Security wordt door leveranciers vaak benaderd vanuit bangmakerij. Om te zorgen dat de belangrijkste bedrijfsmiddelen veilig zijn, kunnen managers en it-beslissers zich beter de vragen stellen: wat en wie zijn nu echte bedreigingen voor onze organisatie en waarom?
Over deze blogger
Martijn Sprengers MSc is werkzaam als IT Security Consultant bij KPMG IT Advisory. Hij studeerde af op het gebied van Computer Security en heeft meer dan 5 jaar relevante ervaring met IT-beveiliging. Hij is gespecialiseerd in de vele facetten van het beoordelen van IT-beveiliging: ethisch hacken, social engineering, penetratie testen, red teaming en IT-auditing. Klanten zijn onder meer grote bedrijven, zoals financiële instellingen, overheden en petrochemische organisaties. Onlangs heeft Martijn zich verder gespecialiseerd op het gebied van industriële IT-beveiliging (Industrial Control Systems), met een focus op nieuwe ontwikkelingen en bedreigingen.
In ons jargon hebben we het dan over: wat zijn de belangrijkste dreigingsactoren en wat zijn hun motivaties om binnen te komen? Gaat het bijvoorbeeld om digitaal vandalisme? Hackersgroepen met een ideële doelstelling? Georganiseerde misdaad of spionage door staten? Het dreigingslandschap verandert: eerder opereerden die groepen min of meer los van elkaar, maar tegenwoordig zijn ze steeds meer met elkaar verbonden.
Organisaties staan eigenlijk constant bloot aan bedreigingen vanuit verschillende hoeken. Sommige bedrijven worden duizenden keren per dag aangevallen. Maar dat wil niet zeggen dat criminelen ook altijd binnenkomen. Vaak willen bedrijven uit angst alles streng beveiligen. Ze zouden eerst eens in kaart moeten brengen hoe de belangrijkste bedrijfsinformatie en bedrijfsmiddelen beveiligd zijn. Voor veel organisaties is niet meer tastbaar waar die gegevens zijn. Dit is bijvoorbeeld het geval waarbij criminelen bepaalde patenten kopiëren, maar doordat de gegevens nog steeds op de eigen systemen staan en het binnendringen van de criminelen niet wordt gedetecteerd, lijkt het of er niets aan de hand is.
Penetratietesten: scannetje draaien, rapportje delen?
Een veelgebruikte vorm om de beveiliging van systemen te onderzoeken zijn penetratietesten. De laatste jaren zien we echter een wildgroei in de dienstverlening ontstaan. Soms wordt er niet meer dan een scan van de infrastructuur gedaan en de resultaten één-op-één gedeeld. We hebben zelfs meegemaakt dat een klant per post een cd-rom ontving en een begeleidend schrijven met daarin het aantal kwetsbaarheden op hun internetomgeving. Als er €300 werd overgemaakt, zou het wachtwoord om het ‘rapport’ op de cd-rom te ontcijferen worden verstuurd. Belangrijk bij het uitvoeren van een penetratietest is het doel: wil je als organisatie een overzicht van kwetsbaarheden of wil je de weerbaarheid tegen de dreigingsactoren testen? Daarnaast is de manier van rapporteren ontzettend belangrijk; als je niet kunt overbrengen wat de bevindingen daadwerkelijk voor de organisatie betekenen komt het rapport snel in de la te liggen.
Hoewel penetratietesten doorgaans erg gericht zijn op de techniek, is het ook van de belang de oorzaken van bevindingen te onderkennen. Bij andere vormen van testen letten we daarom meer op beleid en cultuur. Tijdens social engineering-testen komen we bijvoorbeeld met een smoes het pand binnen en kijken of we via een vals WiFi-netwerk bedrijfsinformatie kunnen stelen.
Red teaming: simulatie van dreigingsfactoren
Er zijn bedrijven die ons vragen om een stap verder te gaan. Bij red teaming- testen we de weerbaarheid van de organisatie zowel op het gebied van cultuur, beleid, processen en technologie. Daarbij zijn zowel fysieke als technische methoden geoorloofd. Dat klinkt heel spannend maar u zal versteld staan hoe ver we kunnen komen met open source-tools en enkele kleine licenties. Dat geldt ook voor multinationals.
Red teaming gebeurt vaak in het geheim. Soms weet alleen het hoger management dat het plaatsvindt. Dat heeft ook gevolgen voor de betrokkenen. Er kan op persoon of op IP-adres achterhaald worden wie de fout inging bij een poging van ons om binnen te dringen, dus is het belangrijk om vooraf goede afspraken te maken. Afhankelijk van de afspraken van de opdrachtgever zijn daarbij allerlei middelen geoorloofd, zoals overname van de webcam, ddos-aanvallen en het daadwerkelijk stelen van de kroonjuwelen.
Mijn belangrijkste tip voor organisaties die hun beveiliging willen testen is: bepaal tegen welke dreigingsactoren uw organisatie zich moet beschermen en doe dat door als een aanvaller naar de eigen organisatie te kijken. Bepaal dan risico-gebaseerd wat de beste instrumenten zijn om inzicht te krijgen. Dit hoeft niet altijd een penetratietest of red teaming-actie te zijn!
