Red Teaming: denken als de vijand

“De digitale weerbaarheid van Nederland loopt achter op de groeiende dreiging. We worden geconfronteerd met uiteenlopende vormen van digitale aanvallen gericht op politieke en economische spionage en cybercriminaliteit.”

Een uitspraak van de minister van Buitenlandse Zaken Stef Blok in april. Het ministerie waarschuwde leden van de handelsmissie naar China voor spionage. Allerlei voorzorgsmaatregelen waren het gevolg: nieuwe telefoons zonder onnodige apps en met extra beveiliging, belangrijke documenten gingen alleen geprint mee en laptops kregen geüpdate beveiligingssoftware.

Hoe zeker bent u over uw digitale weerbaarheid in Nederland?

Niet alleen bij handelsmissies in andere landen ligt het gevaar op de loer. In de afgelopen jaren is het lekken van belangrijke, gevoelige informatie regelmatig in het nieuws. De cijfers liegen er niet om: het duurt gemiddeld 252 dagen voordat een bedrijf erachter komt gehackt te zijn, terwijl in 82% van de gevallen de hack zelf binnen één minuut gebeurd is. Mensen die kwaad willen, houden zich niet aan regels en procedures. Ze maken gebruik van de kwetsbaarheid en hulpvaardigheid van de mens of van zwakheden binnen uw IT-systeem. Dat maakt het ingewikkeld om het aan het licht te krijgen.

Ons team van ethical hackers, voice-phising-specialisten en fysieke-inloop-specialisten wist uiteindelijk toegang te krijgen tot kritieke informatiesystemen.

Red Teaming brengt onzichtbare dreigingen aan het licht

Wacht niet af, maar neem zelf het heft in handen. Red Teaming kan u daarbij helpen. Het is een methode die uit het leger komt. Militaire eenheden testen elkaar daarbij op hun defensieve capaciteit. Concreet valt het ‘Red team’ het ‘Blue team’ aan. De kracht van Red Teaming is: denken als de vijand, out-of-the-box in plaats van de geijkte tactieken. Een mooi voorbeeld is de Red Teamingstest van admiraal Harry E. Yarnell in 1932. Op een vroege zondagmorgen viel hij de schepen in Pearl Harbor aan met een precisie-luchtaanval: er vielen zakken meel op de schepen in de haven. Daarmee toonde hij aan dat Pearl Harbor kwetsbaar was voor een luchtaanval op zee. Helaas vond het ministerie van Defensie dat een dergelijke aanval geen realistisch scenario was. We weten allemaal hoe dat bijna tien jaar later afliep.

Red Teaming in de praktijk

Een opdrachtgever vroeg zich af of het mogelijk was om van binnenuit een aanval te lanceren op het netwerk. Iemand kan bij deze organisatie alleen binnenkomen via een 1-persoonstourniquet. Daarvoor moet je je eerst melden bij de portier die je ID controleert. Wij voerden een Red Teaming test uit voor deze opdrachtgever. En met succes. Ons team van ethical hackers, voicephising-specialisten en fysieke-inloop-specialisten wist uiteindelijk toegang te krijgen tot kritieke informatiesystemen. Zo kon het team zwakheden blootleggen en deze delen met de opdrachtgever.

Hoe gingen we te werk?

Onze specialisten begonnen met een voice-phisingactie: ze belden medewerkers van de klant met een smoes. Op deze manier wisten ze wachtwoorden te ontfutselen. Vervolgens maakten onze inloopspecialisten na een gedegen voorverkenning een plan om het gebouw binnen te dringen. Twee specialisten wisten na een geslaagde afleidingsmanoeuvre binnen te komen. Eenmaal binnen gingen zij op zoek naar een flexplek waar zij een connectie konden maken met het netwerk. Dit kostte even wat meer tijd, aangezien een aantal netwerkpoorten blijkbaar goed afgeschermd waren. Uiteindelijk vonden ze een geschikte poort in een afgelegen printerruimte. Daar konden ze de meegebrachte, geprepareerde laptop op aan sluiten. De ene collega hield de wacht, de andere voerde een scan en aanval uit op het netwerk. Al snel konden we aantonen dat we op deze manier toegang konden krijgen tot kritieke informatie van de opdrachtgever. Uiteraard hield daar de test op en hebben we de klant over de kwetsbaarheden geïnformeerd.

Het resultaat van Red Teaming

De resultaten van onze aanval gaven inzicht aan de opdrachtgever. Het gaf hem de mogelijkheid om aanvullende maatregelen te nemen om de kwetsbaarheden te beheersen. De wachtwoorden hebben we uiteindelijk niet gebruikt, maar het gaf wel aan dat de opdrachtgever aandacht moest geven aan het security bewustzijn van zijn medewerkers.

Zoals reeds verschenen in de Hoffmann Tips #235.