image

DNB gaat veiligheid banken met red team testen

dinsdag 14 november 2017, 10:27 door Redactie, 8 reacties

De Nederlandsche Bank (DNB) gaat met hackers van cybersecuritybedrijven de veiligheid van banken, beursexploitanten en clearinghuizen testen. Dat laat het Financieele Dagblad weten. Vandaag zal DNB het protocol met de spelregels van Tiber publiceren, zoals het nieuwe cyberinitiatief heet.

Om de veiligheid te testen wordt er een red team van hackers van cybersecuritybedrijven opgesteld, dat bij een financiële instelling moet inbreken. Een blue team, bestaande uit medewerkers van de aangevallen instelling, moet de aanval detecteren en stoppen. Daarnaast is er ook een white team, een aantal medewerkers van de instelling die van de aanval afweten. Een Tiber-test kan zes tot negen maanden in beslag nemen. Tiber werd vorig jaar juni opgericht en sindsdien zijn er verschillende pilot-aanvallen uitgevoerd. Details over deze aanvallen, alsmede informatie over kwetsbaarheden in de financiële sector, wil DNB niet bekendmaken.

Reacties (8)
14-11-2017, 11:51 door Anoniem
Als een bank een target is kom je er binnen zo simpel is dat. En daar gaat die test niets tegen doen.

Het is namelijk niet alleen die bank...het beslaat veel meer.

Maar goed in het kader van risk mitagation en eisen die gesteld worden en je niet gehackt wil worden door een scriptkiddy kan ik het me voorstellen.
14-11-2017, 14:06 door Anoniem
Door Anoniem: Als een bank een target is kom je er binnen zo simpel is dat. En daar gaat die test niets tegen doen.

Het is namelijk niet alleen die bank...het beslaat veel meer.

Maar goed in het kader van risk mitagation en eisen die gesteld worden en je niet gehackt wil worden door een scriptkiddy kan ik het me voorstellen.

Een red team oefening is ook niet bedoeld om de aanvallers buiten te houden. De bedoeling is o.a. om te testen hoe goed de aanwezige beveiligingsmaatregelen, interne security teams en processen werken op het moment dat een aanvaller binnen komt.
Hoe effectief zijn de security oplossingen die de bank heeft ingericht? Hoe snel wordt de aanvaller gedetecteerd? Hoe reageert het security team?
Van zo'n oefening kan iedere organisatie veel leren, omdat het red team (bijna) alle mogelijke middelen en aanvalsroutes kan gebruiken. Jouw terechte opmerking "Het is namelijk niet alleen die bank...het beslaat veel meer." is precies waar een Red Team gebruik van kan maken om hun doel te bereiken. En waar een bank op voorbereid moet zijn.
14-11-2017, 17:27 door karma4
Door Anoniem: ....
Van zo'n oefening kan iedere organisatie veel leren, omdat het red team (bijna) alle mogelijke middelen en aanvalsroutes kan gebruiken. .....
Prima uitgangspunt van je anoniem. Probleem/uitdaging is dat de bank er wel van wil leren.
De gangbare cultuur is een heel andere. Jezelf indekken voor de veroorzaakte ellende, doorschuiven naar opvolgers.
Als er ergens iets uit een audit komt wordt dat mogelijk politiek misbruikt om nog slechtere omgevingen neer te zetten.
Je moest eens weten hoe het in grote organisaties gaat.
14-11-2017, 21:11 door Anoniem
Door Anoniem: Het is namelijk niet alleen die bank...het beslaat veel meer.
.

Inderdaad. Om maar een voorbeeld te noemen. Elk bedrijf is als je kwaad wil 1 groot target ..lukt het niet op de ene manier dan wel op de andere.

Dit is al een foutief uitgangspunt "op het moment dat de aanvaller binnen komt..." Een aanvaller hoeft helemaal niet binnen te komen!!!! Daar gaat zo'n red team niets tegen doen...er is meer te beveiligen dan dat ze aan kunnen.

M.a.w. in mijn optiek blijft het toch een vals gevoel van veiligheid geven.

Maar ja het is beter dan niets...alles blijft Risk Mitigation en een hoop theoretisch gewauwel...

