Een pentest of penetration-test gold jarenlang als dé must-do security-test voor bedrijven die wilden weten of hun security-maatregelen effectief waren. De laatste jaren wordt red teaming echter ook steeds populairder. Ook dan vindt er een realistische cyberaanval door security experts plaats, maar de simulatie gaat een stuk verder dan bij een pentest. Ben jij een IT-manager die moet bepalen of red teaming of een pentest het beste past bij het security-vraagstuk van jouw bedrijf? In dit artikel ontdek je de verschillen.
Vooraf afgebakend doel vs. pakken wat je pakken kunt
Gedragen onze security experts zich bij een pentest een beetje als piraten die op alle mogelijke manieren elke denkbare buit proberen binnen te harken; bij red teaming heb je te maken met onze undercoveragenten die onder de radar op zoek gaan naar één specifiek doel. Lukt het onze security experts om ‘de kroonjuwelen’ van jullie organisatie te pakken te krijgen, bijvoorbeeld het gepatenteerde productieproces van jullie meest succesvolle product? Daar gaat het om bij red teaming. Bij pentesting is er geen vooraf vastgesteld doel. Daarbij proberen we gewoon van buitenaf jullie netwerk zo ver mogelijk binnen te komen en misbruik te maken van alle mogelijke kwetsbaarheden die we tegenkomen.
Alleen van buitenaf vs. van binnen en buitenaf
Een ander belangrijk verschil is dat onze security experts bij een pentest alleen op afstand met hun technische skills proberen de IT-infrastructuur van jullie organisatie binnen te komen. Bij red teaming mogen ze op alle mogelijke manieren proberen hun doel te behalen, ook door bij jullie langs te komen. Denk daarbij bijvoorbeeld aan social engineering, fysieke insluiping, het klonen van jullie toegangspassen of het verspreiden van kwaadaardige USB-sticks (baiting). Hierover maken we wel goede afspraken vooraf, ook wel ‘de rules of engagement’ genoemd. Daarin staat welke grenzen wel of niet overschreden mogen worden.
Onder de radar vs. boven de rader
Is het bij een pentest vooraf duidelijk wanneer onze test gaat plaatsvinden en hoe lang deze duurt; bij red teaming is dat een heel ander verhaal. Jullie weten niet exact wanneer de aanval gaat plaatsvinden alleen in welke periode. Het kan zomaar zijn dat we een paar weken niks doen om vervolgens onze operatie weer op te starten. Vaak zijn er maar één of twee mensen in de organisatie betrokken bij de voorbereidingen voor deze test, dus de rest van de organisatie heeft niet in de gaten dat er een red teaming test gaande is.
Wat levert het op?
Bij een pentest krijgen jullie een realistisch beeld van wat er zou gebeuren bij een echte cyberaanval van buitenaf. Je weet na afloop hoe goed je monitoring werkt en je krijgt inzicht in de zwakke punten van de IT-infrastructuur van je bedrijf.
Bij red teaming krijg je een realistisch beeld van wat er zou gebeuren bij specialistisch uitgevoerde cyberaanval waarbij alle mogelijke middelen worden ingezet om een vooraf bepaald doel te bereiken. Doordat bij red teaming medewerkers niet vooraf op de hoogte zijn, kun je checken hoe security-aware medewerkers in de praktijk handelen en of zij tijdig ingrijpen bij een verdachte situatie zowel online als in jullie bedrijfspand.
Ook kom je erachter of jullie systemen aanvallen ook daadwerkelijk opmerken ook als deze ‘onder de radar’ plaatsvinden. Het maakt jullie organisatie daarmee nog weerbaarder tegen cyberaanvallen.
Kortom, hebben jullie al aantal pentests en vulnerability assessments gedaan en willen jullie weten of het mogelijk is toch toegang te krijgen tot de zeer gevoelige informatie van jullie organisatie? Dan is red teaming iets voor jullie!
Met red teaming de security-maatregelen in jouw organisatie testen?
Computest voegde onlangs red teaming toe aan zijn dienstverlening. Neem contact op met de security experts van Computest per mail via info@computest.nl of telefonisch via +31 (0)88 733 13 37 om de specifieke wensen van jouw organisatie te bespreken.