070: Red Teaming, Pentesting, Blue Teaming

Shownotes

In dieser Folge sprechen wir über Penetration Testing und Red Teaming im Bereich der IT-Sicherheit. Penetration Testing dient dazu, Schwachstellen aufzudecken und dem jeweiligen Zuständigen zu übergeben, um sie zu schließen. Es ist eine wichtige Methode, um Sicherheitslücken zu identifizieren. Red Teaming hingegen geht einen Schritt weiter, indem Schwachstellen nicht nur aufgedeckt, sondern auch ausgenutzt werden, um in Systeme einzudringen und weitere Schwachstellen aufzudecken. Dabei können auch Social Engineering-Angriffe durchgeführt werden. Es ist entscheidend, die interne Sicherheit zu überprüfen, um zu verstehen, wie weit ein potenzieller Angreifer gehen könnte. Blue Teaming widmet sich hingegen der Verteidigung und ermöglicht es, die eigenen Sicherheitsmaßnahmen unter realistischen Bedingungen zu testen. Es ist jedoch wichtig, sich vor solchen Tests mit den Grundlagen der IT-Sicherheit zu beschäftigen, um effektiv zu sein. Es empfiehlt sich beispielsweise, vorab Sicherheits-Quick-Checks durchzuführen, um Geldverschwendung zu vermeiden.

Shownotes:

Transkript anzeigen

00:00:00: Hallo und willkommen zurück bei Blue Screen Wissen. Ich bin Alex,

00:00:03: ihr kennt mich ja schon aus den vorherigen Folgen und wir wollen uns heute einfach

00:00:07: mal über zwei Begriffe unterhalten, die uns immer wieder mal vielleicht im Security-Alltag vorkommen.

00:00:12: Heute geht es nämlich einmal um das Thema Pen-Testing, also Penetration-Testing

00:00:17: und um das Thema Red-Teaming.

00:00:24: Blue Screen, der Tech-Podcast. Neues Intro, neue Brille, ihr seht schon.

00:00:30: Ja, alles neu macht der Frühling, noch nicht der ganze Mai, aber der Frühling auf jeden Fall.

00:00:36: Und wir haben auch ein bisschen was hier bei uns im Studio geändert.

00:00:39: Ich habe ein bisschen Akustikpaneele installiert. Vielleicht hört man es ja

00:00:42: dann auch in der Aufnahme.

00:00:45: Ja, Red Teaming und Pentesting. Das sind zwei Begriffe, die uns immer wieder

00:00:50: mal über den Weg laufen, wenn wir uns mit dem Thema IT Security beschäftigen.

00:00:53: Und da sollten wir auf jeden Fall mal ein bisschen für Klarheit sorgen.

00:00:58: Was bedeutet das eine und was bedeutet das andere?

00:01:01: Um euch nicht lange auf die Folter zu spannen, wir beginnen erstmal mit dem Begriff Pentesting.

00:01:06: Wie vorhin schon gesagt, Pentesting, als Abkürzung für Penetration Testing.

00:01:11: Ist eine Technik, eine Methode, um Schwachstellen aufzufinden.

00:01:16: Wir hatten das ja in den letzten Folgen schon, zum Beispiel mit Ping Castle,

00:01:19: Active Directory Assessments oder auch Open Source Intelligence oder eben auch

00:01:25: mit anderen Werkzeugen wie mit Greenbone.

00:01:27: Damit bin ich in der Lage, Schwachstellen aufzuzeigen, aufzudecken,

00:01:31: um sie dann entsprechend halt zu übergeben.

00:01:34: Ja, und damit ist das Thema eigentlich, was Pentesting angeht, schon fast erledigt.

00:01:39: Ich sammle sozusagen Infos, übergebe sie an den jeweiligen Zuständigen,

00:01:44: den Product Owner oder wer auch immer halt dafür zuständig ist oder den Dienstleister,

00:01:48: damit diese Schwachstellen dann geschlossen werden und dann sollte man das Ganze

00:01:52: natürlich in einem Zyklus immer wieder mal durchführen, um zu gucken,

00:01:56: ob denn jetzt nicht vielleicht durch bekannt gewordene neue Schwachstellen eben

00:02:00: neue Schwächen in der Infrastruktur oder dem System dazugekommen sind. So weit, so gut.

00:02:06: Pentesting ist tatsächlich gerade im Bereich des Hackings, der Leute,

00:02:11: die halt das auch für Geld tun oder eben auch für Sicherheitsdienstleister wie

00:02:15: uns, eine sehr gute Methode, um Schwachstellen aufzudecken.

