AntonioDiaz - stock.adobe.com

Red Team, Blue Team, Purple Team: Wer kümmert sich um was?

Das Purple Team soll die Arbeit von Pentestern und IT-Security-Teams in den Unternehmen ergänzen, indem es die in vielen Unternehmen getrennten Gruppen an einen Tisch bringt.

Das Durchführen von IT-Security-Übungen, bei denen ein rotes gegen ein blaues Team antritt, ist in der Regel sehr aufschlussreich. Solche simulierten Angriffe können sehr nützlich für Firmen aller Größen und Branchen sein, gleichgültig ob es dabei um Tests der Sicherheitsmaßnahmen in einem Unternehmen vor Bedrohungen oder um eine Überprüfung der Fähigkeiten des IT-Security-Teams geht.

Bei diesen Übungen werden zwei Teams gegeneinander eingesetzt. In Anlehnung an militärische Manöver, bei denen ebenfalls meist zwei Parteien antreten, übernimmt das blaue Team die Aufgabe der Verteidiger. Seit kurzem gibt es zudem noch „Purple Teams“, deren Einsatz sich ebenfalls bewährt hat.

Erfahren Sie hier, welche Aufgaben jedes Team erfüllen sollte, und wie Sie damit die Leistung Ihres Security Operations Centers (SOC) verbessern.

Um was kümmert sich das Red Team?

Das rote Team übernimmt die Rolle des Angreifers und versucht dabei, die Verteidigungsmaßnahmen des blauen Teams zu durchbrechen oder zu umgehen, um an interne Ressourcen zu kommen. Im Idealfall sind diese auch Ethical Hacker genannten Angreifer über die in einem Unternehmen vorhandenen Sicherheitsmechanismen nicht im Bilde. Daher wird die Aufgabe des Angreifers meist an das Team eines externen Dienstleisters übertragen.

Red Teams nutzen auch von echten Cyberangreifern genutzte Methoden, um Schwachstellen zu finden, sei es bei den Mitarbeitern oder bei den von einem Unternehmen genutzten Prozessen und Technologien. Dabei versuchen sie Sicherheitslösungen zu umgehen und in das Unternehmensnetz einzudringen, um Daten zu entwenden – im Idealfall, ohne dabei vom blauen Team überhaupt nur bemerkt zu werden.

Zu den gängigen Methoden, die von roten Teams eingesetzt werden, gehören:

Zusätzlich zu diesen auch bei vielen Angreifern beliebten Techniken, nutzen Red Teams immer wieder eigene Tools, um in fremde Netzwerke einzudringen. Ist ihnen dies erst einmal gelungen, wollen sie sich meist erweiterte Berechtigungen verschaffen. So kann der Schaden eines Einbruchs maximiert werden.

Da diese Übungen durchgeführt werden, um die Sicherheitsmaßnahmen letztlich zu verbessern, verfassen die Mitglieder des roten Teams nach den Angriffen in der Regel einen Bericht. Er enthält Informationen über die eingesetzten Techniken, die attackierten Ziele und über dabei durchgeführte erfolglose sowie erfolgreiche Versuche. Meist umfassen die Berichte auch Empfehlungen, wie sich die IT-Sicherheit anschließend verbessern lässt, welche Maßnahmen zur Optimierung getroffen werden können und wie sich künftige Attacken vermeiden lassen. Damit helfen sie dem blauen Team dabei, Lücken in den Verteidigungsmaßnahmen zu erkennen, zu lernen wo Fehler auftraten und wo neue Lösungen benötigt werden.

Um was kümmert sich das Blue Team?

Das blaue Team ist dafür verantwortlich, die in einem Unternehmen eingesetzten IT-Systeme regelmäßig einer Bestandsaufnahme zu unterziehen. Außerdem müssen Schwachstellen erkannt und die Effektivität der eingesetzten Security-Tools überprüft werden, um die IT-Umgebung zu schützen. Es stammt meist aus dem internen Mitarbeiterstamm.

Zu den Aufgaben des Blue Teams gehört:

  • Monitoring im Unternehmensnetz, den eingesetzten IT-Systemen und -Geräten,
  • Erkennen, Abwehren, Eindämmen und Bekämpfen von Bedrohungen und Angriffen,
  • Sammeln von Traffic-Daten im Netzwerk sowie von forensischen Beweisen,
  • Durchführen von Datenanalysen und
  • von internen und/oder externen Schwachstellenscans, DNS-Audits sowie Risikoeinschätzungen.

Die Mitglieder des blauen Teams analysieren die gesammelten Informationen und kümmern sich dann um Anpassungen der bereits vorhandenen Sicherheitslösungen, der Hardware und der Richtlinien, um den Schutz vor künftigen Angriffen zu gewährleisten.

Außerdem erledigen sie meist folgende Tätigkeiten:

  • Sie erstellen, konfigurieren und setzen Firewall-Regeln durch,
  • sie setzen und richten Zugriffskontrollen für Geräte und Anwender ein (meist auf Basis des Prinzips der geringsten benötigten Berechtigungen),
  • sie halten die diversen im Unternehmen benötigten Anwendungen auf dem aktuellen Stand, seien sie geschäftlicher oder sicherheitsrelevanter Natur,
  • sie sorgen für den Einsatz von Lösungen aus den Bereichen IDS/IPS (Intrusion Detection Systems, Intrusion Prevention Systems) sowie EDR (Endpoint Detection and Response),
  • sie segmentieren Netzwerke in kleinere Teile,
  • sie nehmen erkannte Angriffe per Reverse Engineering unter die Lupe,
  • sie führen DDoS-Tests (Distributed Denial of Service) durch und
  • sie entwickeln Richtlinien zur Reaktion und Abwehr von Angriffen, um damit sicherzustellen, dass die IT-Systeme nach einem sicherheitsrelevanten Vorfall schnell wieder zu ihrem normalen Zustand zurückkehren können.

Das blaue Team ist außerdem dafür verantwortlich, menschliche Schwachstellen zu erkennen und sich um sie zu kümmern. Sich über die aktuellen Tricks bei Betrugsversuchen via Phishing oder Social Engineering zu informieren, gehört damit ebenfalls zu seinen Aufgaben. Zusätzlich führen die Experten Security Awareness Trainings durch und sorgen dafür, dass Richtlinien für Endanwender im Unternehmen erstellt und durchgesetzt werden. Ein Beispiel dafür sind Vorgaben für Passwörter.

Die Aufgaben und das Zusammenspiel von Blue, Purple und Red Team im Überblick.
Abbildung 1: Die Aufgaben und das Zusammenspiel von Blue, Purple und Red Team im Überblick.

Darüber hinaus informiert das blaue Team leitende Angestellte im Unternehmen, wenn Risiken gefunden wurden. Anschließend kann entschieden werden, ob ein bestimmtes Risiko hingenommen wird oder ob es neuer Richtlinien beziehungsweise Kontrollmaßnahmen bedarf, um dagegen vorzugehen.

Wie auch die roten Teams sammeln die Mitglieder des blauen Teams nach einer Übung Beweise, Log-Dateien und andere Daten, um einen Bericht über ihre Erfahrungen und Erkenntnisse zu erstellen. Auch dieser Report enthält in der Regel Empfehlungen zu neuen Maßnahmen und Verbesserungen.

Um was kümmert sich nun das Purple Team?

Die Bezeichnung „Team“ für das Purple Team ist eigentlich etwas irreführend, da es sich nicht um eine feste Gruppe handelt, sondern um eine Zusammenstellung aus Mitgliedern des blauen und des roten Teams.

Sowohl das rote als auch das blaue Team teilen sich die Aufgabe, die Sicherheit in einer Organisation zu verbessern. Allzu oft sind die einzelnen Mitglieder aber nicht wirklich gewillt, ihre „Geheimnisse“ zu verraten. So informiert manch rotes Team nicht über alle von ihnen verwendeten Methoden, mit denen sie in die Systeme eingedrungen sind, während blaue Teams wiederum nicht mitteilen wollen, wie sie die Angriffe entdeckt und abgewehrt haben.

Es ist aber von größter Bedeutung, dass diese Informationen weitergegeben werden, wenn die Sicherheit des Unternehmens insgesamt erhöht werden soll. Die tatsächliche Bedeutung im Hinblick auf Erkenntnisse sowohl des roten als auch des blauen Teams ist äußerst gering, wenn ihre Mitglieder nicht offen über ihre Versuche berichten und nicht alle zur Verfügung stehenden Daten freigeben wollen. Als Abhilfe wurde daher das Konzept des Purple Teams entwickelt. Es soll bewirken, dass die Mitglieder des roten und die des blauen Teams besser zusammenarbeiten und Informationen über ihre Ressourcen und über ihre Erkenntnisse teilen. Um dieses Ziel zu erreichen, muss sich das Purple Team konsequent auf das Fördern der Kommunikation und die Zusammenarbeit zwischen den Team-Mitgliedern konzentrieren.

Vorteile von Übungen mit roten und blauen Teams

Rote und blaue Teams haben jeweils ihre eigenen Vorteile, aber nur in der Kombination aus beiden Gruppen bieten sie den größten Mehrwert. Zusätzlich zum Identifizieren von Schwachstellen und den damit verbundenen Verbesserungen beim Schutz eines Unternehmens, können diese Übungen zu folgenden positiven Ergebnissen führen:

•          Die Zusammenarbeit verbessern,

•          für einen gesunden Wettbewerb sorgen,

•          identifizieren, wo weitere Trainings nötig sind,

•          die Mitarbeiter motivieren außerhalb vorgegebener Wege zu denken,

•          die Team-Mitglieder dabei fördern, echte Sicherheitsfähigkeiten aus der „realen Welt“ zu entwickeln,

•          die Erkennung von Bedrohungen und die Reaktionszeiten zu verbessern sowie

•          die Sicherheitssituation in einem Unternehmen kontinuierlich zu verbessern.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit