Immer wieder kommt es vor: Hacker verschaffen sich unberechtigten Zugang zu IT-Systemen von Unternehmen, installieren eine Schadsoftware, und schon ist es geschehen: Innerhalb kurzer Zeit haben sie wichtige Daten gestohlen, IT-Systeme verschlüsselt oder spionieren das Unternehmen aus. Können Angreifer sich sogar Zugang zum Firmengebäude verschaffen, stehen ihnen weitere Türen offen – für Hardware-Diebstahl oder Datenklau direkt vor Ort. Der Schaden ist in allen Fällen hoch, sowohl in personeller […] als auch in finanzieller Hinsicht […].
Vermehrte Cyberattacken haben in den letzten Jahren dazu beigetragen, dass die IT-Security in Unternehmen zunehmende Aufmerksamkeit bekommt. Um zu testen, wie sicher das IT-System eines Unternehmens ist, werden verschiedene Testing-Methoden durchgeführt: Automated Testing, Penetration Testing, Red Teaming und Purple Teaming.
Automated Testing als Grundvoraussetzung
Zuerst sollte ein Unternehmen automatisiertes Testing durchführen. Hierbei identifizieren automatische Scans […] mögliche Schwachstellen. Diese Scans können zu jeder Zeit durchgeführt werden, ohne dass die Arbeit dafür unterbrochen werden muss.
Automated Testing ist eine Voraussetzung für […] andere, fortschrittliche Verfahren. Mit diesen Tests lassen sich Sicherheitsstandards etablieren und ein Maßstab für die weitere Entwicklung festlegen. Je nach Ressourcen, Auslastung und Know-how kann ein Unternehmen diese Tests selbst durchführen oder ein externes Team von Experten beauftragen.
Pen Testing – den Ernstfall simulieren
Auch das Penetration Testing beinhaltet ein gewisses Maß an automatisierten Verfahren. Doch den richtigen Mehrwert bringt diese Vorgehensweise erst, wenn Sicherheitsexperten diese Automatisierung mit fortschrittlichen Tools, manuellen Taktiken und mit ihrem eigenen Fachwissen kombinieren, um herauszufinden, welche Wege ein Angreifer wählen kann, um seine Zielumgebung zu kompromittieren.
Während einfachere, automatisierte Tests meist potenzielle Schwachstellen identifizieren, zeigen Pen Tests, wie diese Schwachstellen zu Kompromittierungen führen können. Dazu kommen verschiedene Techniken zum Einsatz, wie elektronisches Social Engineering, Passwort-Brute-Forcing, systemspezifische Sicherheitslücken, detaillierte Anwendungsanalysen auf Netzwerkebene sowie Angriffe auf veraltete Protokolle.
Da durch dieses Verfahren auch in der Vergangenheit bereits viele Angriffe hätten verhindert werden können, sollten Unternehmen regelmäßig Penetrationstests durchführen, um frühzeitig mögliche Schwachstellen zu entdecken und Gegenmaßnahmen umsetzen zu können.
Red Teaming: Ein gezielter Angriff prüft die Verteidigung
Zu den eher spektakulär anmutenden Testverfahren, wie sie beispielsweise oftmals im Fernsehen zu sehen sind, gehört das Red Teaming. Hierbei starten Security-Experten als Red Team einen gezielten Angriff, um eine IT-Infrastruktur zu kompromittieren. Im Gegensatz zu Pen Tests, die oftmals noch weitgehend automatisiert sind, nutzen die Experten beim Red Teaming die ganze Bandbreite von Tricks, die reale Angreifer anwenden. Dazu gehören:
- Open-Source-Intelligence (OSINT), bei der offen verfügbare Informationen über ein Unternehmen und dessen Mitarbeiter gesammelt werden; OSINT kann aus unerwarteten Quellen, wie LinkedIn, Facebook, Twitter oder anderen Social Media-Kanälen, stammen, da Mitarbeiter an solch scheinbar harmlosen Stellen manchmal mehr preisgeben, als ihnen bewusst ist;
- Phishing- und Business E-Mail Compromise (BEC)-Nachrichten, die auf bestimmte Empfänger zugeschnitten sind und dazu Informationen aus OSINT und anderen Quellen verwenden;
- Online und Offline Social Engineering, um eine fehlende Awareness der Mitarbeiter auszunutzen und die physische Infrastruktur des Unternehmens zu testen;
- Nutzung der Fehlkonfigurationen und bestehenden Sicherheitslücken.
Bei diesen Testverfahren muss das Blue Team, bestehend aus Security-Mitarbeitern des Unternehmens, den Angriff des Red Team erkennen und stoppen. Blue Teams arbeiten in der Regel mit begrenzten Informationen – wie sie es auch bei einem echten Angriff tun würden. Sie wissen nicht, wann der Angriff stattfindet und auf welche Systeme er abzielt, oder auch manchmal nicht, dass es sich lediglich um eine Übung handelt. […]
Purple Teaming: Konzentration auf spezifische Schwachstellen
Viele, die sich mit IT-Security beschäftigen, sind mit Red Teams vertraut; nur wenige kennen Purple Teams. Purple Teams kombinieren die Funktionen der Red und Blue Teams und greifen spezifische Systeme auf vorab festgelegte Weise an, sodass die Verantwortlichen in Unternehmen ihre Verteidigungsansätze verbessern können. Im Gegensatz zum Red Teaming wissen die Verantwortlichen beim Purple Teaming, wann der Angriff stattfindet und auf welche Systeme die Purple Teams abzielen werden.
Purple Teaming kann dann sinnvoll sein, wenn sich ein Unternehmen darauf konzentrieren will, den für sich besten Weg zur Behebung von Schwachstellen zu finden. Der Informationsaustausch vor und während des Purple Teaming vermittelt den Security-Verantwortlichen spezifische Fähigkeiten. Diese basieren auf der Kenntnis der Tools und Techniken, die Angreifer anwenden, sowie auf den möglichen Erwartungen der Cyberkriminellen.
(Quelle: Security-Insider.de)