00:02:19: Es gibt auch Pentester, die machen zum Beispiel Application Pentesting.

00:02:23: Die probieren dann halt viele verschiedene Sachen an einer einzelnen Applikation aus.

00:02:28: Aber was mich als Kunde immer so ein bisschen daran stört, man haltet einfach

00:02:32: Scheuklappen auf. Also man guckt nicht links, man guckt nicht rechts und man

00:02:36: probiert bei einem Pentest üblicherweise auch jetzt nicht.

00:02:39: In der Tiefe, was könnte man denn da sonst noch so schaffen?

00:02:43: Und hier kommt eben das Thema Red Teaming zum Einsatz.

00:02:48: Der Pentester guckt, ob es Schwächen gibt. Der Red Teamer versucht,

00:02:51: Schwächen zu finden und sogar dann auch auszunutzen.

00:02:53: Und das kann jetzt mit verschiedensten Werkzeugen sein.

00:02:56: Also meinetwegen, ich beauftrage ein Unternehmen für ein Red Teaming.

00:03:00: Dann kann der jeweilige Beauftragte versuchen,

00:03:04: nachdem man hier auch natürlich sinnvollerweise, wir sind in Deutschland,

00:03:07: ein Vertrag abgeschlossen hat dazu, damit die Person das auch darf oder das

00:03:10: Unternehmen, kann er dann versuchen,

00:03:12: Schwachstellen zu finden und wirklich auch mit Exploits, zum Beispiel Software-Schwächen,

00:03:18: auszunutzen, zu überwinden,

00:03:20: um dann ins nächste System reinzukommen, um das System zu infiltrieren,

00:03:25: dort vielleicht weitere Schwachstellen aufzudecken.

00:03:28: Aber damit ist es noch nicht genug.

00:03:30: Zum Thema Red Teaming gehört eben auch die Komponente Mensch dazu.

00:03:34: Dazu, wenn man das möchte, kann so ein Red Teaming auch zum Beispiel Social

00:03:37: Engineering-Angriffe beinhalten. Auch darüber hatten wir schon gesprochen.

00:03:41: Heißt, wenn der Auftraggeber das möchte, dann kann man beispielsweise auch versuchen,

00:03:46: sich wirklich mal in ein Unternehmen hinein zu begeben als Angreifer,

00:03:50: dort weitere sensible Informationen zu finden,

00:03:54: zu erfragen, dadurch, dass man vielleicht Leute überredet.

00:03:58: Es kann aber auch ganz klassisch mit einer Phishing-E-Mail anfangen,

00:04:01: um mal zu gucken, klickt da irgendjemand drauf.

00:04:04: Wenn da jemand draufklickt, dann schaut man mal, wie weit man kommt.

00:04:08: Vielleicht kriegt man es auch hin, dass man tatsächlich einen Reverse-Tunnel

00:04:11: hinbekommt, um einen Fuß ins Unternehmen reinzubekommen.

00:04:15: Sprich, der Red-Teaming-Angriff verhält sich so, wie sich auch ein echter Angreifer

00:04:20: verhalten würde, nur dass das Red-Teaming eben nichts kaputt macht.

00:04:24: Dann ist es halt auch so, wenn man eine gewisse Zeit lang vereinbart mit dem

00:04:29: Unternehmen, was das Red Teaming durchführt, dann sollte man auch irgendwo in

00:04:34: der Mitte dieses Zeitraumes mal besprechen,

00:04:36: was passiert denn, wenn wir es gar nicht reingeschafft haben.

00:04:39: Also weder technische Maßnahmen noch Software noch Exploitation von irgendwelchen

00:04:44: Schwachstellen und Überreden von Mitarbeitern hat alles nicht funktioniert.

00:04:48: Jetzt haben wir einen Punkt erreicht, wo wir eigentlich sagen würden,

00:04:51: okay, jetzt wir schaffen hier nichts weiter, Thema erledigt.

00:04:54: Dann kann man mit dem Kunden auch

00:04:57: vereinbaren, dass man eine sogenannte Assume-Breach-Situation schafft.

00:05:00: Heißt, wenn wir zum Beispiel mal von 14 Tagen ausgehen, nach sieben Tagen meldet

00:05:05: man sich und sagt, okay, wir haben es nicht geschafft, das Unternehmen zu infiltrieren.

