Offensive vs. Defensive Security
Kapitel 1: Grundlagen & Einführung → Was ist Security & Ethical Hacking?
Einführung
In der IT-Sicherheit gibt es zwei grundlegende Ansätze, die sich gegenseitig ergänzen: Offensive Security (Angriff) und Defensive Security (Verteidigung). Beide Perspektiven sind essenziell, um ein ganzheitliches Sicherheitskonzept zu entwickeln und Systeme effektiv zu schützen.
💡 Merksatz: "Um sich verteidigen zu können, muss man wissen, wie Angreifer denken und handeln."
Offensive Security (Red Team)
Offensive Security beschreibt den proaktiven Ansatz, bei dem Sicherheitsexperten die Rolle eines Angreifers einnehmen, um Schwachstellen zu identifizieren, bevor echte Angreifer dies tun.
Ziele der Offensive Security
| Ziel | Beschreibung |
|---|---|
| Schwachstellen finden | Aktive Suche nach Sicherheitslücken in Systemen, Netzwerken und Anwendungen |
| Ausnutzbarkeit testen | Prüfen, ob gefundene Schwachstellen tatsächlich ausgenutzt werden können |
| Risikobewertung | Einschätzung des realen Schadenspotenzials |
| Awareness schaffen | Demonstrieren von Angriffsszenarien für Management und Mitarbeiter |
Typische Aktivitäten
Penetration Testing (Pentesting)
- Autorisierte Angriffssimulationen auf definierte Zielsysteme
- Zeitlich begrenzt mit klarem Scope
- Ergebnis: Detaillierter Report mit Findings und Empfehlungen
Vulnerability Assessment
- Systematische Schwachstellensuche mit automatisierten Tools
- Identifikation von Fehlkonfigurationen und veralteter Software
- Priorisierung nach Kritikalität (CVSS-Score)
Red Teaming
- Realistische Angriffssimulation über längeren Zeitraum
- Kombination aus technischen und sozialen Angriffsvektoren
- Ziel: Testen der gesamten Sicherheitskette inkl. Detection & Response
- Testen des menschlichen Faktors
- Phishing-Kampagnen, Pretexting, Physical Security Tests
- Sensibilisierung der Mitarbeiter
Wichtige Tools
┌─────────────────────────────────────────────────────────┐
│ RECONNAISSANCE │ EXPLOITATION │ POST-EX │
├─────────────────────────────────────────────────────────┤
│ • Nmap │ • Metasploit │ • Mimikatz│
│ • theHarvester │ • Burp Suite │ • BloodHound
│ • Shodan │ • sqlmap │ • Cobalt Strike
│ • Amass │ • Hydra │ • Empire │
└─────────────────────────────────────────────────────────┘
Defensive Security (Blue Team)
Defensive Security umfasst alle Maßnahmen zum Schutz, zur Erkennung und zur Reaktion auf Sicherheitsvorfälle. Das Blue Team ist verantwortlich für den kontinuierlichen Schutz der IT-Infrastruktur.
Ziele der Defensive Security
| Ziel | Beschreibung |
|---|---|
| Prävention | Verhindern von erfolgreichen Angriffen durch Härtung und Kontrollen |
| Detektion | Erkennen von Angriffen und anomalem Verhalten in Echtzeit |
| Reaktion | Schnelle und effektive Incident Response bei Sicherheitsvorfällen |
| Recovery | Wiederherstellung des Normalbetriebs nach einem Vorfall |
Säulen der Defensive Security
1. Prävention (Prevent)
- System- und Service-Härtung (CIS Benchmarks)
- Patch-Management und Updates
- Netzwerksegmentierung und Firewalls
- Access Control und Least Privilege
- Security Awareness Training
2. Erkennung (Detect)
- Security Information and Event Management (SIEM)
- Intrusion Detection/Prevention Systems (IDS/IPS)
- Endpoint Detection and Response (EDR)
- Network Traffic Analysis
- Log-Management und Correlation
3. Reaktion (Respond)
- Incident Response Prozesse und Playbooks
- Security Operations Center (SOC)
- Forensische Analyse
- Malware-Analyse
- Threat Hunting
4. Wiederherstellung (Recover)
- Backup und Disaster Recovery
- Business Continuity Planning
- Post-Incident Analysis
- Lessons Learned
Wichtige Tools
┌─────────────────────────────────────────────────────────┐
│ MONITORING │ HARDENING │ RESPONSE │
├─────────────────────────────────────────────────────────┤
│ • Wazuh (SIEM) │ • Lynis │ • TheHive │
│ • Suricata (IDS) │ • OpenSCAP │ • Autopsy │
│ • Graylog │ • CIS-CAT │ • Volatility
│ • Security Onion │ • Ansible │ • YARA │
└─────────────────────────────────────────────────────────┘
Gegenüberstellung: Offensive vs. Defensive
| Aspekt | Offensive Security | Defensive Security |
|---|---|---|
| Perspektive | Angreifer-Sicht | Verteidiger-Sicht |
| Ziel | Schwachstellen finden & ausnutzen | Systeme schützen & überwachen |
| Ansatz | Proaktiv, punktuell | Kontinuierlich, reaktiv |
| Zeitrahmen | Projektbasiert (Wochen) | 24/7 Dauerbetrieb |
| Team | Red Team, Pentester | Blue Team, SOC-Analysten |
| Erfolgsmetrik | Gefundene Schwachstellen | Verhinderte/erkannte Angriffe |
| Mindset | "Wie komme ich rein?" | "Wie halte ich Angreifer draußen?" |
Purple Team: Das Beste aus beiden Welten
Der Purple Team-Ansatz kombiniert offensive und defensive Techniken in einem kollaborativen Workflow. Statt in Silos zu arbeiten, tauschen Red und Blue Team aktiv Wissen aus.
