Definition von Red Team und Blue Team

Bei einer Red Team/Blue Team-Übung besteht das Red Team aus offensiven Sicherheitsexperten, die versuchen, die Cybersicherheitsvorkehrungen eines Unternehmens anzugreifen. Das Blue Team verteidigt sich und reagiert auf den Angriff des Red Teams.

Diese nach dem Vorbild der Militärausbildung gestaltete Übung ist eine direkte Konfrontation zwischen zwei Teams aus hochqualifizierten Cybersicherheitsexperten: Ein Red Team, das mit echten Praktiken von Bedrohungsakteuren versucht, die Umgebung zu kompromittieren, und ein Blue Team aus Spezialisten für die Zwischenfallreaktion, die innerhalb der Sicherheitsabteilung arbeiten und versuchen, den Angriff zu identifizieren, zu beurteilen und darauf zu reagieren.

Beim Schutz eines Unternehmens vor vielfältigen aktuellen Cyberangriffen durch raffinierte Bedrohungsakteure spielen Red Team/Blue Team-Simulationen eine wichtige Rolle. Ziele dieser Übungen sind:

• Identifizierung von Schwachstellen im Hinblick auf Personen, Technologien und Systeme
• Erkennung von Verbesserungspotenzial in defensiven Prozessen zur Zwischenfallreaktion für jede Phase der Angriffskette
• Entwicklung praktischer Erfahrung bei der Erkennung und Eindämmung gezielter Angriffe
• Entwicklung von Aktivitäten zur Reaktion und Behebung, mit denen der normale Betriebszustand der Umgebung wieder hergestellt werden kann

CYBER FRONT LINES REPORT

Jedes Jahr wehrt unser Services-Team zahlreiche neue Angreifer ab. Für den Cyber Front Lines Report haben unsere Services-Experten Analysen und praktische Maßnahmen für Sie zusammengestellt.

Jetzt herunterladen

Was ist ein Red Team?

Bei einer Red Team/Blue Team-Cybersicherheitssimulation spielt das Red Team die Rolle eines Bedrohungsakteurs, der versucht, potenzielle Schwachstellen in den Cybersicherheitsvorkehrungen des Unternehmens zu identifizieren und unter Verwendung raffinierter Angriffstechniken auszunutzen. Diese Offensiv-Teams bestehen in der Regel aus sehr erfahrenen Sicherheitsexperten oder unabhängigen ethischen Hackern, die sich auf Penetrationstests konzentrieren und echte Angriffstechniken und -methoden nachahmen.

Den Erstzugang erlangt das Red Team meistens durch Diebstahl von Nutzeranmeldedaten oder mithilfe von Social-Engineering-Techniken. Sobald das Red Team in das Netzwerk gelangt ist, erweitert es seine Berechtigungen und bewegt sich lateral von System zu System, um möglichst tief in das Netzwerk vorzudringen und dabei Daten zu exfiltrieren, ohne entdeckt zu werden.

Was ist Red Teaming und warum ist es für Ihr Sicherheitsteam notwendig?

Red Teaming bezeichnet das systematische und gründliche (aber ethische) Identifizieren eines Angriffspfads zum Durchbrechen der Sicherheitsvorkehrungen eines Unternehmens mithilfe echter Angriffstechniken. Durch diesen Offensiv-Ansatz werden die Sicherheitsvorkehrungen eines Unternehmens nicht anhand der theoretischen Fähigkeiten von Sicherheitstools und -systemen bewertet, sondern basierend auf ihrer tatsächlichen Leistung in Anbetracht realer Bedrohungen. Red Teaming ist wichtig, um die Präventions-, Erkennungs- und Korrekturmechanismen sowie den Reifegrad eines Unternehmens zuverlässig zu bewerten.

Was ist ein Blue Team?

Wenn das Red Team in die Offensive geht, kümmert sich das Blue Team um die Defensive. Das Blue Team besteht in der Regel aus Beratern für die Reaktion auf Zwischenfälle, die dem IT-Sicherheitsteam Tipps dazu geben, wo Verbesserungen implementiert werden sollten, um raffinierte Cyberangriffe und Bedrohungen zu stoppen. Das IT-Sicherheitsteam ist dann dafür verantwortlich, das interne Netzwerk vor verschiedenen Risiken zu schützen.

Viele Unternehmen betrachten zwar die Prävention als Goldstandard der Sicherheit, doch die Erkennung und Behebung sind für die allgemeinen Sicherheitsvorkehrungen ebenso wichtig. Eine wichtige Kennzahl ist die Breakout-Time – also das kritische Zeitfenster, das zwischen der Kompromittierung des ersten Rechners durch den Angreifer und dem Einsetzen lateraler Bewegungen in andere Teile des Netzwerks liegt.

CrowdStrike empfiehlt üblicherweise eine 1-10-60-Regel. Diese besagt, dass ein Unternehmen 1 Minute für die Erkennung einer Cyberbedrohung, 10 Minuten für die Untersuchung und 60 Minuten für die Eindämmung oder Behebung hat.

Die Vorteile von Red Team/Blue Team-Übungen

Die Implementierung einer Red Team/Blue Team-Strategie ermöglicht Unternehmen das aktive Testen der bestehenden Cybersicherheitsmaßnahmen in einer risikoarmen Umgebung. Durch den Einsatz dieser Teams kann das Unternehmen seine Sicherheitsstrategie basierend auf den identifizierten Schwachstellen und Anfälligkeiten sowie auf den neuesten realen Angriffstechniken kontinuierlich weiterentwickeln.

Weitere Vorteile:

• Identifizierung von Konfigurationsfehlern und Abdeckungslücken in vorhandenen Sicherheitsprodukten
• Stärkung der Netzwerksicherheit, damit gezielte Angriffe erkannt werden und die Breakout-Time verbessert wird
• Schaffung eines gesunden Wettbewerbs zwischen dem Sicherheitspersonal und Förderung der Zusammenarbeit von IT- und Sicherheitsteams
• Sensibilisierung der Mitarbeiter für die Risiken menschlicher Schwachstellen, die die Sicherheit des Unternehmens beeinträchtigen können
• Verbesserung der Kompetenzen und des Reifegrads der verfügbaren Sicherheitsfunktionen in einer sicheren, risikoarmen Trainingsumgebung

Wer ist das Purple Team?

In einigen Fällen organisieren Unternehmen Red Team/Blue Team-Übungen mit externen Ressourcen, die nicht vollständig mit internen Sicherheitsteams zusammenarbeiten. Die als Red Team beauftragten digitalen Bedrohungsakteure informieren das Blue Team vielleicht nicht über ihre Angriffstechniken oder gehen in der Nachbesprechung möglicherweise nicht umfassend auf Schwachstellen in der bestehenden Sicherheitsinfrastruktur ein. Das kann dazu führen, dass nach Abschluss der Übung noch Lücken bestehen.

Der Begriff Purple Team wird verwendet, wenn das Red Team und Blue Team an einem Strang ziehen. Diese Teams teilen Informationen und Einblicke untereinander, um die Sicherheit des Unternehmens insgesamt zu verbessern.

Wir bei CrowdStrike glauben, dass Red Team/Blue Team-Übungen nur dann wirklich sinnvoll sind, wenn im Anschluss auch eine umfassende Nachbesprechung mit allen Verantwortlichen stattfindet und ein detaillierter Bericht zu allen Aspekten der Projektaktivitäten vorgelegt wird. Dieser sollte unter anderem die Testtechniken, Zugriffspunkte, Schwachstellen und andere spezifische Informationen enthalten, die dem Unternehmen helfen, Lücken effektiv zu schließen und seine Sicherheitsvorkehrungen zu stärken. Für unsere Zwecke ist „Purple-Teaming“ gleichbedeutend mit Red Team/Blue Team-Übungen.

Die Kompetenzen des Red Teams und Blue Teams im Vergleich

Kompetenzen des Red Teams

Ein erfolgreiches Red Team muss hinterhältig sein und so denken wie ein raffinierter Bedrohungsakteur, der sich Zugang zum Netzwerk verschaffen und sich unentdeckt in der Umgebung bewegen möchte. Mitglieder des Red Teams sollten idealerweise technisch versiert und kreativ sein. Sie sollten in der Lage sein, Schwachstellen im System und in der menschlichen Natur auszunutzen. Außerdem sollte das Red Team mit den Taktiken, Techniken und Prozeduren (TTPs) von Bedrohungsakteuren sowie mit den heute verwendeten Angriffstools und Frameworks vertraut sein.

Ein Teenager aus Florida hat vor Kurzem beispielsweise Spearphishing-Taktiken und Social-Engineering-Techniken angewendet, um sich Anmeldedaten von Mitarbeitern zu beschaffen und auf interne Systeme bei Twitter zuzugreifen. Das Ergebnis war eine schwerwiegende Kompromittierung von mehr als 100 Konten von Prominenten.

