TIBER-DE – Threat Intelligence based Ethical Red Teaming

Branche: Banken / Finanzwesen Funktion: Projektverantwortlicher Verantwortungsbereiche: Planung, Durchführung und sehr erfolgreicher Abschluss eines TIBER-DE Tests Whiteteam Lead Umfangreiche Selektion von externen Anbietern für Threat Intelligence und Red Teaming Primäre Verantwortlichkeit für die IT-Sicherheit der Bank Überwachung und Steuerung des externen Red Teams Tägliche Kollaboration mit externem Red Team, Threat Intel Team und Bundesbank Kontinuierliche Überwachung und Steuerung des Risikos für die produktive Umgebung während des Red Teamings Vorbereitung und Implementierung von sogenannten Leg-Ups Erstellung von Storys & Legenden (z.B. Fake Identitäten) und Prozessen, um das Blue Team im Ungewissen über den TIBER-DE Test zu halten und dennoch das Risiko der Bank nicht zu erhöhen Koordination mit allen internen Stakeholdern (CRO, COO, CIO, DSB, Compliance usw.) Szenarioauswahl Erstellung und Überprüfung der Testberichte für das Red Team, Threat Intel, Blue Team und BaFin

Security Operations Center Analyst / Engineer

Branche: Banken / Finanzwesen Funktion: Mitarbeiter Verantwortungsbereiche: Beteiligung Red & Blue Team Assessments im Rahmen von TIBER-DE im Blue- und Purple Team Risikoanalyse und -bewertung der aktuellen Sicherheitslage zu veröffentlichten Schwachstellen unter Berücksichtigung von Angriffsszenarien und Gefahren-Aktivität sowie verfügbarem Schadcode Weiterführende Analyse von Cyber Security Vorfällen und Untersuchung von IT-Sicherheitsereignissen Koordinierung und Durchführung von Maßnahmen zur Eindämmung von identifizierten Sicherheitsvorfällen im Rahmen der Incident Response Schritte und beteiligter Fachabteilungen Sammlung und Auswertung von Evidenzen wie Logs und Daten bei IT-Sicherheitsereignissen unter Beachtung forensischer Best Practices Durchführung von Root Cause Analysen und „Lessons Learned“ zur kontinuierlichen Verbesserung der Incident Response Abläufe und der verwendeten Überwachungs- sowie Auswertungsmethoden Weiterentwicklung von Playbooks zur Analyse von IT-Sicherheitsereignissen und Standard Operating Procedures Verbesserung und Weiterentwicklung von SIEM Use Cases zur Reduzierung von Falsch-Positiven Ereignissen Onboarding und Integration von Logquellen der Informationssystemlandschaft in eine zentralisierte SIEM-Lösung (Splunk / QRadar) und regelmäßiger „Health-Checks“ Analyse (Soll-Ist Abgleich) bestehender sowie Aktivierung neuer Sicherheitssignaturen der zentralen NIPS Lösung und Schutzbedarf der Netzwerkzonen Risikobetrachtung neuer Firewallanträge im Rahmen der Netzwerksicherheit

Red Teaming Service - Simulierte Cyberangriffe für maximale Sicherheit

Was ist Red Teaming?

Red teaming

Ein Red Teaming oder auch Red Team Assessment simuliert realitätsnahe Cyber-Angriffe auf Ihr Unternehmen. Das Blue Team bezeichnet man als die Verteidiger.

Durch diese Simulation testen Sie Ihre Cyber-Resilienz durch maßgeschneiderte Angriffe wie sie auch von echten Angreifern erfolgen.

Dabei werden nicht nur einzelne Systeme, Netzwerke oder Anwendungen getestet, sondern auch damit verbundene Prozesse und deren Mitarbeiter.

Kostenlosen Beratungstermin vereinbaren

Um Ihnen einen Einblick in erfolgreich umgesetzte Projekte und unsere Expertise zu geben, haben wir einige anonymisierte Referenzen für Sie zusammengestellt.

