Was Purple Teaming mit «Räuber und Gendarmen» gemein hat

«Hände hoch! Du bist verhaftet!» ‒ so oder ähnlich tönte es jeweils, wenn wir früher mit unseren Fahrrädern und Funkgeräten bewaffnet durch das Dorf flitzten und unser Lieblingsspiel spielten: Räuber und Gendarmen. Waren mal alle Räuber dingfest gemacht (oder so gut versteckt, dass sie nicht gefunden wurden), wurden die Teams gewechselt. Die neuen Gendarmen erhielten die Funkgeräte und die Räuber versteckten sich mit einem Vorsprung von 2 Minuten. Das ging so lange hin und her, bis wir nach Hause mussten.

Was meine Kindheitserinnerungen über «Räuber und Gendarmen» mit Purple Teaming zu tun hat?
Ganz einfach: Die Vorgehensweise der beiden ist verblüffend ähnlich. War man nämlich mal Räuber, kennt man später als Polizist die besten Verstecke. Und wer oft genug Polizist war weiss, wie sich diese organisiert und wo nachgeschaut wird (und wo eben nicht). Genauso sollte es beim Purple Teaming auch sein.

Das klassische Red und Blue Teaming

Aber beginnen wir ganz von vorne mit den Räubern – unserem Red Team. Das Red Team simuliert einen (externen oder internen) Angreifer im Unternehmensnetzwerk und prüft dadurch das Sicherheitsdispositiv einer Firma. Das Verhalten und die Vorgehensweise sind dabei gleich wie bei einem «richtigen» Hacker. So werden Schwachstellen oder gar Lücken entdeckt. Im Anschluss gibt das Red Team konkrete Handlungsempfehlungen ab, um diese zu schliessen.

Die Rolle der Gendarmen übernimmt das Blue Team. Ihre Aufgabe ist es, Angriffe proaktiv zu erkennen. Dazu werden Systeme live mit einem SIEM (Security Information and Event Management) überwacht, Log Files in Echtzeit ausgewertet und aktives Threat Hunting betrieben. Das Team versucht also, einen Angreifer (möglichst) auf frischer Tat zu ertappen. Dafür suchen sie im Netzwerk nach Spuren, welche auf einen laufenden oder vergangenen Angriff hindeuten. Das Blue Team ist also stets auf Patrouille.

Zusätzlich stellt das Blue Team auch proaktiv Fallen auf, um Angriffe aufzudecken. Mit sogenannten Honey Tokens werden zum Beispiel im Netzwerk und auf Shares Köder ausgelegt. Sobald ein Fisch (Angreifer) anbeisst, wird Alarm ausgelöst. Beim «Spiel» zwischen dem Red und Blue Team geht es nun darum, dass beide gleichzeitig agieren. Die Teams müssen auch nicht aus demselben Unternehmen stammen. So kann das InfoGuard Red Team auch gegen das Blue Team eines Kunden antreten. Oder die InfoGuard-Teams agieren gemeinsam im Netzwerk eines Kunden.

Auch beim Spielen lauern Gefahren

Aber was wäre ein Spiel ohne versteckte Fallen?! Auch beim klassischen Blue/Red Teaming lauern Gefahren und Probleme. Denn in erster Linie wird überprüft, wie gut das Blue Team auf Angriffe reagiert resp. wie gut sich das Red Team verstecken kann. Das kann zwar amüsant sein und oft auch aufschlussreiche Erkenntnisse liefern («Wie gut ist mein SOC wirklich? Haben wir die nötigen Kompetenzen?»). Die Sicherheit wird dadurch alleine jedoch nicht erhöht. Beim klassischen Red/Blue-Teaming ergeben sich deshalb oftmals folgende Probleme:

• Fehlende Kommunikation: Das Red Team teilt nicht alle Informationen über die Angriffe mit dem Blue Team. Man will ja schliesslich besser dastehen als das andere Team und so werden Informationen bewusst oder unbewusst verschwiegen.
• Selbstschutz: Falls das Blue Team vom Auftraggeber gestellt wird, wird es sich hüten, das Red Team auf die bekannten und bestehenden Sicherheitsrisiken aufmerksam zu machen.
• Organisationsprobleme: Es kann unter Umständen schwierig sein, den Informationsaustausch zu organisieren. Die Teams arbeiten meist zeitlich und örtlich verschieden und in einem anderen Tempo.

