Unsere Leistungen
Red-Team-Assessments
Das generelle Ziel eines Red-Team-Assessments ist sowohl die Prüfung der Fähigkeiten der Verteidiger und somit das Aufdecken von Defiziten in der Angriffserkennung und Reaktion als auch das Trainieren des SOC, d.h. die Erkennung und Behandlung von Sicherheitsvorfällen unter „realen“ Bedingungen.
Ein Red-Team-Assessment unterscheidet sich von einem klassischen Penetrationstest in mehreren Punkten. Der größte Unterschied besteht darin, dass nicht eine Anwendung oder ein System, sondern alle Assets eines Unternehmens gleichermaßen im Fokus stehen. Dabei spielt es keine Rolle, ob es sich hierbei um ein IT-System, einen Mitarbeiter, einen Standort oder auch um ein Unternehmen in der Holding-Struktur handelt.
Stattdessen steht die Simulation realer Angriffstechniken und -taktiken im Vordergrund. Dazu werden in aller Regel konkrete Ziele definiert, die das Red-Team erreichen soll. Dies kann beispielsweise der Zugriff auf ein bestimmtes System oder eine Datenbank mit sensiblen Informationen sein.
Für die Zielerreichung werden anschließend alle relevanten Phasen der sogenannten Cyber Kill Chain durchlaufen: beginnend mit der Informationsgewinnung, der Angriffsplanung und der Vorbereitung der Angriffe bis hin zu deren Durchführung. Dabei ist es in erster Linie nicht relevant, auf welchem Weg diese Ziele erreicht werden, sodass mehrere Vektoren abgedeckt werden. Typischerweise umfasst dies Angriffe auf extern erreichbare Dienste und Cloud-Umgebungen, Phishing-Angriffe, physische Angriffe vor Ort und den aktiven Einsatz von Social Engineering.
Anders als bei Penetrationstests geht es bei einem Red-Team-Assessment nicht darum, möglichst viele Schwachstellen in einem konkreten Prüfobjekt zu identifizieren. Vielmehr sollen ganzheitliche Defizite in der Prävention sowie in den Erkennungs- und Reaktionsfähigkeiten aufgezeigt werden. Daher wählt das Red-Team im Gegensatz zu einer klassischen Sicherheitsüberprüfung primär möglichst „leise“ Angriffstechniken und -formen aus, weshalb sich ein Red-Team-Assessment in der Regel über einen längeren Zeitraum erstreckt.
Aufgrund der genannten Rahmenbedingungen richtet sich diese Form der Überprüfung an Unternehmen, bei denen bereits ausgereifte Maßnahmen zur Prävention und Erkennung eines Sicherheitsvorfalls sowie zur Reaktion darauf implementiert sind.
Mögliche Varianten
Klassisches Red-Team-Assessment
Umfasst alle Phasen inkl. umfassender Informationsgewinnung.
Kompaktes Red-Team-Assessment
Zur Reduktion des Aufwands wird auf eine umfassende initiale Informationsgewinnung verzichtet. Stattdessen werden relevante Informationen in einem gemeinsamen Workshop erfragt.
Assumed Breach Red Teaming
Hier geht es primär um die Durchführung der Angriffe. Die komplette Phase der Informationsgewinnung entfällt und der Red Teamer bekommt einen initialen Zugang bereitgestellt.
Continuous Red Teaming
Beim Continuous Red Teaming finden die Angriffe kontinuierlich über ein Jahr verteilt statt. Dadurch werden eine regelmäßige Übung für das Blue-Team sichergestellt, aktuelle Bedrohungen getestet und die Effektivität der implementierten Sicherheitsmaßnahmen geprüft.
Die kontinuierlichen Initial-Access-Angriffe können mithilfe von aktuelle Exploits und Malware durchgeführt werden, physische Angriffe vor Ort oder Social-Engineering-Angriffe wie beispielsweise Vishing oder Spear Phishing sein.
Aufgrund der Regelmäßigkeit ist die Bedrohungslage für das Management sichtbar, die Probleme sind echt und ausnutzbar und es kann verifiziert werden, ob vergangene Probleme behoben wurden.
Red-Team-Assessment nach TIBER-DE bzw. TIBER-EU
Bei dieser Form des Red-Team-Assessments richten wir die Durchführung vollständig nach dem TIBER-DE- bzw. TIBER-EU-Rahmenwerk aus. Weitere Informationen finden Sie unter:
Threat-Led-Penetration-Testing (TLTP) nach DORA
Ein TLPT im Rahmen von DORA baut auf TIBER auf und intensiviert die Zusammenarbeit zwischen der BaFin und der Deutschen Bundesbank. Gemäß der BaFin ändern sich lediglich „kleinere Details in der operativen Durchführung eines TLPT im Vergleich zu dem etablierten TIBER-DE Rahmenwerk“.
Unsere aktuellen Veröffentlichungen zum Thema Red Team Assessments.
Eskalation am Vormittag
kes Februar 2023
TLPT: Bedrohungsorientierte Penetrationstests nach DORA
www.cirosec.de
Inside the NAC Pi
www.cirosec.de
Effektive Governance-Strategien im Red Teaming
www.cirosec.de
Vishing: Angriffe per Telefon
iX 9/25
Pentesting & Co.
iX 10/25