Get best of the week

5 Mythen über Red Teaming



Der Begriff Red Teaming wurde von allen gehört, die direkt oder indirekt an der Informationssicherheit beteiligt sind. Aber nicht jeder versteht genau, was es ist: Warum brauchen wir eine Bewertung der Effektivität des Incident-Response-Teams? Was ist diese Form des Trainings für die Verteidigermannschaft? Oft wird Red Teaming für umfassende Penetrationstests ausgegeben: Sie bieten klassische, wenn auch fortgeschrittene Penetrationstests zu einem um ein Vielfaches höheren Preis. Einige große Unternehmen suchen ihre eigenen Spezialisten für Red Teaming und verstehen höchstwahrscheinlich auch nicht ganz, welche Aufgaben sie mit ihrer Hilfe lösen werden. Was ist Red Teaming als Service und was ist Red Teaming nicht? Darüber unten.

Geschichtsreferenz


Wie viele andere Dinge in unserem täglichen Leben (Klebeband, Mikrowelle, Konserven usw.) stammt der Begriff Red Teaming aus dem militärisch-industriellen Komplex. Während des Vietnamkrieges übten amerikanische Militärpiloten Luftkampffertigkeiten und untersuchten ihre eigenen Fehler, wodurch sie ihre Fähigkeiten ohne wirklichen Verlust von Piloten und Flugzeugen erhöhten. Aber der Name "rote Mannschaft" tauchte höchstwahrscheinlich während der Konfrontation mit der Sowjetunion auf. Historisch gesehen verteidigen sich der "rote" Angriff und der "blaue".


Die Wachen in Budapest mochten diesen Begriff auch;)

Was ist Red Teaming?


Mythos Nr. 1. Red Teaming ist ein umfassender Penetrations- oder Audittest.


Es gibt drei Hauptarten von Arbeiten, um das Sicherheitsniveau eines Unternehmens zu überprüfen.

  1. (Vulnerability Assessment) – , . , . .
  2. (Penetrating Test) – ( ) -. . . , (, ) (, ).
  3. Red Teaming – , , . Red Teaming – . ( , ). IOC ( , , .), . , .

Red Teaming – , (TTP) , , .
Durch die Simulation der Aktionen von Angreifern durch ein Team von Angreifern wird der Automatismus der Reaktion auf Vorfälle trainiert und den Verteidigern ein Situationsbewusstsein für die Werkzeuge und Taktiken von Angreifern vermittelt.

Red Teaming konzentriert sich auf integrierte Sicherheitsvorgänge, die Personen, Prozesse und Technologien umfassen. Red Teaming konzentriert sich direkt darauf, das Defensivteam zu trainieren und zu bewerten, wie der Sicherheitsdienst den tatsächlichen Aktionen des Gegners entgegenwirken kann. Technische Mängel und Schwachstellen sind in diesem Fall zweitrangig - die Schlüsselfrage lautet: Wie kann der Eindringling mit seiner Hilfe die Aktivitäten der Organisation beeinflussen?

Im Zentrum von Red Teaming steht das Szenario des Feindes. Szenarien unterscheiden Red Teaming von Penetrationstests und bestimmen auch den Fortschritt des Projekts. Mithilfe von Szenarien können Sie die Aktionen eines bestimmten Gegners (einer bestimmten APT-Gruppe) oder die Aktionen eines mutmaßlichen Angreifers simulieren.

Red Teaming verwendet Methoden und Techniken der offensiven Sicherheit, ist jedoch von Natur aus Teil der defensiven Sicherheit und Teil des SOC, daher kann es ohne das blaue Team nicht existieren.

Ein angreifendes Team ist eine unabhängige Gruppe von Fachleuten, die die Sicherheit einer Organisation von der Position eines Gegners aus betrachtet. Das Team findet alternative Wege, um seine Ziele zu erreichen, und fordert die Verteidiger des Unternehmens auf, ihre Bereitschaft für echte Bedrohungen zu testen. Die Unabhängigkeit hilft Angreifern dabei, das Sicherheitsniveau genau und unvoreingenommen einzuschätzen und gleichzeitig viele Verzerrungen zu vermeiden.

