Blog

Informativ, aktuell und spannend – der Oneconsult Cybersecurity Blog.

Erhöhen Sie Ihre Cyber-Resilienz durch Purple Teaming
Renato Venzin
Renato Venzin
|
25.10.2023
(aktualisiert am: 09.09.2024)

Purple Teaming ergibt sich aus der Mischung von Red (Teaming) und Blue (Teaming) und veranschaulicht, wie die beiden Teams zusammenarbeiten, um die Cyber Security eines Unternehmens zu verbessern. Erreicht wird dies durch eine Kooperation, bei der Angriffsszenarien von beiden Teams gemeinsam diskutiert, durchgeführt und analysiert werden.

Auf diese Weise können spezifische interne Use Cases oder Testszenarien mit einem effizienten Ansatz durchgespielt werden, da sowohl das Wissen über die defensiven Fähigkeiten und das Innenleben des Unternehmens als auch das offensive Wissen über Angriffsszenarien und Werkzeuge kombiniert werden.

Inhaltsverzeichnis

3 Gründe für die Durchführung eines Purple Teamings

Purple Teaming findet in unterschiedlichsten Bereichen Anwendung. Dabei ist es hilfreich für:

  • Die Evaluierung der defensiven Fähigkeiten durch simulierte Angriffe;
  • Das Hinterfragen interner Use Cases oder Playbooks und Identifizieren von Möglichkeiten, diese zu umgehen; und
  • Die Überprüfung der Effektivität von Use Cases oder Verteidigungswerkzeugen in Bezug auf bestimmte Angriffe.

Red Teaming vs Blue Teaming

Wenn wir über Cyber Security Teams sprechen, bezeichnen wir sie oft entweder als Blue Teams oder als Red Teams. Das Blue Team ist die verteidigende Seite, z. B. ein Security Operation Center (SOC) oder ein internes Sicherheitsteam, und das Red Team ist die angreifende Seite, z. B. die Penetrationstester.

Bei den meisten Cyber-Sicherheitsanalysen arbeiten die Teams unabhängig voneinander. Red Teams liefern die Sicht der Angreifer, testen Anwendungen oder Umgebungen und dokumentieren ihre Erkenntnisse und Massnahmen. Diese werden dann von den internen Sicherheitsteams (Blue Teams) verwendet, um die Sicherheitsumgebung des Unternehmens zu verbessern.

Die wichtigsten Use Cases für Purple Teaming

Purple-Teaming-Projekte sind ein sehr nützliches Instrument, um ausgewählte Use Cases oder Angriffsszenarien zu bewerten und die Cyber-Resilienz eines Unternehmens zu verbessern.

Die folgenden Punkte können mit einem Purple-Teaming-Ansatz getestet werden:

Ausgewählte Use Cases oder Playbooks

  • Testen bestimmter Tools oder Teile eines Angriffspfads
  • Ermittlung der Nützlichkeit ausgewählter Fälle
  • Identifizierung von Unzulänglichkeiten bei der Blockierung oder Alarmierung bei entsprechenden Angriffen
  • Infragestellung der Robustheit der ausgewählten Fälle sowie Versuche, die Erkennung zu umgehen

Ausgewählte Angriffsszenarien

  • Erstellen einer Angriffssimulation auf der Grundlage bekannter Angreifer oder bekannter Angriffspfade
  • Identifizierung von Lücken bei der Erkennung der gesamten Angriffskette
  • Suche nach alternativen Pfaden zur Umgehung von Verteidigungsfunktionen

Re-Test nach einem Vorfall oder Red-Teaming-Einsatz

  • Nachstellen eines Angriffspfads, wie er während eines Vorfalls oder eines Red-Teaming-Einsatzes beobachtet wurde
  • Identifizierung der Fortschritte gegenüber vorhergehenden Iterationen/Tests
  • Identifizierung von weiterem Verbesserungspotenzial

Technische Erläuterung von Purple Teaming

Der grosse Vorteil eines Purple Teamings ist die Zusammenarbeit zwischen der angreifenden und der verteidigenden Seite. Die Rollen bleiben dieselben, aber die Teams gehen die Angriffsszenarien gemeinsam durch. Ausserdem werden Informationen über Alarme oder Exploits aktiv ausgetauscht und diskutiert, um die Tests oder Alarmierungsregeln anzupassen.

Dies ermöglicht eine Fehlersuche in Echtzeit, wenn ein Angriff nicht abgefangen wird, sowie eine erneute Ausführung des Angriffs, um zu prüfen, ob die Anpassungen und Verbesserungen der Verteidigungsfunktionen wie erwartet funktionieren. Ausserdem kann in Fällen, in denen ein Angriff erkannt wurde, geprüft werden, ob es Möglichkeiten gibt, die Erkennung zu umgehen. Auf dieser Grundlage können dann zusätzliche Sicherheitsmassnahmen oder Regeln implementiert werden.

Zudem können die Tests effizienter durchgeführt werden, da Informationen darüber, warum ein bestimmter Angriff blockiert wurde, weitergegeben werden können. Dadurch kann das Red Team den Angriff entsprechend anpassen.

Organisation eines Purple-Teaming-Projekts

Aufgrund der Zusammenarbeit und des Informationsaustauschs, müssen Purple-Teaming-Einsätze geplant werden und erfordern sowohl für das Red Team als auch für das Blue Team einen gewissen Aufwand bei der Vorbereitung.

Auch wenn der tatsächliche Aufwand und dessen Aufteilung je nach Ziel und Szenario der Tests unterschiedlich ist, sollte zumindest ein Gesamtplan darüber bestehen, welches Szenario oder welcher Angreifer simuliert werden soll.

Wenn bestimmte Use Cases oder Teile eines Angriffspfads getestet werden sollen, müssen mehr Informationen zur Vorbereitung gesammelt werden. Ausserdem können detailliertere Testfälle ausführlicher besprochen und mögliche Probleme direkt während des Audits erkannt und behoben werden.

Während der Vorbereitung der Tests sollte mindestens ein Mitglied des Verteidigungsteams für Diskussionen und Fragen zur Umgebung zur Verfügung stehen. Die Angriffsszenarien können auf realen Bedrohungsakteuren, internen Use Cases oder zuvor durchgeführten Red-Teaming-Einsätzen sowie auf einer Mischung aus all diesen Faktoren basieren. Während der Ausführungsphase sollte das Verteidigungsteam aktiv in den Test einbezogen werden. Vorzugsweise sollten sich alle Teilnehmer im selben Raum befinden, um eine einfache Kommunikation und einen einfachen Informationsaustausch zu gewährleisten. Ausserdem sollten die Mitglieder des Blue Teams während der Ausführung Zeit haben, den Output und die Ergebnisse ihrer Verteidigungswerkzeuge zu bewerten und, wenn möglich, die Regeln oder Werkzeuge entsprechend den Ergebnissen anzupassen.

Im Gegensatz zu Red-Teaming-Einsätzen, besteht das Ziel eines Purple-Teaming-Einsatzes nicht in der erfolgreichen Kompromittierung der Umgebung. Vielmehr geht es darum, die Verteidigungsfähigkeiten in Bezug auf bestimmte Angriffsszenarien oder Use Cases zu bewerten und zu hinterfragen, ob und wie leicht es möglich ist, die vorhandenen Abwehrmechanismen zu umgehen.

Vorteile von Purple Teaming

Ein wesentlicher Vorteil von Purple Teaming ist die Effizienz sowohl auf der angreifenden als auch auf der verteidigenden Seite. Die bereitgestellten Informationen und Rückmeldungen über entdeckte oder blockierte Befehle und ausführbare Dateien ermöglichen es dem Red Team, das Vorgehen anzupassen. Da das Blue Team weiss, was genau wann ausgeführt wird und in ständigem Kontakt zum Red Team steht, kann es die Warnungen und Informationen, die durch die defensiven Werkzeuge zur Verfügung stehen, in Echtzeit einsehen und eventuelle Lücken erkennen.

Darüber hinaus bietet ein Purple Teaming die Möglichkeit, einen Angriff oder zumindest Teile eines Angriffs zu simulieren, und zwar mit einem geringeren Aufwand als bei einem vollständigen Red-Teaming-Einsatz, da die Phase des Informationsbeschaffens übersprungen wird und die Voraussetzungen für die spezifisch zu testenden Teile gegeben sind.

Nicht zuletzt bietet ein Purple Teaming eine gewisse Flexibilität, um die Tests auf der Grundlage der Ergebnisse anzupassen. Wenn zum Beispiel bei einer ersten Iteration nichts entdeckt wurde und Änderungen während des Einsatzes nicht möglich sind, können zusätzliche Testtage genutzt werden, um andere Use Cases oder potenzielle Angriffe zu testen. Wurden dagegen alle geplanten Angriffe abgewehrt, können die verbleibenden Testtage genutzt werden, um zu versuchen, die vorhandenen Verteidigungsmechanismen zu umgehen und eine gründlichere Analyse bestimmter Use Cases durchzuführen.

Fazit

Purple-Teaming-Projekte sind ein nützliches Instrument zur Bewertung der Verteidigungsfähigkeiten durch simulierte Angriffe. Sie können von einer Simulation eines kompletten Angriffspfades bis hin zum einfachen Testen einzelner Use Cases oder Teile eines Angriffspfads reichen.

Purple Teaming ist zwar kein Ersatz für Red Teaming, kann aber eine sehr nützliche Ergänzung sein, insbesondere um Massnahmen zu testen, die nach einem erfolgreichen Red-Teaming-Einsatz eingeführt wurden. Es kann ein effizientes Werkzeug sein, um bestimmte Angriffsszenarien zu testen, ohne dass eine vollwertige Angriffssimulation erforderlich ist, und bietet dem internen Verteidigungsteam eine Menge Flexibilität und Nutzen.

Wenn Sie mehr über Red Teaming erfahren möchten oder wissen möchten, wie Ihr Unternehmen davon profitieren kann, können Sie uns gerne kontaktieren. Wir freuen uns darauf, von Ihnen zu hören.

Kontakt aufnehmen

Kategorien

Alle Kategorien
Active Directory / Entra ID
Attack Simulation / Red Teaming
Cybersecurity
Cybersecurity Awareness
Digital Forensics
Incident Response
IoT/OT-Security
News & Advisories
Penetration Testing

Vulnerability Management

Dies könnte Sie ebenfalls interessieren:

Renato Venzin

Autor

Renato Venzin ist ein Senior Penetration Tester bei Oneconsult. Er hat einen Bachelorabschluss in Informatik von der HSR FHO und ist OSCP, OSWP, CRTO und CRTL zertifiziert.

LinkedIn

Never want to miss anything again?

Subscribe to our news feed on LinkedIn and register to receive our newsletter.

Sign up for our Newsletter
Privacy Statement

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

  • Was und wer ist betroffen?
  • Wer hat den Vorfall entdeckt und gemeldet?
  • Wie und wann wurde der Vorfall bemerkt?
  • Was haben Sie beobachtet?
  • Was bereitet Ihnen Sorgen im Zusammenhang mit dem Vorfall?
  • Welche Massnahmen wurden bereits eingeleitet?

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.