Bedrijven aanvallen met Red Teaming

Bas de Heer

Het ongeautoriseerd downloaden van databases, een Twitter-account overnemen of letterlijk binnendringen in het kantoor van de hoogste baas, het hoort allemaal bij het werk van Bas de Heer, Senior Information Security Specialist en lid van het Red Team. 

Zwakheden aantonen

Naast zijn cola op het tafeltje in het Amsterdamse café ligt een setje lock picks en drie hangsloten van wisselende kwaliteit. Zelfs het ABUS-slot klikt hij na nog geen vijftien seconden open. “Ergens binnenkomen waar je niet binnen mag komen, iets openmaken wat dicht zit, dat is de kick van mijn werk”, aldus Bas. Zijn verhalen klinken als scènes uit een tv-serie, maar het doel van zijn acties is eenduidig: het aantonen van zwakheden in de security, zowel online als offline. Dat doet Sogeti steeds vaker volgens Red Teaming, een methode waarmee je op drie niveaus de security test: applicatieniveau, systeemniveau en mens- en procesniveau. “Onder dat laatste valt fysieke beveiliging, waarbij we proberen een bedrijf binnen te gaan. Het Red Team is het aanvallende team”, zegt hij. “De naam komt van het spel ‘Capture the flag’. In opdracht van bedrijven vallen wij een systeem in de breedte en de diepte aan. Volgens een uitgekiend aanvalsplan, waar soms weken van voorbereiding aan voorafgaan.”

“Ergens binnenkomen waar je niet binnen mag komen, iets openmaken wat dicht zit, dat is de kick van mijn werk”

De kracht van Red Teaming

Red Teaming ontwikkelt zich razendsnel omdat bedrijven zich steeds beter moeten wapenen tegen de groeiende digitale criminaliteit. Geen bedrijf wil dat hun systeem wordt gehackt en informatie op straat komt te liggen. Dat betekent immers enorme reputatieschade. “Bij normale testprocedures weet je dat een applicatie getest gaat worden. De kracht van Red Teaming is dat de doelwitten niet weten dat ze aangevallen worden.” Een aanval wordt in het diepste geheim voorbereid. Een bedrijf beschrijft bijvoorbeeld wat zij hun ‘kroonjuwelen’ vinden. De specifieke onderdelen die zij willen beschermen zijn bijvoorbeeld persoonsgegevens, bedrijfsgeheimen en testresultaten. Vervolgens trekt het team ten strijde. 

Bedrijf binnendringen

“Het spannendste van Red Teaming is social engineering, het fysieke onderdeel”, zegt Bas. “Daar dringen we letterlijk bij een bedrijf naar binnen. De beveiliging omzeilen, de camera’s. Het is soms heel eenvoudig: je doet je bijvoorbeeld voor als liftmonteur. We hebben van tevoren gecheckt welk bedrijf het liftonderhoud doet en met welk planningsprogramma zij werken. Dan kun je een beveiliger vrij makkelijk overtuigen: ‘Oh, staat het weer niet in het systeem. Het is ook altijd hetzelfde.’ Ja, je moet soms recht in iemand zijn gezicht staan liegen.” Zijn Amsterdamse bluf – hij groeide op in hartje centrum – komt hem daarbij goed van pas. 

Heterdaadje?

“Wij zijn in kantoorruimtes gekomen van vooraanstaande personen. Dan giert de adrenaline wel door je lijf. Het allerleukste is gepakt worden. Uiteindelijk doen we het daarvoor.” Maar zelfs een beveiliger die denkt een heterdaadje te scoren, moet op zijn hoede zijn. Het Red Team laat een brief zien met toestemming en een telefoonnummer. “Als de beveiliger dat belt om te verifiëren, krijg hij een collega van ons aan de telefoon. Ja, we gaan tot het uiterste.”

Meer informatie over Red Teaming?

Wil je weten hoe Red Teaming jouw organisatie kan helpen social engineers buiten te houden?