Red teaming

De kern van offensieve security ligt in het bekijken van security door de bril van een hacker. Dichterbij deze blik kunt u niet komen dan met een red teaming. Middels een realistische aanvalssimulatie meten wij de weerbaarheid van uw organisatie tegen een geavanceerde aanvaller. Waar een penetratietest gezien kan worden als een proefwerk, is een red teaming het eindexamen.

Ethical hacking

Bij een red teaming worden ook de detectie- en responsmaatregelen onder de loep genomen. Net als een echte aanvaller gaan we zo onopvallend mogelijk te werk waardoor het Blue team (de SOC-analisten), zonder dit te weten, uitgedaagd wordt om een aanval in hun netwerk op te sporen. 

In tegenstelling tot een penetratietest is het doel van een red teaming niet om zoveel mogelijk kwetsbaarheden bloot te leggen. In plaats daarvan is deze methode erop gericht om te verifiëren of de totale set aan getroffen beveiligingsmaatregelen afdoende bescherming biedt tegen een echte aanvaller. 

Onze hackers zullen proberen voor een langere periode in uw netwerk te verblijven. Onder de radar verwerven zij rechten in uw systemen en informatie over uw kroonjuwelen. Wanneer zij alle stukjes van de puzzel in hun greep hebben, worden zogenaamde Actions on objectives uitgevoerd: malafide acties welke de impact van de aanval aantonen. 

Modulaire red teaming

Stel een red teaming project samen dat precies aansluit bij uw wensen en informatiebehoeften. Wij bieden red teaming diensten aan op basis van modules, waarbij een module één of meer activiteiten met een specifiek doel binnen het project bevat. We gaan graag met u in gesprek over uw informatiebehoeften om samen tot een passende samenstelling van modules te komen.

TIBER-NL

Het TIBER-NL programma, geleid door De Nederlandsche Bank, heeft als doel om de cyberweerbaarheid van de financiële sector te verhogen. Het raamwerk dat hieruit voortvloeit, is daarnaast ook goed bruikbaar voor andere vitale sectoren, zoals de zorg-, telecom- of energiesector. Is uw organisatie verplicht een TIBER-NL uit te voeren of wenst u gebruik te maken van dit raamwerk? The S-Unit is de Red Team Provider voor uw TIBER-NL-test.

Purple teaming workshop

Een directe samenwerking tussen onze hackers (het red team) en uw security team (het blue team) om uw detectie- en responscapaciteiten te verbeteren. Kies voor een purple teaming workshop als onderdeel van uw red teaming of opzichzelfstaande techniek om uw Security Operations Center (SOC) naar een hoger niveau te brengen.

Red Teaming FAQ’s

Wat is red teaming?

Red teaming is een offensieve methode voor het testen van cybersecurity. Door middel van een realistische aanvalssimulatie wordt de cyberweerbaarheid van een organisatie tegen een geavanceerde aanvaller getest. Net als bij andere offensieve methoden wordt gebruik gemaakt van de mindset van hackers om naar de beveiliging van een organisatie te kijken. De ethische hackers die de simulatie uitvoeren noemen we het red team. De verschillende teams die binnen de te testen organisatie verantwoordelijk zijn voor security noemen we samen het blue team. Voor afstemming en coördinatie is vanuit de te testen organisatie een select aantal individuen betrokken, welke samen het white team vormen. 

Wat is het doel van een red teaming?

Een red teaming dient twee primaire doeleinden. Ten eerste is het een meting van het huidige weerbaarheidsniveau van de organisatie. Hoe volwassen is de organisatie op het gebied van cyber security en sluit dit aan bij de verwachtingen? Dit is een belangrijk uitgangspunt voor het bepalen van een bredere strategie op gebied van cyber security. Ten tweede is een red teaming een kans voor het blue team om te leren van hun tegenstanders. Welke gaten kan het red team identificeren die voor het blue team onbekend waren en welke technieken worden gebruikt die onder de radar van het blue team blijven.  

Wat is het verschil tussen een red teaming en een penetratietest?

Een penetratietest helpt op een efficiënte manier om zoveel mogelijk specifieke gaten te dichten. De techniek test daarmee maatregelen die binnen de Protect functie van het NIST-raamwerk vallen. Een red teaming is erop gericht om te verifiëren of de totale set aan getroffen beveiligingsmaatregelen afdoende bescherming biedt tegen een echte aanvaller. Hiermee worden zowel de Identify, Protect, Detect als Response functies uit het NIST-raamwerk getest. 

Meer informatie

Wat zijn de kerneigenschappen van een red teaming?

