberangriffe verhindert und sich von ihnen erholt, ist, durch die Durchführung von Red-Team-Aktivitäten zu üben. Andernfalls werden Ressourcen leicht für ineffektive Technologien und Programme verschwendet, ohne dass nachgewiesen werden kann, welche Sicherheitstaktiken funktionieren.
Es ist schwer zu sagen, was wirklich funktioniert und was nicht, wo Sie zusätzliche Investitionen tätigen müssen und welche Investitionen sich nicht gelohnt haben, bis Sie die Gelegenheit haben, sich mit einem Angreifer auseinanderzusetzen, der versucht, Sie zu bezwingen.
Bei Übungen des roten Teams stellen Unternehmen ihre Sicherheitskontrollen, Abwehrmaßnahmen, Praktiken und internen Interessengruppen einem engagierten Gegner gegenüber, der eine Angriffssimulation durchführt. Darin liegt der wahre Wert von Red-Team-Assessments. Sie bieten Sicherheitsverantwortlichen eine realitätsnahe Einschätzung der Cybersicherheit ihres Unternehmens und geben Aufschluss darüber, wie Hacker verschiedene Sicherheitslücken ausnutzen könnten. Schließlich können Sie einen nationalstaatlichen Angreifer nicht fragen, was Sie übersehen haben oder was er richtig gut gemacht hat. Daher ist es schwierig für Sie, das Feedback zu erhalten, das Sie benötigen, um die Wirksamkeit eines Programms tatsächlich beurteilen zu können.
Außerdem bietet jede Operation des roten Teams die Möglichkeit zur Erfolgsmessung und Verbesserung. Es ist möglich, sich einen umfassenden Überblick darüber zu verschaffen, ob eine Investition – wie z. B. in Sicherheitstools, Tester oder Sensibilisierungsschulungen – zur Minderung verschiedener Sicherheitsbedrohungen beiträgt.
Mitglieder des roten Teams helfen Unternehmen auch dabei, sich von einer „Find-and-Fix“-Mentalität zu einer kategorischen Verteidigungsmentalität zu entwickeln. Angreifer auf Ihre Netzwerksicherheit loszulassen, kann beängstigend sein – aber die Hacker probieren bereits jede „Türklinke“ in Ihrer Sicherheitsinfrastruktur aus. Am besten ist es, die unverschlossenen Türen zu finden, bevor die Angreifer es tun.
Es heißt, es gäbe nur zwei Arten von Unternehmen: solche, die bereits gehackt wurden, und solche, die erst noch gehackt werden. Leider könnte das der Wahrheit ziemlich nahe kommen. Jedes Unternehmen, unabhängig von seiner Größe, kann von einer Red-Teaming-Bewertung profitieren. Damit ein Einsatz eines roten Teams den größtmöglichen Nutzen bringt, muss ein Unternehmen jedoch über zwei Dinge verfügen:
Die beste Zeit für Ihr Unternehmen, Red-Team-Services in Anspruch zu nehmen, ist, wenn Sie Fragen auf Programmebene verstehen möchten. Wie weit könnte beispielsweise ein Angreifer, der sensible Daten entwenden möchte, in mein Netzwerk eindringen, bevor ein Alert ausgelöst wird?
Red Teaming ist auch eine gute Option, wenn Ihr Sicherheitsteam seinen Notfallplan testen oder Teammitglieder schulen möchte.
Red Teaming ist eine der besten Methoden zum Testen der Sicherheit Ihres Unternehmens und seiner Fähigkeit, einem potenziellen Angriff standzuhalten. Warum entscheiden sich also nicht mehr Unternehmen dafür?
So vorteilhaft Red Teaming auch ist, in der heutigen schnelllebigen, sich ständig verändernden Umgebung kann es vorkommen, dass Red Team-Einsätze nicht ausreichen, um wichtige Änderungen sofort zu erkennen. Ein Sicherheitsprogramm ist nur so wirksam wie bei seiner letzten Validierung, was zu Lücken in der Sichtbarkeit und einer geschwächten Risikolage führt.
Der Aufbau interner Red-Team-Kapazitäten ist kostspielig und nur wenige Unternehmen sind in der Lage, die erforderlichen Ressourcen bereitzustellen. Um wirklich effektiv zu sein, benötigt ein rotes Team genügend Personal, um die anhaltende und gut ausgestattete Bedrohungslage moderner Cyberkriminalitätsbanden und Bedrohungen durch Nationalstaaten nachzuahmen. Ein rotes Team sollte engagierte Mitglieder für Sicherheitsoperationen (oder Unterteams für ethisches Hacken) für Ziel-, Forschungs- und Angriffsübungen umfassen.
Es gibt eine Vielzahl von Drittanbietern, die Unternehmen die Möglichkeit bieten, Red-Team-Services in Anspruch zu nehmen. Sie reichen von großen Firmen bis hin zu Boutique-Anbietern, die sich auf bestimmte Branchen oder IT-Umgebungen spezialisiert haben. Es ist zwar einfacher, die Dienste eines externen Red Teams in Anspruch zu nehmen, als Vollzeitpersonal einzustellen, aber es kann tatsächlich teurer sein, insbesondere wenn Sie dies regelmäßig tun. Daher nutzen nur wenige Unternehmen Red Teaming häufig genug, um echte Erkenntnisse zu gewinnen.
Continuous Automated Red Teaming (CART) nutzt die Automatisierung, um Assets zu erkennen, Entdeckungen zu priorisieren und (nach der Autorisierung) reale Angriffe durchzuführen, wobei Tools und Exploits verwendet werden, die von Branchenexperten entwickelt und gepflegt werden.
Mit seinem Schwerpunkt auf Automatisierung ermöglicht Ihnen CART, sich auf interessante und neuartige Tests zu konzentrieren und Ihre Teams von der sich wiederholenden und fehleranfälligen Arbeit zu befreien, die zu Frustration und letztlich zu Burnout führt.
CART bietet Ihnen die Möglichkeit, Ihre allgemeine Sicherheitslage proaktiv und kontinuierlich zu bewerten – zu einem Bruchteil der Kosten. Das macht Red Teaming zugänglicher und bietet Ihnen einen aktuellen Überblick über Ihre Verteidigungsleistung.
IBM Security® Randori bietet eine CART-Lösung namens IBM Security Randori Attack Targeted an, mit der Sie Ihr Cyberrisiko durch proaktives Testen und Validieren Ihres gesamten Sicherheitsprogramms auf kontinuierlicher Basis klären können.
Die Studie Total Economic Impact™ of IBM Security Randori, die Forrester Consulting im Auftrag von IBM im Jahr 2023 durchführte, ergab, dass durch erweiterte Red-Team-Aktivitäten 75 % der Arbeitskosten eingespart werden können.
Die Funktionalität der Lösung lässt sich nahtlos in ein bestehendes internes Red Team integrieren oder auch ohne ein solches Team nutzen. Randori Attack Targeted bietet auch Einblicke in die Wirksamkeit Ihrer Abwehrmaßnahmen und macht fortschrittliche Sicherheit auch für mittelgroße Unternehmen zugänglich.
Dieser Blogbeitrag ist Teil der Serie „Alles, was Sie über Red Teaming wissen müssen“ des IBM® Security Randori Teams.