070: Red Teaming, Pentesting, Blue Teaming

00:00:00: Hallo und willkommen zurück bei Blue Screen Wissen. Ich bin Alex,

00:00:03: ihr kennt mich ja schon aus den vorherigen Folgen und wir wollen uns heute einfach

00:00:07: mal über zwei Begriffe unterhalten, die uns immer wieder mal vielleicht im Security-Alltag vorkommen.

00:00:12: Heute geht es nämlich einmal um das Thema Pen-Testing, also Penetration-Testing

00:00:17: und um das Thema Red-Teaming.

00:00:24: Blue Screen, der Tech-Podcast. Neues Intro, neue Brille, ihr seht schon.

00:00:30: Ja, alles neu macht der Frühling, noch nicht der ganze Mai, aber der Frühling auf jeden Fall.

00:00:36: Und wir haben auch ein bisschen was hier bei uns im Studio geändert.

00:00:39: Ich habe ein bisschen Akustikpaneele installiert. Vielleicht hört man es ja

00:00:42: dann auch in der Aufnahme.

00:00:45: Ja, Red Teaming und Pentesting. Das sind zwei Begriffe, die uns immer wieder

00:00:50: mal über den Weg laufen, wenn wir uns mit dem Thema IT Security beschäftigen.

00:00:53: Und da sollten wir auf jeden Fall mal ein bisschen für Klarheit sorgen.

00:00:58: Was bedeutet das eine und was bedeutet das andere?

00:01:01: Um euch nicht lange auf die Folter zu spannen, wir beginnen erstmal mit dem Begriff Pentesting.

00:01:06: Wie vorhin schon gesagt, Pentesting, als Abkürzung für Penetration Testing.

00:01:11: Ist eine Technik, eine Methode, um Schwachstellen aufzufinden.

00:01:16: Wir hatten das ja in den letzten Folgen schon, zum Beispiel mit Ping Castle,

00:01:19: Active Directory Assessments oder auch Open Source Intelligence oder eben auch

00:01:25: mit anderen Werkzeugen wie mit Greenbone.

00:01:27: Damit bin ich in der Lage, Schwachstellen aufzuzeigen, aufzudecken,

00:01:31: um sie dann entsprechend halt zu übergeben.

00:01:34: Ja, und damit ist das Thema eigentlich, was Pentesting angeht, schon fast erledigt.

00:01:39: Ich sammle sozusagen Infos, übergebe sie an den jeweiligen Zuständigen,

00:01:44: den Product Owner oder wer auch immer halt dafür zuständig ist oder den Dienstleister,

00:01:48: damit diese Schwachstellen dann geschlossen werden und dann sollte man das Ganze

00:01:52: natürlich in einem Zyklus immer wieder mal durchführen, um zu gucken,

00:01:56: ob denn jetzt nicht vielleicht durch bekannt gewordene neue Schwachstellen eben

00:02:00: neue Schwächen in der Infrastruktur oder dem System dazugekommen sind. So weit, so gut.

00:02:06: Pentesting ist tatsächlich gerade im Bereich des Hackings, der Leute,

00:02:11: die halt das auch für Geld tun oder eben auch für Sicherheitsdienstleister wie

00:02:15: uns, eine sehr gute Methode, um Schwachstellen aufzudecken.

00:02:19: Es gibt auch Pentester, die machen zum Beispiel Application Pentesting.

00:02:23: Die probieren dann halt viele verschiedene Sachen an einer einzelnen Applikation aus.

00:02:28: Aber was mich als Kunde immer so ein bisschen daran stört, man haltet einfach

00:02:32: Scheuklappen auf. Also man guckt nicht links, man guckt nicht rechts und man

00:02:36: probiert bei einem Pentest üblicherweise auch jetzt nicht.

00:02:39: In der Tiefe, was könnte man denn da sonst noch so schaffen?

00:02:43: Und hier kommt eben das Thema Red Teaming zum Einsatz.

00:02:48: Der Pentester guckt, ob es Schwächen gibt. Der Red Teamer versucht,

00:02:51: Schwächen zu finden und sogar dann auch auszunutzen.

00:02:53: Und das kann jetzt mit verschiedensten Werkzeugen sein.

