Pentest vs. Red Team Assessment

In der IT-Sicherheit herrscht eine gewisse Konfusion zwischen den Leistungen Red Team Assessment und Pentest. In diesem Blog-Beitrag werden diese beiden Begrifflichkeiten gegenübergestellt und verglichen. Außerdem wird erörtert, welche Maßnahme zu welchem Zeitpunkt am meisten Nutzen stiftet und was für eine geschäftliche Herausforderung mit jedem Assessment zusammenhängt, damit der Leser nachvollziehen kann, welcher Anwendungsfall am besten passt.

Red Teaming

Red Teaming wird dazu verwendet die Erkennungs- und Reaktionsfähigkeit einer Organisation zu testen. Das Red Team versucht, auf jede erdenkliche Art und Weise und so unerkannt wie möglich auf sensible Informationen zuzugreifen. Diese Bewertung emuliert einen böswilligen Akteur, der aktiv angreift und versucht, der Entdeckung zu entgehen, ähnlich wie bei Advanced Persistent Threat (APT). Bei einem Red Team Assessment wird nicht nach mehreren Schwachstellen gesucht, sondern nach den Schwachstellen, mit denen die Ziele erreicht werden können. Ein Pentest hingegen soll möglichst viele Schwachstellen und Konfigurationsprobleme aufdecken, diese ausnutzen und das Risikolevel bestimmen. Zu den Methoden, die bei einem Red Team Assessment verwendet werden, gehören Social Engineering (physisch sowie elektronisch) und alle Methoden, die auch bei einem Pentest verwendet werden. Ein Pentest dauert oft 1-2 Wochen, während ein Red Team Assessment über 3-4 Wochen oder länger dauern kann und an dem oft mehrere Personen mitwirken.

Red Team Assessment ist jedoch nicht für jeden geeignet und sollte von Organisationen mit ausgereiften Sicherheitsprogrammen durchgeführt werden. Es handelt sich dabei um Organisationen, die häufig Pentests durchführen lassen, die meisten Schwachstellen gepatcht haben und im Allgemeinen positive Pentest-Ergebnisse aufweisen. Folgender Mehrwert wird generiert:

• Messbare Erkennungs- und Reaktionsfähigkeit der IT-Sicherheit
• Realistisches Risikoverständnis für die Organisation
• Hilfe bei der Behebung identifizierter Angriffsvektoren

Die Operationen beim Red Teaming haben die Ziele und die gleichzeitige Vorgehensweise eingegrenzt. Sie erfordern oft mehr Menschen, Ressourcen und Zeit, da sie in die Tiefe gehen, um das realistische Ausmaß der Risiken und Schwachstellen in Bezug auf die Technologie, die Menschen und die materiellen Ressourcen einer Organisation vollständig zu verstehen. Weitere Informationen stellt heise im Artikel "Red Teaming: Cyber Resilience, War Gaming und Krisenmanagement" zusammen.

Penetration Testing

Bei Penetrationstests wird versucht, Schwachstellen auf der Anwendungsebene, auf Netzwerk- und Systemebene sowie Möglichkeiten zur Beeinträchtigung der physischen Sicherheitsbarrieren zu identifizieren. Während automatisierte Tests einige Cyber-Sicherheitsprobleme identifizieren können, werden bei echten Pentests auch die Angriffsvektoren des Unternehmens manuell berücksichtigt.

ute verstehen die Unterschiede zwischen einem Pentest und einer Bewertung durch Red Teaming nicht, deshalb werden alle diese Assessments fälschlicherweise Pentests genannt. Diese mögen zwar ähnliche Komponenten haben, aber jede ist anders und sollte in verschiedenen Kontexten verwendet werden. Im Kern geht es bei einem echten Pentest darum, so viele Schwachstellen und Konfigurationsprobleme wie möglich in der dafür vorgesehenen Zeit zu finden und diese Schwachstellen auszunutzen, um das Risiko der Schwachstelle zu bestimmen.

bedeutet nicht unbedingt, dass neue Schwachstellen, wie Zero Days aufgedeckt werden müssen, sondern es wird eher nach bekannten, nicht gepatchten Schwachstellen gesucht. Ein Pentest ist darauf ausgerichtet, Schwachstellen zu finden und zu bewerten, um sicherzustellen, dass sie keine False Positives existieren. Pentests gehen jedoch weiter, da der Pentester versucht, eine Schwachstelle auszunutzen, indem Angriffe miteinander verkettet werden, um das Ziel zu erreichen. Jede Organisation ist anders, sodass sich dieses Ziel ändern kann, aber in der Regel beinhaltet es den Zugang zu persönlich identifizierbaren Informationen und Geschäftsgeheimnissen.

ein Netzwerk, Anwendung, Cloud/Server und die physische Sicherheit mit den Augen eines Pentesters betrachten wird, dann wird Folgendes identifiziert:

• Welche Angriffsvektoren können ausgenutzt werden
• Wie werden die Systeme attackiert
• Wie sehen Härtungsmaßnahmen aus
• Welcher Schaden könnte entstehen

In der komplexen Cybersicherheitslandschaft sind Pentests für die meisten Branchen ein Muss geworden. Selbst Unternehmen, die glauben, dass sie keine wertvollen Informationen zu schützen haben, könnten Gefahr laufen, dass jemand versucht, das Netzwerk zu übernehmen, Malware zu installieren oder Dienste zu stören. Da es so viele bösartige Akteure gibt, halten Pentests immer mit der sich entwickelnden Technologie Schritt.Weitere Informationen rund um Penetrationstest finden Sie auf der Webseite des BSI.

Welche Leistung wird benötigt?

Ist ein Pentest besser als Red Teaming? Häufig bestehen Pentester und Red Teams aus denselben Personen, die unterschiedliche Methoden und Techniken für unterschiedliche Bewertungen verwenden. Die wahre Antwort in Pentest vs. Red Teaming ist: Das eine ist nicht besser als das andere! Jede Leistung ist in bestimmten Situationen nützlich. Es ist nicht sinnvoll einen Pentest zu beauftragen, um die Erkennungs- und Reaktionsfähigkeit einer Organisation zu testen. Ebenso wenig wie mit Red Teaming nach Schwachstellen auf der kompletten Anwendungsebene zu suchen.