Conferentie Samenwerken aan Cyberveiligheid

Red Teaming in mbo’s

Red Teaming is de kers op de taart van de weerbaarheidstesten. Ethische hackers testen niet alleen de technische weerbaarheid, maar ook de fysieke beveiliging van een school. Ze stellen medewerkers via phishing mails en mystery guests op de proef. Het doel: controleren of de combinatie van alle getroffen maatregelen in de praktijk effectief is. Deze oefening is in oktober uitgevoerd bij drie mbo-instellingen, met als doel om er sectorbreed van te leren. Tijdens deze presentatie vertellen Aladin Mhamdi (MBO Digitaal), Ben Brücker (Secura) en Joost Gadellaa (SURF) welke lessen ze uit deze oefening hebben getrokken.

Red Teaming is een realistische simulatie van een cyberaanval om de detectie-, respons- en mitigatiecapaciteiten van de verdedigers te testen. Drie mbo-scholen – Zadkine, ROC van Twente en Graafschap College – deden in september en oktober mee aan deze door MBO Digitaal georganiseerde weerbaarheidstest. De gesimuleerde aanval levert veel inzicht én aanbevelingen op hoe de scholen (en daarmee ook de mbo-sector) de cyberweerbaarheid kunnen verbeteren. De test op de drie scholen geeft ook veel input voor een modelaanpak voor Red Teaming in het mbo.

Phishingoogst

Het eerste opvallende resultaat van de drie aanvallen is de mate van ‘security maturity’ van de drie scholen. De waargenomen volwassenheid bleek hoger dan verwacht, vergeleken met vergelijkbare organisaties. Vooral op het gebied van detectie en mitigatie scoren de drie scholen hoog. Op individueel niveau is er nog wel wat te verbeteren: bij de aanval werden 11.680 zwakke wachtwoorden gekraakt. Verdeeld over de organisaties hebben in totaal 48 van 145 doelen (33%) op phishing-links geklikt. En van deze 48 stonden 28 hun inloggegevens af.

Aanbevelingen

Niet vreemd dus dat Aladin, Ben en Joost, gevraagd naar aanbevelingen, als eerste ‘Sta geen zwakke wachtwoorden toe’ vermelden. Je kunt in je organisatie voor sterke wachtwoorden zorgen door bijvoorbeeld het gebruik van sterke wachtwoordloze authenticatie te verplichten, zoals Windows Hello for Business. Toch een wachtwoord? Beperk dan het aantal ‘foute inlogpogingen’. Het drietal heeft nog meer aanbevelingen [bekijk hiervoor de presentatie]. Zo is het aan te raden je medewerkers regelmatig te trainen in het herkennen van social engineering-aanvallen. Dan groeit hun bewustzijn op het gebied van IT-beveiliging.

Joost (Technisch Productmanager Security & Privacy bij SURF) sluit deze presentatie af met een reikende hand. SURF kan je helpen meer waarde uit je weerbaarheidstest te halen. Of het nu om de voorbereiding gaat (zoeken naar de meest geschikte test voor jouw organisatie, scoping, opdrachtbepaling, assessment, allerhanden praktische hulp), om de test zelf (meekijken, sparren) of de periode na de test (lessons learned abstraheren en delen). SURF heeft meegedaan in de oefening door zitting te nemen in het white team. Op die manier heeft SURF achtergrondinformatie gekregen om de bevindingen te duiden en te vertalen naar adviezen voor de onderwijssector. De andere rol van SURF is dus het onderzoeken op welke manier we dergelijke oefeningen meer structureel kunnen inzetten binnen de sector.

Contactpersoon

Neem contact op met Martijn Bijleveld voor meer informatie.