Haben Sie den neuesten Trend schon mitbekommen? Während Penetrationstests schon lange ein Grundpfeiler in der Cybersicherheit sind, hat sich Red Teaming als die neuer Hype herauskristallisiert. Doch die Linie zwischen diesen beiden Disziplinen scheint oft schwammig zu sein. Taucht man in die meisten Definitionen ein, findet man, dass die Begriffe praktisch austauschbar sind, was zu Verwirrung über ihre unterschiedlichen Rollen führt.
Aber ist Red Teaming einfach nur "Penetrationstesting ohne Scope / Limits"? Beinhaltet es Aktivitäten wie den Diebstahl von Ausweisen oder das Eindringen in Büros, bewaffnet mit nichts weiter als einer Leiter? Am besten entführt man gleich das Zielpersonal, wie in Richard Marcinko's Buch "Red Cell" (welcher die öffentliche Auffassung um Red Teaming und Red Cells sicher stark geprägt hat)?
Die Antwort ist sowohl ja als auch nein.
Während Red Teaming solche Szenarien durchaus umfasst, ist es nicht so, als wären diese Praktiken unbekannt gewesen, bevor der Begriff "Red Teaming" seinen Aufstieg begann. Laut dem Bundesamt für Sicherheit in der Informationstechnik umfasst die Definition von Penetrationstests durchaus Social Engineering und befürwortet einen Ansatz, der das gesamte Spektrum der Taktiken eines Threat Actors (APT u.a.) widerspiegelt.
Jedoch entstehen Trends.
Die meisten Penetrationstest-Projekte werden mit einem eng definierten Scope durchgeführt – ein Spiegelbild der Marktwahrnehmung des Begriffs, ähnlich der Debatte über "Hacker" versus "Cracker", ein längst aufgegebener Kampf.
In unseren Penetrationstests umfassen die Anfragen typischerweise:
Bewertung der Sicherheit von externen Perimetern.
Beurteilung der Sicherheitslage neuer Web/Mobile Apps.
Testen der Einsatzbereitschaft eines neuen Golden Build für ein Betriebssystem.
Überprüfung der Sicherheit von Cloud-Umgebungen.
Die abenteuerlicheren Anfragen beinhalten die Simulation von Supply-Chain-Angriffen, was unweigerlich alle Beteiligten begeistert, jedenfalls auf unserer Seite ;)
Die NATO, die sich auf Einsichten des US Department of Defense stützt, unterscheidet zwischen Cyber Red Teaming und Penetrationstesting und betont einen entscheidenden Punkt, dem wir voll und ganz zustimmen und oft zitieren:
"Das Hauptziel ist es, die Blue-Teams zu testen, die die Netze verteidigen sollen, anstatt sich auf Schwachstellenbewertungen zu konzentrieren."
Red Teaming geht über den IT-zentrierten Scope des Penetrationstestings hinaus und adressiert weitere Bereiche, die bisher unbekannte Sicherheitslücken und Probleme umfassen.
Oft fragen wir:
Was sind die kritischen Geschäftsfunktionen? Meistens kann dies nicht sofort beantwortet werden.
Die nächste Frage ist: Wer führt diese aus? Wo werden diese ausgeführt? Wie?
Als Nächstes entwerfen wir einen Red Team Angriffsplan gegen diese kritischen Funktionen.
Es ist nicht nur die IT, die in Krisensituationen versagt; oft ist die Kommunikation die Achillesferse. Wie können der Vorstand und Leadership-Teams sich mit der Vielzahl wichtiger Kunden und Behörden abstimmen, wenn öffentlich bekannt wird, dass das Unternehmen kurz vor dem Zusammenbruch stehen könnte - wegen einem Cyberangriff?
Wer ist für die Kommunikation verantwortlich?
Dieses Chaos ist nichts, was während eines Live-Vorfalls entdecket werden sollte, sondern z.B. durch Aktivitäten wie Board Games und anschließend einem technischen Red Team Engagement.
Diese Überlegungen sind in den neu veröffentlichten Threat Intelligence-Based Red Teaming/Penetrating Testing-Frameworks zusammengefasst.
CBEST, 2014 von der Bank of England initiiert, war ein Pionier und bot intelligence-led Penetration Tests für den Finanzsektor an, ähnlich dem, was heute allgemein als Red Teaming anerkannt ist. Ziel war es, die Widerstandsfähigkeit gegen Cyber-Angriffe zu stärken. Ähnliche Frameworks umfassen das iCAST des HKMA Cyber Resilience Assessment Frameworks, das Red Team: Adversarial Attack Simulation Exercise der Association of Banks in Singapore und das europäische TIBER-EU-Programm: Threat Intelligence-based Ethical Red Teaming, das individuell von Ländern in den Vorgehen wie TIBER-DE, TIBER-IS, TIBER-NL oder TIBER-DK umgesetzt wird.
In der sich ständig weiterentwickelnden Cyber-Landschaft ist die Durchführung von fortgeschrittenen Cybersicherheits-Tests, die auf spezifische Bedrohungen zugeschnitten sind, zweifellos der richtige Weg.
Aber ist das alles nicht ein bisschen viel?
Für das das normal-sterbliche Unternehmen ohne siebenstelliges Budget für die Cyberabwehr gibt es geeignetere Engagement-Typen, wie zum Beispiel den "Assume Breach" oder klassischen internen/externen Pentest. Kanonen und Spatzen.
Aber das ist eine Geschichte für einen anderen Tag :)
Referenzen: