Advanced Red Teaming - Assumed Compromise vs End-to-end simulatie
Publicatiedatum
Het Advanced Red Teaming (ART) raamwerk biedt verschillende modules en scenario's om de Red Teaming (RT) fase vorm te geven. Dit roept de vraag op: wat onderscheidt deze modules van elkaar en waarom zou je voor de ene kiezen in plaats van de andere?
Eén module binnen het raamwerk is de Assumed Compromise module. In deze verplichte module begint de Red Teaming-fase met de aanname dat een aanvaller al is doorgedrongen tot het interne netwerk of de cloudomgeving. Vervolgens voert het Red Team een aanvalsscenario uit, dat is gebaseerd op verschillende Technieken, Tactieken en Procedures (TTP's) die ook worden gebruikt door Advanced Persistent Threats (APTs). Optioneel kunnen hier ook twee aanvalsscenario's worden gekozen in plaats van één.
Hoewel deze module tijd bespaart door een fase over te slaan, kan dat ten koste gaan van kritieke informatie over de beveiliging van de infrastructuur. Het is daarom mogelijk om voor een uitgebreidere en realistischere module te kiezen.
De andere module die namelijk wordt aangeboden is de End-to-end simulatie, die niet de Assumed Compromise als uitgangspunt neemt, maar in plaats daarvan de gehele aanvalsketen simuleert, beginnend vanaf de buitenkant. Een groot voordeel van het starten van een aanval van buitenaf is dat het realistische scenario's simuleert die in de praktijk veel voorkomen. Hierbij kan gedacht worden aan aanvallers die door middel van phishing of kwetsbaarheden in de externe infrastructuur toegang krijgen tot het interne netwerk.
Daarnaast maakt het starten van buitenaf het mogelijk om de technische beveiligingsmaatregelen te evalueren. Microsoft 365 is bijvoorbeeld vaak het doelwit van aanvallers in phishingcampagnes omdat het een gemakkelijke manier kan zijn om het netwerk en/of de cloudomgeving binnen te dringen. Phishing is dan ook nog steeds verreweg de meest voorkomende aanval en de technieken die aanvallers gebruiken worden steeds geavanceerder. Zo worden zogenoemde Attacker-in-Middle (AiTM) phishingaanvallen vaak gebruikt om zelfs meerfactorauthenticatie (MFA) te omzeilen, waarmee vervolgens toegang tot de cloudomgeving wordt verkregen.
Is uw organisatie in staat om dit soort bedreigingen effectief te detecteren en zich ertegen te verdedigen? Als dat een vraag is die niet volledig kan worden beantwoord, dan kan de End-to-end simulatie wellicht het antwoord bieden.
De Nederlandsche Bank (DNB) heeft in april het Advanced Red Teaming (ART) raamwerk gelanceerd om kleinere banken, verzekeraars en pensioenfondsen te ondersteunen.
Een kwetsbaarheidsscan, penetratietest (pentest) en een Red Team-sessie zijn verschillende manieren om cybersecurity te testen.