Red teaming is een offensieve methode voor het testen van cybersecurity. Door middel van een realistische aanvalssimulatie wordt de cyberweerbaarheid van een organisatie tegen een geavanceerde aanvaller getest. Net als bij andere offensieve methoden wordt gebruik gemaakt van de mindset van hackers om naar de beveiliging van een organisatie te kijken. De ethische hackers die de simulatie uitvoeren noemen we het red team. De verschillende teams die binnen de te testen organisatie verantwoordelijk zijn voor security noemen we samen het blue team. Voor afstemming en coördinatie is vanuit de te testen organisatie een select aantal individuen betrokken, welke samen het white team vormen. 

Een red teaming dient twee primaire doeleinden. Ten eerste is het een meting van het huidige weerbaarheidsniveau van de organisatie. Hoe volwassen is de organisatie op het gebied van cyber security en sluit dit aan bij de verwachtingen? Dit is een belangrijk uitgangspunt voor het bepalen van een bredere strategie op gebied van cyber security. Ten tweede is een red teaming een kans voor het blue team om te leren van hun tegenstanders. Welke gaten kan het red team identificeren die voor het blue team onbekend waren en welke technieken worden gebruikt die onder de radar van het blue team blijven.  

Een penetratietest helpt op een efficiënte manier om zoveel mogelijk specifieke gaten te dichten. De techniek test daarmee maatregelen die binnen de Protect functie van het NIST-raamwerk vallen. Een red teaming is erop gericht om te verifiëren of de totale set aan getroffen beveiligingsmaatregelen afdoende bescherming biedt tegen een echte aanvaller. Hiermee worden zowel de Identify, Protect, Detect als Response functies uit het NIST-raamwerk getest. 

Meer informatie

Een red teaming kent drie kerneigenschappen die het onderscheiden van een penetratietest. De individuele eigenschappen kunnen ook toegepast worden binnen een penetratietest, waardoor een hybride vorm ontstaat. Echter, een echte red teaming voldoet tenminste aan de volgende drie eigenschappen: 

1. De test wordt organisatiebreed uitgevoerd. Dit betekent dat in principe alle IT-systemen van een organisatie aangevallen kunnen worden. Daarnaast beperkt een red teaming zich niet tot aanvallen op enkel techniek, maar kunnen ook mens en proces doelwit zijn. 
2. De test wordt in het geheim uitgevoerd. Enkel leden van het red team en een select aantal individuen van de te testen organisatie, zoals de CISO, zijn op de hoogte van de oefening. 
3. De test is scenario-gericht. Het betreft een simulatie van een echte aanvaller met een achterliggend motief, een doelstelling en bijbehorende methode. Een voorbeeld kan zijn een aanvaller met als motief financieel gewin, als doelstelling het ontvangen van losgeld en als methode het gijzelen van IT-systemen met ransomware. 

Organisatiebrede uitvoering van de test maakt dat de resultaten van een red teaming zo min mogelijk worden beïnvloed door scopelimitaties die een echte aanvaller ook niet kent. Dit is vereist om vast te kunnen stellen in hoeverre de organisatie de juiste onderdelen heeft geïdentificeerd welke beschermd dienen te worden.

De geheime uitvoering van een red teaming is vereist om de detectie- en responsmaatregelen van de organisatie op een realistische manier te kunnen testen. Immers, wanneer het blue team op de hoogte is van het feit dat er een red teaming wordt uitgevoerd zullen zij mogelijk op een andere wijze te werk gaan dan wanneer dit niet het geval is.  

De scenario-gerichte aanpak is vereist om op realistische wijze de detectie- en responsemaatregelen te testen. Ondanks dat er meerdere routes mogelijk zijn om tot een bepaald einddoel binnen een organisatie te komen zal een echte aanvaller maar één route proberen te vinden. Om te testen of een organisatie een dergelijke aanval kan detecteren en stoppen moet het red team op een vergelijkbare wijze te werk gaan. Wanneer het red team additionele routes zou zoeken resulteert dit in meer detecteerbare acties dan noodzakelijk, waardoor de detectiecapaciteiten niet langer realistisch worden getest. 

Threat Intelligence Based Ethical Red-teaming Nederland (TIBER-NL) is een programma van De Nederlandsche Bank (DNB) om de cyberweerbaarheid van de financiële sector in Nederland te verhogen. In verband met de maatschappelijke functie die financiële instellingen zoals banken en verzekeraars vervullen kan een cyberaanval op een dergelijke instelling grote maatschappelijke impact hebben. Om die reden is het periodiek uitvoeren van een TIBER-test verplicht voor specifieke financiële instellingen. TIBER-testen worden uitgevoerd aan de hand van het TIBER-raamwerk. Hoewel dit raamwerk ontwikkeld is voor de financiële sector kan het ook toegepast worden op andere sectoren. Na het succes van het TIBER-NL-raamwerk in Nederland heeft de Europese Centrale Bank (ECB) samen met de centrale banken van 12 EU-landen een vergelijkbaar raamwerk geïntroduceerd: TIBER-EU. Verschillende centrale banken kennen daarnaast een eigen variant op het raamwerk. Zo wordt bij de centrale bank van Duitsland gewerkt met het TIBER-DE-raamwerk. Binnen The S-Unit wordt het TIBER-NL-raamwerk gebruikt als uitgangspunt voor het uitvoeren van red teaming testen.

The S-Unit biedt red teaming diensten aan op basis van modules. Hierdoor is het mogelijk een red teaming af te stemmen op de wensen en informatiebehoefte van onze klanten. De modules zijn gebaseerd op het TIBER-NL raamwerk en zijn onderverdeeld in vier fasen: voorbereiding, targeted threat intelligence, red team test en afsluiting. De voorbereiding dient om het project af te stemmen en de juiste informatie vanuit de organisatie te verzamelen. De targeted threat intelligence fase heeft tot doel het verzamelen van informatie om relevante aanvalsscenario’s op te stellen. Tijdens de red team test fase worden de opgestelde scenario’s daadwerkelijk uitgevoerd. Tijdens de afsluitingsfase vindt kennisoverdracht plaats om de educatieve waarde te vergroten. 

Meer informatie