Ein Mitglied des Red Teams sollte Folgendes bieten:

• Umfassendes Wissen rund um Computersysteme und Protokolle sowie Sicherheitstechniken, Tools und Schutzmaßnahmen
• Ausgeprägte Kompetenzen im Bereich Softwareentwicklung, um maßgeschneiderte Tools zum Umgehen von Sicherheitsmechanismen und -maßnahmen entwickeln zu können
• Erfahrung mit Penetrationstests, was für das Ausnutzen gängiger Schwachstellen und Vermeiden von oft überwachten und leicht erkennbaren Aktivitäten hilfreich sein kann
• Kompetenzen im Bereich Social Engineering, sodass das Teammitglied andere Mitarbeiter manipulieren kann, damit sie Informationen oder Anmeldedaten preisgeben

Kompetenzen des Blue Teams

Obwohl das Blue Team sich im Prinzip auf die Abwehr konzentriert, ist seine Aufgabe größtenteils proaktiver Natur. Im Idealfall identifiziert und neutralisiert das Team Risiken und Bedrohungen, bevor Schaden für das Unternehmen entsteht. Da Angriffe und Bedrohungsakteure immer raffinierter werden, ist das jedoch selbst für hochqualifizierte Cybersicherheitsexperten eine nahezu unmögliche Aufgabe.

Der Job des Blue Teams setzt sich gleichermaßen aus Prävention, Erkennung und Korrektur zusammen. Das Blue Team sollte üblicherweise Folgendes mitbringen:

• Umfassendes Wissen zur Sicherheitsstrategie des Unternehmens, einschließlich aller Personen, Tools und Technologien
• Analysekompetenzen, um die gefährlichsten Bedrohungen zuverlässig zu identifizieren und die geeigneten Reaktionsmaßnahmen zu priorisieren
• Techniken zur Stärkung der Sicherheit, um die Angriffsfläche zu reduzieren – insbesondere im Hinblick auf das Domain Name System (DNS) –, um Phishing-Angriffe und andere webbasierte Kompromittierungstechniken zu verhindern
• Genaue Kenntnisse der vorhandenen Erkennungstools und Sicherheitssysteme des Unternehmens und der entsprechenden Warnmechanismen

Wie arbeiten das Red Team und das Blue Team zusammen?

Szenarien, in denen eine Red Team/Blue Team-Übung erforderlich ist

Red Team/Blue Team-Übungen sind ein wichtiger Bestandteil jeder robusten und effektiven Sicherheitsstrategie. Idealerweise helfen diese Übungen dem Unternehmen, Schwachstellen bei Personen, Prozessen und Technologien innerhalb des Netzwerkperimeters zu identifizieren sowie Sicherheitslücken wie Backdoors und andere Zugriffsschwachstellen zu bestimmen, die möglicherweise in der Sicherheitsarchitektur vorhanden sind. Mithilfe dieser Informationen können Unternehmen ihre Sicherheitsvorkehrungen verstärken und ihre Sicherheitsteams schulen sowie trainieren, damit sie besser auf Bedrohungen reagieren können.

Da viele Kompromittierungen unter Umständen monate- oder sogar jahrelang unentdeckt bleiben, ist es wichtig, Red Team/Blue Team-Übungen regelmäßig durchzuführen. Laut Untersuchungen zeigen bleiben Bedrohungsakteure durchschnittlich 197 Tage in einer Netzwerkumgebung, bevor sie entdeckt und entfernt werden. Das verschärft die Lage für Unternehmen, da Angreifer diese Zeit nutzen können, um Backdoors einzurichten oder das Netzwerk auf andere Weise zu verändern und neue Zugriffspunkte zu schaffen, die künftig ausgenutzt werden können.

Ein wichtiges Alleinstellungsmerkmal des CrowdStrike-Ansatzes für Red Team/Blue Team-Übungen betrifft die allgemeine Strategie. Wir nutzen Red Team-Aktivitäten für das Daten-Seeding in der Umgebung, sodass das Blue Team die Risiken jedes einzelnen Zwischenfalls abschätzen und entsprechend reagieren kann. Wir behandeln die Übung also nicht wie ein buchstäbliches Gefechtsmanöver, bei dem unsere Kunden versuchen, jede Aktion des Red Teams zu blockieren, sondern legen den Fokus auf die effektive Beurteilung und Priorisierung der Ereignisse, die den Daten zufolge am bedrohlichsten sind.

Beispiele für Red Team-Übungen

Red Teams verwenden verschiedene Techniken und Tools, mit denen sie Lücken in der Sicherheitsarchitektur ausnutzen. Ein Mitglied des Red Teams, das die Rolle eines Hackers spielt, kann beispielsweise einen Host mit Malware infizieren, um Sicherheitskontrollen zu deaktivieren, oder Social-Engineering-Techniken zum Stehlen von Zugangsdaten nutzen.

Red Team-Aktivitäten orientieren sich üblicherweise am MITRE ATT&CK-Framework. Dabei handelt es sich um eine weltweit zugängliche Wissensdatenbank mit Informationen zu Taktiken, Techniken und Methoden von Bedrohungsakteuren, die anhand realer Erfahrungen und Ereignisse gesammelt wurden. Das Framework dient als Grundlage für die Entwicklung von Präventions-, Erkennungs- und Reaktionsmechanismen, die basierend auf den individuellen Anforderungen jedes Unternehmens und Neuentwicklungen in der Bedrohungslandschaft angepasst werden können.

