Red vs. Blue und Purple Teaming: Trainingslager für Incident Response
Wie schnell erkennt Ihr Blue Team Angriffsaktionen? Wird der Schweregrad richtig eingestuft und wie lange dauert es bis zur erfolgreichen Abwehr? Red vs. Blue Teaming oder Purple Teaming optimiert diese Werte.
Farbenlehre: Red-Blue-Purple
Ein Bedrohungsszenario realistisch durchexerzieren
Im Red Teaming geht es darum, ein gesamtes Bedrohungsszenario unter möglichst realistischen Bedingungen zu testen.
- Die Angreifer (Red Team) bekommen ein Ziel genannt und versuchen dieses Schritt für Schritt zu erreichen.
- Die Verteidiger (Blue Team) sind nicht eingeweiht.
- Ziel der Angreifer ist es, an das definierte Szenarienziel zu kommen und dabei unentdeckt zu bleiben, notfalls über mehrere Anläufe und Wege.
Ein gut ausgebildetes Blue Team in der 1. oder 2. Liga
Sie benötigen ein gut ausgebildetes und eingespieltes Blue Team, das technisch und fachlich in der Lage ist, professionelle Angriffe, die auch "unter dem Radar" stattfinden, zu entdecken und zu behandeln. Zudem muss Ihr Security Monitoring, beispielsweise das SIEM, gut ausgebaut sein, denn unser Red Team kennt die üblichen "blinden Flecken".
Frisch etablierte Security Operation Center (SOC) oder Cyber Defense Center (CDC) können das in der Regel noch nicht leisten und werden das gesamte Assessment als Bloßstellung ansehen. Verständlicherweise, denn das ist ein bisschen, als würden Sie eine Kreisliga-Mannschaft gegen den letzten Championsleague-Sieger antreten lassen und hinterher fragen, warum sie so hoch verloren haben.
Die Detection Fähigkeiten des Blue Teams testen und optimieren
Im Red vs. Blue Teaming werden einzelne Angriffsaktionen definiert. Es geht nicht darum, dass das Red Team durch Hacking ein gestecktes Ziel erreicht, sondern die einzelnen Angriffsschritte, die es unternehmen würde, zu simulieren. Für jeden dieser Schritte wird dann geprüft, ob und wie schnell das Blue Team es erkennt und wann eine Reaktion erfolgt.
- Die Angreifer (Red Team) erhalten Whitebox Informationen und bereiten alle Angriffsschritte vor.
- Die Verteidiger (Blue Team) wissen entweder, dass etwas passieren wird, aber natürlich nicht was, oder sie wissen gar nichts davon.
- Ziel ist, das definierte Set an kleinen Testaktionen in einem bestimmten Zeitraum auszuführen und die Detection und Reaktion des Blue Teams zu messen. Gemeinsam mit dem Blue Team werden die Schritte im Nachgang analysiert und - falls erforderlich - optimiert.
Ein etabliertes Blue Team mit ausgereifter Erkennungstechnik
Ein hoher Reifegrad der Security-Monitoring-Tools (SIEM oder EDR) ist eine zwingende Voraussetzung, damit es überhaupt etwas zu erkennen gibt. Ohne entsprechende Tools erfahren Sie sonst nur, was Sie alles nicht entdecken können.
Zudem sollte Ihr Blue Team und die zugehörigen Eskalationsprozesse bereits eingespielt sein. Beim Red vs. Blue-Teaming geht es ja darum, einen Incident möglichst schnell korrekt einzustufen und die richtige Reaktion einzuleiten. Wenn Ihnen klar ist, dass das noch nicht rund läuft, sind Table Top Übungen wesentlich wirtschaftlicher und konstruktiver.
Weitere Informationen zu Red vs. Blue-Teaming finden Sie auf dieser Seite weiter unten.
Training der Incident Response in der Profi-Liga.
Purple Teaming setzt dort an, wo das Red vs. Blue Teaming aufhört: Man hat einen Angriff bzw. in der Praxis ja eher einen der vielen Schritte, die da passieren, erkannt und weitere Schritte eingeleitet. Jetzt geht es darum, schnell und professionell zu verstehen, was wirklich hinter dem Alarm steckt, ob Gefahr in Verzug ist und welche Gegenmaßnahmen eingeleitet werden müssen.
- Die Angreifer (Red Team) erhalten Whitebox Informationen und bereiten alle Angriffsschritte bzw. Artefakte die hinterlassen werden vor.
- Die Verteidiger (Blue Team) wissen von dem Assessment, schließlich kommt ja viel Arbeit auf sie zu. Sie kennen aber keine konkreten Inhalte.
- Ziel ist, mit dem definierten Set an Angriffsaktionen den Reifegrad der Incident Response im Blue Team zu messen und - falls erforderlich - zu optimieren.
