Zwakke plekken vinden en dichten met een Redteam
Hackers vinden uiteindelijk altijd wel een manier om je bedrijfssystemen binnen te dringen. Daarom moet je een aanval kunnen detecteren en er snel en adequaat op reageren. Hoe? Door jezelf aan te vallen, vindt Wouter Otterspeer, leider van het Ethical Hacking & Redteam bij PwC.
Het is verstandig om er als bedrijf vanuit te gaan dat je ooit gehackt zult worden. Natuurlijk tref je preventieve maatregelen om die kans zo klein mogelijk te maken, maar volledig voorkomen kun je het niet in de huidige wereld waar hyperconnectiviteit, digitalisering en technologie de klok slaan.
“Er zijn basismaatregelen die je in ieder geval moet treffen om aanvallers zolang mogelijk buiten de deur te houden,” benadrukt Wouter Otterspeer. “Maar omdat een hacker er ooit een keer doorheen kan komen, moet je daarnaast vooral je detectie en response goed op orde hebben. Bedrijven hebben uitgebreide alarmsystemen om een fysieke inbraak te detecteren. Deze mindset moet ook toegepast worden op digitale inbraken. Want de snelheid waarmee je een hack detecteert en een aanval afslaat, zijn cruciaal om de impact en de schade zoveel mogelijk te beperken.”
Onder de radar werken
Hier komt de inzet van een Redteam om de hoek kijken. Dit team van ethische hackers kijkt naar de gebieden preventie, detectie en response. Otterspeer: “Kortom, hoe sterk zijn je preventieve maatregelen en is je organisatie in staat om een cyberaanval te herkennen en te stoppen?”
“Met een gewone penetratietest van bijvoorbeeld een website, test je alleen de preventieve maatregelen die je getroffen hebt op slechts een kleine schakel binnen de IT-omgeving.” Maar stel dat een onderzoeker een week later een zwakke plek ontdekt, dan ben je alsnog kwetsbaar. “Zaken als technologie en aanvalsmethoden veranderen continu. Een eenmalige penetratietest is een momentopname waarbij risico’s onderzocht worden met de kennis en inzichten van dat moment,” benadrukt Otterspeer. Continue aandacht is nodig om zwakheden te signaleren en op te lossen.
Een Redteam gaat veel verder. Het zijn ethische hackers die in het diepste geheim een gesimuleerde aanval op je bedrijf uitvoeren. “Ze werken volledig onder de radar en proberen om niet gedetecteerd te worden door de interne IT-organisatie, het Blueteam. Net als in het leger, is een Redteam een zelfstandig opererende unit die de organisatie uitdaagt door de rol op zich te nemen van een criminele tegenstander. In ons geval simuleren wij geavanceerde hackersgroepen.”
Het Redteam past hierbij precies dezelfde tools, tactieken en procedures toe als echte hackers en criminelen en gaan missie-georiënteerd te werk. “Een missie kan zijn het stelen van gevoelige bedrijfsdata, of het aantonen dat een fabriek lamgelegd zou kunnen worden. Hierbij opereren we uiteraard binnen de kaders van de wet en brengen we in tegenstelling tot criminelen, geen schade toe. Ons doel is juist om samen te verbeteren.”
Na afloop wordt verslag gedaan van de bevindingen. Hoe sterk zijn de preventieve maatregelen? Hoe goed was het Blueteam van de organisatie in staat om de aanval van het Redteam te detecteren en te stoppen? “Daarnaast wordt samen gekeken hoe detectie en response verder verbeterd kunnen worden,” gaat Otterspeer verder. “Zodat een volgende aanval wel gestopt kan worden.”
Altijd drie competenties
Nog een groot verschil met een penetratietest is dat een Redteam net als criminelen meerdere competenties combineert bij elke aanval. “Er zit allereerst altijd een stuk social enginering in. Mensen die hier goed in zijn hebben vaak een achtergrond in psychologie, dus zij nemen dit gedeelte voor hun rekening. Daarnaast is een stuk techniek nodig waarmee de ethische hackers van het aanvalsteam de preventieve maatregelen van het bedrijf proberen te omzeilen en onder radar van het Blueteam blijven.”
