Inzet redteams met ethische hackers het ultieme wapen tegen professionele cybercriminelen

In een Amsterdams kantoor staat een aanvalsteam van zeven personen op het punt het productieproces van een groot chemieconcern plat te leggen. Alle leden van dit zogeheten redteam staren geconcentreerd naar een groot computerscherm. Naast het scherm hangt een in verschillende kleuren uitgewerkt cyber kill chain-diagram. Experts in computercriminaliteit visualiseren daarmee de verschillende fases van een professioneel opgezette cyberaanval. Na enkele weken van voorbereiding heeft het redteam zojuist een stukje zelfgemaakte code geplaatst op een van de servers van hun doelwit. Een kwaadaardige code zou het productieproces van een extreem brandbare grondstof kunnen saboteren. Dat kan leiden tot brand, explosies en mogelijk zelfs het faillissement van het bedrijf. 

Wapenwedloop cybercriminelen 

Gelukkig bestaat het redteam niet uit criminelen, maar uit experts van PwC. De zakelijke dienstverlener zet het team regelmatig in om de digitale beveiligingslinies van opdrachtgevers serieus op de proef te stellen. “Steeds meer bedrijven beseffen dat ook de beste beveiligingssoftware geen absolute garanties biedt”, stelt Wouter Otterspeer, expert cybersecurity bij PwC. “Dat geldt ook voor standaardcontroles van die beveiliging, zoals de zogeheten penetratietests. We leven nu in de ‘assumed state of compromise’. De wapenwedloop met cybercriminelen, die doorlopend speuren naar mogelijke kwetsbaarheden in je beveiliging, is namelijk nooit gewonnen. Door de inzet van een redteam met ethische hackers blijf je kwaadaardige hackers en andere criminelen een stapje voor.”

Realistische aanvalsscenario’s 

Bovendien kan de opdrachtgever precies zien hoe de organisatie reageert op een echte aanval en de schadelijke gevolgen daarvan. Vaak zijn slechts enkele medewerkers van het begin van de actie op de hoogte, en worden hun collega’s volledig verrast. Dat vereist echter wel realistische aanvalsscenario’s. PwC’s redteam simuleert daarom de werkwijze van bekende groepen criminele hackers. “Deze groepen specialiseren zich vaak in één specifieke soort organisatie of branche”, vertelt Otterspeer. “Bij financiële instellingen proberen ze bijvoorbeeld geld weg te sluizen. Bij retailers zijn creditcardgegevens een interessante buit. Producenten lopen het risico op bedrijfsspionage. Of een poging tot chantage, waarbij de criminelen dreigen data te lekken of sabotage te plegen.”

Gedegen voorbereiding

Om deze dreiging zo realistisch mogelijk te kunnen nabootsen, gebruikt het redteam dezelfde software, tools, inzichten en voorbereiding als de professionele cybercriminelen. Ruim voor de feitelijke aanval zijn enkele leden daarom al begonnen met het verzamelen van zoveel mogelijk informatie over het beoogde doelwit. “Welke medewerkers bezetten bijvoorbeeld sleutelposities, met welke andere collega’s hebben ze regelmatig contact en welke bekende kwetsbaarheden heeft de door hun gebruikte software?”, somt Otterspeer op. “Die informatie filteren we uit websites, personeelsadvertenties, socialmedia-accounts en bijvoorbeeld ook het dark web. Dit afgeschermde gedeelte van het internet gebruiken criminelen vaak om informatie uit te wisselen.”

Psychologische inzichten

Enkele redteam-leden hebben een achtergrond in de psychologie. Met behulp van hun inzicht in de menselijke psyche en de verzamelde informatie kunnen zij bijvoorbeeld e-mails produceren die op de ontvanger zeer authentiek en relevant overkomen. In vaktermen heet dat social engineering. Een simpele klik levert dan de gewenste opening voor de technische leden van het redteam. Via de computer van de nietsvermoedende medewerker installeren ze bijvoorbeeld een op maat gemaakt virus, of downloaden ze gevoelige bestanden. Otterspeer: “Wij zien ook wel dat hackers eerst maandenlang de communicatie binnen het bedrijf monitoren. Pas als ze precies weten hoe alles daar in zijn werk gaat, laten ze onder valse voorwendselen een groot geldbedrag overmaken. Daar hebben ze alle tijd voor: gemiddeld duurt het 252 dagen voordat bedrijven erachter komen dat ze gehackt zijn.”

Preventieve maatregelen 

Uiteraard informeert het redteam van PwC de opdrachtgever wél direct over de geslaagde hack. Om de gehele operatie daarna nog eens nauwgezet uit te voeren. “Bij die tweede operatie kijken de betrokken medewerkers bij de opdrachtgever echter van begin tot einde mee”, vertelt Otterspeer. “Zo kunnen we samen de bestaande preventieve maatregelen op een heel praktijkgerichte wijze evalueren en verbeteren. Net als de mogelijkheden om een soortgelijke aanval de volgende keer wél op tijd te detecteren. En natuurlijk kijken we daarna direct naar een optimale response op de schade die bij een echte aanval mogelijk zou zijn ontstaan. Al die punten leggen we vast in een uitgebreid rapport over onze redteam-operatie.”

Evidente businesscase

De inzet van het redteam sluit voor veel opdrachtgevers nauw aan op de steeds stringentere wetgeving op dit gebied. Na de Algemene Verordening Gegevensbescherming (AVG) is recent ook de nieuwe Wet beveiliging netwerk- en informatiebeveiliging (WBNI) ingevoerd. Die dicteert onder meer dat bedrijven ‘passende en evenredige technische en organisatorische maatregelen moeten nemen’ om hun ICT-omgeving te beveiligen. “Ook deze wet voorziet in forse boetes voor bedrijven die achterblijven”, aldus Otterspeer. “Die komen dan nog bovenop de kosten voor herstel, reputatieschade en mogelijke schadeclaims. Bij elkaar heb je het dan al snel over zeer forse bedragen. Ook dat dringt veel beter door in de bestuurskamer als er sprake is van een heel concrete situatie, die je in cijfers kunt uitdrukken. Zo heb je de businesscase voor een redteam-operatie dus al snel voor elkaar.”