In deze video wordt uitgelegd wat red teaming is, waarvoor het wordt gebruikt en hoe het je kan helpen om je digitale systemen veiliger te maken.
Een jonge vrouw staat voor een neutrale achtergrond. Zij spreekt de hele video in. Op verschillende momenten wordt schematisch verduidelijking van de tekst gegeven.
VROUW: "Elk onderdeel van de Rijksoverheid heeft een belangrijke taak of verleent een publieke dienst. Onze samenleving is daarvan afhankelijk. Vaak draait de taak of dienst op digitale systemen. Systemen die beschermd moeten worden. Bedreigingen voor onze veiligheid zijn namelijk reëel.
Ook in de digitale wereld. Zowel criminelen als statelijke actoren willen onze digitale systemen binnendringen. Je hebt het vast wel eens voorbij horen komen red teaming. Wat is het? Hoe werkt het? Wat is de meerwaarde? We leggen het je allemaal uit."
In een animatie komt vanuit een rood schild een rood pijltje dat de 'doelwitorganisatie' aanvalt. De aanval wordt steeds afgeslagen.
VROUW: "Met red teaming test je de digitale veiligheid van je organisatie. Er zijn 3 teams. Het Red Team valt de organisatie aan. Je laat dus als het ware de vijand los op je eigen organisatie. Om te testen hoe effectief de beveiligingsmaatregelen zijn. Het Blue Team verdedigt en is niet op de hoogte van de test. Het Control Team organiseert de test en is dus wel op de hoogte. Het Control Team en Blue Team zijn dus beide onderdeel van de organisatie die wordt aangevallen. Het Red Team is wel extern maar werkt expliciet in opdracht van het Control Team.
Het Red Team bestaat uit ethische hackers. Zij zetten hun kennis en kunde in om de digitale organisatie binnen te dringen. Ze zijn uit op kritische doelwitten binnen jouw organisatie. De aanval is echt. Zoals de meest geavanceerde hackers dat nu zouden doen.
Je kunt niet zakken of slagen voor red teaming. Door het uit te voeren leer je wat de zwakke plekken zijn en krijg je inzicht in onderdelen van je beveiligingsmaatregelen mensen, processen en techniek. Met deze inzichten kun je de beveiliging verbeteren.
Een Red Team test moet zorgvuldig worden opgezet. De aanval van het Red Team moet realistisch zijn en gebaseerd op een dreigingsanalyse. Tegelijkertijd wordt het om schade te voorkomen gecontroleerd uitgevoerd. Voor de Rijksoverheid doen we dat met TIBER en ART."
De woorden TIBER en ART verschijnen in beeld.
VROUW: "TiBER staat voor Threat Intelligence Based Ethical Red Teaming. Deze methodiek wordt al jaren succesvol gebruikt in de financiële sector. TIBER is een raamwerk voor dreiging gebaseerd op Red Teaming. Dat zorgt voor een beheerste en realistische uitvoering. Via TIBER Rijk is het nu ook toepasbaar gemaakt en in te zetten binnen de Rijksoverheid."
De termen die gebruikt worden verschijnen met een begeleidend geluid in beeld.
VROUW: "TIBER Rijk wordt centraal begeleid door het Test Cyber Team. TIBER is opgebouwd in verschillende fasen om de grootste en meest optimale leerervaring te bieden. De aanvallen worden uitgevoerd op de live systemen en mogen geen daadwerkelijke schade opleveren."
Beeldtekst:
Voorbereidingsfase: Opdracht en scoping, inkoop.
Testfase: Treat Intelligence en Red Teaming.
Afrondings- en leerfase: Purple Teaming en Afronding en herstel.
VROUW: "Het Red Team valt jouw organisatie van buiten naar binnen aan om het gekozen doelwit te bereiken. Vergelijkbaar met een echte aanvaller dus. Je leert hierdoor zowel over menselijke, procesmatige als technische onderdelen van jouw beveiliging."
Beeldtekst: ART, Advances Red Teaming.
VROUW: "ART staat voor Advanced Red Teaming. Het lijkt op TIBER omdat het dezelfde vorm van gecontroleerd en realistisch testen heeft. ART geeft het vorm in een modulaire opbouw per fase. Ook bij ART moet het aanvalsscenario gebaseerd zijn op een dreigingsanalyse. Door de modules ben je alleen wel flexibeler en heeft het Control Team meer te kiezen."
Een visualisatie van een modulair systeem komt in beeld en ondersteunt de tekst.
VROUW: "Bijvoorbeeld kies je voor een beperktere of uitgebreidere dreigingsanalyse kies je voor 1 of 2 uit te voeren aanvalsscenario's. Die keuzes staan bij TIBER al vast, maar bij ART niet. Heeft een organisatiedeel een lichte test nodig, dan zetten we minder modules in. Omgekeerd kan een ART test zelfs uitgebreider zijn dan TIBER.
Door de digitale beveiliging van jouw organisatie te testen met een Red Team test via TIBER of ART bereik je het volgende:
1. Je krijgt inzicht in de actoren of vijanden die het op jouw organisatie gemunt hebben.
2. Je test jouw organisatie op een realistische en beheerste wijze.
3. Je kunt aan de slag met de bevindingen die ook voor hoger management begrijpelijk worden gemaakt.
4. Je krijgt een TIBER of ART verklaring als alle fasen op de juiste wijze zijn doorlopen. Zo wordt de kwaliteit van de test aantoonbaar.
Dat is hoe we bij de Rijksoverheid red teaming inrichten. Wil je er meer over weten of een test voor jouw organisatie opzetten? Kijk dan op deze website of stuur een e-mail naar dit adres."
Beeldtekst: Wil je meer weten? Of een test opzetten? Kijk op digitaleoverheid.nl of mail redteaming@rijksoverheid.nl
Logo Rijksoverheid.