{"id":22313,"date":"2022-11-23T11:03:24","date_gmt":"2022-11-23T10:03:24","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=22313"},"modified":"2022-11-14T11:12:32","modified_gmt":"2022-11-14T10:12:32","slug":"wie-purple-teaming-den-pentest-auf-eine-neue-stufe-hebt","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=22313","title":{"rendered":"Wie Purple Teaming den Pentest auf eine neue Stufe hebt"},"content":{"rendered":"\n

Autor\/Redakteur: Gergely Lesku, Head of International Operations bei SOCWISE<\/a>\/gg<\/p>\n\n\n\n

Pentests geh\u00f6ren l\u00e4ngst ins Portfolio der meisten Sicherheitsteams. Denn die Methode ist die erste Wahl f\u00fcr diejenigen, die ihre Sicherheitsma\u00dfnahmen gegen Cyberattacken einem praktischen, realit\u00e4tsnahen Check unterziehen wollen. Charakteristisch war dabei in der Vergangenheit h\u00e4ufig die getrennte Arbeitsweise der blauen und roten Teams. Das „Purple Teaming“ geht nun jedoch einen neuen Weg und setzt auf Transparenz und Kooperation statt Abschottung.\u00a0<\/p>\n\n\n\n

\"\"<\/a>
Grafik: SOCWISE<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Cybersecurity wird f\u00fcr immer mehr Unternehmen zu einer gro\u00dfen Herausforderung. Wachsende Bedrohungen durch Ransomware und Co. sorgen in vielen Organisationen (k\u00fcrzlich Luxusautomobilhersteller Ferrari) f\u00fcr Kopfzerbrechen. Viele bew\u00e4hrte Methoden m\u00fcssen und werden auf den Pr\u00fcfstand gestellt. Ein beliebtes und etabliertes Verfahren ist dabei das Pentesting. Hier werden die eigenen Sicherheitsma\u00dfnahmen nicht nur in der Theorie, sondern auch ganz praktisch auf ihre Wirksamkeit gepr\u00fcft. Fehler, die in der Theorie nicht vorkommen, lassen sich so identifizieren und beheben. Doch gerade alteingesessene Methoden brauchen mit der Zeit einen frischen Anstrich, um weiterhin gut gegen Gefahren sch\u00fctzen zu k\u00f6nnen. Die \u00dcbung des Purple Teaming hat genau dies zum Ziel: das Pentesting an moderne Anforderungen anzupassen.<\/p>\n\n\n\n

Pentesting und Red-Teaming: Bew\u00e4hrte Methode<\/strong><\/p>\n\n\n\n

Bislang lag einem Pentest ein bew\u00e4hrter Ablauf zugrunde: in einem White-, Black- oder Greybox Test versuchte ein Team aus ethischen Hackern, das rote Team, die Verteidigungsmauern der zu testenden Infrastruktur zu \u00fcberwinden. Das blaue Team, welches aus einer Gruppe von Security Experten besteht, versucht dies zu verhindern, indem es die Security-Protokolle durchf\u00fchrt. Ziel ist es, ein m\u00f6glichst realistisches Szenario eines Cyberangriffs zu simulieren, um die Security-Infrastruktur zu testen. Aus diesem Grund agierten rote und blaue Teams meist v\u00f6llig unabh\u00e4ngig voneinander.<\/p>\n\n\n\n

Transparenz hilft, Fehler zu vermeiden<\/strong><\/p>\n\n\n\n

Hier setzt nun das Purple Teaming an und geht einen neuen Weg. Wie der Name bereits andeutet, setzt das Purple Teaming auf eine Kombination aus blauen und roten Teams. Bei diesem Verfahren lautet das Stichwort \u201eTransparenz\u201c. Denn anstatt die gesamte \u00dcbung unabh\u00e4ngig voneinander durchzuf\u00fchren, spielen beide Teams mit offenen Karten. Startet das rote Team beispielsweise einen Angriffsversuch, erl\u00e4utert es dem blauen Team die eigene Strategie und die eingesetzten Techniken. Das blaue Team kann nun nachvollziehen, wie gut die eingesetzten Sicherheitsma\u00dfnahmen und die daf\u00fcr vorgesehenen Pl\u00e4ne funktionieren. Die Verl\u00e4ufe der jeweiligen Angriffe werden mit den jeweiligen Incident Response Pl\u00e4nen abgeglichen. So k\u00f6nnen etwaige konzeptionelle Fehler in der Verteidigungsstrategie identifiziert werden, die behoben werden m\u00fcssen.<\/p>\n\n\n\n\n\n\n\n

Den Lerneffekt des blauen Teams f\u00f6rdern<\/strong><\/p>\n\n\n\n

Purple Teaming bringt viele Vorteile mit sich, die die klassische Methode auf ein neues Niveau hebt und an moderne Anforderungen anpasst. Zun\u00e4chst schafft die \u00dcbung Transparenz und Wiederholbarkeit. War der Angriff eines roten Teams beispielsweise erfolgreich, wei\u00df das blaue Team direkt, wo die Fehler liegen und kann diese nun beheben. Danach wird das Szenario wiederholt und genau gepr\u00fcft, ob die Schwachstellen nun geschlossen sind. Auch kann die Wirksamkeit gegen verschiedene Angriffstechniken auf die Probe gestellt werden. So ist ein Unternehmen vielleicht beispielsweise gut gegen einen Brute-Force Angriff gesch\u00fctzt, gleichzeitig aber anf\u00e4llig f\u00fcr Phishing. Der vielleicht wichtigste Effekt des Purple Teamings ist die hohe Lernkurve, die beim blauen Team entsteht. Sie bekommen nicht nur direktes Feedback durch das rote Team, sondern lernen auch zu verstehen, wie die Angreifer in bestimmten Situationen handeln. Dieses tiefergehende Verst\u00e4ndnis, welches weit \u00fcber die rein technischen Fragen hinausgeht, hilft ihnen, den Angreifern im Ernstfall einen Schritt voraus zu sein.<\/p>\n\n\n\n

Purple Teaming erfolgreich einsetzen<\/strong><\/p>\n\n\n\n

Um Purple Teaming erfolgreich in die eigenen Pentests zu integrieren, gibt es einige Faktoren, auf die geachtet werden sollte. Da beim Purple Teaming verschiedenen Perspektiven miteinander kombiniert werden, sollte ein Anbieter entsprechendes Wissen in diesen Gebieten aufweisen k\u00f6nnen. Er sollte also sowohl Know-how \u00fcber die Aufgaben des blauen Teams wie Security Monitoring oder Incident Response als auch des roten Teams, zum Beispiel automatisierte Angriffe, besitzen. An oberster Stelle steht dabei also die technische Expertise. Doch auch Kompetenzen in den Bereichen der Teamf\u00fchrung und des Managements sind wichtig: Da der Lernprozess eines der Hauptcharakteristika dieser \u00dcbung ist, muss der Fortschritt regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden. Daf\u00fcr bedarf es eines guten Ma\u00dfes an Teammanagement. Wie bei allen Verfahren, die sich unter dem Oberbegriff Pentesting zusammenfassen lassen, ist eine gute Vorbereitung und ein detailliert ausgearbeiteter Plan entscheidend f\u00fcr den Erfolg der Methode. Je besser die Vorbereitung, desto aussagekr\u00e4ftiger wird das Endresultat. Meistens planen die Teams eine \u201aKill-Chain\u2018 einer relevanten APT-Angriffsgruppe, wie beispielsweise APT29, damit das blaue Team auf ein entwickeltes Szenario vorbereitet ist.<\/p>\n\n\n\n

Only teamwork makes the dream work<\/strong><\/p>\n\n\n\n

Der vielleicht wichtigste Erfolgsfaktor beim Purple Teaming ist die Kollaboration zwischen den beiden Teams. Die \u00dcbung bietet nur dann einen Mehrwert, wenn sowohl das rote als auch das blaue Team mit vollst\u00e4ndiger Transparenz agieren. So sollte das rote Team beispielsweise nicht nur erl\u00e4utern, welche Strategie und welche Techniken es verfolgt, sondern auch klar machen, warum es diese Vorgehensweise w\u00e4hlt. So lernt das blaue Team die Angreifer und deren Angriffe besser nachzuvollziehen. Das blaue Team wiederum muss offen mit eigenen Fehlern und Fehlverhalten umgehen, um diese in Zukunft zu verhindern. Nur dann wird der wirkliche Mehrwert der \u00dcbung erreicht und tr\u00e4gt nachhaltig zur Sicherheit bei.<\/p>\n\n\n\n

Das Purple Teaming soll die traditionelle Vorgehensweise des Pentestings aber nicht ersetzen. In einigen F\u00e4llen ist es sinnvoll, wenn beide Teams unabh\u00e4ngig voneinander agieren und so ein realistisches Szenario simulieren. Purple Teaming ist jedoch eine wichtige Erg\u00e4nzung, die das Pentesting auf eine neue Ebene hebt. Wer beim Purple Teaming auf einen SOC-Dienstleister setzt, hat den Vorteil, dass dieser die \u00dcbung in eine \u00fcbergeordnete Sicherheits-Strategie einbetten kann und die Methode sich so letztlich voll aussch\u00f6pfen l\u00e4sst.<\/p>\n","protected":false},"excerpt":{"rendered":"

Pentests geh\u00f6ren l\u00e4ngst ins Portfolio der meisten Sicherheitsteams. Denn die Methode ist die erste Wahl f\u00fcr diejenigen, die ihre Sicherheitsma\u00dfnahmen gegen Cyberattacken einem praktischen, realit\u00e4tsnahen Check unterziehen wollen. Charakteristisch war dabei in der Vergangenheit h\u00e4ufig die getrennte Arbeitsweise der blauen und roten Teams. Das „Purple Teaming“ geht nun jedoch einen neuen Weg und setzt auf Transparenz und Kooperation statt Abschottung.\u00a0<\/p>\n","protected":false},"author":1,"featured_media":22317,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[13358,16900,1411,16899,4733],"class_list":["post-22313","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-pentest","tag-purple-teaming","tag-soc","tag-socwise","tag-transparenz"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22313","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=22313"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22313\/revisions"}],"predecessor-version":[{"id":22318,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22313\/revisions\/22318"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/22317"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=22313"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=22313"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=22313"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}