Security-Kolumne
Datum:
Dieser Artikel wurde verfasst von
Partnerin, Offensive Security
Senior Consultant, Offensive Security
In der IT-Sicherheit existieren verschiedene Ansätze, um die Widerstandsfähigkeit von Systemen und Organisationen gegenüber Cyberangriffen zu bewerten. Doch bei der Verbesserung der Cyber-Resilienz gegenüber Bedrohungen stellt sich häufig die Frage: „Wie können die eingesetzten Softwarelösungen oder einzelnen Systeme effizient auf Schwachstellen untersucht und bewertet werden?“
Zur Lösung dieses Problems bieten wir unseren Kundinnen und Kunden (nachfolgend: Auftraggeber) eine Vielzahl von Dienstleistungen an, unter anderem die Durchführung von Security Audits, Penetrationstests und Red Teaming Engagements. Doch was ist der Unterschied?
Im Folgenden werden die Besonderheiten von internen Penetrationstests und Red Teaming Engagements auf Basis eines „Assumed Breach“-Szenarios beleuchtet und ergänzend kurz auf Security Audits eingegangen. Der Schwerpunkt liegt dabei auf der Bewertung interner IT-Infrastrukturen.
Bei einem Penetrationstest wird das Sicherheitsniveau einzelner Systeme und Anwendungen, aber auch ganzer Infrastrukturen analysiert und bewertet. Im Rahmen eines „Scoping“-Gesprächs erfolgt in Abstimmung mit dem Auftraggeber die schriftliche Festlegung der Systeme, die für den Penetrationstest einbezogen werden sollen.
Das Ziel des Penetrationstests ist es, bestehende Schwachstellen zu identifizieren und diese auf Grundlage der Ausnutzbarkeit und deren Auswirkungen eines erfolgreichen Angriffs zu bewerten. Die daraus resultierenden Maßnahmen dienen zur Minimierung der Angriffsfläche gegenüber potenziellen Bedrohungen. Nach der Identifikation einer Schwachstelle erfolgt eine Bewertung anhand der folgenden technischen Kriterien:
Des Weiteren werden kritische Schwachstellen direkt nach ihrer Identifikation an den Auftraggeber kommuniziert, damit entsprechende Maßnahmen, etwa Patching oder anderweitige Mitigationen, eingeleitet werden können.
Die ermittelten Schwachstellen und entsprechende Behebungsmaßnahmen werden in einem umfassenden Bericht dokumentiert, der nach Abschluss des Penetrationstests an den Auftraggeber übermittelt wird. Anschließend erfolgt ein Abschlussgespräch mit dem Auftraggeber, in dem die identifizierten Schwachstellen im Detail erläutert und verbleibende Fragen geklärt werden.
Beim Red Teaming werden realitätsnahe Angriffssimulationen (auch Engagement oder Kampagne genannt) gegen Unternehmen und deren Infrastruktur durchgeführt. Die Ausführung dieser Simulationen ist in der Regel verdeckt und nutzt Angriffstechniken realer Angreifer oder Ransomware-Gruppen (auch als TTPs, „Tactics, Techniques and Procedures“ bezeichnet). Für jedes Red Teaming Engagement werden in Abstimmung mit dem Auftraggeber sogenannte „Rules of Engagement“ festgelegt. Diese definieren im Wesentlichen die Kampagnenziele, die Abbruchbedingungen, sowie spezielle Systeme, die aufgrund ihrer Kritikalität ausgeschlossen werden müssen.
Im Rahmen eines Red Teaming Engagements werden Schwachstellen durch das Red Team identifiziert, die zur Erreichung der Kampagnenziele essenziell sind. Der Fokus liegt dabei auf der Prüfung des Blue Teams hinsichtlich der Erkennung und Reaktion, sowie auf den damit verbundenen Meldeketten. Sollten während eines Red Teaming Engagements kritische Schwachstellen identifiziert werden, so werden diese üblicherweise umgehend an den Auftraggeber kommuniziert. Um die Kampagne jedoch nicht zu beeinträchtigen, ist ein Austausch zwischen dem White Team und dem Red Team erforderlich. So lässt sich sicherstellen, dass der Zugang für weiterführende Analysen durch die Behebung der Schwachstelle nicht eingeschränkt wird.
Im Gegensatz zu einem Penetrationstest werden während eines Red Teaming Engagements alle durchgeführten Aktivitäten in dem sogenannten „Operator Log“ dokumentiert. Dadurch können Alarmmeldungen, die während des Red Teaming Engagements durch das Blue Team detektiert wurden, leichter zugeordnet werden. Die Tester behalten so außerdem den Überblick darüber, ob Aktivitäten möglicherweise vom Blue Team übersehen wurden.