Het gaat criminelen maar om 1 ding en dat is het eind resultaat en hoe dat behaald wordt zal ze een zorg zijn zolang ze maar van de winst kunnen genieten. En dat deze uitspraak bepaalde partijen niet uit komt ..zal ze denk ik ook een zorg zijn.

Het enige wat ze zullen bereiken is dat de minder snuggere criminelen buitengesloten worden en de dijk wat hoger is en wellicht andere targets in het buitenland worden gezocht. Net zolang totdat die targets ook weer een "red team" opschakelen en we weer vrolijk terug bij af zijn.

Het enige wat je kan doen is zorgen dat jouw dijk iets hoger is dan de dijk van de buurman waardoor de zwarte zee bij je buurman binnen komt...in de valse illusie dat het zwarte water je nooit zal bereiken. Want het zou zo maar kunnen dat de dijk van je achtertuin een stuk lager is dan je dacht.

0.1% is namelijk voldoende daar waar wij de 100% proberen te halen...

Maar om het nou op te geven nee,,,ik laat mijn voordeur ook niet open staan terwijl ik weet dat die deur absoluut niet veilig is.
15-11-2017, 11:02 door Anoniem
Mag het blue team ook mee doen ? ;)
15-11-2017, 16:48 door Anoniem
Prima uitgangspunt van je anoniem. Probleem/uitdaging is dat de bank er wel van wil leren.
De gangbare cultuur is een heel andere. Jezelf indekken voor de veroorzaakte ellende, doorschuiven naar opvolgers.
Als er ergens iets uit een audit komt wordt dat mogelijk politiek misbruikt om nog slechtere omgevingen neer te zetten.
Je moest eens weten hoe het in grote organisaties gaat.
Ik zit in een grote organisatie en zo gaat het bij ons absoluut niet. Een giftige bedrijfscultuur kan in elk bedrijf voorkomen en dat moet je dan per direct aanpassen, al was het maar om te voorkomen dat alle belangrijke medewerkers gaan lopen.
Het enige wat ze zullen bereiken is dat de minder snuggere criminelen buitengesloten worden en de dijk wat hoger is en wellicht andere targets in het buitenland worden gezocht. Net zolang totdat die targets ook weer een "red team" opschakelen en we weer vrolijk terug bij af zijn.
Je vergeet hier even dat elk groot bedrijf precies inzichtelijk heeft hoeveel geld er verloren is gegaan met criminaliteit en oplichting. Is dat getal laag, dan vinden er a) geen aanvallen plaats, b) kunnen de aanvallers niet binnenkomen of c) blijven de aanvallen hangen in de controleketen. Succesvolle criminelen zijn niet onzichtbaar!
Mag het blue team ook mee doen ? ;)
Ja, die zit aan de andere kant (binnen het bedrijf dus).
15-11-2017, 18:28 door karma4 - Bijgewerkt: 15-11-2017, 18:29
Door Anoniem:
.....
Je moest eens weten hoe het in grote organisaties gaat.
Ik zit in een grote organisatie en zo gaat het bij ons absoluut niet. Een giftige bedrijfscultuur kan in elk bedrijf voorkomen en dat moet je dan per direct aanpassen, al was het maar om te voorkomen dat alle belangrijke medewerkers gaan lopen.
.....
Typisch een verschil van perceptie tussen lijnmanagement en degenen die op de vloer rondstruinen. Heel herkenbaar.
16-11-2017, 18:05 door Anoniem
Ik zit in een grote organisatie en zo gaat het bij ons absoluut niet. Een giftige bedrijfscultuur kan in elk bedrijf voorkomen en dat moet je dan per direct aanpassen, al was het maar om te voorkomen dat alle belangrijke medewerkers gaan lopen.
.....

Ik denk dat je zicht op het geheel wat beperkt is (zonder je te willen aanvallen) Ik heb bij alle grote ict bedrijven gewerkt en ik heb misstanden bij al die bedrijven gezien tot en met regelrechte oplichting vd overheid. En dat doen ze nog steeds.

Het is gewoon heel simpel de betrokkenen verdienen dijken van salarissen en anderen worden de mond gesnoerd met allerlei methodieken. Tot en met in directe bedreigingen toe.

Het is maar hoe hoog en waar je in de boom zit. Corruptie is werkelijk overal. Bij ons is echter de verpakking er om heen wat mooier.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.