Digitale beveiliging scherp houden
Waarom de politie en ministeries met Red Teaming werken
door Sjoerd Hartholt, beeld Shutterstock
De politie en andere hoog-risico overheidsorganisaties oefenen met ‘Red Teaming’ om hun digitale beveiliging scherp te houden. Dit bleek onlangs uit antwoorden van minister Grapperhaus op Kamervragen. Wat houdt deze vorm van ethisch hacken precies in en wat zijn de valkuilen?
Met Red Teaming worden zwakke plekken en kwetsbaarheden in hoog-risico organisaties vanuit het perspectief van de opponent bekeken. Een expert op gebied van Red Teaming is Maarten IJzermans van Hoffmann Cybersecurity & Security Riskmanagement Bedrijfsrecherche, dat Red Teaming-oefeningen aanbiedt.
‘Niet alleen kijken naar technische beveiliging, maar ook naar mensen’
Maarten IJzermans van Hoffmann Cybersecurity & Security Riskmanagement Bedrijfsrecherche
Waarom Red Teaming?
“Informatieveiligheid is steeds belangrijker, met groter wordende risico’s. Wij zijn bezig met preventie bij risico’s en kijken met een team van specialisten naar drie risicovolle factoren in een organisaties: mens, techniek en organisatie. Red Teaming past hier goed bij. We werken bij Hoffmann met een 15-koppig team met onder meer ethische hackers, gedragspsychologen, riskspecialisten en specialisten op het gebied van screening.”
Hoe is Red Teaming als cybersecurityoefening ontstaan?
“Ik ben zelf oud-militair. De begrippen ‘Red Teaming’ en 'Blue Teaming' zijn eigenlijk gekaapt van Defensie. De oefening met Red Teams en Blue Teams vindt zijn oorsprong in de VS. Een aantal jaren voor de aanval op Pearl Harbor bedachten Amerikanen manieren om de beveiliging te testen door realistische aanvalsscenario’s en situaties na te bootsen. De cybersecuritywereld heeft de term en het concept jaren later min of meer gekaapt.”
Waarom is het concept van Red Teaming zo sterk dat ministeries en de politie ermee werken?
“Bij Red Teaming kijk je niet alleen naar de technische beveiliging, maar ook naar organisaties en naar de mensen. Naast pentesten uitvoeren proberen wij met onze oefening wachtwoorden te ontfutselen door te bellen met medewerkers, of door spearphishing. We laten de fysieke en digitale wereld samenkomen."
"Het komt ook voor dat we een klant op locatie bezoeken en eenmaal binnen een USB-stick met malware plaatsen. Soms zijn medewerkers bijvoorbeeld buiten aan het roken en kijken ze op hun smartphone. Dat kan risico’s opleveren, als deze smartphones gekoppeld zijn aan het WiFi-netwerk met een wachtwoord, dat wij dan achterhalen door middel van 'WiFi sniffen'. Het wachtwoord dat ze voor hun telefoon gebruiken kan weer hetzelfde zijn als het wachtwoord voor andere systemen omdat dit voor de IT-beheerder makkelijker is.”
‘Onze hackers bezoeken kantoren in monteursoverall’
Red Teaming is dus een verdiepende stap ten opzichte van normaal ‘ethisch hacken?’
“Ja, want er worden meer aspecten meegenomen. We krijgen soms informatie over welke malware de daders vaak gebruiken, of welke methodes. Bijvoorbeeld banken hebben te maken met soorten malware die professionele hackingteams vaak gebruiken. Bij Red Teaming kijken we ook meer naar de ‘sociale laag’: mensen die gebruik maken van laptops, telefoons en daar fouten in maken. We gebruiken informatie die beschikbaar is op internet zoals LinkedIn en Facebook, waarmee wij e-mailadressen kunnen achterhalen en ons kunnen voordoen als collega’s. Dan is er nog een ‘fysieke laag’, waarbij we kantoren bezoeken in bijvoorbeeld een monteursoverall en de controle proberen te nemen over bijvoorbeeld printers.”
Wat zijn valkuilen?
“Dat organisaties de oefening niet alleen gebruiken om te leren, maar ook medewerkers erop af willen rekenen. Dat is niet onze bedoeling. Red Teaming is bedoeld om meer te weten over kwetsbaarheden. Hierop zijn we zelf ook scherp in gesprekken vooraf."