Sysbus
ArtikelSecurity

Wie Purple Teaming den Pentest auf eine neue Stufe hebt

gg

Den Lerneffekt des blauen Teams fördern

Purple Teaming bringt viele Vorteile mit sich, die die klassische Methode auf ein neues Niveau hebt und an moderne Anforderungen anpasst. Zunächst schafft die Übung Transparenz und Wiederholbarkeit. War der Angriff eines roten Teams beispielsweise erfolgreich, weiß das blaue Team direkt, wo die Fehler liegen und kann diese nun beheben. Danach wird das Szenario wiederholt und genau geprüft, ob die Schwachstellen nun geschlossen sind. Auch kann die Wirksamkeit gegen verschiedene Angriffstechniken auf die Probe gestellt werden. So ist ein Unternehmen vielleicht beispielsweise gut gegen einen Brute-Force Angriff geschützt, gleichzeitig aber anfällig für Phishing. Der vielleicht wichtigste Effekt des Purple Teamings ist die hohe Lernkurve, die beim blauen Team entsteht. Sie bekommen nicht nur direktes Feedback durch das rote Team, sondern lernen auch zu verstehen, wie die Angreifer in bestimmten Situationen handeln. Dieses tiefergehende Verständnis, welches weit über die rein technischen Fragen hinausgeht, hilft ihnen, den Angreifern im Ernstfall einen Schritt voraus zu sein.

Purple Teaming erfolgreich einsetzen

Um Purple Teaming erfolgreich in die eigenen Pentests zu integrieren, gibt es einige Faktoren, auf die geachtet werden sollte. Da beim Purple Teaming verschiedenen Perspektiven miteinander kombiniert werden, sollte ein Anbieter entsprechendes Wissen in diesen Gebieten aufweisen können. Er sollte also sowohl Know-how über die Aufgaben des blauen Teams wie Security Monitoring oder Incident Response als auch des roten Teams, zum Beispiel automatisierte Angriffe, besitzen. An oberster Stelle steht dabei also die technische Expertise. Doch auch Kompetenzen in den Bereichen der Teamführung und des Managements sind wichtig: Da der Lernprozess eines der Hauptcharakteristika dieser Übung ist, muss der Fortschritt regelmäßig überprüft werden. Dafür bedarf es eines guten Maßes an Teammanagement. Wie bei allen Verfahren, die sich unter dem Oberbegriff Pentesting zusammenfassen lassen, ist eine gute Vorbereitung und ein detailliert ausgearbeiteter Plan entscheidend für den Erfolg der Methode. Je besser die Vorbereitung, desto aussagekräftiger wird das Endresultat. Meistens planen die Teams eine ‚Kill-Chain‘ einer relevanten APT-Angriffsgruppe, wie beispielsweise APT29, damit das blaue Team auf ein entwickeltes Szenario vorbereitet ist.

Only teamwork makes the dream work

Der vielleicht wichtigste Erfolgsfaktor beim Purple Teaming ist die Kollaboration zwischen den beiden Teams. Die Übung bietet nur dann einen Mehrwert, wenn sowohl das rote als auch das blaue Team mit vollständiger Transparenz agieren. So sollte das rote Team beispielsweise nicht nur erläutern, welche Strategie und welche Techniken es verfolgt, sondern auch klar machen, warum es diese Vorgehensweise wählt. So lernt das blaue Team die Angreifer und deren Angriffe besser nachzuvollziehen. Das blaue Team wiederum muss offen mit eigenen Fehlern und Fehlverhalten umgehen, um diese in Zukunft zu verhindern. Nur dann wird der wirkliche Mehrwert der Übung erreicht und trägt nachhaltig zur Sicherheit bei.

Das Purple Teaming soll die traditionelle Vorgehensweise des Pentestings aber nicht ersetzen. In einigen Fällen ist es sinnvoll, wenn beide Teams unabhängig voneinander agieren und so ein realistisches Szenario simulieren. Purple Teaming ist jedoch eine wichtige Ergänzung, die das Pentesting auf eine neue Ebene hebt. Wer beim Purple Teaming auf einen SOC-Dienstleister setzt, hat den Vorteil, dass dieser die Übung in eine übergeordnete Sicherheits-Strategie einbetten kann und die Methode sich so letztlich voll ausschöpfen lässt.

Ähnliche Beiträge:

  1. Neuer Slow Food Arche-Passagier – Blauer Silvaner
  2. Pentesting: Nutzen, Kosten und der beste Zeitpunkt
  3. So gelingt effizientes Digital Onboarding
  4. Zusammen stark: Wie SecOps und IT-Ops gemeinsam für mehr Cloud Security sorgen können

Das könnte dir auch gefallen

Wie der mobile Konsument den Handel verändert

gcg

ownCloud 7 Enterprise Edition: Sicherer und kontrollierter Zugriff auf Dateien

gg

Story zum Kennenlernen der Phisher-Tricks

gg