image

NAVO publiceert onderzoek over Red Teaming en cyberoefeningen

woensdag 27 december 2017, 11:41 door Redactie, 6 reacties

Het Cooperative Cyber Defence Centre of Excellence (CCDCOE) van de NAVO heeft onderzoek gepubliceerd dat organisaties kan helpen bij het uitvoeren van Red Teaming en cyberoefeningen. Bij Red Teaming gaat het om oefeningen waarbij teams in een realistische simulatie systemen proberen aan te vallen en te verdedigen. Zo is er een Red Team dat bijvoorbeeld een systeem probeert binnen te dringen, terwijl het Blue Team dit moet voorkomen.

Uit eerdere Red Teaming-oefeningen kwam naar voren dat er behoefte is aan geautomatiseerde en transparante feedback waarmee deelnemers hun technieken kunnen verbeteren en de technische uitdagingen beter begrijpen. "Red Team-leden zijn meestal geen experts in monitoring en intrusiondetectiontools en weten zo niet hoe hun acties zichtbaar zijn voor de verdedigers", aldus CCDCOE-onderzoeker Markus Kont. Om dit probleem aan te pakken ontwikkelde Kont samen met verschillende andere onderzoekers een opensourceframework genaamd Frankenstack. Het framework is al bij een cyberoefening van de NAVO ingezet.

Het tweede onderzoek dat van het CCDCOE afkomstig is gaat over tools voor het analyseren en reverse engineeren van protocollen. Verschillende beveiligingstools die de onderzoekers bekeken bleken niet in staat te zijn om met protocollen aan de slag te gaan. Daarom werd er een prototype van een dergelijke tool ontwikkeld genaamd Bbuzz. Via de tool kunnen Red Team-leden en onderzoekers uitgebreide analyses van verschillende netwerklagen uitvoeren, onafhankelijk van hun operationele laag.

Reacties (6)
27-12-2017, 20:22 door Anoniem
"Red Team-leden zijn meestal geen experts in monitoring en intrusiondetectiontools en weten zo niet hoe hun acties zichtbaar zijn voor de verdedigers"
Wie haalt het in zijn hoofd om een Red Team op te zetten dat niet weet waar de vijand op let? Sturen ze bij de NAVO ook legeronderdelen onvoorbereid het veld in?
27-12-2017, 23:22 door Anoniem
Ik ben meestal niet zo'n scepticus maar als ik dit letterlijk lees en interpreteer, dan moet ik toch ook wel wat vraagtekens zetten.

Heel apart dat een redteam niet weet wat hun 'penetraties' voor gevolgen hebben op monitoring gebied. Ik had eerlijk gezegd andersom meer problemen verwacht, te weten dat blue teams niet precies weten wat er gebeurd wat precies reacties veroorzaakt. Elk fatsoenlijk SIEM heeft out of the box een serie rules (ok voor wat ze waart zijn dan) maar dan nog ..

Andersom had ik niet verwacht.

Eminus
28-12-2017, 00:23 door [Account Verwijderd] - Bijgewerkt: 28-12-2017, 00:28
Door Anoniem:
"Red Team-leden zijn meestal geen experts in monitoring en intrusiondetectiontools en weten zo niet hoe hun acties zichtbaar zijn voor de verdedigers"
Wie haalt het in zijn hoofd om een Red Team op te zetten dat niet weet waar de vijand op let? Sturen ze bij de NAVO ook legeronderdelen onvoorbereid het veld in?

Niemand heeft dat tot nu in zijn hoofd gehaald. Dat kan ik, middelmatige huis en tuin computer lullo, al concluderen omdat ik - in tegenstelling tot jou wèl de moeite heb genomen om het hele originele Engelstalige artikel te lezen. Kortom, dan was je, net als ik vanzelf op het volgende gestuit:

Due to the novelty of Red Team-centric exercises, very little academic research exists on providing real-time feedback during such exercises. Thus, the paper serves as a first foray into a novel research field....

