Black Hats, Red Team Exercises, das Blue Team im Security Operations Center (SOC) – im Bereich IT-Sicherheit wird viel mit Farben gearbeitet. Einige der bunten Bezeichnungen sind weit verbreitet, andere weniger. In jedem Fall ist es gut zu wissen, was mit den verschiedenen Farben gemeint ist – auch, weil es einen guten Überblick über gewisse Aspekte des Feldes der IT-Sicherheit geben kann. Daher wollen wir in diesem Beitrag den Leser in die Farbenlehre der IT-Sicherheit einführen.

IT-Funktionen und Teams: Ein ganzer Regenbogen

Im Bereich Sicherheitstests sind „Red Teaming“ oder „Red Team Exercises“ aktuell bereits weit verbreitet und „Purple Teaming“, „Purple Team Trainings“ oder „Purple Team Workshops“ stark im Kommen.

Die genannten Farben leiten sich von Funktionen und den Teams, die sie durchführen, ab:

  • Rot: Angreiferfunktion und -rolle. In dieser Funktion nehmen diejenigen, die sie erfüllen, also die Mitglieder des Red Teams, die Rolle der Angreifer ein, die eine Organisation attackieren. Obwohl hier die Angreiferposition eingenommen wird, dient das Red Team auch dem Schutz der Organisation, indem es bei einer Red Team Exercise die Sicherheit auf Herz und Nieren prüft und somit die Effektivität der Maßnahmen des Blue Teams auf die Probe stellt und zu verbessern hilft. Das Red Team ist auf Grund der hohen Anforderungen an Erfahrung und Fähigkeiten meist extern, wodurch auch Betriebsblindheit verhindert wird. Eines der Spezialgebiete von NSIDE sind Red Team Assessments.
  • Blau: Verteidigerfunktion und -rolle. Das Blue Team übernimmt den Schutz der Systeme, Daten und Assets einer Organisation.

Wenn Blue Team und Red Team zusammenkommen, ergibt sich eine temporäre Funktion, die kein permanentes Team ist, sondern nur temporär eingerichtet wird:

Etwas weniger bekannt ist das White Team:

  • Weiß: Das White Team nimmt bei Sicherheitsbemühungen eine koordinierende Rolle ein. Es ist deswegen weiß, weil es sich neutral verhält und Überblick über alle anderen Farben hat, insbesondere Rot und Blau. Es überwacht die Durchführung von Maßnahmen bezüglich Ablauf, Qualität, Umsetzung, Lessons learned usw. Vor allem bei Red Team Assessments, bei denen das Blue Team normalerweise nicht informiert wird, ist das White Team der „innere Zirkel“, der Kenntnis von dem Assessment hat.

Auf der Black Hat 2017 hat April Wright außerdem eine Erweiterung des Farbspektrums vorgeschlagen, um eine weitere Farbe für eine permanente Funktion bzw. permanentes Team zu verwenden:

  • Gelb: Das Yellow Team besteht aus denjenigen, die Systeme und Anwendungen bauen, entwickeln und betreiben. Sie sind also die Mitarbeiter der IT, die sich nicht primär mit Sicherheit beschäftigen.

Durch die drei permanenten Funktions- und Teamfarben (Rot – Angreifer, Blau – Verteidiger, Gelb – Entwickler & Betreiber) ergeben sich nun weitere Kombinationsfarben (wie bereits Lila):

  • Grün: Kombination aus Blau (Verteidiger) und Gelb (Entwickler & Betreiber). Die Verteidiger unterstützen Entwicklungs-, Infrastruktur- und Integrationsprozesse aus der Sicht des Verteidigungsteams. Hierzu gehören beispielsweise das Stellen von Sicherheitsanforderungen, Unterstützung von Projekten des Yellow Team durch Security Engineering und Know-how im Bereich Secure Development Lifecycles, usw.
  • Orange: Kombination aus Rot (Angreifer) und Gelb (Entwickler & Betreiber). Hierbei unterstützt die simulierte Angreiferseite bzw. das Team mit Kenntnissen in offensiver IT-Sicherheit die Entwickler und Betreiber. Dazu gehören zum Beispiel Penetrationstests, Schulungen usw.

Es ergeben sich somit folgende permanente Teams und Funktionen:

  • Rot (Red Team): (Simulierte) Angreifer und Tester
  • Blau (Blue Team): Verteidiger
  • Gelb (Yellow Team): Entwickler & Betreiber

sowie folgende kombinierte Funktionen, die sich in temporären Teams und Kollaborationsprojekten ergeben können:

  • Lila (Purple Team): Angreifer/Tester und Verteidiger arbeiten zusammen
  • Grün (Green Team): Verteidiger und Entwickler/Betreiber arbeiten zusammen
  • Orange (Orange Team): Angreifer/Tester und Entwickler/Betreiber arbeiten zusammen

Sinn und Zweck all dieser kombinierten Funktionen ist stets der Wissensaustausch zwischen ansonsten relativ isoliert arbeitenden Teams. Alle Teams können vom Wissen der jeweils anderen profitieren und somit die Sicherheit der Organisation als Ganzes stärken.

Testtypen: Alles nur Schwarz und Weiß?

Wenn Sicherheitstests, vor allem Penetrationstests, durchgeführt werden, kommt oft die Frage auf: Mit welchem Informationsstand sollen die Tester arbeiten? Hier gibt es üblicherweise folgende drei Ansätze:

  • Black Box Test: Die Tester erhalten von den Besitzern oder Betreibern eines Prüfobjekts kein Wissen a priori über das Prüfobjekt
  • Grey Box Test: Die Tester erhalten von den Besitzern oder Betreibern eines Prüfobjekts einige Informationen über dieses
  • White Box Test (manchmal auch Crystal Box Test genannt): Die Tester erhalten vollständigen Zugriff auf sämtliche Informationen (Dokumentation, Konfiguration, Design usw., manchmal auch auf den Quelltext) des Prüfobjekts

Welcher Ansatz am sinnvollsten ist, hängt vom Testtyp ab. Bei Red Team Assessments handelt es sich meist (bis auf die Festlegung so genannter Critical Functions/Critical Assets, die es zu kompromittieren gilt), um Black Box Tests, da Realismus im Vordergrund steht. Bei Penetrationstests wird oft ein Grey Box-Ansatz mit beschränkten Informationen verfolgt, wo den Testern mindestens der Scope vorher bekannt und manchmal auch stellenweise Einsicht in Dokumentation gegeben wird. Audits und Reviews geschehen meist nach White Box-Ansatz. Welcher Ansatz bei Ihrem Projekt der Passende ist, können wir gerne mit Ihnen gemeinsam besprechen.

Angreifermotivationen: Von guten und bösen Hackern

Angreifertypen folgen der selben Schwarz-Weiß-Stufenskala wie Testtypen:

  • Black Hats: Angreifer mit bösartigen Absichten. Offensive Angreifer, die auf ihren eigenen Vorteil bedacht sind und denen Schäden für das Angriffsopfer im besten Fall egal und im schlimmsten Fall das Ziel sind.
  • Grey Hats: Angreifer, die entweder permanent mit gemischten Absichten agieren oder mal gut, mal böse sind. Beispielsweise kann es Analysten geben, die hauptberuflich Schadsoftware analysieren und dann in ihrer Freizeit selbst Schadsoftware entwickeln oder verbreiten.
  • White Hats: die „guten Hacker“. Hierbei handelt es sich um Angreifer, die ausschließlich zum Schutz und im Auftrag ihrer Kunden und stets autorisiert hacken. Die Penetrationstester der NSIDE ATTACK LOGIC sind zum Beispiel White Hats.

Nichts zu tun mit dieser Skala hat die Firma Red Hat: Sie ist Entwickler der Linux-Distribution für Firmeneinsatz namens Red Hat Enterprise Linux (RHEL). Der Name „Red Hat“ hat keinen Bezug zu obiger Bezeichnung für Hacker.

Informationsfreigabe und Threat Intelligence: Die Ampel

Um zu regeln, wie Informationen und Dokumente zwischen ursprünglichen und potenziell weiteren Empfängern weitergegeben werden dürfen, gibt es verschiedene Verfahren und Klassifizierungsschemata. Hierzu gehören zum Beispiel Einstufungen mit Freigabeniveaus (z.B. „Vertraulich – nur für den Dienstgebrauch“, „Geheim“, „Streng geheim“ bzw. auf Englisch „Confidential“, „Secret“, „Top Secret“).

Ein anderes Verfahren ist das Traffic Light Protocol, welches auch teilweise im Bereich Threat Intelligence zum Einsatz kommt. Hierbei können Dokumente und Informationen mit einer von vier Einschränkungsstufen belegt werden:

  • Red (Rot): Nur für die initialen Empfänger bestimmt, darf auf keinen Fall weitergegeben werden
  • Amber (Bernstein): Weitergabe an einzelne Empfänger in derselben Organisation wie der initiale Empfänger auf strikter Need-to-Know-Basis
  • Green (Grün): Weitergabe innerhalb der Organisation des ursprünglichen Empfängers sowie Partner-Organisationen, jedoch keine generelle Veröffentlichung oder Preisgabe an Nicht-Partner-Organisationen
  • White (Weiß): Darf generell freigegeben, veröffentlicht und weitergegeben werden

Abschluss

In diesem Artikel haben wir einige verschiedene Farbschemata aus verschiedenen Bereichen der IT-Sicherheit kennengelernt. Diese sind illustrativ für einige wichtige Konzepte:

  • Teams und Abteilungen sollten zusammen statt isoliert voneinander arbeiten, um vom Wissen der anderen zu profitieren und die Organisation gemeinsam abzusichern
  • Informationen sollten nicht beliebig geteilt, sondern klassifiziert und nur an berechtigte Empfänger weitergegeben werden
  • Angreifer (und leider auch Angestellte) haben unterschiedliche Motivationen und ethische Standards
  • Bei Tests können Tester im Vorfeld verschiedene Informationen vom Kunden über die Testobjekte erhalten, was Vor- und Nachteile hat