Fachartikel

Red Team Services verbessern die IT-Sicherheit

Red Team Services unterstützen Unternehmen durch Angriffssimulationen bei der Ermittlung von Sicherheitsschwachstellen. Organisationen können damit nicht nur feststellen, wie effektiv ihre bisher getroffenen Schutzmaßnahmen sind, sondern auch wie anfällig sie im Gesamtsystem für einen Angriff sind. Auf dieser Informationsbasis sind IT-Verantwortliche in der Lage, Verbesserungsmöglichkeiten zu identifizieren und konkrete Sicherheitsverfahren und -maßnahmen zu evaluieren, mit denen sie die Sicherheit nachhaltig erhöhen können.
Ein Red Team geht gezielt Schwachstellen im Unternehmensnetzwerk auf den Grund.
Unternehmen sind mit einer steigenden Flut von Cyberangriffen konfrontiert. Allzu oft kann die Fähigkeit eines Sicherheitsteams, diese Angriffe zu erkennen und darauf zu reagieren, darüber entscheiden, ob ein Unternehmen einen gravierenden Sicherheitsvorfall zu beklagen hat oder glimpflich davonkommt. Folglich ist es wichtig, dass Unternehmen regelmäßig ihre Fähigkeit testen, Bedrohungen zu erkennen, einzudämmen und zu beseitigen.

Um die IT-Sicherheit zu überprüfen, führen viele Unternehmen deshalb Penetrationstests durch. Dabei analysieren sie etwa Netzwerke, wichtige Systeme oder Webanwendungen auf Schwachstellen. Solche Tests sind geeignete Methoden zur Aufrechterhaltung der Sicherheit. Allerdings adressieren sie in aller Regel nur einen bestimmten Unternehmens- und Anwendungsbereich und fokussieren auf bekannte Schwachstellen. Eine effiziente und proaktive Cybersecurity-Strategie muss aber immer ganzheitlich gesehen werden und deshalb alle modernen Infrastrukturen und Applikationen im Blickfeld haben – also immer den gesamten IT-Stack mit Netzwerk, Betriebssystemen, Datenbanken und Anwendungen.

IT-Sicherheit erfordert Proaktivität
Proaktiv heißt, dass Unternehmen im Bereich IT-Sicherheit nicht nur einen rein reaktiven Ansatz verfolgen, um Risiken zu reduzieren. Aus organisatorischer Sicht sollten die Mitarbeiter im Sicherheitsbereich so fortgebildet werden, dass sie wie ein Angreifer denken und durch diese Herangehensweise potenzielle Sicherheitslücken identifizieren können, bevor sie von Dritten mit böswilligen Absichten verwendet werden. Unter dieser proaktiven Perspektive ist auch die Beschäftigung eines Red Teams ein erster wichtiger Schritt, um einen Cyberangriff zu simulieren.

Diese sogenannten "ethischen Hacker" nutzen entdeckte Schwachstellen, um in Unternehmenssysteme und -netzwerke einzudringen. Sie bleiben dort so lange wie möglich unentdeckt, um herauszufinden, welche möglichen Schäden bei einem echten Angriff angerichtet werden könnten. Unternehmen können durch Nutzung von Red Team Services nicht nur feststellen, wie effektiv ihre bisher getroffenen Schutzmaßnahmen sind, sondern auch wie anfällig sie im Gesamtsystem für einen Angriff sind.
Red Team Services erweitern Penetrationstests
Red Team Services gehen somit einen Schritt weiter als isolierte Penetrationstests. Sie bieten Unternehmen die Möglichkeit, die Fähigkeit zur Abwehr von Cyberbedrohungen konkret und detailliert auf die Probe zu stellen. Beim Red Teaming erfolgt eine Simulation von Hackerangriffen unter Nutzung verschiedenster Taktiken, Techniken und Methoden. Unternehmen können damit Schwachstellen in einem Gesamtsystem aufdecken und erhalten so auch einen umfassenden Einblick in die Stärken und Schwächen ihrer On-Premises- oder Cloudumgebungen. Auf dieser Informationsbasis können sie dann mögliche Verbesserungsmöglichkeiten identifizieren und konkrete Sicherheitsverfahren und -maßnahmen evaluieren.

Zu Beginn eines Einsatzes arbeitet ein Red Team mit dem Unternehmen zusammen, um die Ziele des Einsatzes zu bestimmen. An diesem Punkt können die Organisationen auf der Grundlage ihrer Sicherheitslage entscheiden, ob sie zum Beispiel nur ihren Schutz vor bekannten oder auch vor unbekannten Bedrohungen testen möchten.

