Voorbereiden op een cyberaanval met securitytesten

Voorbereiden op een cyberaanval met securitytesten

Cyberaanvallen komen vaak voor, en in vele soorten. Met securitytesten kun je jezelf voorbereiden, mocht het echt gebeuren. In de test kun je een aanvaller naspelen om gericht kwetsbaarheden te onderzoeken en de weerbaarheid te verhogen. DNB legt uit welke type testen er zijn en hoe ze onderling samenhangen.

De toename van bedrijven die weleens te maken hebben gehad met cybercriminaliteit loopt opvallend snel op, liet Abn Amro weten op basis van onderzoek onder haar klanten. In 2022 gaf 'slechts' 39 procent van de ondervraagden aan het doelwit te zijn van cybercriminelen. Inmiddels is dit percentage bijna verdubbeld, naar 80 procent. Cyberaanvallen doen zich in meerdere gedaanten voor, waarvan phishing de meest voorkomende. Cybercriminelen proberen via e-mails, sms- of Whatsappberichten en telefoontjes mensen te verleiden om een actie uit de voeren die later schadelijk blijkt te zijn. 

Figuur 1: DNB Model om tot een securitytest-roadmap te komen. Bron: DNB TIBER-team © DNB

Bovenstaand model van de DNB is op ervaring gebaseerd. Op de horizontale as wordt de mate van volwassenheid van de security-organisatie weergegeven. De verticale as toont het “trappetje” van steeds realistischer wordende aanvalssimulaties. De volgorde van stappen staat niet vast. Het kan voorkomen dat bepaalde testen regelmatig terugkomen, terwijl de meest geavanceerde testen niet jaarlijks worden uitgevoerd.  

Blokje 1 t/m 4

De security-functie, meestal een CISO, krijg de opdracht op een volwassen information security-organisatie te beschrijven. Daarbij komen aan bod: fysiek, techniek (ICT), processen en mensen. Het doel is beheerste bedrijfsvoering doordat de cyberweerbaarheid van de organisatie in lijn is met relevante cyberdreiging. Een volwassen security-organisatie beschikt over de vereiste ISO27001 certificering, of een afgeleide daarvan zoals de NEN7510 voor de gezondheidszorg waarmee de basis-hygiëne op orde is. 

Een Security Operating Center (SOC) of soortgelijk team doet aan logging en monitoring van events, en verzorgt de operationele incident response na detectie van een security incident. Een SOC kan intern aanwezig zijn of (deels) uitbesteed zijn bij een security provider. Threat intelligence kan de organisatie van relevante dreigingsinformatie voorzien. Er bestaat onderscheid tussen strategische, tactische en operationele dreigingsinformatie.  

Blokje 5 t/m 11 

Met vulnerability scanning, een technische security-test, kunnen bekende kwetsbaarheden met scanning tools geautomatiseerd worden opgespoord in technische configuraties, de IT-infrastructuur en applicaties van de organisatie. Bij pentesten wordt niet alleen gezocht naar kwetsbaarheden, maar ook of deze gebruikt kunnen worden om in te breken. Dit gebeurt vaak met een beperkte scope van bijvoorbeeld een IT-systeem of applicatie. Tijdens security awareness-testen worden werknemers en werkgevers in scope genomen. Dit kan bijvoorbeeld via trainingen. 

Tijdens tabletop exercises oefent het crisismanagementteam (CMT) met een scenario waarbij een security-incident een crisis heeft veroorzaakt. Voor purpleteam-testen huurt de organisatie ethical hackers in (een redteam) om met het SOC en de verdedigende organisatie (het blueteam) te testen of maatregelen in de praktijk ook echt effectief zijn (Red + Blue = Purple, vandaar deze naam). Bij redteam-testen huurt de organisatie wederom ethical hackers in die minimaal één aanvalsscenario spelen, maar nu zonder het blueteam vooraf op de hoogte te stellen. 

TIBER-testen zijn van toepassing op bedrijven die van vitaal belang zijn voor een stabiele samenleving. Hierbij worden een aantal elementen toegevoegd aan het reguliere redteamen. Er wordt getest op de live productie systemen, er is begeleiding vanuit de competente autoriteit (zoals DNB). Minimaal één boardmember is op de hoogte van de test, waardoor na de test het verbeterplan automatisch aandacht krijgt op bestuursniveau. De test is gebaseerd op threat intelligence zodat alleen realistische aanvallen worden nagespeeld. De uitkomsten van de test worden na afloop gedeeld met de toezichthouder. 

Bron: DNB

Tenderoverzicht week 45 (donderdag 7 november)

Tenderoverzicht week 45 (donderdag 7 november)

Service Management publiceert elke donderdag het tenderoverzicht. Dat is het laatste nieuws over openstaande en gegunde schoonmaakaanbestedingen via TenderNed.

Jacco Vonhof (MKB-Nederland): "Zorgen om verlies ondernemerschap in Nederland"

Jacco Vonhof (MKB-Nederland): "Zorgen om verlies ondernemerschap in...

"Nederland let op uw zaak!" Die waarschuwing uitte voorzitter Jacco Vonhof tijdens het jaarcongres van MKB-Nederland in Zwolle. Door de overname van middenbedrijven door (buitenlandse) private equity partijen, de onvoldoende doorgroei van kleinere bedrijven én het zeer hoge aantal zzp'ers dat geen werkgever wil worden, vreest hij voor verlies van het ondernemerschap dat Nederland in alle opzichten juist zo hard nodig heeft. "Bedrijven die lokaal zijn geworteld en met grote betrokkenheid bij hun omgeving opereren, die de oplossingen en innovaties hebben voor de grote transities. Als we dat soort ondernemerschap in toenemende mate kwijtraken, is de impact groter dan alleen economisch. We zijn nu nog op tijd om deze trend te keren. Het kabinet heeft een aantal goede plannen, maar die moeten nog wel gerealiseerd worden."

Kamer in debat over veelbesproken vroegpensioen zware beroepen

Kamer in debat over veelbesproken vroegpensioen zware beroepen

De Tweede Kamer praat met minister Eddy van Hijum (Sociale Zaken) over een vroegpensioenregeling voor mensen die een zwaar beroep uitoefenen. De tijdelijke regeling loopt eind volgend jaar af, en vakbonden voeren in verschillende sectoren, waaronder de schoonmaak, zeer zichtbare acties om de druk op te voeren om tot een nieuwe, structurele regeling te komen.

ICS en het Van Maerlant lyceum bundelen krachten

ICS en het Van Maerlant lyceum bundelen krachten

ICS en het Van Maerlant lyceum bundelen hun krachten en zetten zich samen in voor verduurzaming en vergroening van het lyceum.