De kern van offensieve security ligt in het bekijken van security door de bril van een hacker. Dichterbij deze blik kunt u niet komen dan met een red teaming. Middels een realistische aanvalssimulatie meten wij de weerbaarheid van uw organisatie tegen een geavanceerde aanvaller. Waar een penetratietest gezien kan worden als een proefwerk, is een red teaming het eindexamen.
Bij een red teaming worden ook de detectie- en responsmaatregelen onder de loep genomen. Net als een echte aanvaller gaan we zo onopvallend mogelijk te werk waardoor het Blue team (de SOC-analisten), zonder dit te weten, uitgedaagd wordt om een aanval in hun netwerk op te sporen.
In tegenstelling tot een penetratietest is het doel van een red teaming niet om zoveel mogelijk kwetsbaarheden bloot te leggen. In plaats daarvan is deze methode erop gericht om te verifiëren of de totale set aan getroffen beveiligingsmaatregelen afdoende bescherming biedt tegen een echte aanvaller.
Onze hackers zullen proberen voor een langere periode in uw netwerk te verblijven. Onder de radar verwerven zij rechten in uw systemen en informatie over uw kroonjuwelen. Wanneer zij alle stukjes van de puzzel in hun greep hebben, worden zogenaamde Actions on objectives uitgevoerd: malafide acties welke de impact van de aanval aantonen.
Stel een red teaming project samen dat precies aansluit bij uw wensen en informatiebehoeften. Wij bieden red teaming diensten aan op basis van modules, waarbij een module één of meer activiteiten met een specifiek doel binnen het project bevat. We gaan graag met u in gesprek over uw informatiebehoeften om samen tot een passende samenstelling van modules te komen.
Het TIBER-NL programma, geleid door De Nederlandsche Bank, heeft als doel om de cyberweerbaarheid van de financiële sector te verhogen. Het raamwerk dat hieruit voortvloeit, is daarnaast ook goed bruikbaar voor andere vitale sectoren, zoals de zorg-, telecom- of energiesector. Is uw organisatie verplicht een TIBER-NL uit te voeren of wenst u gebruik te maken van dit raamwerk? The S-Unit is de Red Team Provider voor uw TIBER-NL-test.
Een directe samenwerking tussen onze hackers (het red team) en uw security team (het blue team) om uw detectie- en responscapaciteiten te verbeteren. Kies voor een purple teaming workshop als onderdeel van uw red teaming of opzichzelfstaande techniek om uw Security Operations Center (SOC) naar een hoger niveau te brengen.
Red teaming is een offensieve methode voor het testen van cybersecurity. Door middel van een realistische aanvalssimulatie wordt de cyberweerbaarheid van een organisatie tegen een geavanceerde aanvaller getest. Net als bij andere offensieve methoden wordt gebruik gemaakt van de mindset van hackers om naar de beveiliging van een organisatie te kijken. De ethische hackers die de simulatie uitvoeren noemen we het red team. De verschillende teams die binnen de te testen organisatie verantwoordelijk zijn voor security noemen we samen het blue team. Voor afstemming en coördinatie is vanuit de te testen organisatie een select aantal individuen betrokken, welke samen het white team vormen.
Een red teaming dient twee primaire doeleinden. Ten eerste is het een meting van het huidige weerbaarheidsniveau van de organisatie. Hoe volwassen is de organisatie op het gebied van cyber security en sluit dit aan bij de verwachtingen? Dit is een belangrijk uitgangspunt voor het bepalen van een bredere strategie op gebied van cyber security. Ten tweede is een red teaming een kans voor het blue team om te leren van hun tegenstanders. Welke gaten kan het red team identificeren die voor het blue team onbekend waren en welke technieken worden gebruikt die onder de radar van het blue team blijven.