Im Szenario "bekannte Bedrohungen" simuliert das Red Team die mit einem bestimmten Angriffsvektor verbundenen typischen Gefahren. Dieser Ansatz testet die Möglichkeiten eines Unternehmens, Bedrohungen bereits innerhalb seines Sicherheitsmodells zu erkennen. Im Szenario "unbekannte Bedrohungen" konzipiert das Red Team kundenspezifisch angepasste Tools und Verfahren, mit denen es in ein Unternehmensnetz eindringt und Daten entwendet. Bei diesem Ansatz werden die Fähigkeiten von Unternehmen getestet, potenzielle und unbekannte Gefahren effektiv zu erkennen.

Während eines Einsatzes wird ein Red Team immer versuchen, Sicherheitstools zu umgehen und im Netzwerk verborgen zu bleiben. Die Kunden müssen damit rechnen, dass das anfängliche Eindringen und die seitliche Bewegung so unbemerkt wie möglich stattfinden. Im Laufe des Projekts wird das Red Team dann immer sichtbarer und mehr Spuren hinterlassen. Dieses sukzessive Vorgehen hilft Unternehmen zu messen, welche Bedrohungen sie erkennen können und welche nicht. Anhand dieser Informationen können Unternehmen dann ihren Sicherheitsstatus quantifizieren, die potenziellen geschäftlichen Auswirkungen ermitteln und Prioritäten bei den Abhilfemaßnahmen setzen.

Ein Red-Team-Angriff im Überblick
Doch wie arbeitet ein Red Team konkret? Ein typischer Workflow eines Red-Team-Angriffs auf die Geschäftsdaten eines Unternehmens in der Public Cloud umfasst folgende Schritte:
  1. Phishing-Attacke durch Klonen des E-Mail-Portals
  2. Sammeln von Zugangsdaten
  3. Auswertung des Active Directory oder anderer Verzeichnisdienste
  4. Ermittlung eines Domain-Admin-Accounts
  5. Aufspüren eines lokal gespeicherten SSH-Keys
  6. Nutzung des SSH-Keys zum Verbindungsaufbau mit der Cloud
  7. Ermittlung cloudnativer API-Keys
  8. Zugriff auf die zentralen Geschäftsdaten unter Nutzung der API-Keys
Fazit
Eine hundertprozentige IT-Sicherheit erreicht kein Unternehmen. Durch die Überprüfung der Wirksamkeit ergriffener Sicherheitsmaßnahmen mittels simulierter Angriffe ist es jedoch möglich, Schwachstellen zu identifizieren, die möglicherweise unbemerkt geblieben sind. Mit diesen Erkenntnissen kann ein Unternehmen dann seine Fähigkeit zur Erkennung von Bedrohungen nachhaltig verbessern. Und Sicherheitsteams werden in die Lage versetzt, reale Hacker frühzeitig im Angriffsprozess zu stoppen und damit letztlich auch finanzielle Schäden für das Unternehmen abzuwenden.
30.12.2020/ln/Christian Goetz, Director of Presales DACH bei CyberArk

Nachrichten

Zurück ins Büro, aber sicher [27.09.2021]

Mit steigenden Impfquoten und Teststrategien planen auch Unternehmen die Rückkehr ihrer Mitarbeiter an den Büroschreibtisch, was die IT-Abteilungen vor eine Reihe von Herausforderungen stellt. Zscaler nennt die Top-5-IT-Herausforderungen für "Back to Work". [mehr]

Machine Learning für mehr Datensicherheit [24.09.2021]

Die Erfahrungen der vergangenen zwei Jahre sind eindeutig: Einen Ransomware-Angriff zu verhindern ist schwierig. Manche Experten sagen sogar, dass es selbst mit der neuesten Technologie und einem soliden, umfassenden Verteidigungsansatz nahezu unmöglich ist. Wenn es also keinen todsicheren Weg gibt, einen Angriff zu verhindern, ist die Wiederherstellung die nächstbeste Option. Bei einem Wiederherstellungsplan für Ransomware gibt es jedoch viele Entscheidungen und Nuancen. [mehr]

Tipps & Tools

Studie: Über drei Viertel weltweiter Unternehmen nutzen Multicloud [17.08.2021]

Laut einer Umfrage von US-Anbieter Hashicorp setzen 76 Prozent der befragten, weltweit verteilten Unternehmen auf die Multicloud. Nähmen die Firmen nicht auch Hindernisse auf ihrem Weg in die Wolke wahr wie Kostenüberlegungen, Sicherheitsbedenken und Know-how-Mangel, wäre der Cloudanteil noch größer. [mehr]

Im Test: Red Hat OpenShift 4.7 [1.07.2021]

Leicht, effizient und komfortabel sollen IT-Verantwortliche dank OpenShift 4.7 von Red Hat in den Genuss von Container-Orchestrierung mit Kubernetes kommen. Ob dies gelingt, entscheidet sich in der Praxis an Punkten wie Betrieb, Wartung und Sicherheit sowie den vorhandenen Kubernetes-Funktionen. Im Test bewährte sich OpenShift 4.7 zwar sehr gut, gleichzeitig brachten Abweichungen von Red Hats Vorgaben jedoch Probleme mit sich. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen