Red vs. Blue vs. Purple Teams

So trainieren Sie effektiv den Ernstfall

Die Perspektive der Angreifer einzunehmen, kann Ihr Sicherheitsteam auf der Defensivseite entscheidend voranbringen – wenn Sie die Sache richtig angehen.
Von David Strom
CSO | 22. Juli 2022 06:04 Uhr
Red-Team-Blue-Team-Simulationen können wesentlich zur Effektivität Ihrer IT-Security beitragen.
Red-Team-Blue-Team-Simulationen können wesentlich zur Effektivität Ihrer IT-Security beitragen.
Foto: disto89 - shutterstock.com

Zum Verteidigungsarsenal von IT-Sicherheitsprofis gehören auch simulierte Attacken, bei denen Red Teams und Blue Teams zum Einsatz kommen. Die Simulationen sollen reale Angriffsbedingungen möglichst exakt wiedergeben.

Red Team vs. Blue Team vs. Purple Team

Dabei nehmen die Mitglieder des Red Team in der Regel die Rolle der Angreifer ein und versuchen, Sicherheitsprotokolle zu überwinden. Dazu verwenden sie dieselben Tools und Techniken wie die Angreifer - ganz ähnlich wie Penetration Tester - aber in wesentlich größerem Umfang.

"Red Teams testen nicht nur auf Schwachstellen, sondern simulieren Kampagnen, die kontinuierlich über einen längeren Zeitraum laufen", schreibt Daniel Miessler, ein Sicherheitsberater, der an zahlreichen Red/Blue-Übungen teilgenommen hat, in einem Blogbeitrag. "Ein gutes Red Team kann ein Frühwarnsystem sein, um Angriffsquellen zu finden und die Techniken des Gegners im Auge zu behalten."

Das Blue Team ist hingegen den internen Sicherheitsteams nachempfunden, die es heute in vielen IT-Unternehmen gibt. "Ein gutes Blue Team macht seine mentale Verfassung aus, seine proaktive Denkweise, seine Neugier und das Bestreben, sich kontinuierlich in Bezug auf Detection und Response verbessern zu wollen", so Miessler.

Um eine Red/Blue-Simulation zu verwirklichen, sollten zwei weitere Teams beteiligt sein:

  • Ein White Team, bestehend aus den Netzwerkeigentümern - also den IT-Administratoren, die das Equipment betreiben und die Skripte für die Simulationen erstellen (diese sind auch vorgefertigt verfügbar).

  • Ein Golden Team, bestehend aus den Fachexperten, die bei den Simulationen beratend zur Seite stehen. Dabei kann es sich um Vertreter von Sicherheitsanbietern, Rechtsberater oder Spezialisten wie digitale Forensiker handeln.

Desöfteren wird auch von Purple Teams gesprochen, dabei handelt es sich um eine Kombination von Red und Blue Team. Das bedeutet in der Praxis: Rote und blaue Teams kollaborieren und tauschen sich aus, um ihre Skills zu verbessern.

Red Team/Blue Team: 5 Schritte zur Simulation

Wenn es darum geht, eine Red-Team-Blue-Team-Simulation umzusetzen, sollten Sie einige Punkte beachten:

Intern vs. Extern

Entscheiden Sie, welche Bestandteile Sie intern durchführen und was auslagern wollen. Benötigen Sie einen spezialisierten Anbieter für Red Teams? Verfügen Sie bereits über hauptamtliches Sicherheitspersonal, das als Blue Team fungieren kann? Können Sie eine vorgefertigte Cyberrange nutzen, in dem alles entsprechend eingerichtet ist? Teil dieser Entscheidung besteht darin, die erforderlichen Fähigkeiten aller Teammitglieder zu kennen und zu verstehen. Ein internes Red Team aufzustellen, kann für viele Unternehmen eine Herausforderung sein, da hierzu spezielle Fähigkeiten nötig sind.

Simulations-Tools

Zudem müssen Sie entscheiden, wie realistisch Ihre Übung sein soll. In den meisten Fällen werden Red-Team-Blue-Team-Simulationen nicht gegen Produktivsysteme gefahren. Sie sollten sich also überlegen, was Sie simulieren oder ob Sie eine Cyberrange verwenden.

Ziele formulieren

Was wollen Sie erreichen? Schwachstellen finden? Ihre Verteidigungsmaßnahmen verstärken? Die Zusammenarbeit zwischen IT und Endbenutzern verbessern? Funktionierende beziehungsweise nicht-funktionierende Sicherheitskontrollen aufdecken? Das Ziel einer Red-Team-Blue-Team-Simulation besteht darin, alle Beteiligten optimal auf einen realen Angriff vorzubereiten. Je realistischer die Situation, desto besser.

Die Ziele sind entscheidend, weiß Peter Kaloroumakis von MITRE: "Es ist wichtig, auch Infrastruktur- und Architekturteams einzubeziehen, die strategische Pläne zur Verbesserung der Sicherheitslage entwickeln. Es ist einfach, sich auf spezifische Konfigurationsänderungen zu konzentrieren, aber manchmal gibt es auch architektonische Änderungen, die Probleme an der Wurzel packen könnten."

Datenanalyse-Entscheidungen treffen

Sie müssen auch eine Entscheidung darüber treffen, wie Sie die Daten aus der Simulation sammeln und wie Sie Ihre Post-Mortem-Analyse durchführen. Ein wichtiger Aspekt ist dabei der Grad der Kommunikation zwischen Ihren Teams.

Zeitrahmen wählen

Der Zeitrahmen einer Red-Team-Blue-Team-Simulation kann sehr unterschiedlich sein. Idealerweise überprüfen Sie Ihre Systeme kontinuierlich, halten sich an Zeitpläne und sehen von vorschnellen Reaktionen auf Ereignisse wie fehlgeschlagene Sicherheitsaudits ab. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.