Wer wird angreifen? Warum? Wie?
FunktionierenVerteidungs-maßnahmen?
Red Teaming
In der heutigen Bedrohungslage müssen Finanzinstitute und kritische Infrastrukturen auf digitale Angriffe vorbereitet sein. Threat-led Penetration Testing (TLPT), das durch den Digital Operational Resilience Act (DORA) der Europäischen Union vorgeschrieben ist, sowie das TIBER-EU-Framework, stehen an der Spitze proaktiver Verteidigungsstrategien. Aber wie stärken diese die Widerstandsfähigkeit der Teilnehmer?
Ein hollistischer Ansatz - was ist neu?
Threat Intelligence-basiertes Red Teaming bietet eine detaillierte und kontext-bezogene Bewertung der Widerstandsfähigkeit einer Organisation, die eng mit den sich entwickelnden Cyberbedrohungen und deren potenziellen Auswirkungen auf das Geschäft abgestimmt ist.
​
Was läuft anders bei einem Red Teaming Projekt?
​
-
Keine deaktivierten Sicherheitsmaßnahmen
-
Keine Anmeldung beim Security Operation Center (SOC)
-
Abgestimmt auf Ihre kritischen Geschäftsprozesse - "mehr als nur IT"
-
Im Falle von TIBER und DORA überwacht von der zuständigen Regulierungsbehörde
-
Bechmarking von Detection & Response Tech, Personal und Prozessen
-
Durchführung im Live-Netz / "Produktion"
​
Zielgerichtetes, szenariobasiertes Vorgehen, um die geschäftlichen Auswirkungen zu demonstrieren und die Widerstandsfähigkeit der Entität zu bewerten.
Ende-zu-Ende
Red Teaming macht den Ringschluss, indem wir mit den grundlegenden Fragen beginnen: "Was sind die kritischen Geschäftsprozesse? Wer würde diese angreifen und aus welchen Gründen? Wie?" Und dann machen wir genau das: Wir führen simulieren Angriffe aus, und bewerten wie gut das funktioniert hat. Zusammen arbeiten wir daran, die Wahrscheinlichkeit eines erfolgreichen gezielten Angriffs deutlich und messbar zu verringern.
Warum Exploit Labs ein TIBER/TLPT Engagement anvertrauen?
Unterschiede: Penetration Testing / Red Teaming
Diese Begriffe werden oft missverstanden, wobei Threat-Led Penetration Testing häufig mit einem Pentest verwechselt wird, anstatt als Red-Team-Übung erkannt zu werden – was die Verwirrung nur verstärkt.
​
Bei Exploit Labs halten wir uns an etablierte Definitionen seriöser Quellen, anstatt eigene einzuführen. Um Klarheit zu schaffen, bieten wir Ihnen folgende einfache Unterscheidung an:
Penetration Test:
Testing used in vulnerability analysis for vulnerability assessment, trying to reveal vulnerabilities of the system based on the information about the system gathered during the relevant evaluation activities.
NIST SP 800-160v1r1 / ISO/IEC 19989-3:2020
​
​
Red Teaming
Today cyber red teams are often to be found in exercises and training sessions[...]. The main purpose is to test the blue teams that are supposed to defend the networks rather than to focus on vulnerability assessments.
Kurzum: Der Pentest findet technische Sicherheitslücken. Red Teaming mißt die Widerstandsfähigkeit gegen digitale Angriffe relevanter Gruppen.
​
​
Auch wenn es manchmal schwierig sein kann, eine klare Abgrenzung zwischen Red Teaming und Penetration Testing zu ziehen, haben wir basierend auf unserer Erfahrung die folgenden zentralen Unterschiede in Bezug auf Zweck, Durchführung und Ergebnisse herausgearbeitet:
​
Scope
-
Penetration Testing: Zielgerichtet auf spezifische Systeme, Anwendungen oder Netzwerke. Konzentriert sich auf einen vordefinierten Bereich, um technische Schwachstellen aufzudecken.
