Ethical hacking
De kern van offensieve security ligt in het bekijken van security door de bril van een hacker. Dichterbij deze blik kan je niet komen dan met een Red Teaming. Middels een realistische aanvalssimulatie meten wij de weerbaarheid van uw organisatie tegen een geavanceerde aanvaller. Waar een penetratietest gezien kan worden als een proefwerk, is een Red Teaming het eindexamen.
In tegenstelling tot een penetratietest is het doel van een Red Teaming niet om zoveel mogelijk kwetsbaarheden bloot te leggen. In plaats daarvan is deze methode erop gericht om te verifiëren of de totale set aan getroffen beveiligingsmaatregelen afdoende bescherming biedt tegen een echte aanvaller.
Bij een Red Teaming worden ook de detectie- en responsmaatregelen onder de loep genomen. Net als een echte aanvaller gaan we zo onopvallend mogelijk te werk waardoor jouw securityteam, zonder dat ze dit weten, uitgedaagd wordt om een aanval in hun netwerk op te sporen.
Onze hackers zullen proberen voor een langere periode in jouw netwerk te verblijven. Onder de radar verwerven zij rechten in jouw systemen en informatie over jouw kroonjuwelen. Wanneer zij alle stukjes van de puzzel in hun greep hebben worden zogenaamde Actions on objectives uitgevoerd: malafide acties welke de impact van de aanval aantonen.
Wat is Red teaming
Red Teaming, ook wel adversary simulation, is een offensieve methode voor het testen van cybersecurity. Door middel van een realistische aanvalssimulatie wordt de cyberweerbaarheid van een organisatie tegen een geavanceerde aanvaller getest. Net als bij andere offensieve methoden wordt gebruik gemaakt van de mindset van hackers om naar de beveiliging van een organisatie te kijken. De ethische hackers die de simulatie uitvoeren noemen we het red team. De verschillende teams die binnen de te testen organisatie verantwoordelijk zijn voor security noemen we samen het blue team. Voor afstemming en coördinatie is vanuit de te testen organisatie een select aantal individuen betrokken, welke samen het white team vormen.
Wat is het doel van een Red Teaming?
Een Red Teaming dient twee primaire doeleinden. Ten eerste is het een meting van het huidige weerbaarheidsniveau van de organisatie. Hoe volwassen is de organisatie op het gebied van cybersecurity en sluit dit aan bij de verwachtingen? Dit is een belangrijk uitgangspunt voor het bepalen van een bredere securitystrategie. Ten tweede is een Red Teaming een kans voor securityteams om te leren van hun tegenstanders. Ontdek hoe geavanceerde aanvallers onder de radar proberen te blijven en hoe de detectie- en responscapaciteiten verbeterd kunnen worden om het gebruik van dergelijke technieken toch te ontdekken.
Waarom kiezen voor The S-Unit?
Onze aanpak gaat verder dan alleen aanvalssimulaties. Bij The S-Unit bieden we een diepgaande evaluatie van jouw beveiligingsmaatregelen en onthullen we waardevolle inzichten die jouw organisatie beschermen tegen geavanceerde bedreigingen.
Wij passen een realistische aanvalssimulatie toe en ons doel is om te verifiëren of jouw totale set aan beveiligingsmaatregelen afdoende bescherming biedt tegen echte aanvallers. We gaan verder dan alleen het blootleggen van kwetsbaarheden door ook de detectie- en responsmaatregelen onder de loep te nemen. Op onopvallende wijze dagen we jouw securityteam uit om een aanval in hun netwerk op te sporen.
Bij The S-Unit bieden we modulaire Red Teaming-diensten aan, zodat je de perfecte combinatie van modules kunt samenstellen die aansluiten bij jouw behoeften en wensen. En als je op zoek bent naar een Red Team-provider die bekend is met raamwerken zoals TIBER-NL, ART of ZORRO, dan zijn wij de juiste keuze. Onze ervaren hackers simuleren geavanceerde dreigingsactoren met state-of-the-art capaciteiten. Maak een verstandige keuze en kies voor Red Teaming bij The S-Unit.
Modulaire Red Teaming
Stel een Red Teaming project samen dat precies aansluit bij jouw wensen en informatiebehoefte door gebruik te maken van onze modulair opgebouwde Red Teamings. We gaan graag met jou in gesprek om samen tot een passende samenstelling van modules te komen.
Raamwerk Red Teaming
Ben je op zoek naar een red team provider voor een test aan de hand van een raamwerk als TIBER-NL, ART of ZORRO? Maak gebruik van de expertise en ervaring van The S-Unit voor het simuleren van geavanceerde dreigingsactoren met state-of-the-art capaciteiten.
Purple Teaming
Een directe samenwerking tussen onze hackers en jouw securityteam om jouw detectie- en responscapaciteiten te verbeteren. Kies voor een purple teaming workshop als onderdeel van jouw Red Teaming of opzichzelfstaande techniek om jouw security operations center naar een hoger niveau te brengen.
