Purple Teaming
Frischer Anstrich für den Pentest
Um Maßnahmen für die Cybersicherheit auf die Probe zu stellen, sind Pentests eine bewährte Methode. Beim klassischen Pentest arbeiteten rote und blaue Teams meist getrennt voneinander. Anders hingegen beim Purple Teaming.
Der Artikel liefert unter anderem Antworten auf folgende Fragen?
- Warum setzen Unternehmen auf Pentesting?
- Was unterscheidet klassische Pentests von der Purple-Teaming-Methode?
- Was gilt es zu beachten, möchte man Purple Teaming zielführend einsetzen?
- Wann lohnt sich eher, auf klassisches Pentesting zu setzen?
Managed Security beinhaltet heute viele verschiedene Komponenten und Methoden. Wer seine Security-Infrastruktur dabei nicht nur in der Theorie, sondern auch in der Praxis auf Herz und Nieren prüfen möchte, greift häufig aufs Pentesting zurück. Denn auch die am besten durchdachten Sicherheitsmaßnahmen können Schwachstellen aufweisen. Diese lassen sich nur durch einen praktischen Test erkennen. Das Pentesting hat sich dabei als geeignete Bewährungsprobe erwiesen. Doch auch Altbewährtes muss weiterentwickelt werden. Das Purple Teaming-Verfahren tritt an, den nächsten Entwicklungsschritt für das Pentesting zu gehen.
Klassisches Pentesting: realitätsnah durch isolierte Teams
Das Grundprinzip eines Pentests war bislang so einleuchtend wie erprobt: Es wurde ein möglichst realitätsnahes Angriffsszenario durchgespielt und die Sicherheitsmaßnahmen hinsichtlich Effektivität und Reaktionsgeschwindigkeit getestet. Eine Gruppe aus ethischen Hackern nahm dabei die Rolle der „Angreifer“ ein. Ihr Ziel war es, die Schutzmauern zu überwinden, die von einer Gruppe aus Sicherheitsexperten, dem blauen Team, verteidigt wurde. Verschiedene Pentests unterschieden sich vor allem in den getesteten Angriffsmustern oder darin, wie viel das rote Team über die Sicherheitsstrukturen im Vorfeld wissen sollte (Blackbox vs. Whitebox). Eines hatten aber so gut wie alle Pentestmethoden gemeinsam: Red Team und Blue Team agierten unabhängig voneinander und verdeckt, um das Szenario möglichst nah an der Realität zu halten. Diese Art der Tests lieferte vorrangig Aussagen über die technische Bereitschaft der geprüften Systeme.
| Trotz aller Vorteile ist es nicht das Ziel, herkömmliche Pentests durch Purple Teaming zu ersetzen. Je nach Situation kann es auch sinnvoll sein, dass die Teams eigenständig arbeiten und die Testumgebung so näher an der Realität liegt. Vielmehr entwickelt das Purple Teaming das traditionelle Pentesting weiter. |
|---|
Größerer Lerneffekt durch Kooperation
Die Grundidee des Purple Teamings versteckt sich bereits im Namen. Denn anders als beim klassischen Pentest wird beim Purple Teaming das Kooperationsverbot zwischen rotem und blauem Team aufgeweicht. Anstatt beide Gruppen isoliert voneinander arbeiten zu lassen, agieren beim Purple Teaming beide transparent. Macht das rote Team also den ersten Schritt und beginnt mit dem Angriff, informiert es das blaue Team dabei über die verfolgte Strategie und die eingesetzten Techniken. Das blaue Team kann nun erkennen, wie gut die eingesetzten Security-Tools funktionieren und ob die für einen solchen Fall geschaffenen Abläufe sinnvoll und effektiv geplant sind. Dabei misst es bestimmte Werte, die als Indikatoren dienen. Die gesammelten Metriken werden nun mit der Incident Response-Strategie aus der Theorie abgeglichen und ihre Effektivität in der Praxis evaluiert.
Der Vorteil dieser neugewonnen Transparenz liegt in der Genauigkeit der Auswertung. Denn natürlich wird auch beim traditionellen Pentest die Wirkungskraft der eigenen Strukturen analysiert, das ist schließlich Sinn und Zweck der gesamten Methode. Purple Teaming erreicht jedoch ein neues Level an präziser Aussagekraft. Denn anstatt nur zu überprüfen, ob ein Angriff funktioniert hat, ist direkt erkennbar, wo die Schwachstellen liegen und in welcher Phase der Attacke das System durchlässig war. Teilt das rote dem blauen Team während des Angriffs direkt mit, wo eine Sicherheitslücke liegt, spart es dem blauen Team Zeit und Energie, da das blaue Team direkt die existenten Schwachstellen beseitigen kann.
Ein weiterer Pluspunkt des Purple Teamings liegt in der Wiederholbarkeit. Denn liegen alle Angriffspläne offen, können diese gezielt wiederholt werden und die Verteidiger können im zweiten Anlauf testen, ob ihre aktualisierte Vorgehensweise die Eindringlinge stoppt. Zu guter Letzt bringt Purple Teaming einen enormen Lerneffekt mit sich. Denn das rote Team unterrichtet die Verteidiger nicht nur über eing-esetzte Strategien oder Technologien, sondern erläutert auch Schritt für Schritt, warum sie sich für genau diesen Ablauf entschieden haben. Das blaue Team lernt also auch die Angreifer kennen und ihr Mindset zu verstehen. Etwaiger Betriebsblindheit wird so effektiv entgegengewirkt.
Wie Purple Teaming gelingt
Um Purple Teaming zielführend einzusetzen, müssen einige Aspekte beachtet werden:
- Technisches Expertenwissen rund um die Methoden: Anbieter sollten sich mit den Verfahren sowohl blauer als auch roter Teams auskennen. Darunter fallen etwa die Sicherheitsüberwachung und die Reaktion auf Angriffe, die sogenannte Incident Response, beim blauen oder auch automatisierte Attacken beim roten Team. So können Anbieter final auch die richtigen Content-Einstellungen aufzeigen und andere systemspezifische Tipps geben.
- Teamführung und -management: Da beim Purple Teaming der Lernerfolg im Vordergrund steht und regelmäßig geprüft werden muss, ob sich Fortschritte zeigen, sind bei Anbietern ebenso Kompetenzen in der Führung und im Management von Teams gefragt.
- Planung: Damit die Übung gelingt, ist wie bei allen Pentesting-Methoden auch beim Purple Teaming ein präziser Plan wichtig. Ist das Team besonders gut vorbereitet, haben die Ergebnisse eine höhere Qualität und eine höhere Aussagekraft. Damit das blaue Team bei der finalen Übung eine Idee davon hat, was es erwartet, nutzen die Teams meist eine mehrstufige Cyber Kill Chain bekannter APT-Angreifer, etwa APT29 (siehe Kasten anbei).
| Das Who is Who der Hacker: Wer steckt hinter APT29? |
|---|
| Das National Cyber Security Centre (NCSC) des Vereinigten Königreichs und das Communications Security Establishment (CSE) Kanadas gehen davon aus, dass es sich bei APT29 – auch bekannt als „The Dukes“ oder „Cozy Bear“ – um eine Cyber-Spionagegruppe handelt, die mit hoher Sicherheit zu den russischen Geheimdiensten gehört. Entstanden ist die Gruppierung vermutlich im Jahr 2014, als Russland die Krim völkerrechtswidrig annektiert hat. Es kann aber sein, dass die Gruppe schon zuvor aktiv war – Kaspersky Lab beispielsweise hat festgestellt, dass die frühesten Exemplare der „MiniDuke“-Malware, die der Gruppe zugeschrieben werden, aus dem Jahr 2008 stammen. Es wird überdies vermutet, dass die Gruppierung vom Auslandsgeheimdienst (SVR) gesponsert wird. Dafür gibt es jedoch keine handfesten Beweise. Was als sicher gilt, ist die Tatsache, dass die Spionagegruppe APT29 das Ziel hat, Projekte anzugreifen, die Interessen der USA vertreten. So gehören unter anderem die Nato und deren Partner zu den Angriffszielen der russischen Spionagegruppe APT29. Diese wiederum setzt nach Angaben des Pentest-Anbieters Prosec eine Vielzahl von Instrumenten und Techniken ein, um vorwiegend Ziele in den Bereichen Regierung, Diplomatie, Think Tanks, Gesundheitsfürsorge und Energie anzugreifen, um nachrichtendienstliche Erkenntnisse zu gewinnen. Zuletzt machte APT29 Schlagzeilen, weil sie vermehrt Angriffe auf Microsoft 365-Accounts startete. Dabei nutzte die Gruppe ihre Fähigkeiten, um Lizenzen zu deaktivieren und die Multi-Faktor-Authentifizierung (MFA) anzugreifen. Die Gruppe hat sich vor allem auf Unternehmen spezialisiert. Private NutzerInnen sind also selten betroffen. Zielobjekte sind Unternehmensdaten, die später weiterverwendet oder manipuliert werden können. (DK) |
Gemeinsam zum Erfolg
Wie sich zeigt, ist es für den Erfolg von Purple Teaming evident, dass beide Teams eng und vollkommen transparent zusammenarbeiten. Dazu gehört zum einen, dass das rote Team offenlegt, wie es warum und mit welchen Verfahren vorgeht. Auf diese Weise lernt das blaue Team die Angreifer und ihre Verhaltensmuster besser kennen. Gleichzeitig sollte das blaue Team direkt vermitteln, welche Fehler es gemacht hat und wo es sein Verhalten noch verbessern kann. Arbeiten die Teams so Hand in Hand, wirkt die Übung nachhaltig und hilft, die Sicherheit zu erhöhen.
Trotz aller Vorteile ist es aber nicht das Ziel, herkömmliche Pentests durch Purple Teaming zu ersetzen. Je nach Situation kann es auch sinnvoll sein, dass die Teams eigenständig arbeiten und die Testumgebung so näher an der Realität liegt. Vielmehr entwickelt das Purple Teaming das traditionelle Pentesting weiter. Vorteilhaft ist beim Purple Teaming auch der Einsatz eines SOC-Anbieters: Dieser hat zusätzlich die Möglichkeit, den Test in eine umfassendere Strategie einzubinden. Mit einer hohen Expertise im Bereich Cybersecurity sowie aktuellen Tools und Methoden kann der SOC-Anbieter das Vorgehen genau auf das jeweilige Unternehmen abstimmen und so das volle Potenzial des Purple Teamings nutzbar zu machen.
Gergely Lesku, Head of International Operations, Socwise
