Nicht alle Hacker sind eine schlechte Nachricht! Hacker des Red-Teams werden versuchen, sich Zugang zu Ihren Daten zu verschaffen, aber aus altruistischen Gründen ...
Unter Red Teaming versteht man das Testen, Angreifen und Eindringen in Computernetzwerke, Anwendungen und Systeme. Red Teamer sind ethische Hacker, die von Organisationen angeheuert werden, um ihre Sicherheitsarchitektur auf den Prüfstand zu stellen. Das ultimative Ziel des roten Teams besteht darin, Probleme und Schwachstellen in einem Computer zu finden – und manchmal auch zu verursachen – und diese auszunutzen.
Warum ist Red Teaming wichtig?
Für ein Unternehmen, das sensible Daten und Systeme schützen muss, erfordert Red Teaming die Einstellung von Mitarbeitern Cybersicherheitsbetreiber können ihre Sicherheitsarchitektur testen, angreifen und durchdringen, bevor sie böswillig werden Hacker tun es. Die vergleichsweisen Kosten dafür, Freundschaftsspieler dazu zu bringen, einen Angriff zu simulieren, sind exponentiell geringer, als wenn es Angreifer tun würden.
Red Teamer spielen also im Wesentlichen die Rolle externer Hacker; nur ihre Absichten sind nicht böswillig. Stattdessen nutzen die Betreiber Hacking-Tricks, -Tools und -Techniken, um Schwachstellen zu finden und auszunutzen. Außerdem dokumentieren sie den Prozess, sodass das Unternehmen die gewonnenen Erkenntnisse nutzen kann, um seine gesamte Sicherheitsarchitektur zu verbessern.
Red Teaming ist wichtig, da Unternehmen (und sogar Einzelpersonen) mit Geheimnissen es sich nicht leisten können, Gegnern die Schlüssel zum Königreich zu überlassen. Zumindest könnte ein Verstoß zu Umsatzeinbußen, Bußgeldern von Compliance-Behörden, Vertrauensverlust bei Kunden und öffentlicher Verlegenheit führen. Im schlimmsten Fall könnte ein kontradiktorischer Verstoß zum Bankrott, zum unwiederbringlichen Zusammenbruch eines Unternehmens usw. führen Identitätsdiebstahl betrifft Millionen von Kunden.
Was ist ein Beispiel für Red Teaming?
Red Teaming ist stark szenarioorientiert. Zum Beispiel eine Musikproduktionsfirma kann Red-Team-Operatoren einstellen Maßnahmen zur Vermeidung von Leckagen zu testen. Betreiber erstellen Szenarien, an denen Personen beteiligt sind, die Zugriff auf Datenlaufwerke haben, die das geistige Eigentum von Künstlern enthalten.
Ein Ziel in diesem Szenario könnte darin bestehen, Angriffe zu testen, die die Zugriffsrechte für diese Dateien am effektivsten gefährden. Ein weiteres Ziel könnte darin bestehen, zu testen, wie leicht sich ein Angreifer seitlich von einem Einstiegspunkt aus bewegen und gestohlene Masteraufzeichnungen herausfiltern kann.
Was sind die Ziele des Roten Teams?
Das rote Team macht sich daran, in kurzer Zeit möglichst viele Schwachstellen zu finden und auszunutzen, ohne erwischt zu werden. Während die tatsächlichen Ziele einer Cybersicherheitsübung von Unternehmen zu Unternehmen unterschiedlich sein können, verfolgen rote Teams im Allgemeinen die folgenden Ziele:
- Modellieren Sie reale Bedrohungen.
- Identifizieren Sie Netzwerk- und Softwareschwächen.
- Identifizieren Sie Bereiche mit Verbesserungspotenzial.
- Bewerten Sie die Wirksamkeit von Sicherheitsprotokollen.
Wie funktioniert Red Teaming?
Red Teaming beginnt, wenn ein Unternehmen (oder eine Einzelperson) Cybersicherheitsexperten damit beauftragt, ihre Abwehrmaßnahmen zu testen und zu bewerten. Nach der Einstellung durchläuft die Stelle vier Phasen des Engagements: Planung, Ausführung, Sanierung und Berichterstattung.
