Pentesting

Purple Teaming – Pentesting im neuen Gewand

, SOCWISE | Autor: Gergely Lesku

Purple Teaming – Pentesting im neuen Gewand

Von Gergely Lesku, CEO, SOCWISE International GmbH

Viele Security-Teams setzen bereits seit geraumer Zeit auf Pentesting, um ihren Schutz gegen Cyberangriffe nah an der Realität zu überprüfen.

Gergely Lesku, CEO, SOCWISE International GmbH

Für den Pentest bezeichnend war meist, dass rote (Angriff) und blaue (Verteidigung) Teams unabhängig voneinander agierten. Beim Purple Teaming hingegen arbeiten die Teams weniger isoliert, sondern machen ihre Schritte transparent und handeln zusammen. Eine Einführung, wie das Purple Teaming den Pentest transformiert.

Beim Management der internen Sicherheit gilt es in Unternehmen zahlreiche Methoden und Aspekte zu überblicken. Ein beliebter Ansatz, um die eigene Security-Infrastruktur genau zu prüfen, ist das Pentesting. Solche Tests sind sinnvoll, da auch erprobte Security-Strategien Schwachpunkte aufweisen können, die es zu entlarven gilt – und das am besten im Praxistest. Pentests sind dafür zwar gut geeignet, doch Raum für Optimierung gibt es immer: Mit der Purple Teaming-Methode können Unternehmen den klassischen Pentest auf die nächste Stufe heben.

Unabhängige Teams beim Pentesting

Das Schema klassischer Pentests hat sich bewährt: Ein in der Praxis wahrscheinliches Szenario eines Cyberangriffs wird kontrolliert eingeleitet, die IT-Security reagiert darauf und im Anschluss lässt sich resümieren, wie effektiv bestehende Security-Maßnahmen sind und ob das Team schnell genug reagieren konnte. Den Angriff führen einige Ethical Hacker mit dem Ziel durch, bestehende Security-Maßnahmen zu überlisten, die das verteidigende Team einsetzt. Die Red Teams simulieren dabei die Angreifenden, während die Blue Teams für die Verteidigung zuständig sind. Unterschiede zwischen den Pentests bestehen vor allem darin, in welcher Weise das Red Team die Sicherheitsstrukturen angreift oder inwieweit es diese vorab kennt. Dabei differenziert man zwischen dem Blackbox- oder dem transparenteren Whitebox-Modell. Meist gleich ist jedoch, dass die beiden Teams ohne Wissen über das Vorgehen des jeweils anderen Teams arbeiten. So soll gewährleistet werden, dass der Test die Realität möglichst genau abbildet. Dadurch lassen klassische Pentests vor allem Rückschlüsse darüber zu, wie leistungsfähig die geprüften IT-Systeme sind.

Mehr Präzision durch Transparenz

Der Name der Purple Teaming-Methode deutet bereits an, dass, anders als beim herkömmlichen Pentesting, das rote und blaue Team enger zusammenarbeiten. Sie machen dabei transparent, wie sie vorgehen, und agieren nicht mehr separiert voneinander. Beim Angriff durch das rote Team erhält das blaue Team etwa eine Benachrichtigung, was genau das rote Team plant und welche Tools es einsetzt. Darauf basierend kann das blaue Team eigene Abläufe evaluieren und checken, ob die bestehenden Tools für die IT-Sicherheit ihren Zweck erfüllen. Zuletzt gleicht das blaue Team die gesammelten Daten mit dem theoretischen Ansatz für die Incident Response ab und betrachtet, wie gut die Theorie den Praxistest bestanden hat.

Gemeinsam mehr lernen

Was bringt diese zusätzliche Transparenz aber nun? Auch beim regulären Pentesting zieht das blaue Team Schlüsse, wie gut die etablierten Systeme funktioniert haben. Beim Purple Teaming ist diese Auswertung jedoch wesentlich präziser. Die Teams können nicht nur sehen, ob der Angriff erfolgreich war oder nicht, sondern auch, in welcher Angriffsphase bzw. an welcher Stelle im verteidigenden System Probleme aufgetreten sind. Außerdem gibt es eine deutliche Zeitersparnis, wenn das rote Team das blaue noch während des Tests direkt auf vorhandene Sicherheitslücken hinweist. Im Vergleich zum Pentesting besteht beim Purple Teaming weiterhin der Vorteil, dass die Teams einmal durchgeführte Tests wiederholen können. Hat das blaue Team Verbesserungen implementiert, kann das rote Team diese mit demselben Angriffsszenario auf die Probe stellen. In Kombination sorgen all diese Aspekte dafür, dass der Lerneffekt beim Purple Teaming deutlich erhöht ist. Das angreifende Team teilt den Verteidigenden nämlich nicht nur mit, welche Strategien und Tools es einsetzt, sondern auch, warum sie jeden einzelnen Schritt gehen. Dadurch kann sich das blaue Team besser in die Angreifenden hineinversetzen und erhält einen besseren Überblick über den gesamten Prozess.

Abbildung 1: Erkennung von Angriffsversuchen nach Angriffsphasen von MITRE ATT&CK eingeteilt (Quelle: SOCWISE International GmbH)

Purple Teaming zielführend einsetzen

Damit Purple Teaming gelingt, sollten folgende Kompetenzen vereint werden:

  • Technisches Know-how über die Aktionsweise beider Teams. Dazu gehören beim blauen Team z. B. das Überwachen der internen Sicherheit und wie es auf Angriffe reagiert. Beim roten Team geht es etwa um automatisch durchgeführte Angriffe. Dieses Wissen hilft Anbietenden dabei, ihren Kunden die richtigen Einstellungen darzulegen und sie weiterführend zu beraten.
  • Teams führen und managen: Führungs- und Management-Skills sind nötig, damit der Lernerfolg, der beim Purple Teaming im Fokus steht, gewährleistet werden kann. Zudem sollte kontinuierlich überprüft werden, ob Fortschritte zu verzeichnen sind.
  • Einen Plan entwickeln: Wie bei jedem Pentest ist auch beim Purple Teaming eine gute Planung unerlässlich, damit die Ergebnisse qualitativ hochwertig sind und präzisere Implikationen zulassen. Um das blaue Team besser auf die Übung vorzubereiten, orientieren sich viele Anbietende an mehrstufigen Kill-Chains bekannter APT-Angreifer.

Mit Transparenz zum starken Purple Team

Damit die Methode erfolgreich sein kann, müssen beim Purple Teaming beide Teams uneingeschränkt und transparent zusammenarbeiten. Die Purple Teaming-Methode soll klassische Pentests nicht ersetzen, da es in bestimmten Situationen auch sinnvoll sein kann, in getrennten Teams zu arbeiten. So entsteht etwa eine Umgebung, die dem realen Szenario näher ist. Beim Purple Teaming handelt es sich vielmehr um eine Weiterentwicklung des klassischen Pentests. Dabei kann es sinnvoll sein, externe Anbietende zu Rate zu ziehen. Diese vereinen die nötigen Kompetenzen für einen erfolgreichen Einsatz der Methode und kennen sich mit zeitgemäßen Methoden und Tools aus. Mit ihrer Expertise im Cybersicherheits-Bereich ist es SOC-Dienstleistenden möglich, eine passgenaue Lösung für das jeweilige Unternehmen zu finden und umzusetzen. So lässt sich das Potenzial von Purple Teaming bestmöglich ausschöpfen.