Mythos Nummer 2. Eine Organisation hat möglicherweise ein eigenes internes Red Teaming


Um die Unabhängigkeit aufrechtzuerhalten, muss das angreifende Team extern sein. Und das Fehlen jeglichen Wissens über das angegriffene System und seinen Schutz (mit Ausnahme der Informationen, die zu einem frühen Zeitpunkt des Projekts erhalten wurden) wird eine bessere Vorbereitung und Entwicklung der richtigen Projektumsetzungsstrategie ermöglichen. Internes rotes Teaming kann nur in begrenzter Form vorliegen, und es ist besser, es als "lila Teaming" (eine Mischung aus roten und blauen Farben) oder Bedrohungssuche zu bezeichnen. Dies ist eine Gruppe von Spezialisten innerhalb des Unternehmens, die verschiedene Angriffe auf die Infrastruktur ausführen und gleichzeitig Kontrollen einrichten können, um solche Angriffe zu erkennen. Die externe Gruppe sollte jedoch die Wirksamkeit bewerten.

Tore


Wie jede Aktivität hat Red Teaming einen Zweck. Die Ziele der Angreifer können unterschiedlich sein (Hauptsache, sie verstoßen nicht gegen Gesetze und Geschäftsgeheimnisse), zum Beispiel:

  • ;
  • ;
  • ;
  • ;
  • (DLP);
  • ;
  • .

№ 3. Red Teaming – ,


Bei Red Teaming gibt es keine Gewinner oder Verlierer. Angreifer haben nicht das Ziel, den Server oder das Netzwerk der Organisation leise und leise zu erfassen. In der Anfangsphase wird das angreifende Team lautlos handeln, aber sobald es sich der „Armlänge“ des Ziels nähert, wird es „Lärm machen“, um die Aufmerksamkeit der Verteidiger auf sich zu ziehen. Wenn sie Angreifer frühzeitig erkennen und blockieren, können sie nicht herausfinden, wie der Feind weiter vorgehen kann. Aber wenn es keine Gewinner und Verlierer gibt, wie kann man den Erfolg bestimmen?

Erfolg


Der Erfolg von Red Teaming hängt nicht davon ab, wie gut das angreifende Team das Netzwerk erfasst. Das Red Teaming-Projekt ist erfolgreich, wenn das angreifende Team seine Ziele erreicht und das Verteidigungsteam das Sicherheitsniveau der Organisation lernen und verbessern kann.

Der Erfolg kann auch durch Beantwortung der folgenden Fragen bestimmt werden:

  • Wie lange erkennt das Verteidigungsteam Angreifer?
  • Erkennen die verfügbaren Tools Angreifer?
  • Folgt das Verteidigungsteam seinem TTP, wenn die Aktionen des angreifenden Teams einen Alarm auslösen?
  • Kann das Verteidigungsteam Kommunikationskanäle mit der angreifenden Kommandozentrale (C2) erkennen?
  • Können Verteidiger ein Angreiferprofil basierend auf Kompromissindikatoren (IOCs) im Netzwerk und auf den Hosts erstellen?

Erwischt!


Wie kann festgestellt werden, dass sich das Red Teaming-Projekt in der Abschlussphase befindet (und es Zeit ist, einen Bericht zu schreiben)? Dieser Punkt wird zu Beginn besprochen und genehmigt. Im Allgemeinen gibt es mehrere Möglichkeiten:

