Red Team, Blue Team, Purple Team
Kapitel 1: Grundlagen & Einführung → Was ist Security & Ethical Hacking?
Einführung
Die Begriffe Red Team, Blue Team und Purple Team stammen ursprünglich aus dem Militär und beschreiben verschiedene Rollen in Sicherheitsübungen. In der IT-Security haben sich diese Konzepte als fundamentale Organisationsstrukturen etabliert, die definieren, wie Unternehmen ihre Sicherheit testen, überwachen und kontinuierlich verbessern.
💡 Kernkonzept: Die Farben symbolisieren die Rollen – Rot für Angriff, Blau für Verteidigung, und Lila (Mischung aus Rot und Blau) für die Zusammenarbeit beider Seiten.
Red Team – Die Angreifer
Das Red Team simuliert reale Angreifer, um die Sicherheit einer Organisation unter realistischen Bedingungen zu testen. Im Gegensatz zu klassischen Penetrationstests agiert das Red Team oft über längere Zeiträume und nutzt alle verfügbaren Angriffsvektoren.
Charakteristiken
| Aspekt | Beschreibung |
|---|---|
| Ziel | Sicherheitslücken finden und ausnutzen, bevor echte Angreifer es tun |
| Perspektive | Denken und handeln wie ein realer Angreifer (Adversary Simulation) |
| Scope | Oft breit gefasst – alles ist erlaubt (im Rahmen der Rules of Engagement) |
| Dauer | Wochen bis Monate für realistische Szenarien |
| Wissen | Meist Black-Box oder Grey-Box (limitiertes Vorwissen) |
Aufgaben des Red Teams
1. Reconnaissance (Aufklärung)
- OSINT: Öffentlich verfügbare Informationen sammeln
- Technische Enumeration: Netzwerke, Dienste, Versionen
- Social Engineering Vorbereitung: Mitarbeiter identifizieren
2. Initial Access (Erstzugang)
- Phishing-Kampagnen mit maßgeschneiderten Payloads
- Exploitation von externen Diensten
- Physical Security Tests (Tailgating, USB-Drops)
- Supply Chain Angriffe
3. Execution & Persistence
- Malware-Deployment und C2-Kommunikation
- Persistenz-Mechanismen etablieren
- Defense Evasion (Antivirus umgehen)
4. Lateral Movement
- Credential Harvesting (Mimikatz, Kerberoasting)
- Pivoting durch das Netzwerk
- Privilege Escalation
5. Impact & Exfiltration
- Zugriff auf kritische Systeme demonstrieren
- Datenexfiltration simulieren
- Dokumentation der Angriffskette
Red Team Toolbox
┌────────────────────────────────────────────────────────────────┐
│ RED TEAM ARSENAL │
├────────────────────────────────────────────────────────────────┤
│ RECON & OSINT │ EXPLOITATION │ C2 & POST │
│ ────────────────── │ ───────────────── │ ────────── │
│ • Maltego │ • Metasploit │ • Cobalt Strike
│ • Shodan │ • Cobalt Strike │ • Sliver │
│ • theHarvester │ • Burp Suite Pro │ • Havoc │
│ • SpiderFoot │ • SQLmap │ • Mythic │
│ • Amass │ • Impacket │ • Empire │
├────────────────────────────────────────────────────────────────┤
│ CREDENTIALS │ LATERAL MOVEMENT │ EVASION │
│ ────────────────── │ ───────────────── │ ────────── │
│ • Mimikatz │ • BloodHound │ • Veil │
│ • Hashcat │ • CrackMapExec │ • Scarecrow │
│ • John the Ripper │ • Evil-WinRM │ • Donut │
│ • Responder │ • PsExec │ • AMSI Bypass│
└────────────────────────────────────────────────────────────────┘
Red Team Frameworks & Methodologien
| Framework | Beschreibung |
|---|---|
| MITRE ATT&CK | Wissensdatenbank mit Taktiken, Techniken und Prozeduren (TTPs) |
| Cyber Kill Chain | Lockheed Martin's Modell der Angriffsphasen |
| PTES | Penetration Testing Execution Standard |
| OWASP Testing Guide | Web Application Security Testing |
Typische Red Team Szenarien
┌─────────────────────────────────────────────────────────────┐
│ SZENARIO 1: Assumed Breach │
│ ───────────────────────────────────────────────────────── │
│ Startpunkt: Kompromittierter Mitarbeiter-PC │
│ Ziel: Domain Admin erreichen, Daten exfiltrieren │
│ Fokus: Lateral Movement, Privilege Escalation │
└─────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────┐
│ SZENARIO 2: Full Scope External │
│ ───────────────────────────────────────────────────────── │
│ Startpunkt: Nur Firmenname bekannt (Black-Box) │
│ Ziel: Initialer Zugang und Compromise Assessment │
│ Fokus: OSINT, Phishing, External Exploitation │
└─────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────┐
│ SZENARIO 3: Physical + Social Engineering │
│ ───────────────────────────────────────────────────────── │
│ Startpunkt: Physischer Zugang zum Gebäude │
│ Ziel: Netzwerkzugang über Rogue Device │
│ Fokus: Tailgating, Pretexting, Badge Cloning │
└─────────────────────────────────────────────────────────────┘
Blue Team – Die Verteidiger
Das Blue Team ist verantwortlich für den Schutz der IT-Infrastruktur. Es implementiert Sicherheitsmaßnahmen, überwacht Systeme auf Anomalien und reagiert auf Sicherheitsvorfälle.
