TIBER-EU: Threat Intelligence-based Ethical Red Teaming

TIBER-EU bietet europäischen und nationalen Institutionen sowie Behörden im Finanzsektor (und darüber hinaus) einen gemeinsamen Rahmen, um durch Red Teaming ihre bestehenden Systeme auf Schwachstellen zu testen und die Resilienz gegen komplexe Cyberangriffe auszubauen. Das TIBER-EU Framework basiert auf systematischen, organisationsspezifischen und Threat Intelligence-basierten Red Team Tests. Durch simulierte Angriffe sollen die kritischen Funktionen und Systeme (d.h. Menschen, Technologie und Prozesse) nachhaltig gestärkt und gesichert werden.

Der TIBER-EU-Prozess besteht aus einer optionalen, einleitenden Phase sowie aus drei obligatorischen Phasen:

Generic Threat Landscape Phase
In der (optionalen) Generic Threat Landscape Phase wird ein Lagebild zu den Risiken und Bedrohungen im nationalen Finanz-Sektor erstellt. Dazu werden die maßgeblichen Akteure und ihre spezifischen Techniken, Taktiken und Vorgehensweisen (TTPs: Techniques, Tactics and Procedures) analysiert. Dies ist die Grundlage für die spätere Entwicklung von Angriffsszenarien. Die Generic Threat Landscape wird regelmäßig aktualisiert, um den Auftritt neuer Akteure und TTPs zu berücksichtigen.

01. Preparation Phase
Diese Phase beinhaltet den formalen Start der TIBER-EU Tests, einschließlich der Aufstellung der Teams, die für die Durchführung der Tests verantwortlich sind. Außerdem wird die Zielsetzung der Tests festgelegt, dem Vorstand der Institution vorgelegt und durch die relevanten Aufsichtsbehörden bestätigt. Abschließend werden die Threat Intelligence und Red Team Dienstleister mit der Durchführung der Tests beauftragt.

02. Testing Phase
Die Testing Phase besteht aus der Threat Intelligence Analyse und den Red Team Tests. Der Threat Intelligence Dienstleister erstellt einen Targeted Threat Intelligence Report (TTI) für die jeweilige Institution. Dieser Report umfasst die spezifischen Bedrohungsszenarien für die folgenden Red Team Tests. Das Red Team leitet aus diesen Bedrohungsszenarien konkrete Angriffsszenarien ab und testet in diesem Rahmen kritische Systeme, organisatorische Strukturen und Prozesse.

03. Closure Phase
In der abschließenden Closure Phase von TIBER-EU werden Folgemaßnahmen vereinbart und die Ergebnisse der Tests angemessen kommuniziert. Das Red Team erstellt einen Report, der eine detaillierte Darstellung der Vorgehensweise und Ergebnisse der Tests enthält. Wenn erforderlich, enthält der Report konkrete Empfehlungen zu technologischen Kontrollmaßnahmen, Regularien und Verfahren. Abschließend nimmt die getestete Institution den Report mit allen Testergebnissen formal zur Kenntnis und erstellt – in Zusammenarbeit mit den zuständigen Aufsichtsbehörden – einen Maßnahmenplan.

Dabei müssen TIBER-EU Tests von unabhängigen, externen Anbietern durchgeführt werden. Dies gilt sowohl für den Bereich Threat Intelligence (TI) als auch den Bereich Red Teaming (RT). Der externe Dienstleister führt dabei in Kooperation mit der Instanz die Tests durch und fertigt die notwendigen Analysen in Form eines Targeted Threat Intelligence Reports und eines Red Team Test Reports an.

Deloitte's Red Team Ansatz

Mit dem Red Team Ansatz bietet Deloitte dazu individualisierte Lösungen aus einer Hand. Mit unserer weitreichenden Erfahrung und unseren interdisziplinären Kompetenzen können wir den Gesamtprozess des TIBER-EU Frameworks von Anfang bis Ende abbilden und sowohl Threat Intelligence als auch Red Teaming mit unserem Team abdecken. Die Expertise unseres Teams ermöglicht dabei ein konkretes Eingehen auf die Bedürfnisse und Gegebenheiten jedes einzelnen Kunden. Wir bieten eine maßgeschneiderte Lösung mit maximaler Wirkungskraft innerhalb des durch das TIBER-EU Framework abgesteckten Rahmens.

Ein besonderer Ansatzpunkt für unser Team ist hier die Erstellung der Generic Threat Landscape im ersten Prozessschritt. Dieser greift die größten Bedrohungen für den Bankensektor auf und liefert die Grundlage für die Entwicklung von Angriffsszenarien für die Red Team Tests. Ebenfalls kann diese Bedrohungslandschaft in den Targeted Threat Intelligence Report mit einfließen. Daher kommt ihm eine ausgesprochen große Wichtigkeit zu. Zur Erstellung dieser Generic Threat Landscape nutzt das Red Team eine Kombination aus bewährten Threat Intelligence Techniken und innovativer AI (Künstlicher Intelligenz). Dabei liegt der Schwerpunkt nicht nur auf aktuellen Bedrohungen für den Kunden, sondern auch auf zukünftigen Trends und Entwicklungen. Um den kontinuierlichen Nutzen der Red Team Ergebnisse zu gewährleisten und unseren Kunden dauerhaft zur Seite zu stehen, setzt der Red Team Ansatz nicht nur bei einmaligen Tests und Reports an, sondern stellt ein dauerhaftes Monitoring in Aussicht. Nur so kann die Resilienz eines Kunden in Hinblick auf das sehr dynamische und hochkomplexe Cyber- und Sicherheitsfeld langfristig und nachhaltig gewährleistet werden. Hierzu arbeitet das Red Team eng mit dem Deloitte Center for the Long View zusammen.

So kann die erstellte Generic Threat Landscape nicht nur aktuell gehalten werden, sondern auch konkret auf neue, zukünftige Bedrohungen eingehen. Gemeinsam mit unserem innovativen Red Team Ansatz kann der Kunde über das TIBER-EU Framework hinaus optimal und individuell betreut werden.

TIBER-EU - Konkrete Ziele im Überblick

• Ausbau der Cyberresilience in den Zielinstanzen und im Finanzsektor allgemein

• Standardisierte und harmonisierte Red Team Abläufe innerhalb der EU mit ausreichender Flexibilität zur Anpassung an nationale Gegebenheiten

• Handreichung eines Leitfadens für Behörden zur Etablierung, Implementierung und Management von Red Teaming auf nationalem und europäischen Level

• Unterstützung von grenzübergreifendem Red Teaming für multinationale Instanzen

• Ermöglichung eines Austausches zwischen Behörden durch gemeinsame standardisierte Red Team Prozesse und dadurch regulatorische Entlastung einzelner Mitgliedsstaaten

• Erstellung eines gemeinsamen Protokolls zu einer grenzübergreifenden Kollaboration, Ergebnisaustausch und Analyse