Programma Cyberveiligheid mbo

Red teaming

Red teaming is de kers op de taart van de nulmetingen die we bij de start van ons programma uitvoeren. Ethische hackers testen niet alleen de technische weerbaarheid, maar ook de fysieke beveiliging van een school. En ze stellen medewerkers via phishing mails en mystery guests op de proef. Het doel: controleren of getroffen maatregelen in de praktijk werken.

Bij red teaming speelt een organisatie aanvallen na om te ontdekken hoe goed ze is beschermd tegen aanvallen. Het red team speelt in deze oefening de aanvallende partij en bestaat uit externe securityspecialisten. Het blue team, met IT’ers van de eigen organisatie, probeert de aanvallen van het red team op te sporen en tegen te gaan.

Meestal is er ook een white team. Dit team bewaakt de voortgang van de oefening en grijpt in als dat nodig is. Bijvoorbeeld als de oefening uit de hand loopt of om haar juist op gang te helpen of houden. Ook kunnen (leden van) red teams en blue teams samenwerken, bijvoorbeeld om vorderingen te bespreken of best practices uit te wisselen. Dit noemen we purple teaming.

Controleren of maatregelen werken

Het doel van een red teaming oefening is controleren of de maatregelen die je hebt getroffen ook in praktijksituaties effectief zijn. Het red team handelt namelijk precies zoals echte hackers in de praktijk. Het probeert met een combinatie van technische aanvallen, social engineering en zwakheden in bedrijfsprocessen de getroffen maatregelen te omzeilen. Red teaming geeft zo een goed beeld van de weerbaarheid van de organisatie tegen realistische aanvallen én hoe de organisatie hierop reageert. Met name dit laatste is een belangrijk onderdeel van een redteamtest. Een organisatie wil vooral weten hoe snel en adequaat het eigen verdedigende blue team reageert op aanvallende acties.

Red teaming door Secura

Vanuit het programma hebben we red teaming oefeningen voor 3 scholen gefaciliteerd. Van augustus tot en met oktober 2023 heeft Secura deze uitgevoerd bij ROC van Twente, het Graafschap College en Zadkine. Op deze manier hebben we een beeld gekregen van de kwetsbaarheden en mogelijke aanvalspaden waar scholen mee te maken kunnen krijgen.

In het rapport over de oefeningen (zie bijlage onderaan deze pagina) schrijft Secura dat het positief verrast is over het niveau van volwassenheid van de mbo-instellingen op het gebied van beveiliging en detectie. Maar dat het ook heeft belangrijke kwetsbaarheden ontdekt. Zo blijken scholen beperkt hun netwerken te hebben gesegmenteerd, is het raden van wachtwoorden (bruteforcing/password spraying) niet altijd gelimiteerd en lukte het de onderzoekers om scholen binnen te dringen en apparatuur te plaatsen.

Ook SURF is nauw betrokken bij de organisatie en begeleiding van de oefeningen. De coöperatie neemt de ervaringen met de oefeningen mee in een sectorbrede aanpak voor weerbaarheidstesten.

Contactpersoon

Neem contact op met Mick Deben voor meer informatie.


Bijlagen