Security Services

Red Teaming Operations

Unternehmen sind sich immer mehr der Bedrohungen bewusst, die von möglichen Cyber-Angriffen ausgehen. Diese Bedrohungen entwickeln sich immer schneller in Bezug auf Komplexität, Raffinesse und Tarnung weiter. Aus diesem Grund setzen kleine, mittlere und grosse Unternehmen verschiedenste Abwehrmassnahmen, Mechanismen und Lösungen ein, um diese Cyber-Bedrohungen zu unterbinden: Firewalls, IDS, IPS und andere Systeme bilden die Verteidigungslinie gegen bösartige Operationen. Zu diesen technischen Geräten kommt die menschliche Ebene - die sogenannten «Blue Teams» - hinzu. «Blue Teams» haben oftmals diese Infrastruktur konfiguriert, warten und betreiben diese. Es gibt jedoch einen Haken: Diese Verteidigung arbeitet mit unterschiedlichen Interaktionen und Prozessen, die in den meisten Fällen sehr komplex sind und vor allem nur dann getestet werden, wenn ein Schadensereignis eintritt.

Wie kann sichergestellt werden, dass die Cyber Verteidigung eines Unternehmens richtig funktioniert? Wie kann man erfahren, ob das interne Sicherheitsteam und das Security Operations Center (SOC) wirklich darauf vorbereitet sind, einen gezielten Angriff zu erkennen und darauf zu reagieren?

Unser Red Team Assessment ist die alternative Herangehensweise die Herausforderung aus der gegnerischen Sicht anzugehen. Es verfolgt einen anderen Ansatz als eine typische Sicherheitsbewertung. Es stützt sich stark auf klar definierte Taktiken, Techniken und Verfahren (TTPs), die von grösser Bedeutung sind, um realistische Bedrohungen oder Gegner erfolgreich nachzuahmen.

Unsere Dienstleistungen basieren auf hochqualifizierten Sicherheitsexperten, erfahrenen Penetrationstestern und ethischen Hackern mit unterschiedlichem Hintergrund, unterschiedlichen Fähigkeiten, umfangreicher Erfahrung sowohl in der Verteidigung als auch in der Offensive. Diese verschiedenen Denkweisen und Herangehensweisen kombinieren wir für ein Ziel: DIE SICHERHEIT UNSERER KUNDEN.

Hacker vs. Blue Team

Unsere Red Teaming Methodik

Unser «Red Teaming» Dienst für die Emulation von Bedrohungsanalysen ist in folgenden vier Phasen aufgeteilt:
Vorbereitung
Ausführung
Analyse & Berichterstattung
Lessons Learned Workshop
Vorbereitung

In dieser Phase wird die Ausgangssituation für das «Red Teaming» Projekt definiert. Die aktuellen Bedürfnisse des Kunden und der Umfang der durchzuführenden Massnahmen werden gemeinsam ermittelt und definiert, u.a. werden Vorgaben wie die Dauer des «Red Teaming» Auftrags, die Rahmenbedingungen, erlaubte und nicht erwünschte Handlungsabläufe festgelegt werden. Diese Bedürfnisse und Massnahmen werden im «Rules of Engagement» Dokuments zusammengefasst werden.

Ausführung
Für die Ausführung eines Projekts wendet die wizlynx group ein einfaches Ausführungskonzept an, das aus drei Hauptzielen besteht:
Get In
Das «Red Team» beschafft sich Zugang zu den definierten Zielen und damit zum Netzwerk.
Stay In
Das «Red Team» versucht sich «nieder zu lassen» (persitency) und die notwendige Beständigkeit durchzusetzen, damit die Dauer des Einsatzes überstanden werden kann.
Act
Das «Red Team» führt die in der Vorbereitungsphase mit dem Kunden gemeinsam vereinbarte Aktionen (auch operative Auswirkungen genannt) durch. Operative Auswirkungen sind Massnahmen, die darauf abzielen, eine Schwachstelle aufzuzeigen.

Wie nachfolgend beschrieben ist jede Phase des Angriffs in weitere Subphasen unterteilt:

wizlynx group Red Team Service Methodology

Aufklärung

Diese Phase beinhaltet eine passive und aktive Aufklärung, um Informationen über die Zielorganisation und die Mitarbeiter zu sammeln und zugrunde liegende Komponenten wie Betriebssysteme, laufende Dienste, Softwareversionen usw. zu identifizieren. Die folgende Liste (nicht abschliessend) enthält Informationselemente die beschafft werden, um danach einen gezielten Angriff durchführen zu können und damit die Erfolgswahrscheinlichkeit zu erhöhen
  • Targeted threat intelligence analysis
  • Open domain search
  • DNS investigation
  • Public information search (search engines, social networks, newsgroups, etc.)
  • Open Source Intelligence (OSINT)
  • Port scanning, OS fingerprinting, and version scanning
  • Network enumeration

Ausbeutung

In dieser Phase wird versucht in die zuvor aufgespürten und ausgespähten Assets einzubrechen und/oder Mitarbeiter mit Social-Engineering-Techniken per E-Mail, Telefon, Fax oder SMS mit Phishing zu kompromittieren.

Nach der Ausbeutung

Installation einer «beständigen Hintertür» oder eines «Implantats» in der Zielumgebung, um damit den Zugang für einen längeren Zeitraum aufrechtzuerhalten. Laterale Bewegungen zwischen den Systemen um Zugriff auf verschiedene Systeme innerhalb einer Ziel-Umgebung zu erhalten. Einrichtung einer «Zentrale Leitstelle» (Command & Control) damit das wizlynx «Red Team» das Opfer aus der Ferne weiter manipulieren kann. In dieser SubPhase stellen wir sicher, dass der Fernzugriff auf ausgebeutete Systeme für die weiteren Ausbeutungs-Aufgaben stabil bleiben.

Aktionen an den Zielen

In dieser Phase wird versucht die mit dem Kunden festgelegten Ziele zu erreichen, z.B.:
  • Sammlung von Benutzeranmeldeinformationen
  • Berechtigungserweiterungen
  • Interne Aufklärung
  • Laterale Bewegungen durch die Umgebung
  • Erfassung sensibler Informationen und deren Exfiltration
Analyse & Berichterstattung

Alle Ergebnisse werden in einem ausführlichen Abschlussbericht dokumentiert und anschliessend mit einem Stärken-Schwächen-Profil gegenüber internationalen Standards für IT- und Cybersicherheit verglichen. Die identifizierten Schwachstellen werden bewertet und durch Empfehlungen von Verbesserungsmassnahmen ergänzt sowie entsprechend dem damit verbundenen Risiko priorisiert dargestellt.

Der Abschlussbericht wird im Rahmen einer Nachbesprechung mit dem Kunden besprochen. Der Bericht wird eine umfassende und aussagekräftige Zusammenfassung der durchgeführten Sicherheitsaudits oder Penetrationstests auf Management-Ebene enthalten. Darüber hinaus werden alle detaillierten Ergebnisse mit entsprechenden Nachweisen und Empfehlungen für zukünftige Sicherheitsmassnahmen enthalten sein.

wizlynx group Red Team Operations and Threat Emulation Services Report
Lessons Learned Workshop

Auch wenn ein «Red Teaming» Einsatz offensiv ausgerichtet ist, wird es letztlich als Instrument zur Verbesserung der Cyber Sicherheit eingesetzt. Ein Workshop mit allen notwendigen Parteivertretern wird durchgeführt, um das «Red Teaming»-Engagement und die Ergebnisse nachträglich zu diskutieren.

Das Hauptziel des Workshops ist es die Aktionen des «Red Team» zu besprechen und zu reflektieren. Bei den Aktionen die vom «Blue Team» nicht erkannt wurden, wird analysiert wieso die Erkennungsmechanismen und -verfahren fehlgeschlagen haben und damit Verbesserungsmassnahmen einleiten zu können.

Red Team Targets - Processes - People - Technology

Unsere Security & Penetration Testing Zertifizierungen

Die Sicherheitsberater und Penetrationstester der wizlynx group verfügen über die anerkanntesten Zertifizierungen in der Cybersicherheits- und Penetrationstestbranche: CREST CRT, SANS/GIAC GXPN, GPEN, GWAPT, GCIH, GMOB, OSCP, CEH, CISSP, CISA und weitere!

Penetration Test | Offensive Security Certified Professional | OSCP
Penetration Test | GIAC Certified Penetration Tester | GPEN
Information Security | GIAC Expert Researcher and Advanced Penetration Tester | GXPN
Penetration Test | CREST Certified Penetration Tester | CREST
Penetration Test | GIAC Web App Pen Tester | GWAPT
Penetration Test | GIAC Mobile Device Security Analyst | GMOB
Penetration Test | Offensive Security Certified Expert | OSCE
Contact An Expert
Top