Red teaming en de gereedschapskist
1. Wat zijn red teamingtesten?
Een red teamingtest is een geavanceerde securitytest waarbij een cyberaanval op 1 of meerdere kritieke functies van een organisatie wordt uitgevoerd. Dit gebeurt op basis van reële dreigingen. Het doel van een red teamingtest is om de beveiligingsmaatregelen van een organisatie (of keten van organisaties) te testen en de organisatie hiervan te laten leren. Op basis van de bevindingen uit een red teamingtest kun je verbeterplannen opstellen om de digitale weerbaarheid van de organisatie te verbeteren.
De Rijksoverheid organiseert red teaming via het TIBER- en ART-raamwerk voor de Rijksoverheid. TIBER staat voor Threat Intelligence Based Ethical Red Teaming en ART staat voor Advanced Red Teaming. Meer weten? Bekijk de onderstaande video en de inhoud van de Gereedschapskist red teaming op deze pagina.
In deze video wordt uitgelegd wat red teaming is, waarvoor het wordt gebruikt en hoe het je kan helpen om je digitale systemen veiliger te maken.
Een jonge vrouw staat voor een neutrale achtergrond. Zij spreekt de hele video in. Op verschillende momenten wordt schematisch verduidelijking van de tekst gegeven.
VROUW: "Elk onderdeel van de Rijksoverheid heeft een belangrijke taak of verleent een publieke dienst. Onze samenleving is daarvan afhankelijk. Vaak draait de taak of dienst op digitale systemen. Systemen die beschermd moeten worden. Bedreigingen voor onze veiligheid zijn namelijk reëel.
Ook in de digitale wereld. Zowel criminelen als statelijke actoren willen onze digitale systemen binnendringen. Je hebt het vast wel eens voorbij horen komen red teaming. Wat is het? Hoe werkt het? Wat is de meerwaarde? We leggen het je allemaal uit."
In een animatie komt vanuit een rood schild een rood pijltje dat de 'doelwitorganisatie' aanvalt. De aanval wordt steeds afgeslagen.
VROUW: "Met red teaming test je de digitale veiligheid van je organisatie. Er zijn 3 teams. Het Red Team valt de organisatie aan. Je laat dus als het ware de vijand los op je eigen organisatie. Om te testen hoe effectief de beveiligingsmaatregelen zijn. Het Blue Team verdedigt en is niet op de hoogte van de test. Het Control Team organiseert de test en is dus wel op de hoogte. Het Control Team en Blue Team zijn dus beide onderdeel van de organisatie die wordt aangevallen. Het Red Team is wel extern maar werkt expliciet in opdracht van het Control Team.
Het Red Team bestaat uit ethische hackers. Zij zetten hun kennis en kunde in om de digitale organisatie binnen te dringen. Ze zijn uit op kritische doelwitten binnen jouw organisatie. De aanval is echt. Zoals de meest geavanceerde hackers dat nu zouden doen.
Je kunt niet zakken of slagen voor red teaming. Door het uit te voeren leer je wat de zwakke plekken zijn en krijg je inzicht in onderdelen van je beveiligingsmaatregelen mensen, processen en techniek. Met deze inzichten kun je de beveiliging verbeteren.
Een Red Team test moet zorgvuldig worden opgezet. De aanval van het Red Team moet realistisch zijn en gebaseerd op een dreigingsanalyse. Tegelijkertijd wordt het om schade te voorkomen gecontroleerd uitgevoerd. Voor de Rijksoverheid doen we dat met TIBER en ART."
De woorden TIBER en ART verschijnen in beeld.
VROUW: "TiBER staat voor Threat Intelligence Based Ethical Red Teaming. Deze methodiek wordt al jaren succesvol gebruikt in de financiële sector. TIBER is een raamwerk voor dreiging gebaseerd op Red Teaming. Dat zorgt voor een beheerste en realistische uitvoering. Via TIBER Rijk is het nu ook toepasbaar gemaakt en in te zetten binnen de Rijksoverheid."
De termen die gebruikt worden verschijnen met een begeleidend geluid in beeld.
VROUW: "TIBER Rijk wordt centraal begeleid door het Test Cyber Team. TIBER is opgebouwd in verschillende fasen om de grootste en meest optimale leerervaring te bieden. De aanvallen worden uitgevoerd op de live systemen en mogen geen daadwerkelijke schade opleveren."
Beeldtekst:
Voorbereidingsfase: Opdracht en scoping, inkoop.
Testfase: Treat Intelligence en Red Teaming.
Afrondings- en leerfase: Purple Teaming en Afronding en herstel.
VROUW: "Het Red Team valt jouw organisatie van buiten naar binnen aan om het gekozen doelwit te bereiken. Vergelijkbaar met een echte aanvaller dus. Je leert hierdoor zowel over menselijke, procesmatige als technische onderdelen van jouw beveiliging."
Beeldtekst: ART, Advances Red Teaming.
VROUW: "ART staat voor Advanced Red Teaming. Het lijkt op TIBER omdat het dezelfde vorm van gecontroleerd en realistisch testen heeft. ART geeft het vorm in een modulaire opbouw per fase. Ook bij ART moet het aanvalsscenario gebaseerd zijn op een dreigingsanalyse. Door de modules ben je alleen wel flexibeler en heeft het Control Team meer te kiezen."
Een visualisatie van een modulair systeem komt in beeld en ondersteunt de tekst.
VROUW: "Bijvoorbeeld kies je voor een beperktere of uitgebreidere dreigingsanalyse kies je voor 1 of 2 uit te voeren aanvalsscenario's. Die keuzes staan bij TIBER al vast, maar bij ART niet. Heeft een organisatiedeel een lichte test nodig, dan zetten we minder modules in. Omgekeerd kan een ART test zelfs uitgebreider zijn dan TIBER.
Door de digitale beveiliging van jouw organisatie te testen met een Red Team test via TIBER of ART bereik je het volgende:
1. Je krijgt inzicht in de actoren of vijanden die het op jouw organisatie gemunt hebben.
2. Je test jouw organisatie op een realistische en beheerste wijze.
3. Je kunt aan de slag met de bevindingen die ook voor hoger management begrijpelijk worden gemaakt.
4. Je krijgt een TIBER of ART verklaring als alle fasen op de juiste wijze zijn doorlopen. Zo wordt de kwaliteit van de test aantoonbaar.
Dat is hoe we bij de Rijksoverheid red teaming inrichten. Wil je er meer over weten of een test voor jouw organisatie opzetten? Kijk dan op deze website of stuur een e-mail naar dit adres."
Beeldtekst: Wil je meer weten? Of een test opzetten? Kijk op digitaleoverheid.nl of mail redteaming@rijksoverheid.nl
Logo Rijksoverheid.
2. Waarom red teamingtesten bij de Rijksoverheid?
De Rijksoverheid is een interessant doelwit voor kwaadwillende actoren. De dreiging van deze actoren neemt toe. Dit blijkt uit opeenvolgende edities van het Cybersecuritybeeld Nederland en het AIVD-jaarverslag. Daarom is het versterken van de digitale weerbaarheid van de Rijksoverheid een belangrijk onderdeel van de I-strategie Rijk en de Werkagenda Waardengedreven Digitaliseren. Burgers en bedrijven moeten immers op de dienstverlening van de overheid kunnen vertrouwen. Het structureel inzetten van red teamingtesten is een van de acties binnen de I-strategie Rijk en de Werkagenda Waardengedreven Digitaliseren die bijdraagt aan het versterken van de digitale weerbaarheid van de Rijksoverheid.
3. Hoe wordt de inzet van red teamingtesten binnen de Rijksoverheid georganiseerd?
De organisatie van red teamingtesten ligt bij de departementen en uitvoeringsorganisaties. Om de inzet van red teaming binnen de Rijksoverheid te beschermen en te versterken is een plan van aanpak opgesteld. Dit plan wordt uitgevoerd door CIO Rijk, in samenwerking met de departementen. Dit is aangegeven in de Kamerbrief ‘Red teaming bij de Rijksoverheid’ van april 2022. CIO Rijk heeft met een interdepartementale werkgroep een gereedschapskist voor red teamingtesten ontwikkeld, als hulpmiddel voor departementen en uitvoeringsorganisaties.
4. Wat is de gereedschapskist red teamingtesten?
Om organisaties binnen de Rijksoverheid te helpen bij het uitvoeren van testen is de gereedschapskist red teamingtesten ontwikkeld. In de gereedschapskist vind je hulpmiddelen (documenten) voor de keuze, inkoop en uitvoering van red teamingtesten. Het gaat om de volgende hulpmiddelen:
- Een keuzekaart om te beoordelen welk type securitytest het beste bij je testdoel past.
- 2 raamwerken voor de uitvoering van red teamingtesten bij de Rijksoverheid:
- Raamwerk ART (Advanced Red Teaming)
- Raamwerk TIBER (Threat Intelligence Based Ethical Red teaming). In deze eerste uitwerking van de raamwerken is het TIBER-NL raamwerk van De Nederlandsche Bank (DNB) als uitgangspunt gebruikt. De 2 raamwerken krijgen in de toekomst een verdere uitwerking.
- Inkooprichtlijnen die helpen bij de inkoop van een red teaming test.
Hieronder zie je een overzicht van de gereedschapskist. Bekijk de uitgebreide en toegankelijke beschrijving van het overzicht van de gereedschapskist red teamingtesten.
5. Voor wie is de gereedschapskist bedoeld?
De gereedschapskist is bedoeld voor de CIO- en CISO-onderdelen binnen de departementen en uitvoeringsorganisaties. Daarnaast geeft het ook inzicht aan cybersecuritybedrijven die red teamingtesten in opdracht van Rijksorganisaties (willen) uitvoeren. Ook andere overheden kunnen de hulpmiddelen gebruiken.
6. Wat is de status van de gereedschapskist?
Dit is een eerste publicatie van de gereedschapskist. Deze wordt op basis van praktijkervaring periodiek bijgesteld en verrijkt (met overheidsspecifieke hulpmiddelen).
7. Bij wie kan ik terecht voor vragen?
De gereedschapskist is in beheer van de Rijksoverheid. Mail voor vragen of opmerkingen over op de gereedschapskist naar de red teamingcoördinator via redteaming@rijksoverheid.nl.