Cybersecurity – Red Team vs. Blue Team

Wenn über Cybersecurity gesprochen wird, sind auch die beiden Begriffe „Red Team“ und „Blue Team“ nicht weit. Das Szenario, in dem beide Teams zum Einsatz kommen, umfasst dabei eine simulierte Situation eines aktiven Angriffes auf die Systeme eines Unternehmens.

Wieso sich der Gefahr aussetzen?

Keine Software oder Standardverfahren können Ihre Systeme so prüfen, wie ein „echter“ Angriff. Nur, dass bei so einem Szenario das jeweilige „Red Team“ für Sie arbeitet und nicht gegen Sie.  Zudem werden einige der heutigen Bedrohungen (z.B. Malware oder Phishing-E-Mails) durch automatisierte Tools am Netzwerkrand gestoppt. Gezielte Angriffe kommen jedoch meist durch die automatischen Sicherheitsschranken durch und es liegt an den Menschen die Bedrohung einzudämmen.

Durch einen solchen Angriff ist es möglich, die Sicherheit einer Organisation zu testen, wobei der Schwerpunkt nicht nur auf dem Eindringen von außen liegt. Es werden ebenfalls Einfallstore getestet, bei denen auch ein physikalischer Zugriff nötig ist.

Red Team

Das „Red Team“ stellt bei einem solchen Angriffsszenario eine unabhängige Gruppe dar, welche das Unternehmen angreift. Dabei ist ihr Vorgehen dasselbe, wie bei echten Angriffen. Im Vordergrund steht, die Erkennungs- und Reaktionsfähigkeit des Unternehmens zu testen. Ein „Red Team“ betrachtet nicht viele verschiedene Schwachstellen, sondern nur die, welche zum Ziel führen.

Aufgaben und Ziele

Die Aufgaben und Ziele eines „Red Teams“ können unter anderem folgendes beinhalten:

• Kompromittieren der Sicherheit durch Extraktion von Informationen, Eindringen in die Systeme oder durch die Überschreitung von physischen Grenzen.
• Vermeidung der Entdeckung durch das „Blue Team“.
• Ausnutzung von Schwachstellen und Fehlern in der Infrastruktur. Hierdurch können Lücken in der Sicherheit entdeckt werden, die es anschließend gilt zu schließen.
• Einleitung unberechtigter Aktionen, um eine zuverlässige Bewertung der Verteidigungsfähigkeiten des „Blue Teams“ zu ermitteln.

Vorgehen

Zudem können Angriffstechniken wie,

• das Einsetzen von Open Source Intelligence (OSINT) zur Erfassung von Informationen über das Ziel,
• der Einsatz von „Command and Control“-Servern zur Herstellung der Kommunikation mit dem Zielnetzwerk,
• das Legen falscher Spuren, um das „Blue Team“ abzulenken,
• das Anwenden von Social Engineering und Phishing-Attacken, um Mitarbeiter zu manipulieren oder
• das Ausnutzen der Schwachstelle „Mensch“

verwendet werden.

Abschließend wird vom „Red Team“ ein detaillierter Bericht erstellt, in welchem die Sicherheitslücken beschrieben werden und Vorschläge unterbreitet werden, wie die Sicherheit im Unternehmen verbessert werden kann.

Blue Team

Das „Blue Team“ besteht üblicherweise aus unternehmensinternem IT-Sicherheits-Personal, welches sich rund um die Uhr mit der Sicherheit des Unternehmens beschäftigt. Dabei ist es in Bereitschaft, um komplexe Angriffe in weiser Voraussicht erkennen, bekämpfen und abschwächen zu können. Jedoch wartet das „Blue Team“ nicht auf einen Angriff vom „Red Team“ oder einen IT-Schwachstellenscan. Natürlich werden auch ohne Angriffe Verbesserungen an der Sicherheit durchgeführt, um Verteidigungsmaßnahmen gegen Angriffe aufrechtzuerhalten und das Unternehmen vorbeugend schützen zu können.