Einige Beispiele für Red Team-Aktivitäten:

• Penetrationstests, bei denen ein Mitglied des Red Teams versucht, mit verschiedenen realen Techniken auf das System zuzugreifen
• Social-Engineering-Taktiken, mit denen Mitarbeiter oder andere Personen im Netzwerk dazu gebracht werden sollen, Netzwerkzugangsdaten weiterzugeben, offenzulegen oder zu erstellen
• Abfangen von Kommunikation zum Abbilden des Netzwerks oder Erlangen weiterer Informationen über die Umgebung, um gewöhnliche Sicherheitstechniken umgehen zu können
• Klonen der Zugangskarten von Administratoren, um Zugang zu zugangsbeschränkten Bereichen zu erlangen

Beispiele für Blue Team-Übungen

Das als Verteidigungslinie des Unternehmens fungierende Blue Team nutzt Sicherheitstools, Protokolle, Systeme und andere Ressourcen, um das Unternehmen zu schützen und Lücken in seinen Erkennungsmechanismen aufzudecken. Die Umgebung des Blue Teams sollte das aktuelle Sicherheitssystem des Unternehmens widerspiegeln. Dieses kann falsch konfigurierte Tools, nicht gepatchte Software oder andere bekannte oder unbekannte Risiken enthalten.

Einige Beispiele für Blue Team-Übungen:

• DNS-Untersuchungen
• Digitale Analysen, mit denen typische Netzwerkaktivitäten erfasst und ungewöhnliche oder verdächtige Aktivitäten einfacher identifiziert werden
• Überprüfung, Konfiguration und Überwachung der Sicherheitssoftware in der gesamten Umgebung
• Sicherstellen, dass Methoden zur Gewährleistung der Perimetersicherheit wie Firewalls, Virenschutztools und Malware-Schutzsoftware ordnungsgemäß konfiguriert und aktualisiert sind
• Implementierung des Least-Privilege-Zugriffs, d. h. dass jedem Nutzer oder Gerät die geringstmöglichen Zugriffsberechtigungen gewährt werden, um im Falle einer Kompromittierung die laterale Bewegung im Netzwerk zu beschränken
• Nutzung von Mikrosegmentierung, d. h. Unterteilung des Perimeters in kleine Zonen, um Zugriffe auf einzelne Teile des Netzwerks zu beschränken

So stellen Sie effektive Red Teams und Blue Teams zusammen

Deshalb können CrowdStrike®-Services die richtige Wahl für Ihr Unternehmen sein:

Bedrohungsakteure ändern die TTPs für ihre Angriffe ständig, was dazu führen kann, dass Kompromittierungen wochen- oder monatelang unentdeckt bleiben. Gleichzeitig scheitern Unternehmen an der Erkennung raffinierter Angriffe, weil ihre Sicherheitskontrollen ineffektiv sind und es Lücken in ihren Cybersicherheitsvorkehrungen gibt. Sicherheitsteams müssen sich für gezielte Angriffe vorbereiten. Nur weil das Team eine Art von Angriff abwehren kann, bedeutet das nicht, dass es auch über die Tools und nötige Transparenz verfügt, um sich bei einem raffinierteren Angriff behaupten zu können.

Die CrowdStrike-Angriffssimulation verdeutlicht für Ihr Unternehmen, was bei einem raffinierten gezielten Angriff durch echte Bedrohungsakteure geschieht – allerdings ohne den Schaden oder die Kosten einer echten Kompromittierung. Das CrowdStrike-Services-Team nutzt die TTPs echter Bedrohungsakteure. Diese basieren auf Informationen, die durch CrowdStrike-Experten beim Reagieren auf Zwischenfälle in der Praxis und durch die CrowdStrike Falcon^®-Plattform gesammelt wurden, die jede Woche Billionen von Ereignissen und Millionen von Indikatoren identifiziert. CrowdStrike-Services entwickelt eine speziell für Ihr Unternehmen zusammengestellte gezielte Angriffskampagne, die auf besonders interessante Benutzer abzielt – genau wie es ein Bedrohungsakteur tun würde. Das Team verfolgt beim Angriff einen objektiven, zielgerichteten Ansatz und legt den Fokus auf die Demonstration des Zugriffs auf kritische Informationen in Ihrem Unternehmen. So sollen Ihrer Führungsebene die Auswirkungen einer Kompromittierung verdeutlicht werden, ohne dass es zu einer echten Kompromittierung kommt. Diese Übung liefert eine Antwort auf die Frage: Sind wir für einen gezielten Angriff gewappnet?