• Wie wir bei Net at Work mit Purple Teaming unsere Sicherheitsteams fortbilden

Übung macht den Meister – wie wir bei Net at Work mit Purple Teaming unsere Sicherheitsteams fortbilden

Jonathan Brockhausen
Autor: Jonathan BrockhausenConsultant Microsoft SecurityAuf LinkedIn vernetzen

Wie kann man sich als Unternehmen vor ständig wachsenden Cyberbedrohungen effektiv schützen und vorbereitet bleiben? Angriffe auf IT-Systeme werden immer ausgeklügelter, und neue Bedrohungen tauchen schneller auf, als viele Sicherheitskonzepte darauf reagieren können. Deshalb setzen wir bei Net at Work auf praxisnahe Übungen, um unser Security Operations Center (SOC) optimal auf reale Angriffsszenarien vorzubereiten. Dabei kombinieren wir innovative Ansätze mit modernsten Technologien, um Schwachstellen zu erkennen und Sicherheitslösungen zu verbessern.

Das Konzept „Purple Teaming“

Beim Purple-Teaming treten zwei Gruppen gegeneinander an:

Red Team (angreifend)

Das Red Team verfolgt das Ziel, Ressourcen oder Informationen aus einer geschützten Umgebung zu entwenden.

Blue Team (verteidigend)

Die Aufgabe des Blue Teams besteht darin, Angriffe zu erkennen und diese zu verhindern.

Unser Security Operations Center (SOC) übernimmt in diesen Übungen die Rolle des Blue Teams und sorgt für die Sicherheit der Testumgebung. Unsere Consultants, die sich täglich mit der Integration von Microsoft-Sicherheitslösungen in Kundenprojekten befassen, erstellen eine komplexe Testumgebung eines fiktiven Unternehmens. Diese Umgebung wird anschließend vom Red Team angegriffen, um Schwachstellen zu identifizieren und Sicherheitskonzepte zu testen.

Echte Bedrohungsszenarien – der USB-Angriff

Für unsere letzte Aktivität wurde ein realitätsnahes Angriffsszenario vorbereitet:

  • Angriffsvektor

    Der initiale Zugriff erfolgt über einen infizierten USB-Stick.

  • Ziel

    Das Red Team versucht, möglichst unentdeckt zu bleiben und sensible Daten in einen Cloud-Dienst zu exfiltrieren.

Die Cyber Kill Chain im Überblick

Diese realitätsnahen Szenarien erlauben es uns, die gesamte „Cyber Kill Chain“ nachzustellen und unsere Reaktionsfähigkeit in kritischen Momenten zu testen.

Schwachstellenanalyse – Proaktive IT-Sicherheit sicherstellen

In der beschriebenen Übung gelang es unserem SOC, die bösartige Netzwerkverbindung zum Angreifer zu identifizieren und mit der „Device Isolation“ des Microsoft Defender zu durchtrennen, um den Angreifer auszusperren.

Doch das bloße Stoppen eines Angriffs ist nur der erste Schritt. Die anschließende detaillierte Analyse zeigte mehrere Sicherheitsschwachstellen in der angegriffenen Umgebung auf, die in realen Szenarien fatale Folgen haben könnten:

  • Keine Kontrolle von angeschlossenen USB-Datenträgern

    Mit Defender for Endpoint Device Control und Attack Surface Reduction (ASR) wäre es möglich gewesen, die Infektion vom USB-Datenträger zu verhindern.

  • Keine Einschränkungen von ausgeführter Software

    Defender for Endpoint bietet die Möglichkeit, ungewollte und möglicherweise schädliche Software (Potentially Unwanted Applications – PUA) zu blockieren.

  • Keine Betriebssystemhärtung

    Den Angreifern war es möglich, zwischen Workstations in der angegriffenen Umgebung zu springen, weil WinRM und PowerShell-Remoting nicht abgehärtet war.

  • Lokale Administratorberechtigungen ausnutzbar

    Weil normale Benutzerkonten administrative Berechtigungen besessen haben, konnte das Red Team eine Maschine vollständig kompromittieren. Mit LAPS wäre es möglich, Admin-Rechte nur bei Bedarf zu vergeben.

Fazit

Unsere Purple-Teaming-Übungen sind ein unverzichtbarer Bestandteil unserer Strategie, die IT-Sicherheit stetig zu verbessern. Sie helfen uns, nicht nur auf Angriffe zu reagieren, sondern proaktiv Schwachstellen zu erkennen und abzusichern. Der Erfolg unseres SOC zeigt, wie wichtig eine gute Vorbereitung auf reale Bedrohungsszenarien ist.

Mit jeder Übung verbessern wir unsere Werkzeuge, Prozesse und das Zusammenspiel unserer Teams. Gleichzeitig bieten sie unseren Kunden die Sicherheit, dass wir nicht nur die Theorie kennen, sondern im Ernstfall auch effizient handeln können.

Kostenfreier Beratungstermin mit einem unserer Security-Experten

Sie möchten sich von der Leistungsfähigkeit unseres Security Operations Centers überzeugen? Buchen Sie jetzt direkt einen kostenfreien Termin mit einem unserer Security-Experten.

Weitere News zu diesem Thema