‘Van statelijke actoren tot scriptkiddies: aanvallen kunnen van veel verschillende kanten komen,’ vertelt Mark de Groot, ethical hacker van het Red team. ‘Onze taak is het alle producten en diensten van KPN te testen en te onderzoeken, op kwetsbaarheden.’ Daarvoor trekt het team alles uit de kast. ‘Je hebt inzicht nodig in de nieuwste technologie. En zeker, soms is het of we James Bond zijn: we testen ook de fysieke beveiliging van onze datacenters.’
Het Red team is inmiddels met 16 ethical hackers, vertelt Mark. Handelend vanuit het risicoprofiel van KPN, zetten ze continu aanvallen in op onze core-systemen en op alle diensten en producten. Daarmee testen ze de hele securityketen: de detectie van dreigingen, het filteren, de maatregelen en de effectiviteit ervan. ‘Gaan de juiste triggers af, komen de goede meldingen binnen, hoe is de follow-up?’ Op basis van de uitkomsten ontwikkelen ze plannen voor verbetering. ‘Elk onderzoeksproject eindigt altijd met een adviesrapport,’ vertelt Mark.
Nieuwste aanvalstechnologie
Omdat de hoeveelheid diensten en producten van KPN omvangrijk is, voor heel veel verschillende type klanten is en wordt ontwikkeld met technologie die continu evolueert, is het werk nooit klaar. Mark: ‘Voor onze simulaties gebruiken we de nieuwste aanvalstechnologie. Soms bouwen we zelfs onze eigen malware, zodat we aanvallers steeds een stap voor kunnen blijven.’ Tijdens Purple teaming werken ze nauw samen met het Blue team (lees het interview met Coen van het Blue team). De termen Blue en Red team komen van het Amerikaanse leger, waar in simulaties Blue zorgt voor de verdediging en Red voor de aanvallen.
Onder de radar blijven
Het Red team heeft 2 disciplines, legt Mark uit. ‘Ten eerste het penetratietesten, waarmee we in alle openheid producten en diensten onderzoeken, en, ten tweede, het Red teaming, waarmee we onder de radar proberen te blijven. Zo onderzoeken we 3 verschillende aspecten: de menselijke kant, met social engineering. Reageert iemand op phishing? Het cybertechnische: staat er een poort open, bevat een applicatie fouten? En het fysieke: hoe zijn gebouwen beveiligd, kun je er makkelijk binnen komen?’ Daarnaast onderzoeken ze de verschillende routes die aanvallers kunnen nemen. Via supplychains bijvoorbeeld, of via insider threats. Zo kunnen criminelen zich voordoen als een sollicitant of medewerkers onder druk zetten om mee te werken.
‘Je moet aanvallers nooit onderschatten. Ze bereiden zich goed voor, onderzoeken zwakke plekken en weten: het moet in één keer raak zijn,’ waarschuwt Mark. ‘Wel is er nog altijd een groot verschil tussen statelijke actoren die aanvallen inzetten als een vorm van oorlogsvoering en scriptkiddies die uit zijn op snel geld of de kick.’ Zo maakt de ene gebruik van professionele cybercriminelen en profiteert de ander vooral van de snelle opmars van laagdrempelige aanvalssoftware. Maar van welke kant het gevaar ook komt, de aantallen aanvallen nemen sowieso snel toe. Vanwege de professionalisering van cybercriminaliteit is er namelijk steeds minder technische kennis nodig om aanvallen uit te voeren. Je kunt op het dark web Hacking-as-a-Service (HaaS) en Ransomware-as-a-Service (RaaS) afnemen, inclusief SLA-afspraken, DDos-aanvallen kopen voor enkele tientjes of een aanvalsabonnement afnemen tegen een vast maandelijks tarief. Het Red team doet dus belangrijk werk.
Meedoen aan wedstrijden
Ze investeren veel in training, in research en in threat intelligence, gaat Mark verder. Nationaal en internationaal werkt het Red team samen met andere ethical hackers, onder andere in de Circle of trust, een initiatief van 10 CISO’s van grote Nederlandse multinationals, waaronder ook KPN. Ook wordt meegedaan aan wedstrijden. ‘Deze wedstrijden houden ons scherp. Het vraagt van ons om op een andere manier naar aanvallen te kijken, het vergroot de creativiteit en versterkt de samenwerking. Allemaal skills die we in ons dagelijks werk goed kunnen gebruiken. Hacken is toch een soort puzzelen – het kan je eindeloos bezighouden. We appen geregeld ’s avonds laat nog over een tactiek of aanpak. Het is gewoon te leuk om los te laten,’ lacht Mark.
Geleerde les van Mark
‘Test en valideer altijd je incidentresponsplannen en je securitybeleid, steeds weer opnieuw. Zwemmen leer je ook niet uit een boek. Echt, de realiteit is vaak weerbarstiger dan je denkt.’
De 4 A’s van security en hoe dat jou kan helpen
Net als veel andere organisaties hebben wij te maken met grote securityuitdagingen, zoals een tekort aan securityspecialisten en een steeds grotere aanvalsoppervlakte door AI. Omdat wij zorgen voor het netwerk van Nederland is onze verantwoordelijkheid extra groot. Daarom delen we onze securityaanpak en -strategie met de 4 A’s: adaptive, automate, aware en assure. Benieuwd wat jij daaraan hebt? Neem contact op.
