Red Teaming ist die Königsdisziplin in der offensiven IT-Sicherheit. Hierbei werden wir versuchen eine bestimmte Aufgabe zu erfüllen - beispielsweise Server hacken, Daten stehlen oder bestimmte interne Systeme erreichen. Wir simulieren also einen kompletten echten Angriff - ohne das Wissen Ihrer IT. Im Grunde erleben Sie damit, wie ein APT vorgehen würde, wenn Sie das Ziel sind.
In der Regel besprechen wir das genaue Vorgehen mit einem kleinen relevanten Teil Ihres Teams: Was dürfen wir, was dürfen wir nicht, wer weiß von der Simulation. Was sind die Ziele bzw. was ist Ihrem Unternehmen heilig. Wir erarbeiten zusammen ein realistisches Angriffsszenario. Die Ausführung machen wir!
Red Teaming muss nicht bedeuten, dass wir den Weg über die IT nehmen - oft genug reicht ein im Unternehmen oder auf dem Parkplatz zufällig vergessener USB-Stick, den ein Mitarbeiter in einen Arbeits-PC steckt. Alternativ können wir - als Techniker oder Paketbote verkleidet - versuchen so in Ihr Unternehmen einzudringen. Viele Wege führen nach Rom! Das gilt auch in der IT-Sicherheit.

Unser Vorgehen

  • Gemeinsame Besprechung - was ist Ihnen wichtig? Wie weit dürfen wir gehen? Was würde einen echten Angreifer am meisten an Ihrem Unternehmen interessieren? Dürfen wir uns als Personal ausgeben? Darf Social Engineering verwendet werden?
  • Wir beginnen mit der Arbeit - wir sammeln relevante Informationen, suchen nach Leaks, suchen nach Schwachstellen und potentiellen Einfallstoren (in der IT, beim Personal, in und an Ihren Offices)
  • Angriff und Persistenz - wir nutzen Schwachstellen aus, um in das Zielnetzwerk einzudringen und uns dort "einzunisten" ohne aufzufallen. Hierbei suchen wir schon aktiv nach den Zielinformationen, Weiten unsere Rechte aus und dringen so immer tiefer ins Netzwerk ein.
  • Säubern und dokumentieren - nach Erreichen des Ziels, werden jegliche Beacons und RATs aus dem Netzwerk entfernt. Wir schreiben eine Dokumentation über das Vorgehen und die Funde.

Ihre Learnings

  • Gefundene Schwachstellen - nach getaner Arbeit wissen Sie welche Schwachstellen existieren - das müssen nicht unbedingt klassische IT-Sicherheitslücken in Sofrware sein, auch veraltete Software auf PCs oder ein unvorsichtiger Mitarbeiter ist eine Schwachstelle.
  • Unzureichendes Monitoring - im besten Fall sind Sie in der Lage einen Angriff, die Exfiltration Ihrer Daten oder Anomalien im Netzwerkverkehr selbst zu entdecken und entsprechend zu reagieren. Nach einem Red Teaming-Einsatz wissen Sie, wie es um diese Prozesse wirklich steht.
  • Mitarbeiter - eine nicht unerhebliche Anzahl von erfolgreichen Angriffen findet aufgrund von Handlungen unvorsichtiger Mitarbeiter statt. Hierbei sollte dem Mitarbeiter nicht die Schuld in die Schuhe geschoben werden. Vielmehr muss einfach gesagt werden, dass Fehler menschlich sind. Selbst das geschulteste Person wird hin und wieder auf eine gute Phishing Mail hereinfallen. Die große Frage ist:
    Was dann?

Red Teaming ist per se komplex und kann in der Ausführung und vom Umfang her stark variieren. Es gibt Unternehmen, die physische Angriffe oder Social Engineering explizit nicht wollen. Diese Wünsche respektieren wird, weisen aber ausdrücklich darauf hin, dass das nicht das realistische Szenario ist. Ein gutes Stichwort ist hierbei der Erpressungstrojaner "Emotet" - dieser basiert im Grunde darauf, dass unvorsichtige Mitarbeiter Excel und Word-Dateien öffnen.
Viel zu oft ist der Mitarbeiter das einfachste Ziel. Sie sollten also immer auf diesen Fall vorbereitet sein und zumindest einen Plan haben (oder mit unserer Hilfe erarbeitet haben), wie sie reagieren, wenn ein Trojaner im Netzwerk ist und ggf. Ihre Daten verschlüsselt hat. Regelmäßige Backups, Prevention durch Segregation des Netzwerks, Redundanz und Monitoring sind hier die richtigen Stichpunkte. Wer braucht komplexe Sicherheitslücken, wenn man sicher sein kann, dass immer ein Mitarbeiter den Trojaner öffnet?

Wollen Sie wissen, wie sicher Ihr Unternehmen ist?

Wollen Sie sehen, wie sich Ihre IT-Mitarbeiter im Fall eines echten Angriffs, der aus dem Nichts kommt, verhalten? Lassen Sie uns gemeinsam einen Plan erarbeiten, wie die Resilienz Ihres Unternehmens verbessert werden kann.

Kontakt aufnehmen