Wat is Red Teaming?
Red Teaming wordt steeds vaker gebruikt als een effectieve methode om de veiligheid van organisaties te verbeteren. Maar wat is Red Teaming nu eigenlijk? En hoe kan het worden toegepast op fysieke beveiliging?
En wat vinden de beveiligingsmedewerkers hiervan?
Red Teaming is een strategie waarbij een groep professionals, het zogenaamde Red Team, op doortastende wijze de zwakke plekken in de fysieke beveiliging van een organisatie identificeert. Ze werken onafhankelijk van het interne beveiligingsteam en simuleren aanvallen om zo potentiële kwetsbaarheden bloot te leggen.
Het doel van Red Teaming is tweeledig. In de eerste plaats streeft het naar het identificeren van kwetsbaarheden in de huidige beveiligingsmaatregelen. Deze kunnen variëren van slecht geplaatste bewakingscamera's tot inefficiënte toegangscontrolesystemen. De uitkomst van een Red Teaming oefening is niet zelden een verrassing en biedt inzichten die altijd iets opleveren.
Door kwetsbaarheden bloot te leggen, kan er gericht gewerkt worden aan verbeteringen.
Daarnaast draagt Red Teaming ook bij aan een proactieve benadering van de fysieke beveiliging. Het gaat niet alleen om het signaleren van bestaande zwaktes, maar ook om het anticiperen op toekomstige dreigingen. Door zichzelf te verplaatsen in de rol van potentiële tegenstanders kan het Red Team scenario's bedenken, uitvoeren en vervolgens evalueren hoe goed de huidige beveiligingsmaatregelen hiertegen bestand zouden zijn.
Door Red Teaming toe te passen, kan een organisatie de preventieve maatregelen aanzienlijk verbeteren. Daarnaast ontstaat er een beter zicht op de allocatie van schaarse resources. Anders gezegd. Het wordt voor een organisatie inzichtelijk waar: middelen en mensen het meest effectief kunnen worden ingezet.
Waarom is Red Teaming belangrijk?
Het komt niet vaak voor dat een organisatie wordt getroffen door een serieus incident. Het gevolg hiervan is dat medewerkers zich moeilijk een voorstelling kunnen maken bij de werkwijze van een tegenstander. Een Red Team kruipt in de huid van een crimineel of terrorist. Ontwikkeld een realistisch Red Teaming scenario en voert het uit. Als de Red Teamers slagen in hun werkwijze dan zou een echte tegenstander deze werkwijze ook succesvol kunnen uitvoeren. Vanaf dat moment is het scenario een operationele kwetsbaarheid geworden. De organisatie kan vervolgens maatregelen gaan nemen om deze nieuwe kwetsbaarheid te mitigeren.
Ongeacht de uitkomst is een goed opgezette Red Teaming oefening een waardevolle ervaring voor iedereen.
Wanneer is Red Teaming niet effectief?
Als de awareness van de medewerkers laag is dan heeft Red Teaming nog weinig zin. Het wordt dan een ongelijk spel tussen het aanvallende en verdedigende team. Een organisatie doet er dan goed aan om eerst de awareness op een acceptabel niveau te brengen. Vervolgens kan de Red Teaming methode geïntroduceerd worden als een serieus spel. Ons motto daarbij is altijd: Sometimes you win sometimes you learn ®. Het is helemaal niet verkeerd om Red Teaming oefeningen in het begin van dit proces aan te kondigen op dag en zelfs tijd. Dit zorgt ervoor dat medewerkers kunnen wennen aan deze methodiek. Het is immers nooit de bedoeling dat Red Teaming wordt ingezet om te bepalen of medewerkers hun werk wel goed doen.
Hoe organiseer je een Red Teaming oefening?
Het organiseren van Red Teaming oefening is een creatief en planmatig proces. Het vraag namelijk verbeeldingskracht zonder uit de bocht te vliegen met oefeningen die in de echte wereld niet realistisch zouden zijn. Het begint allemaal met de impliciete en expliciete aannames die er zijn over de beveiliging. Daarbij staan de meest vitale waarden die een organisatie wil beschermen centraal. Het Red Team krijgt vervolgens de opdracht om de bestaande maatregelen te testen of op zoek te gaan naar nieuwe kwetsbaarheden.