Planung
In der Planungsphase definieren der Kunde und das rote Team die Ziele und den Umfang des Engagements. Hier definieren sie autorisierte Ziele (sowie von der Übung ausgeschlossene Vermögenswerte), die Umgebung (physisch und digital), die Dauer des Einsatzes, die Kosten und andere logistische Aspekte. Beide Seiten legen außerdem die Einsatzregeln fest, die als Leitfaden für die Übung dienen.
Ausführungsphase
In der Ausführungsphase setzen die Red-Team-Operatoren ihr Möglichstes ein, um Schwachstellen zu finden und auszunutzen. Sie müssen dies im Verborgenen tun und vermeiden, von den bestehenden Gegenmaßnahmen oder Sicherheitsprotokollen ihrer Ziele in die Irre geführt zu werden. Rote Teamer nutzen verschiedene Taktiken in der Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK)-Matrix.
Die ATT&CK-Matrix Dazu gehören auch Frameworks, die Angreifer verwenden, um auf Sicherheitsarchitekturen zuzugreifen, diese beizubehalten und sich darin zu bewegen wie sie Daten sammeln und die Kommunikation mit der kompromittierten Architektur aufrechterhalten, nachdem ein Attacke.
Einige Techniken können sie anwenden Dazu gehören Wardriving-Angriffe, Social Engineering, Phishing, Netzwerk-Sniffing, Dumping von Anmeldeinformationen, und Port-Scanning.
Desinfektionsphase
Dies ist die Aufräumzeit. Hier schließen die Betreiber des roten Teams offene Fragen zusammen und verwischen Spuren ihres Angriffs. Beispielsweise kann der Zugriff auf bestimmte Verzeichnisse Protokolle und Metadaten hinterlassen. Das Ziel des roten Teams in der Sanierungsphase besteht darin, diese Protokolle zu löschen und Metadaten bereinigen.
Darüber hinaus machen sie auch Änderungen rückgängig, die sie während der Ausführungsphase an der Sicherheitsarchitektur vorgenommen haben. Dazu gehören das Zurücksetzen von Sicherheitskontrollen, das Entziehen von Zugriffsrechten, das Schließen von Umgehungswegen oder Hintertüren, das Entfernen von Malware und das Wiederherstellen von Änderungen an Dateien oder Skripten.
Kunst imitiert oft das Leben. Die Sanierung ist wichtig, da die Betreiber des Red Teams vermeiden wollen, böswilligen Hackern den Weg zu ebnen, bevor das Verteidigungsteam die Dinge in Ordnung bringen kann.
Berichtsphase
In dieser Phase erstellt das rote Team ein Dokument, in dem seine Aktionen und Ergebnisse beschrieben werden. Der Bericht enthält außerdem Beobachtungen, empirische Erkenntnisse und Empfehlungen zum Patchen von Schwachstellen. Es kann auch Anweisungen zum Schutz ausgenutzter Architektur und Protokolle enthalten.
Das Format der Red-Team-Berichte folgt normalerweise einer Vorlage. In den meisten Berichten werden die Ziele, der Umfang und die Regeln des Engagements dargelegt. Protokolle von Aktionen und Ergebnissen; Ergebnisse; Bedingungen, die diese Ergebnisse ermöglichten; und das Angriffsdiagramm. Normalerweise gibt es auch einen Abschnitt zur Bewertung der Sicherheitsrisiken autorisierter Ziele und Sicherheitsressourcen.
Was kommt als nächstes nach dem roten Team?
Unternehmen stellen häufig Red Teams ein, um Sicherheitssysteme innerhalb eines definierten Umfangs oder Szenarios auf den Prüfstand zu stellen. Nach einem Einsatz des roten Teams nutzt das Verteidigungsteam (d. h. das blaue Team) die gewonnenen Erkenntnisse, um seine Sicherheitsfähigkeiten gegen bekannte und Zero-Day-Bedrohungen zu verbessern. Aber Angreifer warten nicht. Angesichts des sich verändernden Zustands der Cybersicherheit und der sich schnell entwickelnden Bedrohungen ist die Arbeit zum Testen und Verbessern der Sicherheitsarchitektur nie wirklich abgeschlossen.
