Was ist Red Teaming?

Heutzutage geschehen Cyberangriffe schneller als je zuvor. Laut dem IBM X-Force Threat Intelligence Index ist die Zeit, die für die Ausführung von Ransomware-Angriffen benötigt wird, in den letzten Jahren um 94 % gesunken, von 68 Tagen im Jahr 2019 auf weniger als vier Tage im Jahr 2023.

Red-Team-Operationen bieten Unternehmen die Möglichkeit, Sicherheitsrisiken proaktiv aufzudecken, zu verstehen und zu beheben, bevor Bedrohungsakteure sie ausnutzen können. Red Teams nehmen eine gegnerische Perspektive ein, die ihnen dabei helfen kann, die Sicherheitslücken zu identifizieren, die echte Angreifer am wahrscheinlichsten ausnutzen.

Der proaktive, feindliche Ansatz von Red Teaming ermöglicht es Sicherheitsteams, Sicherheitssysteme zu stärken und vertrauliche Daten selbst angesichts erhöhter Cyberbedrohungen zu schützen.

Red Teaming ist eine Form des ethischen Hacking, bei der Sicherheits-Experten die Taktiken, Techniken und Verfahren (Tactics, Techniques, Procedures, TTPs) echter Angreifer nachahmen.

Ethische Hacker haben die gleichen Fähigkeiten und verwenden die gleichen Tools wie böswillige Hacker, aber ihr Ziel ist es, die Netzwerksicherheit zu verbessern. Mitglieder des Red Teams und andere ethische Hacker befolgen einen strengen Verhaltenskodex. Sie holen die Genehmigung von Unternehmen ein, bevor sie sie hacken, und fügen einem Netzwerk oder seinen Benutzern keinen wirklichen Schaden zu.

Stattdessen verwenden Red Teams Angriffssimulationen, um zu verstehen, wie böswillige Hacker einem System echten Schaden zufügen können. Während einer Red-Teaming-Übung verhalten sich die Red-Team-Mitglieder, als wären sie echte Gegner. Sie nutzen verschiedene Hacking-Methoden, Tools zur Bedrohungsemulation und andere Taktiken, um raffinierte Angreifer und persistente komplexe Bedrohungen nachzuahmen.

Diese simulierten Angriffe helfen dabei festzustellen, wie gut die Risikomanagementsysteme eines Unternehmens – Menschen, Prozesse und Technologien – verschiedenen Arten von Cyberangriffen standhalten und darauf reagieren können.

Red-Team-Übungen sind normalerweise zeitlich begrenzt. Ein Test kann zwischen einigen Wochen und einem Monat oder länger dauern. Jeder Test beginnt in der Regel mit der Erkundung des Zielsystems, einschließlich öffentlicher Informationen, Open-Source-Informationen und aktiver Aufklärung.

Als Nächstes startet das Red Team simulierte Angriffe gegen verschiedene Punkte auf der Angriffsfläche des Systems und erkundet dabei verschiedene Angriffsvektoren. Die häufigsten Ziele sind:

• KI-Systeme und Modelle für maschinelles Lernen
• Datensätze, die KI- und ML-Anwendungen unterstützen
• Workstations und mobile Endgeräte
• Kryptografische Systeme
• EDR-Systeme (Endpoint Detection and Response)
• XDR-Systeme (Extended Detection and Response)
• Firewalls
• Intrusion Detection Systems (IDS)
• SOAR-Systeme (Sicherheitsorchestrierung, Automatisierung und Reaktion)
• Webanwendungen und Webserver

Bei diesen simulierten Angriffen treten oft rote Teams gegen blaue Teams an, die als Verteidiger des Systems fungieren. Die roten Teams versuchen, die Verteidigung des blauen Teams zu umgehen und dokumentieren, wie sie dies tun. Das rote Team zeichnet auch alle Schwachstellen auf, die es findet, und wie sie genutzt werden können. 

Die Red Teaming-Übungen enden mit einer abschließenden Auswertung, bei der sich das rote Team mit den IT- und Sicherheitsteams trifft, um seine Ergebnisse zu teilen und Sanierungsempfehlungen abzugeben.

Um die Sicherheitsmaßnahmen eines Unternehmens zu testen, werden bei Red-Team-Aktivitäten dieselben Tools und Techniken verwendet, die auch Angreifer in der realen Welt einsetzen.

Einige gängige Tools und Techniken des Red-Teaming sind:

• Social Engineering: Verwendet Taktiken wie Phishing, Smishing, Vishing, Spear-Phishing und Whale-Phishing, um an vertrauliche Informationen zu gelangen oder von ahnungslosen Mitarbeitern Zugang zu Unternehmenssystemen zu erhalten.
  
  
• Physical Security Testing: Testet die physischen Sicherheitskontrollen eines Unternehmens, einschließlich Überwachungssysteme und Alarme.
  
  
• Penetrationsprüfungen von Anwendungen: Testet Web-Apps auf Sicherheitsprobleme, die durch Codierungsfehler entstehen, z. B. SQL-Injection-Sicherheitslücken.
  
  
• Netzwerk Sniffing: Überwacht den Netzwerkverkehr bezüglich der Informationen zu einem IT-System, wie Konfigurationsdetails und Zugangsdaten.
  
