Red Teaming: een belangrijk en effectief onderdeel van cyber security strategieën. In dit artikel leggen we precies uit wat Red Teaming betekent, hoe het zich verhoudt tot Blue Teaming en wat het uiteindelijk oplevert. 

Wat is Red Teaming? 

Red Teaming is het testen van de beveiliging van een organisatie doormiddel van aanvalssimulaties door ethical hackers. Het doel van Red Teaming is zien hoe goed bestaande beveiligingsmaatregelen, techniek en zelfs menselijke aspecten binnen de organisatie reageren op mogelijke dreigingen. Het is de meest realistische evaluatie van uw cyber security die er is. 

Waar komt de naam Red Teaming vandaan? 

De naam Red Teaming komt van het militaire Capture the Flag vandaan. Daarbij is er zowel een Red Team als een Blue Team: twee teams die we in de cyber security ook kennen. In dit geval is de betekenis van Red Team gelijk aan “Aanvallend team” en die van Blue Team “Verdedigend Team”. 

Het belang van Red Teaming

Aanvalssimulaties zijn een enorm proactieve manier om de cyberveiligheid van een organisatie te verbeteren. Op deze manier komt u achter kwetsbaarheden, vóórdat hackers ze kunnen misbruiken. Dat voelt een stuk prettiger dan het oplossen van een kwetsbaarheid die door een cyberaanval aan het licht is gekomen.

Red Teaming biedt organisaties dus inzicht in hun zwakke plekken, helpt kwetsbaarheden te verminderen en verhoogt het bewustzijn van medewerkers.

De aanpak van een aanvalssimulatie

Uiteraard is een aanvalssimulatie volledig in samenspraak met de klant. De ethical hacker bepaalt samen het doel en de scope van de aanvalssimulatie. Ook zorgt de ethical hacker ervoor dat de aanval zo veilig mogelijk verloopt: het is niet de bedoeling dat onderdelen van een digitale infrastructuur beschadigd raken.

Hoe de aanvalssimulatie zelf eruitziet? Er zijn verschillende modellen en methoden hiervoor, afhankelijk van de specifieke behoeften van een organisatie en de ethical hacker zelf. We schreven ooit eerder een artikel over de stappen die een hacker doorloopt bij een aanval. Die stappen doorlopen ethical hackers uit het Red Team ook. 

Soorten scopes

Red Teaming kan variëren in scope. Zo is het mogelijk een aanvalssimulatie alleen toe te passen op specifieke afdelingen, systemen of processen. Andere organisaties willen juist een beeld krijgen van hun volledige beveiligingslandschap. 

Daarnaast is er ook nog de keuze of de aanpak Black box, Grey box of White box gaat zijn.

Soorten aanvalssimulaties

In principe is het mogelijk een aanvalssimulatie uit te voeren op alles dat door een hacker te misbruiken is. Maar voor wat extra overzicht in de mogelijkheden (ook al is Red Teaming altijd maatwerk!), hebben we een aantal “standaard” pentests opgesteld. 

1. Network Pentest Intern: Wat kan een hacker allemaal zodra deze binnen is? Heeft die dan meteen de kroonjuwelen in handen? Of zijn er intern ook nog barrières te doorbreken?

2. Network Pentest Extern: Hoeveel gaten zitten er in de digitale omheining van uw organisatie? Ethical hackers zijn in staat ingangen te zoeken in de buitenkant van de infrastructuur.

3. Webapplicatie Pentest: Het is ook mogelijk een website of webapplicatie specifiek te testen. Is het bijvoorbeeld mogelijk bij klantgegevens te komen in online portalen? 

4. Fysieke Pentest: Ook deze test valt onder Red Teaming: hierbij proberen Mystery Guests alleen fysiek toegang te krijgen tot uw digitale infrastructuur door uw gebouw binnen te dringen.

5. Wifi Pentest: Deze test richt zich juist weer specifiek op wifi netwerken. Zo is het interessant te weten wie er toegang heeft tot welke netwerken. En wat derden allemaal ermee kunnen.

5. Domain Pentest: Soms ontstaat er een wildgroei aan websitedomeinen binnen een organisatie. Welke zijn nog in gebruik? Welke niet? En welke “vergeten” domeinen zijn kwetsbaar?

Rapportage en Aanbevelingen

Na de aanvalssimulatie ontvangt een organisatie een gedetailleerd rapport met de bevindingen. Het Red Team omschrijft hierin de ontdekte kwetsbaarheden en geeft aanbevelingen voor verbetering. Op die manier dicht u de zwakke plekken en is de cyberweerbaarheid van uw organisatie weer een stuk hoger.

Samenwerking tussen Blue Team en Red Team

Het Red Team brengt heel doeltreffend de digitale zwakheden van een organisatie in kaart. Dat is waardevolle input voor het Blue Team: die is verantwoordelijk voor de verdediging. Bij het bepalen van een cyber security strategie is de samenwerking en kennistuitwisseling tussen deze twee teams dus ideaal. Dat heet Purple Teaming. 

Continu optimaliseren

In het meest ideale geval is Red Teaming een iteratief proces. Het is niet zonder reden dat cyber security organisaties periodieke pentests aanbevelen: digitale infrastructuren zijn continu in beweging. Die veranderingen kunnen ervoor zorgen dat een kwetsbaarheid die er een maand geleden niet was, er nu ineens wel is. Een update in – bijvoorbeeld – een besturingssysteem zou al een kwetsbaarheid kunnen veroorzaken. 

Uiteraard zijn (zeer) periodieke pentests niet voor elke organisatie realistisch. Dus vraag aan een cyber security consultant of de ethical hacker zelf wat ze daarin aanbevelen. Zij denken mee over een aanpak die past bij de grootte en het budget van uw organisatie. 

Meer weten over Red Teaming?

Een tijd geleden hebben we een overzicht gemaakt van de best gelezen artikelen over de offensieve kant van cyber security. U leest dus hier nog veel meer over dit onderwerp!

Pentests, ethisch hackers, white hats, de enumeratiefase: er is veel te schrijven over de red team kant van cyber security. En dat hebben we ook gedaan. Een overzicht van alle informatie die we tot nu toe erover hebben gepubliceerd, op één plek. Leesze!

Wie bepaalt of uw cyber security goed is? De hacker

Afwegen welke cyber security investeringen er nodig zijn is niet altijd eenvoudig. In de praktijk zien we dat een uitspraak als “We hebben een antivirus, dus we zijn beschermd” nog wel eens voorbij komt. Maar is die conclusie echt zelf te trekken?

Ons antwoord: naast cyber security professionals die een risicoanalyse maken en een inschatting kunnen doen, is er maar één iemand die nog beter weet of uw organisatie goed beschermd is. En dat is de hacker zelf. Lees hier waarom we in de cyber security ook hackers inzetten.

De vulnerability scan, de pentest en hun verschillen

Testen is weten. Alleen op die manier is het implementeren van écht doeltreffende security oplossingen mogelijk. Maar er zijn verschillende manieren om de cyberweerbaarheid te controleren. En al die tests en scans hebben weer hun eigen specifieke doel.

Als het er echt op aan komt, adviseren we natuurlijk graag vrijblijvend welke test of scan voor uw organisatie het meest interessant is. Maar we hebben in dit artikel de verschillen tussen een vulnerability scan en pentest al uitgeschreven. (En hier gaan we ook dieper in op security audits.)

Wat hacken met stalken gemeen heeft

Hacken heeft veel van stalken weg. Waarom? We leggen in dit artikel precies uit wat hacken is. Want wat zijn de redenen om te hacken? Wat voor soorten hackers zijn er? En hoe gaat het hacken stap voor stap te werk? We doorlopen deze stappen en geven concrete voorbeelden van hacks.

Hoe vaak zijn pentests nodig?

Bij een pentest simuleert een ethisch hacker een cyberaanval. Daarmee legt de ethisch hacker praktijkgericht de vinger op de zere plekken. Een pentest maakt niet alleen theoretisch de kwetsbare punten zichtbaar: een pentest bewijst waar de digitale omheining zwak is. Dat maakt doelgerichte reparaties mogelijk.

Die digitale omheining is alleen altijd in beweging. Nieuwe kwetsbaarheden steken geregeld de kop op. Het slimste is dus vaker dan één keer te pentesten om ook die kwetsbaarheden te ontdekken. In dit artikel geven we antwoord op de vraag “Hoe vaak is een pentest nodig?”.

Interview: wat doet een ethisch hacker?

We hebben ze hierboven al een aantal keer benoemd: ethisch hackers. Maar wat is het verschil tussen een kwaadwillende hacker en een ethisch hacker? Wat doet een ethisch hacker allemaal? In dit interview geeft ethisch hacker Joost antwoord op de vaakst gestelde vragen over ethisch hacken.

Wat is het verschil tussen een black box en een white box pentest?

We gaan nog dieper in op de materie in dit artikel over black box, white box en grey box pentests. En voor wie denkt: wat zijn deze termen? Black box, white box en grey box verwijzen naar de scope van een pentest. Een black box pentest levert zo weer hele andere inzichten op dan white box. Met allemaal hun eigen voor en nadelen.

Ethisch hacken: aanvallen met toestemming

Wie pentest of ethisch hacken zegt, neemt al snel het woord “white hat” in de mond. En dan is er ook nog de “grey hat” en “black hat”. We vertellen meer over hacken in de cyber security. En: we gaan in dit artikel vooral in op de verschillen tussen white hats, grey hats en black hats in.

De penetratietest: 8 veel voorkomende misvattingen

Het woord pentest is eigenlijk een afkorting van het woord “penetratietest”. Nu de penetratietest steeds meer bekendheid heeft verworven, zijn er natuurlijk ook een aantal misvattingen. Lees hier wat die misvattingen over pentests zijn.

Meer lezen over (de verschillende soorten) pentests?

Op deze pagina geven we een volledig overzicht van wat een pentest inhoudt en wat voor soorten pentests er zijn. Er is namelijk niet één algemene pentest. Pentests variëren van tests die zich enkel op het Wifi-netwerk richten tot tests die zelfs de fysieke beveiliging van een gebouw op de proef stelt.

Wie zich verdiept in pentests is vast de termen “black box”, “white box” en ook “grey box” tegen gekomen. Een black box pentest levert weer andere resultaten op dan een white box pentest. Maar wat is een black/white/grey box pentest? En wanneer zetten we welke in? In dit artikel geven we antwoord.

Wat is een pentest?

Een pentest is een aanvalssimulatie. Het test de veiligheid van systemen, netwerken of webapplicaties door deze actief aan te vallen zoals een hacker dat zou doen. De pentester – ook wel ethisch hacker – zet dezelfde technieken als kwaadwillenden in om kwetsbaarheden boven tafel te krijgen. Een pentest achterhaalt dus niet theoretisch wat de zwakke plekken zijn, maar bewijst het.

Het doel van een pentest is altijd het verbeteren van de cyberveiligheid van een organisatie. Zo’n aanvalssimulatie vindt enkel plaats met toestemming van de opdrachtgever. En na de pentest? Dan koppelt de ethisch hacker zijn of haar bevindingen terug en adviseert oplossingen voor de gevonden kwetsbaarheden.

Een pentest heeft altijd een scope: welke onderdelen moeten getest?

Wat is een black box pentest?

Een black box pentest lijkt het meest op een echte cyberaanval. Zonder van te voren ook maar iets van informatie te hebben, probeert de pentester binnen te dringen. De black box pentest schept daarmee een realistisch beeld van hoe de digitale infrastructuur eruit ziet vanuit het perspectief van een aanvaller.

Een black box pentest is goed te vergelijken met een spontane inbraak. Gelegenheidsinbrekers weten van te voren ook niet hoe een kantoorpand van binnen is, waar de buit ligt en via welke routes ze daar komen. Dat moeten ze ter plekke uitvogelen. Black box pentesters tasten van te voren dus volledig in het duister.

Wanneer een black box pentest?

