Beim Red Teaming stellen wir Ihre gesamten Sicherheitsmaßnahmen und Ihr Security Team auf die Probe. Durch die Simulation von realen Szenarien aktivieren wir die Effizienz und Effektivität Ihrer Sicherheitsmaßnahmen und des Monitorings, aber auch die Reaktion Ihrer Mitarbeitenden und Ihres Security Teams. Daraus ziehen wir jene Learnings, die Ihr Sicherheitskonzept verbessern.
Gemeinsam mit Ihnen legen wir die konkreten Ziele, den Scope und die Bedingungen für den Test fest und designen mit Ihnen eine für Sie passende Form des Red Teamings. Damit werden speziell jene Punkte identifiziert, getestet und/oder trainiert, die für Sie am wichtigsten sind.
Red Teaming mit Simulation eines Threat Actors
Beim traditionellen Red Teaming werden aus Ihrer Risiko- und Threat-Intelligence-Analyse die überwiegend relevanten Threat Actors definiert und diese in ein oder mehreren Red-Team-Szenarien simuliert. Als Basis für eine standardisierte Form und Beschreibung der geplanten Tätigkeiten dient uns das MITRE ATT&CK Framework.
Spezialisierte Red Teaming Engagements
Hatten Sie bereits bestimmte Vorfälle oder sind Sie bereits gut gegen fortgeschrittene Standardszenarien vorbereitet? Dann arbeiten wir in spezialisierten Red-Team-Engagements an noch unbekannten Szenarien und bringen Ihr Security Team an seine Grenzen, denn ausgelernt hat man nie im Leben. Die spezialisierten Assessments werden aufgrund Ihrer Dauer und Komplexität nach dem EU TIBER-Framework durchgeführt, welches speziell für komplexere Red-Team-Assessments im Bankenumfeld entwickelt wurde.
365 Red Teaming
Sollten Sie das ganze Jahr über am Laufenden bleiben wollen, bieten wir unser 365 Red Teaming Service an. Dabei überwachen wir Ihre Systeme rund um die Uhr und werden bei neuen Schwachstellen aktiv oder trainieren Ihre Sicherheitsmaßnahmen regelmäßig im Jahr für neu bekannt gewordene Threat Actors und Szenarien.
Full-Scope Red Teaming
Red Team Engagements sind jedoch nicht nur auf IT-Systeme beschränkt. In Full-Scope-Red Team-Engagements simulieren wir vollständige Industriespionage-Angriffe unter Einbeziehung von IT-Sicherheit, physischer Sicherheit und Social Enginering. Ein ultimativer Härtetest für die Gesamtheit der Sicherheitsmaßnahmen Ihres Unternehmens unter Beachtung der Möglichkeiten zur Erkennung und das richtige Reagieren in Angriffssituationen.
Wir haben uns sehr gefreut die DEFCON in Las Vegas, USA im August 2023 zum ersten Mal zu besuchen! DEFCON ist eine jährliche Computersicherheits-Veranstaltung, welche bis zu 30.000 Besucher anzie...
Unser Team ist gewachsen und wir freuen uns, seit kurzem drei neue Mitarbeiter im Pentesting begrüßen zu dürfen. Mit ihrer Hilfe fällt es uns leichter, auf die vielen Projektanfragen einzugehen, und w...
Treasury on Tour ist eine Veranstaltung von Schwabe, Ley & Greiner, um führende Köpfe des Treasurys mit hochwertigen Vorträgen, Diskussionen und der Möglichkeit zum Netzwerken zusammenzubringen. H...
IT Service
Ein globales Technologieunternehmen führte ein Purple Team Assessment durch, bei dem die Tester aus einer "Assume Compromise"-Position agierten. Dazu erhielten sie Zugriff auf ein Windows-Notebook im Firmennetzwerk sowie auf einen Linux-Server, um von innen heraus Angriffe zu simulieren. Der Schwerpunkt lag auf der Erkennung von Angriffen und der Kommunikation mit dem IT-Security-Team des Unternehmens.
Ein besonders bemerkenswertes Ergebnis dieses Assessments war die Konfiguration eines Windows-Dienstes auf allen Clients, die eine Privilege Escalation von einem normalen Benutzer zu einem Administrator wie aus dem Lehrbuch ermöglichte. Durch dieses Assessment konnte das IT-Security-Team daher nicht nur seine Erkennungsmaßnahmen testen und in einem realistischen Szenario trainieren, sondern es wurden auch kritische Schwachstellen aufgedeckt.
Health
Wir wurden von einem global tätigen Pharmakonzern mit einem externen IT-Red-Teaming beauftragt. Im Gegensatz zu einem typischen Red-Teaming gab es dabei Einschränkungen im Scope: Social Engineering (einschließlich Phishing) sowie physischer Zugang waren vom Test ausgeschlossen. Das bedeutet, dass das testende Team einen Weg über die externe IT-Infrastruktur ins Unternehmen finden musste. Weitere Angriffe innerhalb des internen Netzwerks waren ebenfalls nicht Teil des Scopes.
Das Assessment begann mit einer OSINT (Open Source Intelligence)-Phase, in der Informationen aus öffentlich zugänglichen Quellen gesammelt wurden. Dazu gehörten IP-Adressen, Domains, E-Mail-Adressen, Passwörter sowie andere unternehmensrelevante Informationen. Die Unternehmensgröße spiegelte sich dabei in der Menge der verfügbaren Informationen wider. Anschließend begann die nächste Phase, in der potenzielle Angriffsvektoren aus dem Internet ermittelt wurden. Aufgrund der großen externen IT-Landschaft des Kunden wurde vor jedem tatsächlichen Angriff eine kurze Abstimmung durchgeführt, um sicherzustellen, dass keine kritischen oder Out-of-Scope-Systeme angegriffen wurden.
Im Verlauf des Red-Teamings konnte mittels geleakter Zugangsdaten ein administrativer Zugriff auf eine Webapplikation erlangt werden. Diese Webapplikation ermöglichte den Zugriff auf die Backend-Datenbank. Aufgrund diverser Einschränkungen war es jedoch nicht möglich, Shell-Zugriff auf das System zu erhalten.
Wie lässt sich so etwas verhindern? Geleakte Passwörter sind für Angreifende nur solange nützlich, solange die Passwörter noch gültig sind. Deshalb ist es wichtig, Tools und Dienste zu nutzen, die kontinuierlich das Darknet und andere Quellen nach geleakten Zugangsdaten durchsuchen und Warnungen ausgeben, wenn Unternehmensdaten betroffen sind. Zusätzlich sollte besonderes Augenmerk auf Legacy-Systeme gelegt werden, die möglicherweise nicht mit der zentralen Userdatenbank verbunden sind.
Commerce
Durch ein, als Lebenslauf getarntes, Word-Dokument mit Macros war es möglich in ein System einzudringen, um internen Netzwerkzugriff zu erlangen. Dies ermöglichte lokal gespeicherte Zugangsdaten auszulesen und anschließend Zugriff auf einen Fallback Jump Host im Internet zu bekommen. Über den Jump Host war es schlussendlich möglich Zugriff auf das vereinbarte Ziel, das Developer-Netz, zu erlangen.