Wat is Red Teaming en wat levert het uw organisatie op?

1 juli 2019

Iedere organisatie neemt tegenwoordig maatregelen om het beveiligingsniveau te verhogen. Maar lang niet iedere organisatie test ook of die maatregelen wel voldoen. En of de investeringen nut hebben gehad. Dat blijkt dan pas als er daadwerkelijk een incident plaatsvindt. Wilt u dit voorkomen en precies weten waar uw organisatie kwetsbaar is? En de juiste maatregelen kunnen nemen? Dan biedt Red Teaming uitkomst. In dit artikel vertellen we u er graag meer over.

Wat is Red Teaming?

Red Teaming is een methode die afkomstig is uit het leger. Tijdens Red Teaming oefeningen testen militaire eenheden elkaar op hun zwakheden en kwetsbaarheden. Daarbij valt een Red Team een Blue Team aan. Een mooi voorbeeld hiervan is een Red Teaming oefening van het Amerikaanse leger. Op een vroege zondagmorgen in 1932 viel admiraal Harry E. Yarnell met zijn Red Team de marineschepen in Pearl Harbour aan. Hij liet met een precisiebombardement zakken meel op de schepen vallen. Daarmee toonde hij aan dat Pearl Harbor kwetsbaar was voor een luchtaanval op zee. Het Amerikaanse Ministerie van Defensie vond dit echter geen realistisch scenario. Op zondag 7 december 1941 bleek het tegendeel.

Voor welke organisaties is Red Teaming geschikt?

Red Teaming helpt een organisatie weerbaar(der) te maken tegen realistische dreigingen van binnen- en buitenaf. Zowel digitaal als fysiek. Vaak wordt gedacht dat Red Teaming alleen geschikt is voor grote organisaties of overheidsinstanties. Maar eigenlijk is het geschikt voor alle organisaties die hun weerbaarheid in kaart willen brengen en testen. Zolang de organisatie in staat is zelfkritisch te zijn én bereid is om van het resultaat te leren.

De Red Teaming methode van Hoffmann

Bij de Red Teaming kijken wij gezamenlijk met de organisatie naar de meest kritische processen. Dit noemen wij de kroonjuwelen. Vervolgens vragen wij hen na te denken over de zwakheden van de organisatie. Waar zitten ze? Hoe zouden criminelen binnen kunnen komen? En hoe is de beveiliging dan georganiseerd? Met alle kennis en ervaring die Hoffmann heeft op het gebied van mens, techniek en organisatie kunnen we daar een grote ondersteuning in bieden.

Vervolgens gaan wij met een Red Teaming oefening testen, waarbij wij proberen bij de kroonjuwelen te komen. Daarvoor voeren wij een realistische en gerichte aanval uit, een multiple layer attack, op de relevante risico’s. Eerst brengen we alle zwakheden van de organisatie in kaart, zowel digitaal als fysiek. Om dit te doen starten wij met een OSINT (Open Source Intelligence) onderzoek om te achterhalen welke en waar de kroonjuwelen zich bevinden. Vervolgens gaan wij plannen, verkennen en voorbereiden, waarna we de aanval gaan uitvoeren. Daarbij denken en handelen we als ‘de vijand’. Niet alleen met de geijkte tactieken, maar wij denken out of the box. Qua modus operandi maken wij bijvoorbeeld, afhankelijk van de aanval scenario’s, gebruik van:

  • OSINT: we proberen via open bronnen informatie kennis omtrent de organisatie te verkrijgen.
  • Phishing is de verzamelnaam voor activiteiten waarmee criminelen informatie van u of uw organisatie proberen te bemachtigen. Meestal is deze vorm van criminaliteit gericht op een grote groep personen. Over het algemeen gaat het om het rondsturen van een e-mail naar (alle) medewerkers van een organisatie namens een, voor deze groep, bekende persoon of instelling.
  • Spear-phishing is een phishing-variant die gericht is op een specifieke groep of enkele personen. Waar bij phishing het doel is een zo groot mogelijke groep te bereiken, is bij spear-phishing het doel zo specifiek mogelijk medewerkers van de organisatie aan te vallen. Vaak wordt hierbij gebruik gemaakt van informatie die bemachtigd is over de interne organisatie.
  • Voice-phishing: we bellen de organisatie met een smoes, om zo bepaalde gegevens van de organisatie te verkrijgen welke gebruikt kunnen worden gebruikt voor het Red Teamen.
  • Spoofing: we vervalsen e-mailadressen of telefoonnummers om zo bepaalde gegevens te verkrijgen of medewerkers iets te laten doen.
  • Penetratietesten: we proberen het netwerk te “hacken” zowel Blackbox, Whitebox en Greybox.
  • Inlopen: middels alle voorgaand gevonden informatie proberen we middels social engineering een locatie binnen te komen om zo dicht mogelijk bij de kroonjuwelen te komen.
  • Baiting: het achterlaten of opsturen van een USB-stick of een andere datadrager om malware te installeren bij het openen van de datadrager.

Voorafgaand aan het Red Teamen maken we met de organisatie afspraken over doelstellingen, reikwijdte, gebruikte methodieken en zullen vrijstellingen worden opgesteld waarin de exacte kaders van de test staan beschreven. Na afloop ontvangt iedere organisatie een uitgebreide rapportage waarin we de kwetsbaarheden benoemen en aanbevelingen voor verbetering doen.

Wat levert Red Teaming op?

Na een Red Teaming oefening weet u precies waar uw organisatie kwetsbaar is. Dit kan liggen in de factor mens, organisatie of techniek. Of in een combinatie van die factoren. Naar aanleiding daarvan kunt u aanvullende maatregelen nemen om die kwetsbaarheden weg te nemen. Om die vervolgens periodiek weer te laten testen met een nieuwe Red Teaming oefening. Als u periodiek een Red Teaming oefening uitvoert bent u dus zo goed mogelijk voorbereid op een incident of aanval.

Een bijkomend effect van Red Teaming is dat het veiligheidsbewustzijn van uw medewerkers enorm verhoogt. Dit kan ervoor zorgen dat zij alerter gaan optreden. Dat is belangrijk, omdat uit onze praktijk blijkt dat de mens meestal de meest kwetsbare schakel in de beveiliging vormt. Bewustwording versterkt dan het effect van de investeringen die u doet.

Meer weten?

Wilt u meer weten over Red Teaming en wat het voor uw organisatie oplevert? Neem dan gerust vrijblijvend contact met ons op.