20 juni 2022

Verzeker jezelf van een ijzersterke beveiliging met Red Teaming en Scenario Based Pentesting

Organisaties hebben de afgelopen jaren hard gewerkt aan het versterken van de basisbeveiliging van hun omgevingen. Helaas zitten criminelen ook niet stil en lopen zij vooruit op de verdediging. Om deze afstand te verkleinen, is er meer nodig dan basismaatregelen: beter inzicht in de aanvallers én continue validatie van de staat van je beveiliging brengen deze verdiepingsslag.

Met het stijgen van het aantal security-risico’s de afgelopen jaren is ook de ‘security awareness’ van veel organisaties gelukkig sterk gestegen. En doordat steeds meer organisaties de basismaatregelen implementeren, ligt er vaak een gedegen securityfundament. Zet multifactorauthenticatie aan. Zorg voor segmentatie van netwerken. Hanteer bij toegang het principe van least-privilege. Maak regelmatig back-ups. En patch systemen tijdig. Deze basis blijft belangrijk. Maar naarmate ook (ransomware)aanvallen steeds geavanceerder worden, blijken deze maatregelen het in onze ervaring onvoldoende om alles af te kunnen slaan. Om dan digitaal nog weerbaarder te worden, is een verdiepingsslag nodig.

"Organisaties wanen zich soms al veilig met basismaatregelen, maar onze eigen tests laten nog regelmatig zien dat dit verre van waar is."
Inzicht in de aanvaller

Om een verdiepingsslag te maken in de beveiliging, heb je een goed beeld nodig van de aanvaller. Een aanval kan via tal van routes verlopen en criminelen hebben een arsenaal aan uiteenlopende tools en trucs. Toch heeft iedere groepering een eigen modus operandi. Door aanvallen te modelleren (‘attack modeling’), kun je beter anticiperen op het daadwerkelijke verloop (de ‘kill chain’) en daar vervolgens dus je verdediging op aan te passen.

Een handig hulpmiddel om aanvallen te modelleren, is het MITRE Attack Framework. Hiermee kun je relatief eenvoudig een ‘kill chain’ modelleren en deze met behulp van achterliggende documentatie beter doorgronden. Ook het MITRE Defend Framework biedt daarin hulp. Deze tools helpen je om het pad van de aanval beter te voorspellen en specifieke maatregelen daarop aan te passen.

Validatie van je beveiliging

Als je denkt dat je het met attack modeling voor elkaar hebt en achterover kunt leunen, dan heb je het mis. Organisaties wanen zich soms al veilig met basismaatregelen, maar onze eigen tests laten nog regelmatig zien dat dit verre van waar is. Dat gevoel van veiligheid ontstaat bijvoorbeeld door monitoringsdiensten die technieken uit het MITRE framework zouden moeten detecteren, maar in de praktijk slechts een fractie oppikken door fouten in de implementatie. Iedere organisatie heeft namelijk blinde vlekken in de omgeving: situaties waar systemen net wat anders in elkaar steken dan gedacht, waar monitoring net anders is ingericht dan zou moeten of waar de playbooks net die éne cruciale stap overslaan die nodig is om de impact van een aanval succesvol te detecteren en mitigeren.

Maar de nodige validatie van beveiligingsmaatregelen wordt regelmatig overgeslagen, laat staan dat dit met regelmaat wordt herhaald. Phishing tests om de security awareness te testen en de standaard jaarlijkse pentest bieden geen gemoedsrust in een securitylandschap dat met de dag verandert.

"Testresultaten verouderen in rap tempo, dus voor blijvend vertrouwen in de eigen verdediging is regelmatig testen essentieel."
Red Teaming en scenario-based pentesting

Red Teaming biedt veel beter inzicht in de staat van de verdediging. Daarbij valt een externe partij je organisatie via digitale én fysieke routes aan, terwijl je eigen teams deze proberen af te wenden. Maar waar teams tijdens een pentest weten dat deze plaatsvindt en zich er op voor kunnen bereiden, worden ze bij Red Teaming verrast. Hierdoor zullen ze de test als een echte aanval behandelen. Zo kun je veel beter evalueren of geïmplementeerde beveiligingsmaatregelen werken zoals bedacht en medewerkers reageren zoals zou moeten.

Een Red Teaming-aanval is een uitgebreid en complex proces, met meerdere doelstellingen en aanvalsmethoden. Hierdoor is het tijd- of budgettechnisch niet altijd mogelijk. Juist om deze reden is Scenario Based Pentesting ontwikkeld, een wat praktischer ingestoken test. Een securitypartner emuleert dan een specifiek type aanval om te beoordelen hoe een organisatie reageert op bijvoorbeeld ransomware of een interne aanvaller. Dit levert concrete inzichten op in de manier waarop organisaties omgaan met specifieke bedreigingen, die je vervolgens kunt verwerken in responsstrategieën en draaiboeken om beveiligingsincidenten efficiënter op te lossen.

De kracht van herhaling

Red Teaming wint aan populariteit. Het wordt in 2025 zelfs een standaard bij de Rijksoverheid. Afwachten tot dat moment om validatiemethoden te versterken is niet aan te raden: criminelen zullen niet stil blijven zitten. Oriënteer je daarom nu al op Red Teaming. Begin zo mogelijk al met de ‘lichtere’ variant, Scenario Based Pentesting.

En vooral: blijf testen. De wereld van cybersecurity verandert dag op dag. Technologieën en technieken evalueren voortdurend, waardoor nieuwe kwetsbaarheden ontstaan. Testresultaten verouderen in rap tempo, dus voor blijvend vertrouwen in de eigen verdediging is regelmatig testen essentieel. Het is ook geen kwestie van alleen Pentesten, of alleen Red Teaming. Door periodiek verschillende evaluatiemethoden in te zetten, ben je vaker en beter geïnformeerd over de staat van security van je (cloud-)omgeving, en ben je sneller in staat gaten in de beveiliging te identificeren en te verhelpen.

Wil je meer weten over de opties voor validatie van je organisatie en IT-omgeving? Neem dan contact op met Solvinity via (020) 364 36 00 of info@solvinity.com.

Meld je aan voor de Solvinity Nieuwsbrief

Ontvang het laatste nieuws, blogs, artikelen en events. Meld je aan voor onze nieuwsbrief.

Lees ook

Meer berichten

Meer