Hauptverantwortliche: Anwendungsbetreiber, IT-Abteilungsleiter, Informationssicherheitsbeauftragte. -
Red Teaming: Breiter angelegt, simuliert realistische Angriffe über mehrere Angriffsflächen und -vektoren,
Hauptverantwortliche: Chief Information Security Officer (CISO), Rechtsabteilungen, Risikobeauftragte, Verantwortliche für Incident Response.
Durchführungszeitraum
-
Penetration Testing: In der Regel innerhalb von 1–4 Wochen abgeschlossen.
-
Red Teaming: Langfristige Einsätze, die potenziell 4–12 Monate oder länger dauern können, um die Resilienz umfassend zu bewerten – abhängig davon, wie viele Szenarien zur Durchführung ausgewählt werden.
Kosten
-
Penetration Testing: Niedrigere Kosten aufgrund des engeren Umfangs und des geringeren Zeitaufwands.
-
Red Teaming: Höhere Kosten, die die Komplexität, Expertise und den benötigten Zeitaufwand widerspiegeln, einschließlich Posten wie Projektmanagement.
Fokus
-
Penetration Testing: Zielt darauf ab, technische Schwachstellen zu identifizieren und auszunutzen, um diese zu beheben.
-
Red Teaming: Simuliert realistisches Angreiferverhalten, um die Erkennungs-, Reaktions- und Resilienzfähigkeit einer Organisation zu bewerten.
Ziele
-
Penetration Testing: Schwachstellen finden und dokumentieren, die behoben werden sollen.
-
Red Teaming: Bewertung der Effektivität von Abwehrmechanismen, Reaktionsprotokollen und der organisatorischen Bereitschaft.
Vorgehen
-
Penetration Testing: Orientiert sich an standardisierten Testabläufe wie den OWASP Testing Guides und ein wenig schwarzer Magie (Erfahrung der Pentester).
-
Red Teaming: Threat Intelligence und szenariobasiert, individuell angepasst, um spezifische Angeifergruppen nachzuahmen.
Projektbeteiligte
-
Penetration Testing: Bezieht in erster Linie Anwendungsbetreiber, IT-Leiter und Informationssicherheitsbeauftragte ein, die für die Verwaltung der getesteten Systeme verantwortlich sind.
-
Red Teaming: Umfasst funktionsübergreifende Teams, darunter Rechtsabteilungen, Risikobeauftragte, CISOs und Incident-Response-Teams, was die breitere Wirkung der simulierten Angreiferaktionen widerspiegelt.
Deliverables
-
Penetration Testing: Erstellt einen detaillierten technischen Bericht, der Schwachstellen und umsetzbare Maßnahmen zur Behebung beschreibt.
-
Red Teaming: Bietet eine Management-Zusammenfassung und einen technischen Bericht mit Fokus auf Resilienz, Erkennungslücken und strategischen Empfehlungen. Häufig werden Tools wie MITRE Attack Flow oder verschiedene MITRE-Matrizen genutzt, um eine Angriffsnarrative zu veranschaulichen.
Detection Intent
-
Penetration Testing: Verzichtet in der Regel auf verstecktes Vorgehen, um innerhalb der vorgegebenen Zeit so viele Schwachstellen wie möglich aufzudecken.
-
Red Teaming: Priorisiert verstecktes Vorgehen, um reale Bedingungen zu simulieren und die Fähigkeit der Organisation zur Erkennung und Reaktion zu bewerten.
Tools Used
-
Penetration Testing: Nutzt standardisierte Tools wie Nessus, Burp Suite und Metasploit.
-
Red Teaming: Setzt fortgeschrittene Tools und Techniken ein, die darauf ausgelegt sind, anspruchsvolle Angreifer nachzuahmen.
Frequency
-
Penetration Testing: Wird regelmäßig durchgeführt, beispielsweise jährlich, halbjährlich, oder nach größeren Funktionsupdates, um eine sichere Umgebung aufrechtzuerhalten.
-
Red Teaming: Wird seltener durchgeführt, typischerweise dann, wenn eine umfassende Bewertung der Resilienz erforderlich ist.
