Door op ‘Alle cookies accepteren’ te klikken, gaat u akkoord met het opslaan van cookies op uw apparaat om de sitenavigatie te verbeteren, het sitegebruik te analyseren en te helpen bij onze marketinginspanningen. Bekijk ons privacyverklaring voor meer informatie.
VoorkeurenNeeAccepteer

Achter de linies: Een duik in de wereld van Red Teaming

February 5, 2025
10 minuten lees tijd

Cas van cooten

Je inleven in een cybercrimineel om bedrijven te beschermen, het klinkt paradoxaal, maar het is precies waar Cas van Cooten zich al een paar jaar dagelijks mee bezighoudt. Als Red Teamer duikt hij in de psyche van de aanvaller, niet om schade aan te richten, maar juist om de digitale veiligheid van organisaties te versterken. Met de blik van een potentiële indringer legt Cas verborgen kwetsbaarheden bloot. Zijn niet-technische studie was aanvankelijk geen voor de hand liggende springplank naar cybersecurity. Als student business informatics kwam hij per toeval bij een vacature terecht in Cyber Strategy team van Deloitte. Zijn rol daar was voornamelijk gericht op het beleid en de strategie achter cybersecurity. Door collega's uitgenodigd voor een CTF (Capture The Flag), ontdekte hij spelenderwijs zijn aanleg en enthousiasme voor de technische aspecten van het vak. Zijn technische ontwikkeling ging verder met Hack The Box in zijn vrije tijd. Na het behalen van zijn OSCP-certificering versnelde zijn carrière; hij maakte de overstap naar een technisch team en begon zijn pad als Red Teamer, waarbij hij zijn analytische vaardigheden en creatief denken inzet voor het versterken van cybersecurity.‍

Red Teaming binnen de context van cybersecurity

De term 'Red Teaming' vindt zijn oorsprong in het militaire jargon, waar het verwijst naar een groep die de rol van een vijand aanneemt om de strategieën en verdediging van een organisatie te testen. In de context van cybersecurity wordt Red Teaming gebruikt om op een soortgelijke wijze de veiligheid van informatiesystemen te beoordelen. Het team dat deze taak op zich neemt, het 'Red Team', simuleert cyberaanvallen om zwakheden in de cyberverdediging (Blue Team) van een organisatie te vinden en aan te tonen. Deze benadering helpt bedrijven om hun beveiligingsmaatregelen te versterken door realistische aanvalsscenario's na te bootsen, waardoor ze een beter inzicht krijgen in hoe ze zich tegen daadwerkelijke bedreigingen kunnen wapenen.

In tegenstelling tot een penetratietest, die zich beperkt tot een vooraf bepaalde scope, bestrijkt Red Teaming het gehele organisatorische spectrum. Het is een intensievere en meer realistische benadering waar elke mogelijke zwakheid geëxploiteerd kan worden. Cas ziet Red Teaming als een creatieve uitlaatklep binnen de vaak rigide wereld van cybersecurity, waarbij het naspelen van 'de slechteriken' een essentiële rol speelt in het verdedigen van het 'goede'.

Methodologieën en Technieken in de Praktijk

Een Red Team-operatie begint met een uitgebreide verkenning van de doelorganisatie. Dit omvat het identificeren van de 'crown jewels' – de meest kritieke assets. Cas benadrukt het belang van een grondige voorbereiding en verkenning, gebruikmakend van OSINT (Open Source Intelligence) technieken om de digitale voetafdruk van een organisatie in kaart te brengen. Dit legt niet alleen de digitale infrastructuur bloot, maar biedt ook inzicht in de organisatiecultuur en werknemergedrag dat kan worden geëxploiteerd.

Cas beschrijft de eerste stap van het Red Teaming-proces als een delicate dans. Er zijn verschillende manieren om binnen te dringen, denk aan hacken, phishing, fysiek inbreken of social engineering of een combinatie. Met de verbetering van beveiligingsprotocollen en de verhoogde bewustwording binnen bedrijven, zijn traditionele aanvalsmethoden zoals phishing voortdurend in ontwikkeling. Cas legt uit hoe phishing-campagnes tegenwoordig steeds vaker sociale media platforms zoals LinkedIn gebruiken om de securitymaatregelen zoals spamfilters te omzeilen, gebruikmakend van social engineering tactieken.

Na de initiële penetratie komt de fase van consolidatie en uitbreiding binnen het netwerk. Cas legt uit hoe command & control malware wordt ingezet om een persistente en onopvallende aanwezigheid binnen het systeem te handhaven. Deze malware stelt het Red Team in staat om op afstand te handelen en is ontworpen om onder de radar van conventionele detectiesystemen te blijven.

Als een Red Teamer eenmaal binnen is, is hun beweging door het netwerk vergelijkbaar met het navigeren door een mijnenveld. Elke stap moet zorgvuldig worden afgewogen om detectie te vermijden. Cas benadrukt hoe de 'defence in depth'-strategie van organisaties meerdere lagen van beveiliging introduceert, wat betekent dat Red Teamers creatief moeten zijn in hun benadering om deze te omzeilen.

Cas deelt inzichten over de meest voorkomende zwakheden die hij tegenkomt, zoals accounts met hoge rechten met veel te zwakke wachtwoorden, en systemen die niet regelmatig worden geüpdatet. Deze vormen de Achilleshiel die Red Teamers kunnen uitbuiten, vaak met niets meer dan een goed getimed script.

Het werk van een Red Teamer wordt gekenmerkt door de constante spanning van de mogelijkheid om ontdekt te worden. De spanning die Cas en zijn team ervaren tijdens een Red Team-operatie is te vergelijken met een kat-en-muisspel. Ze moeten voortdurend alert zijn op signalen van het Blue Team en klaar staan om hun tactieken aan te passen om detectie te vermijden. Het is een dynamische uitdaging die vereist dat ze voortdurend hun aanvalsstrategieën herzien en de reacties van het verdedigingsteam nauwlettend in de gaten houden.

Wanneer een Red Team zijn bevindingen aan de organisatie presenteert, begint het echte werk. Afhankelijk van of het team intern of extern is, kan de betrokkenheid bij de implementatie van verbeteringen variëren. Als Red Team is het belangrijk om een goede kennispartner te zijn voor de organisatie.

Verhalen uit het veld

Cas illustreert zijn uitleg met levendige voorbeelden, waaronder het overnemen van de controle over fabrieksprocessen en het plaatsen van nep orders in grote industriële systemen. Deze praktijkvoorbeelden tonen de directe impact van Red Teaming-activiteiten en benadrukken het belang van deze rol binnen cybersecurity.

In sommige gevallen gaat Red Teaming verder dan alleen digitale bedreigingen; Cas deelt zijn ervaringen met fysieke beveiligingstests. Zo heeft hij zich bij bedrijven binnen weten te praten en zo eens twee uur lang onopgemerkt toegang gehad tot een vergaderruimte met een internetpoort.

In een andere situatie was de fysieke toegangscontrole juist weer erg goed geregeld, met toegangspoortjes en pasjes en een strenge receptie. Maar er was ook parkeergarage voor fietsers, waarbij na het scannen van de badge genoeg tijd was voor de Red Teamers om achter de medewerker aan naar binnen te fietsen.

De voordeur kan dus heel goed beveiligd zijn, maar als er ergens een achterdeurtje open staat dan zullen aanvallers daar altijd gebruik van maken.

Defence in Depth verdedigingsstrategie

Cas benadrukt de noodzaak van 'defence in depth' – het opzetten van meerdere verdedigingslagen om indringers te vertragen en te ontmoedigen. Deze lagen zijn niet alleen technisch van aard; ze omvatten ook fysieke, administratieve en menselijke barrières.

