Gebruik red teaming om de digitale dijken te verhogen

Met red teaming huur je ethical hackers in om de informatiesystemen van een organisatie te testen. | beeld: Shutterstock

11 oktober 2023

red teaming

veiligheid

Op het iBestuur Congres riepen enkele bestuurders vanuit de Rijksoverheid op tot het inzetten van red teaming. Het maakt duidelijk waar de kwetsbaarheden zitten en waar ‘digitale dijkverhogingen’ moeten worden aangebracht.

Gerdine Keijzer-Baldé (pSG en CIO bij EZK), Aart Jochem (CISO-Rijk, directie CIO Rijk BZK) en Sylvia Cammeraat (directeur Bedrijfsvoering en CIO bij AZ) hebben de nodige ervaring met red teaming; het inhuren van ethical hackers die de informatiesystemen testen van een organisatie.

Kies een test (of combinatie van testen) die past bij jouw organisatie en testdoel.

Aart Jochem, CISO-Rijk, directie CIO Rijk bij BZK

Aart Jochem licht aan de hand van een keuzekaart verschillende typen securitytesten toe, zoals kwetsbaarhedenscans, penetratietesten, purple-teamingtesten en red-teamingtesten met als advies: “Kies een test (of combinatie van testen) die past bij jouw organisatie en testdoel.”

De TIBER-methode

Het testen van de digitale veiligheid en weerbaarheid kan op verschillende manieren, vertelde Jochem. De zwaarste vorm van securitytesten is de TIBER-methode, wat staat voor Threat Intelligence Based Ethical Red-teaming. Op verzoek van een organisatie voeren ingehuurde hackers aanvallen uit op de informatiesystemen op basis van reële dreigingsbeelden, op zoek naar kwetsbaarheden met als doel om bij de kroonjuwelen van de organisatie te komen. Dit gebeurt met een zeer specifieke opdracht, volgens zeer strenge afspraken en binnen kaders. Het rode team valt aan, het blauwe team (de security organisatie van de geteste entiteit) verdedigt. De aanval vindt onder de radar plaats, dus het blauwe team weet niet dat de aanval plaatsvindt. Na de aanval worden het rode en het blauwe team samengevoegd (purple teaming genaamd) en bespreken ze samen wat er is uitgevoerd, wat succes had en wat niet, en welke kwetsbaarheden zijn gevonden.

Waargebeurd verhaal

Ethische hackers vlooiden in opdracht van EZK de social media door van een geselecteerde groep medewerkers, op zoek naar interessante gegevens. Eén collega had trots iets op LinkedIn gepost over een geslaagde presentatie tijdens een congres. Die persoon kreeg een telefoontje van ‘de organisatie’ (het rode team) met complimenten voor het verhaal. ‘Wil je dit evaluatieformulier nog even invullen? In de uitwisseling van gegevens installeerden de ingehuurde hackers afluisterapparatuur op de laptop van de nietsvermoedende spreker.

De boodschap: Alle informatie die we op social media zetten is openbaar en kan tegen ons worden gebruikt. Wees alert op wat je deelt.

Sylvia Cammeraat introduceerde red teaming bij JenV toen zij daar programmadirecteur cyber security was. JenV was één van de eerste departementen die hiermee aan de slag is gegaan. “Er is een verschil tussen compliant zijn met wet- en regelgeving en daadwerkelijk veilig zijn. Ik wilde onze organisatie naar een hoger volwassenheidsniveau brengen qua digitale veiligheid.” JenV huurde een erkend bureau in en gaf een ethical hacker inloggegevens alsof hij of zij een medewerker was van het ministerie.

Wij dachten dat er drie maanden nodig zouden zijn om onze kroonjuwelen te bereiken, maar het lukte binnen twee weken

Sylvia Cammeraat, directeur Bedrijfsvoering en CIO bij AZ, voormalig programmadirecteur cyber security bij JenV

“Wij dachten dat er drie maanden nodig zouden zijn om onze kroonjuwelen te bereiken, maar het lukte binnen twee weken”, erkent Sylvia Cammeraat. “Simpele wachtwoorden, hoge toegangsrechten bij mensen die deze niet mochten hebben, dat soort simpele dingen waren er de oorzaak van. Dit hadden we moeten weten, maar we waren ons er niet van bewust.” Dat is na de test radicaal omgedraaid en de gevonden kwetsbaarheden zijn aangepakt. “Dat is precies waarom we deze test hebben gedaan. Het heeft medewerkers van JenV weerbaarder en alerter gemaakt.”

Ook EZK ging aan de slag met red teaming en dit leidde eveneens tot significante inzichten. Ook hier waren nog steeds simpele wachtwoorden in gebruik zoals Welkom01 en waren de toegangsrechten van mensen niet altijd passend bij hun functie. De oefening heeft Keijzer-Baldé enigszins ontnuchterd achtergelaten. “Bij EZK zit de veiligheidscultuur minder in onze aard dan bij het veiligheidsdepartement JenV; wij hebben dat echt moeten leren. Jammer dat veiligheid voor veel mensen nog steeds een saai onderwerp is, want het is zo belangrijk.

Groene vinkjes op je ISO-27001 certificaat zijn mooi, maar laat je daardoor niet in slaap sussen.

Gerdine Keijzer-Baldé, plaatsvervangend SG en CIO bij EZK

Pas wanneer de dijken breken beseffen we waar ze voor nodig waren. En de dijken moeten verhoogd worden, omdat cyberdreigingen toenemen.” Ze plaatst nog een belangrijke kanttekening: “Red teaming test de feitelijke veiligheid, niet de compliance met veiligheidsprocedures. Groene vinkjes op je ISO-27001 certificaat zijn mooi, maar laat je daardoor niet in slaap sussen.”

iBestuur Congres 2023

In het komende nummer van iBestuur Magazine #48 is een katern opgenomen waarin we terugblikken op het iBestuur Congres 2023. Deze ligt rond 17 oktober op de (digitale) mat. En als u daardoor de smaak te pakken heeft, kunt u kort na het verschijnen van het magazine nog uitgebreider terugblikken in het speciale e-magazine over het congres én verschillende sessies zijn bovendien integraal terug te kijken.

De videoregistratie van de brakout-sessie ‘Samenwerken aan digitale dijkverhoging’ is al terug te kijken via YouTube (47 minuten). In deze sessie gaat Ineke Spinder (CISO EZK en LNV) in gesprek met Aart Jochem, Sylvia Cammeraat en Gerdine Keijzer-Balde over de strategische relevantie van Rode Teaming, de impact die het heeft op het beveiligingslandschap en laten zij zien hoe de departementen gebruik maken van deze innovatieve methodologie om een stap voor te blijven in het voortdurend veranderende cybersecurity-landschap.

Klik HIER op de video terug te kijken.