07 sep Geen red, geen blue, maar purple teaming!

Voor organisaties die het volgende informatiebeveiliging volwassenheid niveau willen bereiken lijkt het aanstellen van blue en red teams de juiste oplossing. In de praktijk blijken de teams elkaar echter niet zo goed aan te vullen, wat niet tot de gewenste veiligheid van een organisatie zal leiden.

Wat is een red team?

In een red team zitten informatiebeveiliging specialisten die proberen in te breken in de organisatie aan de hand van een vooropgesteld doel en plan. Zij gedragen zich daarbij als kwaadwillende hackers en bedenken steeds nieuwe manieren om een netwerk binnen te dringen. Daarbij zetten ze vooral offensieve maatregelen in om in te breken en streven ze ernaar om het netwerk zo diep mogelijk binnen te dringen zonder daarbij gedetecteerd te worden. Zie ook https://en.wikipedia.org/wiki/Red_team.

De redteamers zijn goed in het inbreken en weten goed hoe offensieve tooling werkt, maar vaak ontbreekt het aan inzicht in welke maatregelen het blue team heeft om aanvallen te detecteren. Zo kan het bijvoorbeeld onbekend zijn voor de red teamer wat hij aan sporen achter laat op een systeem of op welke manier dit gedetecteerd zou kunnen worden.

Wat is een blue team?

In een blue team zitten informatiebeveiliging specialisten die ervoor moeten zorgen dat de verdediging van een organisatie op orde is. Deze medewerkers zijn dus voornamelijk defensief bezig en proberen aanvallers tegen te houden, te betrappen en hacks te onderbreken.

Deze blue teamers hebben vaak verstand van hoe bepaalde defensieve maatregelen als firewalls, intrustion prevention systemen en logging oplossingen als SIEM werken. Maar vaak ontbreekt het aan kennis inzicht in hoe aanvallen vanuit een offensief perspectief daadwerkelijk plaatsvinden en welke tooling en technieken daarbij gebruikt worden. Doordat dit inzicht ontbreekt kan ook niet goed worden bepaald of de defensieve oplossingen die zijn ingericht wel daadwerkelijk correct werken tegen diverse echte aanvallen.

Wat is het probleem?

“So far so good” zou je denken. Wat echter mis gaat is dat de twee teams in de praktijk nauwelijks met elkaar communiceren en informatie over de assessments met elkaar uitwisselen. Red teamers delen niet welke activiteiten ze ontplooien en wanneer. Blue teamers vertellen niet of ze een red teamer betrapt hebben en welke verdedigingsmechanismen ze hebben geïnstalleerd. De doelstellingen van de teams zijn niet gelijk: de een wil zoveel mogelijk binnen dringen, de ander wil zoveel mogelijk hacks voorkomen. Het uiteindelijke rapport toont alleen de gevonden kwetsbaarheden en hoe dit is misbruikt, niet welke obstakels of inzichten aan beide kanten zijn ervaren. Dit verschil in focus lijkt logisch: een kwaadwillende hacker deelt ook niet met de informatiebeveiligers van een organisatie. Toch zorgt het ontbreken van gezamenlijke doelstellingen ervoor dat de teams niet bereiken wat de rest van de organisatie van ze verwacht: ze worden betaald om de business te ondersteunen!

De oplossing: purple teaming

In plaats van dat de aanvallers en verdedigers als afzonderlijke teams werken, zouden zij juist als teams samen moeten werken. Medewerkers van het red team zijn namelijk geen echte vijanden, ze simuleren alleen een aanval. Het is essentieel dat red teamers en blue teamers samen werken. Informatie over welke technieken er gebruikt zijn en welke tools er ingezet zijn zorgen ervoor dat de blue teamers betere verdediging kunnen ontwikkelen. Doordat de blue teamers melden wat zij wel of niet zien kan het red team juist weer betere offensieve tools ontwikkelen die de beveiligingen en detectie omzeilen. Op die manier leiden de teams elkaar op, krijgen ze veel meer ervaring en wordt de organisatie beter beveiligd. Dit zal in een sneller tempo de security “volwassenheid” van de organisatie omhoog tillen, wat alleen maar ten goede komt voor de beveiliging. Want uiteindelijk is dat juist het doel van beveiliging, de data van de organisatie zo goed mogelijk beschermen.