Purple Team Workflow
┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ RED TEAM │────▶│ PURPLE TEAM │◀────│ BLUE TEAM │
│ Angriff │ │ Kollaboration│ │ Verteidigung│
└─────────────┘ └──────┬──────┘ └─────────────┘
│
▼
┌───────────────────────┐
│ KONTINUIERLICHE │
│ VERBESSERUNG │
│ • Detection Rules │
│ • Response Playbooks │
│ • Security Controls │
└───────────────────────┘
Vorteile des Purple Team-Ansatzes
- Wissenstransfer: Red Team teilt Angriffstechniken, Blue Team verbessert Detection
- Realitätsnahe Tests: Angriffe werden unter realen Bedingungen getestet
- Schnellere Verbesserung: Direktes Feedback-Loop zwischen Angriff und Verteidigung
- Ganzheitliche Sicherheit: Keine blinden Flecken durch isolierte Teams
- Effizienz: Ressourcen werden optimal genutzt
Purple Team in der Praxis
- Red Team führt Angriff durch (z.B. Phishing mit Payload)
- Blue Team versucht zu erkennen (SIEM-Alerts, EDR)
- Gemeinsame Analyse: Was wurde erkannt? Was nicht?
- Optimierung: Detection Rules anpassen, Playbooks erweitern
- Wiederholung: Erneuter Test zur Validierung
Karrierewege in der IT-Security
Offensive Security Rollen
| Rolle | Beschreibung | Typische Zertifizierungen |
|---|---|---|
| Penetration Tester | Führt autorisierte Sicherheitstests durch | OSCP, CEH, GPEN |
| Red Team Operator | Simuliert fortgeschrittene Angriffe | OSEP, CRTO, GXPN |
| Bug Bounty Hunter | Findet Schwachstellen gegen Belohnung | Praxiserfahrung |
| Security Researcher | Entdeckt neue Schwachstellen (0-Days) | CVE-Veröffentlichungen |
Defensive Security Rollen
| Rolle | Beschreibung | Typische Zertifizierungen |
|---|---|---|
| SOC Analyst | Überwacht und analysiert Security Events | Security+, CySA+, BTL1 |
| Incident Responder | Reagiert auf Sicherheitsvorfälle | GCIH, ECIH |
| Security Engineer | Implementiert Sicherheitslösungen | CISSP, CCSP |
| Threat Hunter | Proaktive Suche nach Bedrohungen | GCTI, GREM |
Fazit
Offensive und Defensive Security sind zwei Seiten derselben Medaille. Ein effektives Sicherheitsprogramm benötigt beide Perspektiven:
⚔️ Offensive Security hilft dir zu verstehen, wie Angriffe funktionieren und wo deine Schwachstellen liegen.
🛡️ Defensive Security sorgt dafür, dass du Angriffe erkennst, verhinderst und im Ernstfall reagieren kannst.
💜 Purple Teaming verbindet beide Ansätze für maximale Effektivität.
Für dieses Buch gilt: Wir behandeln beide Seiten gleichwertig. Du lernst sowohl offensive Techniken (um Schwachstellen zu finden) als auch defensive Maßnahmen (um sie zu beheben und zu überwachen). Nur wer beide Perspektiven versteht, kann wirklich sichere Systeme bauen.
Weiterführende Ressourcen
Standards & Frameworks
- MITRE ATT&CK: Wissensdatenbank für Angriffstechniken → attack.mitre.org
- NIST Cybersecurity Framework: Rahmenwerk für Cybersicherheit
- OWASP: Open Web Application Security Project
Übungsplattformen
- HackTheBox: Offensive Security Labs
- TryHackMe: Geführte Security-Lernpfade
- LetsDefend: Blue Team Training
- CyberDefenders: DFIR-Challenges
Empfohlene Bücher
- The Hacker Playbook 3 – Peter Kim (Offensive)
- Blue Team Handbook – Don Murdoch (Defensive)
- Red Team Field Manual – Ben Clark (Quick Reference)