Red Teaming Referenzprojekte

Branche:
Banken / Finanzwesen

Funktion:
Projektverantwortlicher

Verantwortungsbereiche:

Planung, Durchführung und sehr erfolgreicher Abschluss eines TIBER-DE Tests
Whiteteam Lead
Umfangreiche Selektion von externen Anbietern für Threat Intelligence und Red Teaming
Primäre Verantwortlichkeit für die IT-Sicherheit der Bank
Überwachung und Steuerung des externen Red Teams
Tägliche Kollaboration mit externem Red Team, Threat Intel Team und Bundesbank
Kontinuierliche Überwachung und Steuerung des Risikos für die produktive Umgebung während des Red Teamings
Vorbereitung und Implementierung von sogenannten Leg-Ups
Erstellung von Storys & Legenden (z.B. Fake Identitäten) und Prozessen, um das Blue Team im Ungewissen über den TIBER-DE Test zu halten und dennoch das Risiko der Bank nicht zu erhöhen
Koordination mit allen internen Stakeholdern (CRO, COO, CIO, DSB, Compliance usw.)
Szenarioauswahl
Erstellung und Überprüfung der Testberichte für das Red Team, Threat Intel, Blue Team und BaFin

Branche:
Banken / Finanzwesen

Funktion:
Mitarbeiter

Verantwortungsbereiche:

Beteiligung Red & Blue Team Assessments im Rahmen von TIBER-DE im Blue- und Purple Team
Risikoanalyse und -bewertung der aktuellen Sicherheitslage zu veröffentlichten Schwachstellen unter Berücksichtigung von Angriffsszenarien und Gefahren-Aktivität sowie verfügbarem Schadcode
Weiterführende Analyse von Cyber Security Vorfällen und Untersuchung von IT-Sicherheitsereignissen
Koordinierung und Durchführung von Maßnahmen zur Eindämmung von identifizierten Sicherheitsvorfällen im Rahmen der Incident Response Schritte und beteiligter Fachabteilungen
Sammlung und Auswertung von Evidenzen wie Logs und Daten bei IT-Sicherheitsereignissen unter Beachtung forensischer Best Practices
Durchführung von Root Cause Analysen und „Lessons Learned“ zur kontinuierlichen Verbesserung der Incident Response Abläufe und der verwendeten Überwachungs- sowie Auswertungsmethoden
Weiterentwicklung von Playbooks zur Analyse von IT-Sicherheitsereignissen und Standard Operating Procedures
Verbesserung und Weiterentwicklung von SIEM Use Cases zur Reduzierung von Falsch-Positiven Ereignissen
Onboarding und Integration von Logquellen der Informationssystemlandschaft in eine zentralisierte SIEM-Lösung (Splunk / QRadar) und regelmäßiger „Health-Checks“
Analyse (Soll-Ist Abgleich) bestehender sowie Aktivierung neuer Sicherheitssignaturen der zentralen NIPS Lösung und Schutzbedarf der Netzwerkzonen
Risikobetrachtung neuer Firewallanträge im Rahmen der Netzwerksicherheit

Unsere Experten sind umfassend Zertifiziert

Red Teaming Angriffsszenarien

Social Engineering

Social Engineering ist eine Manipulationstechnik, die menschliche Fehler ausnutzt, um an private Informationen, Zugang zu eingeschränkten Bereichen oder Wertgegenstände zu gelangen. Die Ausnutzung von menschlichen Schwachstellen
kann ahnungslose Opfer dazu verleiten, Daten preiszugeben, Schadsoftware zu
verbreiten oder Zugang zu eingeschränkten Systemen zu gewähren.

(Spear) Phishing

Gezielter Phishing Angriff via E-Mail, SMS, Whatsapp o.ä. um u.a.
Benutzerdaten, Kreditkarteninformationen oder andere sensible Informationen zu
erlangen.

Im Rahmen von Spear Phishing wird auch mit modifizierter Schadsoftware gearbeitet. Als E-Mail Anhang oder Link.