Als derde is er het supportteam. “Deze ethische hackers en ontwikkelaars zorgen ervoor dat de infrastructuur voor de aanval operationeel is, dat het Redteam anoniem kan opereren en dat de nieuwste tools, technieken en exploits beschikbaar staan.” Deze drie subteams worden aangestuurd en gecoördineerd door de Redteam Leader.
Gedetailleerd informatieprofiel
Een Redteam begint nooit zomaar aan een aanval, benadrukt Otterspeer. “Daar gaat altijd een diepgaand onderzoek aan vooraf.” Om wat voor soort bedrijf gaat het bijvoorbeeld en waar liggen eventuele zwakheden. “Een belangrijk element is het vergaren van threat intelligence. Op basis van allerlei openbare bronnen en bronnen op het dark web, wordt zo een gedetailleerd informatieprofiel samengesteld van het doelwit.”
Hierbij wordt onder andere gekeken wie de sleutelpersonen van het bedrijf zijn en op basis van social media profielen worden hun interesses en hobby’s in kaart gebracht. “Ook openstaande vacatures zijn leerzaam. Daar kun je vaak uit afleiden welke technologieën een bedrijf gebruikt, zoals wanneer er een Java-ontwikkelaar gezocht wordt.”
Al deze informatie en nog veel meer, wordt doelgericht gebruikt om mensen via een door psychologen slim opgestelde phishing-e-mail te verleiden ergens op te klikken. “Waarna de software van het Redteam toeslaat in een gesimuleerde aanval.”
Na Red en Blue volgt Purple
Nadat de onaangekondigde aanval in het diepste geheim heeft plaatsgevonden en de bevindingen gerapporteerd zijn, is het vormen van een Purple Team een belangrijke vervolgstap. Ditmaal werken het Redteam en het Blueteam intensief samen en is bij iedereen bekend wanneer en wat er getest wordt.
Otterspeer: “Het Redteam vertelt het Blueteam wat de aanvalsstrategie is en welke technieken toegepast worden. Het Blueteam kan vervolgens live met de aanval meekijken en gericht bekijken wat wel of niet gedetecteerd wordt. Ons doel van een Redteam-test is altijd om samen cybersecurity-risico’s te identificeren en op te lossen, voordat criminelen er misbruik van kunnen maken.”
“Wij hebben ook een aantal eigen Blueteam-mensen in ons cybersecurity team zitten. Ze zijn specialist in het verdedigen, daarom betrekken wij ze graag bij onze aanvallen. Allereerst omdat wij willen weten of onze aanvallen wel slim genoeg zijn en om een inschatting te maken van de capaciteiten van Blueteam van een organisatie.”
Daarnaast draaien deze specialisten mee in het Purple Team om het Blueteam van een organisatie te helpen bij het verbeteren van de verdediging. “Zo krijg je het beste van twee werelden, want zowel Red als Blue hebben technieken waar je veel van kunt leren. Het gaat immers om aanval versus verdediging.”
Bewapend tegen elk type hacker
Heb je preventie, detectie en response op orde, dan heb je de juiste middelen om je te wapenen tegen cybercriminelen. “Het gros van de criminelen is nogal lui,” benadrukt Otterspeer. “Van alle hacks wordt ongeveer tachtig procent uitgevoerd door opportunistische hackers. Deze groep gaat op basis van bekende zwakheden op zoek naar bedrijven die voor een specifiek probleem kwetsbaar zijn, waarbij de eerste de beste die gevonden wordt een aanval te verduren krijgt.”
Bij de overige twintig procent gaat het om gerichte aanvallen door gemotiveerde en goed opgeleide groepen. “Dat zijn gerichte aanvallen op specifieke bedrijven. Om wat ze zijn, waar ze voor staan, of vanwege de data die ze hebben. Deze tweede groep hackers doet de meeste moeite om binnen te dringen, waar een lange periode overheen kan gaan voordat deze groep succesvol is geïnfiltreerd. Met Redteaming bestrijd je beide soorten hackers tegelijk.”
Dit artikel verscheen eerder op http://cio.nl/security/105402-jezelf-aanvallen-is-de-beste-verdediging.