Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Penetration Testing Glossar

Red Team / Blue Team / Purple Team - Angriff und Verteidigung im Einklang

Red Team simuliert realistische Angriffe über längere Zeit (Wochen/Monate) gegen die echte Verteidigung des Unternehmens - ohne Wissen des Blue Teams (SOC/Incident Response). Blue Team: Verteidigung, Detection und Response. Purple Team: Red und Blue kooperieren für maximalen Lerneffekt. Unterschied zu Penetrationstest: Red Team testet Prozesse und Menschen, nicht nur Technik. TIBER-EU als standardisiertes Red-Team-Framework für Finanzsektor.

Red Team vs. Blue Team ist mehr als ein Simulation-Framework - es ist die ehrlichste Antwort auf die Frage: “Wie gut ist unsere Sicherheit wirklich?” Während ein Penetrationstest Schwachstellen in Systemen findet, testet ein Red-Team-Engagement ob die gesamte Verteidigung - Technologie, Prozesse und Menschen - einem realen Angriff standhält.

Red Team: Was es wirklich ist

Abgrenzung: Red Team vs. Penetrationstest

KriteriumPenetrationstestRed Team
Zeit1-5 Tage4-12 Wochen
ScopeDefinierte SystemeGesamte Organisation
ZielAlle SchwachstellenObjectives erreichen (Daten stehlen, Domain-Admin)
TransparenzBlue Team weiß davonBlue Team weiß NICHT davon
TiefeBreit + DokumentationTief, realistisch
ReportTechnische FindingsAttack-Narrative + Detection-Gaps

Red-Team-Objectives (Beispiele)

  • Access to customer database (50.000+ records)
  • Domain Admin credentials
  • Access to financial systems
  • Physical access to server room
  • Exfiltration of intellectual property

Red-Team-Phasen

1. Reconnaissance (passiv + aktiv):

  • OSINT: LinkedIn, WHOIS, Shodan, Job Postings
  • Infrastructure Discovery: Subdomains, IP-Ranges, E-Mail-Server
  • Social Media: Mitarbeiter-Profile, Org-Struktur
  • Dark Web: vorherige Leaks, verkaufte Credentials

2. Initial Access:

  • Phishing (Spear-Phishing, Vishing)
  • Exploitation öffentlicher Services (CVE)
  • Physical (Tailgating, Lockpicking)
  • Supply-Chain (kompromittierter Dienstleister)
  • Insider (Social Engineering)

3. Persistence + C2:

  • Custom-C2 (Cobalt Strike, Brute Ratel, Havoc)
  • Persistence: Registry, WMI, Scheduled Tasks
  • Staging: mehrere unabhängige Foothold-Points

4. Lateral Movement:

  • Pass-the-Hash, Kerberoasting, AS-REP Roasting
  • BloodHound: Attack-Paths visualisieren
  • Living-off-the-Land: PSExec, WMI, RDP

5. Objectives:

  • Data Exfiltration (DNS-Tunnel, HTTPS, Steganographie)
  • Domain Compromise (Golden Ticket)
  • Ransomware-Simulation (ohne Encryption)

Blue Team: Verteidigung strukturieren

Detection-Capabilities

  • SIEM: Logs zentralisieren + correlieren
  • EDR: Endpoint Detection (Behavioral Analytics)
  • NDR: Netzwerk-Anomalie-Erkennung
  • UEBA: User + Entity Behavior Analytics
  • Honeypots/Canary Tokens: Frühwarnsystem

Response-Capabilities

  • SOC: Security Operations Center (24/7 oder Geschäftszeiten)
  • IR-Playbooks: für bekannte Angriffsmuster
  • SOAR: Automatische Response (IP blocken, Account sperren)
  • Forensik-Kapazität: nach Incident

Purple Team Aktivitäten (kontinuierlich)

  • Atomic Red Team: kleine, isolierte Angriffe testen Detection
  • Caldera (MITRE): automatisierte ATT&CK-Simulation
  • VECTR: Tracking von Purple-Team-Aktivitäten
# Atomic Red Team Beispiel:
# Test: Kerberoasting (T1558.003)
Invoke-AtomicTest T1558.003
# → SIEM löst Alert aus? → JA: Detection funktioniert!
# → NEIN: SIEM-Rule anpassen + Sigma-Rule hinzufügen

Blue Team Metriken

MTTD: Mean Time to Detect (Zeit bis Erkennung)

  • Gut: < 24h für Red-Team-Aktionen
  • Schlecht: > 1 Woche (ermöglicht Lateral Movement)

