Kan man tillade sig at bruge red teams?

22. maj 2019 - Kan man tillade sig at sende en lokkedue for at teste sikkerheden, når det involverer rigtige mennesker? Det må overvejes, inden vi gør brug af red teams, for det er i høj grad også et etisk dilemma. Derfor arbejdes der lige nu på et branchekodeks.

Historisk set var red teams betegnelsen for den gruppe af militærpersoner, der spillede modstanderens rolle ved militærøvelser imod de ”gode” blue teams.

Med tiden blev termen red teams også brugt om dem, der udfordrer og tester sikkerheden på militærbaserne og andre militære mål. De blev en del af den løbende proces omkring afprøvning og forbedring af beredskabet.

Når vi snakker red teams i dag, henviser vi ofte til en gruppe it-sikkerhedseksperter eller white hat-hackere, der forsøger at teste sikkerhedsniveauet i private og offentlige organisationer ved at trække på deres viden om, hvordan cyberkriminelle tænker.

I en red team-øvelse arbejdes der normalt med, at angriberne ikke har nogen forudgående viden om virksomheden. I øvelsen kombineres de forskellige angrebsmetoder, og øvelsen vil normalt være baseret på en blanding af social engineering og tekniske angreb både i den fysiske og virtuelle verden.

Men hvorfor vælger man at teste sikkerheden med red teams?

Vi har forskellige årsager til at benytte red teams

Ifølge den seneste Cyberthreat Defense-rapport fra CyberEdge Group, er 77 % af de indberettede organisationer blevet kompromitteret af et vellykket cyberangreb. Det er desværre blevet hverdag, at vi møder tal i denne størrelsesorden fra rapporter om tilstanden af it-sikkerhed.

Når man vælger at teste sikkerheden med red teams, er det for at skabe opmærksom på, at dette også kan ske ”hos os” og for at forstå, hvordan vi kan forebygge dette bedst muligt. Hos Dubex møder vi ofte disse udsagn:

  • Vi vil afdække mulige konkrete tekniske sikkerhedshuller
  • Sådan kan man trykprøve eksisterende sikkerhedsløsninger
  • Der skal skabes awareness i ledelsen omkring cybersikkerhed
  • Vi skal skabe awareness blandt medarbejderne omkring cybersikkerhed
  • Vi vil afprøve virksomhedens evner til at opdage og reagere ift. sikkerhedsbrud

"Red team-øvelser er med til at hæve det generelle sikkerhedsniveau i virksomheden, fordi vi får fundet konkrete huller og får sat fokus på sikkerheden blandt medarbejderne, så en øvelse giver en mere sikker virksomhed og arbejdsplads på den lange bane," fortæller Jacob Herbst, CTO i Dubex.

Han fortsætter: ”Sikkerhed er spørgsmål om prioritering, og med en red team-øvelse kan man se, hvor man bør sætte ind. Det skal ses som et værktøj, der skal bruges i kampen for bedre sikkerhed.”

Her er det dog vigtigt at nævne, at red teams ikke er den rigtige metode i alle situationer i alle virksomheder.

”Hvis man ikke er godt i gang med arbejdet omkring den basale sikkerhedshygiejne, som findes i diverse anbefalinger, så er det nok et bedre sted at bruge pengene og ressourcerne”, tilføjer Jacob Herbst.

”Man kan godt blive forblændet af et red team-projekt uden at være et sted, hvor det giver værdi at igangsætte det”.

Dilemmaet med medarbejderne

Medarbejderne er centrale for virksomhedens sikkerhed, og derfor vil en red team-øvelse naturligt komme i kontakt med dem – og ofte vil de sikkerhedshuller, der findes, skyldes menneskelige fejl. Men hvis der bliver begået menneskelige fejl, er det vigtigt, at den enkelte medarbejder ikke hænges ud, men at det bliver set som et ledelses- eller organisationsspørgsmål.

”En red team-øvelse skal ses som en holdøvelse, som organisationen skal lære noget af. Det er vigtigt at understrege, at det ikke er en test af de enkelte medarbejdere,” påpeger Jacob Herbst.

Selvom man tager hånd om dilemmaet med, at den enkelte medarbejder kan blive gjort til syndebuk, vil øvelsen under alle omstændigheder kunne have en indvirkning på medarbejderne – især dem, der kommer direkte i kontakt med red teamet. Derfor er det vigtigt, at man som virksomhed gør sig nogle overvejelser og forbereder sig godt, inden man kaster sig ud i en sådan øvelse.

Et godt forarbejde er vigtigt

Hvis man vil have bedst muligt udbytte af en red team-øvelse og samtidig sikre sine medarbejdere, er der nogle ting, man skal sørge for at have i orden, inden man går i gang.

Når man udfører en red team-øvelse, finder man ud af – i samarbejde med virksomheden – hvor langt man har lov til at gå i selve øvelsen.

Det er utrolig vigtigt, at virksomheden på forhånd har gjort det klart, hvad de gerne vil have ud af øvelsen. Jo mere man vil have ud af øvelsen, jo mere plads skal man også give til dem, der laver øvelsen, for at afdække alle potentielle huller. Samtidig er det også essentielt, at man gør det klart, hvad det er, man ønsker at opnå med øvelsen.

”Man skal ikke bare teste for at teste,” understreger Jacob Herbst. ”Det er vigtigt, at man har gjort sig klart, hvad man ønsker at få ud at øvelsen og dernæst opveje, om udbyttet er det værd i sidste ende. Det er en balancegang.”

Dernæst er kommunikation en vital del af processen. Inden øvelsen går i gang, er det en god idé at gøre det klart, hvordan og hvor meget der skal kommunikeres før, under og efter øvelsen. Det kan ligeledes være en god idé at gå i dialog med medarbejderne og sikre, at alle er indforstået med, hvad der foregår.

Der skal være helt styr på sikkerhed og dokumentation under øvelsen

Når man er ude på red team-øvelser, har man potentielt adgang til mange oplysninger og persondata, og netop derfor er det særligt vigtig, at man sikrer kunden og kundens medarbejdere i processen. Til forskel for, hvad en ondsindet hacker ville gøre, er der hos red teamet stort fokus på dokumentation og logning af alle handlinger, anonymisering af billeder og videooptagelser, samt kryptering af al kommunikation i processen.

Samtidig er der stor opmærksomhed på, at vi ikke utilsigtet etablerer en bagdør til kunden, så fremtidige cyberkriminelle ikke får lettere adgang efter en red team-øvelse.

”I Dubex er vi meget opmærksomme på, at det er et ømtåleligt emne, vi har med at gøre. Særligt fordi vi potentielt får adgang til fortrolige dokumenter og persondata. Det er derfor vigtigt, at vi som virksomhed har en ansvarlig og kontrolleret proces omkring håndtering af dette,” understreger Jacob Herbst.

Et ønske om en accepteret branchestandard

Red teams er et omdiskuteret emne i øjeblikket, og der er god grund til at tænke sig om, inden man kaster sig ud i en red team-øvelse. Mange kender nok til sagen fra Nyborg Kommune, hvor en medarbejder blev sygemeldt efter at have været udsat for en red team-øvelse.

Dette etiske dilemma blev bl.a. også taget op ved Dubex’ årlige Security and Risk Management Summit. Mads Steffensen og Sikkerhedspanelet blev stillet spørgsmålet, om man overhovedet bør bruge red teams, og hvor den etiske grænse egentlig går. Ekspertpanelet havde forskellige meninger om brugen af red teams – nogen så ikke problemer, så længe alt var klart aftalt, mens andre var mere bekymrede, især med hensyn til, hvad det ville gøre ved medarbejderne.  

Netop af denne årsag er IT-Branchen i gang med at få lavet et kodeks med etiske normer for red teams, hvor Dubex deltager i arbejdet. Samtidig er der et ønske om at få udarbejdet en accepteret branchestandard, der specificerer, hvordan man skal agere, hvad man kan gøre, hvilke informationer, der skal gives videre og hvordan.

”Vi ved, at det kan være problematisk at bruge red teams, men vi må også bare erkende, at med det nuværende trusselsbillede, kan det være en nødvendighed. Hackerne bliver kun bedre og dygtigere, og brugen af red teams er én af de bedste metoder til at teste sikkerheden på en realistisk måde,” fortæller Jacob Herbst.

”Man kan have nok så mange kampagner og protokoller, der skal styrke sikkerheden, men man ved aldrig, hvor godt de virker, før man har testet dem.”

Hør mere på vores webinar

Overvejer du at bruge red teams, eller kunne du godt tænke dig at høre mere om, hvordan red teams opererer i praksis, og hvad man bør overveje, inden man sætter i gang?

Så kan du tilmelde dig webinaret ”Overvejelser der må gøres, hvis du vil gøre brug af red teams”. Her giver Hassan Kallas, Chief Services Officer hos Dubex, og Keld Norman, sikkerhedskonsulent, et større indblik i processen.

5 samfundstendenser, der påvirker din it-sikkerhed i 2019

Udfordringerne for it-sikkerheden i Danmark har aldrig været større. Men hvor kommer truslerne fra? Og hvilke overordnede tendenser påvirker trusselsbilledet? Vi har bedt Dubex’ CTO Jacob Herbst om at udpege 5 af de væsentligste tendenser, der har stor indvirkning på it-sikkerheden i 2019.

Webinar: Overvejelser der må gøres, hvis du vil gøre brug af red teams

[On demand] Det er højaktuelt at afprøve, hvordan organisationen modstår og håndterer it-kriser. Her er en række overvejelser, du kan drage nytte af, inden du sætter en red team-øvelse i gang i jeres organisation.

It-sikkerhed: Sådan bevarer du kontrollen og overblikket i en mindre virksomhed

Selvom der aldrig har været større fokus på digitale trusler og risikoen for cyberangreb, er it-sikkerhed stadig en udfordrende opgave for mange virksomheder – især små og mellemstore. En af grundene er, at der mangler overblik over egentlige tiltag og konkrete behov. Dét overblik kan du nemt sikre.

Tak for din henvendelse. Du hører fra os hurtigst muligt.