Organisaties zetten een black box pentest in om vanuit een extern oogpunt inzicht te krijgen. Het weergeeft het meest realistisch hoe eenvoudig of lastig een aanval verloopt. Hoe snel en via welke weg komt een aanvaller binnen? En waar kan de aanvaller allemaal bij? Het geeft een mooi algemeen beeld van de beveiligingsomgeving.

Ook zetten organisaties black box pentests in om de response van beveiligingsmaatregelen zoals een SOC (blue team) te testen. Hoe snel wordt een aanval opgemerkt? En hoe snel komt er actie?

Voordelen black box pentest:

– Simuleert het meest realistisch een echte aanval
– Is vaak de minst dure pentest, want het kost meestal minder tijd
– Snel een rapportage

Nadeel black box pentest:

Het kan zijn dat de pentest bij – bijvoorbeeld – het inlogscherm van een website al stopt. In dat geval is het inlogscherm erg goed beveiligd. Maar misschien is alles wat daarachter zit enorm kwetsbaar? Wat gebeurt er wanneer een aanvaller met een phishingactie inloggegevens weet te achterhalen en wél verder komt dan het inlogscherm?

In dit geval is een grey box pentest handiger.

Wat is een grey box pentest?

Een grey box pentest lijkt op een black box pentest, maar het verschil is dat de ethisch hacker een heel klein beetje informatie heeft van te voren. Bijvoorbeeld dus de inloggegevens van een webapplicatie. Zo kan de pentester gegarandeerd dieper kijken waar kwetsbaarheden zitten en welke data te stelen is.

In het geval van een grey box pentest weten inbrekers van het kantoorpand van te voren al hoe ze binnen moeten komen. De vraag is alleen nog steeds waar de buit ligt en hoe ze daar raken. Tijdens een grey box pentest achterhaalt de pentester de kwetsbaarheden van binnenuit.

Wanneer een grey box pentest?

Een grey box pentest is meestal geschikter dan een black box pentest. Het geeft nog steeds een realistisch beeld van een echte aanval. Maar het geeft meer garantie op antwoorden op vragen als “Wat kunnen aanvallers als ze al binnen zijn?” of “Wat kunnen aanvallers met informatie X bereiken?”.

Voordelen grey box pentest:

– Simuleert echte aanvallen behoorlijk realistisch
– Zekerder dat er bruikbare informatie boven tafel komt
– Is minder duur dan een white box pentest

Nadeel grey box pentest:

Bij deze pentest kan de ethisch hacker meestal niet bij de broncode. Maar juist door de broncode te lezen kan de pentester kwetsbaarheden vinden die anders niet waren gevonden.

Wat is een white box pentest?

De white box pentest is de meest diepe en grondige pentest die er is. De ethisch hacker krijgt van te voren een stuk meer informatie. Bijvoorbeeld toegang tot de broncode. Of inzicht in de interne werking van een systeem.
In het geval van de inbreker heeft deze van te voren al de blauwdrukken van het kantoorpand. Het is volledig duidelijk waar alles zit.

Daardoor is de pentester in staat zo goed als álle kwetsbaarheden te achterhalen. Worden die kwetsbaarheden opgelost? Dan is het eindresultaat van een white box pentest het meest waterdicht.

Met een white box pentest is een organisatie ook in staat juist enkel hele specifieke onderdelen te laten testen. In dat geval geven ze de pentester informatie over waar ze die onderdelen kunnen vinden. Dan pluist de ethisch hacker uit welke kwetsbaarheden erin zitten. De scope hoeft dus niet oneindig breed te zijn bij een white box pentest.

Wanneer een white box pentest?

Deze pentest is het meest geschikt voor organisaties die inzicht willen in zo goed als álle kwetsbaarheden. Of voor opdrachtgevers die een aanval willen op belangrijke onderdelen van een systeem.  Ook zetten webdevelopers een white box pentest vlak voordat een applicatie live gaat in. Want: het verhelpen van kwetsbaarheden is veel eenvoudiger als de app nog in development is.

Voordelen white box pentest:

– Haalt zo goed als álle kwetsbaarheden bovenwater
– Stelt opdrachtgevers in staat specifiek de meest kritische onderdelen te laten pentesten

Nadeel white box pentest:

Logischerwijs is een white box pentest de minst goedkope pentest. Hij is grondiger, en duurt dus ook langer. Daardoor ontvangt u wat later een rapportage. Maar: dan is hij wel het meest uitgebreid.

Bepaal het doel van uw pentest

Om te weten welke pentest geschikt is, helpt het zelf of samen met een security expert het doel van de pentest vast te stellen. Zo ontstaat er een scope en is het helder wat voor pentest nodig is. Soms blijkt zelfs dat juist Vulnerability Management een passendere oplossing is. Wij denken altijd vrijblijvend mee en geven passend advies!

Dus: overweegt u een pentest en heeft u vragen? Neem dan contact met ons op.

Ex-programmeur Joost is nu ethisch hacker en voert dagelijks pentests uit. Een tijdje geleden konden volgers van onze LinkedIn en Twitter vragen over ethisch hacken voor Joost insturen. Die hebben we hem gesteld!

Wat is ethisch hacken?

“Ethisch hacken is het proberen kwetsbaarheden in systemen bloot te leggen. En dan echt alle systemen: websites, computer netwerken, auto’s, hardware. In de breedste zin van het woord. Maar ook kwetsbaarheden in de fysieke beveiliging: denk aan sloten en toegangsbadges. Software die je installeert op je computer en apps. Je kan het zo gek niet verzinnen.”

Wat is het nut van ethisch hacken?

“Als ik een kwetsbaarheid kan vinden in het systeem van de klant, dan kunnen anderen dat ook. Ik ben tenslotte niet de enige (ethisch) hacker op de wereld. Doordat een klant het mij laat testen, voorkom je dat een andere hacker ze gaat misbruiken om er – gemeen – geld mee te verdienen. Want ik help de klant het op te lossen.

Wat ik doe is dus het ethische gedeelte van het hacken: een kwetsbaarheid vinden vind ik leuk, maar misbruik maken voor persoonlijk gewin interesseert me echt niets. Het is gewoon kwestie van een crimineel zijn of niet.”