Zusammensetzung des Teams
-
Penetration Testing: Wird von Penetration-Testern durchgeführt, die auf die Entdeckung von Schwachstellen spezialisiert sind, oft alleine oder in Zweierteams.
-
Red Teaming: Wird von Red Teams durchgeführt, die häufig mit Blue Teams zusammenarbeiten, um gegnerische Angriffe zu simulieren und Reaktionsfähigkeiten zu bewerten. Die Teams bestehen aus mehreren Mitgliedern, um Abwesenheiten durch Urlaub oder Krankheit auszugleichen und die Zusammenarbeit bei komplexen Aufgaben zu gewährleisten.
Outcome
-
Penetration Testing: Verbessert die technische Sicherheitslage der Organisation durch die Behebung identifizierter Schwachstellen.
-
Red Teaming: Stärkt die organisatorische Bereitschaft, verbessert Erkennungs- und Reaktionsfähigkeiten und liefert strategische Empfehlungen zur Optimierung von Abwehrmechanismen.
​
Was ist
Threat-Led Penetration Testing (TLPT)?
TLPT ist ein simulationsbasierter Ansatz, der reale Cyberangriffe von Gegnern nachahmt, um Organisationen zu ermöglichen, ihre Bereitschaft und Resilienz zu bewerten. Im Gegensatz zu herkömmlichen Penetrationstests integriert TLPT Threat Intelilgence, um sicherzustellen, dass die Szenarien die neuesten Taktiken, Techniken und Verfahren (TTPs) von Cyberkriminellen widerspiegeln.
​
Die zentralen Aspekte von TLPT umfassen:
-
Realismus: Nutzung von Bedrohungsinformationen, um realistische Angriffsszenarien zu gestalten.
-
Zusammenarbeit: Einbindung mehrerer Stakeholder, einschließlich Red und Blue Teams.
-
Ergebnisorientierung: Bewertung der operativen Resilienz in Angriffsszenarien und nicht nur technischer Schwachstellen.
Trotz seines Namens ist ein TLPT kein herkömmlicher Penetrationstest.
Das TIBER-EU-Framework ist ein standardisiertes Vorgehen zur Prüfung der Resilienz in kritischen Sektoren. Entwickelt von der Europäischen Zentralbank (EZB) legt TIBER den Fokus auf sektorweite Bewertungen.
​
Wie TIBER funktioniert:
-
Scoping-Phase: Festlegung des Testumfangs, der Ziele und der Einsatzregeln.
-
Threat-Intelligence-Phase: Anpassung von Bedrohungsszenarien auf Grundlage aktueller Informationen.
-
Red-Team-Testing: Simulation gegnerischen Verhaltens in Live-Umgebungen.
-
Abschluss und Behebung: Analyse der Ergebnisse und Umsetzung von Korrekturmaßnahmen.
Was macht TIBER aus?
-
Gewährleistet einheitliche Tests in den Mitgliedsstaaten der EU.
-
Konzentriert sich auf systemische Risiken, die ganze Sektoren betreffen können.
Das Konzept funktioniert ähnlich zu Frameworks wie CBEST (UK), ICAST (Hongkong), FEER (Singapur), AUTEST (Australien) und CREST STAR.
Was ist Threat Intelligence-based Red Teaming (TIBER)?
TIBER und TLPT: Was ist der Unterschied??
TLPT ist eine reguliertes Vorgehen, das im Rahmen der EU-DORA (Digital Operational Resilience Act) eingeführt wurde. Ursprünglich für Finanzinstitute konzipiert, bewertet TLPT die Resilienz gegen fortgeschrittene Cyberbedrohungen und stellt die Einhaltung höchster regulatorischer Standards sicher.
​
Im Gegensatz zu TIBER-EU, einem freiwilligen Framework, ist TLPT für bestimmte Finanzinstitute gesetzlich vorgeschrieben.
