20.03.2025 –, Deep-Dive Raum 18
Im Rahmen dieser Deep Dive Session erläutern wir zunächst den Begriff Red Teaming und wie sich diese Überprüfungsform von regulären Penetrationstests unterscheidet. Wir geben einen Überblick über die verschiedenen Phasen, die involvierten Parteien (Red-, Blue-, White-Team) in der Projektdurchführung und über die Erkenntnisse, die ein Kunde aus solch einem Projekt gewinnen kann. Des Weiteren geben wir Hinweise zur Beantwortung der Frage „Sind das eigene Unternehmen und die Infrastruktur bereit für ein Red-Team-Assessment?“ Möglicherweise sind andere Prüfungsformen für den eigenen Reifegrad oder die konkreten Ziele besser geeignet.
Anschließend gewähren wir einen Blick hinter die Kulissen: Wir skizzieren unser Vorgehen bei Red-Team-Assessments und erläutern Angriffstechniken gemäß den Phasen des MITRE-ATT&CK-Frameworks, die besonders häufig erfolgreich waren. Zum Schluss fassen wir zusammen, welche Erkenntnisse für unsere Kunden besonders wertvoll waren und wie sie ihnen geholfen haben, sich nach der Durchführung des Red-Team-Assessments auf die wichtigsten Aspekte zur Verteidigung gegen Cyberangriffe zu fokussieren.
Die Deep Dive Session hält Constantin Wenz, Senior Berater bei der cirosec. Schwerpunkt seiner Tätigkeit ist das Auffinden und Beheben von Sicherheitslücken in Windows-Infrastrukturen und den damit verbundenen Cloud-Diensten. Darüber hinaus führt er regelmäßig Red Teamings durch.
Joshua Tiago ist seit 2011 als Consultant bei cirosec tätig und hat in zahlreichen Projekten seine Fähigkeiten in den Bereichen Security Assessments und Penetrationstests von Webanwendungen weiterentwickelt und Quellcodeanalysen durchgeführt. Darüber hinaus entwickelt er sichere Coding-Richtlinien für Webanwendungen. Außerdem berät er Entwickler und IT-Architekten bei der korrekten Implementierung von kryptographischen Algorithmen und führt Projekte im Bereich Reverse-Engineering durch. Darüber hinaus ist Joshua Tiago einer der Dozenten der cirosec-Schulungen. Er ist Autor mehrerer Fachartikel, die in Zeitschriften wie iX veröffentlicht wurden.