Im Abschlussbericht wird der detaillierte Verlauf der Kampagne dokumentiert, wobei sowohl die Erfolge als auch die Misserfolge berücksichtigt werden. Aufgrund des erhöhten Dokumentationsaufwands und der diskreteren Vorgehensweise erfordern Red Teaming Engagements im Vergleich zu Penetrationstests längere Zeiträume bei der Durchführung.
Ein weiteres Merkmal eines Red Teaming Engagements ist der regelmäßige Austauschtermin zwischen dem Red Team und dem White Team, welcher zuvor durch das White Team im „Scoping“-Gespräch festgelegt wird. Das Red Team erstellt hierfür eine fortlaufende Präsentation über den Verlauf des Engagements. Dieser Austauschtermin dient zudem zur Klärung direkter Rückfragen.
Nach Abschluss des Red Teaming Engagements finalisiert das Testteam das Berichtsdokument und steht nach der Übersendung des Berichts üblicherweise für die Klärung von offenen Fragen zur Verfügung.
Bei einem Security Audit wird eine umfassende Überprüfung von Systemen, Konfigurationen und Prozessen anhand festgelegter Standards, Best Practices und regulatorischer Anforderungen durchgeführt. Ziel ist es, die IT-Umgebungen zu härten, indem Fehlkonfigurationen, veraltete Komponenten oder fehlende Sicherheitsmechanismen identifiziert werden. Es ist wichtig zu beachten, dass im Rahmen eines Security Audits keine aktiven Angriffsversuche durchgeführt werden.
Das Security Audit wird nicht näher betrachtet wird, da der Schwerpunkt dieses Artikels auf den Unterschieden zwischen den beiden Dienstleistungen „Penetrationstest“ und „Red Teaming Engagement“ liegt.
| Penetrationstest | Red Teaming Engagement: | |
| Scope |
|
|
| Durchschnittliche Dauer |
| 5-20 Tage |
| Schwachstellen |
|
|
| Liefergegenstand | Berichtsdokument |
|
| Ziel/e | Identifikation von Schwachstellen |
|
| Herausforderungen | Identifikation von allen Schwachstellen |
|
Zusammenfassung
Aufgrund der Unterschiede zwischen der verschiedenen Testarten ergeben sich die folgenden Empfehlungen:
- Security Audits: Zur Härtung der Konfigurationen von Systemen oder Anwendungen sind Security Audits empfehlenswert, da sie Schwachstellen in den Konfigurationen identifizieren, Sicherheitsrichtlinien überprüfen und Empfehlungen zur Verbesserung des Sicherheitsniveaus bieten.
- Penetrationstests: Die regelmäßige Durchführung eines Penetrationstests ist empfehlenswert, um Schwachstellen in der IT-Infrastruktur sowie an einzelnen Systemen/Webapplikationen zu identifizieren und die Angriffsfläche zu bewerten. Schwachstellen können nach einer gewissen Zeit auf einzelnen Systemen durch (fehlende) Software-Updates und/oder Konfigurationsänderungen entstehen.
- Red Teaming: Dieses Engagement ist insbesondere dann sinnvoll, nachdem Security Audits und Penetrationstests bereits durchgeführt wurden. Hierdurch wird eine grundlegende Härtung im Vorfeld sichergestellt. Das Red Team versucht zur Erreichung der Kampagnenziele weitere bisher unbekannte Wege zu ermitteln und diese auszunutzen. Dabei liegt der Fokus auf der Bewertung der Detektions- und Reaktionsfähigkeiten des Blue Teams, sowie deren Meldeketten.
Die drei Sicherheitsdienstleistungen bilden ein komplementäres Sicherheitskonzept, jedoch sind sie kein Ersatz füreinander. Ein gut gehärtetes System verringert die potenzielle Angriffsfläche für Penetrationstests und Red Teaming Engagements. Darüber hinaus dienen Penetrationstests und Red Teaming Engagements zur Identifikation von Sicherheitslücken, die durch reguläre Security Audits nicht erfasst werden können.
Benötigen Sie Unterstützung bei der Analyse oder Härtung Ihrer IT-Systeme? Möchten Sie die Wirksamkeit Ihrer Verteidigungssysteme in einer realitätsnahen Angriffssimulation überprüfen und zudem eine realistische Sicherheitsbewertung Ihrer eingesetzten Verteidigungsmechanismen erhalten? Wir stehen Ihnen gerne mit unserem Fachwissen zur Seite und bieten Ihnen für jedes Szenario die passende Lösung an.