Zum Inhalt springen
Startseite » Produktübersicht » PS_REDTEAM » Red Team – Assumed Breach

Red Team – Assumed Breach

Assumed Breach

Prüfung Ihrer Abwehrmechanismen ab einem bereits kompromittierten Zustand

Beim Assumed-Breach-Ansatz setzen wir bewusst später an als in klassischen Red-Team-Kampagnen. Der initiale Einbruch wird nicht simuliert, stattdessen starten wir aus einer Position, die ein realer Angreifer nach dem erfolgreichen Einstieg erreichen könnte. Dadurch erhalten Sie präzise Einblicke in die Frage, was ein Angreifer in Ihrer Umgebung tatsächlich erreichen kann, sobald er „drin“ ist.

Ziel und Mehrwert des Moduls Red Team – Assumed Breach

Typische Ziele dieses Moduls:

  • Bewertung der internen Widerstandskraft gegen Lateral Movement, Privilege Escalation und Datenexfiltration.
  • Prüfung, wie zuverlässig Ihre Detection- und Response-Mechanismen verdächtige Aktionen erkennen und einordnen.
  • Untersuchung, ob Segmentierung, Rollenmodelle, Logging und Monitoring wirksam ineinandergreifen.
  • Realistische Einschätzung der Schäden, die ein Angreifer nach einem erfolgreichen Einstieg verursachen könnte.

Prüfinhalt und Vorgehen

Der Test beginnt mit einem klar definierten Startpunkt. Beispiele können sein:

  • Ein kompromittiertes internes Benutzerkonto.
  • Ein übernommener Client oder Server mit begrenzten Zugriffsrechten.
  • Ein Netzwerkstandort, zu dem ein Angreifer bereits Zugang erlangt hat.

Darauf aufbauend führen wir einen kontrollierten internen Angriff durch, typischerweise mit folgenden Schwerpunkten:

  • Lateral Movement: Identifikation realistischer Wege, sich innerhalb des Netzwerks weiterzubewegen.
  • Rechteausweitung: Ausnutzen falsch gesetzter Berechtigungen oder Konfigurationen zur Erlangung höherer Privilegien.
  • Zugriff auf Unternehmenswerte: Identifikation von Systemen, Daten oder Assets, die ein Angreifer anvisieren könnte.
  • Detektion und Reaktion: Analyse, ob und wie Ihre Systeme und Teams die Aktivitäten erkennen, priorisieren und behandeln.

Ergebnisse und Dokumentation

Nach Abschluss erhalten Sie eine strukturierte, klar verständliche Auswertung, die folgende Inhalte umfasst:

  • Beschreibung des vereinbarten Startpunkts und der beobachteten Angriffspfade.
  • Nachvollziehbare Darstellung aller durchgeführten Schritte mit technischer Tiefe.
  • Analyse Ihrer Detection- und Response-Leistung: Was wurde erkannt? Wie schnell? Welche Eskalationen haben funktioniert?
  • Konkrete Maßnahmen, um Ihre innere Verteidigungsfähigkeit dauerhaft zu verbessern.
  • Optional: Gemeinsame Nachbereitung in Form eines Purple-Team-Workshops.

Unterschied zum Full Scope Red Teaming

Der Full-Scope-Ansatz betrachtet den gesamten Angriffsweg – von den ersten Berührungspunkten außerhalb Ihres Unternehmens bis zur möglichen Zielerreichung im Inneren. Social Engineering, physische Angriffsversuche, technischer Perimeterangriff, interne Bewegung und Zugriff auf kritische Assets sind dort Teil eines zusammenhängenden Szenarios.

Assumed Breach konzentriert sich dagegen vollständig auf den Zustand nach der Kompromittierung. Wir überspringen den Einstieg bewusst, um die Wirksamkeit Ihrer internen Abwehr dort zu prüfen, wo reale Angriffe häufig erst kritisch werden. Während Full Scope den gesamten Angreiferpfad abbildet, bewertet Assumed Breach gezielt:

  • Was passiert, wenn ein Angreifer bereits im Netzwerk ist?
  • Wie weit kommt er von dort aus?
  • Wie gut funktionieren Ihre Detection- und Response-Mechanismen unter echten Bedingungen?

Beide Module liefern wertvolle Erkenntnisse: Full Scope für die Gesamtsicht, Assumed Breach für eine fokussierte Bewertung der internen Verteidigungsfähigkeit.

Kontakt

Wenn Sie die Widerstandsfähigkeit Ihres Unternehmens gegenüber fortschrittlichsten Angriffen überprüfen lassen möchten, kontaktieren Sie uns gerne für ein unverbindliches Erstgespräch.

Termin vereinbaren