Wat doe je op een werkdag?

“Het hangt er een beetje vanaf in welke stage van een pentest ik zit. In het geval van een webapplicatie probeer ik de applicatie te bekijken op een manier waarop ontwikkelaars er niet naar kijken. Ik gebruik hem ook niet per se zoals een gewone gebruiker dat doet. Sterker nog: ik heb wel eens dat ik de applicatie zelf amper gebruik, maar het allemaal met mijn eigen tooling doe.

Je vind als ethisch hacker nogal eens zaken die ontwikkelaars over het hoofd hebben gezien. Bijvoorbeeld omdat ze misschien niet securityminded werken. Dat is goed te begrijpen: tenslotte willen ze vooral een gave applicatie maken die goed werkt voor de klant. Security is dan een vervelend en minder zichtbaar stukje dat erbij komt.”

Hoe ben je ethisch hacker geworden?

“Ik heb security altijd interessant gevonden in de breedste zin van het woord: zowel offensief en defensief. En ik ben super nieuwsgierig! Ik wil het allemaal weten. Een beetje problematisch af en toe, want je kan niet alles weten. Je blijft dingen uitzoeken en dan kom je weer andere dingen tegen die óók weer interessant zijn.

Uiteindelijk kwam ik erachter dat ik dit kwijt kon in ethisch hacken. Toen was het einde zoek. Al mijn (vrije) tijd ging erin zitten. Het was precies de combinatie van de dingen die ik zocht om te doen: grote technische uitdagingen, zonder illegaal bezig te zijn. De switch naar ethisch hacker was snel gemaakt.”

Waarom ben je ethisch hacker en geen programmeur?

“Programmeren vond ik super vet. Je hebt een idee en die kan je dan helemaal bouwen en uitwerken. Je ziet het voor je ogen groeien. Maar ethisch hacken en pentesten is wat breder.

Meerdere domeinen binnen de ICT komen samen. En dat maakt ethisch hacken voor mij uitdagend. Binnen programmeren heb je veel mogelijkheden, maar bij hacking heb je nog veel meer kanten die je op kan. Het is echt een eindeloze leerweg. Dat is superfijn.

Dat ik zelf programmeer helpt overigens wel in mijn werk als ethisch hacker: want je kan makkelijk in de mindset van de programmeur duiken. En op die manier kan je alles testen.

Op het moment dat ik in een situatie kom dat ik een leerplafond heb bereikt, ben ik niet meer blij. Maar binnen ethisch hacken gebeurt dat niet: want het verandert allemaal continu. Ik moet uitgedaagd worden. En dan ben ik ook op mijn best.”

Waarom is ethisch hacken legaal?

“Het verschilt per land, afhankelijk van wetgeving. Maar los daarvan denk ik dat hetgeen dat het ethisch maakt dat je aan het einde van de rit het doel hebt om de beveiliging te verbeteren. Ethisch hacken is altijd in samenspraak met de klant.

Het fundamentele verschil tussen illegaal hacken en ethisch hacken is voor mij dus het doel wat je voor ogen hebt. Een boef heeft zeker niet als doel om de organisatie beter te maken. Die zijn vaak self-centered en willen – bijvoorbeeld – geld verdienen.”

Is een pentest ook geschikt voor kleinere organisaties?

“Zeker. Of je nou een grote of kleine organisatie bent: je hebt bijna altijd iets van een IT-infrastructuur. Dus ook kleinere bedrijven hebben data om te beschermen. Dat is vaak veel geld waard. Dan is het belangrijk om af te vragen wat de schade is als het gestolen wordt. Meestal is dat behoorlijk. Het is dus logisch dat je het wil beveiligen.

Een voorbeeld: ik ben maar een simpele ‘boeren’ jongen, maar ik heb thuis wel een slot op mijn deur. Want ik wil niet dat ze mijn TV meenemen. Dus alles wat voor jou van waarde is, wil je niet gestolen hebben. Dat wil je beschermen. En een ethisch hacker brengt kwetsbaarheden aan het licht.

…Maar misschien was dat van de TV niet zo’n goed voorbeeld. Ik heb een hele oude TV namelijk.”

Wat is het meest bizarre wat je ooit tegen bent gekomen?

“Een keer testte ik een webapplicatie en kwam ik binnen met een wachtwoord dat in een publiek datalek zat. En door drie of vier kwetsbaarheden aan elkaar te knopen had ik volledige toegang tot de database. Dat was ook heel vet natuurlijk omdat je een aanvalsketting krijgt n.a.v. inloggegevens die je online hebt gevonden. Iedereen op internet zou dit in theorie dus kunnen doen.

Wat voor mij leuk eraan is, is dat je een webapplicatie test en dat je ineens door het hele interne netwerk van een organisatie heen rolt. Dat verwacht je van te voren niet!”

Welke kwetsbaarheden zie je het vaakst?

“Kwetsbaarheid voor brute force aanvallen: die lukken tijdens een pentest bijna altijd. En het is niet eens heel moeilijk om jezelf er tegen te verdedigen. Er zijn verschillende maatregelen om jezelf ervoor te beschermen. Maar op de een of andere manier lukken brute forces echt heel erg vaak.

Een ander voorbeeld is officieel geen echte kwetsbaarheid maar een aanvullende maatregel die mist. Het gaat om de CSP (content security policy) bij webapps. Dat is een extra aanvullende maatregel die helpt tegen exploitatie. En die is er bijna nooit. Terwijl die voor een hacker – en ook voor een ethisch hacker dus – écht irritant en vertragend is als het er wel is.”

Heb je nog een security tip voor organisaties?

“Het is moeilijk om met een universele tip die altijd goed werkt te komen. Want bij een webapplicatie heb je een heel ander speelveld dan bij een netwerk. Maar als ik dan iets universeels moet zeggen, dan is het MFA. Dat werkt altijd. En ook echt heel goed.

En een andere tip is jezelf kritische vragen stellen: want heb je enig idee je of je applicatie of netwerk veilig is? En weet je dat echt zeker? Hoe weet je dat? Vaak zijn webapplicaties gebouwd en wordt er gezegd dat het veilig is. Maar dat hoeft niet zo te zijn. Het stellen van die kritische vragen kan uitdagend zijn. Dus mijn laatste tip is vast geen verrassende: in dat geval kan samenwerken met een ethisch hacker erg helpen!”

Hackers maken organisaties en individuen het leven zuur. Ransomware, malware, spyware: ze hebben van alles in huis om apparaten en systemen te infecteren. Maar hoe doen ze dat? Wat is hacken nou echt?

Wat is hacken?

De vaakst voorkomende definitie van hacken is “Het ongeautoriseerd misbruiken van digitale apparaten”. In het Wetboek van Strafrecht hangen ze er de term computervredebreuk aan. Dat vangt de essentie eigenlijk wel. Vaak weten hackers op afstand toegang te krijgen tot deze digitale apparaten.
 

Het imago van hacken

De omschrijving in de blogintroductie is precies het beeld wat de meesten van hackers hebben. Rotzakken die met ransomware rondstrooien. Waar cybercriminelen om bekend staan is hacken om geld, om spionage, om data, om protest, om ontwrichting. Alles voor het eigen gewin.

Maar: wij hebben ook hackers in dienst. Die betalen we alleen niet om een schop tegen de maatschappij te geven. Ethisch hackers zetten het hacken in om cybercriminelen tegen te werken. Hoe? Met aanvalssimulaties brengen ze kwetsbaarheden in kaart voordat kwaadwillenden dat doen. Ze hacken in het belang van cyber security.
 

Redenen om te hacken

Er is dus een onderscheid tussen kwaadwillende hackers (black hats), ethisch hackers (white hats) en hackers die in het grijze gebied vallen (grey hats). Ook zijn er hacktivisten die vanuit activistische redenen hacken. De meest bekende groep hacktivisten is Anonymous. We gaan nog even in op de beweegredenen van black hats en white hats:
 

Kwaadwillende hackers/black hats

1. De meest bekende reden om te hacken is – we hebben hem al genoemd – het verdienen van geld. Op het Dark Web is er een enorme handel naar creditcardnummers, data zoals (admin)credentials, en zelfs ingangen tot systemen van bedrijven. Andere hackers verdienen juist hun geld door ransomware te ontwikkelen en die dan weer als een service te verkopen.

2. Bedrijfsspionage: het voelt als iets uit films, maar het komt in de werkelijkheid gewoon voor. Organisaties betalen dan een hacker om in de systemen van concurrenten binnen te dringen en daar gevoelige informatie te ontfutselen. In sommige gevallen gaan de hackers een stap verder: dan vallen ze aan om een bedrijf volledig plat te leggen.

3. We hebben gezien dat zowel Rusland als Oekraïne cyberaanvallen als oorlogswapen tegen elkaar inzetten. Er is natuurlijk voldoende discussie te voeren of deze aanvallen (per partij) kwaadwillend of te verantwoorden zijn. Omdat het gaat om ontwrichtende aanvallen, hebben we deze nu even onder kwaadwillend gezet.

4. Tot slot zetten kwaadwillende hackers ook hackacties op om hun eigen reputatie in de hackersgemeenschap te verbeteren. Er is een gebruik als hacker een eigen hackteken achter te laten op een veroverde website.
 

Ethisch hackers/white hats

1. Het doel van deze hackers is altijd het verkrijgen van inzicht in de cyber security van bedrijven, ten behoeven van de veiligheid. Die inzichten zijn de voedingsbodem voor verbeteringen in de digitale beveiliging.

2. Ze testen doorgaans webapplicaties, systemen of netwerken op kwetsbaarheden. Dit doen ze in de vorm van aanvalssimulaties: ze bewijzen in de praktijk dat er een beveiligingslek is door deze actief te hacken.

3. Ethisch hackers houden zich – soms – bezig met het schrijven van plugins of software programma’s waar andere white hats iets aan hebben. Het verbeteren van de best practices van de white hat community dus.
 

Wat doet een hacker om te hacken?

Nu het echte hoe en wat achter hacken: want hoe pakt een hacker een hack aan? Het onbevredigende antwoord is dat elke hackactie anders is. Dat heeft alles te maken met hoe IT-infrastructuren (en de kwetsbare plekken) per organisatie verschilt. Maar: over de algemene aanpak van een hacker valt veel te zeggen! Dat gaan we doen ook:
 

Net zo nieuwsgierig als een stalker

De grap “Hackers zijn mega stalkers” is meer dan eens gemaakt door hackers. Die vergelijking is zo gek nog niet. Want een hack staat of valt met de nieuwsgierigheid van de hacker. Is de hacker bereid flink veel informatie te verzamelen? Die informatie door te spitten? Én relaties te leggen binnen die informatie? Dan is de hack al sneller succesvol.
 

De stappen van hacken

Vaak doorlopen hackers een aantal stappen om een hack succesvol te laten zijn. Het start altijd met het “stalken”. Al heeft het op het gebied van hacken een andere naam: namelijk Reconnaissance.

We maken natuurlijk wel even de kanttekening dat elke hack er anders uit ziet. Elk doelwit heeft zijn eigen kwetsbaarheden: die verschillen altijd!
 

Reconnaissance

Wie wil hacken, moet eerst meer weten over het doelwit. Welke apparatuur gebruiken ze? Welke programma’s/software? Wie werken er? Wat doen die mensen binnen de organisatie? Welke mailservice gebruiken ze? Wat vinden ze interessant?

Al deze informatie maakt het makkelijker het zwaktepunt te vinden en erop in te spelen. Want: bij het ene doelwit is een phishingactie geschikt, en bij het andere doelwit kan juist een exploit genoeg zijn.
 

Passive Reconnaissance

Reconnaissance is onder te verdelen in Passive en Active. Bij Passive Reconnaissance verzamelt de hacker informatie zonder contact te maken met het doelwitsysteem. De hacker zoekt bijvoorbeeld op internet zoveel mogelijk informatie over het bedrijf en haar medewerkers op. Tot social media aan toe!
 

Active Reconnaissance

Active Reconnaissance staat voor het actief zoeken van informatie om te kunnen hacken. Met actief bedoelen ze in dit geval dat de hacker contact legt met het doelwitsysteem. Dit is risicovol: als het doelwit gebruik maakt van een SIEM kan het zijn dat ze de hacker detecteren. Voorzichtigheid is dus belangrijk.
 

De Reconnaissance tijdlijn

Oké, het doel van Reconnaissance is dus zoveel mogelijk informatie verzamelen. Dat betekent niet dat het ongestructureerd informatie bulken is. Om succesvol te hacken, is het doorgaans verstandig antwoord te hebben op de volgende 6 (technische) vragen:

1. Wat is de network range?
2. Welke active machines zijn er?
3. Wat zijn de open ports en access points?
4. Wat draait er op de open ports (en OS)?
5. Hoe ziet het netwerk eruit?
6. Welke informatie (van het web) komt nog meer van pas?
 

Concrete voorbeelden van hacken

Na de Reconnaissance fase is het tijd voor actie. Hacken dus! Voor een voorbeeld dat stap voor stap in gaat op het hacken van een doelwit is een losse blogpost nodig. Daarom hier twee kleine voorbeelden die aangeven hoe de methode per doelwit erg verschillend kan zijn.
 

Doelwit 1 – Exploit

De hacker trekt na de Reconnaissance fase de conclusie dat een exploit voldoende is om binnen te komen. Er is namelijk een service niet gepatcht terwijl er een kwetsbaarheid zit in de oude versie. De hacker haalt een voorgeleverde exploit van een exploitdatabase, hij typt de code in en… Hij heeft toegang!

Voor kwaadwillende hackers is het nu enkel nog een kwestie van data stelen en/of ransomware plaatsen. Ethisch hackers zetten deze vondst in een rapport.
 

Doelwit 2 – Websitefoutje

Bij het contactformulier van de website van het doelwit is het ook mogelijk bestanden mee te sturen. De website controleert alleen niet wat voor bestanden dat zijn. Niet alleen PDF’s en foto’s: ook PHP-pagina’s zijn mogelijk.

Wat doet de hacker? Die uploadt een eigen PHP-pagina, zodat die op de server van het doelwit komt te staan. In deze PHP-pagina heeft hij aan de achterkant een reverse shell gestopt. Hij voert de PHP-pagina uit en ja hoor: toegang!
 

Hacken start met stalken

Geen hack zonder goed stalkwerk. Als het om hackers gaat, is nieuwsgierigheid haast een belangrijkere eigenschap dan technisch inzicht. Heeft u naar aanleiding van deze blogpost vragen gekregen over – met name ethisch – hacken? Neem vrijblijvend contact met ons op.

“Een pentest is niet eenmalig”: wie zich verdiept in pentests is deze uitspraak vast al eens tegengekomen. Maar wat betekent het nou echt? Hoe vaak zijn penetratietesten daadwerkelijk nodig?

Uitspraken over de niet-eenmaligheid van penetratietesten wekken snel de indruk dat pentesten al snel verandert in een slepend proces. Iets dat – als u niet uitkijkt – maandelijks terugkomt. “Er is geen budget voor periodieke pentests, dus laat die eerste dan ook maar zitten” is dan de gedachte. Logisch maar wel onhandig: want organisaties lopen daarmee een hoop inzicht – en dus veiligheid – mis.
 

Dus: hoe vaak zijn penetratietesten nodig?

Wanneer u googelt op deze vraag, zijn de antwoorden uiteenlopend. Al lijken “1 keer per 6 maanden” en “nog liever 1 keer per maand” de meest voorkomende reacties. Ja, daar zijn we het mee eens. Maar… Ons échte antwoord is misschien wat onconventioneler: het kunnen er soms ook ietsje minder zijn.

Want laten we realistisch blijven. Niet elke organisatie heeft geld voor een tal aan pentests per jaar. Of genoeg personeel om elke maand te schakelen met een pentester. Kortom: niet elke organisatie is ingericht op maandelijkse of halfjaarlijkse pentests. In dat geval is doelgericht pentesten een goede optie.

Hoe u doelgericht pentesten eruit ziet? Daar gaan we later in dit artikel dieper op in.
 

Eén pentest is beter dan geen pentest

Omdat een pentest een momentopname is en alleen weergeeft hoe een systeem, website of (web)applicatie er op dat moment uit zag, is periodiek testen altijd het beste. Maar laten we eerlijk zijn: één pentest is beter dan geen pentest. Zeker wanneer een systeem of applicatie al lang in gebruik is, is de kans op kwetsbaarheden bijna gegarandeerd. Een pentest brengt deze in kaart en geeft u de gelegenheid ze te verhelpen.
 

De voordelen van maandelijkse penetratietesten

Elke maand of halfjaar pentesten is slim, want zo zit het in de routine en is de organisatie gewend erop in te spelen. De verantwoordelijken zijn dan gewend dat er periodiek actiepunten uit een penetratietest naar voren komen. Zijn er kwetsbaarheden? Dan zijn de stappen om deze te verhelpen in dit geval vaak sneller gezet.

Die stappen hoeven niet altijd groots te zijn. Bij de eerste paar pentests komt er vaak veel boven. Maar hoe vaker u penetratietesten laat uitvoeren, hoe minder er – als het goed is – uit naar voren komt. Tenzij u (bijvoorbeeld een applicatie) door blijft ontwikkelen natuurlijk. Dan is de kans reëel dat een pentest altijd nieuwe kwetsbaarheden blootlegt.
 

Voorbeelden & voordelen van doelgericht pentesten

Het is ook een optie juist doelgericht om te gaan met pentests. Dat houdt in: pentesten op de belangrijke momenten, dus niet op gezette momenten in het jaar. Wat die belangrijke momenten zijn? We zetten een paar voorbeelden op een rijtje:

• Bijvoorbeeld na het ontwikkelen van een (web)applicatie, vlak voor de livegang
• Nadat er nieuwe functionaliteiten zijn geïmplementeerd (of juist tijdens de nieuwe ontwikkelingen)
• Wanneer een systeem of applicatie al lang zonder toetsing in gebruik is
• Op de momenten dat dit moet voor de compliance van een certificaat
• Nadat security verbeteringen zijn doorgevoerd, een controlepentest dus

Vaker pentesten geeft altijd meer inzicht. Maar wanneer periodiek niet mogelijk is, is doelgericht pentesten een goede manier om kosten onder controle te houden en toch inzicht te winnen. Een groot voordeel wanneer uw organisatie het moet doen met beperkte budgetten dus.
 