  • . . , Red Teaming , , . , .
  • . «» , «», .
  • Das Verteidigerteam entdeckte die Aktionen des angreifenden Teams. Hier gibt es eine Falle. Wenn das Verteidigerteam frühzeitig einen Angriff erkannte, zum Beispiel einen Phishing-Angriff oder die Installation eines Kommunikationskanals mit der Kommandozentrale (C2), und rief: „Ja, wir haben uns darauf eingelassen!“, Reagierte es richtig - das Ziel wurde erreicht. In diesem Fall lohnt es sich, im Voraus die Möglichkeit für die Verteidiger zu erörtern, die weiteren Aktionen der Angreifer zu beobachten. Hier können Sie bereits bis zu einem bestimmten Punkt überwachen und damit prüfen, welche Sicherheitskontrollen ausgelöst werden und welche nicht und zusätzliche Einstellungen erforderlich sind. Verteidiger können jederzeit die Kommunikationskanäle trennen und „erwischt!“ Sagen. Vorher haben sie jedoch Zeit, sich mit neuen Techniken vertraut zu machen.

Vorteil


Was sind die Hauptvorteile von Red Teaming? Die Möglichkeit, den Betrachtungswinkel der Informationssicherheit im Unternehmen zu ändern:

  • den wirklichen Sicherheitszustand und die Schwachstellen darin sehen (bevor es jemand, der besonders „begabt“ ist, von außen tut);
  • Lücken in Prozessen, Verfahren und Techniken identifizieren (und natürlich beseitigen);
  • Finden Sie heraus, ob der IS-Dienst seine Arbeit gut macht, ohne die Folgen eines echten Vorfalls.
  • die Taktiken, Methoden und Verfahren des Feindes besser verstehen und das Budget effizienter für Informationssicherheit ausgeben;
  • Sensibilisierung von IS-Mitarbeitern, Managern und Mitarbeitern.

Wenn das Red Teaming-Projekt das Sicherheitsniveau nicht verbessert, macht es keinen Sinn, es durchzuführen.

Mythos Nr. 4. Nur ausgereifte Sicherheitsorganisationen benötigen möglicherweise Red Teaming.


Red Teaming kann von Organisationen mit jedem Reifegrad der Informationssicherheit verwendet werden. Voraussetzung ist ein Team von Verteidigern und Prozessen, um auf Vorfälle und Bedrohungen reagieren zu können.

Red and Teaming hilft Unternehmen mit Einstiegs- und mittlerem Reifegrad dabei, ihre Fähigkeit zu beurteilen, sich einem erfahrenen Gegner zu stellen: Verstehen Sie, wie Sie wachsen und welche Sicherheitskontrollen implementiert werden müssen. Und entwickeln Sie auch einen Automatismus für die richtige Reaktion auf Vorfälle.

Für eine Organisation mit einem ausgereiften Sicherheitsniveau ist dies die Schulung und Entwicklung ihrer Fähigkeiten. Abgesehen davon werden sie in der Lage sein, neue Techniken und Taktiken zu sehen, denen sie noch nicht begegnet sind.

Organisatorische Struktur


Folgende Teams nehmen an dem Projekt teil:

  • Rotes Team (Rotes Team) - angreifen. Spezialisten, die Angriffe auf eine Organisation simulieren.
  • (Blue Team) – . , .
  • (White Team) – . , CISO. , : , , . . , , ( ) (IOC), . , «» . , Red Team, , Blue Team. .

Oft wird das weiße Team mit dem lila Team verwechselt.

Mythos Nummer 5. Die sehr hohen Kosten des Red Teaming-Projekts


Das vielleicht wichtigste Thema, das jeden Kunden interessiert, ist der Preis. Die himmelhohen Kosten von Red Teaming sind ein Marketingtrick. Ein unverständlicher Name, ein neuer Trend in der Informationssicherheitsbranche - all dies führt oft zu einer unangemessenen Inflation des Preises einer Dienstleistung.

Die Kosten für Red Teaming werden basierend auf der Dauer des Projekts berechnet, was wiederum vom gewählten Szenario abhängt. Je komplexer das Skript, desto mehr Arbeit daran.
Die Dauer des Red Teaming-Projekts beruht auf der Tatsache, dass das angreifende Team verdeckt handeln muss, um sich nicht im Voraus zu offenbaren. Die durchschnittliche Projektdauer beträgt ca. 12 Wochen. Zum Vergleich: Umfassende Penetrationstests, einschließlich externer Perimeter, interner Infrastruktur, Social Engineering und Analyse von drahtlosen Netzwerken, dauern durchschnittlich 7 Wochen (sie können schneller abgeschlossen werden, wenn der Auftragnehmer die Phasen parallel durchführt).

Noch vor Beginn des Hauptteils führt das angreifende Team eine passive Aufklärung und Datenerfassung durch, bereitet die Infrastruktur vor und finalisiert oder entwickelt ihre eigenen Tools gemäß den erhaltenen Informationen. Am Ende des Projekts wird eine zusätzliche Beratung der Mitarbeiter des Kunden organisiert. Alle diese Arbeitskosten werden in den Gesamtkosten berücksichtigt.

Es folgt ganz logisch, dass der Preis für Red Teaming höher sein wird als für umfassende Penetrationstests. Gleichzeitig wird es seine Kosten natürlich nicht verzehnfachen.

Abschluss der Arbeit


Der Bericht ist eine Art Arbeitsnachweis. Der Hauptwert besteht jedoch darin, dass es analysiert und verwendet werden kann (und sollte), um die Sicherheit im Unternehmen zu verbessern. Daher ist seine Qualität äußerst wichtig.

Der Red Teaming-Bericht kann sich erheblich von den Berichten über Penetrationstests und Sicherheitsanalysen unterscheiden. Da sich die Arbeit weitgehend auf das Skript konzentriert, basiert der Bericht auf einer Historie von Aktionen.

Der Bericht enthält die folgenden Informationen:

  • Hochrangige Schlussfolgerung zum Sicherheitszustand und zur Bereitschaft der Verteidiger, sich echten Bedrohungen zu stellen
  • ,
  • . , (IOC)
  • ,
  • ,
  • .

Am Ende des Projekts sind mehrere Treffen mit Vertretern beider Seiten möglich. Eine besteht darin, die Organisation zu leiten, wobei der Schwerpunkt auf dem Gesamtbild des Projekts liegt. Die Ergebnisse von Red Teaming können sich auf die zukünftige Arbeit der Organisation auswirken: Sie müssen finanziell unterstützt werden, um die festgestellten Mängel zu beseitigen oder die Personaltabelle zu ändern. Wenn die Ergebnisse von Red Teaming zur Verbesserung der Sicherheit der Organisation verwendet werden (andernfalls ist eine solche Arbeit nicht sinnvoll), ist das Bewusstsein und Interesse des Managements sehr wichtig.

Ein weiteres Treffen ist ein technisches. Dies ist ein wechselseitiger Informationsaustausch zwischen Angreifern, Verteidigern und dem Projektkoordinator auf Kundenseite. Beinhaltet eine detaillierte High-Tech-Überprüfung der Aktionen des angreifenden und defensiven Teams während des Projekts. Ermöglicht beiden Parteien, Fragen im Zusammenhang mit implementierten Angriffen zu stellen und darauf zu antworten, Verbesserungsempfehlungen und Ideen für neue Methoden zu erhalten. Dies ermöglicht es, die Fähigkeiten sowohl von Verteidigern als auch von angreifenden Teams zu verbessern. Solche Treffen sind Teil des Projekts und ihre Vorteile können von unschätzbarem Wert sein.

Fazit


Das Thema Red Teaming ist sehr umfangreich und kann in einem Artikel nicht vollständig behandelt werden. Trotzdem können wir aus dem oben Gesagten einige grundlegende kurze Schlussfolgerungen ziehen:

  • Die Hauptvorteile von Red Teaming sind Training und Wissensaustausch.
  • Red Teaming
  • Red Teaming – ( )
  • Red Teaming – , , , .

: , , «-»

More articles:


All Articles