Pentesten en red-teaming

*muziek speelt*

Beeldtekst: microlearnings Beveiliging

Een man en een vrouw praten aan een statafel

BART PIETER - ADVISEUR INFORMATIEBEVEILIGING EN PRIVACY, MINISTERIE VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES: 
Ik ben Bart Pieters van CIO Rijk en ik hou me bezig met informatiebeveiliging en privacy. En vandaag heb ik een gesprek met Vera.

VERA VOOGD - ADVISEUR INFORMATIEBEVEILIGING, MINISTERIE VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES:
Ja, goeiedag. 
Ik ben Vera Voogd en ik werk ook voor CIO Rijk en ook adviseur informatiebeveiliging en privacy.

BART PIETERS: 
Waar gaan we het vandaag over hebben?

VERA VOOGD:
Zeker. We gaan het over pentesten en red-teaming hebben. Dus de eerste vraag meteen maar: Wat is het eigenlijk?

BART PIETERS: 
Pentesten of penetratietesten is eigenlijk een technische test die je uitvoert…

Beeldtekst:Pentest: is je voorziening echt zo veilig als je had bedacht

…op je netwerk en systemen om zeker te zijn dat de beveiliging goed op orde is.

VERA VOOGD:
Ja, en red-teaming lijkt daar een beetje op, hè? Dat is een stuk breder.

Beeldtekst: Red-teaming: naast techniek wordt ook gekeken naar mensen en processen

VERA VOOGD:
Dan hou je je bezig met mensen, processen en de techniek om te kijken waar je kwetsbaar bent in je organisatie.

BART PIETERS: 
Dan natuurlijk de volgende vraag: Waarom doen we dat eigenlijk? Dat is eigenlijk heel simpel, want meten is weten. Je wil echt zeker weten
dat die veiligheid goed op orde is en daarom voer je een pentest uit.

VERA VOOGD:
Ja, en ondanks het feit dat je zo je best kan doen om het systeem veilig te maken, kan er altijd wat gebeuren, dus daarom is het goed om het toch altijd te testen.

BART PIETERS: 
Want de praktijk is weerbarstig, je zet zomaar een verkeerd vinkje of je voert een patch uit en dat wat eerst op slot stond, staat dan open. Dus het kan gemakkelijk misgaan.

VERA VOOGD:
Ja, het is eigenlijk een voorbeeld van het kopen van een huis. Bij een huis kopen, wil je eigenlijk ook weten of er toch nog niet een verborgen gebrek is. Dus daarom doe je ook een technische keuring. Wanneer laat je een pentest eigenlijk uitvoeren?

BART PIETERS: 
Nou, dat doe je in ieder geval voordat je een nieuw systeem in productie laat gaan. Voordat je het nieuwe systeem in gebruik neemt, wil je echt zeker weten dat het veilig is. Voordat je in een huis gaat wonen, test je ook even of alle deuren goed op slot zitten. En vervolgens ga je dat ook periodiek herhalen, want in de loop van de tijd gaan er dingen veranderen.
Je voert patches uit, je gaat nieuwe releases uitbrengen. Dus dat herhaal je ook periodiek.

VERA VOOGD:
En je kan ook zien dat het resultaat op het ene systeem misschien ook wel bruikbaar is voor het resultaat op een ander systeem. Dus in de breedte van je systemen zou je eigenlijk kunnen kijken wat de inzichten zijn die het je biedt.

BART PIETERS: 
Jazeker, zeker. En hoe werkt dat dan met red-teaming? Want wanneer ga je beginnen met red-teaming?

VERA VOOGD:
Nou, red-teaming gaat echt de diepte in. Dus red-teaming doe je wel meestal als je als organisatie al wat volwassener bent. Bijvoorbeeld als je al je SOC-dienst hebt ingericht, dus je monitoring en detectie hebt ingericht. En als je bijvoorbeeld wat minder volwassen bent als organisatie, kun je altijd kijken naar andere mogelijkheden voor het testen.

BART PIETERS: 
En daar geldt natuurlijk hetzelfde. Ook de resultaten uit de red-teaming
kan je over de volle breedte gebruiken, want als het bij één systeem misgaat, kan je er niet van uitgaan dat het bij andere systemen vast wel goed gaat.

VERA VOOGD:
Ja.

BART PIETERS: 
En wat zijn zoal de resultaten die uit red-teaming komen?

VERA VOOGD:
Nou, ga er sowieso van uit dat je resultaten hebt, want er komt vaak heel veel uit. Soms blijkt dat je dat ene vinkje niet hebt aanstaan en dat het voor aanvallers vrij makkelijk is om in je systemen te komen. En je komt er soms achter dat je je monitoring niet voldoende hebt ingericht. Dus ga er in ieder geval van uit dat je wat vindt.

BART PIETERS: 
Echt een wake-upcall voor de organisatie, die eerste red-teamingoefening.
Vera Voogd:
Ja, zeker. Het is echt een wake-upcall…

Beeldtekst: Red-teaming is een goede ‘wake-up’ call voor organisaties

VERA VOOGD:
…en ook, vaak ben je er misschien van overtuigd dat je alles op orde hebt, maar dan vind je toch dingen. Je moet ook altijd oppassen dat juist als je denkt dat je het goed hebt ingericht en het toch een soort routine wordt, dan moet je oppassen. Dus ja, zeker.

BART PIETERS: 
Ja, want routine is de vijand van alert blijven. Zeker de experts moeten af en toe even wakker geschud worden, dat ze scherp moeten blijven.

VERA VOOGD:
Ja, zeker. Dus het creëert echt bewustzijn op dat vlak. Ja, waarbij een aanvaller vaak maar één deurtje hoeft te gebruiken om binnen te komen. En het biedt een leuke manier, red-teaming,om te achterhalen wat er aan de hand is zonder dat een aanvaller dat voor je doet.

BART PIETERS: 
Ja, dat klopt. Red-teaming is gewoon een hele leuke manier om zulke  dingen te vinden en om scherp te blijven. Maar is het voldoende of moet je nog meer doen?

VERA VOOGD:
Je kan altijd meer doen, zeker. En er zijn ook verschillende mogelijkheden om meer te doen. Dus kijk wat past voor jouw organisatie.
Een van de voorbeelden is continu monitoring inrichten. Er zijn bijvoorbeeld ook scantools beschikbaar waarbij je kunt kijken bijvoorbeeld naar bestaande kwetsbaarheden, waar je kwetsbaar bent binnen je netwerk. Dus er zijn zeker meer mogelijkheden.

BART PIETERS: 
Ja, dat wordt vaak door het SOC gedaan. 

Beeldtekst: Security Operations Centre (SOC)

BART PIETERS: 
En dergelijke scans hebben vaak net iets minder diepgang, maar ze zijn wel veel breder, zodat je inderdaad een goed beeld hebt van waar je kwetsbaar bent. En zo zijn er nog veel meer dingen die je kan en ook zou moeten doen,  maar dat is misschien iets voor een volgend filmpje.

*muziek speelt*

Beeldtekst: microlearnings Beveiliging

Logo Rijksoverheid verschijnt in beeld.

Beeldtekst: Deze microlearning is tot stand gekomen door een samenwerking tussen de Leer- en Ontwikkelcampus (LOC) van UBR, de directie CIO Rijk van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)en de RijksAcademie voor Digitalisering en Informatisering Overheid (RADIO).