Bereid je voor op een cyberaanval

Dit artikel beschrijft aan de hand van onderstaand DNB-model (Figuur 1) welke type securitytesten er zijn en hoe ze onderling samenhangen. Het model is op ervaring gebaseerd en kan door instellingen gebruikt worden om tot een securitytest-roadmap te komen. Hiermee kunnen zij zich stap voor stap steeds beter voorbereiden op een echte cyberaanval.

In de Good Practise Informatiebeveiliging van DNB komt het belang van securitytesten duidelijk aan de orde. Zo zijn er verschillende type securitytesten om fysieke locaties, informatiesystemen, medewerkers en (business)processen te onderzoeken op hun kwetsbaarheid.

Op de horizontale as van figuur 1 wordt de mate van volwassenheid van de security-organisatie weergegeven. De verticale as toont het “trappetje” van steeds realistischer wordende securitytesten (aanvalssimulaties).

De volgorde van stappen is niet in beton gegoten. Het kan goed zijn dat bepaalde testen regelmatig terugkomen, terwijl de meest geavanceerde testen niet jaarlijks worden uitgevoerd. Het gaat erom dat de organisatie optimaal leert van de testervaring en zich continu blijft verbeteren.

Eerst de security-organisatie op orde brengen

Een volwassen security-organisatie heeft vier basisvoorwaarden ingevuld (Figuur 1: blokje 1 t/m 4):

1. De security-functie, (meestal een CISO) krijgt de opdracht om een volwassen information security-organisatie te beschrijven. Om grip te houden op informatiebeveiliging komen de volgende aspecten aan bod: fysiek, techniek (ICT), processen en mensen. Het bestuur is eindverantwoordelijk voor een goede implementatie van het beleid. Het doel is beheerste bedrijfsvoering doordat de cyberweerbaarheid van de organisatie in lijn is met relevante cyberdreiging.
2. Een volwassen security-organisatie beschikt over de vereiste ISO27001 certificering, of een afgeleide daarvan zoals de NEN7510 voor de gezondheidszorg of de BIO voor de overheid. Daarmee is de basis-hygiëne op orde. Bij DNB zien we de cyberdreiging op de financiële sector verder toenemen terwijl de basismaatregelen bij verschillende financiële instellingen niet altijd op orde zijn of in lijn met bestaande cyberdreiging. Het is belangrijk voor organisaties om een goed beeld hebben van de kritieke business functies (kroonjuwelen) en onderliggende systemen en services. Deze vormen het doelwit voor verschillende internationale hackersgroepen.
3. Een Security Operating Center (SOC) of soortgelijk team doet aan logging en monitoring van events, en verzorgt de operationele incident response na detectie van een security incident. Een SOC kan intern aanwezig zijn of (deels) uitbesteed zijn bij een security provider.
4. Threat intelligence kan de organisatie van relevante dreigingsinformatie voorzien. Hiermee kan met passende maatregelen tijdig geanticipeerd worden op nieuwe of toenemende cyberdreiging. Er wordt onderscheid gemaakt tussen strategische, tactische en operationele dreigingsinformatie. Waar operationele dreigingsinformatie vaak directe voeding is voor het SOC, wordt tactische dreigingsinformatie gebruikt om te onderzoeken of de organisatie bestand is tegen relevante aanvalstechnieken van hackers.

Met security-testen verhoog je de cyberweerbaarheid

Als de vier basisvoorwaarden voor de security-organisatie worden ingevuld en de volwassenheid aantoonbaar toeneemt, kunnen technische security-testen overgaan in steeds realistischer wordende aanvalssimulaties (Figuur 1: blokje 5 t/m 11):

5. Met vulnerability scanning, een technische security-test, kunnen bekende kwetsbaarheden met scanning tools geautomatiseerd worden opgespoord in technische configuraties, de IT infrastructuur en applicaties van de organisatie.
6. Bij penetratietesten (pentesten) wordt niet alleen gezocht naar kwetsbaarheden, maar ook of deze gebruikt kunnen worden om in te breken. Vaak gebeurt dat met een beperkte scope van bijvoorbeeld een IT-systeem of applicatie.
7. In security awareness-testen zijn medewerkers en management in scope genomen. Deze testen worden gebruikt om het security-bewustzijn van de mensen in de organisatie te verhogen met als doel een gedragsverandering te realiseren. Dit kan bijvoorbeeld via trainingen tijdens onboarding, via online campagnes, of door middel van social engineering en (spear) phishing testen.
8. Tijdens tabletop exercises oefent het crisismanagementteam (CMT) met een scenario waarbij een security-incident een crisis heeft veroorzaakt. Een geactualiseerd CMT en bijbehorend crisismanagementplan zijn een vereiste voor elke organisatie. Regelmatig oefenen van verschillende scenario’s, waaronder cyberaanvallen waarbij bijvoorbeeld de betrouwbaarheid van informatie wordt aangetast, verhoogt de weerbaarheid van organisaties.
9. Voor purpleteam-testen huurt de organisatie ethical hackers in (een redteam) om met het SOC en de verdedigende organisatie (het blueteam) te testen of maatregelen in de praktijk ook echt effectief zijn (Red + Blue = Purple, vandaar deze naam). Denk aan detectiemaatregelen en of deze zijn afgestemd op de laatst bekende aanvalstechnieken die volgen uit tactische dreigingsinformatie.
10. Bij redteam-testen huurt de organisatie wederom ethical hackers in die minimaal één aanvalsscenario spelen, maar nu zonder het blueteam vooraf op de hoogte te stellen. Derhalve nog realistischer. Redteam-testen worden bijna altijd afgesloten met purpleteaming om het blueteam inzicht te geven in wat er is gedaan en ze de kans te geven om met terugwerkende kracht van de test te leren.
11. TIBER-testen zijn van toepassing op bedrijven die van vitaal belang zijn voor een stabiele samenleving. Hierbij worden een aantal elementen toegevoegd aan het reguliere redteamen. Er wordt getest op de live productie systemen, er is begeleiding vanuit de competente autoriteit (zoals DNB). Minimaal één boardmember is op de hoogte van de test, waardoor na de test het verbeterplan automatisch aandacht krijgt op bestuursniveau. De test is gebaseerd op threat intelligence zodat alleen realistische aanvallen worden nagespeeld. De uitkomsten van de test worden na afloop gedeeld met de toezichthouder.

Een securitytest-roadmap om de organisatie voor te bereiden

Onder aansturing van de CISO kan een securitytest-roadmap gemaakt worden. Deze roadmap geeft een meerjarig inzicht in welke security-testen uitgevoerd moeten worden om de weerbaarheid te verhogen.  Door het volgen van de roadmap, zal de organisatie stap voor stap volwassener worden en steeds beter voorbereid zijn op een echte cyberaanval.

Lees meer

• DNB ziet cyberdreiging toenemen terwijl basismaatregelen niet altijd op orde zijn
• TIBER: samen tegen cybercrime