Een red teaming kent drie kerneigenschappen die het onderscheiden van een penetratietest. De individuele eigenschappen kunnen ook toegepast worden binnen een penetratietest, waardoor een hybride vorm ontstaat. Echter, een echte red teaming voldoet tenminste aan de volgende drie eigenschappen: 

  1. De test wordt organisatiebreed uitgevoerd. Dit betekent dat in principe alle IT-systemen van een organisatie aangevallen kunnen worden. Daarnaast beperkt een red teaming zich niet tot aanvallen op enkel techniek, maar kunnen ook mens en proces doelwit zijn. 
  2. De test wordt in het geheim uitgevoerd. Enkel leden van het red team en een select aantal individuen van de te testen organisatie, zoals de CISO, zijn op de hoogte van de oefening. 
  3. De test is scenario-gericht. Het betreft een simulatie van een echte aanvaller met een achterliggend motief, een doelstelling en bijbehorende methode. Een voorbeeld kan zijn een aanvaller met als motief financieel gewin, als doelstelling het ontvangen van losgeld en als methode het gijzelen van IT-systemen met ransomware. 

Waarom wordt een red teaming organisatiebreed uitgevoerd?

Organisatiebrede uitvoering van de test maakt dat de resultaten van een red teaming zo min mogelijk worden beïnvloed door scopelimitaties die een echte aanvaller ook niet kent. Dit is vereist om vast te kunnen stellen in hoeverre de organisatie de juiste onderdelen heeft geïdentificeerd welke beschermd dienen te worden.

Waarom wordt een red teaming in het geheim uitgevoerd?

De geheime uitvoering van een red teaming is vereist om de detectie- en responsmaatregelen van de organisatie op een realistische manier te kunnen testen. Immers, wanneer het blue team op de hoogte is van het feit dat er een red teaming wordt uitgevoerd zullen zij mogelijk op een andere wijze te werk gaan dan wanneer dit niet het geval is.  

Waarom is een red teaming scenario-gericht?

De scenario-gerichte aanpak is vereist om op realistische wijze de detectie- en responsemaatregelen te testen. Ondanks dat er meerdere routes mogelijk zijn om tot een bepaald einddoel binnen een organisatie te komen zal een echte aanvaller maar één route proberen te vinden. Om te testen of een organisatie een dergelijke aanval kan detecteren en stoppen moet het red team op een vergelijkbare wijze te werk gaan. Wanneer het red team additionele routes zou zoeken resulteert dit in meer detecteerbare acties dan noodzakelijk, waardoor de detectiecapaciteiten niet langer realistisch worden getest. 

Wat is TIBER-NL?

Threat Intelligence Based Ethical Red-teaming Nederland (TIBER-NL) is een programma van De Nederlandsche Bank (DNB) om de cyberweerbaarheid van de financiële sector in Nederland te verhogen. In verband met de maatschappelijke functie die financiële instellingen zoals banken en verzekeraars vervullen kan een cyberaanval op een dergelijke instelling grote maatschappelijke impact hebben. Om die reden is het periodiek uitvoeren van een TIBER-test verplicht voor specifieke financiële instellingen. TIBER-testen worden uitgevoerd aan de hand van het TIBER-raamwerk. Hoewel dit raamwerk ontwikkeld is voor de financiële sector kan het ook toegepast worden op andere sectoren. Na het succes van het TIBER-NL-raamwerk in Nederland heeft de Europese Centrale Bank (ECB) samen met de centrale banken van 12 EU-landen een vergelijkbaar raamwerk geïntroduceerd: TIBER-EU. Verschillende centrale banken kennen daarnaast een eigen variant op het raamwerk. Zo wordt bij de centrale bank van Duitsland gewerkt met het TIBER-DE-raamwerk. Binnen The S-Unit wordt het TIBER-NL-raamwerk gebruikt als uitgangspunt voor het uitvoeren van red teaming testen.

Hoe gaat een red teaming in zijn werk?

The S-Unit biedt red teaming diensten aan op basis van modules. Hierdoor is het mogelijk een red teaming af te stemmen op de wensen en informatiebehoefte van onze klanten. De modules zijn gebaseerd op het TIBER-NL raamwerk en zijn onderverdeeld in vier fasen: voorbereiding, targeted threat intelligence, red team test en afsluiting. De voorbereiding dient om het project af te stemmen en de juiste informatie vanuit de organisatie te verzamelen. De targeted threat intelligence fase heeft tot doel het verzamelen van informatie om relevante aanvalsscenario’s op te stellen. Tijdens de red team test fase worden de opgestelde scenario’s daadwerkelijk uitgevoerd. Tijdens de afsluitingsfase vindt kennisoverdracht plaats om de educatieve waarde te vergroten. 

Meer informatie

Meer informatie over Red Teaming?

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.