MTTR: Mean Time to Respond (Zeit bis zur Eindämmung)

  • Gut: < 4h nach Detection
  • Schlecht: > 24h

False Positive Rate:

  • Zu viele Alerts = Alert Fatigue → SOC reagiert nicht mehr
  • Ziel: < 10% False Positives unter allen Alerts

TIBER-EU Framework

Was TIBER-EU ist

  • European Framework for Threat Intelligence-Based Ethical Red Teaming
  • EZB + Nationale Zentralbanken (BaFin, DNB, etc.)
  • Pflicht für: systemrelevante Finanzinstitute in EU

TIBER-EU Phasen

1. Generic Threat Landscape (GTL):

  • Branchen-spezifische Bedrohungen (durch Threat-Intel-Provider)
  • Wer greift Finanzsektor an? Mit welchen TTPs?

2. Targeted Threat Intelligence (TTI):

  • Spezifisch für das Institut
  • Threat-Intel-Provider: welche Groups greifen dieses Institut an?
  • Welche öffentlichen Informationen sind vorhanden?

3. Red Teaming:

  • Red-Team-Provider (akkreditiert!)
  • 12-16 Wochen Engagement
  • Objectives: basierend auf TTI (realistische Angreifer!)
  • White Team: kleines Management-Team weiß davon (nicht Blue Team!)

4. Closure + Remediation:

  • Report → Blue Team: was haben wir verpasst?
  • Remediation: technisch + prozessual
  • Replay (optional): Red Team testet Fixes

Deutsche TIBER-Variante: DTIBER (Deutsche Bundesbank)

  • BaFin koordiniert
  • Akkreditierte Anbieter (Threat-Intel + Red-Team getrennt!)
  • Ergebnisse: vertraulich (kein öffentlicher Report)

TIBER-EU vs. normaler Pentest (Finanzsektor)

  • TIBER: realistisches Angriffs-Szenario, Wochen, tiefgreifend
  • Pentest: Compliance-Anforderung erfüllen (PCI DSS, ISO 27001)
  • Beide: sinnvoll, aber unterschiedliche Ziele

Purple Team: Das Beste beider Welten

Konzept

  • Red Team führt Angriff durch
  • Blue Team versucht zu detektieren
  • Gemeinsame Analyse: was hat funktioniert, was nicht?
  • Detection-Rules direkt aus dem Angriff erstellen

Purple Team Session (typisch 2-3 Tage)

Tag 1:

  • Red Team: führt T1059.001 (PowerShell Execution) aus
  • Blue Team: SIEM-Alerts prüfen → erkannt? Timing?
  • Wenn nicht erkannt: warum? → Detection-Lücke identifiziert!
  • Detection-Rule schreiben + deployen

Tag 2:

  • Red Team: versucht gleiche Technik mit Obfuscation
  • Blue Team: greift die neue Rule?
  • Iteration bis robust!

MITRE ATT&CK als gemeinsame Sprache

ATT&CK Navigator: welche Techniken abgedeckt? Heatmap: detektiert (grün), nicht detektiert (rot), unklar (gelb). Priorisierung: welche kritischen Techniques fehlen?

Häufige Detection-Lücken (Purple Team Findings):

  • Living-off-the-Land: WMI/LOLBins → zu viele False Positives → deaktiviert
  • NTLM-Relay: kein Monitoring von NTLM-Auth-Events
  • DNS-Exfiltration: kein DNS-Log-Monitoring
  • Scheduled Tasks via schtasks.exe: kein Alert

Tools für Purple Team

ToolHerstellerZweck
Atomic Red TeamRed CanaryKleinste atomare ATT&CK-Tests
MITRE CalderaMITREAutomatisierte Adversary-Simulation
VECTR-Purple-Team-Tracking + Metriken
Prelude Operator-Moderne Purple-Team-Plattform
Infection MonkeyGuardicoreAutonome Lateral-Movement-Simulation

AWARE7 Leistungen zum Thema

Penetrationstest ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Penetrationstest-Methodik: PTES, OWASP, OSSTMM, BSI-Leitfaden und TIBER-EU

Security Operations Center (SOC) und SIEM: Cybersecurity 24/7 überwachen

13 min Lesezeit

Threat Intelligence: Angreifer verstehen bevor sie angreifen

11 min Lesezeit

Verwandte Begriffe

MITRE ATT&CK Threat Intelligence - Angreifer verstehen, bevor sie zuschlagen
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung