Staatssecretaris Alexandra van Huffelen (Digitalisering) schrijft in een brief aan de Tweede Kamer dat Red Teaming, het door ethische hackers laten testen van de veiligheid van systemen, standaard wordt bij de rijksoverheid. Dat klinkt goed… maar wat is nu eigenlijk precies “Red Teaming”?
Waar komt de term vandaan?
De term Red Team komt oorspronkelijk uit de Verenigde Staten en werd gebruikt in het leger en bij de (militaire-)inlichtingendiensten. Tijdens Red Team-oefening testen militaire eenheden elkaar op hun zwakheden en kwetsbaarheden. Daarbij valt een Red Team een Blue Team aan. Het Red Team heeft hierin vaak de rol van de 'vijand'. Waar er sprake is van een verdediging tegen een Red Team dan wordt deze rol uitgevoerd door een Blue Team, dat vaak de eigen organisatie vertegenwoordigt. Red Teams zijn vaak onderdeel van de eigen organisatie, of daardoor ingehuurd. Dit laatste gebeurt vooral richting publieke organisaties.
Wat is het doel binnen cybersecurity?
Red Teaming is de ultieme test voor organisaties die het gevoel hebben dat hun beveiliging voor het grootste deel op orde is. Het heeft namelijk geen zin om dit toe te passen zonder een basisbeveiliging want dan is iedere poging raak. Door te meten hoe een organisatie reageert op een ‘echte’ aanval, kan je daaruit lessen trekken en de veerkracht van de organisatie verder vergroten. Hiermee baseer je de maatregelen op echte inzichten en cijfers in plaats van op onderbuikgevoel en aannames.
Hoe staat Red Teaming ten opzichte van pentesten, Phishingsimulatie en Continuous Security Testing?
Zoals aangegeven is Red Teaming te zien als de ultieme test. Hierbij wordt een scala aan pogingen gedaan die achtereenvolgens of juist simultaan worden uitgevoerd. Daar kunnen pentesten en phishing onderdeel van uitmaken, maar ook bijvoorbeeld een bezoek aan een kantoorlocatie om te proberen fysiek toegang te krijgen tot het netwerk, of het ‘verliezen’ van een USB-stick in de hoop dat die opgeraapt wordt op locatie. Dat zijn ook precies de acties die je als organisatie niet zelf wilt doen maar iemand voor wilt inhuren, zodat je niet een eigen medewerker vermomd langs de receptie hoeft te laten glippen.
Continuous Security Testing (CST) wordt door een Red Team niet gebruikt. Vanwege de aard van actie, die is meestal snel en onverwacht, is zo’n langdurige dienst niet goed in te zetten. Waar CST juist wel goed voor is, is om die eerste volwassenheid van de beveiliging te meten en de basisinrichting op technisch gebied naar een hoger niveau te brengen. Daarnaast is het ook uitermate geschikt voor organisaties met veel wijzigingen binnen applicaties. Dit is uitdagend voor traditionele pentesten, maar geen probleem voor CST.
Wil je een keer vrijblijvend sparren met onze security experts over de beveiligingsmaatregelen voor jouw organisatie, of op welke manier jouw beveiliging het beste getest kan worden, neem dan contact op met ons via onderstaand contactformulier, of bel 040-2393300 voor een afspraak.