De CISO-gids voor Threat-Led Penetration Testing - Blog 4: Wat alleen een TLPT blootlegt

📋 Voor de boardroom De eerste drie blogs in deze serie legden uit wat een TLPT is, hoe je je voorbereidt en waar trajecten misgaan. Deze laatste blog beantwoordt de vraag die er het meest toe doet: wat leer je er eigenlijk van? Op basis van onze ervaring met TIBER en TLPT onderzoeken onthult een goed uitgevoerde TLPT consequent drie dingen die geen enkele andere test kan laten zien. Deze blog behandelt ze alle drie.


Introductie

Na drie blogs over frameworks, voorbereiding en valkuilen is de vraag die een CISO terecht stelt: wat levert dit me nu eigenlijk op?

Niet in compliancetermen. Niet in framework-deliverables. In echte beveiligingsinzichten.

Het antwoord verschilt per organisatie. Maar op basis van onze ervaring met TIBER en TLPT onderzoeken verschijnen drie categorieën inzichten consequent:

  1. Hoe je organisatie zich gedraagt onder druk, niet alleen hoe je technologie presteert
  2. Of je organisatie is ingericht om te handelen op wat je tools detecteren
  3. De grenzen van je dreigingsmodel, inclusief de grenzen die je niet wist dat je had getrokken

Dit zijn inzichten die geen pentest of audit kan opleveren.

Wat hieronder staat is gebaseerd op onze TIBER-ervaring. De organisatie is fictief: Meridian Bank is een grote pan-Europese bank die een breed scala aan betalings- en financiële diensten verleent aan zakelijke klanten.

De threat intelligence identificeerde twee door de staat gesponsorde dreigingsactoren als meest relevant voor Meridians profiel: een Russische groep met een geschiedenis van politiek gemotiveerde verstoring van financiële infrastructuur, en een Noord-Koreaanse groep met een decennialange staat van dienst in het aanvallen van betaalsystemen voor financieel gewin. Een derde scenario, fysieke infiltratie, werd toegevoegd op basis van de geopolitieke context en Meridians specifieke infrastructuur.

Drie scenario's. Drie momenten. Drie dingen die Meridian op geen andere manier had kunnen leren.


Inzicht 1: de leverancier die het Blue Team vertrouwde, en het alert dat verkeerd werd beoordeeld

Meridian werkte met een managed service provider die legitieme, geprivilegieerde toegang had tot delen van het interne netwerk. De IP-adressen van de provider waren bekend. De verbindingen waren geautoriseerd. De verkeerspatronen waren vertrouwd en herkenbaar. Voor elk monitoringstool waren ze niet te onderscheiden van een vertrouwde partner.

Het Red Team maakte gebruik van dat vertrouwen. In plaats van Meridian rechtstreeks aan te vallen, maakten ze gebruik van de toegang van de leverancier. Via een verbinding die het Blue Team als veilig beschouwde, bewogen ze zich richting de kritische betaalsystemen van Meridian.

Het Blue Team ontving een alert. Een anomalie in het verkeerspatroon van de leverancier, subtiel maar reëel, werd gemarkeerd door de detectietool. Het alert was accuraat. De dreiging was reëel.

Het incident response playbook categoriseerde verkeer van vertrouwde partners standaard als lage prioriteit. De analist die het alert beoordeelde paste die categorisering toe. Het ticket werd gedeprioriteerd. Twee dagen later had het Red Team zijn doelstellingen bereikt diep in het netwerk van Meridian.

De les

De detectietool werkte. De analist volgde het proces. Maar er was een vertrouwensaanname in het proces verankerd die niet langer klopte. Supply chain aanvallen zijn de dominante vector voor geavanceerde door de staat gesponsorde actoren, precies omdat ze de vertrouwensrelaties exploiteren die organisaties bewust hebben opgebouwd en niet eenvoudig kunnen verwijderen.