00:02:56: Also meinetwegen, ich beauftrage ein Unternehmen für ein Red Teaming.

00:03:00: Dann kann der jeweilige Beauftragte versuchen,

00:03:04: nachdem man hier auch natürlich sinnvollerweise, wir sind in Deutschland,

00:03:07: ein Vertrag abgeschlossen hat dazu, damit die Person das auch darf oder das

00:03:10: Unternehmen, kann er dann versuchen,

00:03:12: Schwachstellen zu finden und wirklich auch mit Exploits, zum Beispiel Software-Schwächen,

00:03:18: auszunutzen, zu überwinden,

00:03:20: um dann ins nächste System reinzukommen, um das System zu infiltrieren,

00:03:25: dort vielleicht weitere Schwachstellen aufzudecken.

00:03:28: Aber damit ist es noch nicht genug.

00:03:30: Zum Thema Red Teaming gehört eben auch die Komponente Mensch dazu.

00:03:34: Dazu, wenn man das möchte, kann so ein Red Teaming auch zum Beispiel Social

00:03:37: Engineering-Angriffe beinhalten. Auch darüber hatten wir schon gesprochen.

00:03:41: Heißt, wenn der Auftraggeber das möchte, dann kann man beispielsweise auch versuchen,

00:03:46: sich wirklich mal in ein Unternehmen hinein zu begeben als Angreifer,

00:03:50: dort weitere sensible Informationen zu finden,

00:03:54: zu erfragen, dadurch, dass man vielleicht Leute überredet.

00:03:58: Es kann aber auch ganz klassisch mit einer Phishing-E-Mail anfangen,

00:04:01: um mal zu gucken, klickt da irgendjemand drauf.

00:04:04: Wenn da jemand draufklickt, dann schaut man mal, wie weit man kommt.

00:04:08: Vielleicht kriegt man es auch hin, dass man tatsächlich einen Reverse-Tunnel

00:04:11: hinbekommt, um einen Fuß ins Unternehmen reinzubekommen.

00:04:15: Sprich, der Red-Teaming-Angriff verhält sich so, wie sich auch ein echter Angreifer

00:04:20: verhalten würde, nur dass das Red-Teaming eben nichts kaputt macht.

00:04:24: Dann ist es halt auch so, wenn man eine gewisse Zeit lang vereinbart mit dem

00:04:29: Unternehmen, was das Red Teaming durchführt, dann sollte man auch irgendwo in

00:04:34: der Mitte dieses Zeitraumes mal besprechen,

00:04:36: was passiert denn, wenn wir es gar nicht reingeschafft haben.

00:04:39: Also weder technische Maßnahmen noch Software noch Exploitation von irgendwelchen

00:04:44: Schwachstellen und Überreden von Mitarbeitern hat alles nicht funktioniert.

00:04:48: Jetzt haben wir einen Punkt erreicht, wo wir eigentlich sagen würden,

00:04:51: okay, jetzt wir schaffen hier nichts weiter, Thema erledigt.

00:04:54: Dann kann man mit dem Kunden auch

00:04:57: vereinbaren, dass man eine sogenannte Assume-Breach-Situation schafft.

00:05:00: Heißt, wenn wir zum Beispiel mal von 14 Tagen ausgehen, nach sieben Tagen meldet

00:05:05: man sich und sagt, okay, wir haben es nicht geschafft, das Unternehmen zu infiltrieren.

00:05:09: Wir gehen jetzt davon aus, dass wir es geschafft hätten, um dann natürlich auch

00:05:14: den anderen Weg oder die andere Hälfte der ganzen Angriffsaktion mal zu sehen

00:05:19: und zu sehen, was wäre denn da sonst noch im Unternehmen möglich.

00:05:22: Weil nur, weil wir es heute nicht schaffen, als Pentester oder als Red Teaming

00:05:27: Unternehmen, heißt nicht, dass es nicht vielleicht jemand anderes schon schaffen

00:05:30: könnte oder in einem halben Jahr dann schafft.

00:05:33: Sprich, dann geht man her, man macht den Assurance Breach Ansatz,

00:05:36: man gibt dem Red Teaming Unternehmen in irgendeiner Form Zugriff dann auf die

00:05:41: internen Systeme durch ein VPN zum Beispiel.

00:05:43: Oder mit einem Rechner, der im Unternehmen steht. Und dann kann von hier aus

00:05:47: halt weiter getestet werden.

00:05:49: Dann eben auch mit Maßnahmen und Methoden, wie sie eben auch bei Pink Castle abgeprüft werden.

00:05:54: Hier wird dann zum Beispiel das Active Directory angegriffen mit einem Bloodhound

00:05:58: und ähnlichen Werkzeugen, um mal zu schauen, wie gut es denn die interne Infrastruktur aufgestellt,

00:06:04: wenn man es schon nicht durch die externe Firewall, durch die Barrieren,

00:06:08: die dort geschaffen wurden, auch die menschlichen Barrieren durchgeschafft hat.

00:06:11: Finde ich persönlich natürlich auch eine ganz, ganz wichtige Geschichte,

00:06:14: weil natürlich das auch ein Thema sein kann.

00:06:18: Und ich muss immer wissen, wie weit könnte ein Angreifer denn wirklich gehen.

00:06:22: Also ich kann mich jetzt nicht darauf ausruhen, dass mir irgendein Sicherheitsdienstleister

00:06:26: sagt, nö, nö, von außen ist alles schick, das passt schon, dann wird schon nichts passieren.

00:06:30: Das ist meiner Meinung nach eine falsche Hoffnung, die man da reinsetzt und

00:06:34: deswegen macht es durchaus schon eine Menge Sinn, wenn man sich dann eben auch

00:06:38: auf der internen Seite mit den Systemen mal beschäftigt und guckt,

00:06:41: was da so los ist. Also auch das gehört dazu.

00:06:45: Einen dritten Begriff, den wir eigentlich noch ansprechen müssen,

00:06:48: wenn wir schon über Red Teaming sprechen und auch über Pentesting, wäre das Blue Teaming.

00:06:53: Das wäre dann die Verteidigerseite. Und jetzt vielleicht frägt sich der eine

00:06:58: oder andere, hä, rot, blau, wo kommt das alles her?

00:07:01: Das sind halt Begriffe aus dem Militär. Man geht normalerweise her,

00:07:05: wenn man eine Übung macht, ja, eine Wehrübung oder eine Simulation in Gefechtssituationen,

00:07:10: dass man sagt, man hat jetzt ein Team blau und ein Team rot.

00:07:13: Die einen sind die Angreifer, die anderen sind die Verteidiger und genauso ist

00:07:17: es auch hier. Sprich, Team blue zerstört.

00:07:19: Sind die Verteidiger? Und auch sowas gibt es, dass man hier gegen echte Maßnahmen,

00:07:26: echte Angriffe mal schaut.

00:07:28: Wie gut ist denn mein internes Team? Wie gut ist denn mein Sicherheitsdienstleister?

00:07:32: Wenn man das Ganze noch dazu unangekündigt macht, dass Team Blue sozusagen gar

00:07:36: nicht informiert, dass jetzt da was geplant ist und was kommen wird,

00:07:39: umso echter, umso besser, umso realistischer.

00:07:42: Großer Vorteil, wir können halt eine Übung absolvieren, ohne dass danach wirklich

00:07:48: Schaden für das Unternehmen entsteht.

00:07:50: Maximal wird halt irgendwo Informationen abgezogen, die zeigt dann der Angreifer

00:07:55: nachher auch dem Auftraggeber, guck mal, das haben wir sehen können,

00:07:58: das haben wir euch theoretisch klauen können.

00:08:00: Oder man hinterlegt auf irgendeinem System eine Datei, wo man eigentlich als

00:08:05: Angreifer gar nicht hinkommen sollte, um zu beweisen, dass man wirklich da gewesen sind.

00:08:08: Das sind alles ganz gute Beispiele und so kann das Blue Team einfach auch mal

00:08:12: gucken, wie gut funktionieren denn die Maßnahmen?

00:08:15: Bekomme ich das überhaupt mit, dass dort ein Angreifer in meinem System ist?