Een penetratietest helpt op een efficiënte manier om zoveel mogelijk specifieke gaten te dichten. De techniek test daarmee maatregelen die binnen de Protect functie van het NIST-raamwerk vallen. Een red teaming is erop gericht om te verifiëren of de totale set aan getroffen beveiligingsmaatregelen afdoende bescherming biedt tegen een echte aanvaller. Hiermee worden zowel de Identify, Protect, Detect als Response functies uit het NIST-raamwerk getest.
Een red teaming kent drie kerneigenschappen die het onderscheiden van een penetratietest. De individuele eigenschappen kunnen ook toegepast worden binnen een penetratietest, waardoor een hybride vorm ontstaat. Echter, een echte red teaming voldoet tenminste aan de volgende drie eigenschappen:
Organisatiebrede uitvoering van de test maakt dat de resultaten van een red teaming zo min mogelijk worden beïnvloed door scopelimitaties die een echte aanvaller ook niet kent. Dit is vereist om vast te kunnen stellen in hoeverre de organisatie de juiste onderdelen heeft geïdentificeerd welke beschermd dienen te worden.
De geheime uitvoering van een red teaming is vereist om de detectie- en responsmaatregelen van de organisatie op een realistische manier te kunnen testen. Immers, wanneer het blue team op de hoogte is van het feit dat er een red teaming wordt uitgevoerd zullen zij mogelijk op een andere wijze te werk gaan dan wanneer dit niet het geval is.
De scenario-gerichte aanpak is vereist om op realistische wijze de detectie- en responsemaatregelen te testen. Ondanks dat er meerdere routes mogelijk zijn om tot een bepaald einddoel binnen een organisatie te komen zal een echte aanvaller maar één route proberen te vinden. Om te testen of een organisatie een dergelijke aanval kan detecteren en stoppen moet het red team op een vergelijkbare wijze te werk gaan. Wanneer het red team additionele routes zou zoeken resulteert dit in meer detecteerbare acties dan noodzakelijk, waardoor de detectiecapaciteiten niet langer realistisch worden getest.
Threat Intelligence Based Ethical Red-teaming Nederland (TIBER-NL) is een programma van De Nederlandsche Bank (DNB) om de cyberweerbaarheid van de financiële sector in Nederland te verhogen. In verband met de maatschappelijke functie die financiële instellingen zoals banken en verzekeraars vervullen kan een cyberaanval op een dergelijke instelling grote maatschappelijke impact hebben. Om die reden is het periodiek uitvoeren van een TIBER-test verplicht voor specifieke financiële instellingen. TIBER-testen worden uitgevoerd aan de hand van het TIBER-raamwerk. Hoewel dit raamwerk ontwikkeld is voor de financiële sector kan het ook toegepast worden op andere sectoren. Na het succes van het TIBER-NL-raamwerk in Nederland heeft de Europese Centrale Bank (ECB) samen met de centrale banken van 12 EU-landen een vergelijkbaar raamwerk geïntroduceerd: TIBER-EU. Verschillende centrale banken kennen daarnaast een eigen variant op het raamwerk. Zo wordt bij de centrale bank van Duitsland gewerkt met het TIBER-DE-raamwerk. Binnen The S-Unit wordt het TIBER-NL-raamwerk gebruikt als uitgangspunt voor het uitvoeren van red teaming testen.
The S-Unit biedt red teaming diensten aan op basis van modules. Hierdoor is het mogelijk een red teaming af te stemmen op de wensen en informatiebehoefte van onze klanten. De modules zijn gebaseerd op het TIBER-NL raamwerk en zijn onderverdeeld in vier fasen: voorbereiding, targeted threat intelligence, red team test en afsluiting. De voorbereiding dient om het project af te stemmen en de juiste informatie vanuit de organisatie te verzamelen. De targeted threat intelligence fase heeft tot doel het verzamelen van informatie om relevante aanvalsscenario’s op te stellen. Tijdens de red team test fase worden de opgestelde scenario’s daadwerkelijk uitgevoerd. Tijdens de afsluitingsfase vindt kennisoverdracht plaats om de educatieve waarde te vergroten.
Heb je een vraag voor ons? Vraag het aan Kai!
