Ihre ICT-Infrastruktur wird angegriffen. Lassen sie uns die Ersten und Einzigen sein, die damit Erfolg haben.

Als Unternehmer begegnen Sie täglich den verschiedensten Herausforderungen. Eine davon ist das Aufrechterhalten der Sicherheit Ihrer Unternehmenswerte. Diese existieren nicht nur physisch, sondern vermehrt auch in elektronischer Form. Industriespionage, Cyber-Angriffe und zielgerichtete Schadsoftware sind nur ein paar Beispiele aus einer langen Liste von Risiken. Mit unseren Simulationen (Attack Simulation, Red Teaming und Purple Teaming) prüfen wir die Widerstandsfähigkeit Ihrer Organisation gegenüber Cyber-Angriffen gesamtheitlich.

Ausgewählte Referenzen zum Thema

Unsere Dienstleistungen

Attack Simulation

Bei einer Attack Simulation handelt es sich um die Simulation realer Cyberangriffe mit dem Ziel, Sicherheitslücken und Schwachstellen in einem System oder Netzwerk zu identifizieren. Ziel ist es, die Wirksamkeit von Sicherheitskontrollen zu bewerten, potenzielle Eintrittspunkte für Angreifer zu identifizieren und umsetzbare Empfehlungen zur Verbesserung der Sicherheit zu geben. Attack Simulations können verschiedene Techniken umfassen, wie zum Beispiel Netzwerk- und Schwachstellenscans, Social Engineering und die Ausnutzung bekannter Schwachstellen.

Das Ziel einer Attack Simulation besteht darin, relevante Sicherheitslücken und Schwachstellen innerhalb zentraler Systeme und Services zu identifizieren und potenzielle Verbesserungen zu ermitteln, sodass künftige Angriffe nicht dieselben Lücken und Schwächen für einen erfolgreichen Angriff nutzen können.

Purple Teaming

Purple Teaming ist ein kollaborativer Ansatz, bei dem das angreifende Team ("Red Team") und das verteidigende Team ("Blue Team") zusammenarbeiten ("Purple Team"). Dabei werden gemeinsam definierte Angriffstechniken beispielsweise auf Basis vom MITRE ATT&CK Framework ausgeführt, wobei die Erkennung von involvierten Schutz- und Detektionssystemen an unterschiedlichen Stellen der Angriffskette gemeinsam verifiziert wird.

Das Ziel eines Purple Teaming besteht darin, gemeinsam Lücken und Schwächen innerhalb der Detektionsfähigkeiten zu identifizieren und potenzielle Verbesserungen zu ermitteln, sodass künftige Angriffe schneller, einfacher und umfassender erkannt werden können.

Red Teaming

Red Teaming ist im Vergleich zu einer Attack Simulation ein umfassenderer und ausgefeilterer Ansatz der Simulation. Das angreifende Team ("Red Team") agiert dabei als unabhängige Gruppe, getrennt vom verteidigenden Team der Organisation und ohne deren Vorkenntnisse, um eine objektive und unvoreingenommene Perspektive zu bieten. Das angreifende Team evaluiert dabei behutsam jeden Schritt und evaluiert dabei die Gefahr einer Erkennung im Vergleich zu den Erfolgschancen und dem erwarteten Nutzen jeder eingesetzter Angriffstechnik mit dem Ziel, möglichst lange unentdeckt zu bleiben.

Das Ziel des Red Teaming besteht darin, bereits bestehende und etablierte Erkennungs- und Reaktionsprozesse durch die Simulation eines realen Gegners unter möglichst realistischen Bedingungen herauszufordern und zu prüfen und so mögliche Diskrepanzen und Schwächen in diesen Prozessen zu erkennen, sodass künftige Angriffe schneller analysiert, verstanden und gestoppt werden können.

Unterschiede Attack Simulation, Red Teaming und Purple Teaming

Das Ziel einer Attack Simulation ist das Aufdecken von für Sie und Ihre Unternehmung besonders relevanten Sicherheitslücken und Schwachstellen. Wie bei einem Red Teaming wird dabei ein realer Angreifer simuliert, jedoch aus Effizienzgründen keine Rücksicht auf allfällige Detektions- und Reaktionsfähigkeiten genommen.

Ein Red Teaming hingegen berücksichtigt bestehende Detektions- und Reaktionsprozesse, indem die gewählten Angriffstechniken vor einer Ausführung behutsam abgewogen und selektiert werden, um als Angreifer möglichst lange unentdeckt zu bleiben. Dadurch werden ebenfalls Schwachstellen und Sicherheitslücken aufgedeckt und ausgenutzt, jedoch liegt der Hauptfokus auf der Prüfung der bereits etablierten Detektions- und Reaktionsfähigkeiten (Detection & Reaction) Ihrer Unternehmung.

