Zum Inhalt springen
Purple Teaming

Frischer Anstrich für den Pentest

Um Maßnahmen für die Cybersicherheit auf die Probe zu stellen, sind Pentests eine bewährte Methode. Beim klassischen Pentest arbeiteten rote und blaue Teams meist getrennt voneinander. Anders hingegen beim Purple Teaming.

Autor:Autor: Gergely Lesku / Redaktion: Diana Künstler • 19.12.2022 • ca. 6:25 Min

Rot und blau zusammen
Mithilfe von Pentests Tests lässt sich praxisnah prüfen, wie gut ein Unternehmen gegen Cyberangriffe gewappnet ist. Bei der Methode des Purple Teaming setzt man auf auf Transparenz und Kollaboration anstelle isolierter Teams.
© Norbert Preiß, funkschau

Der Artikel liefert unter anderem Antworten auf folgende Fragen?

  • Warum setzen Unternehmen auf Pentesting?
  • Was unterscheidet klassische Pentests von der Purple-Teaming-Methode?
  • Was gilt es zu beachten, möchte man Purple Teaming zielführend einsetzen?
  • Wann lohnt sich eher, auf klassisches Pentesting zu setzen?

Managed Security beinhaltet heute viele verschiedene Komponenten und Methoden. Wer seine Security-Infrastruktur dabei nicht nur in der Theorie, sondern auch in der Praxis auf Herz und Nieren prüfen möchte, greift häufig aufs Pentesting zurück. Denn auch die am besten durchdachten Sicherheitsmaßnahmen können Schwachstellen aufweisen. Diese lassen sich nur durch einen praktischen Test erkennen. Das Pentesting hat sich dabei als geeignete Bewährungsprobe erwiesen. Doch auch Altbewährtes muss weiterentwickelt werden. Das Purple Teaming-Verfahren tritt an, den nächsten Entwicklungsschritt für das Pentesting zu gehen.

Anbieter zum Thema

Hier könnte auch Ihr Logo stehen.
zu Matchmaker+

Klassisches Pentesting: realitätsnah durch isolierte Teams

Das Grundprinzip eines Pentests war bislang so einleuchtend wie erprobt: Es wurde ein möglichst realitätsnahes Angriffsszenario durchgespielt und die Sicherheitsmaßnahmen hinsichtlich Effektivität und Reaktionsgeschwindigkeit getestet. Eine Gruppe aus ethischen Hackern nahm dabei die Rolle der „Angreifer“ ein. Ihr Ziel war es, die Schutzmauern zu überwinden, die von einer Gruppe aus Sicherheitsexperten, dem blauen Team, verteidigt wurde. Verschiedene Pentests unterschieden sich vor allem in den getesteten Angriffsmustern oder darin, wie viel das rote Team über die Sicherheitsstrukturen im Vorfeld wissen sollte (Blackbox vs. Whitebox). Eines hatten aber so gut wie alle Pentestmethoden gemeinsam: Red Team und Blue Team agierten unabhängig voneinander und verdeckt, um das Szenario möglichst nah an der Realität zu halten. Diese Art der Tests lieferte vorrangig Aussagen über die technische Bereitschaft der geprüften Systeme.

Trotz aller Vorteile ist es nicht das Ziel, herkömmliche Pentests durch Purple Teaming zu ersetzen. Je nach Situation kann es auch sinnvoll sein, dass die Teams eigenständig arbeiten und die Testumgebung so näher an der Realität liegt. Vielmehr entwickelt das Purple Teaming das traditionelle Pentesting weiter.

Größerer Lerneffekt durch Kooperation

Die Grundidee des Purple Teamings versteckt sich bereits im Namen. Denn anders als beim klassischen Pentest wird beim Purple Teaming das Kooperationsverbot zwischen rotem und blauem Team aufgeweicht. Anstatt beide Gruppen isoliert voneinander arbeiten zu lassen, agieren beim Purple Teaming beide transparent. Macht das rote Team also den ersten Schritt und beginnt mit dem Angriff, informiert es das blaue Team dabei über die verfolgte Strategie und die eingesetzten Techniken. Das blaue Team kann nun erkennen, wie gut die eingesetzten Security-Tools funktionieren und ob die für einen solchen Fall geschaffenen Abläufe sinnvoll und effektiv geplant sind. Dabei misst es bestimmte Werte, die als Indikatoren dienen. Die gesammelten Metriken werden nun mit der Incident Response-Strategie aus der Theorie abgeglichen und ihre Effektivität in der Praxis evaluiert.  

Der Vorteil dieser neugewonnen Transparenz liegt in der Genauigkeit der Auswertung. Denn natürlich wird auch beim traditionellen Pentest die Wirkungskraft der eigenen Strukturen analysiert, das ist schließlich Sinn und Zweck der gesamten Methode. Purple Teaming erreicht jedoch ein neues Level an präziser Aussagekraft. Denn anstatt nur zu überprüfen, ob ein Angriff funktioniert hat, ist direkt erkennbar, wo die Schwachstellen liegen und in welcher Phase der Attacke das System durchlässig war. Teilt das rote dem blauen Team während des Angriffs direkt mit, wo eine Sicherheitslücke liegt, spart es dem blauen Team Zeit und Energie, da das blaue Team direkt die existenten Schwachstellen beseitigen kann.

