6min Security

Red teams dagen je uit tot omdenken

Een man in een zwart shirt.
Red teams dagen je uit tot omdenken

Je kan uren naar een ‘Where’s Waldo’ afbeelding kijken zonder hem te vinden of bij een schilderij van MC Escher je blijven verbazen over het perspectief zonder het werkelijk te doorgronden. Dan kijkt er iemand over je schouder en wijst waldo aan en legt dat ongrijpbare magische beeld in het beeld uit. Dat is wat een Red Team ook doet: het zet aan tot omdenken, om dingen te zien die eerder niet zien waren.

We verwerken informatie en vinden oplossingen voor problemen op verschillende manieren. Onze kennis en persoonlijke ervaringen beïnvloeden de manier waarop we de wereld zien en hebben een grote invloed op de beslissingen die we nemen. Als gevolg daarvan vormen we ‘cognitieve vooroordelen’, of onbewuste denkfouten, omdat onze hersenen complexe ideeën en situaties proberen te vereenvoudigen. Het concept van deze cognitieve vooringenomenheid, geïntroduceerd door psychologen Amos Tversky en Daniel Kahneman, kan vele vormen aannemen. Bijvoorbeeld ‘aandachtsvooringenomenheid’ wanneer we aan bepaalde dingen prioriteit geven terwijl we andere dingen negeren, zoals verliefd worden op een jaren ‘30 huis met authentieke elementen en in een fijne wijk, waarbij de verouderde elektra en de doorgezakte fundering over het hoofd zien.

Een ander vooroordeel, functionele fixatie, belemmert ons vermogen om buiten de gebaande paden te denken en nieuwe manieren te vinden om problemen op te lossen. Het is het idee dat je altijd een paperclip hebt gebruikt om pagina’s bij elkaar te houden en dat je geen andere toepassingen voor een paperclip kunt bedenken, zoals een rits repareren of het openen van een slot. En dan is er nog het optimisme-vooroordeel – ook wel de illusie van onkwetsbaarheid genoemd. Het laat ons geloven dat negatieve ervaringen ons niet zullen overkomen.

Deze cognitieve vooroordelen zijn de reden waarom we anderen nodig hebben om een tweede paar ogen te bieden of advocaat van de duivel te spelen om ons te helpen kritisch na te denken over de keerzijde van een kwestie, onze kijk op de wereld te verruimen en, hopelijk, schadelijke misstappen te voorkomen. Red Teams zijn hiervoor in het leven geroepen: om aannames en plannen door de mangel te halen en teams veerkrachtiger te maken.

Red Teaming biedt een alternatieve analyse

Red Teaming is een concept dat voor het eerst door het leger werd geïntroduceerd om cognitieve vooroordelen te doorbreken en strategieën vanuit een extern gezichtspunt te testen. In een gesimuleerde strijd fungeert het Red Team als de tegenstander en gebruikt het verschillende technieken en hulpmiddelen om te proberen door de verdediging heen te dringen.

De Amerikaanse University of Foreign Military and Cultural Studies (UFMCS) definieert Red Teaming als ‘een functie die wordt uitgevoerd door getrainde, opgeleide en geoefende teamleden die commandanten een onafhankelijke mogelijkheid bieden om alternatieven in plannen, operaties, concepten, organisaties en capaciteiten volledig te onderzoeken in de context van de operationele omgeving en vanuit het perspectief van onze partners, tegenstanders en anderen’. Red Teaming is gebaseerd op vier principes: zelfbewustzijn en reflectie; het bevorderen van culturele empathie; het beperken van groepsdenken en het ondersteunen van beslissingen; en toegepast kritisch denken.

Omdat we allemaal te maken hebben met cognitieve vooroordelen, kunnen teams in de publieke en private sector baat hebben bij een blik van buitenaf op hun processen. Fans van Aaron Sorkin’s The Newsroom zullen zich herinneren dat een extern Red Team werd samengesteld om gaten te prikken in een belangrijk onderzoeksverhaal en de geloofwaardigheid van de bron te testen, zonder dat de journalisten die aan het project waren toegewezen hiervan op de hoogte waren. Op dezelfde manier gebruiken juridische teams Red Team-technieken om zwakke punten in zaken aan het licht te brengen en pleidooien te verbeteren. En aangezien organisaties worden geconfronteerd met een eindeloze stroom cyberdreigingen voeren veel organisaties onafhankelijke Red Team-oefeningen uit om in het hoofd van een aanvaller te kruipen en hun cyber-verdediging op de proef te stellen.

Fouten vinden voordat cyber-aanvallers dat doen

Red Team-simulaties van tegenstanders bieden security operations-teams een veilige, gecontroleerde manier om kwetsbaarheden aan het licht te brengen, reactievermogen te testen en verbeterpunten te identificeren. Red Teamers gebruiken alle middelen die nodig zijn om een echte aanval na te bootsen zonder risico’s te introduceren voor het bedrijf. Organisaties schakelen vaak onafhankelijke Red Teams in die geavanceerde vaardigheden, frisse perspectieven en objectiviteit inbrengen – samen met het verrassingselement – wat moeilijk te bereiken is met een interne groep.

Het Red Team werkt nauw samen met de organisatie om de doelstellingen van het programma te bepalen op basis van haar unieke zorgen en vereisten. De organisatie kan ervoor kiezen om tegen bekende bedreigingen te testen door het MITRE ATT&CK-framework te volgen om indicators of compromise (IoC’s) te simuleren die horen bij een specifieke bedreiger, of onbekende bedreigingen door aangepaste tools te ontwikkelen die zijn ontworpen om de omgeving binnen te dringen, binnen het netwerk te draaien en gegevens te achterhalen.

Aangezien de wereldwijde ransomware-epidemie blijft groeien en verwoesting blijft aanrichten, schakelen veel bedrijven Red Teams in om hiaten in technologie en processen te identificeren en zich zo beter te wapenen tegen cyber-risico’s. Voor deze oefeningen worden door Red Teams gespecialiseerde verdedigingsanalyseprogramma’s ontworpen en uitgevoerd met als doel lokale systeembestanden te versleutelen en verschillende beveiligingstechnologieën van de organisatie te omzeilen, zoals antivirus, oplossingen voor endpoint-detectie en -respons en speciale tools voor ransomware-preventie. Als reactie voert het beveiligingsteam van de organisatie – het Blue Team – zijn incident response proces uit om de geïnfecteerde host in te dammen, verdere uitvoering te voorkomen en de getroffen bestanden te herstellen.

Aan het einde van de oefening ontvangen organisaties vaak een tweeledig rapport. Het eerste rapport is een overzicht van de beveiliging van de organisatie op grote schaal, met de belangrijkste bevindingen en aanbevelingen met risicoprioriteiten voor het leidinggevende team. Het tweede rapport is een technische analyse met gedetailleerde informatie over de ontdekte kwetsbaarheden en aanbevolen verbeteringsstappen om de blootstelling van beveiligingsteams te verminderen. Met diepere inzichten in hun sterke en zwakke punten op beveiligingsgebied kunnen organisaties hun verdediging versterken en standaardwaardes creëren waaraan toekomstige verbeteringen van de beveiliging kunnen worden afgemeten.

Winston Churchill zei ooit: “Kritiek is misschien niet prettig, maar wel noodzakelijk. Het vervult dezelfde functie als pijn in het menselijk lichaam. Het vestigt de aandacht op een ongezonde stand van zaken.” Veel cyberaanvallen beginnen als een los draadje – zo klein dat ze vaak onopgemerkt blijven totdat de zaken schadelijk worden. Door zwakke plekken in systemen en processen, en in de menselijke natuur zelf, uit te buiten, moedigen Red Teamers cyber security teams aan om anders te denken en dingen eerder te zien, hoe ongemakkelijk het proces ook is. Deze teams hebben het vermogen om te anticiperen op toekomstige mislukkingen – en ze te stoppen voordat ze ooit gebeuren.

Dit is een ingezonden bijdrage van CyberArk. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.