Cybersecurity trainen op een Cyber Range: zo doet KPN dat

KPN helpt bedrijven hierbij én gebruikt deze manier van testen voor haar eigen IT-infrastructuur. Wat zijn de voordelen van een Cyber Range en welke aspecten en specialisten komen er bij een dergelijke aanpak allemaal kijken?

Naarmate de dreiging van cyberaanvallen toeneemt, wordt het voor bedrijven en overheden steeds lastiger zich hier adequaat tegen te wapen. Goed personeel is gewild en personeel dat niet weggekocht wordt, dient zich voortdurend bij te scholen en op de hoogte te blijven van bestaande ontwikkelingen. Hiervoor is het toetsen en nabootsen van bestaande of toekomstige systemen van bedrijven tijdens verschillende inbraakscenario's nodig. De inzet van Cyber Ranges biedt hierbij uitkomst. Cloud computing speelt daarbij een sleutelrol, omdat het de mogelijkheid biedt virtuele infrastructuren te creëren waarop Cyber Ranges zijn gebaseerd. Het opzetten en beheren van Cyber Ranges is echter een kostbare en tijdrovende aangelegenheid. KPN biedt bedrijven en instanties hierbij ondersteuning. Het bedrijf gebruikt Cyber Ranges om haar interne infrastructuren te testen, maar zet deze ook in voor bedrijven en overheden die bij hen aankloppen voor de meest uiteenlopende zaken.  

Voor Mark en Maresa, respectievelijk Team Leader Ethical Hacking en Security Researcher bij KPN, zijn cyberaanvallen dagelijkse kost. Mark is als Ethical hacker en KPN REDteam-lid vooral bezig de interne systemen te testen op kwetsbaarheden, terwijl Maresa veel onderzoek doet en externe klantvragen zo goed mogelijk probeert te begeleiden. ‘KPN is op velerlei manieren ingebed in de maatschappij, doordat ons netwerk een relatie heeft met veel verschillende diensten, die door ‘BV NL’ worden gebruikt. Je kunt wel stellen dat KPN qua cyber security een zeer hoge graad van volwassenheid kent, waardoor we ons kunnen focussen op uitzonderingen in de kritieke infrastructuur van Nederland. Zien we onregelmatigheden, dan maken we hier direct melding van.’, zegt Maresa. ‘Als we tijdens onderzoek bijvoorbeeld stuiten op een kwetsbaarheid van een grote ziektekostenverzekeraar, ook als die op dat moment geen klant bij ons is, zullen we dat uiteraard altijd melden.’ 

De interne en externe manier van testen gebeurt zogezegd steeds vaker in een Cyber Range. KPN heeft hiervoor een lab opgezet in Utrecht. In dit lab biedt KPN een gecontroleerde, interactieve technologische omgeving aan, waar cybersecurityspecialisten, al dan niet in opleiding, veilig en volledig afgeschermd kunnen leren hoe ze cyberaanvallen kunnen detecteren en beperken met dezelfde apparatuur die ze op hun werk gebruiken. Deze gecontroleerde omgeving kan de zwaarst mogelijke aanvallen op IT-infrastructuur, netwerken, softwareplatforms en toepassingen uitvoeren. De onderliggende infrastructuur kan bestaan uit een netwerk, opslag, computers (servers), switches, routers, firewalls enzovoort. In sommige gevallen wordt de reeks gebouwd met behulp van een open-sourceplatform zoals OpenStack.

‘Het hangt af van de klantvraag’, aldus Mark. ‘Stel een bedrijf heeft een nieuwe upgrade dan kunnen ze die veilig testen om te zien wat de impact is op de huidige infrastructuur. Maar het kan ook een panic-test zijn. Daarbij kijk je hoe een afdeling van een bedrijf reageert bij een grote aanval.’ Op zich is de techniek achter Cyber Ranges niet nieuw. Mark: ‘Simulaties doen we al jarenlang en met de expertise die wij hebben opgebouwd, werken we met en aan technologieën van de toekomst. Zo testen we apparatuur van vendors die pas over 1,5 jaar op de markt komt.’ Maresa: ‘De manier waarop we nu werken met scenario’s die in de cloud met templates worden ingezet is relatief nieuw. Dat gaat sneller en is ook kostenefficiënter. Daardoor kunnen we heel veel verschillende cases testen.’ 

Vier soorten Cyber Ranges

Het Amerikaanse National Institute of Standards and Technology (NIST) onderscheidt vier soorten Cyber Ranges (*). Dit zijn Simulation Ranges, Overlay Ranges, Emulation Ranges en Hybrid Ranges: 

Simulation Ranges draaien virtueel zonder dat er fysieke netwerkapparatuur nodig is. Virtuele machines (VM) worden gebruikt om de server-, netwerk- en opslagconfiguratie van specifieke infrastructuur na te bootsen. Deze VM's zijn gebaseerd op gestandaardiseerde sjablonen, waardoor hun getrouwheid bij het repliceren van de doelinfrastructuur eventueel beperkt kan zijn.

