Area41 2024 - Ein Rückblick
Michael Schneider
Die Infrastruktur einer Organisation kann auf unterschiedliche Weise getestet werden, je nach Bedürfnissen der Organisation, der Maturität des Abwehrdispositivs und der Vorgehensweise des Angreifers.
Das Konzept des Red und Blue Teaming entstand in den 1960er Jahren und eines der ersten Beispiele war der Think Tank RAND Corporation, der während des Kalten Krieges Simulationen für das US-Militär durchführte. In der Informationssicherheit bezeichnet Red Teaming die Überprüfung der Sicherheit einer Organisation durch den Versuch, ihre IT-Infrastruktur zu infiltrieren.
In der Ausgangsdiskussion wird geklärt, welche Bedürfnisse der Kunde hat, über welche Maturität sein Abwehrdispositiv verfügt und ob der Kunde wirklich alle Phasen und Besonderheiten eines Red Team Assessments benötigt. Um dies herausfinden zu können, müssen zunächst die Grundbegriffe geklärt und die möglichen Dienstleistungen und Vorgehensweisen definiert werden.
Es gibt keine einheitliche Definition für Sicherheitstests, die Bezeichnungen und Leistungen unterscheiden sich von Dienstleister zu Dienstleister. Der Name einer solchen Prüfung ist aus technischer Sicht zweitrangig. Wichtig ist, was ein solcher Test beinhaltet, wie sie durchgeführt wird und welche Voraussetzungen erfüllt sein müssen.
Wir unterscheiden drei Arten von Sicherheitstests:
Bei einem Review wird ein Testziel anhand von Dokumentation, Interviews und lesendem Zugriff auf das Zielobjekt beurteilt. Ebenso kann die Auswertung bereits vorhandenen Berichten wie zum Beispiel eines Vulnerability Scans oder eines Baseline-Audits in den Review einfliessen. Reviews umfassen die Überprüfung der Architektur einer Lösung, die Konfiguration von Komponenten oder auch des Source Codes. Ein Review wird in der Regel gemeinsam mit Fachexperten durchgeführt und alle Informationen werden den Testern zur Verfügung gestellt.
Ein Penetration Test überprüft ein spezifisches Testziel anhand eines definierten Scopes. Dazu können Testing Guides oder Checklisten verwendet werden. Bei einem Penetration Test dokumentieren wir, was wir geprüft haben und führen im Bericht auch auf, bei welchen Tests keine Schwachstellen gefunden wurden (Einstufung Passed). Mit einem Penetration Test können unter anderem Web- oder Mobile-Applikationen überprüft werden. Ein Penetration Test umfasst aber auch die Überprüfung eines Laptops oder die Durchführung einer Phishing-Übung.
Sollen mehrere Komponenten oder eine Infrastruktur mit offenem Scope überprüft werden, sprechen wir von einem Assessment. Dabei können einzelne Schwachstellen zu Angriffspfaden zusammengefasst werden, um die Ausnutzung der Schwachstellen und dessen Auswirkung zu demonstrieren. Der Report umfasst die Dokumentation des Angriffspfads und den Schwachstellen anstelle einer Checkliste. Assessments umfassen die Überprüfung der Baseline Security, die Durchführung von Angriffssimulationen sowie Red und Purple Team Assessments.
Die Testarten können kombiniert werden, wenn zum Beispiel eine Web-Applikation nach OWASP Application Security Verification Standard (ASVS) Level 2 (L2) oder Level 3 (L3) geprüft werden soll, kann dies nicht mit einem Penetration Test abgedeckt werden. Für L2 und L3 ist der Zugriff zu Dokumentation, Source Code, Konfiguration und Interviews mit dem Entwicklungsteam erforderlich.
Wenn ein Kunde ein “Red Teaming” wünscht, soll in der Regel die IT-Infrastruktur seiner Organisation überprüft oder ein spezifisches Szenario innerhalb der Infrastruktur durchgeführt werden. Im Artikel Security Testing – Von der Hypothese zum Experiment hat Tomaso Vasella bereits Unterschiede zwischen einem Penetration Test und einem Red Team Assessment aufgezeigt.
