De meeste organisaties hebben de basisbeveiliging van hun ICT-infrastructuren op orde en daarmee versterkt. Echter, cybercriminelen zijn ontzettend slim en continue bezig nieuwe tools en technieken te ontwikkelen om vooruit te lopen op deze verdediging. Om de afstand te verkleinen, is er meer nodig dan alleen maar basismaatregelen treffen: een beter inzicht in de aanvallers, hun werkwijze én steeds de staat van je beveiliging valideren geeft organisaties deze verdiepingsslag.
Security awareness
Je kunt er bijna niet meer omheen. In de media zie je regelmatig artikelen staan over bedrijven en organisaties die “aangevallen” zijn en wat de gevolgen hiervan zijn. Gelukkig is met het groeien van het aantal security-risico’s, ook de ‘security awareness’ sterk gegroeid in de afgelopen jaren. En doordat steeds meer organisaties de basismaatregelen implementeren, ligt er vaak een gedegen securityfundament.
Enkele voorbeelden van basismaatregelen:
- Zet multifactorauthenticatie aan (2FA).
- Zorg voor segmentatie van netwerken.
- Hanteer bij toegang het principe van least-privilege.
- Maak regelmatig back-ups, en
- Patch systemen tijdig.
Deze basis is inmiddels een must. Naarmate (ransomware)aanvallen steeds geavanceerder worden, blijkt dat ook deze maatregelen, in de praktijk, bij lange na niet genoeg zijn om alle dreigingen af te kunnen slaan. Om ook hiertegen bestand te zijn, is een verdiepingsslag in de beveiligingsmaatregelen nodig.
"Organisaties wanen zich soms al veilig met basismaatregelen, maar onze eigen tests laten nog regelmatig zien dat dit verre van waar is."
Attack modeling en kill chain
Om deze verdiepingsslag te maken in de beveiliging, heb je een goed beeld nodig van de aanvaller en waar hij toe in staat is. Een aanval kan via tal van routes verlopen en criminelen hebben een arsenaal aan uiteenlopende tools en trics. Buiten dat heeft iedere groepering een eigen werkwijze. Door aanvallen te modelleren (‘attack modeling’), kun je beter anticiperen op het verloop (de ‘kill chain’) om daar vervolgens je verdediging op aan te passen. Het MITRE Attack Framework is een handig hulpmiddel om de kill chain van specifieke aanvallers met behulp van achterliggende documentatie beter te doorgronden. Het MITRE Defend Framework biedt tools om te helpen het pad van de aanval beter te voorspellen en specifieke maatregelen daarop aan te passen.
Validatie van je beveiliging
Als je denkt dat je het met attack modeling voor elkaar hebt en achterover kunt leunen, dan heb je het mis. Organisaties wanen zich soms al veilig met eerdergenoemde basismaatregelen, maar de tests van Securify laten nog regelmatig zien dat dit verre van waar is. Dat gevoel van veiligheid ontstaat bijvoorbeeld door monitoringsdiensten die technieken uit het MITRE framework zouden moeten detecteren, maar in de praktijk slechts een fractie oppikken door bijvoorbeeld implementatie en/of configuratie fouten.
Bij vrijwel iedere organisatie zijn er situaties waar systemen net iets anders in elkaar steken dan gedacht, waar monitoring net anders is ingericht dan zou moeten of waar de playbooks net die éne cruciale stap overslaan die nodig is om de impact van een aanval succesvol te detecteren en mitigeren. Helaas wordt vaak de nodige validatie van beveiligingsmaatregelen overgeslagen, dus laat staan dat dit met regelmaat wordt herhaald. Ook phishing tests om de security awareness te testen en de standaard jaarlijkse pentest bieden geen gemoedsrust in een securitylandschap dat met de dag verandert.
"Testresultaten verouderen in rap tempo, dus voor blijvend vertrouwen in de eigen verdediging is regelmatig testen essentieel."
Red Teaming
Een veel beter inzicht in de staat van je verdediging krijg je door middel van een Red Teaming assessment. Hierbij valt een externe partij je organisatie via digitale én fysieke routes aan, terwijl je eigen Blue (verdedigende) team deze proberen af te wenden. En daar waar medewerkers tijdens een normale pentest meestal weten dat deze plaatsvindt en zich hierop voor kunnen bereiden, worden ze bij Red Teaming letterlijk overvallen. Hierdoor wordt de test als een realistische aanval behandeld. Bij deze simulatie kun je veel beter bekijken of geïmplementeerde beveiligingsmaatregelen werken zoals het bedacht is en medewerkers op een adequate manier reageren.
Scenario Based Pentest
Een Red Teaming-aanval is een uitgebreid proces, met meerdere doelstellingen, aanvalsmethoden en een gemiddelde doorlooptijd van 3-6 maanden. Hierbij moet een organisatie een eigen Blue team/SOC hebben waardoor het niet altijd mogelijk is. Juist om deze reden is de Scenario Based Pentest door Securify ontwikkeld. Een op scenario’s gebaseerde penetratietest waarbij een zeer geavanceerde aanval wordt gesimuleerd om te beoordelen hoe een organisatie reageert op bijvoorbeeld ransomware of een interne aanvaller. Dit levert concrete inzichten op in de manier waarop organisaties omgaan met specifieke bedreigingen, die je vervolgens kunt verwerken in responsstrategieën en draaiboeken om beveiligingsincidenten efficiënter op te lossen. De gemiddelde doorlooptijd van een Scenario based pentest is 1-2 maanden.
De boodschap is continue testen door verschillende evaluatiemethoden Red Teaming wint aan populariteit en wordt vanaf 2025 zelfs een standaard bij de Rijksoverheid. Afwachten tot dat moment om validatiemethoden te versterken is niet aan te raden: criminelen doen dit ook niet. Oriënteer je daarom nu al op een Red Teaming (als dit bij jouw organisatie mogelijk is) of de meer dan effectieve Scenario Based Pentest.
En vooral: blijf testen want de wereld van cybersecurity staat nooit stil. Technologieën en technieken evalueren voortdurend, waardoor nieuwe kwetsbaarheden ontstaan. Testresultaten verouderen in rap tempo, dus voor blijvend vertrouwen in de eigen verdediging is regelmatig testen essentieel. Het is ook geen kwestie van alleen een pentest, Scenario Based Pentest of Red Teaming. Door periodiek verschillende evaluatiemethoden in te zetten, ben je vaker en beter geïnformeerd over de beveiligingsstatus van je ICT-infrastructuren en de weerbaarheid van je organisatie, en daardoor sneller in staat gaten in de beveiliging te identificeren en te verhelpen.
Wil je meer weten over de opties voor validatie van je organisatie en IT-omgeving? Neem dan telefonisch contact op met Securify via 020 82 04 516 of mail naar info@securify.nl