Adversary Emulation

Adversary Emulation zielt darauf ab, die Ausfallsicherheit eines Netzwerks gegen fortgeschrittene Angreifer oder fortgeschrittene persistente Bedrohungen (Advanced Persistent Threats, APTs) zu testen. Hierbei handelt es sich um gezielte, koordinierte Bedrohungsgruppen mit der Absicht, Gelegenheit und Fähigkeit, ihren Opfern kontinuierlich zu schädigen. Bei Adversary Emulation wenden wir dieselben Taktiken, Techniken und Verfahren (TTPs) entlang der Cyber-Kill-Kette an, die tiefer in das Zielnetzwerk zu den Opfern führen.

Prevent
Prevent

Ihre Herausforderung

Penetrationstests auf einzelnen Systemen oder Anwendungen sind hilfreich, um nach Schwachstellen in diesen spezifischen Komponenten zu suchen. Ein einziger Penetrationstest gibt Ihnen jedoch keine Informationen über die Sicherheitslage des gesamten Unternehmens. Audits und Zertifizierungen zielen hauptsächlich auf Governance und Compliance ab, aber über die Theorie hinaus garantieren sie keine Widerstandsfähigkeit gegenüber einem tatsächlichen Angriff.

Sie möchten wissen, wie ein Gegner Ihr Netzwerk verletzen und welchen Schaden er anrichten kann? Sie möchten feststellen, ob ein Angreifer oder eine Bedrohungsgruppe, die auf Ihr Unternehmen abzielt, vertrauliche Informationen stehlen und in Ihrer Infrastruktur unbemerkt bleiben kann? Sie möchten Ihre gesamte Verteidigungskette an einer realistischen, modernen Cyber-Bedrohung messen?

Wie wir helfen können

Die Cyber-Kill-Kette ist ein Modell, um alle Phasen eines realistischen Cyber-Angriffs abzubilden: von der frühen Aufklärung bis zum Ziel der Datenexfiltration. Während eines Angriffs verwenden wir dieselben Taktiken, Techniken und Verfahren (TTPs), die von APTs in der realen Welt angewendet werden.

Abhängig von der Reife Ihrer Erkennungsfähigkeiten und dem Ziel, das Sie erreichen möchten, können wir diese TTPs mit einem von zwei Ansätzen anwenden:

  • Red teaming
    Unser RedTeaming konzentriert sich darauf, zu bewerten, wie widerstandsfähig (einschließlich Prävention, Erkennung und Reaktion auf Bedrohungen) Ihr Unternehmen gegen eine simulierte Bedrohung ist. Dies bedeutet, dass unser Red Team normalerweise versucht, so lange wie möglich heimlich und unter dem Radar (vom Blue Team nicht erkannt) zu bleiben. Das Feedback erfolgt in regelmäßigen Abständen (Statusaktualisierungen). Am Ende des Engagements folgt eine Nachbesprechung oder ein Workshop. Ein Red Team Engagement, bei dem das Red Team die Mehrheit der Flags erhält (d.h. die Bedrohungsszenarien erfolgreich ausführt, ohne entdeckt zu werden), kann einen nützlichen Schockeffekt zur Priorisierung der Sicherheitsanstrengungen bringen.
  • Purple teaming
    Unser Purple Teaming konzentriert sich auf die Verbesserung der Widerstandsfähigkeit (einschließlich Prävention, Erkennung und Reaktion auf Bedrohungen) Ihres Unternehmens gegen eine simulierte Bedrohung. Dies bedeutet, dass das Red Team während des gesamten Engagements eng mit dem Blue Team zusammenarbeitet und verschiedene Techniken und Angriffsszenarien testet. Wir ordnen die gewünschten Erkennungsfunktionen immer verschiedenen Phasen der Cyber-Kill-Kette zu. Danach definieren wir detaillierte Anwendungsfälle für die Erkennung, beispielsweise auf das MITRE ATT & CK-Framework abgebildet. Feedback wird sofort gegeben, um Ihre Sicherheitslage zu verbessern (sowohl Kontrollen zur Vorbeugung als auch zur Erkennung).

Warum NVISO

Wie oben erläutert, ist eine Adversay Emulation kein isolierter Test, sondern deckt Ihr gesamtes Unternehmen ab. Aufgrund der Kritikalität von Live-Produktionssystemen, Personen und Prozessen, die an den Tests beteiligt sind, besteht ein inhärentes Risiko. Es besteht immer die Möglichkeit, kritische Zielsysteme zu beeinflussen, beispielsweise aufgrund unerwarteter Denial-of-Service- oder Systemabstürze. Sensible Daten können verloren gehen, geändert oder offengelegt werden, wenn Ihr Testpartner nicht vorsichtig ist. Daher ist es wichtig, einige Risikomanagementkontrollen zu berücksichtigen und den richtigen Partner auszuwählen. Mit NVISO finden Sie einen vertrauenswürdigen Partner: 

  • Ein hohes Maß an Fähigkeiten und Fachwissen
  • Erfahrung mit verschiedenen Arten von Sicherheitsbewertungen
  • Enge Zusammenarbeit mit dem White Team
  • Ein Fokus auf Ethik
  • Sicherer Umgang mit sensiblen Daten

Wir weisen eine hohe Erfolgsbilanz in Adversary Emulation auf, die auf unserer jahrelangen Erfahrung in der Arbeit von Red Teams (Penetrationstests, Sicherheitsbewertungen usw.) und Blue Teams (Sicherheitsüberwachung, Bedrohungssuche, Reaktion auf Vorfälle usw.) aufbaut. Alle unsere Mitarbeiter verfügen über relevante Zertifizierungen und unsere Red und Blue Teams können mehrere Referenzen für eine erfolgreiche Bewertung vorlegen. Des Weiteren verfasste einer unserer Experten „SEC599 - Defeating Advanced Adversaries - Implementing Kill Chain Defenses“, ein Purpble Teaming Kurs aus dem SANS-Lehrangebot.

Während einer Adversay Emulation führen wir tägliche Statusbesprechungen mit dem White Team durch, um über kritische Probleme zu berichten oder die Ausnutzung zu validieren. Auf diese Weise können Sie bei Bedarf Maßnahmen ergreifen.

Wir unterstützen Sie
NVISO
NVISO
NVISO
NVISO GmbH
Holzgraben 5
60313 Frankfurt am Main