Ein Purple Teaming hingegen umfasst die kollaborative Prüfung zwischen Angreifer und Verteidiger einer vorgängig definierten Reihe an Angriffstechniken mit dem Ziel, möglichst effizient und umfassend allfällige Lücken und Schwächen in den Erkennungsfähigkeiten (Detection) Ihrer Unternehmung aufzudecken.
Fokus
Angriffssimulation
Schwachstellen
Red Teaming
Reaktion
Purple Teaming
Detektion
Ziel
Angriffssimulation
Identifizieren von relevanten Angriffspfaden zu vordefinierten Zielen (z. B. Worst-Case-Szenarien)
Red Teaming
Bewerten von Erkennungs- und Reaktionsfähigkeiten bei Angriffen auf vordefinierte Ziele
Purple Teaming
Identifizieren von Schwächen und Lücken bei der Erkennung von Angriffstechniken
Vulnerabilities
Angriffssimulation
Red Teaming
Purple Teaming
Stealthiness
Angriffssimulation
Red Teaming
Purple Teaming
Detection
Angriffssimulation
Red Teaming
Purple Teaming
Reaction
Angriffssimulation
Red Teaming
Purple Teaming
Informierte Parteien
Angriffssimulation
Betroffene Teams und Drittanbieter
Red Teaming
Notwendiges Minimum (z. B. Sponsor, Account Manager betroffener Drittanbieter)
Purple Teaming
Blue Team, betroffene Teams und Drittanbieter
Angriffssimulation Red Teaming Purple Teaming
Fokus Schwachstellen Reaktion Detektion
Ziel Identifizieren von relevanten Angriffspfaden zu vordefinierten Zielen (z. B. Worst-Case-Szenarien) Bewerten von Erkennungs- und Reaktionsfähigkeiten bei Angriffen auf vordefinierte Ziele Identifizieren von Schwächen und Lücken bei der Erkennung von Angriffstechniken
Vulnerabilities
Stealthiness
Detection
Reaction
Informierte Parteien Betroffene Teams und Drittanbieter Notwendiges Minimum (z. B. Sponsor, Account Manager betroffener Drittanbieter) Blue Team, betroffene Teams und Drittanbieter

Deshalb sollten Sie Simulationen durchführen

Um Ihr Unternehmen effektiv vor Cyber-Bedrohungen zu schützen, sollten Sie Simulationen durchführen. Diese bieten eine proaktive und ganzheitliche Herangehensweise, die klassische Sicherheitsüberprüfungen übertrifft und es ermöglicht, realistische Angriffsszenarien zu durchspielen – und dabei nicht nur Ihre Infrastruktur, sondern auch Ihre Prozesse und Mitarbeitenden auf die Probe zu stellen.

Proaktiv und ganzheitlich

Klassische Sicherheitsüberprüfungen wie etwa Penetration Tests schränken den Scope ein und setzen stattdessen auf eine entsprechende Tiefe der Prüfung. Bei einem echten Angriff werden solche Abgrenzungen nicht beachtet. Bei unseren Simulationen fällt der klassische Scope ebenfalls weg, was es uns erlaubt, realistische Angriffsszenarien proaktiv durchzuspielen. So wird nicht nur Ihre Infrastruktur, sondern es werden auch Ihre Prozesse und Ihre Mitarbeitenden in sämtlichen Bereichen geprüft.

Vorbereitet auf Worst-Case-Szenarien

Unsere Simulationen richten sich nach den spezifischen Anforderungen Ihrer Organisation und Ihrer Geschäftsprozesse. Um realistische und umgebungsbezogene Worst-Case-Szenarien zu identifizieren, werden diese gemeinsam mit Ihren internen Spezialisten erarbeitet. Solche Szenarien müssen für jedes Unternehmen individuell erarbeitet werden und können beispielsweise den Zugang zu Forschungsergebnissen, Lohnlisten oder die Beeinträchtigung von Industrie- und Steuerungssystemen beinhalten. Dieses Vorgehen stellt sicher, dass im Rahmen der Simulation für Ihre Organisation kritische Szenarien betrachtet werden.

Für Sie relevante Risiken werden durchgespielt

Bei einer Simulation wird Ihr Unternehmen realen Angriffen ausgesetzt, welche alle das Ziel verfolgen, die vorab definierten Worst-Case-Szenarien kontrolliert eintreffen zu lassen. So erhalten Sie eine klare Vorstellung von der aktuellen Gefahrensituation in Ihrer Unternehmung. Unsere Sicherheitsexperten geben Ihnen konkrete Antworten auf die Frage, welche Bereiche noch stärker geschützt werden müssen und wo der vorhandene Schutz aus Risikosicht bereits ausreicht. Darauf basierend können individuelle Massnahmenpakete definiert und umgesetzt werden. Eine Möglichkeit, Ihre aktuellen Risikobereiche ohne Eingriffe in Ihre Infrastruktur messbar zu identifizieren, bietet unser Cyber Security Assessment.