Penetratietest in combinatie met vulnerability scans

Wie de cyber security ontwikkelingen een beetje bijhoudt, weet dat er zeer regelmatig nieuwe kwetsbaarheden opduiken. Die ontstaan onder andere wanneer software of besturingssystemen een nieuwe update krijgen. Hoe ernstiger de kwetsbaarheid, hoe groter de kans dat hackers deze massaal exploiteren. De Log4J kwetsbaarheid is daar een goed voorbeeld van.

Om naast pentests op de hoogte te blijven van kwetsbaarheden in aangekochte software, zijn vulnerability scans in de vorm van vulnerability management software een goede toevoeging. Zo verkrijgt u inzicht vanuit beide disciplines (het hele jaar door).

Vragen over penetratietesten en vulnerability scans?

Overweegt u een pentest voor uw organisatie? Of heeft u een vraag over vulnerability scans? Neem vrijblijvend contact met ons op voor meer informatie.

Inmiddels is ethisch hacken geen onbekende term meer. Dat was jaren geleden wel anders: er werd er nogal vreemd bij opgekeken. En eerlijk is eerlijk, bij een hacker denkt niemand zo snel aan een ethisch persoon. Maar niets is minder waar: de wereld kent tegenwoordig een hoop hackers met goede bedoelingen.

Maar wat onderscheidt een ethisch hacker van een kwaadwillende hacker? Wat doet een ethisch hacker (ook wel white hat) precies? En waarom zou elk cyber security bedrijf er minimaal één in dienst moeten hebben? In dit artikel vertellen we alles over white hat hacking.

Wat is ethisch hacken? En waar is het voor bedoeld?

Ethisch hacken verschilt qua handelingen niet veel van kwaadwillende hackpogingen. Het verschil zit hem in de intentie. Een ethisch hacker probeert namelijk beveiligingsproblemen, kwetsbaarheden en lekken te achterhalen om ze te verhelpen. Niet om deze te misbruiken. Het doel van een ethisch hacker is juist kwetsbaarheden vinden voordat een kwaadwillende ermee aan de haal gaat.

Doordat een ethisch hacker (onder andere) netwerken actief aanvalt, weet een organisatie precies hoe ze de kwaadwillende hackers buiten moeten houden. Dit alles is terug te vinden in een rapportage van de ethisch hacker.

Het grootste verschil met kwaadwillend hacken

Een ethisch hacker heeft altijd het doel een organisatie te helpen met het verbeteren van de IT-security. Sterker nog: een ethisch hacker handelt alleen met toestemming van de organisatie. Dit moet schriftelijk zijn vastgelegd. Is dat niet het geval? Dan is het hacken niet toegestaan en is de hacker zelfs in overtreding van de wet.

White hats, Black hats en Grey hats

Eerder noemden we de term “white hat hacking”. Waarschijnlijk had u de rekensom al gemaakt: we bedoelen daarmee ethisch hacken. Een ethisch hacker wordt namelijk ook wel white hat genoemd in de hackers wereld. Dat duidt meteen helder het contrast aan met hackers die minder goede bedoelingen hebben. Zij hebben de naam “black hats”.

Black hats

De motieven van black hats? Die lopen uiteen, maar vaak is geld verdienen de grootste motivatie. Zo stelen ze data om door te verkopen of manipuleren of gijzelen ze bestanden in de hoop dat een organisatie losgeld betaalt. Sommige black hat hackers handelen enkel uit wraak. Of ze worden betaald een (concurrerend) bedrijf reputatie schade aan te brengen.

Waarom elk cybersecurity bedrijf een ethisch hacker moet hebben

Frank Abagnale Jr had ooit de bekende uitspraak: “Think like a criminal to beat them at their own game”. Dat is precies de reden waarom een ethisch hacker onmisbaar is in elk cybersecurity bedrijf. Een gat is tenslotte pas te dichten wanneer u weet dat het er zit. White hats zijn in staat in de huid van een black hat te duiken en daarmee verrassende ingangen in de IT-infrastructuur te achterhalen. En te sluiten.

Welke situatie  u een ethisch hacker ook voorlegt: ze gaan altijd op zoek naar het zwakke punt. En testen hoe gevaarlijk die is. “Wat kan ik ermee? Wat gebeurt er als ik dit ermee doe? En welke impact heeft deze actie?” Deze werkwijze geeft een heel realistisch beeld van de gevaren.

Een gemengd team is een dreamteam

De werkwijze van een ethisch hacker complimenteert daarmee sterk met de mindset van een typische blue teamer. Die analyseren vooral welke potentiële risico’s er zijn. Aan de hand daarvan dragen ze oplossingen aan. Een combinatie van die mindsets vormt al snel een dreamteam.

Zeker voor een cybersecuritybedrijf met veel verschillende dienstverleningen is het wenselijk om een paarse opstelling te hebben. Blue en red gecombineerd dus. Hun specialismen komen namelijk goed in elkaars proces van pas.

Uw IT-omgeving laten testen door een ethisch hacker?

Neem vrijblijvend contact met ons op voor meer informatie of een afspraak. Meer lezen over de werkwijze van een ethisch hacker? Lees hier artikelen over pentests.

De penetratietest: is dat hetzelfde als een security audit? En is er bij het laten uitvoeren van een pentest risico dat systemen kapot gaan? Nu de penetratietest steeds meer bekendheid krijgt, zijn er ook een aantal misvattingen de wereld in geholpen. In dit artikel gaan we er dieper op in en brengen we wat nuance aan.

Wat is een penetratietest?