Das „Blue Team“ hat somit zwei Aufgabenbereiche, welche parallel erfüllt werden müssen. Zum einen, die Verteidigung des Netzwerks gegen Angriffe und zum anderen, die kontinuierliche Verbesserung der Sicherheitslage des Netzwerkes durchzuführen. Dabei wird von dem „Blue Team“ erwartet, dass Fehlalarme erkannt und ebenso schnell auf jeden möglichen bösartigen Angriff reagiert und mit adäquaten und effizienten Abwehrmaßnahmen schnellstmöglich reagiert wird. Das „Blue Team“ braucht dazu unterstützende Informationen aus der IT-Forensik, um Bedrohungen identifizieren zu können und somit die besten verfügbaren Abwehrmaßnahmen ergreifen zu können.

Es liegt in der Verantwortung des „Blue Teams“, Verfahren, Richtlinien und Dokumente in regelmäßigen Abständen anzupassen und zu aktualisieren. Das ist insbesondere nach Sicherheitsereignissen, wie Angriffen oder regelmäßigen Tests wichtig. Dadurch kann gewährleitstet werden, dass die Cybersicherheit auf dem aktuellen Stand ist und offene Sicherheitslücken schnellstmöglich geschlossen werden.

Aufgaben und Ziele

Die Aufgaben des „Blue Teams“ lassen sich in folgenden Stichpunkten zusammenfassen:

• Jede Phase eines Vorfalls muss verstanden und anschließend angemessen darauf reagiert werden.
• Verdächtige Muster müssen erkannt und identifiziert werden.
• Jede Form von Beeinträchtigung gilt es schnell zu unterbinden.
• Identifizierung der „Command and Control“-Server und Blockierung ihrer Verbindungen.
• Durchführung von IT-forensischen Analysen auf verschiedenen Betriebssystemen in der Organisation.

Vorgehen

Dabei kann das „Blue Team“ folgende Methoden verwenden:

• Inaugenscheinnahme und Analyse der Log Dateien.
• Implementieren einer SIEM-Plattform (Security Inforation and Event Management) zur Erkennung von Einbrüchen und zur Auslösung von Alarmen.
• Sammeln neuer Informationen über Bedrohungen.
• Festlegung von Prioritäten für geeignete Maßnahmen im Zusammenhang mit Risiken.
• Durchführung von Traffic- und Datenflussanalysen.

Handeln bevor es zu spät ist!!

Um das „Blue Team“ und die dahinterstehende Infrastruktur stärken und verbessern zu können, sollten die Verantwortlichen regelmäßig üben das Netzwerk mit geplanten Verfahren gegen Angriffe zu schützen. Hierfür können externe „Red Teams“ verwendet werden, welche Angriffe auf die Systeme simulieren und versuchen in das Netzwerk einzudringen.

Angreifer aussuchen

Das „Red Team“ sollte aus qualifizierten Prüfern bestehen, welche die Bereiche Systemadministration, Netzwerkprotokolle, IT-Sicherheitsprotokolle, Anwendungssysteme und Netzkomponenten beherrschen. Zudem sollten mehrere Programmiersprachen bekannt sein. Je mehr technische Kenntnisse und Erfahrungen in dem Team versammelt sind, desto erfolgreicher kann der simulierte Angriff ablaufen und mögliche langfristige Schäden, wie beispielweise das Ausfallen bestimmter angegriffener Systeme, können verhindert werden.

Das „Red Team“ sollte neben den technischen Kenntnissen weitere Fähigkeiten, wie zielorientiertes Denken und Handeln, Überzeugungsfähigkeit, eine schnelle Auffassungsgabe und ein gesundes Urteilsvermögen besitzen. Schließlich sind diese Prüfer die Angreifer, die ihr Bestes geben werden, um in Ihre Systeme einzudringen. Auch sollte sich das „Red Team“ selbst organisieren können, es sollte analytisch die Infrastruktur begutachten können und im Team gemeinsam den Belastungen gewachsen sein, um insbesondere bei heiklen Sachverhalten zielorientiert arbeiten zu können.

Das BSI empfiehlt, bei einer Überprüfung der IT-Sicherheit, Teams aus mindestens zwei Personen einzusetzen, damit das Vier-Augen-Prinzip gewahrt bleibt. Dabei spielt die Neutralität und Unabhängigkeit der Prüfer eine große Rolle. Steht einer der Prüfer in einem Abhängigkeitsverhältnis zu der getesteten Institution, fehlt die unerlässliche Unabhängigkeit, die für die Durchführung eines solchen Tests notwendig ist.