Purple Teaming: Zwischen Red Team und Blue Team

Purple Teaming ist ein neuer Ansatz im Bereich Sicherheitstests, den man als „kollaborative Red Team Tests“ beschreiben könnte. Normale Red Team Assessments sind stark auf die Realität ausgelegt: Üblicherweise weiß das Blue Team bzw. die IT-Abteilung der Firma mit Ausnahme des Teamleiters/Managers nichts von einem Red Teaming, um die Realität der Angriffssimulation zu bewahren. Beim Purple Teaming hingegen weiß das angegriffene Team, dass es angegriffen wird, und arbeitet eng mit den Angreifern zusammen. Daher ergibt sich auch der Name von Purple Team Engagements: Das Red Team und das Blue Team arbeiten eng zusammen. Das Red Team verkörpern hierbei die simulierten Angreifer, während das Blue Team die Verteidiger darstellen. Dies kann entweder ein dediziertes, permanentes Blue Team in der Firma, die IT- und Administrationsabteilung, ein internes oder externes SOC oder die IT-Sicherheitsabteilung sein: Wer auch immer für Verteidigung zuständig ist, ist das Blue Team.

Blue Team

– Verteidiger –

  • Monitoring & Detection
  • Containment
  • Response
  • Threat Hunting
  • Use-Case-Erstellung
  • Regeln erstellen
  • Konfiguration

Purple Team

– Kollaboration –

  • Informationsaustausch
  • Exerzieren von Angriffszenarien
  • Gemeinsame Verbesserung von Security Controls
  • Maximierung von abgedeckten Angreiferporfilen und -stärken
  • Training

Red Team

– Angreifer –

  • Penetrationstests
  • Social Engineering & Phishing
  • Lateral Movement
  • Persistenz
  • Looting
  • Privilege Escalation
  • Command- & Control-Kanäle
  • Eigene & maßgeschneiderte Tool- und Software-Entwicklung

Nutzen von Purple Team Assessments

Red Teaming, das manchmal auch salopp als Red Team Penetration Testing bezeichnet wird, zielt vor allem darauf ab, Unternehmen einer möglichst realistischen Angriffssimulation zu unterziehen. Hiermit werden bestimmte Fragestellungen beantwortet und Themen fokussiert: Können meine sensibelsten Systeme angegriffen und wertvollsten Daten gestohlen werden? Wenn ja, wie? Kann mein Team Angriffe überhaupt erkennen oder wären wir im Ernstfall „blind“? Falls wir Angriffe korrekt erkennen, wie schnell und wie effektiv reagieren wir? Welche Security-Aspekte haben wir noch nicht bedacht?

Bei Purple Team-Übungen (Purple Team Exercise) hingegen steht nicht die Realität im Vordergrund, sondern die möglichst schnelle und möglichst starke Verbesserung aller Fähigkeiten und Möglichkeiten der Verteidigung, also des Blue Teams. Im Laufe eines Purple Team Engagements, hin und wieder Purple Team Training genannt, spielt das Red Team verschiedene Phasen eines Hacker-Angriffs durch und erhöht dabei schrittweise den Härte- und Fähigkeitsgrad der Angriffe.

Dabei wird überprüft, welche Angriffe durch das Blue Team erkannt, welche blockiert und welche weder erkannt noch blockiert wurden. Bei letzteren hilft das Red Team dem Blue Team dabei zu ermitteln, warum diese nicht erkannt oder blockiert wurden, und es werden Maßnahmen ausgearbeitet, wie in Zukunft solche Angriffsschritte verhindert werden können. So wird nach und nach mit steigendem Schwierigkeitsgrad der Angriffe durch das Red Team und durch das Nachjustieren der Verteidigungsmaßnahmen des Blue Teams die Verteidigungskraft der Firma auf ein maximales Niveau gegen möglichst viele verschiedene Angriffstechniken angehoben.

Zusammengefasst sind Purple Teamings eine gemeinsame Übung von Angreifern und Verteidigern, bei denen die Angreifer die Ausbildung der Verteidiger in einer offenen Übung ermöglichen und gleichzeitig die Verteidigungsmaßnahmen des Unternehmens gegen so viele Angriffstechniken wie möglich in kürzester Zeit maximieren.

Wann und für wen lohnen sich Purple Team Assessments?

  • Das eigene Blue Team soll interaktiv bei einem laufenden Angriff trainiert werden und üben können
  • Die eigenen Sicherheitstechnologien wie SIEM, EDR, Endpoint Protection, Sysmon, IDS/IPS (Intrusion Detection System/Intrusion Prevention System) sollen feingetunt werden
  • Es sollen neue Use Cases, Alarme und Regeln für möglichst viele Angriffstechniken (TTPs – tactics, techniques and procedures, die zum Beispiel MITRE ATT&CK erfasst) erstellt werden
  • Das Blue Team soll von der Erfahrung eines externen Red Teams profitieren
  • Die Fähigkeiten und technischen Möglichkeiten des Blue Teams sollen in möglichst kurzer Zeit auf den höchstmöglichen Stand verbessert werden
  • Lücken in der eigenen Erkennung und Blockade sollen systematisch aufgespürt und geschlossen werden

Vergleich Purple Teaming und Red Teaming Tests

Wie eingangs beschrieben bestehen einige Unterschiede zwischen Red Teamings und Purple Teamings. Diese werden in dieser Tabelle kurz gegenübergestellt:

RED TEAM

Realismus & Offenheit:
Das Blue Team weiß nicht vom Angriff. Das Red Team agiert verdeckt.

Wissensaustausch vom Red zum Blue Team:
Einmalig am Ende des Assessments

Ziele:
Realistische Überprüfung der Cyber Resilience, Posture & Exposure.

Scope:
Strategisch, taktisch & ganzheitlich

Ergebnisse:
Bericht mit Empfehlungen zur organisatorischen, strategischen und taktischen Verbesserung der ganzheitlichen Sicherheitslage.

PURPLE TEAMING

Realismus & Offenheit:
Das Blue Team weiß vom Angriff und wird in diesen eingebunden.

Wissensaustausch vom Red zum Blue Team:
Kontinuierlicher Informationsaustausch während der Aktionen ist Kern eines Purple Teamings.

Ziele:
Schnellst- und höchstmögliche Stärkung der Fähigkeiten & technischen Möglichkeiten des Blue Teams.

Scope:
Technisch & operativ

Ergebnisse:
Verbesserte technische und operative Maßnahmen des Blue Teams zur Erkennung und Verhinderung von Angriffen sowie Schließung von Blind Spots.

Gemeinsamkeiten Red & Purple Teams:

Beide Formen von Engagement, egal ob realistisch, ganzheitlich und verdeckt (Red Teaming) oder offen und auf sofortige Stärkung von einzelnen Verteidigungstechnologien und -fähigkeiten fokussiert (Purple Teaming), sind darauf ausgelegt, die Verteidigung von Unternehmen zu stärken und zu verbessern, indem diese den Angriffen eines professionellen Red Teams ausgesetzt wird. Sie stärken jedoch unterschiedliche Aspekte und produzieren Erkenntnisse aus verschiedenen Standpunkten.

Purple Teaming mit NSIDE ATTACK LOGIC

Um Ihnen das bestmögliche Produkt zu liefern, passen wir die Testparameter wie Umfang und Vorgehen auf Ihre individuellen Bedürfnisse an. Kontaktieren Sie uns einfach, dann setzen wir uns zeitnah mit Ihnen in Verbindung.