Das alles kommt Ihnen sicherlich gar nicht so unbekannt vor, wenn Sie wieder an unser «Räuber und Gendarmen»-Spiel denken, oder? Schliesslich hätten wir niemals die Verstecke der anderen Räuber den Polizisten verraten. Und erst recht nicht den Räubern das Funkgerät überlassen… 

Kommunikation ist der Schlüssel zum Erfolg

Im Grundsatz geht also darum, das Problem «Kommunikation» in den Griff zu bekommen. Dazu ist es nötig, dass die Mitglieder beider Teams eng zusammenarbeiten. Dies geschieht durch die Arbeit in den selben Räumlichkeiten und durch regelmässige Meetups, wo die detektierten Angriffe mit den tatsächlich gefahrenen Angriffen abgeglichen werden. Zudem werden die nächsten Schritte gemeinsam geplant und zeitlich definiert. Somit weiss das Blue Team, auf was es besonders achten muss. Umgekehrt kann das Blue Team das Red Team mit interessanten Informationen beliefern, beispielsweise Netzwerkpläne, Informationen zu Patchlevels etc. Durch diese stetige Kalibrierung wird der Fokus auf das Wesentliche gelegt – nämlich die Sicherheit zu erhöhen. 

Purple Teaming – wenn Räuber und Gendarmen zusammenarbeiten

Beim «Purple Teaming» arbeiten das Red- und das Blue Team, wie bereits beschrieben, sehr nah und eng zusammen. Dabei werden die Angriffsschritte zusammen (!) mit dem Kunden definiert und geplant. 

Die Vorteile eines Purple Teams

Kommunikation und Koordination schön und gut. Aber wie kann die Cyber Security dank Purple Teaming wirklich verbessert werden? So!

• Die Teams arbeiten gemeinsam an einem Ziel – die Optimierung Ihrer Sicherheit.
  Blinde Flecken (so genannte Blind Spots) in Ihrem Sicherheitsdispositiv werden durch den Abgleich von Attacken und Detektionen gezielt aufgedeckt.
• Das Red Team wird nicht durch Sackgassen aufgehalten (so genannten Rabbit Holes). Falls das Red Team mal nicht weiterkommt, kann das Blue Team Informationen liefern. Zudem besteht die Möglichkeit, ein System als kompromittiert anzuschauen und von dort aus weiterzumachen.
• Das Red Team erhält sehr viel mehr Informationen als bisher über Netzwerk- / Firmeninternas. Das macht das Red Team zu einem Angreifer mit echten Superkräften.
• Das Blue Team kann durch den Austausch mit dem Red Team ihre Detektionsmechanismen verfeinern und so «False Positives» ausmerzen.
• Gleichzeitig wird der Incident Response-Plan optimiert, um Angriffe noch schneller zu isolieren und geeignete Gegenmassnahmen einzuleiten.
• Der Auftraggeber wird durch die regelmässigen Austauschmeetings mit dem Purple Team auf dem Laufenden gehalten und kann steuernd eingreifen.

Beim Purple Teaming geht es darum, dass sowohl Verteidiger als auch Angreifer in Ihrem Netzwerk unterwegs sind – und über den gleichen Wissensstand verfügen. Dabei ist das Purple Team mit Werkzeugen ausgestattet, um nicht nur Lücken im Sicherheitsdispositiv, sondern auch im Monitoring und Alerting zu finden. Die Blind Spots werden damit bewusst eliminiert und Ihr Sicherheitsdispositiv wird gezielt verbessert.

Nun bleibt nur noch eine Frage: Trauen Sie sich, unsere Räuber und Gendarmen in Ihrem Netzwerk «spielen» zu lassen? Unser Purple Team freuen sich immer über neue Herausforderungen.