Blue Frost Security
20.11.2017, 11:07 Uhr
Redteam-Testing: Die Königsdisziplin der Penetrationstests
Redteam-Tester sind IT-Sicherheitsexperten, die sich in die Perspektive eines tatsächlichen Angreifers versetzen und versuchen, an sensible Daten oder sonstige Unternehmenswerte zu gelangen.
Redteam-Tester nehmen im Auftrag von Unternehmen und Organisationen deren Abwehrmechanismen unter die Lupe. Ziel ist es, die IT-/TK-Sicherheitsstrukturen zu evaluieren und zu optimieren. Das kontrollierte Verfahren arbeitet mit simulierten gezielten Angriffen, wie sie von tatsächlichen Angreifern angewandt werden. Dabei kommen verschiedene Instrumentarien – vom speziell für diesen Zweck programmierten Trojaner über den manipulierten USB-Stick bis hin zu Social Engineering – zum Einsatz. Somit werden sowohl Mitarbeiterverhalten als auch Prozesse und Technologien überprüft.
Der Test ist mehrstufig und zielorientiert aufgebaut – es wird sich schrittweise, für Außenstehende unbemerkt, dem definierten Bestimmungsort genähert. „Beim Redteam-Testing geht es nicht wie beim klassischen Penetrationstest darum, Schwachstellen in der Breite zu identifizieren, sondern es wird gemeinsam mit dem Unternehmen, das seine Sicherheitsinfrastruktur überprüfen möchte, ein Ziel definiert. Dieses richtet sich danach, welchen Angriffstypen und Bedrohungsszenarien die betreffende Firma am wahrscheinlichsten ausgesetzt ist und wo die größten Werte liegen“, erklärt Ferhat Orta, Regional Sales Manager der Blue Frost Security GmbH. „Prädestiniert sind zum Beispiel produzierende Unternehmen mit innovativer Forschung und Entwicklung oder Energiekonzerne, Behörden et cetera, deren Daten im Interesse anderer Länder stehen“, ergänzt Ferhat Orta.
Der Test gibt Aufschluss darüber, wie sicher die Abwehrmechanismen im Unternehmen sind und wie die Mitarbeiter im Falle eines Angriffs aus dem Internet oder auf physikalische Attacken reagieren würden. Das bedeutet, das Redteam stellt das Blueteam – also das Team, das Angriffe abwehren soll – sowie andere Mitarbeiter – auf den Prüfstand. Wie verhält sich der Mitarbeiter beispielsweise bei manipulierten Links, klickt er darauf? Hebt er einen auf dem Boden liegenden USB-Stick auf und steckt ihn an einem PC an? Wird ein Angriff vom Blueteam erkannt und richtig behandelt? Hält es die Compliance-Regeln ein? Diese und weitere Faktoren werden mit Hilfe dieses Verfahrens überprüft.
„Es handelt sich dabei um hochentwickelte maßgeschneiderte Tests, die mit den Verantwortlichen abgestimmt sind, bei denen die Mitarbeiter aber nicht informiert sind. Die Tests unterliegen daher einem strengen Kontrollrahmen. Das bedeutet, es werden beispielsweise keine echten Phishings-Mails versendet, sondern ein manipulierter Link meldet nur an das Redteam, dass er angeklickt wurde. Auch wird die produktive Umgebung in der Regel nicht beeinträchtigt, sondern das Zielsystem zuvor zum Beispiel geklont. So ist Schutz für die Beteiligten gegeben“, erklärt Ferhat Orta. „Redteam-Tests sind sehr effektiv, ersetzen aber nicht den klassischen Penetrationstest, sondern sind als die Kür zu verstehen, wenn ein sehr hohes Sicherheitsniveau gefragt ist“, ergänzt Orta.
Der Test ist mehrstufig und zielorientiert aufgebaut – es wird sich schrittweise, für Außenstehende unbemerkt, dem definierten Bestimmungsort genähert. „Beim Redteam-Testing geht es nicht wie beim klassischen Penetrationstest darum, Schwachstellen in der Breite zu identifizieren, sondern es wird gemeinsam mit dem Unternehmen, das seine Sicherheitsinfrastruktur überprüfen möchte, ein Ziel definiert. Dieses richtet sich danach, welchen Angriffstypen und Bedrohungsszenarien die betreffende Firma am wahrscheinlichsten ausgesetzt ist und wo die größten Werte liegen“, erklärt Ferhat Orta, Regional Sales Manager der Blue Frost Security GmbH. „Prädestiniert sind zum Beispiel produzierende Unternehmen mit innovativer Forschung und Entwicklung oder Energiekonzerne, Behörden et cetera, deren Daten im Interesse anderer Länder stehen“, ergänzt Ferhat Orta.
Der Test gibt Aufschluss darüber, wie sicher die Abwehrmechanismen im Unternehmen sind und wie die Mitarbeiter im Falle eines Angriffs aus dem Internet oder auf physikalische Attacken reagieren würden. Das bedeutet, das Redteam stellt das Blueteam – also das Team, das Angriffe abwehren soll – sowie andere Mitarbeiter – auf den Prüfstand. Wie verhält sich der Mitarbeiter beispielsweise bei manipulierten Links, klickt er darauf? Hebt er einen auf dem Boden liegenden USB-Stick auf und steckt ihn an einem PC an? Wird ein Angriff vom Blueteam erkannt und richtig behandelt? Hält es die Compliance-Regeln ein? Diese und weitere Faktoren werden mit Hilfe dieses Verfahrens überprüft.
„Es handelt sich dabei um hochentwickelte maßgeschneiderte Tests, die mit den Verantwortlichen abgestimmt sind, bei denen die Mitarbeiter aber nicht informiert sind. Die Tests unterliegen daher einem strengen Kontrollrahmen. Das bedeutet, es werden beispielsweise keine echten Phishings-Mails versendet, sondern ein manipulierter Link meldet nur an das Redteam, dass er angeklickt wurde. Auch wird die produktive Umgebung in der Regel nicht beeinträchtigt, sondern das Zielsystem zuvor zum Beispiel geklont. So ist Schutz für die Beteiligten gegeben“, erklärt Ferhat Orta. „Redteam-Tests sind sehr effektiv, ersetzen aber nicht den klassischen Penetrationstest, sondern sind als die Kür zu verstehen, wenn ein sehr hohes Sicherheitsniveau gefragt ist“, ergänzt Orta.