Thread-Led Penetration Test in de praktijk: zo test Eurofiber security
Security is voor Eurofiber een topprioriteit. Om te garanderen dat onze securitymaatregelen effectief blijven, onderwerpen we jaarlijks een deel van onze infrastructuur aan een uitgebreide penetratietest. Hoe verloopt zo’n test, wat testen we precies, en wat leren we ervan?
Door de opgelopen geopolitieke spanningen neemt de cyberdreiging toe, bijvoorbeeld in de vorm van cyberspionage en aanvallen die niet altijd direct herleidbaar zijn. Dit is ook een van de hoofdbevindingen in de 2024-editie van het Cybersecuritybeeld Nederland, opgesteld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). “Het tempo en de complexiteit van statelijke cybercampagnes worden opgevoerd”, constateert de NCTV.
Security gestructureerd aanpakken
Security is niet meer vrijblijvend. De toenemende cyberdreiging vraagt om een gestructureerde aanpak met duidelijke stappen, zoals het identificeren van risico’s, het implementeren van beveiligingsmaatregelen en het regelmatig testen en verbeteren van deze maatregelen. Eurofiber heeft daar een securityframework voor. Dit framework is gecertificeerd volgens ISO 27001 en voorziet in een reeks beveiligingsmaatregelen.
Een van die maatregelen is een jaarlijks terugkerende penetratietest, die we telkens volgens een ander scenario uitvoeren. De laatste keer was de fysieke toegang tot straatkasten, versterkerstations en datacenters het onderwerp van onderzoek. Niet zonder reden. Inbraak in bijvoorbeeld straatkasten voor sabotage of voor plaatsing van apparatuur voor spionage is een reële dreiging. Met een penetratietest kom je erachter of de maatregelen om ongeoorloofde toegang te voorkomen werken.
Threat-Led Penetration Test
Eurofiber werkt voor het uitvoeren van penetratietests samen met een gerenommeerde partij die een zo realistisch mogelijk aanvalsscenario nabootst. Dit noemen we ook wel Threat-Led Penetration Testing (TLPT). In het geval van fysieke toegang kijken de pentesters bijvoorbeeld of het lukt om met een social engineering-truc een datacenter binnen te komen, of om ongezien over een hek te klimmen.
“Een Threat-Led Penetration Test laat zien hoe goed een organisatie bestand is tegen realistische aanvallen en toont de zwakke punten in processen en systemen”, verduidelijkt Patrick van de Pol, Chief Information Security Officer (CISO) bij Eurofiber. TLPT wordt dan ook beschouwd als een effectieve aanpak omdat het zich richt op de meest relevante bedreigingen voor een organisatie. Financiële instellingen zijn zelfs verplicht om één keer per drie jaar een Threat-Led Penetration Test uit te voeren. De Digital Operational Resilience Act (DORA) voor de financiële sector schrijft dit voor.
Een test in het geheim
Om een realistisch beeld te krijgen van de paraatheid van de defensieve maatregelen, is het belangrijk dat slechts een beperkt aantal mensen op de hoogte is van de test. Dit voorkomt dat medewerkers hun gedrag tijdens de test aanpassen, wat een vertekend beeld geeft van de effectiviteit van de huidige beveiligingsmaatregelen. Wel moet de continuïteit van de dienstverlening tijdens de test gewaarborgd blijven. Er is daarom altijd een klein team dat van de test afweet en blijft monitoren of alles wel goed gaat. De uitvoerende partij weet bovendien wat ze wel en niet mogen doen en wanneer ze moeten stoppen. Daar worden duidelijke afspraken over gemaakt.
“De pentesters zullen ook altijd de hulp van een ‘insider’ nodig hebben om bijvoorbeeld dieper in een datacenter te komen”, vertelt Chris Kok, Information Security Specialist bij Eurofiber. “Anders stopt een penetratietest al bij het toegangshek en weet je nog steeds niet of je processen en technologie voor monitoring, detectie en respons op orde zijn.”
De resultaten: een positief rapport
Om een beeld te krijgen van de werking van die processen en technologie liet Eurofiber bij de laatste test de fysieke toegang tot één datacenter, één straatkast en één versterkerstation onderzoeken. De resultaten stemden tot tevredenheid. “Er waren geen kritieke bevindingen, en de testers slaagden er niet in om binnen te komen. Dat is ronduit positief”, aldus Van de Pol.
“Natuurlijk worden er altijd zaken gevonden, en zijn er altijd lessen die je kunt trekken", vervolgt Van de Pol. "En altijd is er aanleiding om de processen en tooling voor monitoring en detectie toch weer verder aan te scherpen. Dat hoort bij een proces van continue verbetering.”
Continuous pentesting
Eurofiber ziet bevindingen tijdens audits en securitytests als kansen om verbeteringen door te voeren. Deze punten worden besproken met de betrokken teams en vertaald naar een roadmap met concrete acties. Na implementatie koppelen de teams de voortgang terug en worden de verbeteringen opnieuw getest in toekomstige scenario’s om de effectiviteit van de maatregelen te waarborgen.
Naast de jaarlijkse en projectmatige tests maakt Eurofiber ook gebruik van tooling voor 'continuous pentesting'. Deze tooling speurt voortdurend naar mogelijke kwetsbaarheden in de omgeving. Dit kan variëren van tools die webapplicaties controleren op kwetsbaarheden uit de OWASP Top 10 tot tools die continu externe systemen scannen op open poorten of andere kwetsbaarheden die nog niet zijn gemitigeerd.
Structureel aandacht
In de visie van Van de Pol zijn penetratietests onmisbaar. “Met pentesten controleer je of de genomen maatregelen nog steeds effectief zijn voor het specifieke risico dat je wilt beheersen. Daarnaast identificeer je mogelijke ‘olifantenpaadjes’ waarmee beveiligingsmaatregelen zijn te omzeilen. Dit proces verdient structureel tijd en budget van elke organisatie, zeker gezien de steeds realistischer wordende cyberdreigingen van de afgelopen jaren.”