  
• Beschädigung geteilter Inhalte: Fügt einem Netzlaufwerk oder einem anderen gemeinsamen Speicherort Inhalte hinzu, die Malware oder anderen gefährlichen Code enthalten. Wenn diese von einem ahnungslosen Nutzer geöffnet werden, wird der bösartige Code ausgeführt und ermöglicht es dem Angreifer, sich lateral zu bewegen.
  
  
• Brute-Forcing von Zugangsdaten: Systematisches Erraten von Passwörtern durch Ausprobieren von Anmeldedaten aus früheren Sicherheitsverletzungen, Testen von Listen mit häufig verwendeten Passwörtern oder durch die Verwendung automatisierter Skripte.

Red Teaming kann dazu beitragen, den Sicherheitsstatus eines Unternehmens zu stärken und die Widerstandsfähigkeit zu fördern, aber es kann auch eine ernsthafte Herausforderung für Sicherheitsteams darstellen. Zwei der größten Herausforderungen sind die Kosten und der Zeitaufwand für die Durchführung einer Red-Team-Übung.

In der Regel finden in Unternehmen Red-Team-Übungen nur in unregelmäßigen Abständen statt, was nur einen Einblick in die Cybersicherheit des Unternehmens zu einem bestimmten Zeitpunkt bietet. Das Problem ist, dass der Sicherheitsstatus des Unternehmens zum Zeitpunkt des Tests vielleicht gut ist, dies aber möglicherweise nicht so bleiben wird.

Mithilfe von CART-Lösungen (Continuous Automated Red Teaming) können Unternehmen ihren Sicherheitsstatus fortlaufend und in Echtzeit beurteilen. CART-Lösungen nutzen Automatisierung, um Assets zu erkennen, Schwachstellen zu priorisieren und Angriffe mithilfe von Tools und Exploits durchzuführen, die von Branchenexperten entwickelt und gepflegt werden.

Durch die Automatisierung eines Großteils des Prozesses kann CART das Red Teaming erleichtern und Sicherheitsexperten entlasten, die sich auf interessante neue Tests konzentrieren können.

Red-Teaming-Übungen helfen Unternehmen, sich einen Überblick über ihre Systeme zu verschaffen. Aus dieser Perspektive kann das Unternehmen sehen, wie gut seine Verteidigungsmaßnahmen einem realen Cyberangriff standhalten würden.

Bei einem simulierten Angriff werden Sicherheitskontrollen, Lösungen und sogar Personal einem dedizierten, aber nicht destruktiven Gegner gegenübergestellt, um herauszufinden, was funktioniert – und was nicht. Red Teaming kann Sicherheitsverantwortlichen eine realitätsnahe Einschätzung der Sicherheit ihres Unternehmens bieten.

Red Teaming kann einem Unternehmen auf verschiedene Weise helfen:

• Identifikation und Bewertung von Schwachstellen sowohl in der Angriffsfläche – Punkte, an denen in ein System eingedrungen werden könnte – als auch in den Angriffspfaden – den Schritten, die zu Beginn eines Angriffs befolgt werden können
  
  
• Bewertung der Leistung aktueller Sicherheitsinvestitionen – einschließlich der Funktionen zur Erkennung, Abwehr und Reaktion auf Bedrohungen – im Hinblick auf reale Bedrohungen
  
  
• Identifizierung und Vorbereitung auf bisher unbekannte oder unerwartete Sicherheitsrisiken
  
  
•  Priorisierung von Verbesserungen an Sicherheitssystemen

Rote Teams, blaue Teams und violette Teams arbeiten gemeinsam an der Verbesserung der IT-Sicherheit. Rote Teams führen Scheinangriffe durch, blaue Teams übernehmen eine defensive Rolle und violette Teams erleichtern die Zusammenarbeit zwischen den beiden. 

Red Teaming und Penetrationsprüfung – auch „Pen-Tests“ genannt – sind unterschiedliche, sich aber überschneidende Methoden zur Bewertung der Systemsicherheit. 

Ähnlich wie Red Teaming verwenden Penetrationstests Hacking-Techniken, um ausnutzbare Schwachstellen in einem System zu identifizieren. Der Hauptunterschied besteht darin, dass Red-Teaming stärker szenariobasiert ist.

Red Teaming-Übungen finden oft innerhalb eines bestimmten Zeitrahmens statt und es tritt oft ein offensives rotes Team gegen ein defensives blaues Team an. Das Ziel ist es, das Verhalten eines realen Gegners nachzuahmen.

Pen-Tests ähneln eher einer traditionellen Sicherheitsbewertung. Pen-Tester verwenden verschiedene Hacking-Techniken gegen ein System oder ein Asset, um herauszufinden, welche funktionieren und welche nicht.

Penetationsprüfungen können Unternehmen dabei helfen, potenziell ausnutzbare Sicherheitslücken in einem System zu identifizieren. Red Teaming kann Unternehmen dabei helfen zu verstehen, wie ihre Systeme – einschließlich Verteidigungsmaßnahmen und Sicherheitskontrollen – im Kontext realer Cyberangriffe funktionieren.

Pen-Tests und Red Teaming sind übrigens nur zwei der Möglichkeiten, mit denen ethische Hacker den Sicherheitsstatus von Unternehmen verbessern können. Ethische Hacker können auch Schwachstellenbewertungen, Malware-Analysen und andere Services im Bereich Informationssicherheit durchführen.