Ein Blue Team der 1. Liga mit Erkenungstechnik und Incident Response Prozessen
Ihr gut ausgebildetes und eingespieltes Blue Team muss neben Security Monitoring Tools (SIEM oder EDR) auch über definierte und trainierte Incident Response Prozesse mit Runbooks oder Playbooks verfügen. Beim Purple Teaming geht es nicht um die Detection und initiale Einstufung, sondern um die Triage und die Response mit den zugehörigen Schritten Containment, Analyse und Remediation.
Dann kann das Purple-Teaming diese Prozesse weiter schärfen und trainieren. Und wir können noch Optimierungspotenzial in den Verfahren, individuellen Skills und eingesetzten Tools identifizieren.
Weitere Informationen zu Purple-Teaming finden Sie auf dieser Seite weiter unten.
Red vs. Blue Teaming
Die perfekte Lösung, wenn Sie wissen wollen, wie gut Ihr externes oder internes SOC performt.
Im Red vs. Blue Teaming geht es nicht darum, ein bestimmtes Angriffsszenario erfolgreich abzuschließen und Schwachstellen in Systemen und Anwendungen zu identifizieren, sondern eine breitere Palette an Angriffsaktionen auszuführen oder zu simulieren. Diese können, müssen aber nicht zu einem bestimmten Bedrohungsszenario gehören.
Das Blue Team ist hier grundsätzlich "mit im Boot", es ist ein kooperatives Assessment. Es kennt aber vorab keine geplanten Angriffsaktionen. Das Blue Team kann in erhöhte Alarmbereitschaft versetzt werden, was zu mehr Ehrgeiz und motivierenden Ergebnissen führt. Auf jeden Fall müssen Vertreter des Blue Teams informiert sein, um entsprechende Ressourcen vorzuhalten und um deeskalieren zu können.
Der Ablauf eines Red vs. Blue Teaming
Zu Beginn definieren wir die Ziele des Projektes, angepasst an den Level des Blue Teams, um herausfordernde, aber dennoch machbare Testfälle zu haben.
Anschließend werden für jeden Testfall eine Detection-Hypothese und passende Parameter definiert.
In der Durchführungsphase werden die Testfälle nacheinander ausgeführt. Das kann in einer konzentrierten Aktion erfolgen oder über einen längeren Zeitraum verteilt stattfinden.
Nach dem Auslösen eines Testfalls beobachten wir, ob die Angriffsaktion entdeckt und an das Blue Team gemeldet wird. Wir messen hierfür die "Time to Detection" (TTD) und die "Time to Reaction" (TTR). Anschließend wird das Blue Team unmittelbar aufgeklärt und - falls erforderlich - die Situation deeskaliert.
Red vs. Blue Teaming bringt den nachhaltigsten Erfolg, wenn es nicht als Einzelprojekt angelegt ist, sondern regelmäßig durchgeführt wird. So können verschiedene Aspekte trainiert und der kontinuierliche Fortschritt gemessen werden.
Purple Teaming
Die Erkennung von Security Incidents ist wichtig, die richtige Response darauf entscheidend.
Im Purple Teaming geht es nicht darum, ein bestimmtes Angriffsszenario erfolgreich abzuschließen und Schwachstellen in Systemen und Anwendungen zu identifizieren, sondern die Reaktion auf erkannte Incidents zu analysieren. Diese können, müssen aber nicht zu einem bestimmten Bedrohungsszenario gehören.
Das Blue Team ist hier grundsätzlich "mit im Boot", es ist ein kooperatives Assessment. Es kennt aber vorab keine Details über die simulierten Incidents.
Der Ablauf eines Purple Teaming
Zu Beginn definieren wir die Ziele des Projektes, angepasst an den Level des Blue Teams, um herausfordernde, aber dennoch machbare Testfälle zu haben.
Anschließend werden für jeden Testfall die erwarteten Ergebnisse definiert und Vorbereitungen getroffen, um die notwendigen Spuren und Artefakte zu erzeugen.
In der Durchführungsphase werden die Testfälle nacheinander ausgeführt und das Blue Team jeweils darüber informiert.
Nach dem Auslösen eines Testfalls beobachten wir, wie das Blue Team sich einen Überblick über die initiale Lage verschafft, den Schweregrad einstuft, Beweise sichert, Sofortmaßnahmen einleitet (Containment), eine Root-cause Analyse durchführt, potentielle Schäden ermittelt und welche Maßnahmen zur Bereinigung und Wiederherstellung empfohlen werden.
Purple Teaming bringt den nachhaltigsten Erfolg, wenn es nicht als Einzelprojekt angelegt ist, sondern regelmäßig durchgeführt wird. So können verschiedene Aspekte trainiert und der kontinuierliche Fortschritt gemessen werden.