congres 2023 satie te komen. Dit gebeurt met een zeer specifieke opdracht, volgens zeer strenge afspraken en binnen kaders. Het rode team valt aan, het blauwe team (de security organisatie van de geteste entiteit) verdedigt. De aanval vindt onder de radar plaats, dus het blauwe team weet niet dat de aanval plaatsvindt. Na de aanval worden het rode en het blauwe team samengevoegd (purple teaming genaamd) en bespreken ze samen wat er is uitgevoerd, wat succes had en wat niet, en welke kwetsbaarheden zijn gedetecteerd. Social media Waargebeurd en een duidelijk voorbeeld van hoe ‘simpel’ het kan zijn: ethische hackers vlooiden in opdracht van EZK de social media door van een geselecteerde groep medewerkers, op zoek naar interessante gegevens. Eén collega had trots iets op LinkedIn gepost over een geslaagde presentatie tijdens een congres. Die persoon kreeg een telefoontje van ‘de organisatie’ (het rode team) met complimenten voor het verhaal. ‘Wil je dit evaluatiebaarheid kan op verschillende manieren. Aart Jochem licht aan de hand van een keuzekaart verschillende typen securitytesten toe, zoals kwetsbaarhedenscans, penetratietesten, purple-teamingtesten en red-teamingtesten met als advies: “Kies een test (of combinatie van testen) die past bij jouw organisatie en testdoel.” De zwaarste vorm van securitytesten is de TIBER-methode, wat staat voor Threat Intelligence Based Ethical Red-teaming. Op verzoek van een organisatie voeren ingehuurde hackers aanvallen uit op de informatiesystemen op basis van reële dreigingsbeelden, op zoek naar kwetsbaarheden met als doel om bij de kroonjuwelen van de organiNummer 48, oktober 2023 “Alle informatie die we op social media zetten is openbaar en kan tegen ons worden gebruikt” formulier nog even invullen?’ In de uitwisseling van gegevens installeerden de ingehuurde hackers afluisterapparatuur op de laptop van de nietsvermoedende spreker. De boodschap: alle informatie die we op social media zetten is openbaar en kan tegen ons worden gebruikt. Wees dus alert op wat je deelt. “En vooral niet achteraf degene bekritiseren die wel heeft gereageerd op zo’n fout bericht”, zegt Keijzer-Baldé. “Ik vind het geweldig dat mensen dat open en eerlijk toegeven. Het kan ons immers alle25
26 Online Touch Home