The S-Unit

De verschillen tussen een red teaming en een penetratietest

Red teaming is een offensieve methode voor het testen van cybersecurity. Door middel van een realistische aanvalssimulatie testen we de cyberweerbaarheid van een organisatie tegen een geavanceerde aanvaller. De termen red teaming en penetratietest worden met enige regelmaat door elkaar gebruikt. De twee technieken vertonen verschillende gelijkenissen, maar er zijn ook een aantal cruciale verschillen waardoor deze instrumenten niet uitwisselbaar zijn in te zetten. Het is daarom belangrijk om te begrijpen wat het verschil is en welke techniek u het beste kunt inzetten om uw weerbaarheidsniveau te verhogen.

NIST-functies

Om het verschil tussen een red teaming en een penetratietest te duiden kan gebruik worden gemaakt van het raamwerk van het National Institute of Standards and Technology (NIST). Deze organisatie deelt activiteiten voor het verhogen van cyberweerbaarheid op in vijf zogenaamde functies.

Hoewel het raamwerk gericht is op cybersecurity kan een parallel worden getrokken met fysieke beveiliging. Om het raamwerk tastbaarder te maken is het in onderstaande tabel toegepast op de fysieke beveiliging van een bank.

Functie Ondernomen actie
Identify
Opslag van fysiek geld is vastgesteld als belangrijk proces.
Protect
Het geld is in een kluis opgeborgen.
Detect
Er is een bewegingssensor in de kluis geplaatst.
Respond
Er is een beveilger aangenomen om fysiek in te grijpen bij beweging in de kluis.
Recover
Er is een contract afgesloten met een extern bedrijf voor reparatie van eventuele schade aan de kluis.

Ieder van deze acties heeft als doel een bijdrage te leveren aan de weerbaarheid van de bank tegen een aanvaller. Als zodanig is het belangrijk om te testen of deze acties ook daadwerkelijk het gewenste effect hebben. Wanneer je gaat kijken naar technieken om de effectiviteit van de verschillende acties te testen, wordt het verschil tussen een red teaming en een penetratietest zichtbaar.

Identify

Penetratietesten hebben over het algemeen een beperktere scope dan een red teaming. Zo wordt bij een penetratietest gekeken naar technische kwetsbaarheden in individuele applicaties, specifieke netwerksegmenten of het interne netwerk. Red teaming maakt gebruik van een holistische aanpak waarbij, tot op zekere hoogte, alle mogelijke manieren om een doel te bereiken gebruikt kunnen worden. Denk hierbij aan het fysiek binnentreden van kantoren om toegang te verkrijgen tot het interne netwerk of het gebruik van keyloggers om wachtwoorden te achterhalen. Maar ook het feit dat het volledige interne netwerk en de Cloud systemen doelwit kunnen zijn. Een red teaming werkt niet vanuit een door de organisatie bepaalde scope, maar vanuit een door een aanvaller gedefinieerde doelstelling. Om die doelstelling te bereiken kunnen aanvalspaden gebruikt worden waar de organisatie zelf niet over heeft nagedacht. Bij de fysieke beveiliging van de bank kan de conclusie bijvoorbeeld zijn dat:

  • Het grootste risico voor het geld niet in de opslag maar in het transport ligt.
  • De zwakte van de kluis niet in de constructie van de kluis zelf zit maar in de wijze waarop de toegangscode wordt opgeslagen.
  • De kluis dagelijks een periode onbeheerd open blijft staan tijdens het laden en lossen van het geld.

Een red teaming test daarmee de effectiviteit van de activiteiten uit de functie Identify, welke bij een penetratietest grotendeels buiten beschouwing blijven.

Protect

Een red teaming is een simulatie van een realistische aanvaller met een specifieke doelstelling. Hoewel er altijd meerdere manieren zijn om deze doelstelling te bereiken, hoeft een echte aanvaller maar één van deze wegen te bewandelen. Een penetratietest is er juist op gericht om zoveel mogelijk kwetsbaarheden binnen de scope bloot te leggen om deze te kunnen dichten. Wanneer de kluis van de bank aangevallen wordt als onderdeel van een red teaming kan bijvoorbeeld misbruik gemaakt worden van het feit dat de cijfercode te raden is op basis van slijtage van de toetsen. Het red team zal zich vervolgens richten op het ongezien verwijderen van het geld in de kluis. In het geval van een penetratietest zal verder worden gezocht naar andere mogelijkheden om binnen te komen. Zo komen de pentesters bijvoorbeeld tot de conclusie dat het afkoppelen van de stroomvoorziening automatisch zorgt voor het openen van de kluis. De penetratietest heeft daarmee twee kwetsbaarheden van de kluis blootgelegd, waar de red teaming maar tot één kwam. Binnen de functie Protect biedt een penetratietest dus meer diepgang dan een red teaming.

Detect

Een red teaming project is geheim voor het blue team (de SOC-analisten). Het red team (de hackers) probeert op een onopvallende wijze de organisatie binnen te dringen. Het blue team zal de aanval in hun netwerk moeten opsporen, zoals dit ook het geval is bij een echte aanval. Hoewel een penetratietest ook data op kan leveren over aanvalstechnieken, geeft deze data geen realistisch beeld van de detectiecapaciteiten omdat een pentester zich nu eenmaal niet verstopt. Wanneer de bewegingssensor in de bankkluis niet geactiveerd wordt tijdens een penetratietest geeft dit informatie over het niet functioneren van de sensor. Echter, wanneer deze afgaat geeft dit geen informatie over de effectiviteit ervan, omdat de pentesters niet bezig waren met het omzeilen van de sensor. Wanneer de sensor tijdens een red teaming afgaat is dit wel een goede indicatie van de effectiviteit, omdat het red team bewust bezig is ongezien te blijven. Met een red teaming worden de detectiecapaciteiten dus op een realistische wijze op de proef gesteld.

Respond

In het verlengde van de functie Detect wordt met een red teaming ook de functie Respond op realistische wijze getest. Nadat detectie heeft plaatsgevonden heeft het blue team de taak om het red team uit het netwerk te verwijderen. Het red team zal acties ondernemen om te voorkomen dat zij toegang tot het netwerk verliezen, zoals het installeren van backdoors. Dergelijke acties zijn geen onderdeel van een penetratietest en het verwijderen van penetratietesters uit het netwerk zal als oefening waarschijnlijk niet gewaardeerd worden. In het voorbeeld van de bank, kan bij een red teaming bijvoorbeeld geconstateerd worden dat de bewaker niet snel genoeg bij de kluis is om de aanval te stoppen. Een penetratietest zal niet tot deze conclusie komen. Ook voor het testen van de responscapaciteiten is een red teaming dus de juiste keuze.

Recover

Op dit vlak zijn er geen verschillen zijn tussen een red teaming en een penetratietest. Beiden zijn ongeschikt om de maatregelen uit de Recover functie te testen. Hiervoor kan bijvoorbeeld wel gebruikt worden gemaakt van een techniek als een cybercrisis simulatie.

Conclusie

Een red teaming en een penetratietest zijn twee verschillende instrumenten die allebei kunnen bijdragen aan het verhogen van het cyberweerbaarheidsniveau van een organisatie. Ze dienen allebei een eigen doel en de één is ook geen vervanging van de ander. Een penetratietest helpt op een efficiënte manier om zoveel mogelijk specifieke gaten te dichten. Een red teaming is erop gericht om te verifiëren of de totale set aan getroffen beveiligingsmaatregelen afdoende bescherming biedt tegen een echte aanvaller.