Pentesters op weg naar goud op de Cyberlympics

'Ons team is enorm gegroeid, het enthousiasme spat eraf'

De penetration testers van Achmea hebben een missie: meedoen aan de Cyberlympics. Daar is het dit jaar nog te vroeg voor, maar het team is vastbesloten die ambitie waar te gaan maken.

De Cyberlympics zijn opgezet om de kennis en vaardigheden van ethische hackers te vergroten. Ook wordt het werk van de zogenaamde whitehats via het jaarlijkse hackersfestijn op een positieve manier in de schijnwerpers gezet. "We gaan die ambitie zeker waarmaken, maar we nemen er wel de tijd voor. We moeten ons er degelijk op voorbereiden. We hebben nog nooit meegedaan aan de Cyberlympics, dus voor ons is het ook ontzettend spannend om te kijken hoever we komen", zegt Dejana Jevtić, Teammanager IT Security Preventie Team bij Achmea.

Teamspirit

Om zich steeds beter te bekwamen op hun vakgebied komt het team van pentesters een keer per week bij elkaar en nemen ze deel aan Capture the Flag-competities (CTF). Dat is direct een mooie voorbereiding op de Cyberlympics. "Door mee te doen aan Capture the Flag's, sprokkelen we punten bij elkaar en kunnen we ons kwalificeren voor de Cyberlympics. Ik ga mensen niet verplichten mee te doen, maar je ziet dat Capture the Flag heel goed is voor de teambuilding. Ik merk dat mensen sneller iets voor elkaar over hebben en makkelijker dingen van elkaar aannemen. We zijn als team enorm gegroeid. Het enthousiasme spat eraf", zegt Dejana trots.

Tijdens CTF-competities moeten teams verschillende praktijkopdrachten op het gebied van IT-beveiliging uitvoeren. "Je kunt dingen klassikaal aanpakken, maar voor pentesters werkt dat veel minder. Pentesters vinden het leuk om dingen in de praktijk uit te proberen. Ze zijn nieuwsgierig, ze willen puzzels oplossen en complexe vraagstukken ontrafelen." Natuurlijk mag het werk niet lijden onder de sportieve ambities, weet ook de teammanager van het IT Security Preventie Team van Achmea. Soms is dat een beetje schipperen tussen de werkzaamheden door, maar tot nu toe lukt dat prima, verzekert zij.

Kat en muisspel

Om de beveiliging van Achmea op scherp te zetten, doen de pentesters van de verzekeraar ook aan Red Teaming. Zo moeten ze bijvoorbeeld proberen een eurocent over te maken op de rekening van het Red Team (de pentesters) zonder dat het Security Operations Center van de verzekeraar (SOC, ofwel het Blue Team) dat merkt. "Je bekijkt dingen vanuit het gezichtspunt van een aanvaller. Je wilt iets bemachtigen dat de ander niet kwijt wil. Op het moment dat het Blue Team ons detecteert, moeten zij meteen tot actie overgaan. Je neemt de weerbaarheid van een organisatie onder de loep en kijkt hoe er gereageerd wordt op aanvallen", legt Dejana uit.

Een Red Team-missie kan niet zomaar op goed geluk worden uitgevoerd. "Je wilt natuurlijk geen dingen overhoop gooien of storingen veroorzaken. Het gebeurt allemaal gecontroleerd, maar je maakt wel wat los binnen een organisatie. Wij doen dit allemaal vanuit een ethisch perspectief. Daarom zijn we pentester geworden en geen cybercrimineel. Wij tonen aan dat kwetsbaarheden op een hele foute manier geŽxploiteerd kunnen worden", benadrukt Dejana. Om alles in goede banen te leiden en om ervoor te zorgen dat er geen totale paniek uitbreekt op de werkvloer, wordt alles goed gedocumenteerd. Ook goede communicatie met alle betrokken partijen is cruciaal.

Volle agenda

De pentesters van Achmea nemen zowel de veiligheid van (web)applicaties als van infrastructuur en omgeving onder de loep. "Wij zorgen ervoor dat fouten in architectuur, in design, in beleid, in programmatuur en in systemen aan het licht komen. Maar alles lukraak testen is onmogelijk. Dan zouden we aan zeventig man personeel nog niet genoeg hebben. Dus vooraf moeten keuzes gemaakt worden", zegt Dejana.

Is een test afgerond, dan gaat er een rapport met de belangrijkste bevindingen naar de betrokken partijen. "In het begin was er nog wel eens een aanloopje nodig om mensen te overtuigen van het nut van goede beveiliging. Security kost immers geld. Maar nu wordt voor iedereen steeds duidelijker dat investeren in security nodig is voor de continuÔteit, behoud en groei van je digitale dienstverlening. Wij zien dat mensen in toenemende mate gevoelig zijn voor onze argumenten. Informatie is het nieuwe geld. Al die klantinformatie moet dus goed beschermd worden", benadrukt Dejana.

Dat er geluisterd wordt naar de pentesters van Achmea, blijkt wel uit hun overvolle agenda. " We hebben het ontzettend druk en ons werk neemt alleen maar toe. Er komt heel veel op ons af. Er worden vragen gesteld die eerder niet gesteld werden en daar zijn we hartstikke blij mee."