00:05:09: Wir gehen jetzt davon aus, dass wir es geschafft hätten, um dann natürlich auch

00:05:14: den anderen Weg oder die andere Hälfte der ganzen Angriffsaktion mal zu sehen

00:05:19: und zu sehen, was wäre denn da sonst noch im Unternehmen möglich.

00:05:22: Weil nur, weil wir es heute nicht schaffen, als Pentester oder als Red Teaming

00:05:27: Unternehmen, heißt nicht, dass es nicht vielleicht jemand anderes schon schaffen

00:05:30: könnte oder in einem halben Jahr dann schafft.

00:05:33: Sprich, dann geht man her, man macht den Assurance Breach Ansatz,

00:05:36: man gibt dem Red Teaming Unternehmen in irgendeiner Form Zugriff dann auf die

00:05:41: internen Systeme durch ein VPN zum Beispiel.

00:05:43: Oder mit einem Rechner, der im Unternehmen steht. Und dann kann von hier aus

00:05:47: halt weiter getestet werden.

00:05:49: Dann eben auch mit Maßnahmen und Methoden, wie sie eben auch bei Pink Castle abgeprüft werden.

00:05:54: Hier wird dann zum Beispiel das Active Directory angegriffen mit einem Bloodhound

00:05:58: und ähnlichen Werkzeugen, um mal zu schauen, wie gut es denn die interne Infrastruktur aufgestellt,

00:06:04: wenn man es schon nicht durch die externe Firewall, durch die Barrieren,

00:06:08: die dort geschaffen wurden, auch die menschlichen Barrieren durchgeschafft hat.

00:06:11: Finde ich persönlich natürlich auch eine ganz, ganz wichtige Geschichte,

00:06:14: weil natürlich das auch ein Thema sein kann.

00:06:18: Und ich muss immer wissen, wie weit könnte ein Angreifer denn wirklich gehen.

00:06:22: Also ich kann mich jetzt nicht darauf ausruhen, dass mir irgendein Sicherheitsdienstleister

00:06:26: sagt, nö, nö, von außen ist alles schick, das passt schon, dann wird schon nichts passieren.

00:06:30: Das ist meiner Meinung nach eine falsche Hoffnung, die man da reinsetzt und

00:06:34: deswegen macht es durchaus schon eine Menge Sinn, wenn man sich dann eben auch

00:06:38: auf der internen Seite mit den Systemen mal beschäftigt und guckt,

00:06:41: was da so los ist. Also auch das gehört dazu.

00:06:45: Einen dritten Begriff, den wir eigentlich noch ansprechen müssen,

00:06:48: wenn wir schon über Red Teaming sprechen und auch über Pentesting, wäre das Blue Teaming.

00:06:53: Das wäre dann die Verteidigerseite. Und jetzt vielleicht frägt sich der eine

00:06:58: oder andere, hä, rot, blau, wo kommt das alles her?

00:07:01: Das sind halt Begriffe aus dem Militär. Man geht normalerweise her,

00:07:05: wenn man eine Übung macht, ja, eine Wehrübung oder eine Simulation in Gefechtssituationen,

00:07:10: dass man sagt, man hat jetzt ein Team blau und ein Team rot.

00:07:13: Die einen sind die Angreifer, die anderen sind die Verteidiger und genauso ist

00:07:17: es auch hier. Sprich, Team blue zerstört.

00:07:19: Sind die Verteidiger? Und auch sowas gibt es, dass man hier gegen echte Maßnahmen,

00:07:26: echte Angriffe mal schaut.

00:07:28: Wie gut ist denn mein internes Team? Wie gut ist denn mein Sicherheitsdienstleister?

00:07:32: Wenn man das Ganze noch dazu unangekündigt macht, dass Team Blue sozusagen gar

00:07:36: nicht informiert, dass jetzt da was geplant ist und was kommen wird,

00:07:39: umso echter, umso besser, umso realistischer.

00:07:42: Großer Vorteil, wir können halt eine Übung absolvieren, ohne dass danach wirklich

00:07:48: Schaden für das Unternehmen entsteht.

00:07:50: Maximal wird halt irgendwo Informationen abgezogen, die zeigt dann der Angreifer

00:07:55: nachher auch dem Auftraggeber, guck mal, das haben wir sehen können,

00:07:58: das haben wir euch theoretisch klauen können.

00:08:00: Oder man hinterlegt auf irgendeinem System eine Datei, wo man eigentlich als

00:08:05: Angreifer gar nicht hinkommen sollte, um zu beweisen, dass man wirklich da gewesen sind.

