SEKurity GmbH

RED TEAM OPERATIONS

Kein Scan.Eine Operationmit klarem Ziel.

Unsere Red-Team-Engagements dauern typischerweise sechs bis zwölf Wochen und enden nicht mit einer Liste offener Ports. Sie enden mit der Antwort auf eine Frage, die Ihr Vorstand gestellt hat: Kann jemand unser wichtigstes Asset kompromittieren, ohne dass wir es merken?

Operation anfragen

01 · OBJECTIVES

Zielbasiert statt listenbasiert.

Wir definieren gemeinsam mit Ihnen harte, überprüfbare Ziele: Übernahme der Domäne, Exfiltration definierter Datensätze, Zugriff auf ein OT-Segment, Kompromittierung einer Administrations-Workstation. Jedes Ziel hat ein binäres Kriterium — erreicht oder nicht. Nebenziele entstehen organisch aus dem Operationsverlauf.

02 · KILL CHAIN

Sieben Phasen, ein Operator-Tagebuch.

  1. PHASE · 01

    Reconnaissance

    Externe Aufklärung Ihrer Angriffsfläche, Mitarbeiterprofile, technologische Indikatoren, Lieferkette. Grundlage für maßgeschneiderte Einstiegsvektoren.

  2. PHASE · 02

    Initial Access

    Spear-Phishing, exponierte Services, physische Vektoren, Social Engineering am Telefon. Eingesetzt werden erst bewährte TTPs, dann Eigenentwicklungen.

  3. PHASE · 03

    Foothold & C2

    Etablierung eines stabilen Command-and-Control-Kanals mit realistischen Beaconing-Zeiten. EDR-Awareness und OPSEC-Disziplin sind Grundvoraussetzung.

  4. PHASE · 04

    Privilege Escalation

    Lokale und Domänen-Eskalation. Kerberos-Missbrauch, Delegationspfade, Fehlkonfigurationen in ADCS, Tier-0-Kompromittierung.

  5. PHASE · 05

    Lateral Movement

    Bewegung entlang identifizierter Trust-Beziehungen, unter bewusster Vermeidung offensichtlicher Indikatoren. Kein Massen-Mimikatz, kein Rauschen.

  6. PHASE · 06

    Objective Execution

    Erreichen des vereinbarten Ziels. Bei Datenexfiltration nutzen wir markierte Test-Records, keine echten Kundendaten.

  7. PHASE · 07

    Purple Team Closeout

    Gemeinsame Replay-Session mit Ihrem Blue Team. Jeder TTP wird wiederholt, detektiert oder nicht, und protokolliert. Aus Operation wird messbare Verbesserung.

03 · METRIKEN

Wir liefern Zahlen, die Ihr Vorstand liest.

KPI · 01

Mean Time to Detect

Pro Kill-Chain-Phase gemessen. Sie sehen, an welcher Stelle Ihre Sichtbarkeit verloren geht.

KPI · 02

Detection Coverage

Abdeckung Ihrer eingesetzten TTPs gegen MITRE ATT&CK, gewichtet nach Phase und Kritikalität.

KPI · 03

Zeit bis Ziel

Dauer von Initial Access bis Objective. Benchmark-fähig gegen Vorjahres-Engagements.

REIFEGRAD MESSEN

Eine Operation, die Ihr SOC nie vergisst.

Wir skalieren Scope und TTP-Sophistication entlang Ihres aktuellen Reifegrads. Jedes Engagement endet mit einem Detection-Engineering-Backlog, den Ihr Team sofort abarbeiten kann.

Scoping starten