Het ZORRO-raamwerk – Red teaming voor de zorgsector
Publicatiedatum
Wat is ZORRO?
ZORRO is een red teaming raamwerk dat ontwikkeld is door Z-CERT. Het staat voor "ZOrg Redteaming Resilience Oefeningen" en is vooral geschikt voor de meer volwassen zorginstellingen. Bij deze red team tests worden de mensen, processen en systemen van zorginstellingen getest met tools en technieken die door actuele dreigingsactoren binnen en buiten de zorgsector worden gebruikt. Hierbij is het doel om op basis van de testresultaten de preventie, detectie en respons in de organisatie te beoordelen en te verbeteren.
Voor wie is ZORRO geschikt?
ZORRO, ART en red teaming in het algemeen zijn alleen effectief als er binnen de organisatie al veel aandacht is voor informatiebeveiliging. red teaming kan dan ook het best worden uitgevoerd wanneer er al een pentest is gedaan en de resultaten hiervan zijn verwerkt.
Een ander belangrijk onderdeel bij red teaming is detectie en respons. Als er niet actief aan monitoring wordt gedaan door bijvoorbeeld een Security Operations Center (SOC) dan kan een pentest wellicht geschikter zijn. Het doel van red teaming is om de detectie en respons te testen.
Red teaming kan een goede manier zijn om de toegepaste beveiligingsmaatregelen te evalueren. Echter wordt er dus wel een bepaalde mate van volwassenheid verwacht om hier ook echt waarde uit te halen.
Hoe verschilt ZORRO van ART?
Het ART-raamwerk is tot stand gekomen in samenwerking met Z-CERT, vandaar dat er ook niet enorm veel verschillen zijn tussen de twee. De belangrijkste verschillen tussen ART en ZORRO zijn als volgt:
Threat Intelligence
In het ZORRO-raamwerk is de threat intelligence fase ook verplicht, echter wordt deze uitsluitend geleverd door Z-CERT. Hierbij stelt een threat intelligence analist van Z-CERT een targeted threat intelligence-rapport op. De informatie uit dit rapport wordt vervolgens door het red team gebruikt bij het opstellen van het red team-plan. Binnen ART wordt dit omschreven als de meest uitgebreide optie voor de threat intelligence fase.
Het ART-raamwerk biedt daarentegen de mogelijkheid voor een optionele externe Threat Intellingence Provider (TIP). Binnen ART kan deze service ook geleverd worden door het Red Team of er kan gebruik gemaakt worden van bestaande threat intelligence rapporten. Dit zijn echter minder uitgebreide opties en dus biedt ZORRO deze optionele threat intelligence modules niet aan.
Red Teaming modules
ZORRO is weliswaar gebaseerd op ART, maar verwijdert bepaalde modules om het specifiek af te stemmen op de gezondheidszorgsector. Naast het verplichte red teaming scenario biedt ART ook de optionele scenario X-module aan, wat de mogelijkheid geeft om toekomstige geavanceerdere aanvallen te simuleren. Hierin ligt de focus op specifieke innovatieve technieken en tactieken die zich momenteel nog ontwikkelen, maar die wel van toepassing kunnen zijn op de sector in de nabije toekomst.
Afsluitingsfase
ART vereist uitgebreide rapportage en documentatie, waaronder een 360-feedbackrapport. ZORRO vereenvoudigt dit proces door het 360-feedbackrapport optioneel te maken en de discussie te laten plaatsvinden zonder verplichte documentatie.
Daarnaast is er in ART een formeel attestatieproces en worden de resultaten gedeeld met de relevante autoriteiten. ZORRO maakt attestering geen standaardonderdeel van het proces en laat het aan de organisatie over om de resultaten te delen met haar toezichthouder.
Het Advanced Red Teaming (ART) raamwerk biedt verschillende modules en scenario's om de Red Teaming (RT) fase vorm te geven.
De Nederlandsche Bank (DNB) heeft in april het Advanced Red Teaming (ART) raamwerk gelanceerd om kleinere banken, verzekeraars en pensioenfondsen te ondersteunen.