White Box Red Teaming

Was ist White Box Red Teaming?

Um den Ansatz von White Box Red Teaming zu verstehen, vorab die wichtigsten Unterschiede zwischen einem „klassischen“ Penetrationstest und Red Teaming.

Bei einem Penetrationstest wird ein Angreiferszenario definiert, das meist von der geprüften Organisation vorgegeben wird. Ein Angreiferszenario besteht mindestens aus:

  • Angriffsziel (z. B. der neue Webshop)
  • Methodik (z. B. Prüfung des Anwendungsservers über einen Schwachstellenscan oder Prüfung des Webshops durch eine Anwendungsprüfung)
  • Berechtigungsszenario (z. B. Kunde des Shops, aber nicht Administrator)

Beim Red Teaming wird ein inhaltliches Ziel definiert, z. B. die Kontrolle über ein Steuerungssystem zu übernehmen. Das Red Team kommt üblicherweise als Angreifer von außen und ist in der Wahl seiner Angriffsziele und Methodik frei. Das Ziel ist dabei herauszufinden, ob das Blue Team, also die Abwehr, die Angriffe erkennt und abwehren kann. Da die Angriffe unangekündigt und über einen langen Zeitraum stattfinden, muss das Blue Team rund um die Uhr aktiv sein.

Red Teaming hat daher – im Gegensatz zu Penetrationstests – den großen Charme, eine Organisation als Ganzes zu betrachten und nicht isoliert einzelne Systeme, Netze oder Anwendungen.

Ein reales Red Teaming birgt aber auch prinzipbedingt den Nachteil nicht kalkulierbarer Risiken. So können aufgrund im Szenario notwendigerweise fehlender Kenntnisse über die Kritikalität eines Zielsystems unternehmensrelevante Prozesse gestört werden. Darüber hinaus sind die Aufwände und damit die Kosten sehr hoch.

Was ist denn jetzt White Box Red Teaming?

Der Ansatz des White Box Red Teamings nutzt die Offenheit des Red Teaming-Ansatzes, ohne Risiken oder extreme Kosten zu verursachen. Ebenso ist ein Blue Team nicht zwingend notwendig. Der Ablauf wird in Folge vereinfacht dargestellt:

  • Definition des „Heiligen Grals“: Die Zielorganisation gibt die inhaltliche Vorgabe, was erreicht werden soll, z. B. Kontrolle eines Steuersystems in der Produktion.
  • Recherchephase (Open Source Intelligence, OSINT): In diesem optionalen Schritt wird vorab die Organisation aufgeklärt. Ziel ist es, möglichst viel über potentielle Angriffsoberflächen zu recherchieren und die Ergebnisse mit dem internen Kenntnisstand in Einklang zu bringen. So gibt es z. B. immer wieder Testserver oder Marketingaktionen die unbekannterweise oder aus Versehen noch aktiv sind.
  • White Box Red Teaming Workshop: Der Workshop findet mit einem vergleichsweise großen Teilnehmerkreis der Zielorganisation statt. Dabei sind alle relevanten technischen Ansprechpartner, wie Netzwerkadministratoren, Server- und Clientadministratoren, aber ggf. auch weitere Experten wie SAP-Spezialisten, vertreten. Im Workshop werden gemeinsam Angriffszenarien, die durch das externe Red Team entworfen werden, besprochen und dokumentiert.
  • Nächste Schritte: Meist ergeben sich aus dem White Box Red Teaming ausreichend viele Optimierungsschritte, so dass zunächst ein Maßnahmenkatalog durch die Zielorganisation definiert und umgesetzt wird. In einigen Fällen werden auch Angriffsmöglichkeiten abgeleitet, bei denen eine reale Durchführung als Erkenntnisgewinn bringend angesehen wird.

Fragen?

Haben Sie Fragen zu Penetrationstests, Red Teaming oder White Box Red Teaming? Rufen Sie uns unter 07032/9758-0 an oder schreiben Sie uns.