Het nut van investeringen in cybersecurity bewijst zich pas als er zich een mogelijke aanval voordoet. Bovendien zullen professionele hackers er alles aan doen om iedere vorm van beveiliging te omzeilen. Onze Myra van Esch, director Cybersecurity & Security Risk Management, ziet dit in de dagelijkse praktijk en pleit voor het structureel testen van de beveiliging door middel van Red Teaming.
Steeds als je denkt te snappen welke methoden kwaadwillenden gebruiken om de organisatie binnen te dringen en hun slag te slaan, verzinnen ze weer iets nieuws. De vraag is natuurlijk, hoe je ze een stapje vóór kunt blijven. Het antwoord daarop is eenvoudig, maar veelomvattend: door mee te bewegen.
Razendsnelle ontwikkeling van modus operandi
Jaarlijks voeren wij zo’n 1.200 onderzoeken uit op het gebied van fraude & integriteit. “Tijdens onze onderzoeken bij slachtoffers van cybercriminelen, zien wij hoe snel zich de ‘modus operandi’ ontwikkelt. Net als je bekend bent met het feit dat je een mailtje kunt krijgen dat zogenaamd van je baas is, en vraagt om even geld over te maken, blijkt dat je met de nieuwste spraaksoftware ook iemand die klinkt als je baas aan de telefoon kunt krijgen. Zie dan nog maar eens alert genoeg te zijn om in de gaten te hebben dat dit telefoontje niet echt is”, aldus Myra van Esch.
Per sector eigen kwetsbaarheden
Een organisatie is niet gelijk veilig op het moment dat de systemen en processen zijn ingericht. Bij publieke instanties speelt bijvoorbeeld de mens een belangrijke rol. Dit ziet Myra ook vaker terug: “Publieke instanties hebben vaak een open cultuur. Op plekken waar mensen heel gastvrij en behulpzaam zijn zien we dat kwetsbaarheden meestal hoog zijn.”
Het gedrag van de medewerker bepaalt uiteindelijk of de gestelde regels werken en of de techniek echt zo goed beveiligd is als het is ingeregeld. “Bij commerciële organisaties zien we dat zij vaak meer resultaat- dan procesgericht zijn. Omdat het resultaat vaak meer prioriteit krijgt dan het proces, komt de veiligheid al snel in het geding. Er hoeft niet eens altijd heel high tech gehackt te worden om bij informatie te komen.” En dat terwijl er vaak juist bedrijfsgevoelige informatie, geld en intellectueel eigendom te behalen valt.
Bij vitale infrastructuren kan de kwetsbaarheid juist zitten in de reactietijd en opvolging in geval van een incident, omdat er anders in korte tijd veel schade toegebracht kan worden. “Omdat de processen van vitale infrastructuren aanwezig zijn op veel verschillende locaties, kan er door een verstoring van wat op het eerste oog een klein incident lijkt, een domino-effect ontstaan.”
Het is niet een eenmalige actie of check die je uitvoert, waarna alles weer voor lange tijd geregeld is. Veiligheid hoort permanent op de bestuursagenda, met periodiek aandacht voor beleid, techniek en zeker ook de mens.”
aldus Myra van Esch
Informatieveiligheid onderdeel van jaarcyclus
Organisaties worstelen met hoe ze hun informatieveiligheid optimaal kunnen regelen. De oplossing is dat informatieveiligheid een integraal onderdeel moet worden van de jaarcyclus volgens Van Esch. “Het is niet een eenmalige actie of check die je uitvoert, waarna alles weer voor lange tijd geregeld is. Veiligheid hoort permanent op de bestuursagenda, met periodiek aandacht voor beleid, techniek en zeker ook de mens.”
Realistisch testen van beveiliging
Een waardevol onderdeel van deze cyclus is om de informatieveiligheid te laten testen. Zo weet je precies wat de kwetsbaarheden zijn en waar je op de korte termijn prioriteit aan zou moeten geven om beter te beveiligen. Red Teaming biedt deze mogelijkheid. De term Red Teaming komt oorspronkelijk van Defensie. Daar weten ze al lang dat het af en toe goed is om de vijand te ‘spelen’ (het rode team) en alles uit de kast te halen om de verdediging (het blauwe team) te verslaan.
In cybersecurity wordt Red Teaming ingezet om in realistische aanvallen, gebruikmakend van de nieuwste technieken die de kwaadwillenden ook gebruiken, de veiligheid te testen. Deze scenario’s worden in overleg opgesteld, zodat de test realistisch, relevant en raak is. Zo ontdekt ons Red Team in 9 van de 10 oefeningen kritieke kwetsbaarheden in op het oog goed georganiseerde beveiliging.
“Bij een ultieme Red Teaming oefening wordt niet alleen gebruik gemaakt van ‘gaten’ in de techniek, maar onze medewerkers kunnen zich ook voordoen als een monteur of installateur om zich toegang te verschaffen. Ze kunnen medewerkers bellen om belangrijke informatie te verkrijgen, of zelfs met een vals cv de organisatie binnendringen. De fysieke wereld wordt gecombineerd met de digitale. En dit alles zodat u voorbereid bent op een echte aanval. Zodat u op het juiste moment kunt meebewegen.”
Dit artikel is eerder verschenen op Security Management.
E-zine Red Teaming
In dit e-zine maakt u kennis met de diverse specialisten van het Red Team van Hoffmann. Zij nemen u mee in hun dagelijkse zoektocht naar blinde vlekken in informatiebeveiliging. U kijkt letterlijk mee met een reconstructie van enkele creatieve aanvalstechnieken, waarbij de specialisten openhartig vertellen over hoe zij, door te denken als de vijand, kwetsbaarheden opsporen en uiteindelijk hiermee de beveiliging van organisaties naar een hoger niveau tillen.