Angriffssimulation & Red Teaming

Was ist eine Angriffssimulation?

Bei einer Angriffssimulation wird innerhalb eines kontrollierten Rahmens ein Angreifer simuliert.

Dafür werden vorab Ziele definiert, die ein Angreiferteam (das Red Team) zu erreichen versucht. Mögliche Ziele können hier zum Beispiel ein Firmengeheimnis oder Zugriff auf einen unternehmenskritischen Server sein.

Bei einer Angriffssimulation werden also nicht nur einzelne Schwachstellen identifiziert und gemeldet, sondern auch die bestehenden Sicherheitslösungen und die Reaktion der IT-Sicherheitsabteilung (das Blue Team) bei Sicherheitsvorfällen auf die Probe gestellt.

So wird im Rahmen einer Angriffssimulation das Unternehmen als Ganzes getestet.

Was ist eine Angriffssimulation?

Warum sind Angriffssimulationen sinnvoll?

Erfolgreiche IT-Sicherheit ist das Zusammenspiel verschiedener Maßnahmen. Wie zuverlässig diese Maßnahmen die eigenen Systeme schützen, ist allerdings oft erst im Nachhinein ersichtlich.

Angriffssimulationen bieten daher die Möglichkeit, die ergriffenen Maßnahmen zu testen und etwaige Defizite frühzeitig zu erkennen.

Das Angreifermodell bei einer Angriffssimulationen geht von einem fähigen und motivierten Angreifer, wie man ihn z. B. bei einem Advanced Persistent Threat (APT) erwarten würde, aus. Daher werden in einer Angriffssimulation neben rein technischen Angriffsvektoren auch soziale und physische Angriffsvektoren betrachtet. Selbst die beste Anwendungssicherheit schützt die Informationen nicht, wenn ein Angreifer physischen Zugriff auf den Server hat.

Eine Angriffssimulation ist daher ein sinnvoller Test für alle Unternehmen, die ihre aktuellen Sicherheitsmaßnahmen testen wollen.

Warum sind Angriffssimulationen sinnvoll?

Ablauf einer Angriffssimulation

Informationsbeschaffung
In der ersten Phase (auch Reconnaissance genannt) werden Informationen zur Planung des Angriffs gesammelt. Hierbei werden unter Berücksichtigung der vereinbarten Angriffsvektoren mögliche Angriffsziele identifiziert.
Exploitation & Initial Access
Über die identifizierten Angriffsziele wird versucht, einen initialen Zugriff auf das Netzwerk zu etablieren.
Exploration & Lateral Movement
Sobald der initiale Zugriff hergestellt wurde, wird versucht, im Netzwerk weitere Systeme zu identifizieren. Darauf aufbauend kann damit angefangen werden, sich im Netzwerk fortzubewegen (Lateral Movement) und weitere Systeme anzugreifen.
Erreichen der Ziele
Nachdem die Zielsysteme identifiziert wurden, werden diese angegriffen um die gesetzten Ziele zu erfüllen.
Analyse & Berichterstattung
Nach der Angriffssimulation folgt der wichtigste Teil: Die Analyse der gefundenen Schwachstellen und die Aufbereitung der Ergebnisse in unserem Bericht. Dazu zählt auch das Aufzeigen konkreter Handlungsempfehlungen und eine Ergebnispräsentation, bei der wir Schritt für Schritt unser Vorgehen erklären.

Nachbereitung und Abschluss

Am Ende der Angriffssimulation erhalten Sie einen ausführlichen Bericht über die durchgeführten Angriffe und die ausgenutzten Schwachstellen. Im Rahmen eines gemeinsamen Workshops können abschließend zusammen mit dem Blue Team Fragen geklärt und Lessions Learned besprochen werden.

Bevor Sie die gewonnenen Erkenntnisse endlich umsetzen können, steht als Abschluss der Angriffssimulation noch das sogenannte “Housecleaning” an. Dabei sollten Sie die von uns im Rahmen der Angriffssimulation erstellten Benutzeraccounts, Konfigurationen usw. wieder entfernen und das Netzwerk auf seinen ursprünglichen Zustand zurücksetzen.

Angriffssimulation bzw. Red Team Assessment im Überblick

Test der IT-Sicherheit des ganzen Unternehmens
Großer Scope, hohe Tiefe
Test der Reaktion des Unternehmens

Ist eine Angriffssimulation als erste Maßnahme sinnvoll?

Falls Sie gerade im Aufbau Ihrer IT-Sicherheit sind, ist eine Angriffssimulation (noch) nicht sinnvoll. Eine Angriffssimulation eignet sich vor allem zur Überprüfung der vorhandenen Härtungsmaßnahmen und zum Training Ihres Blue Teams.

Anstattdessen eignet sich eine OSINT-Analyse, um zunächst Ihre eigene Angriffsfläche kennenzulernen oder ein Penetrationstest, um businesskritische Systeme zu überprüfen.

Für ein initiales Gespräch um ihre Bedürfnisse gemeinsam zu ermitteln stehen wir gerne zur Verfügung. Kontaktieren Sie uns einfach via hello@lutrasecurity.com.

Was ist der Unterschied zwischen Penetrationstests und Angriffssimulationen?

Im Gegensatz zu einer Angriffssimulation besteht das Ziel eines Penetrationstests nicht darin, Schwachstellen auszunutzen, um ein bestimmtes Ziel zu erreichen.

Vielmehr geht es darum, einen möglichst umfassenden und breit gefächerten Überblick über die bestehenden Probleme des jeweiligen Systems zu gewinnen.

Was ist Purple Teaming?

Im sogenanten Purple Teaming arbeiten Red und Blue Team besonders eng zusammen. Das Ziel ist es nicht nur die Fähigkeiten beider Teams zu testen, sondern durch aktive Kommunition und die gemeinsame Planung von Tests die Fähigkeiten beider Teams zu verfeinern.

Gerne arbeiten wir mit Ihrem Blue Team im Rahmen von Purple Teaming zusammen.

Ich möchte die Gebäudesicherheit und die Mitarbeiter nicht miteinbeziehen.

Das ist sehr verständlich. Grundsätzlich bieten wir unterschiedlichste Angriffssimulationen an, die wir zusammen mit Ihnen individuell auf Ihre Bedürfnisse anpassen können.

Hier würde sich beispielsweise ein Innentäter-Szenario eignen, bei dem der Startpunkt ein Benutzeraccount mit minimalen Privilegien ist. Dadurch sparen wir uns außerdem die Zeit für die Planung und den Angriff im Rahmen des initialen Netzwerkzugriffs.

Wir finden Schwachstellen, so finden Sie uns!

Wir haben Ihr Interesse geweckt? Sie haben noch Fragen? Rufen Sie uns an, schreiben Sie uns eine Mail, oder vereinbaren Sie direkt und unkompliziert ein unverbindliches Erstgespräch mit einem unserer Berater:

Sie wollen auf dem Laufenden bleiben? Abonnieren Sie unseren Newsletter: