Red Team, Blue Team, Purple Team: Wer kümmert sich um was?

Um was kümmert sich das rote Team?

Das rote Team übernimmt die Rolle des Angreifers und versucht dabei, die Verteidigungsmaßnahmen des blauen Teams zu durchbrechen oder zu umgehen, um an interne Ressourcen zu kommen. Im Idealfall sind diese auch Ethical Hacker genannten Angreifer über die in einem Unternehmen vorhandenen Sicherheitsmechanismen nicht im Bilde. Daher wird die Aufgabe des Angreifers meist an das Team eines externen Dienstleisters übertragen.

Red Teams nutzen auch von echten Cyberangreifern genutzte Methoden, um Schwachstellen zu finden, sei es bei den Mitarbeitern oder bei den von einem Unternehmen genutzten Prozessen und Technologien. Dabei versuchen sie Sicherheitslösungen zu umgehen und in das Firmennetz einzudringen, um Daten zu klauen – im Idealfall ohne dabei vom blauen Team überhaupt nur bemerkt zu werden.

Zu den gängigen Methoden, die von roten Teams eingesetzt werden, gehören:

• Penetrationstests,
• Phishing, Social Engineering und andere Tricks, um Zugangsdaten zu klauen,
• Port-Scans sowie
• Scans auf Schwachstellen.

Zusätzlich zu diesen auch bei vielen Angreifern beliebten Techniken, nutzen Red Teams immer wieder eigene Tools, um in fremde Netzwerke einzudringen. Ist ihnen dies erst einmal gelungen, wollen sie sich meist erweiterte Berechtigungen verschaffen. So kann der Schaden eines Einbruchs maximiert werden.

Da diese Übungen durchgeführt werden, um die Sicherheitsmaßnahmen letztlich zu verbessern, verfassen die Mitglieder des roten Teams nach den Angriffen in der Regel einen Bericht. Er enthält Informationen über die eingesetzten Techniken, die attackierten Ziele und über dabei durchgeführte erfolglose sowie erfolgreiche Versuche.

Meist umfassen die Berichte auch Empfehlungen, wie sich die IT-Sicherheit anschließend verbessern lässt, welche Maßnahmen zur Optimierung getroffen werden können und wie sich künftige Attacken vermeiden lassen. Damit helfen sie dem blauen Team dabei, Lücken in den Verteidigungsmaßnahmen zu erkennen, zu lernen, wo Fehler auftraten und wo neue Lösungen benötigt werden.

Um was kümmert sich das blaue Team?

Das blaue Team ist dafür verantwortlich, die in einem Unternehmen eingesetzten IT-Systeme regelmäßig einer Bestandsaufnahme zu unterziehen. Außerdem müssen Schwachstellen erkannt und die Effektivität der eingesetzten Security-Tools überprüft werden, um die IT-Umgebung zu schützen. Es stammt meist aus dem internen Mitarbeiterstamm.

Zu den Aufgaben des Blue Teams gehört:

• Monitoring im Firmennetz, den eingesetzten IT-Systemen und -Geräten,
• Erkennen, Abwehren, Eindämmen und Bekämpfen von Bedrohungen und Angriffen,
• Sammeln von Traffic-Daten im Netzwerk sowie von forensischen Beweisen,
• Durchführen von Datenanalysen und
• von internen und/oder externen Schwachstellenscans, DNS-Audits sowie Risikoeinschätzungen.

Die Mitglieder des blauen Teams analysieren die gesammelten Informationen und kümmern sich dann um Anpassungen der bereits vorhandenen Sicherheitslösungen, der Hardware und der Richtlinien, um den Schutz vor künftigen Angriffen zu gewährleisten.

Außerdem erledigen sie meist folgende Tätigkeiten:

• Sie erstellen, konfigurieren und setzen Firewall-Regeln durch,
• sie setzen und richten Zugriffskontrollen für Geräte und Anwender ein (meist auf Basis des Prinzips der geringsten benötigten Berechtigungen),
• sie halten die diversen im Unternehmen benötigten Anwendungen auf dem aktuellen Stand, seien sie geschäftlicher oder sicherheitsrelevanter Natur,
• sie sorgen für den Einsatz von Lösungen aus den Bereichen IDS/IPS (Intrusion Detection Systems, Intrusion Prevention Systems) sowie EDR (Endpoint Detection and Response),
• sie segmentieren Netzwerke in kleinere Teile,
• sie nehmen erkannte Angriffe per Reverse Engineering unter die Lupe,
• sie führen DDoS-Tests (Distributed Denial of Service) durch und
• sie entwickeln Richtlinien zur Reaktion und Abwehr von Angriffen, um damit sicherzustellen, dass die IT-Systeme nach einem sicherheitsrelevanten Vorfall schnell wieder zu ihrem normalen Zustand zurückkehren können.

Das blaue Team ist außerdem dafür verantwortlich, menschliche Schwachstellen zu erkennen und sich um sie zu kümmern. Sich über die aktuellen Tricks bei Betrugsversuchen via Phishing oder Social Engineering zu informieren, gehört damit ebenfalls zu seinen Aufgaben. Zusätzlich führen die Experten Security Awareness Trainings durch und sorgen dafür, dass Richtlinien für Endanwender im Unternehmen erstellt und durchgesetzt werden. Ein Beispiel dafür sind Vorgaben für Passwörter.

Darüber hinaus informiert das blaue Team leitende Angestellte im Unternehmen, wenn Risiken gefunden wurden. Anschließend kann entschieden werden, ob ein bestimmtes Risiko hingenommen wird oder ob es neuer Richtlinien beziehungsweise Kontrollmaßnahmen bedarf, um dagegen vorzugehen.

Wie auch die roten Teams sammeln die Mitglieder des blauen Teams nach einer Übung Beweise, Log-Dateien und andere Daten, um einen Bericht über ihre Erfahrungen und Erkenntnisse zu erstellen. Auch dieser Report enthält in der Regel Empfehlungen zu neuen Maßnahmen und Verbesserungen.

Um was kümmert sich nun das Purple Team?

Die Bezeichnung „Team“ für das Purple Team ist eigentlich etwas irreführend, da es sich nicht um eine feste Gruppe handelt, sondern um eine Zusammenstellung aus Mitgliedern des blauen und des roten Teams.

Sowohl das rote als auch das blaue Team teilen sich die Aufgabe, die Sicherheit in einer Organisation zu verbessern. Allzu oft sind die einzelnen Mitglieder aber nicht wirklich gewillt, ihre „Geheimnisse“ zu verraten. So informiert manch rotes Team nicht über alle von ihnen verwendeten Methoden, mit denen sie in die Systeme eingedrungen sind, während blaue Teams wiederum nicht mitteilen wollen, wie sie die Angriffe entdeckt und abgewehrt haben.

Es ist aber von größter Bedeutung, dass diese Informationen weitergegeben werden, wenn die Sicherheit des Unternehmens insgesamt erhöht werden soll. Die tatsächliche Bedeutung im Hinblick auf Erkenntnisse sowohl des roten als auch des blauen Teams ist äußerst gering, wenn ihre Mitglieder nicht offen über ihre Versuche berichten und nicht alle zur Verfügung stehenden Daten freigeben wollen.

Als Abhilfe wurde daher das Konzept des Purple Teams entwickelt. Es soll bewirken, dass die Mitglieder des roten und die des blauen Teams besser zusammenarbeiten und Informationen über ihre Ressourcen und über ihre Erkenntnisse teilen. Um dieses Ziel zu erreichen, muss sich das Purple Team konsequent auf das Fördern der Kommunikation und die Zusammenarbeit zwischen den Team-Mitgliedern konzentrieren.