InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
«Hände hoch! Du bist verhaftet!» ‒ so oder ähnlich tönte es jeweils, wenn wir früher mit unseren Fahrrädern und Funkgeräten bewaffnet durch das Dorf flitzten und unser Lieblingsspiel spielten: Räuber und Gendarmen. Waren mal alle Räuber dingfest gemacht (oder so gut versteckt, dass sie nicht gefunden wurden), wurden die Teams gewechselt. Die neuen Gendarmen erhielten die Funkgeräte und die Räuber versteckten sich mit einem Vorsprung von 2 Minuten. Das ging so lange hin und her, bis wir nach Hause mussten.
Was meine Kindheitserinnerungen über «Räuber und Gendarmen» mit Purple Teaming zu tun hat?
Ganz einfach: Die Vorgehensweise der beiden ist verblüffend ähnlich. War man nämlich mal Räuber, kennt man später als Polizist die besten Verstecke. Und wer oft genug Polizist war weiss, wie sich diese organisiert und wo nachgeschaut wird (und wo eben nicht). Genauso sollte es beim Purple Teaming auch sein.
Das klassische Red und Blue Teaming
Aber beginnen wir ganz von vorne mit den Räubern – unserem Red Team. Das Red Team simuliert einen (externen oder internen) Angreifer im Unternehmensnetzwerk und prüft dadurch das Sicherheitsdispositiv einer Firma. Das Verhalten und die Vorgehensweise sind dabei gleich wie bei einem «richtigen» Hacker. So werden Schwachstellen oder gar Lücken entdeckt. Im Anschluss gibt das Red Team konkrete Handlungsempfehlungen ab, um diese zu schliessen.
Die Rolle der Gendarmen übernimmt das Blue Team. Ihre Aufgabe ist es, Angriffe proaktiv zu erkennen. Dazu werden Systeme live mit einem SIEM (Security Information and Event Management) überwacht, Log Files in Echtzeit ausgewertet und aktives Threat Hunting betrieben. Das Team versucht also, einen Angreifer (möglichst) auf frischer Tat zu ertappen. Dafür suchen sie im Netzwerk nach Spuren, welche auf einen laufenden oder vergangenen Angriff hindeuten. Das Blue Team ist also stets auf Patrouille.
Zusätzlich stellt das Blue Team auch proaktiv Fallen auf, um Angriffe aufzudecken. Mit sogenannten Honey Tokens werden zum Beispiel im Netzwerk und auf Shares Köder ausgelegt. Sobald ein Fisch (Angreifer) anbeisst, wird Alarm ausgelöst. Beim «Spiel» zwischen dem Red und Blue Team geht es nun darum, dass beide gleichzeitig agieren. Die Teams müssen auch nicht aus demselben Unternehmen stammen. So kann das InfoGuard Red Team auch gegen das Blue Team eines Kunden antreten. Oder die InfoGuard-Teams agieren gemeinsam im Netzwerk eines Kunden.
Aber was wäre ein Spiel ohne versteckte Fallen?! Auch beim klassischen Blue/Red Teaming lauern Gefahren und Probleme. Denn in erster Linie wird überprüft, wie gut das Blue Team auf Angriffe reagiert resp. wie gut sich das Red Team verstecken kann. Das kann zwar amüsant sein und oft auch aufschlussreiche Erkenntnisse liefern («Wie gut ist mein SOC wirklich? Haben wir die nötigen Kompetenzen?»). Die Sicherheit wird dadurch alleine jedoch nicht erhöht. Beim klassischen Red/Blue-Teaming ergeben sich deshalb oftmals folgende Probleme:
Das alles kommt Ihnen sicherlich gar nicht so unbekannt vor, wenn Sie wieder an unser «Räuber und Gendarmen»-Spiel denken, oder? Schliesslich hätten wir niemals die Verstecke der anderen Räuber den Polizisten verraten. Und erst recht nicht den Räubern das Funkgerät überlassen…
Im Grundsatz geht also darum, das Problem «Kommunikation» in den Griff zu bekommen. Dazu ist es nötig, dass die Mitglieder beider Teams eng zusammenarbeiten. Dies geschieht durch die Arbeit in den selben Räumlichkeiten und durch regelmässige Meetups, wo die detektierten Angriffe mit den tatsächlich gefahrenen Angriffen abgeglichen werden. Zudem werden die nächsten Schritte gemeinsam geplant und zeitlich definiert. Somit weiss das Blue Team, auf was es besonders achten muss. Umgekehrt kann das Blue Team das Red Team mit interessanten Informationen beliefern, beispielsweise Netzwerkpläne, Informationen zu Patchlevels etc. Durch diese stetige Kalibrierung wird der Fokus auf das Wesentliche gelegt – nämlich die Sicherheit zu erhöhen.
Beim «Purple Teaming» arbeiten das Red- und das Blue Team, wie bereits beschrieben, sehr nah und eng zusammen. Dabei werden die Angriffsschritte zusammen (!) mit dem Kunden definiert und geplant.
Kommunikation und Koordination schön und gut. Aber wie kann die Cyber Security dank Purple Teaming wirklich verbessert werden? So!
Beim Purple Teaming geht es darum, dass sowohl Verteidiger als auch Angreifer in Ihrem Netzwerk unterwegs sind – und über den gleichen Wissensstand verfügen. Dabei ist das Purple Team mit Werkzeugen ausgestattet, um nicht nur Lücken im Sicherheitsdispositiv, sondern auch im Monitoring und Alerting zu finden. Die Blind Spots werden damit bewusst eliminiert und Ihr Sicherheitsdispositiv wird gezielt verbessert.
Nun bleibt nur noch eine Frage: Trauen Sie sich, unsere Räuber und Gendarmen in Ihrem Netzwerk «spielen» zu lassen? Unser Purple Team freuen sich immer über neue Herausforderungen.