door Mo Ballari - 29 augustus 2022
Hoe kan dat toch? Het lijkt wel of ze je altijd een stap voor zijn. Steeds als je denkt te snappen welke methoden kwaadwillenden gebruiken om je organisatie binnen te dringen en hun slag te slaan, blijken ze weer iets nieuws te hebben verzonnen.
Nét als je bekend bent met het feit dat je een mailtje kunt krijgen dat zogenaamd van je baas is en waarin hij je vraagt om even snel een groot geldbedrag over te maken, blijkt dat je met de nieuwste spraaksoftware ook iemand aan de telefoon kunt krijgen die klinkt als je baas. Wees dan nog maar eens alert genoeg om in de gaten te hebben dat dit telefoontje niet echt is.
Meebewegen
Criminelen zijn continu op zoek naar nieuwe manieren om de beveiliging van organisaties te omzeilen. Tijdens de onderzoeken die Hoffmann uitvoert bij organisaties die het slachtoffer zijn geworden van (cyber)criminelen, zien wij hoe snel de verschillende ‘modus operandi’ zich ontwikkelen.
Je vraagt je vast af hoe jij kunt voorkomen dat jouw organisatie het slachtoffer wordt van een methode. En hoe jij die kwaadwillenden een stapje voor kunt blijven. Het antwoord op die vraag is eenvoudig, maar veelomvattend: door mee te bewegen.
En het onderwerp informatiebeveiliging permanent op de bestuursagenda te zetten. Informatiebeveiliging is niet een eenmalige actie of check die je uitvoert, waarna alles weer voor lange tijd geregeld is. Het onderwerp moet eigenlijk integraal onderdeel uitmaken van de jaarcyclus. Een waardevol onderdeel van die cyclus is het periodiek testen van je informatiebeveiliging. Zo weet je steeds wat je kwetsbaarheden zijn en waar je op de korte termijn prioriteit aan moet geven. Red Teaming biedt die testmogelijkheid.
Red Teaming
De term Red Teaming komt oorspronkelijk uit het leger. Daar weten ze al lang dat het af en toe goed is om de vijand te ‘spelen’ (het rode team) en alles uit de kast te halen om de verdediging (het blauwe team) te verslaan. In cybersecurity wordt Red Teaming ingezet om de informatiebeveiliging te testen met realistische aanvallen, waarbij gebruik wordt gemaakt van de nieuwste technieken die echte criminelen ook gebruiken.
Hoe gaat Red Teaming in zijn werk?
Criminelen kiezen vaak de weg van de minste weerstand. En zij hebben vaak maar één zwakke schakel nodig om je organisatie binnen te dringen. Een goede Red Teaming oefening gaat – anders dan veel mensen denken – verder dan een penetratietest. Een goede Red Teaming oefening neemt de beveiliging van de gehele keten onder de loep: niet alleen de techniek, maar ook de organisatie en zeker ook de mens.
Concreet betekent dit dat een Red Team niet alleen gebruikmaakt van ‘gaten’ in de techniek, maar dat de leden van het team zich ook voordoen als een monteur of installateur om
zich de toegang tot het pand te verschaffen. Ook kunnen ze medewerkers bellen om belangrijke informatie te verkrijgen, of zelfs met een vals cv de organisatie binnendringen. Kortom: bij Red Teaming worden de digitale en fysieke wereld gecombineerd. Dat maakt een oefening realistisch, relevant en raak!
Een Red Team kan, afhankelijk van de vooraf bepaalde doelstelling en bijbehorende aanvalsscenario’s, gebruik maken van de volgende modus operandi:
- On- en offline voorverkenningen
- Open Source Intelligence
- Phishing, spear-phishing en voice-phishing
- Spoofing
- Penetratietesten
- Baiting
- Inlooptesten
Na een Red Teaming oefening weet je precies waar je organisatie kwetsbaar is en welke aanvullende maatregelen je kunt nemen om die kwetsbaarheden weg te nemen. Dit maakt de organisatie weerbaar(der) tegen echte dreigingen.
Een praktijkvoorbeeld
Een van onze opdrachtgevers vroeg zich af of het mogelijk was om zonder voorkennis zowel digitaal als fysiek binnen te dringen. Onze aanval begon vroeg in de ochtend met een mailphishing: hiermee kregen wij de inloggegevens van 20 gebruikers in handen. Na deze digitale stap volgde later die ochtend de fysieke fase van de oefening: twee Red Teaming specialisten maakten vanaf de straat bij het kantoorpand via de eerder buitgemaakte inloggegevens verbinding met het draadloze netwerk. Dat lukte. Vervolgens probeerden zij het pand binnen te komen. De liften waren voorzien van een paslezer, dus namen ze een andere logische route: via het trappenhuis.
Op de 6e verdieping klopten ze op een dichte deur, waarna een vriendelijke medewerker opendeed en ze naar de receptie begeleidde. Onze specialisten deden zich voor als gebouwbeheerders en vroegen of het mogelijk was om mee te lunchen. Na de lunch namen ze plaats op een flexplek en haalden koffie voor zichzelf en een aantal andere medewerkers die ook aanwezig waren. Op de flexplek lag een netwerkkabel die werd gekoppeld aan de laptop, waardoor onze specialisten toegang kregen tot het gehele netwerk.
Met deze Red Teaming oefening heeft ons team zowel de digitale als de fysieke zwakheden blootgelegd en deze gedeeld met de opdrachtgever. Wat bleek? De opdrachtgever had ons die dag niet eens gezien, maar onze specialisten hém wel!