De toename van bedrijven die weleens te maken hebben gehad met cybercriminaliteit loopt opvallend snel op, liet Abn Amro weten op basis van onderzoek onder haar klanten. In 2022 gaf 'slechts' 39 procent van de ondervraagden aan het doelwit te zijn van cybercriminelen. Inmiddels is dit percentage bijna verdubbeld, naar 80 procent. Cyberaanvallen doen zich in meerdere gedaanten voor, waarvan phishing de meest voorkomende. Cybercriminelen proberen via e-mails, sms- of Whatsappberichten en telefoontjes mensen te verleiden om een actie uit de voeren die later schadelijk blijkt te zijn.
Figuur 1: DNB Model om tot een securitytest-roadmap te komen. Bron: DNB TIBER-team © DNB
Bovenstaand model van de DNB is op ervaring gebaseerd. Op de horizontale as wordt de mate van volwassenheid van de security-organisatie weergegeven. De verticale as toont het “trappetje” van steeds realistischer wordende aanvalssimulaties. De volgorde van stappen staat niet vast. Het kan voorkomen dat bepaalde testen regelmatig terugkomen, terwijl de meest geavanceerde testen niet jaarlijks worden uitgevoerd.
Blokje 1 t/m 4
De security-functie, meestal een CISO, krijg de opdracht op een volwassen information security-organisatie te beschrijven. Daarbij komen aan bod: fysiek, techniek (ICT), processen en mensen. Het doel is beheerste bedrijfsvoering doordat de cyberweerbaarheid van de organisatie in lijn is met relevante cyberdreiging. Een volwassen security-organisatie beschikt over de vereiste ISO27001 certificering, of een afgeleide daarvan zoals de NEN7510 voor de gezondheidszorg waarmee de basis-hygiëne op orde is.
Een Security Operating Center (SOC) of soortgelijk team doet aan logging en monitoring van events, en verzorgt de operationele incident response na detectie van een security incident. Een SOC kan intern aanwezig zijn of (deels) uitbesteed zijn bij een security provider. Threat intelligence kan de organisatie van relevante dreigingsinformatie voorzien. Er bestaat onderscheid tussen strategische, tactische en operationele dreigingsinformatie.
Blokje 5 t/m 11
Met vulnerability scanning, een technische security-test, kunnen bekende kwetsbaarheden met scanning tools geautomatiseerd worden opgespoord in technische configuraties, de IT-infrastructuur en applicaties van de organisatie. Bij pentesten wordt niet alleen gezocht naar kwetsbaarheden, maar ook of deze gebruikt kunnen worden om in te breken. Dit gebeurt vaak met een beperkte scope van bijvoorbeeld een IT-systeem of applicatie. Tijdens security awareness-testen worden werknemers en werkgevers in scope genomen. Dit kan bijvoorbeeld via trainingen.
Tijdens tabletop exercises oefent het crisismanagementteam (CMT) met een scenario waarbij een security-incident een crisis heeft veroorzaakt. Voor purpleteam-testen huurt de organisatie ethical hackers in (een redteam) om met het SOC en de verdedigende organisatie (het blueteam) te testen of maatregelen in de praktijk ook echt effectief zijn (Red + Blue = Purple, vandaar deze naam). Bij redteam-testen huurt de organisatie wederom ethical hackers in die minimaal één aanvalsscenario spelen, maar nu zonder het blueteam vooraf op de hoogte te stellen.
TIBER-testen zijn van toepassing op bedrijven die van vitaal belang zijn voor een stabiele samenleving. Hierbij worden een aantal elementen toegevoegd aan het reguliere redteamen. Er wordt getest op de live productie systemen, er is begeleiding vanuit de competente autoriteit (zoals DNB). Minimaal één boardmember is op de hoogte van de test, waardoor na de test het verbeterplan automatisch aandacht krijgt op bestuursniveau. De test is gebaseerd op threat intelligence zodat alleen realistische aanvallen worden nagespeeld. De uitkomsten van de test worden na afloop gedeeld met de toezichthouder.
Bron: DNB