00:08:18: Bekomme ich mit, dass hier Dinge passieren können und kriege ich das auch mit

00:08:23: in Form von CM-Tools, Frühwarnsystemen und so weiter und so fort.

00:08:27: Also das ist definitiv eine ganz, ganz tolle Maßnahme und Möglichkeit,

00:08:31: um einfach die eigene Sicherheit mal auf den Prüfstand zu stellen.

00:08:35: Grundsätzlich bin ich allerdings mit einem Aber unterwegs bei dieser ganzen

00:08:39: Geschichte, denn das ist nichts, was man jetzt einfach so tun sollte.

00:08:43: Also Red Teaming, ich habe vorhin schon gesagt, sieben Tage,

00:08:46: 14 Tage, sowas kann halt eine gewisse Zeit lang dauern und man sollte sich mit

00:08:50: seinem Thema IT Security schon vorher mal beschäftigt haben.

00:08:54: Also jetzt nicht einfach ohne irgendwas zu tun, sagen hier, ich gebe jetzt da

00:08:59: einem Unternehmen einen Auftrag, ein Mandat mich anzugreifen,

00:09:02: denn das wird relativ schnell von der Bühne sein, das wird relativ schnell passieren,

00:09:06: dass die Angreifer drin sind und das ist halt unter Umständen ein bisschen Geldverschwendung.

00:09:11: Ich sage halt, man muss sich schon vorher mit den Grundlagen beschäftigen.

00:09:15: Ja, wie in den vorherigen Folgen gesagt, Open Source Intelligence.

00:09:18: Schwachstellen-Scanning, intern, extern.

00:09:21: Erst mal drüber gucken, einen Arbeitskatalog aufbauen und diesen Arbeitskatalog abarbeiten.

00:09:27: Dann ist das definitiv eine gute und wirklich wertvolle Maßnahme.

00:09:31: Aber nicht ohne irgendwie sich jemals mit Security beschäftigt zu haben.

00:09:35: Einfach sagen, passt schon, legt mal los, Pentester, Redteamer.

00:09:37: Denn das ist zumindest in meinen Augen irgendwo ein Stück weit Geldverschwendung.

00:09:42: Das kann man wesentlich günstiger haben.

00:09:44: Und ja, da haben wir ja auch schon ein paar Mal drüber gesprochen.

00:09:47: Wir bieten zum Beispiel Security-Quick-Checks an.

00:09:49: Wir haben genügend Werkzeuge und Tools, um sowas mal auch für euch auszuprobieren.

00:09:54: Wenn ihr dazu Fragen habt, dann kontaktiert mich einfach.

00:09:57: Ihr findet wie immer meine Kontaktdaten hier unten in den Video-Show-Notes.

00:10:01: Ja, und das ist es tatsächlich für die heutige Folge schon fast wieder gewesen.

00:10:06: Was mich jetzt wirklich mal interessieren würde, wäre allerdings,

00:10:08: hat euch diese Folge gut gefallen?

00:10:10: Dann lasst mir bitte gerne eine Bewertung da, lasst mir auch gerne einen Kommentar

00:10:14: da und ganz neu, ihr könnt mir jetzt Sprachnachrichten auch hinterlassen,

00:10:19: findet ihr ebenfalls unten in den Shownotes.

00:10:21: Da habt ihr jetzt nämlich die Möglichkeit, mir direkt eine Sprachnachricht zukommen

00:10:25: zu lassen, ohne euch irgendwo registrieren zu müssen oder ähnliches.

00:10:29: Das ist ein Dienst von Speakpipe, den haben wir eingerichtet für Blue Screen

00:10:33: und ja, ich höre mir das dann gerne an und wenn ihr möchtet,

00:10:37: sagt es einfach dazu, dann kommt ihr vielleicht in der nächsten regulären Folge

00:10:40: von Blue Screen Wissen auch mit eurem Redebeitrag zu Wort.

00:10:44: So, jetzt sind wir aber tatsächlich fertig für heute. Ich hoffe,

00:10:47: ihr hattet Spaß und konntet was mitnehmen.

00:10:48: Bis zum nächsten Mal. Macht's gut. Euer Alex. Ciao. Untertitelung des ZDF, 2020.

00:10:52: Music.