Met name deze laatste is een lastige omdat dit vraagt om verbeeldingskracht. Het is juist daarom dat een Red Team bij voorkeur bestaat uit medewerkers die ook afkomstig zijn uit hele andere disciplines. Een medewerker van bijvoorbeeld HR of marketing kan vanuit zijn eigen vakgebied zeer waardevolle input geven. Red Teaming overschrijdt de interne disciplines van een organisatie.
Het Red Team is langs geweest en nu?
Afhankelijk van de uitkomst volgt altijd een evaluatie. Niet met het Red Team, maar met het White Team (de organiserende). Het doel daarbij is dat het Blue Team (het verdedigende) kan leren van de uitkomst. Het uitvoerende Red Team is bij voorkeur niet betrokken bij het advies. Dit om de onafhankelijke positie van het Red Team te waarborgen. Hoe dan ook; Een Red Teaming oefening heeft altijd impact. Of dit een positieve of negatieve is, hangt volledig af van de voorbereidingen en afspraken die worden vastgelegd in de procedures. Uiteraard gaan wij jullie daarbij helpen, zodat de inzet van Red Teaming een breed geaccepteerde methodiek wordt.
Onze ervaring leert dat medewerkers Red Teaming na verloop van tijd zo leuk vinden dat ze regelmatig vragen wanneer er weer een Red Teaming oefening wordt georganiseerd. Het is en blijft namelijk toch een beetje verstoppertje spelen voor grote mensen.
Waarom een Red Teaming opleiding volgen?
Van alle beveiligingsmaatregelen die worden genomen is de helft weggegooid geld. Je weet alleen nooit welke helft. Dit dilemma zorgt ervoor dat de aannames die er zijn over de beveiligingsmaatregelen hun effectiviteit pas kunnen bewijzen na een echt incident. Keer op keer blijkt dat de organisatorische maatregelen in combinatie met de menselijke factor daarbij de dunne lijn tussen slagen en falen van de beveiligingsmaatregelen vormt. Met de Red Teaming masterclass ga je leren hoe je je eigen organisatie een glashelder en onderbouwd inzicht gaat geven in de effectiviteit van de Organisatorische, technische en menselijke factor. Daarbij is het essentieel dat de Red Teaming oefeningen de realiteit zo goed mogelijk benaderen. Oefeningen die makkelijk uitvoerbaar zijn met een grote impact voor een organisatie zijn hierbij leidend.
Hoe ver mag een Red Team gaan?
Een Red Team mag in beginsel net zo ver gaan als een echte tegenstander. Die heeft namelijk geen beperkingen over de vraag of iets wel of niet mag. De vraag of het verstandig is om direct de meest impactvolle Red Teaming oefeningen te gaan organiseren is een tweede. De directie zal hier een beleidsmatige keuze op moeten maken. Wij adviseren altijd om de medewerkers te betrekken in dit proces zodat het voor iedereen duidelijk is wat het doel van Red Teaming oefeningen is. Daarnaast hanteert het Red Team ook een strikt protocol waarbij vooraf is vastgelegd waar de operationele grenzen liggen. Binnen die grenzen is het Red Team volledig autonoom.
Waarom een Red Teaming opleiding bij Preventional?
Preventional heeft al vele security professionals opgeleid als Red Teamer. Onze eigen praktijkervaring met Red Teaming en proactieve beveiliging is hierbij de doorslaggevende factor. Het is namelijk in het begin helemaal niet eenvoudig om realistische Red Teaming oefeningen te bedenken. Het vraagt verbeeldingskracht en een manier van denken die voor de meeste mensen niet vanzelfsprekend is. Onze cursisten mogen daarom gebruik maken van onze Red Teaming scenario's die al eens in de praktijk zijn gebruikt. Juist dat over de schouder meekijken wordt door onze cursisten enorm gewaardeerd. De certificering als Red Teaming Consultant (RTC)® is een waarborg voor jouw opdracht of werkgever dat je voldoet aan de kwaliteitseisen en normen van de stichting Security Experts EU.
Praktijkvoorbeeld Red Teaming behind the scenes
In dit blog lees je hoe een aantal van onze cursisten zelf een Red Teaming oefening hebben voorbereid en uitgevoerd bij een ROC-scholengemeenschap. Het doel was om toegang te krijgen tot de serverruimtes van de school. Het Red Team had zich voorafgaand aan de oefening wekenlang voorbereid en verschillende scenario's bedacht. Uiteindelijk is er gekozen voor een methode waarbij omgekeerde psychologie de medewerker die verantwoordelijk was voor de toegangsverlening op het verkeerde been moest worden gezet.
Of dat ook is gelukt lees je hier.