De oplossing was niet technisch. Meridian verving zijn managed service provider niet. Het ontwierp de vertrouwensarchitectuur opnieuw: gedragsbaselines voor verbindingen van derde partijen, afzonderlijke meldingsdrempels voor anomalieën in het verkeer van vertrouwde partners, en een response playbook dat alerts niet deprioritiseert alleen omdat de bron bekend is.

Het onderzoek dwong ook een gesprek af dat nooit had plaatsgevonden: welke leveranciers hebben welk niveau van toegang, tot welke systemen, en wie is verantwoordelijk voor het monitoren van die toegang? De antwoorden waren verspreid over inkoop, IT en security. Niemand had het volledige plaatje.

Wat alleen een TLPT blootlegt: je perimeter wordt gedefinieerd door je leveranciers, niet alleen door je eigen systemen. En je detectie is alleen zo goed als de aannames die zijn ingebouwd in je response proces.


Inzicht 2: de medewerker die niet was wie hij zei te zijn

Het tweede scenario simuleerde de Noord-Koreaanse groep. De aanpak is niet primair phishing e-mails. Het is iets geduldiger, geavanceerder en aanzienlijk moeilijker te detecteren.

Een ontwikkelaar solliciteerde op een remote IT-positie bij Meridian. De sollicitatie was verzorgd. Het cv was overtuigend. Het LinkedIn-profiel had connecties, aanbevelingen en een geschiedenis. Tijdens het videogesprek was de kandidaat vloeiend, technisch geloofwaardig en aangenaam in de omgang. Het gezicht op het scherm werd in realtime gegenereerd door AI-software. De stem ook.

De kandidaat doorstond het sollicitatiegesprek en slaagde voor achtergrondcontroles met vervalste documentatie. De kandidaat werd aangenomen, ontving een zakelijke laptop en legitieme netwerkcredentials, en begon op afstand te werken.

Zes weken lang werd het werk adequaat uitgevoerd, met AI-tools om code te schrijven en berichten te beantwoorden. In die tijd werd het interne netwerk van Meridian in kaart gebracht, werden systemen geïdentificeerd die verbonden waren met betalingsoperaties, en werd via de legitieme netwerkcredentials een vaste toegang in het netwerk gevestigd. Geen phishing e-mail. Geen externe exploit. Geen anomale verbinding van een onbekend IP-adres. Gewoon een nieuwe medewerker die het werk doet.

De les

Het onderzoek bracht drie specifieke hiaten aan het licht. Ten eerste verleende het onboardingproces vanaf dag één volledige netwerktoegang, zonder het principe van minimale toegangsrechten toe te passen. Ten tweede had het securityteam geen zicht op gedragsanomalieën op systemen die werden benaderd door recent aangenomen remote medewerkers. Ten derde, en het meest significant, had niemand ooit het wervingsproces als aanvalsoppervlak beschouwd.

De Purple Teaming sessie die dit aan het licht bracht, produceerde een van de meest ongemakkelijke gesprekken van de hele afsluitingsfase. Niet omdat het Red Team iets buitengewoons had gedaan, maar omdat de aanvalsvector een legitiem wervingsproces was. Geen enkele beveiligingstool in het arsenaal van Meridian was ontworpen om dit te detecteren.

Wat alleen een TLPT blootlegt: je aanvalsoppervlak omvat elk proces waarmee een extern persoon legitieme toegang tot je systemen verkrijgt, inclusief de processen die er totaal niet uitzien als beveiligingsincidenten.


Inzicht 3: de Red Team operator die gewoon door de voordeur binnenwandelde

De meeste organisaties die een TLPT uitvoeren, nemen geen fysiek infiltratiescenario op. Meridian deed dat wel, op basis van de threat intelligence en de geopolitieke context ten tijde van het onderzoek.

Het scenario ging uit van een aanvaller die een geloofwaardige reden had om in het gebouw te zijn. De Red Team operators droegen een get-out-of-jail-free card: een formele autorisatiebrief die de legitimiteit van de aanwezigheid bevestigt als ze worden aangehouden en ondervraagd. Die brief zorgt ervoor dat de operators niet worden gearresteerd voor inbraak. Het betekent echter niet dat het onderzoek kan doorgaan: zodra de fysieke operators worden herkend, stopt dat deel van het scenario.

De operators betraden het gebouw, bewogen zich door het kantoor, en identificeerden locaties waar netwerk drop devices konden worden geplaatst met minimale zichtbaarheid en maximale connectiviteit. De devices werden geplaatst. Binnen enkele uren had het Red Team een extra toegangspunt op het interne netwerk, volledig tot stand gebracht via fysieke aanwezigheid in het gebouw.

De elektronische toegangscontroles en camerasystemen van het gebouw functioneerden gedurende het hele onderzoek. Niets faalde. Niets werd omzeild. Het Red Team wandelde gewoon naar binnen, omdat niets in de omgeving was ontworpen om hen tegen te houden.

De les

De fysieke infiltratie slaagde niet omdat het gebouw in conventionele zin onveilig was, maar omdat het dreigingsmodel fysieke toegang niet omvatte als een betekenisvolle aanvalsvector. Fysieke beveiliging en informatiebeveiliging werden beheerd door verschillende teams, met verschillende risicoframeworks en geen gedeeld dreigingsmodel.

Het onderzoek onthulde iets specifieks. Het Blue Team had geen zicht op apparaten die verbonden waren met het netwerk in publieke en semi-publieke ruimtes: vergaderzalen, receptiegebieden, open werkplekken. Slimme tv's, printers, docking stations. Geen van deze werd gemonitord met dezelfde nauwkeurigheid als werkstations en servers. De drop devices gingen op in een omgeving die nooit was ontworpen met een fysiek aanwezige dreigingsactor in gedachten.

De Gold Teaming sessie met het board maakte dit tastbaar op een manier die geen enkel rapport kon. Verschillende boardleden hadden kantoren in het gebouw. Het gesprek tussen het securityteam en facilitair management dat volgde, had nooit eerder plaatsgevonden. Na dit scenario werd het een vast agendapunt.

Wat alleen een TLPT blootlegt: de grenzen van je dreigingsmodel, inclusief de grenzen die je niet wist dat je had getrokken.


Van bevindingen naar verandering: wat de afsluitingsfase daadwerkelijk oplevert

Dit is waar de echte waarde van een TLPT wordt gecreëerd. Niet in de scenario's zelf, maar in wat er daarna gebeurt.

De Purple Teaming sessies verliepen over meerdere dagen, omdat voor een goede leercurve meerdere sessies de norm zijn. Elk scenario werd volledig doorgelopen: elke Red Team actie, elke tijdstempel, elke tool, gekruist met de eigen detectieregistraties van het Blue Team.

Voor elk scenario produceerden de Purple Teaming sessies concrete en actionable output:

  • Bijgewerkte detectieregels, afgestemd op de specifieke technieken, timing en patronen die het Red Team gebruikte, waardoor toekomstige detectie van vergelijkbare aanvallen betrouwbaarder wordt
  • Herziene response playbooks, die de vertrouwensaannames en categoriseringsregels vervangen die het Red Team in staat hadden gesteld dagenlang onopgemerkt te opereren
  • Duidelijker eigenaarschap, waarbij wordt gedefinieerd wie verantwoordelijk is voor het monitoren van toegang door derde partijen, gedrag van nieuwe medewerkers en fysieke netwerktoegang, waarmee hiaten worden gevuld die bestonden over inkoop, IT en security heen

De Gold Teaming sessie met het board vertaalde de bevindingen in investeringsbeslissingen. Elke bevinding werd gekoppeld aan een zakelijke impact. Elke oplossing werd gekoppeld aan een vereiste investering. Drie werkstromen werden goedgekeurd met eigenaren, budgetten en tijdlijnen: het opnieuw ontwerpen van de vertrouwensarchitectuur voor toegang door derde partijen, het versterken van het onboardingproces en gedragsmonitoring voor nieuwe remote medewerkers, en het integreren van fysieke beveiliging in het dreigingsmodel van de organisatie.