(...waarbij de bold accenten door mij zijn aangebracht omdat dit de vlag is die de hele lading dekt:. Het Franckenstack Frame-Work)

Met andere woorden veel verkeert nog in een pril test- en onderzoeksstadium waarvan de resultaten indien zij waardevol zijn uiteindelijk zouden kunnen worden geïmplementeerd in een aangepaste case-load voor Red-Team leden zodat zij voortaan wèl beschikken over de benodigde expertise om 'als vijand te denken'. (zo je wilt)

(Wat is dat toch dat steeds vaker participanten aan de fora hier beginnen te nou ja ehh... 'fulmineren' zonder eerst de achtergrondinformatie eens voldoende tot zich te hebben genomen? Hier ook al: https://www.security.nl/posting/544199/Nep-Microsoftmedewerkers+vergrendelen+browser - reactie 07:32 uur.)
28-12-2017, 11:34 door Anoniem
Als je vindt dat dit document te dom voor woorden is, mag je jezelf afvragen voor wie het echt is bedoeld. Bij de NAVO waren aanvallen in het digitale domein en NO-GO area. (Beetje hypocriet) Dus het is groot nieuws, dat zij eindelijk iets van een doctrine publiceren. (Hoe Dummy lvl ook)
28-12-2017, 16:28 door Anoniem
Door Aha:
Due to the novelty of Red Team-centric exercises, very little academic research exists on providing real-time feedback during such exercises. Thus, the paper serves as a first foray into a novel research field....
Met andere woorden veel verkeert nog in een pril test- en onderzoeksstadium waarvan de resultaten indien zij waardevol zijn uiteindelijk zouden kunnen worden geïmplementeerd in een aangepaste case-load voor Red-Team leden zodat zij voortaan wèl beschikken over de benodigde expertise om 'als vijand te denken'. (zo je wilt)

Als beschaving is het een verdienste dat defence en offence een basis hebben in recht en de dodelijke gruwelen van oorlog thuis al decenia in het verleden liggen. Het is geen verdienste als militairen slechte offence of defence met een excuus afdoen dat er onvoldoende academic research bestaat. 11:34 haalt een andere verwoording aan die de achtergrond van het excuus verklaren. De nuance zit in het hypocriete.

Red Teaming is niet nieuw omdat de NATO zich er nu pas mee in mag laten. Er is geen publiek gebrek aan kennis, de NATO heeft die kennis misschien niet gebruikt. Maar het zet dan wel in op offence? Het is een terechte vraag of NATO ook legeronderdelen onvoorbereid het veld in stuurt.

De conclusie van de NATO lijkt een veilige uitweg om als excuus te dienen voor een bepaald publiek. De NATO weet dat de wereld groter is dan wat binnen het werkveld van de NATO viel of valt. Het weet dat die kennis er buiten de NATO is. Dat publiek weet dat ook. Dus is het een slecht excuus achteraf en een slecht excuus om onvoorbereid aan offence te doen. Offence een no-go als onderdeel van de NATO versus wat de leden individueel mogen maakt dat excuus nog slechter. Want wie zet de NATO dan in voor een oefening. Of is het uitgangspunt dat leden spontaan kennis verliezen als ze onder de NATO opereren? Het publiek van dit onderzoek zal wel heel speciaal zijn.
28-12-2017, 17:45 door karma4
Door Anoniem: ...
. Of is het uitgangspunt dat leden spontaan kennis verliezen als ze onder de NATO opereren? Het publiek van dit onderzoek zal wel heel speciaal zijn.
Meer een probleem van logge grote organisaties waar de rechterhand niets weet van een linkerpink. Let wel de duim zit links aan de rechterkant.
Vertaald: er is wel een militaire inlichtingendienst maar die deelt niets met het leger. Uhh welk leger? Landmacht marine of luchtmacht. Bij gebrek aan een externe vijand vechten ze om de eigen macht en budgetten.
Moet je niet verbaast zijn dat in overkoepelend Nato verband er nog helemaal niets is.
Hoe staat het met de tank, hebben we er nog we eentje?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.