Ein weiterer Pluspunkt des Purple Teamings liegt in der Wiederholbarkeit. Denn liegen alle Angriffspläne offen, können diese gezielt wiederholt werden und die Verteidiger können im zweiten Anlauf testen, ob ihre aktualisierte Vorgehensweise die Eindringlinge stoppt. Zu guter Letzt bringt Purple Teaming einen enormen Lerneffekt mit sich. Denn das rote Team unterrichtet die Verteidiger nicht nur über eing-esetzte Strategien oder Technologien, sondern erläutert auch Schritt für Schritt, warum sie sich für genau diesen Ablauf entschieden haben. Das blaue Team lernt also auch die Angreifer kennen und ihr Mindset zu verstehen. Etwaiger Betriebsblindheit wird so effektiv entgegengewirkt.

Wie Purple Teaming gelingt

Um Purple Teaming zielführend einzusetzen, müssen einige Aspekte beachtet werden:

  • Technisches Expertenwissen rund um die Methoden: Anbieter sollten sich mit den Verfahren sowohl blauer als auch roter Teams auskennen. Darunter fallen etwa die Sicherheitsüberwachung und die Reaktion auf Angriffe, die sogenannte Incident Response, beim blauen oder auch automatisierte Attacken beim roten Team. So können Anbieter final auch die richtigen Content-Einstellungen aufzeigen und andere systemspezifische Tipps geben.
  • Teamführung und -management: Da beim Purple Teaming der Lernerfolg im Vordergrund steht und regelmäßig geprüft werden muss, ob sich Fortschritte zeigen, sind bei Anbietern ebenso Kompetenzen in der Führung und im Management von Teams gefragt.
  • Planung: Damit die Übung gelingt, ist wie bei allen Pentesting-Methoden auch beim Purple Teaming ein präziser Plan wichtig. Ist das Team besonders gut vorbereitet, haben die Ergebnisse eine höhere Qualität und eine höhere Aussagekraft. Damit das blaue Team bei der finalen Übung eine Idee davon hat, was es erwartet, nutzen die Teams meist eine mehrstufige Cyber Kill Chain bekannter APT-Angreifer, etwa APT29 (siehe Kasten anbei).

Gemeinsam zum Erfolg

Wie sich zeigt, ist es für den Erfolg von Purple Teaming evident, dass beide Teams eng und vollkommen transparent zusammenarbeiten. Dazu gehört zum einen, dass das rote Team offenlegt, wie es warum und mit welchen Verfahren vorgeht. Auf diese Weise lernt das blaue Team die Angreifer und ihre Verhaltensmuster besser kennen. Gleichzeitig sollte das blaue Team direkt vermitteln, welche Fehler es gemacht hat und wo es sein Verhalten noch verbessern kann. Arbeiten die Teams so Hand in Hand, wirkt die Übung nachhaltig und hilft, die Sicherheit zu erhöhen.

Trotz aller Vorteile ist es aber nicht das Ziel, herkömmliche Pentests durch Purple Teaming zu ersetzen. Je nach Situation kann es auch sinnvoll sein, dass die Teams eigenständig arbeiten und die Testumgebung so näher an der Realität liegt. Vielmehr entwickelt das Purple Teaming das traditionelle Pentesting weiter. Vorteilhaft ist beim Purple Teaming auch der Einsatz eines SOC-Anbieters: Dieser hat zusätzlich die Möglichkeit, den Test in eine umfassendere Strategie einzubinden. Mit einer hohen Expertise im Bereich Cybersecurity sowie aktuellen Tools und Methoden kann der SOC-Anbieter das Vorgehen genau auf das jeweilige Unternehmen abstimmen und so das volle Potenzial des Purple Teamings nutzbar zu machen.

Gergely Lesku, Head of International Operations, Socwise

Das könnte Sie auch interessieren
Western Digital Ausdauernde Speicherkarte für Videoüberwachung
»WD Purple microSD« Western Digital bringt Speicherkarte für Videoüberwachung
LL05S05a
Red Teaming statt reiner Penetration-Tests Kompromittierung erwünscht
WD100PURZ - 2
WD stellt neue Festplatte seiner Purple-Produktserie vor 10 TByte Speicher für hochauflösende Überwachungssysteme
Praxistest: Novell Teaming 2.1 Am Puls der Zeit
Social Networking Reinschnuppern bei der Teamarbeit
Test: Novell "Teaming + Conferencing" Die Zukunft der Zusammenarbeit
Novell präsentiert "Teaming + Conferencing" Open-Collaboration-Plattform mit "Web-2.0"-Funktionalität
Mehr passende Artikel
Screenshot K7 Enterprise Security Verwaltungsoberfläche
Endpoint-Suite K7 On-Premises Enterprise Security Advanced im Test
TMA mit Zugriffskontrolle auf Mandanten-, CA- und Sub-CA-Ebene.
Zertifikate und Schlüssel VS-NfD-konform managen Ecos TrustManagementAppliance mit BSI-Einsatzerlaubnis
Achim Weiß, Ionos
Partnerschaft für digitale Souveränität in KMU Ionos und Nobix bieten sichere Cloud für den Mittelstand
Hendrik Flierman, Swissbit
Vertriebsleitung für globale Security-Lösungen Swissbit ernennt Hendrik Flierman zum Sales Director
Firewall
HyperScale-Lösungen von Commvault Mehr Onsite-Cyber-Resilienz schaffen
Weiter zur Startseite