​
Während nationale Anpassungen wie TIBER-DE und TIBER-NL unterschiedliche Umsetzungen widerspiegeln, könnte die Einführung von „TIBER 2.0“ diese Unterschiede in Zukunft standardisieren. TLPT basiert auf dem TIBER-Framework, weist jedoch wichtige Unterschiede auf, wie z. B. die verpflichtende Durchführung eines Purple-Team Event, der bei TIBER optional bleibt.
TIBER Procurement Guidelines
Wir freuen uns darauf, Ihnen alle benötigten Informationen zur Verfügung zu stellen. Wir verstehen, dass TIBER noch ein sehr neues Konzept ist und die meisten Institute zum ersten Mal teilnehmen. Zögern Sie nicht, uns zu kontaktieren, damit wir alle offenen Fragen besprechen können.
Nicht jedes Red Team Assessment muß gleich ein TIBER oder TLPT sein...
Effizient und fokussiert: Assume Breach Penetration Testing als Grundlage für Red Teaming
​
Umfassende Frameworks wie TIBER-EU und DORA TLPT bieten wertvolle Einblicke, doch nicht jedes Red-Team-Assessment muss direkt ein großes TIBER oder TLPT sein und die Einbindung eines Regulators umfassen. In vielen Fällen lassen sich mit einem gezielten Ansatz wie Assume Breach Penetration Testing signifikante Ergebnisse erzielen.
​
Assume Breach: Ein Threat Intelligece-basierter Einstieg ins Red Teaming
​
Assume Breach Penetration Testing setzt an dem Punkt an, an dem ein Angriff typischerweise beginnt – nach einem ersten erfolgreichen Zugang. Dieser szenariobasierte Ansatz nutzt Threat Intelligence, um reale Angriffspfade zu simulieren und Folgendes zu bewerten:
-
Geschäftsauswirkungen: Die möglichen Konsequenzen eines Angriffs werden bewertet.
-
Abwehrleistung: Schwachstellen in Abwehrmechanismen und die Geschwindigkeit einer potenziellen Eskalation werden identifiziert.
-
Abgleich mit Bedrohungsakteuren: Die simulierten Angriffspfade werden mit den für die Organisation relevantesten Bedrohungsakteuren abgeglichen.
Vorteile von Assume Breach:
-
Gezielte Erkenntnisse: Ein klar definierter Umfang vermeidet Scope Creep und legt den Fokus auf die kritischen Schwachstellen und möglichen Störungen. Der Ansatz ermöglicht eine effektive Ressourcennutzung.
-
Realitätsnahe Bewertung: Durch die Simulation realistischer Szenarien entstehen wertvolle Einblicke, wie Angreifer Systeme ausnutzen werden.
-
Ergebnisse ohne regulatorischen Aufwand: Anders als TLPT oder TIBER liefert dieser Ansatz entscheidende Erkenntnisse, ohne die Komplexität regulatorischer Anforderungen.
Assume Breach bietet eine fundierte Grundlage, um die Leistungsfähigkeit bestehender Verteidigungsmaßnahmen zu bewerten, relevante Bedrohungen zu analysieren und die Sicherheitsstrategie gezielt zu verbessern.
Laden Sie uns ein, Ihre Organisation zu kompromittieren (und einen Bericht zu erhalten)
Red Teaming ist ein unschätzbarer Service für Unternehmen, die ihre digitale Abwehr stärken möchten. Es handelt sich um die realistische Simulation eines Cyberangriffs, bei dem erfahrene "Hacker" versuchen, die Sicherheitsvorkehrungen einer Organisation zu durchbrechen. Der entscheidende Unterschied? Anstelle einer Lösegeldforderung oder öffentlicher Bloßstellung durch Datenpannen gibt es eine detaillierte Präsentation und einen umfassenden Bericht.
​
Durch den Einsatz von Red Teaming können Unternehmen sich auf reale Cyberbedrohungen vorbereiten, ohne den tatsächlichen Konsequenzen ausgesetzt zu sein. Dadurch werden potenzielle Risiken zu Chancen für mehr Resilienz.