Allereerst: wat is een penetratietest/pentest ook alweer? Tijdens een penetratietest probeert een ethisch hacker met verschillende technieken toegang te krijgen tot uw digitale omgeving: precies zoals een cyberaanvaller dat ook zou doen.

Alle bevindingen worden opgenomen in een pentest-rapport. Zo krijgt u inzicht in de belangrijke risico’s die uw organisatie loopt. Daarnaast bent u in staat om onopgemerkte kwetsbaarheden die kunnen leiden tot datalekken gericht en tijdig op te lossen. Zeker wanneer uw organisatie veel data verwerkt, is een penetratietest een aanrader. Please Payrolling liet precies om die reden een penetratietest uitvoeren.

De misvattingen over penetratietests

Er valt nog veel meer te vertellen over wat een penetreatietest precies is. Nieuwsgierig? In dit artikel gaat onze ethisch hacker dieper in op het pentesten van webapplicaties. Hieronder de meest voorkomende misvattingen en onze kijk erop:

1. Een Vulnerabiliy Assessment en een pentest zijn ook hetzelfde

Net als een penetratietest dat doet, richt een Vulnerability Assessment zich op het achterhalen en classificeren van kwetsbaarheden. Security experts zetten een uitgebreide toolset in om een rapportage te maken.

Hierbij hoeft het daadwerkelijk aanvallen van de infrastructuur niet bij aan bod te komen, wat bij een pentest wel altijd het geval is. Een pentest verifieert daarmee altijd de kwetsbaarheid, terwijl een Vulnerability Assessment inschat dat de kwetsbaarheid er waarschijnlijk is.

2. Penetratietesten en Security Audits zijn hetzelfde

Ja, zowel een pentest als een security audit heeft het doel inzicht te geven in de veiligheid van uw systemen. Daar houden de gelijkenissen echter al op. Waar een pentester de activiteiten van een hacker actief nabootst om kwetsbaarheden te achterhalen, is een security audit een theoretische rapportage aan de hand van een checklist. Beiden op een andere manier handig dus.

3. Een pentest is altijd preventief

In een ideale wereld is een pentest inderdaad altijd preventief. Het geeft tenslotte de mogelijkheid hackers een stap voor te zijn door kwetsbaarheden op te lossen voordat iemand ze kan misbruiken. Maar wist u dat een penetratietest ook handig is ná een datalek? Door te snappen wat er mis is gegaan, is het mogelijk de kwetsbaarheid die heeft geleid tot een datalek te verhelpen. Zo voorkomt u dat u vaker de dupe bent van cyberaanvallen.

4. Penetratietests richten zich alleen op de techniek

Vaak ligt de focus op techniek bij een pentest, dat klopt. Maar wist u dat social engineering net zo goed binnen de scope van een penetratietest kan vallen? Zoals we eerder benoemden, kruipt een ethisch hacker tijdens een pentest in de huid van een aanvaller. Hackers zetten regelmatig phishing-acties in bij een aanval. Het opzetten van een nep-phishingacties om nieuwe wegen naar binnen te ontdekken, kan dus ook binnen de werkzaamheden van een pentester vallen.

5. Een pentest kan alleen op een netwerk

Een pentest is meer een mindset dan een harde opdracht. Alles met hardware en software is te pentesten. Zo testen wij in de praktijk niet alleen netwerken, maar ook webapplicaties, websites, apps, etc.

6. Een geautomatiseerde pentest is een volwaardig alternatief

Het is niets nieuws dat automatisering in sommige gevallen sneller, efficiënter en consistenter is dan het handmatige alternatief. Dat geldt voor een penetratietest niet. Natuurlijk, een geautomatiseerde test/scan levert altijd wat op.  Het ontbreken van een specifieke scope, maakt echter dat belangrijke kwetsbaarheden niet altijd bovenwater komen bij een automatische scan.

Zo is een pentest tool niet in staat strategisch te denken zoals een ethisch hacker (en dus ook een aanvaller) dat kan. Daarnaast houdt een tool ook geen rekening met de context van de infrastructuur. We geven hier meer informatie over in dit artikel over pentest tools.

7. Er is een risico dat penetratietests systemen kapot maken

Er zijn organisaties die liever geen pentest laten uitvoeren omdat ze bang zijn dat het schade oplevert. Deze angst is deels terecht. Wanneer iemand niet voldoende verstand heeft van het uitvoeren van een penetratietest loopt u zeker een risico. Experts zijn gewend altijd verantwoordelijk te werk te gaan. Zo testen ze enkel in testomgevingen. Gaat er iets stuk? Dan blijft dat binnen de testomgeving en heeft het geen invloed op de daadwerkelijke infrastructuur. Mits die testomgeving goed ingeregeld is, uiteraard.

8. Een penetratietest is alleen voor grote bedrijven met veel budget

Omvangrijke organisaties die veel data verwerken hebben vaker te maken met klanten die bewijs willen dat hun data veilig is, dan kleinere bedrijven. Daardoor kan het lijken dat pentests vooral worden afgenomen door bedrijven met een flinke jaarlijkse omzet. Toch is een pentest ook interessant en haalbaar voor kleinere organisaties. Zo liet Tech2B recent nog hun webapplicatie testen door ons.

Ook het argument “Bij ons is niets te halen” gaat tegenwoordig helaas niet meer op. Aanvallers richten zich steeds vaker op middelgrote organisaties om via hen bij de grote bedrijven binnen te komen. Des te meer reden om altijd op de hoogte te zijn van de cybergezondheid van uw onderneming dus.

Meer informatie over penetratietests?

Een penetratietest stelt u in staat kwetsbaarheden gericht aan te pakken, nog voordat aanvallers er misbruik van hebben gemaakt. U krijgt zodanig inzicht in beveiligingsproblemen, dat met hagel schieten nooit meer nodig is. Met een pentest weet u dat uw cybersecurity budgetten doeltreffend worden besteed. Daarnaast zijn de kosten van een pentest een stuk lager dan die van het verhelpen van de schade na een cyberaanval.

Heeft u zelf nog vragen over het laten uitvoeren van een pentest? Neem vrijblijvend contact met ons op voor al uw vragen, ook wanneer u enkel nieuwsgierig bent!