red-teaming-cocoon-advies-penetatie-test

Red teaming

Door de bescherming van een gebouw of afdeling niet vanuit de verdediging, maar vanuit een potentiële aanval te beschouwen ontstaan er gegarandeerd andere inzichten in de kwetsbaarheid. Met behulp van red teaming zoeken we de menselijke zwakheden en technische gebreken op om zo een gecoördineerde aanval te plegen.

Het zal u verbazen hoe eenvoudig het is om aan informatie te komen die een kwaadwillende steeds verder kan brengen in het kwetsen van uw organisatie. We noemen dit ook wel social engineering. Kijk eens naar de hedendaagse oplichtingspraktijken waar men vaak gebruik maakt van zogenaamd social engineering.

 

Wat is social engineering

Social engineering is de verzamelnaam voor een methode die, enkel op basis van communicatie tussen aanvaller en slachtoffer, mensen kneedt en manipuleert zodat deze onbedoeld hun steentje bijdragen in een grotere aanval: bijvoorbeeld het stelen van waardevolle informatie of doordringen tot kritische bedrijfsprocessen. Social engineering maakt gebruik van psychologie, identiteitsfraude, computer-, of telefoontechniek en van de onwetendheid van de slachtoffers. Maar bovenal maakt social engineering gebruik van de zwakste schakel in de beveiliging: namelijk de menselijke factor.

Social engineering is de kunst en wetenschap om mensen te laten doen wat een aanvaller graag wil. Dit door misbruik te maken van natuurlijke, normaliter positieve, eigenschappen van de mens. Denk hierbij aan de natuurlijke drang om behulpzaam te zijn, risico’s te mijden en uit te gaan van het goede in een ander.

 

Fysieke penetratie test

Naast social engineering kennen we ook fysieke penetratietesten of een combinatie van deze twee. Als onze klant er behoefte aan heeft om haar fysieke beveiligingsvoorzieningen of de signalering ervan te testen dan kan ze daarvoor uitstekend bij ons terecht. Een dergelijke test varieert van simpelweg over een hek heen klimmen, tot het manipuleren van de toegangspoorten of het openen van ramen en deuren met behulp van inbrekersgereedschap. Ook kunnen we na binnendringen van een gebouw apparatuur in het netwerk plaatsen zodat een gecombineerde oefening met een ICT penetratietest kan worden uitgevoerd.

pen test, penetration test, red teaming, fysieke pen test, cocoon, security audit

 

Bekijk ook onze filmpjes op YouTube

 

 

Hoe werkt red teaming

Op basis van reële scenario’s wordt een ‘aanval’ voorbereid en gepland zoals ook een opponent dat zou doen. Dit kan per klant variëren van een eenvoudige babbeltruck tot een complexe aanval op de beveiligingsorganisatie en eventueel ICT. Hierbij kan gebruik gemaakt worden van een reeds bestaande GAP-analysis (het ‘gat’ tussen het huidige- en het gewenste beveiligingsniveau), vermoedens of wensen van de opdrachtgever met betrekking tot het veiligheidsniveau of een door ons uitgevoerde risico analyse.

We delen de aan te vallen locatie op in beveiligingszones met ieder hun eigen zwakheden. Dit worden de fasen die door de  auditer worden doorlopen en waarover later wordt  gerapporteerd.

De auditer gaat op de achtergrond aan de slag met het verwerven van informatie en/of het manipuleren van systemen. Ook zal hij in deze fase eventueel opdrachtbonnen en toegangspasjes namaken, namen en telefoonnummers verzamelen en de locatie ‘afleggen’ om tijden van beveiligingsrondes, alarmopvolging etc. te achterhalen.

Zodra de auditer zijn bureauwerk heeft gedaan zal hij een moment kiezen om de organisatie daadwerkelijk ‘aan te vallen’, of in het eenvoudigste geval ‘binnen te lopen’. In overleg met de klant wordt gekozen voor een al dan niet geheel of gedeeltelijk aangekondigde aanval. De auditer houdt bij zijn aanval rekening met eventuele bypasses zodat hij kan bijsturen als een bepaalde aanvalsstrategie niet blijkt te werken. Bij een daadwerkelijke aanval op de organisatie door een kwaadwillende zal het niet anders gaan.

 

Voordelen van red teaming

De door Cocoon risk management uitgevoerde Red teaming werkzaamheden zijn onafhankelijk en uiterst professioneel. De uitkomsten van een opdracht zijn niet zo zeer bedoeld om fouten in de beveiliging bloot te leggen, maar meer om medewerkers bewust te maken van het risico en hen te helpen de organisatie beter te beschermen dan ze tot dan toe al hebben gedaan.

Met behulp van red teaming kunnen SLA’s en bonus/malus regelingen verder worden geprofessionaliseerd. U kunt u medewerkers, met behulp van red teaming, beter voorlichten en sterker maken in het beschermen van de organisatie tegen onheil.

 

Rapportage

U mag van ons een uitvoerige en duidelijke rapportage verwachten. In het geval wij een penetratietest hebben uitgevoerd zullen wij u voorafgaand de test berichten over de op handen zijnde oefening en zullen we u direct na afloop berichten over het resultaat. Daags na de test ontvangt u van ons een uitvoerige rapportage met zogenaamde Adversary Sequence Diagram en Critical Path Analysis. Hiermee is voor u in één oogopslag duidelijk waar de  ‘gaten’ in de beveiliging zitten en hoe lang het heeft mogen duren voordat de auditer door bepaalde beveiligingszones heen kon komen.

Wij vervaardigden voor onze klanten trainingsvideo’s waarin zowel live beelden als geregisseerde beelden van de oefening zijn opgenomen. Deze video is bijzonder waardevol bij de voorlichting van het management en/of de medewerkers.

Als u er behoefte aan heeft dan kunnen wij de uitgevoerde test ook mondeling aan het management of aan de gehele organisatie toelichten. Dit kunt u dan zien als een voorlichtingsprogramma.

High Risk Security
Interim security management bij Eurojust

Eurojust, een van de best beveiligde objecten van Nederland, gehuisvest in de ‘Haagse Arc’. Rob van Dijk werkte hier bijna twee jaar als interim Head of Security, General Services, Transport & Events.

Bekijk Casus
Safety
Veiligheidshandboek ProRail

ProRail is verantwoordelijk voor het spoorwegnet van Nederland. Samen met vervoerders zetten zij zich…

Bekijk Casus