Bei einem Red-Team-Einsatz versucht Redlings, einen Threat Actor zu modellieren. Da bei Red-Team-Einsätzen nicht nur die Technologie, sondern auch die Effektivität der vorhandenen Prozesse getestet werden, sind in der Organisation oft nur sehr wenige Personen zu einem bestimmten Zeitpunkt mit einem Red-Team vertraut.
Da die Tester versuchen, sich unterhalb des Radars des Sicherheitsteams zu bewegen, erfordern Red-Team-Einsätze in der Regel mehr Zeit und Aufwand. Red-Team-Einsätze erfordern Angriffe, die für jeden einzelnen Einsatz maßgeschneidert sind.
Red-Team
Ein Red-Team folgt dem gesamten Angriffslebenszyklus, der von hoch entwickelten, hartnäckigen Angreifern ausgeführt wird. Dabei erhält Redlings zu Beginn der Bewertung nur wenige oder gar keine Informationen, da ein Red Team einen realen gezielten Angriff emulieren soll. Die Ziele und Rahmenbedingungen eines solchen Tests sind dabei vorab zwischen Ihrem Unternehmen und Redlings vereinbart. Ein abgestimmtes ethisches Vorgehen sollte dabei Priorität vor der Effektivität von Angriffstechniken haben, steht jedoch oft im Spanungsverhältnis mit dem üblichen Vorgehen von realen Angreifern.
Der Ablauf eines Red Teams
Ein Red-Team Assessment beginnt mit der Einrichtung eines externen Befehls- und Kontrollserver (Command & Control, C2). Von solchen Servern aus wird Redlings Befehle an bereits kompromittierte Systeme in Ihrem Unternehmen senden. Die externe C2-Infrastruktur verwendet dabei Netzwerkkommunikationsprotokolle, die versuchen, sich der Erkennung durch Ihre Mitarbeiter, durch Ihre Service Provider und durch Ihre eingesetzte Technik zu entziehen.
Wir überprüfen extern erreichbare IT-Systeme auf unmittelbare Kompromittierbarkeit. Aufgrund des stark verbreiteten Einsatzes von Social-Engineering-Methoden moderner Angreifer wird Redlings vermutlich ebenfalls auf Social-Engineering-Angriffe zur initialen Kompromittierung zurückgreifen. Dazu können insbesondere E-Mail- oder telefonbasiertes Social-Engineering gehören.
Nach der initialen Kompromittierung sucht Redlings nach Mitteln, um Benutzerberechtigungen zu eskalieren und sich in Ihrem internen Netzwerk zu bewegen. Eines unserer Ziele wird wahrscheinlich darin bestehen, Domain-Administratorrechte in Ihrem internen Netzwerk zu erlangen.
Redlings nutzt bei Bedarf die Domänenadministratorrechte, um die festgelegten Ziele für das Assessment zu erreichen. Alle beschriebenen Aktivitäten werden in einer Art und Weise durchgeführt, um die Erkennung durch Mitarbeiter des Blue-Teams zu minimieren. Wir verwenden Open-Source-Tools, kommerzielle Werkzeuge und auch Eigenentwicklungen für unsere Red-Team Assessments. Das zum Einsatz kommende Toolset und die Vorgehensweisen wird üblicherweise auf die zu emulierenden Angreifer abgestimmt.
Ein Red-Team Assessment ist ein Serviceangebot für Unternehmen, die bereits über ein ausgereiftes Sicherheitsprogramm verfügen und versuchen, ihre Abwehr- und Vorfallreaktionsverfahren gegen einen entschlossenen Gegner zu testen.