  1. Continue monitoring vormt de ruggengraat van een sterke verdediging. Het hebben van een monitoring tool is één ding, maar de data interpreteren en op potentiële dreigingen reageren is het belangrijkste. Grotere bedrijven kunnen kiezen om een gespecialiseerd team in huis te halen die dit doet, maar kleinere bedrijven kunnen dit ook doen door bijvoorbeeld gebruik te maken van managed services.
  2. Het regelmatig updaten van systemen kan zomaar nét die ene deur sluiten die anders open had gestaan voor een aanvaller. Het lijkt wellicht een basale handeling, maar het is vaak de meest voor de hand liggende zwakheden die cybercriminelen uitbuiten. Deze aanvallers zijn opportunistisch en richten zich op de paden van de minste weerstand, waarbij achterstallige updates een uitnodiging vormen om toe te slaan. Niet bijgewerkte systemen vormen niet alleen een risico voor al bekende dreigingen, maar zetten de organisatie ook op de radar voor nieuwe aanvallers die actief op zoek zijn naar kwetsbare doelwitten. Verouderde systemen die aan het internet hangen worden een magneet voor problemen zodra een nieuwe kwetsbaarheid aan het licht komt. Aanvallers kunnen het internet afspeuren naar systemen die de laatste patches nog niet hebben geïmplementeerd, waarmee ze een makkelijk doelwit worden voor een aanval.
  3. Het vergroten van bewustzijn rondom sterke wachtwoorden is essentieel. Cas benadrukt hoe vaak hij eenvoudige wachtwoorden tegenkomt bij accounts met hoge rechten, wat een gemakkelijke toegangspunt voor aanvallers biedt.
  4. Het opsplitsen van netwerken in kleinere segmenten beperkt de bewegingsvrijheid van een aanvaller aanzienlijk. Cas onderstreept het belang van netwerksegmentatie, zeker voor grotere bedrijven, waardoor de impact van een potentiële aanval wordt geminimaliseerd.
  5. Een tactiek die vaak over het hoofd wordt gezien, maar wel erg effectief is, is de toepassing van deceptie. Het opzetten in de eigen omgeving van nepaccounts met hoge rechten, die als een honeypot dienen voor aanvallers. Wanneer deze accounts worden gebruikt en er een alert af gaat, weet je als organisatie meteen dat er iets mis is.

De weg naar red teaming

Als Red Teamer ben je constant bezig om de grenzen van digitale verdediging te verkennen en uit te dagen. Cas zijn ontwikkelpad van bedrijfskundige student naar cybersecurity-expert toont aan dat een onconventioneel pad kan leiden tot een interessante en technische carrière in cybersecurity.

Door de ogen van een Red Teamer zoals Cas krijgen we een zeldzaam inkijkje in de geavanceerde tactieken die nodig zijn om de verdediging van een organisatie te testen en te verbeteren. Zijn verhaal benadrukt het belang van een voortdurende evolutie in cybersecurity en de noodzaak voor organisaties om te investeren in zowel hun mensen als hun technologieën.

Voor diegenen die de ambitie hebben om ooit als Red Teamer aan de slag te gaan, biedt Cas een roadmap: start met het opbouwen van vaardigheden op platforms zoals Hack The Box, en evolueer naar geavanceerde penetratietests. De kernkwaliteiten die hij benadrukt zijn nieuwsgierigheid, een voortdurende leergierigheid en sterke communicatieve vaardigheden.

Article by
Linked in
via email
via X
via LinkedIn
via Facebook
Terug naar artikelen

Samen bouwen aan
een veiligere digitale toekomst

Vind talentVacatures

ADRES

Nova Select B.V.
IJsbaanpad 2, 1076 CV Amsterdam
KVK:  90501837

SNELLE LINKS

HomeWerkgeversProfessionalsVacaturesExpertiseOver onsArtikelenContact

CONNECT

Via LinkedInVia Email020 261 44 18
©2024 Novaselect
Gebruiksvoorwaarden
Cookies & Privacy
Site by Highlite Studio