Samen produceerden de Purple en Gold Teaming sessies iets waardevollers dan een lijst van bevindingen: een prioriteitskalender voor de komende periode, waarbij Meridian zich verplichtte tot kwartaallijkse Purple Teaming scenario's om te verifiëren dat de herziene playbooks en detectieregels standhouden, en die ervoor zorgt dat de TLPT het begin wordt van een continu verbeteringscyclus in plaats van een eenmalige oefening.


Drie dingen die alleen een TLPT blootlegt

Een standaard pentest vindt kwetsbaarheden in systemen. Een TLPT doet iets anders. Het plaatst een gemotiveerde, vastberaden aanvaller in je live omgeving, onder realistische omstandigheden, met echte consequenties als je verdediging faalt. En het doet dat op een manier die gestructureerd, gedocumenteerd en ontworpen is om inzicht te produceren in plaats van alleen bevindingen.

Voor Meridian waren de drie consistente bevindingen niet wat ze verwachtten bij de start:

  • Het supply chain scenario onthulde dat er een vertrouwensaanname in het response proces verankerd was die niet langer klopte. Het team wist dat het alert er was. Het playbook vertelde hen er niet op te handelen. Weten dat leveranciers een risicovector vormen, is niet hetzelfde als je detectie en respons rondom die realiteit hebben gebouwd.

  • Het wervingsscenario onthulde dat de grens tussen HR en security nooit bewust was getrokken. Die grens bestond simpelweg niet, omdat de noodzaak er nooit was geweest. De aanval slaagde niet vanwege een kwetsbaarheid, maar vanwege een afwezigheid: niemand had ooit gevraagd of een nieuwe medewerker met legitieme toegang de aanvaller kon zijn.

  • Het fysieke scenario onthulde een dreigingsmodel met een impliciete grens. Geen bewuste keuze, maar een aanname zo diep ingebed dat ze nooit was bevraagd. Het gebouw was veilig. De netwerkpoorten in de vergaderzalen maakten geen deel uit van dat gesprek.

Een TLPT vertelt je niet alleen waar je kwetsbaar bent. Het vertelt je waar je niet keek. En na negen maanden van voorbereiding, uitvoering en gestructureerd leren geeft het je het duidelijkste mogelijke beeld van het verschil tussen het beveiligingsprogramma dat je denkt te hebben en het programma dat je daadwerkelijk hebt.


Wat nu?

Als je nog bezig bent met de voorbereiding op je eerste TLPT, is de belangrijkste stap nu niet het vinden van een Red Team provider. Het is het bouwen van het fundament dat de test betekenisvol maakt als het zover is. Blog 2 in deze serie legt precies uit hoe je dat doet: de security testing strategie, de pre-TLPT voorbereiding, de leg-up planning, en het organisatorische voorwerk dat een TLPT die strategisch inzicht oplevert scheidt van een TLPT die een herstelachterstand oplevert.

Als je al in de fase zit van het selecteren van een TLPT-provider, is het gesprek anders. Je hebt een partij nodig die de volledige reikwijdte begrijpt van wat een TLPT test: niet alleen je technologie, maar je processen, je vertrouwensmodel en de grenzen van je dreigingsmodel. Dat is het gesprek dat wij klaar zijn om te voeren.

Hoe dan ook: de organisaties die het meeste uit hun TLPT halen, zijn degenen die het juiste gesprek vroeg beginnen. Wij zijn er klaar voor als jij dat bent.


Dit is de laatste blog in de vierdelige serie over Threat-Led Penetration Testing.

Blog 1: Begrijpen wat een TLPT is | Blog 2: Het opbouwen van een pre-TLPT security testing-strategie | Blog 3: Waar TLPT-trajecten misgaan

Vragen of feedback?