Red Teaming

Ein Red Teaming beschreibt den Prozess, echte Bedrohungen und deren Taktiken, Techniken und Verfahren (TTP: Tactics, Techniques and Procedures) nachzuahmen. Ziel ist es, die Personen, Prozesse und Technologien zur Verteidigung der Umgebung zu trainieren und zu messen. Als Grundlage dient dazu eine realistische Bedrohung, welche zum Beispiel anhand des MITRE ATT&CK® Frameworks definiert werden kann. Ein spezieller Fokus liegt dabei immer bei der Realitätsnähe und den Erkenntnissen, welche aus dem Red Teaming gezogen werden sollen. Die Operationen werden entsprechend individuell geplant und durchgeführt. Das Red Teaming wird an den Faktoren Training und Standortbestimmung für das Blue Team gemessen. Die Aufbereitung und der Austausch der Erkenntnisse mit dem Blue Team nach der Operation ist ein zentraler Bestandteil eines Red Teamings. Auch hier hat sich die Verwendung von ATT&CK bewährt und wird gerne eingesetzt.

In diesem Research & Insight Beitrag zeigen wir auf, was aus unserer Sicht ein gutes Red Teaming ausmacht.

Falls folgende Fragen in Ihrem Unternehmen noch offen sind, empfiehlt sich ein Red Teaming:

  • Können unsere Verteidiger (unser Blue Team, unser externes SOC etc.) Angriffe in unserem Unternehmen erkennen?
  • Wird bei einem laufenden Angriff korrekt reagiert?
  • Decken unsere Use Cases realistische Bedrohungen und Verfahren ab?
  • Sammeln wir wirklich die Informationen, welche bei der Aufarbeitung einer Cyberattacke benötigt werden?
  • Wie kann unser Blue Team das Wissen des Red Teams nutzen, um uns besser zu schützen?

Ablauf

Scoping

Ziel und Umfang

Sinn des Scoping-Meetings ist es, die Ziele des Red Teamings zu definieren und genügend Wissen über die zu testende Umgebung zu transferieren, damit auf deren Basis dann die Offerte erstellt werden kann. Die Fragen drehen sich dabei meistens um die simulierte Bedrohung und allfällige Grenzen und Limitierungen.

Offerte

Agreement

Auf Basis des Scoping-Meetings wird die Offerte erstellt. Nebst den Zielen, Methoden, Preis und Rahmenbedingungen enthält diese auch einen Durchführungsvorschlag. Dabei ist selbstverständlich nichts in Stein gemeisselt und die Offerte wird gerne den Bedürfnissen angepasst. Verrechnet wird grundsätzlich immer nach tatsächlichem Aufwand.

Kick-Off

Testdetails

Im Kick-Off werden die Testdetails mit den verantwortlichen Personen besprochen. Hier sind insbesondere die Definition der genauen Ziele im Scope und das Bereitstellen von allfälligen Accounts für einen Assumed Breach Ansatz. Auch die schnelle und reibungslose Kommunikation während des Tests wird in diesem Meeting sichergestellt.

Planung

MITRE ATT&CK

Mithilfe von ATT&CK wird eine passende, reale Bedrohung als Grundlage für die Taktiken, Techniken und Verfahren gewählt. Dies geschieht nach Absprache mit der Ansprechperson und unter Berücksichtigung der Fähigkeiten des Blue Teams.

 

Operation

Durchführung

Nun werden die geplanten Operationen druchgeführt und sämtliche Schritte dokumentiert. Für den Durchführungszeitraum wird eine Ansprechperson (White Cell) definiert, die für Rückfragen seitens des Red Teams zur Verfügung steht. Somit wird die Chance für unbeabsichtigten Impact minimiert.

 

Report

Schlussbericht

Sämtliche Resultate werden zusammengefasst und ausgewertet. Für alle Risiken werden Massnahmen vorgeschlagen und deren Priorität festgehalten. Der Bericht enthält auch Informationen und MITRE ATT&CK Referenzen für die eingesetzten Tools und Methoden.

Abschluss

Schlussbesprechung

In einem Abschlussmeeting wird sichergestellt, dass die Resultate und Massnahmen aus dem Test verstanden und umgesetzt werden können. Somit wird sichergestellt, dass das Blue Team vom Red Teaming auch wirklich profitieren kann.

 