In der Phase Pre-Engagement geht es darum, im Gespräch mit dem Kunden herauszufinden, welche Form des Assessments für seine Bedürfnisse am besten geeignet ist.
Wir unterscheiden diese vier Formen von Assessments:
Die Assessments unterscheiden hinsichtlich der Vorgehensweise der Angreifer, der Interaktion mit den Mitarbeitern des Kunden und der Maturität der Verteidiger. Die Tabelle gibt einen Überblick über die wichtigsten Unterschiede:
Baseline Security Assessment | Attack Simulation Assessment | Red Team Assessment | Purple Team Assessment | |
---|---|---|---|---|
Ziel, Vorgehen | Durchführung von automatisierten Scans externer/interner Ziele und manueller Verifikation, mit oder ohne Begleitung der IT/Security | Simulation von Angriffspfaden in Begleitung der IT/Security | Angriff auf die Infrastruktur, nur Schlüsselpersonen sind informiert | Angriffstechniken/-szenarien werden nacheinander ausgeführt und Detektion gemessen in Zusammenarbeit mit SOC |
Länge (abhängig vom Szenario) | 5-10 Tage | 10-20 Tage | 30-60 Tage | 15-30 Tage |
Maturität | Geeignet für tiefe Maturität in Resilienz und Erkennungsfähigkeiten | Geeignet für tiefe bis hohe Maturität in Resilienz und Erkennungsfähigkeiten | Hohe Maturität in Resilienz und Erkennungsfähigkeiten erforderlich | Mittlere bis hohe Maturität in Erkennungsfähigkeiten erforderlich |
Stealth | Kein Fokus auf Stealth | Stealth je nach Maturität und zur Verfügung stehender Zeit | Fokus auf Stealth | Abhängig von Detektionsfähigkeit |
Tools / Schwachstellenerkennung | Einsatz von Open Source Tools, automatisierte und manuelle Tests zur Schwachstellenerkennung | Einsatz von Open Source Tools, automatisierte und manuelle Tests Identifikation von Angriffspfaden | Einsatz von angepassten Open Source Tools, Eigenentwicklungen, Identifikation von Schwachstellen für Angriffspfad zur Zielerreichung | Einsatz von Open Source Tools, abgesprochene Angriffsziele und Use Cases |
Detektion | Keine Messung/Protokollierung zur Detektion | Erstellung eines Angriffsprotokoll, das nach Assessment an SOC übergeben wird | Erstellung eines Angriffsprotokoll, das nach Assessment an SOC übergeben wird | Jedes Angriffsszenario wird gemessen, detaillierte Auswertung |
Access | Je nach Ziel wird der Zugriff zur Verfügung gestellt | Initialer Zugriff wird zur Verfügung gestellt | Je nach Szenario kein Zugriff oder Zugriff mit niedrigen Berechtigungen | Zugriff anhand der Use Cases |
Grundsätzlich halten wir ein Red Team Assessment für Kunden ohne Security Operation Center (SOC) und ohne Angriffserkennungsfähigkeiten nicht für angemessen, da ein wesentlicher Teil des Assessments darin besteht, unentdeckt zu bleiben und alle Operationen vorsichtig durchzuführen. Wenn keine Erkennungsfähigkeit vorhanden ist, sollte der Schwerpunkt nicht darauf liegen, möglichst unentdeckt zu bleiben, sondern der Aufwand sollte in die Suche nach Schwachstellen und Angriffspfaden investiert werden.
