Red Teaming: real world exercitie

De meest tot de verbeelding sprekende vorm van penetratietesten is de Red Team Test: een gesimuleerde maar realistische aanval op de IT-omgeving van een organisatie, uitgevoerd door operators in een Red Team. Ze halen alles uit de kast om binnen te dringen, terwijl die IT-omgeving door een Blue Team wordt verdedigd. Doel van de test is de effectiviteit van de beveiliging te beoordelen en leren wat beter kan.

In 2020 werd er volgens Gartner wereldwijd meer dan 113 miljard euro uitgegeven aan producten en diensten in informatiebeveiliging en risicomanagement. De verwachting is dat het in 2021 met 12,4% zal groeien naar meer dan 127 miljard. Gartner verwacht ook dat directies meer cijfers en inzicht gaan eisen over de effectiviteit en het rendement van die investeringen in cybersecurity. Die zouden immers aantoonbaar betere beveiliging moeten opleveren. Wie wil weten hoe veilig zijn IT-omgeving daadwerkelijk is, kan een Red Team een aanval laten uitvoeren alsof ze echte criminele hackers zijn.

Het doel van een Red Team Test is het beveiligingsniveau van een organisatie te beoordelen, de belangrijkste kwetsbaarheden op een rij te zetten en laten zien hoe goed een organisatie is voorbereid op een echte aanval. Als hackers proberen de leden van een Red Team ongezien een beveiligde organisatie binnen te komen. Dat kan ook zijn door het fysiek binnendringen van panden, om bijvoorbeeld wachtwoorden op papier te vinden of toegang te krijgen tot een openstaand systeem.

Red, Blue, Purple en White

Er zijn verschillende vormen van Red Team Testen. Het Red Team is altijd de aanvallende partij. Met een arsenaal aan 'tactics, techniques and procedures' (TTPs) die ook door kwaadwillende hackers worden ingezet. Voorbeelden zijn (spear) phishing, ransomware, (identity) spoofing, session hijacking en injection attacks. Ook social engineering en psychologische manipulatie van medewerkers, kan worden ingezet. Klikt een medewerker op een link in een e-mailbericht dat door het Red Team is verstuurd met het doel om binnen te komen, dan is het raak.

De specialisten in het Blue Team vormen de verdediging. Het is hun dagelijks werk ervoor te zorgen dat de IT-omgeving veilig is, dat iemand zonder rechten niet in systemen kan komen en hackers geen gegevens of geld kunnen stelen. De beveiligers hebben ook allerlei systemen en methoden tot hun beschikking, zoals 2FA, e-mail filters, een SOC (Security Operations Center), SIEM (Security Information and Event Management), patch management enzovoort.

Een relatief nieuwe vorm van deze test gebeurt met een Purple Team. In een Purple Team werken de aanvallers en de verdedigers samen. Het is een efficiënte vorm van testen, mede omdat het sneller tot resultaat leidt. De verdedigers informeren de aanvallers over hun systemen, controles en procedures, de aanvallers zijn open over hun TTP's. De wederzijdse kennisuitwisseling zorgt voor continue procesverbeteringen.

Een Red Team Test kan ook uitgevoerd worden met een White Team, dat tijdens de aanval met het rode en het blauwe team contact heeft en overzicht houdt. Hierbij is het Blue team niet op de hoogte van de aanval zodat ook zij reageren zoals in het echt zou gebeuren. In een situatie waar bijvoorbeeld het Red Team vastloopt, kan het White Team het rode team een zogeheten 'leg up', een pootje geven, waarmee het Red Team een stap verder wordt geholpen in het scenario. Wanneer een phishing-campagne geen resultaat heeft omdat niemand op de link klikt, kan het rode team een 'leg up' vragen. Dan kan iemand die in het complot zit bewust op de link klikken zodat ook de rest van het testplan kan worden uitgevoerd.

Het Red Team Test proces

Een Red Team Test verloopt altijd volgens een vooropgezet plan. In overleg met de opdrachtgever wordt de scope, de duur en het doel van de test bepaald. Daarop volgt de fase van reconnaissance (verkenning), waarin het rode team zoveel mogelijk informatie verzamelt over de organisatie, de aanwezige systemen en het doelwit van de aanval, bijvoorbeeld de kroonjuwelen. In deze fase komt ook het scenario tot stand. De keuze van het scenario hangt af van hoe volwassen de IT-beveiliging van de organisatie is. En of een organisatie wil weten of ze tegen een bepaalde TA bestand zijn, waar ze dus het pad van een bepaalde TA gaan naspelen.

Daarop volgt de Initial Foothold waarmee toegang tot een systeem, een werkplek of een gebruikersaccount wordt verkregen. Eenmaal binnen probeert het Red Team de controle uit te breiden door gebruikersrechten te vergroten en op afstand controle over interne bronnen in het netwerk te realiseren. Dan start de zoektocht naar de meest waardevolle assets van de organisatie, bijvoorbeeld toegang tot het betalingssysteem. Dit is de Trophy Hunt.

Yorick Koster, mede-oprichter van Securify heeft bij Red Team Testen vaak de rol van Teamlead. Koster: "Onze Red Teams werken volgens de Unified Kill Chain. Een methode die alle stappen in een aanval door hackers in kaart brengt. Wij houden dezelfde structuur aan." Na afloop van de test krijgt de opdrachtgever in een findings meeting gepresenteerd wat het Red Team heeft gedaan en hoever ze zijn gekomen. In een uitgebreid rapport staan ook de aanbevelingen en adviezen voor verbetering van de beveiliging. Indien gewenst kan er adviestraject gestart worden waarin onze security specialisten helpen de gevonden issues op te lossen.

Wat levert een Red Team Test op?

Een Red Team Test levert inzicht op over de staat en effectiviteit van uw IT-beveiliging. Het geeft antwoord op vragen als: Hoe snel worden inbraken gedetecteerd? Waar liggen de grootste kwetsbaarheden en hoe effectief is het SOC of het SIEM? Welke functies in beveiligingsproducten worden onvoldoende benut en welke producten kunnen weg? Een Red Team Test geeft vertrouwen. U kunt de directie vertellen hoe snel indringers worden opgemerkt en hoe het beveiligingsbudget zinvol is besteed of kan worden besteed.

Vragen of feedback?