Bedrohungsanalyse mit MITRE ATT&CK

In jedem Red Teaming wird eine reale Bedrohung nachempfunden. Schliesslich soll eine realistische Beurteilung der Verteidigungsmechanismen und des Blue Teams möglich sein. Die Wahl der realen Bedrohung, welche nachempfunden werden sollte, ist also bedeutend für den Verlauf und Erfolg des Red Teamings. Dies geht am einfachsten mit MITRE ATT&CK. Idealerweise wurde die entsprechende Vorarbeit bereits vom Blue Team geleistet, da diese sich tagtäglich mit den realen Bedrohungen für das Unternehmen auseinandersetzen. Am einfachsten wird eine bekannte Gruppe gewählt, welche bereits Attacken auf vergleichbare Unternehmen durchgeführt hat. Anhand der Techniken, welche diese Gruppe in ihren Attacken eingesetzt hat, wird eine ähnliche Operation vorbereitet und dann ausgeführt. Dabei werden bewusst auch die Indikatoren übernommen. Sollte das Blue Team schon viel Erfahrung vorweisen und schon eine gute Abdeckung in der Erkennung der gewählten Gruppen haben, kann es sich lohnen allenfalls andere Bedrohungsgruppen in Betracht zu ziehen für das Red Teaming. Bei Detections ist auch immer der Ursprung zu hinterfragen. Idealerweise hängt eine Detection nicht von spezifischen Tools ab, sondern der darunterliegenden Technik. Diese Details können sowohl in einem Red Teaming als auch häufiger etwas effizienter in einem Purple Teaming verbessert werden.

MITRE ATT&CK Threat Group

 

Purple Teaming

Ein Purple Teaming wird in enger Zusammenarbeit mit dem Blue Team durchgeführt. Dadurch verschmelzen die beiden Teams in ein Team, von wo auch der Name stammt (Blau und Rot werden zu Violett). Die Taktiken, Techniken und Verfahren des Red Teams und deren Ausarbeitung bleiben dabei ähnlich wie bei einem Red Teaming, bei der Durchführung wird jedoch direkt mit dem Blue Team auf mögliche Detections geschaut und somit die Methoden und Tools des Blue Teams direkt verbessert. Auch können die einzelnen Schritte des Red Teams wiederholt und so iterativ die Methoden und Detections für diese verbessert werden. Ein Purple Teaming stellt häufig eine effizientere Verbesserung des Blue Teams dar und ist deshalb häufig empfehlenswert. Ein Red Teaming ist wiederum ein Test unter Realbedingungen und besonders für fortgeschrittenere Blue Teams zu empfehlen, welche schon Purple Teamings durchgeführt haben.

Deliverables

Sämtliche Resultate werden in einem Schlussbericht (PDF, Excel und JSON) übermittelt und über die Plattform Mesher zur Verfügung gestellt. Hier beginnt die eigentliche Arbeit. Die Cybersicherheit kann nur erhöht werden, sofern auch Massnahmen umgesetzt werden. Deshalb ist es uns ein zentrales Anliegen, dass die Erkenntnisse aus dem Test am richtigen Ort im richtigen Format ankommen und Medienbrüche eliminiert werden.

PDF
Der Schlussbericht im PDF-Format enthält einen einleitenden Teil, Executive Summary, Tools und Methoden, Testdetails, positive Aspekte und Detections, Risiken und Massnahmen mit detaillierter Beschreibung, Kategorisierung und Priorisierung, MITRE ATT&CK Referenzen und Indicators of Compromise.
 
EXCEL
Das Excel enthält sämtliche Risiken und Massnahmen mit detaillierter Beschreibung, Kategorisierung und Priorisierung. Dank dem bearbeitbaren Format eignet sich diese Liste für die Weiterverarbeitung der Resultate und es können einfach weitere Informationen hinzugefügt werden.
 
 
JSON
Die JSON-Datei enthält sämtliche Risiken und Massnahmen mit detaillierter Beschreibung, Kategorisierung und Priorisierung. Das JSON-Format ist das gängigste Format für die automatisierte Weiterverarbeitung von Informationen und kann häufig mit wenig Aufwand in die bestehenden Tools eingefüttert werden.
 
Report

Kategorisierung

Alle Findings werden von uns gemäss ihrer Eintrittswahrscheinlichkeit und Auswirkung kategorisiert. Nach Bedarf kann auch für jede Schwachstelle zusätzlich der CVSS Score berechnet werden.

risk_matrix
Report

Executive Summary

Jeder Bericht enthält eine Executive Summary, in welchem die Resultate und empfohlenen Massnahmen auf einer Seite zusammengefasst sind und in Diagrammen veranschaulicht werden.

chart_2
Report

MITRE ATT&CK Referenzen

Der Bericht enthält Referenzen zu sämtlichen MITRE ATT&CK Techniken, die eingesetzt wurden. Dies vereinfacht die Arbeit des Blue Teams mögliche Lücken in den Detections aufzuarbeiten und mehr über die Techniken zu erfahren.

mitre_teamactivity

Mesher

Über Mesher wird Ihr aktueller Sicherheitslevel erfasst und Sie können den Return on Investment für die unterschiedlichen Massnahmen einsehen. Hier sind auch sämtliche Resultate visualisiert und können dank Integrationen mit bestehenden Tools verknüpft werden. Mit der Plattform können technische Massnahmen direkt mit Tasks den entsprechenden Personen zugeteilt werden und agiles Arbeiten ohne Medienbrüche wird ermöglicht. In Mesher können Sie die Mitre ATT&CK Matrix für das durchgeführte Red Teaming einsehen und dies für die weitere Verbesserung des Blue Teams einsetzten. Auch können bereits bestehende ATT&CK Layers importiert und vereint werden.

Mehr zur Plattform Mesher

Mesher Plattform