Tierney - stock.adobe.com
Wie unterscheiden sich Pentests und Red-Team-Aktivitäten?
Ist ein Penetrationstest das Gleiche wie der Einsatz eines Red Teams? Es gibt Gemeinsamkeiten, aber auch Unterschiede. Diese sollte man kennen, um die Cyberabwehr zu verbessern.
Wenn es um die Durchführung von Sicherheitsbewertung geht, behandeln Unternehmen Penetrationstests und Red Teaming oft so, als wäre es dasselbe – aber das trifft nicht zu. Für die Auswahl der richtigen Sicherheitsbewertung für ein Unternehmen ist es wichtig, die Unterschiede zwischen Penetrationstests und Red-Team-Aktivitäten zu kennen.
Was ist ein Penetrationstest?
Das Pen-Testing ist ein Prozess zum Testen eines Systems, eines Netzwerks, einer Webanwendung oder einer anderen Ressource. Es gilt, innerhalb einer vorgegebenen Zeit so viele Schwachstellen und Konfigurationsprobleme wie möglich zu finden. Pen-Tester nutzen diese Schwachstellen dann aus, um das Risiko der Schwachstellen zu ermitteln.
Penetrationstester versuchen nicht, neue Schwachstellen zu entdecken – also so genannte Zero-Day-Schwachstellen aufzuspüren. Vielmehr geht es darum, bereits bekannte, aber nicht gepatchte Schwachstellen zu finden.
Während eines typischen Penetrationstests versuchen die Akteure eine Version der installierten Software zu finden, die als anfällig bekannt ist. Dieser Prozess geht dann immer so weiter: Andere Schwachstellen finden und auszunutzen und auch Angriffe kombinieren, um schlussendlich zum Ziel zu kommen.
Was ist ein Red-Team-Einsatz?
Der Einsatz von Red-Team-Experten hat viele Gemeinsamkeiten mit Penetrationstests, aber die Ziele unterscheiden sich. Das so genannten Red Teaming ist deutlich mehr von Szenarien getrieben als Penetrationstests. Das Ziel von Red-Team-Einsätzen ist es nicht, nur die Umgebung und die Systeme innerhalb der Umgebung zu testen, sondern auch die Menschen und die Prozesse des Unternehmens.
Zu den typischen Szenarien des Red Teams gehören die Ausnutzung von verlorenen Notebooks, nicht autorisierter Geräte, die mit dem Netzwerk verbunden sind sowie kompromittierter DMZ-Hosts. Dies beinhaltet auch die Prüfung wie das SOC (Security Operations Center) oder das Blue Team auf eine fortgeschrittene anhaltende Bedrohung reagiert. Das Blue Team des Unternehmens beschäftigt sich damit Angriffe zu erkennen und zu bekämpfen. Werden die Verteidiger im SOC oder die Mitglieder des Blue Team bemerken, wenn ein Mitarbeiter Daten aus dem Netzwerk nach außen schleust?
Red Teams verwenden auch szenariogesteuerte Tests, um die Erkennung von und die Reaktion auf bestimmte Vorfälle zu untersuchen. Dabei wird untersucht, wie gut die Fähigkeit des Unternehmens ist, externe Bedrohung zu erkennen und damit umzugehen. Dabei kann es sich um Phishing-Kampagnen, Social-Engineering-Angriffe, Umgehung von Schutzsoftware oder auch Seitwärtsbewegungen im Netzwerk handeln. All dies immer abhängig von der Komplexität der Systeme eines Unternehmens.
Wann benötigt man Penetrationstests und wann Red-Team-Einsätze?
Ob Penetrationstests oder Red-Team-Aktivitäten die bessere Wahl sind, hängt von den jeweiligen Zielen des Unternehmens ab. Was soll geklärt werden? Geht es darum, Systeme und Netzwerke auf bekannte Schwachstellen zu testen, insbesondere um festzustellen, ob diese Schwachstellen ausgenutzt werden können? In diesem Fall wäre ein Penetrationstest der beste Ansatz. Gilt es mehr über den Sicherheitsstatus des Unternehmens an sich zu erfahren? Dann sollte sich ein Red Team ans Werk machen.