Red Teaming

Das klassische Pentesting konzentriert sich auf das Identifizieren von Schwachstellen, ohne diese auszunutzen. Es handelt sich um eine toolbasierte und effiziente Methode, um in einer kurzen Zeit möglichst viele Schwachstellen zu entdecken. Pentests werden stets im Voraus angekündigt, und alle im Unternehmen involvierte Parteien sind darüber informiert.

Im Gegensatz dazu legt das Red Teaming den Schwerpunkt auf die Ausnutzung von Schwachstellen sowie auf den Test der Erkennung und Reaktion auf Zwischenfälle („Incidents“) durch das Security Operations Center (SOC). In der Regel erfolgt ein verdecktes Vorgehen, bei dem nur wenige Personen im Unternehmen eingeweiht sind. Häufig werden realistische Angreifer imitiert, wobei systematisch auf kritische Geschäftsfunktionen abgezielt wird.

Ein Red Teaming erfolgt im Zusammenspiel mehrerer Parteien, darunter das Red Team, White Team und Blue Team. Das Red Team setzt sich aus den Expert:innen der Axians Security Force zusammen, die die Rolle potenzieller Angreifer übernehmen und unter festgelegten Bedingungen realistische Angriffsszenarien simulieren. Das Blue Team repräsentiert die Verteidigungsseite und besteht aus den internen Sicherheitsteams. Sein Hauptziel liegt darin, die simulierten Angriffe zu erkennen, zu analysieren und angemessen darauf zu reagieren. Das White Team agiert als neutrale Instanz, die die Zusammenarbeit koordiniert. Es gewährleistet Transparenz, unterstützt bei der Planung und Bewertung des Engagements und stellt sicher, dass die definierten Ziele erfolgreich erreicht werden.

Ein Red Teaming umfasst mehrere Phasen. Zunächst werden in der Threat-Intelligence-Phase durch ein spezialisiertes TI-Team umfassende Informationen über das Unternehmen und aktuelle Bedrohungsakteure gesammelt. Dies bildet die Grundlage für die weitere Planung sowie den Target Workshop, in dem spezifische Ziele („Flags“) festgelegt werden. Die Angriffsphase beinhaltet die Simulation realistischer Angriffsszenarien, um Schwachstellen zu identifizieren. Die Ergebnisse werden dokumentiert und präsentiert. Abschließend fördern Workshops den Wissenstransfer sowie die Verbesserung der Sicherheit des Unternehmens.

Das Red Team strebt während der Angriffsphase an, unentdeckt zu bleiben. Einige Tools und Techniken sind jedoch auffälliger und können vom Blue Team bzw. Security Operation Center (SOC) entdeckt werden. Vor dem Beginn der aktiven Angriffsphase wird gemeinsam mit dem White Team festgelegt, wie bei einer Detektion bzw. eines Incident vorgegangen wird. Wir empfehlen, die Alarmkette mit dem für Ihr Unternehmen üblichen Incident-und-Response-Prozess zu durchlaufen, um Erkenntnisse über dessen Wirksamkeit zu gewinnen. Diese Alarmkette kann jederzeit durch das White Team unterbrochen werden, um das Blue Team in den Red Team Test einzuweihen. In der Regel führen wir das Red Teaming dann in einem „Catch & Release“-Modus fort, wobei der Fokus auf der Ausführung und Erkennung weiterer typischer Red-Team-Angriffstechniken liegt – mit der Besonderheit, dass das Blue Team und Red Team im direkten Austausch miteinander stehen.

Als Ergebnis eines Red Teamings erhalten Sie einen umfangreichen Ergebnisbericht, der die identifizierten Schwachstellen, Empfehlungen zur Behebung, eine übergreifende Ursachenanalyse sowie eine Bewertung der individuellen Sicherheitslage enthält. Zudem wird eine Storyline und eine detaillierte Auflistung sämtlicher Angriffsaktionen geliefert, die es speziell den Expert:innen aus dem Blue Team (SOC) ermöglicht, das verdeckt ausgeführte Red Teaming im Nachgang nachzuvollziehen. Eine Abschlussbesprechung, bei der das Red Team, das White Team und das Blue Team zusammenkommen, fördert den Austausch und ermöglicht eine umfassende Diskussion der Ergebnisse. Weiter können im Rahmen eines „Replay Workshops“ durchgeführte Angriffstechniken live vom Red Team wiederholt werden. Gerne beraten wir Sie zur Ableitung möglicher Maßnahmen und unterstützen Sie bei der Umsetzung.

Die Umsetzung von Red-Teaming-Projekten erfordert ein hohes Maß an organisatorischen und fachlichen Fähigkeiten. Unserer Expert:innen zeichnen sich durch diese Fähigkeiten aus, abgeleitet aus der jahrelangen Erfahrung bei der erfolgreichen Durchführung von Red-Team- und TIBER-DE-Projekten für mittelständische und großen Unternehmen aus verschiedenen Branchen. Darüber hinaus erweitern unserer Expert:innen ihr Wissen durch Weiterbildungen und Zertifizierungen von anerkannten Organisationen wie Offensive Security (z.B. Offensive Security Certified und Experienced Professional – OSCP & OSEP), ZeroPoint Security (Certified Red Team Operator - CRTO) und Altered Security (Certified Azure Red Team Professional - CARTP).

Die höchste Priorität beim Red Teaming besteht darin, das Tagesgeschäft nicht zu beeinträchtigen. Zu diesem Zweck werden im Vorfeld „Risk Controls“ zur Risikominimierung festgelegt. Zudem werden ausschließlich erfahrene Expert:innen von Axians Security Force eingesetzt, die über umfangreiche Erfahrung in produktiven Umgebungen verfügen. In anspruchsvollen Situationen erfolgt das weitere Vorgehen nur in enger Abstimmung mit dem White Team.

Die verwendete Toolchain variiert je nach Szenario und Phase des Red Teamings. Verwendet werden öffentlich verfügbare Tools (z.B. BloodHound, CrackMapExec, certipy), ein kommerzielles C2-Framework (z.B. CobaltStrike oder Brute Ratel) mit projektspezifischer C2-Infrastruktur als auch selbst entwickelte Tools und Skripte. Die Toolchain wird dabei ständig an neue Schwachstellen sowie an Projektgegebenheiten angepasst. Gerne geben wir Ihnen in einem ersten Kennenlernen einen tieferen Einblick.

Die Frage nach dem Umfang und den Kosten lässt sich nicht pauschal beantworten. Der Umfang sowie die damit verbundenen Kosten variieren anhand von verschiedenen Faktoren – je nach Service und den spezifischen Kundenanforderungen. Gerne stehen wir Ihnen für ein Erstgespräch zur Verfügung, um den passenden Service entsprechend Ihren Bedürfnissen vorzustellen. Auf Basis dieses Austauschs erstellen wir ein individuelles Angebot.