Device Implant

Ein vom Red Team
präpariertes Gerät wird unautorisiert in das interne Netzwerk Ihres Unternehmens
geschleust und angeschlossen. Via WLAN, USB oder LAN gelangt das Red Team dann in das interne Netzwerk ohne die Außenschicht Ihres Netzwerkes überwinden zu müssen.

Network Perimeter Penetration

Primäres Ziel von Netzwerkperimeter Tests sind alle Systeme
die aus dem Internet erreichbar sind. Dazu gehören insb. Webseiten, Server,
VPNs, (Web-Application)Firewalls, Router, FTP/SSH Services usw.

Bei einem
Netzwerkperimeter Test werden alle Möglichkeiten ausgeschöpft, die auch ein normaler
Angreifer von außen nutzen würde um in das interne Netzwerk des Unternehmens zu gelangen.

Malicious Insider

Das Red Team erhält einen Standard Useraccount und versucht sich (remote
oder lokal) unbemerkt im Netzwerk auszubreiten, Schwachstellen auszunutzen und
das Unternehmensnetzwerk zu infiltrieren so wie es ein bösartiger Insider tun würde.

Physical Security

Überwindung der physikalischen Sicherheitsbarrieren. Büroräume, Rechenzentren. Wie kommt ein außenstehender Angreifer rein ohne Schaden anzurichten und ohne aufzufallen.

Baiting

Unter Baiting versteht man das manipulieren eines Opfers
basierend auf Neugierde. Meist durch Angreifer genutzt, indem man z.B. USB
Sticks auf Parkplätzen, Meetingräumen o.ä. platziert, um das Opfer dazu zu
bewegen, den gefundenen USB Stick in den Arbeits-PC u stecken und auf dem USB Stick befindliche Schadsoftware auszuführen.

(Hardware)-Keylogger / Malicious USB Device

Unter einem Hardware Keylogger versteht man ein physisches
Gerät, welches zwischen Tastatur & Dockingstation bzw. Computer gesteckt wird und alle Tastenanschläge mitliest. Dieser Keylogger muss vor Ort
angeschlossen sowie wieder entfernt werden.

Untereinem „malicious
USB Device“ versteht man ein Gerät, welches durch den Angreifer manuell an ein Laptop/Computer angeschlossen wird und bösartige Dinge (im Hintergrund)
durchführt. Dies könnte z.B. passieren wenn ein Mitarbeiter in der Kaffeepause vergisst den PC zu sperren und sich das bösartige USB Gerät als Tastatur ausgibt (z.B. USB Rubber Ducky) und ein Script innerhalb von Sekunden ausführt welches z.B. bösartigen Code downloaded und ausführt oder sonstige maliziöse
Aktivitäten durchführt.

Erpressung / Bestechung

Unsere ethischen Grundsätze lassen solche Angriffe nicht zu. Wir bieten diese Art von Angriffen unter keinen Umständen an und raten eindringlich davon ab solche Szenarien auszuprobieren.

Red Teaming Angriffswege

In der Recon / Threat Intelligence Phase wird von außen überprüft, wie verwundbar Ihre Angriffsfläche ist.

Die in der Analysephase aufgedeckten Schwächen werden "exploited" und die sogenannte Information Gathering Phase im internen Netzwerk beginnt in der alle Informationen gesammelt werden die zur weiteren Ausbreitung verwendet werden können.

Sollten höhere Rechte notwendig sein wird eine sogenannte "Privilege Escalation" durchgeführt um an z.B. Administrative Berechtigungen zu gelangen.

Sobald dies gelungen ist, bewegt sich der Angreifer "lateral" im Netzwerk um weitere Ziele anzugreifen.

Das größste Ziel des Angreifers ist es sich dauerhaft "persistent" in Ihrem Netzwerk einzunisten ohne einen negativen Einfluss auf Ihr Netzwerk zu nehmen und unentdeckt zu bleiben.

Ihr Weg zum Red Teaming

Scope des Red Teamings

Was soll geprüft werden?
Sollen einzelne Szenarien oder das gesamte Unternehmen vollumfänglich überprüft werden? Die Angriffsszenarien für das Red Teaming werden im Scoping erläutert und festgelegt.

Im Rahmen des Scopings wird auch festgelegt ob z.B. Tochtergesellschaften oder ausgelagerte Anteile (ggf. IT oder Infrastrukturelemente) im Scope sind.

Sogenannte Leg-Ups (Hilfestellungen) als auch die genauen Ziele die unsere Angreifer erreichen sollen, werden ebenfalls besprochen und vereinbart.

Basierend auf dem Scope des Red Teamings wird ein auf Ihre Wünsche angepasstes Angebot erstellt.

Durchführung des Red Teamings

Sobald das Anbgebot angenommen wurde als auch die vertraglichen Details (z.B. Permission to Attack) erteilt wurden wird ein finaler Zeitrahmen für das Red Teaming vereinbart.

Basierend auf den abgestimmten Angriffsszenarien & dem Scope greifen unsere Red Teamer Ihr Unternehmen an und in regelmäßigen Meetings berichtet das Red Team über deren Fortschritte & Herausforderungen.

Damit Ihre Systeme keine Schäden davon tragen, (alles passiert ausschließlich in Ihrer produktiven Umgebung) involvieren wir Sie sofern es mal kritisch werden könnte und beraten Sie umfassend um ein angemessenes Risiko einschätzen und ggf. eingehen zu können.

Red Team Berichterstattung

Sobald das Red Team seine Szenarien durchgeführt hat und i.d.R. zum Erfolg gekommen ist, wird ein umfassender Abschlussbericht inkl. Risikoeinschätzungen & Empfehlungen erstellt.

Im Rahmen eines Workshops werden die Angriffe mit Ihrem Blue Team (Verteidiger / Ihr SOC) besprochen und entsprechende Lösungen zur Detektion oder Verhinderung von aufgedeckten Mängeln erarbeitet.

Purple Teaming

Unter einem Purple Teaming versteht man eine gemeinsame Aktion zwischen Blue- und Red Team.

Dabei hat das Blue Team Kenntnis über das Red Team und beide versuchen gemeinsam die detektiven als auch präventiven Kontrollen zu testen.

Dieser Kollaborative Ansatz verspricht einen sehr positiven Einfluss auf den Reifegrad im Blue Team.

Die Champions League der Red Team Tests

TIBER-DE - TLPT Red Teaming

Lassen Sie externe Profi-Hacker (kontrolliert) auf Ihr Unternehmen los. Nur so können Sie sicherstellen, dass die von Ihnen implementierten Sicherheitsmaßnahmen wirklich wirken. Achten Sie sehr genau auf die Erfahrung und Professionalität, denn jeder kleine Fehler kann die Produktion Ihres Unternehmens stark gefährden.

Wir haben umfassende Erfahrung in diesem Bereich und können Sie insbesondere anhand des TIBER-DE Frameworks (der Champions League der Red Team Testing Frameworks) überprüfen.

Bei einem TIBER-DE Test werden umfassende und mit der Bundesbank und Ihnen speziell auf Ihr Unternehmen angepasste Angriffe auf Ihre Produktionsumgebung koordiniert und durchgeführt.

Den Mehrwert, den Sie von diesem Test erfahren werden, ist größer als jede andere Methode.

Rufen Sie uns an

Sie erreichen uns telefonisch von Montags - Freitags von 08:00 - 18:00 Uhr, um über Ihr Red Teaming Anliegen zu sprechen.

Telefon: +4921732653550

Kostenlosen Termin buchen

Buchen Sie sich direkt ein kostenloses Erstgespräch um herauszufinden wie wir Ihnen beim Thema Red Teaming helfen können.

Kostenlosen Onlinetermin via Microsoft Teams buchen

SCHREIBEN SIE UNS IHR DORA ANLIEGEN VIA E-MAIL

Schreiben Sie uns gern auch eine E-Mail die wir i.d.R. innerhalb von 24 Stunden beantworten.

kontakt(AT)apollon-security.com