Mögliche Module einer Simulation

Eine umfassende Sicherheitsstrategie erfordert die Simulation verschiedener Angriffsszenarien, um potenzielle Schwachstellen aufzudecken und effektive Abwehrmaßnahmen zu entwickeln. Unsere Attack Simulation ist modular aufgebaut und kann beispielsweise aus einer Kombination der nachfolgenden Module bestehen.

01

External Attack

Innerhalb einer modernen Organisation ist es meist unumgänglich, dass zumindest einzelne IT-Systeme öffentlich via Internet erreichbar sind. Diese Exponiertheit macht die Systeme zu einem interessanten Angriffsziel, da dadurch einerseits direkt sensitive Daten zugänglich werden und andererseits ein erster Schritt in Richtung Internes Netzwerk gelingt. In diesem Szenario verhält sich Redguard wie ein externer Angreifer, der versucht, sich Zugang zu über das Internet erreichbaren Systemen Ihrer Infrastruktur zu verschaffen. Dabei bedienen sich unsere Sicherheitsexperten sowohl bekannter wie auch spezifisch auf Ihre Systeme zugeschnittener Angriffsmethoden. Wenn ein Zugriff erreicht wird, werden mögliche sensitive Daten extrahiert und analysiert. Weiter wird versucht, in interne Netzwerkbereiche vorzudringen.

02

Spear Phishing

In diesem Modul werden aktiv Einzelpersonen und/oder Personengruppen per Phishing angegriffen. Dabei wird versucht, die Zielpersonen möglichst kontextspezifisch anzugehen, um sie dazu zu bewegen, sensitive Informationen wie etwa Kunden- oder Anmeldedaten preiszugeben oder auch Schadsoftware auf ihrem Arbeitsgerät auszuführen. Die Resultate dieses Moduls zeichnen ein klares Bild der aktuellen Mitarbeiter-Awareness und können weiter eingesetzt werden, beispielsweise für entsprechende Schulungen oder die Evaluation technischer Massnahmen. Nicht zuletzt wird durch diese von extern kommende Bedrohung auch die Perimeter-Sicherheit auf die Probe gestellt – und so auch die dafür zuständigen Mitarbeiter innerhalb Ihrer Unternehmung.

03

Malware Infection

Alle wichtigen Daten beziehungsweise Informationen müssen früher oder später durch jemanden bearbeitet oder zumindest von jemandem eingesehen werden können. Dies geschieht normalerweise über die Client-Geräte der jeweiligen Mitarbeitenden. Es ist somit für einen Angreifer nicht zwingend notwendig, in zentrale Server einzudringen, sondern es reicht schon, sich Zugang zu geeigneten Client-Geräten zu verschaffen, um an die gewünschten Daten zu gelangen. In diesem Szenario wird die Infektion eines Clients mit Schadsoftware (Malware) simuliert, um so an sensitive Daten zu kommen. In einem weiteren Schritt wird das Gerät in Ihrem internen Netz platziert und via Internet über den Kanal Command & Control (C2) kontrolliert. Zusätzlich wird auch versucht, sensitive Daten auf diesem Weg aus der Unternehmung zu transferieren, was eine Aussage bezüglich der eingesetzten Data-Loss-Prevention-(DLP)-Systeme sowie bezüglich Abwehrmassnahmen wie Intrusion Detection und Prevention-Systemen (IDS/IPS) zulässt.

04

Social Engineering

Unser Team dringt physisch (ohne Gewalteinwirkung) in Ihre Geschäftsräumlichkeiten vor. Insbesondere kommt dabei sogenanntes Social Engineering zum Einsatz. Dies mit dem Ziel, sowohl sensitive Informationen in physischer Form (wie etwa Dokumente) zu entwenden oder zumindest zu kopieren wie auch um technische Abhörgeräten gezielt zu platzieren. Dieses Modul deckt eine Vielzahl von Themen ab. Zum einen wird durch den Social-Engineering-Angriff der aktuelle Awareness-Stand Ihrer Mitarbeitenden geprüft und andererseits werden auch die internen Sicherheitsmassnahmen wie etwa aktive Schliesssysteme und andere technische Mechanismen geprüft.

05

Internal Attack

Platziert in Ihrem internen Netzwerk, simulieren wir einen Angreifer, der sich Zugang zu Ihrem internen Netzwerk verschafft hat. Dort decken wir Schwachstellen auf und nutzen diese aktiv aus. Dabei können beispielsweise sogenannte Exploits zum Einsatz kommen oder auch Techniken wie etwa das Umleiten von Netzwerkverkehr sowie technisch gestütztes Social Engineering (z.B. Anzeigen falscher Login-Masken). Ziel dieses Szenarios ist es herauszufinden, was ein Angreifer erreichen kann, sobald er etwa durch Schadsoftware in Ihr internes Netzwerk vorgedrungen ist. Durch dieses Szenario können insbesondere fundierte Aussagen über den Sicherheitsstand des internen Netzwerks abgegeben werden und es kann simuliert werden, welches Schadenspotential ein Versagen der Perimeter-Sicherheit mit sich bringt.