Samenspel van teams bij Red Teaming
Red Teaming is een cruciale methode om de huidige weerbaarheid van een organisatie te meten. Binnen dit proces wordt een kleurcode gebruikt om verschillende teams te onderscheiden, elk met een unieke rol en verantwoordelijkheid.
• Red team: dit ethische hackers team voert realistische aanvallen uit om kwetsbaarheden bloot te leggen en de weerbaarheid van de beveiliging te testen.
• Blue team: is het verdedigende team dat de beveiliging handhaaft en aanvallen ontdek en stopt tijdens de simulaties.
• White team: zijn geselecteerde individuen die verantwoordelijk zijn voor het coördineren en evalueren van reacties op de aanvalssimulaties.
• Purple team: is een mix van red en blue, gericht op de samenwerking om kwetsbaarheden te ontdekken en de beveiliging te verbeteren.
• Gold team: ook wel bekend als cybercrisis-simulatie, integreert de verschillende kleuren in het Red Teaming-proces. Hierbij worden de specifieke kleuren gebruikt om activiteiten aan te duiden.
Red Teaming modules
The S-Unit biedt Red Teaming diensten aan op basis van modules. Hierdoor is het mogelijk een red teaming af te stemmen op de wensen en informatiebehoefte van de opdrachtgever. De modules zijn onderverdeeld in vier fases. Deze fases en modules zijn gebaseerd op de TIBER-NL en ART raamwerken. De volgende modules zijn beschikbaar per fase:
Fase
Module
'Waar een penetratietest gezien kan worden als een proefwerk, is een Red Teaming het eindexamen.'
Maak nu een afspraak met een van onze red teaming consultants
Red Teaming: meer dan cybersecurity test
Red Teaming is meer dan een offensieve methode voor het testen van cybersecurity; het is een mindset. Door middel van een realistische aanvalssimulatie wordt niet alleen de weerbaarheid getest, maar worden ook waardevolle inzichten en leerkansen geboden. Kortom, Red Teaming met The S-Unit levert niet alleen een uitgebreide evaluatie van cybersecurity, maar ook waardevolle inzichten en leerkansen voor organisaties die streven naar maximale bescherming tegen geavanceerde cyberdreigingen.
Red Teaming FAQ’s
Verschil tussen Red Teaming en een penetratietest
Soms worden de termen Red Teaming en penetratietest door elkaar gehaald. Hoewel ze op elkaar lijken, zijn er belangrijke verschillen. Red Teaming beoordeelt of de gehele beveiliging van een bedrijf goed werkt door echte aanvallen na te simuleren. Penetratietesten zijn meer gericht om gaten te dichten en het opsporen en repareren van specifieke zwakke plekken.
Het NIST-raamwerk helpt om het verschil tussen Red Teaming en een penetratietest helder te maken.
Wat is het verschil tussen een Red Teaming en een penetratietest?
Een penetratietest helpt op een efficiënte manier om zoveel mogelijk specifieke gaten te dichten. De techniek test daarmee maatregelen die binnen de Protect functie van het NIST-raamwerk vallen. Een red teaming is erop gericht om te verifiëren of de totale set aan getroffen beveiligingsmaatregelen afdoende bescherming biedt tegen een echte aanvaller. Hiermee worden zowel de Identify, Protect, Detect als Response functies uit het NIST-raamwerk getest.
De kerneigenschappen van een Red Teaming
Red Teaming onderscheidt zich van andere offensieve testen door drie kernkenmerken. Deze kenmerken kunnen afhankelijk van de informatiebehoefte van een organisatie, ook worden toegepast in een penetratietest, waardoor een hybride vorm ontstaat. Om het maximale uit Red Teaming te halen, moet de test minimaal voldoen aan de volgende eigenschappen:
- Een organisatiebrede uitvoering van de test. Dit betekent dat in principe alle IT-systemen van een organisatie aangevallen kunnen worden. Daarnaast beperkt een Red Teaming zich niet tot aanvallen op enkel techniek, maar kunnen ook mens en proces doelwit zijn. Hierdoor worden de resultaten van een Red Teaming zo min mogelijk beïnvloed door scope-beperkingen die een echte aanvaller ook niet kent. Door deze eigenschap kan een Red Teaming gebruikt worden om vast te stellen in hoeverre de organisatie de juiste onderdelen heeft geïdentificeerd welke beschermd dienen te worden.
- Een heimelijke uitvoering van de test. Enkel leden van het red team en een select aantal individuen van de te testen organisatie, zoals de CISO, zijn op de hoogte van de oefening. Deze eigenschap maakt dat een Red Teaming gebruikt kan worden om op realistische wijze de detectie- en responsmaatregelen van de organisatie te testen. Immers, wanneer het blue team op de hoogte is van het feit dat er een offensieve securitytest wordt uitgevoerd zullen zij mogelijk op een andere wijze te werk gaan dan wanneer dit niet het geval is.