Charakteristiken
| Aspekt | Beschreibung |
|---|---|
| Ziel | Angriffe verhindern, erkennen und darauf reagieren |
| Perspektive | Verteidiger-Sicht mit vollständigem Systemwissen |
| Scope | Gesamte IT-Infrastruktur und alle Assets |
| Dauer | Kontinuierlicher 24/7 Betrieb |
| Wissen | Full Knowledge über eigene Systeme |
Die vier Säulen des Blue Teams
┌─────────────────────┐
│ BLUE TEAM │
│ OPERATIONS │
└──────────┬──────────┘
│
┌───────────┬───────────┼───────────┬───────────┐
▼ ▼ ▼ ▼
┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐
│ PREVENT │ │ DETECT │ │ RESPOND │ │ RECOVER │
│──────────│ │──────────│ │──────────│ │──────────│
│ Hardening│ │ SIEM │ │ Incident │ │ Backup │
│ Patching │ │ IDS/IPS │ │ Response │ │ DR Plan │
│ Firewall │ │ EDR │ │ Forensik │ │ BCP │
│ Training │ │ Logging │ │ Playbooks│ │ Lessons │
└──────────┘ └──────────┘ └──────────┘ └──────────┘
Aufgaben des Blue Teams
1. Security Architecture & Hardening
- Netzwerksegmentierung und Firewall-Regeln
- System-Härtung nach CIS Benchmarks
- Patch-Management und Vulnerability Management
- Identity & Access Management (IAM)
2. Security Monitoring
- SIEM-Betrieb und Log-Analyse
- Intrusion Detection/Prevention (IDS/IPS)
- Endpoint Detection and Response (EDR)
- Network Traffic Analysis (NTA)
3. Threat Detection & Hunting
- Erstellung und Tuning von Detection Rules
- Proaktives Threat Hunting
- Indicator of Compromise (IoC) Analyse
- Threat Intelligence Integration
4. Incident Response
- Triage und Priorisierung von Alerts
- Containment und Eradication
- Forensische Analyse
- Post-Incident Review
5. Security Operations Center (SOC)
- 24/7 Überwachung
- Alert-Management und Eskalation
- Reporting und Metrics
- Continuous Improvement
Blue Team Toolbox
┌────────────────────────────────────────────────────────────────┐
│ BLUE TEAM ARSENAL │
├────────────────────────────────────────────────────────────────┤
│ SIEM & LOGGING │ DETECTION │ HARDENING │
│ ────────────────── │ ───────────────── │ ────────── │
│ • Wazuh │ • Suricata │ • Lynis │
│ • Splunk │ • Snort │ • OpenSCAP │
│ • Elastic SIEM │ • Zeek (Bro) │ • CIS-CAT │
│ • Graylog │ • OSSEC │ • Ansible │
│ • Security Onion │ • Velociraptor │ • Puppet │
├────────────────────────────────────────────────────────────────┤
│ FORENSICS │ THREAT INTEL │ EDR │
│ ────────────────── │ ───────────────── │ ────────── │
│ • Autopsy │ • MISP │ • CrowdStrike│
│ • Volatility │ • OpenCTI │ • SentinelOne│
│ • Wireshark │ • TheHive │ • Carbon Black│
│ • KAPE │ • Cortex │ • Wazuh EDR │
│ • Plaso │ • Yeti │ • osquery │
└────────────────────────────────────────────────────────────────┘
Detection Engineering
Das Blue Team entwickelt und pflegt Detection Rules, um Angriffe zu erkennen:
Sigma Rules (Plattformunabhängig)
title: Mimikatz Credential Dumping
status: experimental
logsource:
category: process_creation
product: windows
detection:
selection:
CommandLine|contains:
- 'sekurlsa::logonpasswords'
- 'sekurlsa::minidump'
condition: selection
level: critical
YARA Rules (Malware Detection)
rule Cobalt_Strike_Beacon {
strings:
$a = "%%IMPORT%%" ascii
$b = "beacon.dll" ascii
condition:
all of them
}
SOC Maturity Levels
| Level | Beschreibung | Kennzeichen |
|---|---|---|
| Level 0 | Kein SOC | Reaktiv, keine Überwachung |
| Level 1 | Basic | SIEM vorhanden, manuelle Analyse |
| Level 2 | Intermediate | 24/7 Monitoring, Playbooks, Threat Intel |
| Level 3 | Advanced | Threat Hunting, Automation, eigene Detection |
| Level 4 | Optimized | ML/AI, vollständige Automatisierung, Proaktiv |
Purple Team – Die Brücke
Das Purple Team ist kein eigenständiges Team, sondern ein kollaborativer Ansatz, bei dem Red und Blue Team eng zusammenarbeiten, um die Sicherheit kontinuierlich zu verbessern.
Charakteristiken
| Aspekt | Beschreibung |
|---|---|
| Ziel | Maximale Lerneffekte durch Zusammenarbeit |
| Perspektive | Kombiniert Angreifer- und Verteidiger-Sicht |
| Scope | Fokussierte Übungen mit direktem Feedback |
| Dauer | Iterative Zyklen (Stunden bis Tage) |
| Wissen | Transparenter Wissensaustausch |
Purple Team Workflow
┌─────────────────────────────────────────────────────────────────┐
│ PURPLE TEAM ZYKLUS │
└─────────────────────────────────────────────────────────────────┘
┌──────────┐ ┌──────────┐ ┌──────────┐
│ PLAN │────────▶│ EXECUTE │────────▶│ DETECT │
│ │ │ │ │ │
│ Technik │ │ Red Team │ │ Blue Team│
│ auswählen│ │ führt │ │ versucht │
│ (ATT&CK) │ │ Angriff │ │ Erkennung│
└──────────┘ └──────────┘ └────┬─────┘
▲ │
│ ▼
┌────┴─────┐ ┌──────────┐ ┌──────────┐
│ REPEAT │◀────────│ IMPROVE │◀────────│ ANALYZE │
│ │ │ │ │ │
│ Nächste │ │ Detection│ │ Was wurde│
│ Technik │ │ Rules │ │ erkannt? │
│ │ │ anpassen │ │ Was nicht?│
└──────────┘ └──────────┘ └──────────┘
Purple Team Übung: Schritt für Schritt
Phase 1: Vorbereitung
┌─────────────────────────────────────────────────────────────┐
│ 1. Technik aus MITRE ATT&CK auswählen │
│ Beispiel: T1003.001 - LSASS Memory Credential Dumping │
│ │
│ 2. Erwartete Artefakte definieren │
│ • Process Access auf lsass.exe │
│ • Verdächtige Tool-Signaturen │
│ • Memory Dump Files │
│ │
│ 3. Aktuelle Detection prüfen │
│ • Welche Rules existieren? │
│ • Welche Logs werden gesammelt? │
└─────────────────────────────────────────────────────────────┘
Phase 2: Ausführung
┌─────────────────────────────────────────────────────────────┐
│ RED TEAM führt Technik aus: │
│ │
│ Variante 1: Mimikatz (bekannt) │
│ > mimikatz.exe "sekurlsa::logonpasswords" exit │
│ │
│ Variante 2: ProcDump (legitimes Tool) │
│ > procdump.exe -ma lsass.exe lsass.dmp │
│ │
│ Variante 3: Comsvcs.dll (LOLBin) │
│ > rundll32.exe comsvcs.dll MiniDump <PID> dump.bin full │
│ │
│ BLUE TEAM beobachtet in Echtzeit: │
│ • SIEM Alerts │
│ • EDR Detections │
│ • Process Logs │
└─────────────────────────────────────────────────────────────┘
Phase 3: Analyse & Verbesserung
┌─────────────────────────────────────────────────────────────┐
│ GEMEINSAME ANALYSE: │
│ │
│ ┌─────────────┬──────────┬──────────┬───────────────────┐ │
│ │ Variante │ Erkannt? │ Alert? │ Verbesserung │ │
│ ├─────────────┼──────────┼──────────┼───────────────────┤ │
│ │ Mimikatz │ ✅ Ja │ ✅ Ja │ - │ │
│ │ ProcDump │ ⚠️ Teil │ ❌ Nein │ Rule für lsass │ │
│ │ Comsvcs.dll │ ❌ Nein │ ❌ Nein │ LOLBin Detection │ │
│ └─────────────┴──────────┴──────────┴───────────────────┘ │
│ │
│ MASSNAHMEN: │
│ • Sigma Rule für LSASS Access erstellen │
│ • LOLBin-Monitoring aktivieren │
│ • Sysmon-Konfiguration erweitern │
└─────────────────────────────────────────────────────────────┘
Purple Team Metriken
| Metrik | Beschreibung | Ziel |
|---|---|---|
| Detection Coverage | % der ATT&CK-Techniken mit Detection | > 80% |
| Mean Time to Detect (MTTD) | Zeit bis zur Erkennung | < 1 Stunde |
| False Positive Rate | Anteil falscher Alarme | < 10% |
| Detection Gap Closure | Behobene Lücken pro Quartal | Steigend |
| Techniques Tested | Getestete ATT&CK-Techniken | Alle relevanten |
Atomic Red Team
Atomic Red Team ist ein Framework für Purple Team Übungen mit kleinen, atomaren Tests:
# Installation
git clone https://github.com/redcanaryco/atomic-red-team.git
# Test ausführen (Beispiel: T1003.001 - Credential Dumping)
Invoke-AtomicTest T1003.001
# Cleanup nach dem Test
Invoke-AtomicTest T1003.001 -Cleanup
Vorteile:
- Kleine, isolierte Tests
- Direkt auf ATT&CK gemappt
- Einfach zu automatisieren
- Cleanup-Prozeduren inklusive
Team-Vergleich im Überblick
| Aspekt | Red Team 🔴 | Blue Team 🔵 | Purple Team 💜 |
|---|---|---|---|
| Rolle | Angreifer | Verteidiger | Koordinator |
| Ziel | Schwachstellen finden | Angriffe verhindern | Beide verbessern |
| Mindset | Offensiv | Defensiv | Kollaborativ |
| Wissen teilen | Nach Abschluss | Kontinuierlich | In Echtzeit |
| Erfolg | Systeme kompromittiert | Angriffe gestoppt | Lücken geschlossen |
| Output | Pentest-Report | Security Posture | Detection Rules |
| Frequenz | Projektbasiert | 24/7 | Regelmäßige Zyklen |
Organisationsmodelle
Modell 1: Separate Teams
┌─────────────────────────────────────────────────────────────┐
│ CISO / Security Lead │
└─────────────────────────────┬───────────────────────────────┘
│
┌───────────────┼───────────────┐
▼ ▼ ▼
┌──────────┐ ┌──────────┐ ┌──────────┐
│ RED TEAM │ │ BLUE TEAM│ │PURPLE │
│──────────│ │──────────│ │EXERCISES │
│ Pentester│ │ SOC │ │──────────│
│ Red Team │ │ IR Team │ │ Quarterly│
│ Operators│ │ Engineers│ │ Sessions │
└──────────┘ └──────────┘ └──────────┘
Pros: Spezialisierung, echte Adversary Simulation
Cons: Hohe Kosten, potenzielle Silos
Modell 2: Integriertes Security Team
┌─────────────────────────────────────────────────────────────┐
│ SECURITY TEAM │
│─────────────────────────────────────────────────────────────│
│ │
│ ┌─────────────────────────────────────────────────────┐ │
│ │ Alle Mitglieder rotieren zwischen: │ │
│ │ • Offensive Projekte (Pentests, Red Teaming) │ │
│ │ • Defensive Aufgaben (SOC, IR, Hardening) │ │
│ │ • Purple Team Exercises │ │
│ └─────────────────────────────────────────────────────┘ │
│ │
│ Pros: Vielseitigkeit, natürlicher Wissenstransfer │
│ Cons: Weniger Spezialisierung, schwierig zu skalieren │
└─────────────────────────────────────────────────────────────┘
Modell 3: Hybrid (Empfohlen für KMU)
┌─────────────────────────────────────────────────────────────┐
│ │
│ ┌──────────────────────┐ ┌──────────────────────────┐ │
│ │ INTERNES BLUE TEAM │ │ EXTERNES RED TEAM │ │
│ │ ────────────────────│ │ ────────────────────────│ │
│ │ • SOC / Monitoring │◀──▶│ • Pentesting Firma │ │
│ │ • Incident Response │ │ • Bug Bounty │ │
│ │ • Security Ops │ │ • Jährliche Audits │ │
│ └──────────────────────┘ └──────────────────────────┘ │
│ │
│ Purple Team Sessions: Vierteljährlich mit externem Partner │
│ │
│ Pros: Kosteneffizient, externe Expertise, internes Wissen │
│ Cons: Abhängigkeit von externen Partnern │
└─────────────────────────────────────────────────────────────┘
Karrierepfade
Red Team Karriere
┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ Junior │───▶│ Senior │───▶│ Red Team │───▶│ Red Team │
│ Pentester │ │ Pentester │ │ Operator │ │ Lead │
└─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘
│ │ │ │
▼ ▼ ▼ ▼
OSCP, CEH OSEP, CRTO GXPN, OSCE Leadership +
Web Hacking AD Attacks Dev Skills Strategy
Blue Team Karriere
┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ SOC Analyst │───▶│SOC Analyst │───▶│ Incident │───▶│ SOC/IR │
│ Tier 1 │ │ Tier 2 │ │ Responder │ │ Manager │
└─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘
│ │ │ │
▼ ▼ ▼ ▼
Security+ CySA+, BTL1 GCIH, GCFA CISSP +
Monitoring Threat Hunt Forensics Leadership
Homelab-Empfehlung
Für dein Homelab kannst du alle drei Team-Perspektiven üben:
Red Team Lab
┌─────────────────────────────────────────────────────────────┐
│ ANGREIFER-VM (Kali/Parrot) │
│ • Metasploit, Burp Suite, Nmap │
│ • Cobalt Strike Alternative: Sliver, Havoc │
│ • AD Attack Tools: Impacket, BloodHound │
└─────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────┐
│ ZIEL-NETZWERK (Isoliert!) │
│ • Metasploitable 2/3 │
│ • DVWA, Juice Shop │
│ • Windows AD Lab (DC + Clients) │
│ • Vulnerable-by-Design VMs │
└─────────────────────────────────────────────────────────────┘
Blue Team Lab
┌─────────────────────────────────────────────────────────────┐
│ MONITORING STACK │
│ • Wazuh (SIEM + EDR) │
│ • Suricata (IDS) │
│ • Graylog oder ELK │
│ • TheHive + Cortex (IR) │
└─────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────┐
│ ENDPOINTS ZUM ÜBERWACHEN │
│ • Windows Clients mit Sysmon │
│ • Linux Server mit auditd │
│ • Firewall Logs (OPNsense/pfSense) │
└─────────────────────────────────────────────────────────────┘
Purple Team Übung
┌─────────────────────────────────────────────────────────────┐
│ PURPLE TEAM WORKFLOW IM HOMELAB │
│─────────────────────────────────────────────────────────────│
│ │
│ 1. Wazuh/SIEM Dashboard öffnen (Blue Team View) │
│ 2. Atomic Red Team Test ausführen (Red Team Action) │
│ 3. Alerts analysieren (Purple Team Analysis) │
│ 4. Detection Rules verbessern (Continuous Improvement) │
│ 5. Test wiederholen und validieren │
│ │
└─────────────────────────────────────────────────────────────┘
Fazit
| Team | Kernfrage | Wert |
|---|---|---|
| 🔴 Red Team | "Können wir einbrechen?" | Zeigt reale Risiken |
| 🔵 Blue Team | "Können wir es stoppen?" | Schützt die Organisation |
| 💜 Purple Team | "Wie werden wir besser?" | Maximiert den Lerneffekt |
💡 Merksatz: "Red Team findet die Lücken, Blue Team schließt sie, Purple Team sorgt dafür, dass beide voneinander lernen."
Für eine effektive Security-Strategie brauchst du alle drei Perspektiven – sei es durch interne Teams, externe Partner oder eine Kombination. Der Purple Team-Ansatz ist dabei der Schlüssel zur kontinuierlichen Verbesserung.
Weiterführende Ressourcen
Bücher
- Red Team Development and Operations – Joe Vest
- Blue Team Handbook: Incident Response – Don Murdoch
- Purple Team Strategies – David Routin
Online-Ressourcen
Trainingsplattformen
- HackTheBox: Red Team Labs
- LetsDefend: Blue Team Training
- AttackIQ: Purple Team Automation
- TryHackMe: Beide Perspektiven