Red teaming is de kers op de taart van de nulmetingen die we sinds de start van ons programma hebben uitgevoerd. Ethische hackers testen daarbij niet alleen de technische weerbaarheid, maar ook de fysieke beveiliging van instellingen. En ze stellen medewerkers via phishing mails en mystery guests op de proef. Het doel: controleren of getroffen maatregelen in de praktijk werken.

Bij red teaming speelt een organisatie aanvallen na om te ontdekken hoe goed ze is beschermd tegen aanvallen. Het red team speelt in deze oefening de aanvallende partij en bestaat uit externe securityspecialisten. Het blue team, met IT’ers van de eigen organisatie, probeert de aanvallen van het red team op te sporen en tegen te gaan.

Meestal is er ook een white team. Dit team bewaakt de voortgang van de oefening en grijpt in als dat nodig is. Bijvoorbeeld als de oefening uit de hand loopt of om haar juist op gang te helpen of houden. Ook kunnen (leden van) red teams en blue teams samenwerken, bijvoorbeeld om vorderingen te bespreken of best practices uit te wisselen. Dit noemen we purple teaming.

Controleren of maatregelen werken

Het doel van een red teaming oefening is controleren of de maatregelen die je hebt getroffen ook in praktijksituaties effectief zijn. Het red team handelt namelijk precies zoals echte hackers in de praktijk. Het probeert met een combinatie van technische aanvallen, social engineering en zwakheden in bedrijfsprocessen de getroffen maatregelen te omzeilen. Red teaming geeft zo een goed beeld van de weerbaarheid van de organisatie tegen realistische aanvallen én hoe de organisatie hierop reageert. Met name dit laatste is een belangrijk onderdeel van een redteamtest. Een organisatie wil vooral weten hoe snel en adequaat het eigen verdedigende blue team reageert op aanvallende acties.

Rol programma Cyberveiligheid 

Vanuit het programma hebben we in 2023 red teaming oefeningen voor 3 scholen gefaciliteerd. Secura heeft deze uitgevoerd bij ROC van Twente, het Graafschap College en Zadkine. De oefeningen gaven ons een goed eerste beeld van de kwetsbaarheden en aanvalspaden waarmee scholen te maken kunnen krijgen. Daarom komen we in 2024 met een vervolg. Ook deze keer komen drie instellingen in aanmerking om hun cyberweerbaarheid uitgebreid door een professioneel red team te laten testen. Maar anders dan in 2023 doorlopen we met de instellingen nu eerst een uitgebreid traject, waarmee we het laaghangend fruit weghalen voordat de red teaming oefeningen daadwerkelijk plaatsvinden. Dat geeft ons een nog beter beeld van de kwetsbaarheden en aanvalspaden die scholen voor de kiezen kunnen krijgen.  

Lessen trekken  

Waar mogelijk delen we de geleerde lessen met alle mbo-instellingen. Verder nemen we de bevindingen van de red teaming oefeningen mee als input voor activiteiten van het programma Cyberveiligheid mbo. Ook SURF is betrokken bij de organisatie en begeleiding van de oefeningenl; de vereniging neemt haar ervaringen met de oefeningen mee in een sectorbrede aanpak voor weerbaarheidstesten. 

Contactpersoon

Neem contact op met Mick Deben voor meer informatie.