- Een scenario-gerichte uitvoering van de test. Het betreft een simulatie van een echte aanvaller met een achterliggend motief, een doelstelling en bijbehorende methode. Een voorbeeld kan zijn een aanvaller met als motief financieel gewin, als doelstelling het ontvangen van losgeld en als methode het gijzelen van IT-systemen met ransomware. Deze scenario-gerichte aanpak is een tweede vereiste om op realistische wijze de detectie- en responsemaatregelen te testen. Ondanks dat er meerdere routes mogelijk zijn om tot een bepaald einddoel binnen een organisatie te komen zal een echte aanvaller maar één route proberen te vinden. Om te testen of een organisatie een dergelijke aanval kan detecteren en stoppen moet het red team op een vergelijkbare wijze te werk gaan. Wanneer het red team additionele routes zou zoeken resulteert dit in meer detecteerbare acties dan noodzakelijk, waardoor de detectiecapaciteiten niet langer realistisch worden getest.
Waarom wordt een Red Teaming organisatiebreed uitgevoerd?
Organisatiebrede uitvoering van de test maakt dat de resultaten van een red teaming zo min mogelijk worden beïnvloed door scopelimitaties die een echte aanvaller ook niet kent. Dit is vereist om vast te kunnen stellen in hoeverre de organisatie de juiste onderdelen heeft geïdentificeerd welke beschermd dienen te worden.
Waarom wordt een Red Teaming in het geheim uitgevoerd?
De geheime uitvoering van een Red Teaming is vereist om de detectie- en responsmaatregelen van de organisatie op een realistische manier te kunnen testen. Immers, wanneer het blue team op de hoogte is van het feit dat er een Red Teaming wordt uitgevoerd zullen zij mogelijk op een andere wijze te werk gaan dan wanneer dit niet het geval is.
Waarom is een Red Teaming scenario-gericht?
De scenario-gerichte aanpak is vereist om op realistische wijze de detectie- en responsemaatregelen te testen. Ondanks dat er meerdere routes mogelijk zijn om tot een bepaald einddoel binnen een organisatie te komen zal een echte aanvaller maar één route proberen te vinden. Om te testen of een organisatie een dergelijke aanval kan detecteren en stoppen moet het red team op een vergelijkbare wijze te werk gaan. Wanneer het red team additionele routes zou zoeken resulteert dit in meer detecteerbare acties dan noodzakelijk, waardoor de detectiecapaciteiten niet langer realistisch worden getest.
Wat zijn TIBER-NL, ART en ZORRO?
TIBER-NL, ART en ZORRO zijn de meest gebruikte red teaming raamwerken voor Nederlandse organisaties. Het TIBER-NL raamwerk komt voort uit het gelijknamige programma van De Nederlandsche Bank (DNB) dat als doel heeft de cyberweerbaarheid van de financiële sector in Nederland te verhogen. De afkorting staat voor Threat Intelligence Based Ethical Red-teaming Nederland. Zoals de naam suggereert speelt het gebruikt van threat intelligence, dreigingsinformatie, een belangrijke rol. Na het succes van het TIBER-NL-raamwerk in Nederland heeft de Europese Centrale Bank (ECB) samen met de centrale banken van 12 EU-landen een vergelijkbaar raamwerk geïntroduceerd: TIBER-EU. Verschillende centrale banken kennen daarnaast een eigen variant op het raamwerk. Zo wordt bij de centrale bank van Duitsland gewerkt met het TIBER-DE-raamwerk.
Testen volgens het TIBER-NL raamwerk zijn tijdsintensief, mede door het uitvoeren van meerdere aanvalsscenario’s. Om het gebruik toegankelijker te maken voor kleinere organisaties heeft DNB het Advanced Red Teaming (ART) raamwerk geïntroduceerd. Dit raamwerk hanteert een modulaire aanpak, vergelijkbaar met de modulaire aanpak van The S-Unit. Een belangrijk verschil tussen de twee is dat de modulaire aanpak van The S-Unit geen minimale eisen stelt aan het gebruik van modules.
Tot slot, ZORRO is een raamwerk geïntroduceerd door Z-CERT en specifiek gericht is op de zorgsector in Nederland. De afkorting staat voor Zorg Red Teaming Resilience Oefeningen. Dit raamwerk is gebaseerd op het TIBER-NL raamwerk.
Hoe gaat een Red Teaming in zijn werk?
The S-Unit biedt Red Teaming diensten aan op basis van modules. Hierdoor is het mogelijk een red teaming af te stemmen op de wensen en informatiebehoefte van onze klanten. De modules zijn gebaseerd op het TIBER-NL raamwerk en zijn onderverdeeld in vier fasen: voorbereiding, targeted threat intelligence, Red Team test en afsluiting. De voorbereiding dient om het project af te stemmen en de juiste informatie vanuit de organisatie te verzamelen. De targeted threat intelligence fase heeft tot doel het verzamelen van informatie om relevante aanvalsscenario’s op te stellen. Tijdens de red team test fase worden de opgestelde scenario’s daadwerkelijk uitgevoerd. Tijdens de afsluitingsfase vindt kennisoverdracht plaats om de educatieve waarde te vergroten.
Red Teaming Updates