00:08:08: Das sind alles ganz gute Beispiele und so kann das Blue Team einfach auch mal

00:08:12: gucken, wie gut funktionieren denn die Maßnahmen?

00:08:15: Bekomme ich das überhaupt mit, dass dort ein Angreifer in meinem System ist?

00:08:18: Bekomme ich mit, dass hier Dinge passieren können und kriege ich das auch mit

00:08:23: in Form von CM-Tools, Frühwarnsystemen und so weiter und so fort.

00:08:27: Also das ist definitiv eine ganz, ganz tolle Maßnahme und Möglichkeit,

00:08:31: um einfach die eigene Sicherheit mal auf den Prüfstand zu stellen.

00:08:35: Grundsätzlich bin ich allerdings mit einem Aber unterwegs bei dieser ganzen

00:08:39: Geschichte, denn das ist nichts, was man jetzt einfach so tun sollte.

00:08:43: Also Red Teaming, ich habe vorhin schon gesagt, sieben Tage,

00:08:46: 14 Tage, sowas kann halt eine gewisse Zeit lang dauern und man sollte sich mit

00:08:50: seinem Thema IT Security schon vorher mal beschäftigt haben.

00:08:54: Also jetzt nicht einfach ohne irgendwas zu tun, sagen hier, ich gebe jetzt da

00:08:59: einem Unternehmen einen Auftrag, ein Mandat mich anzugreifen,

00:09:02: denn das wird relativ schnell von der Bühne sein, das wird relativ schnell passieren,

00:09:06: dass die Angreifer drin sind und das ist halt unter Umständen ein bisschen Geldverschwendung.

00:09:11: Ich sage halt, man muss sich schon vorher mit den Grundlagen beschäftigen.

00:09:15: Ja, wie in den vorherigen Folgen gesagt, Open Source Intelligence.

00:09:18: Schwachstellen-Scanning, intern, extern.

00:09:21: Erst mal drüber gucken, einen Arbeitskatalog aufbauen und diesen Arbeitskatalog abarbeiten.

00:09:27: Dann ist das definitiv eine gute und wirklich wertvolle Maßnahme.

00:09:31: Aber nicht ohne irgendwie sich jemals mit Security beschäftigt zu haben.

00:09:35: Einfach sagen, passt schon, legt mal los, Pentester, Redteamer.

00:09:37: Denn das ist zumindest in meinen Augen irgendwo ein Stück weit Geldverschwendung.

00:09:42: Das kann man wesentlich günstiger haben.

00:09:44: Und ja, da haben wir ja auch schon ein paar Mal drüber gesprochen.

00:09:47: Wir bieten zum Beispiel Security-Quick-Checks an.

00:09:49: Wir haben genügend Werkzeuge und Tools, um sowas mal auch für euch auszuprobieren.

00:09:54: Wenn ihr dazu Fragen habt, dann kontaktiert mich einfach.

00:09:57: Ihr findet wie immer meine Kontaktdaten hier unten in den Video-Show-Notes.

00:10:01: Ja, und das ist es tatsächlich für die heutige Folge schon fast wieder gewesen.

00:10:06: Was mich jetzt wirklich mal interessieren würde, wäre allerdings,

00:10:08: hat euch diese Folge gut gefallen?

00:10:10: Dann lasst mir bitte gerne eine Bewertung da, lasst mir auch gerne einen Kommentar

00:10:14: da und ganz neu, ihr könnt mir jetzt Sprachnachrichten auch hinterlassen,

00:10:19: findet ihr ebenfalls unten in den Shownotes.

00:10:21: Da habt ihr jetzt nämlich die Möglichkeit, mir direkt eine Sprachnachricht zukommen

00:10:25: zu lassen, ohne euch irgendwo registrieren zu müssen oder ähnliches.

00:10:29: Das ist ein Dienst von Speakpipe, den haben wir eingerichtet für Blue Screen

00:10:33: und ja, ich höre mir das dann gerne an und wenn ihr möchtet,

00:10:37: sagt es einfach dazu, dann kommt ihr vielleicht in der nächsten regulären Folge

00:10:40: von Blue Screen Wissen auch mit eurem Redebeitrag zu Wort.

00:10:44: So, jetzt sind wir aber tatsächlich fertig für heute. Ich hoffe,

00:10:47: ihr hattet Spaß und konntet was mitnehmen.

00:10:48: Bis zum nächsten Mal. Macht's gut. Euer Alex. Ciao. Untertitelung des ZDF, 2020.

00:10:52: Music.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.