Möchte ein Kunde explizit verschiedene Komponenten seiner Infrastruktur überprüfen und beispielsweise Aussagen zur Resilienz des Clients, der VPN-Lösung und des IT-Ticket-Portals erhalten, empfehlen wir die Durchführung einer Attack Simulation auf diese Komponenten. Dabei werden diese auf Schwachstellen untersucht, die sich zu einem Angriffspfad kombinieren lassen und beispielsweise zur Kompromittierung eines Laptops und anschliessenden Lateral Movement im Netzwerk führen können. Bei einem Red Team Assessment hingegen suchen wir als Angreifer nach dem geeignetsten Angriffspfad, um unsere Ziele zu erreichen. Möglicherweise beinhaltet dieser Pfad keine der Komponenten, die der Kunde explizit überprüft haben möchte. Bei einem Red Team Assessment werden die Ziele vorgegeben, aber der Weg dorthin wird von den Angreifern bestimmt.
Das Budget für einen Sicherheitstest hat auch einen Einfluss auf die Wahl des Assessments. Es ist unrealistisch, innerhalb von 10 Tagen ein vollständiges Red Team Assessment durchzuführen. Je nach Reifegrad des Abwehrdispositivs empfiehlt es sich, bei einem Budget von 10 Tagen ein Baseline Security oder ein Attack Simulation Assessment durchzuführen. Beim Baseline Security Assessment ist der Fokus auf der Suche nach Schwachstellen, zum Beispiel durch die automatisierte Prüfung nach erreichbaren Freigaben oder eine Untersuchung nach den am häufigsten vorkommenden Fehlkonfiguration in Active Directory, Active Directory Certificate Services (ADCS) oder der Microsoft Cloud. Solange viele solcher leicht ausnutzbaren Schwachstellen in der Infrastruktur existieren, bringt ein verdeckter Ansatz oder die Entwicklung eigener Angriffswerkzeuge keinen Mehrwert. Wurden jedoch bereits mehrere Sicherheitstests in der Infrastruktur durchgeführt, bringt ein Red Team Assessment einen zusätzlichen Nutzen, da die Organisation auch auf ihre Detektionsfähigkeit und Reaktion auf Sicherheitsvorfälle geprüft werden kann.
Für das Auffinden und Ausnutzen von Schwachstellen werden das Attack Simulation und vor allem das Baseline Security Assessment mit automatisierten Prozessen und Open Source Tools durchgeführt. In einem Red Team Assessment werden speziell für den Einsatzzweck zugeschnittene Werkzeuge eingesetzt und Zeit aufgewendet, um Sicherheitstools umgehen zu können. Dazu kann die Kundenumgebung soweit als möglich und nötig in unserem Test-Lab simuliert werden.
Bei einem Purple Team Assessment wird explizit die Detektionsfähigkeit überprüft. Dazu werden im Vorfeld gemeinsam mit dem Kunden Use Cases erarbeitet und in Zusammenarbeit mit dem SOC abgearbeitet. Dabei durchläuft jeder Use Case einen Workflow, in dem gemessen wird, ob eine Angriffstechnik detektiert, nur aufgezeichnet respektive protokolliert, oder gar nicht erkannt wurde. Wenn eine Angriffstechnik aufgrund von Sicherheitsmassnahmen nicht ausgeführt werden kann, wird dies auch im Protokoll des Use Cases festgehalten. Ein Use Cases wird so lange wiederholt, bis eine Detektionsregel erstellt und erfolgreich getestet wurde beziehungsweise der gewünschte Zustand für den Use Case erreicht wurde.
Um die Sicherheit der Infrastruktur einer Organisation zu überprüfen, gibt es verschiedene Vorgehensweisen. Je nach Ziel der Überprüfung und eigener Maturität in Bezug auf Resilienz und Detektionsfähigkeit ist ein Attack Simulation Assessment, ein Red Team Assessment oder ein Purple Team Assessment besser geeignet. Für die Durchführung eines “Red Teamings” ist die Pre-Engagement-Phase und somit das Bestimmen der Art des Assessments von entscheidender Bedeutung, um das für die Organisation geeignete Training zu definieren. Nur so können aussagekräftige Erkenntnisse gewonnen und somit die Abwehr- und Detektionsfähigkeiten verbessert werden.
Unsere Spezialisten kontaktieren Sie gern!
Michael Schneider
Michael Schneider
Michael Schneider
Michael Schneider
Unsere Spezialisten kontaktieren Sie gern!