Blog Post

Purple Team statt Red Team: Effizientes Maximieren der eigenen Verteidigungsstärke

In der offensiven IT-Sicherheit gibt es verschiedene Test-Typen: Neben den altbekannten Penetrationstests und Red Team Assessments etablieren sich seit einiger Zeit auch Purple Team Assessments. Bevor wir Purple Team Assessments vorstellen können, gehen wir nochmal kurz auf Red Team Assessments ein.

Wiederholung: Penetrationstests und Red Team Assessments

Sie kennen wahrscheinlich Penetrationstests: Dies sind technische Sicherheitsüberprüfungen auf einzelne Systeme, Anwendungen oder Netzwerke. Bei Red Team Assessments handelt es sich hingegen um vollumfängliche (d.h. nicht nur technische) und realistische Angriffssimulationen gegen Unternehmen als Ganze mit allen Mitteln der Kunst. Bei Red Team Assessments findet und schließt man Wege, die ein professioneller Angreifer nutzen würde, um verschiedene hochschädliche Aktionen gegen das Zielunternehmen durchzuführen. Hierzu gehören beispielsweise: das Stehlen von wichtigem geistigem Eigentum (wie F&E-Ergebnisse, Quelltexte, CAD-Zeichnungen, Bau- und Entwicklungspläne) oder Firmen- und Kundendaten, Zugriff auf Bankkonten, Lahmlegen der Produktionsanlagen, Reputationsschaden, und so weiter. Dadurch wird die Sicherheit der eigenen Organisation einem realitätsnahen Stresstest durch professionelle Angreifer unterzogen und Schwachstellen geschlossen. Man findet außerdem heraus, wie gut die eigenen Erkennungs- und Verteidigungsfähigkeiten in der Praxis sind.

Purple Team Assessments: Eine Einführung

Red Team Assessments sind auf Realismus, Schwachstellenbehebung und strategische Verbesserung fokussiert. Bei Purple Team Assessments hingegen steht der Wissensaustausch zwischen Red und Blue Team, die Effizienz und das zielgerichtete Verbessern der Verteidigung im Vordergrund. Bei einem Purple Team Assessment weiß das Blue Team vom Angriff durch das Red Team, wird aktiv vom Red Team über dessen Schritte in Kenntnis gesetzt, und justiert die eigenen Defensivmaßnahmen zielgerichtet nach. Ebenso informiert das Blue Team das Red Team über erkannte Aktionen, damit das Red Team möglichst schnell eine maximale Angreiferstärke simulieren kann. Somit führt ein Purple Team Assessment durch die enge Kommunikation und Kooperation dazu, dass das Blue Team in kürzester Zeit maximale Verteidigungskapazitäten für die Organisation auch gegen extrem versierte Angreifer entwickelt. Dies ist das primäre Ziel von Purple Team Assessments: Maximierung der eigenen Verteidigungsstärke in kürzester Zeit, Schulung des Blue Teams und Aufdecken von Verteidigungslücken.

Wann ist welcher Test-Typ geeignet?

Wie Sie sehen, verfolgen Penetrationstests, Red Team Assessments und Purple Team Assessments unterschiedliche Zwecke. Alle haben Ihre Daseinsberechtigung. Für welche Form von Assessment man sich entscheiden sollte, hängt vom Ziel ab:

  • Möchte man in einer bestimmten technischen Umgebung (Einzelsystem, Netzwerk, Anwendung) möglichst viele technische Schwachstellen aufdecken? Dann sollte man sich für einen Penetrationstest entscheiden.
  • Möchte man einen professionellen Angriff mit „allen Mitteln der Kunst“ simulieren, herausfinden wie Angreifer dem eigenen Unternehmen massiv schaden können, die eigenen Verteidigungsfähigkeiten realistisch auf den Prüfstand stellen, und Strategien entwickeln, um sich gegen hochprofessionelle Angreifer zu schützen? Dann sind Red Team Assessments das Mittel der Wahl.
  • Möchte man die eigenen Erkennungs- und Verteidigungsfähigkeiten so effizient wie möglich auch gegen hoch versierte Angreifer maximieren, Verteidigungs- und Erkennungslücken identifizieren und dabei das eigene Blue Team hocheffektiv schulen? Dann sind Purple Team Assessments am besten geeignet.

Die Unterschiede der verschiedenen Assessment-Typen sind im Folgenden nochmal tabellarisch dargestellt:

Penetrationstests Red Team Assessments Purple Team Assessments
MethodenFinden technischer SchwachstellenAlle AngriffeAlle Angriffe
ZieleSysteme, Anwendungen, Netze, andere technische SystemeOrganisationen als GanzesOrganisationen als Ganzes
ZweckIdentifikation technischer SchwachstellenIdentifikation von Schwachstellen, strategische Verbesserung & realistische Überprüfung der eigenen Cyber ResilienceEffiziente Maximimierung der eigenen Verteidigungs -und Erkennungsfähigkeiten, Schulung des Blue Teams, Aufdecken von Erkennungs- und Verteidigungslücken
AngreiferkenntnisseWhite, Grey oder Black BoxBlack BoxWhite Box
VerteidigerkenntnisseWhite BoxBlack BoxWhite Box
AusrichtungBreitTiefTief

Related Posts