Versterk je cyberweerbaarheid door Red Teaming

In ons digitale tijdperk evolueren en intensiveren cyberdreigingen aan de lopende band. Dat betekent dat de veiligheid van organisaties meer dan ooit onder druk komt te staan. De enige manier om een betrouwbaar inzicht te hebben in de eigen verbeterpunten van cyberveiligheid is: testen, evalueren en nog meer testen. Een van de meest effectieve methoden om dit te bereiken is door middel van Red Teaming: een geavanceerde aanvalssimulatie waarvan bijna niemand in de organisatie weet dat het een test is. Voor een aantal bedrijven, voornamelijk in de financiële sector, is dat al sinds 2016 verplicht. Het resultaat? Als het gaat om cyberveiligheid, zien wij dat die bedrijven er met kop en schouders bovenuit steken.

Red Teaming is een geavanceerde aanvalssimulatie die organisaties inzetten om hun beveiligingsmechanismen en de reactie op echte cyberdreigingen te testen. Door het simuleren van aanvallen die een organisatie zouden kunnen treffen, onthult Red Teaming bestaande kwetsbaarheden. Maar het biedt ook cruciale inzichten in hoe deze tekortkomingen effectief kunnen worden aangepakt. De kracht ervan is dat het echt gaat om een combinatie van techniek, governance, mens en proces. De aanval wordt uitgevoerd door professionele ethische hackers, oftewel Red Teamers, die verschillende dreigingsactoren kunnen simuleren; van activisten tot door staten gesponsorde hackers of georganiseerde criminele groepen. Deze test vereist een strikt gecontroleerde uitvoering, waarin slechts een kleine groep binnen de organisatie (vaak het ‘White Team’ of ‘Control Team’ genoemd) op de hoogte is van de simulatie. Dat zorgt ervoor dat de reactie vanuit de organisatie authentiek is. Kortom: hoe wordt er in het echt gereageerd op aanvallen die variëren van social engineering (zoals phishing-campagnes) tot het wegsluizen van de kroonjuwelen?

Cruciaal hierin is het vooraf gedefinieerde scenario dat de Red Teamers volgen, gebaseerd op het dreigingslandschap en -inlichtingen. Deze inlichtingen komen uit een onderzoek van (semi)openbare bronnen. Doordat de aanvalssimulatie het geplande scenario volgt, kan het White Team makkelijker onderscheid maken tussen de Red Teaming en eventuele echte dreigingen. Want ook tijdens oefeningen kunnen die gewoon doorgaan.

Cyberaanvallen worden steeds geraffineerder, waarbij aanvallers samenwerken om diensten als systeemtoegang en ransomware te verkopen. Deze professionalisering van de cybercriminaliteit vereist een even geavanceerde reactie. Red Teaming past zich bij deze veranderingen aan door scenario's te simuleren die deze geavanceerde tactieken nabootsen. Daarnaast verschuift de aandacht van aanvallers van financiële instellingen naar sectoren als productie en infrastructuur, waar het lekken van gevoelige data en afpersing (data-encryptie en de dreiging van datalekken) een grotere rol spelen.

De jarenlange ervaringen met Red Teaming binnen de financiële sector hebben geleid tot een dieper begrip van cyberdreigingen en de toepassing van 'defense in depth'-strategieën, waarbij meerdere beveiligingslagen worden ingezet om aanvallers te dwarsbomen. Bovendien hebben ze eraan bijgedragen dat bedrijven hun beveiligingstechnieken effectiever en efficiënter inzetten, waardoor alleen complexere aanvallen succesvol kunnen zijn. Red Teamings worden vrijwel altijd uitgevoerd met een limiet aan tijd en resources (een time- en resource-boxed aanpak in jargon). Aangezien er steeds meer tijd nodig is voor een succesvolle aanval (vanwege de effectievere cyberbeveiliging), wordt er bij Red Teaming steeds vaker gebruikgemaakt van de 'assume-compromise'-benadering. Daarbij wordt minder tijd besteed aan het daadwerkelijk binnenkomen van een organisatie, maar wordt ervan uitgegaan dat een aanvaller met voldoende tijd en middelen altijd wel in staat zal zijn om uiteindelijk een systeem te compromitteren; bijvoorbeeld door een phishing-slachtoffer te verleiden een bestandje te openen. De hackers krijgen dan bijvoorbeeld een ‘leg-up’ waarbij iemand intern bewust een phishingmail opent, zodat het Red Team meteen aan de slag kan. Niet omdat het de Red Teamers niet zou lukken om binnen te komen, maar omdat het kostbare tijd vergt, die beter besteed kan worden aan andere onderdelen van de aanvalssimulatie. Door deze aanpak ligt de focus op de detectie van en reactie op de verdere bewegingen van de aanvaller binnen het netwerk. Dus minder op het testen van de mogelijkheid om initiële toegang tot een organisatie te krijgen (wat in de praktijk met een dosis geduld vrijwel altijd mogelijk is), maar meer gericht op de leerervaring van wat er gebeurt als hackers daadwerkelijk binnen zijn.

Bij deze focus op de leerervaring past ook een andere recente ontwikkeling binnen de cybersecuritypraktijk: de opkomst van Purple Teaming. Hierbij werken aanvalsteam (Red) en verdedigingsteam (Blue) na afloop van de aanval nauw samen om de effectiviteit van de organisatorische cyberverdediging te maximaliseren. De aanval wordt ‘overgedaan’, en dat biedt realtime feedback. Deze stelt teams in staat om direct verbeteringen door te voeren, waardoor een krachtige leeromgeving wordt gecreëerd waarin de algehele veiligheid van de organisatie verder wordt versterkt. De nadruk bij de oefening verschuift zo voor alle betrokkenen nog meer van ‘aanval’ naar ‘leerproces’. 

Zoals eerder gezegd: de financiële sector loopt voorop in de regelgeving en implementatie van Red Teaming. Met initiatieven zoals TIBER worden financiële instellingen al langer verplicht gesteld om regelmatig dergelijke oefeningen uit te voeren. Meer recent is de DORA-wetgeving aangekondigd in de EU, waarin de eisen om dreigingsgebaseerde technische assessments (Threat-Led Penetration Testing) uit te voeren worden omschreven.. De verplichtingen voor de financiële sector hebben effect. Ze hebben geleid tot een significante verbetering van de cyberweerbaarheid binnen die branche. Dat betekent volop kansen voor andere kritieke sectoren, zoals energie, transport en gezondheidszorg, die nog niet zover zijn met het structureel uitvoeren van Red Teaming. De verwachting is dat dit in de nabije toekomst sowieso zal veranderen met de invoering van zaken als de NIS2-richtlijn, CRA, CER, AIA, et cetera. Red Teaming is daarbij een uitstekende methode om te kijken hoe je ervoor staat. De vraag is natuurlijk of je als organisatie moet wachten op nieuwe regelgeving of juist nu al vol moet inzetten op het weerbaar maken van je organisatie. Eén ding is zeker: met de toenemende rol van Purple Teaming en de verwachte uitbreiding van de regelgeving naar andere sectoren staat Red Teaming centraal in de toekomst van cybersecurity. 

Wilt u meer informatie over Red Teaming in relatie tot de wet- en regelgeving en de rol die wij als Cybersecurity-partner daarin kunnen spelen? Neem dan contact op met Jordi van den Breekel en Koos Wolters.

Wij houden je op de hoogte per e-mail. Geef hier je voorkeuren door.