• Overlay Ranges draaien bovenop echte netwerken. Ze bieden een hoger niveau van natuurgetrouwheid dan Simulation Ranges maar in termen van hardware liggen de kosten meestal hoger en is er het risico van aantasting van de onderliggende netwerkinfrastructuur. Overlay Ranges kennen daarnaast een geringe flexibiliteit, omdat een kleine verandering in de configuratie kan leiden tot herdefiniëring van de gehele Cyber Range.
• Emulation Ranges draaien op specifieke netwerkinfrastructuren, waarbij de specifieke netwerk/server/opslagconfiguratie in kaart wordt gebracht. De fysieke infrastructuur wordt feitelijk de Cyber Range zelf. Emulation Ranges omvatten het genereren van verkeer, met de mogelijkheid om verkeersstromen, specifieke patronen en aanvallen te emuleren.
• Hybrid Ranges zijn aangepaste combinaties van de bovengenoemde soorten Cyber Ranges: zij combineren de voordelen van bijvoorbeeld de hoge mate van levensechtheid van Overlay Ranges en de flexibiliteit van Emulation Ranges.

Specialistische kennis in huis, voor ieder branche

Voor het bouwen van een Cyber Range komt heel wat kennis en kunnen kijken. Er is een DevOps team nodig die ontwikkeling en beheer doet: technisch specialisten, netwerkbeheerders, consultants, content specialisten en monitoring specialisten. Om vervolgens de omgeving te testen zijn er mensen nodig van een red team, analisten die de logging bekijken - een security operations center - en beheerders om de omgeving draaiende te houden. Eventueel kunnen er specialisten ingezet worden op het gebied van IoT, webtechnologieën, mobile devices. En er kan bijvoorbeeld een afdeling als incident response aansluiten. Er is, kortom, nogal wat mankracht voor nodig. ‘Het is niet alsof er alleen maar ethische hackers bezig zijn met een Cyber Range’, aldus Mark. ‘Iedere specialist doet een klein deel vanuit zijn/haar vakgebied, en door de samenwerking tussen de vakgebieden ontstaat er een Cyber Range. Net als in een “echt bedrijf” is er veel afhankelijk van de interne afstemming en communicatie om de verschillende expertisegebieden optimaal te laten samenwerken.’

Cyber Ranges worden dan ook in alle lagen van de maatschappij ingezet. Geen bedrijf of instantie kan eigenlijk meer zonder. Cybersecurity Guide.org (**) geeft het volgende globale overzicht van branches waar Cyber Ranges ingezet worden:

• Defensie/inlichtingendiensten - De Amerikaanse luchtmacht beheert bijvoorbeeld het Simulator Training Exercise Network (SIMTEX), ook wel "Black Demon" genoemd.
• Onderzoek/onderwijs - Universiteiten maken gebruik van Cyber Ranges voor onderzoek op allerhande gebied. De universiteit van Illinois heeft bijvoorbeeld al in 2006 het zogenaamde Real Time Immersive Network Simulation Environment (RINSE) ontwikkeld. Deze wordt vooral gebruikt voor scholing. Een ander voorbeeld dat Cybersecurity Guide noemt is het Information Warfare lab (IWAR) van West Point.
• Industrieel/commercieel - Veel Cyber Ranges zijn opgezet om commerciële producten, zoals servers, te testen tegen kwaadwillende actoren. KPN maakt veel custom made Cyber Ranges voor bedrijven, onder andere simulators die testers in staat stellen te zien hoe systemen bestand zijn tegen malware-aanvallen.
• Smart grids - Het elektriciteitsnet vormt een belangrijk doelwit voor kwaadwillende partijen. Specifieke Cyber Ranges kunnen de onderling verbonden elektriciteitsnetwerken simuleren. Ze draaien veelal op SCADA-systemen (Supervisory Control and Data Acquisition) die gebruikelijk zijn in de energiesector.
• Internet of Things (IoT) - Het snelgroeiende IoT vormt nieuwe aanvalsmogelijkheden. Ook hier wordt het testen van kwetsbaarheden steeds belangrijker omdat steeds meer apparaten via draadloze communicatie met elkaar verbonden is.

Mark wil benadrukken dat bedrijven altijd kwetsbaar blijven. Hoe vaak en veel je ook test en hoe streng de beveiliging ook is. En dat veel instanties dit vaak onderschatten. ‘Stel, je werkt in de media en ik drop als kwaadwillend persoon een envelop met een USB-stick met een bijvoorbeeld het logo van de politie in je brievenbus. Dan is de kans groot dat jij die USB-stick in een computer gaat prikken om te kijken wat erop staat. Op die manier kan heel eenvoudig malware worden gepland of een toegang tot een server worden verschaft.’ Maar het kan ook op andere manieren. Letterlijk doordat iemand via een dienstingang een gebouw binnensluipt en daardoor fysiek een state of the art firewall bypassed. Een hacker heeft maar éen naam en inlog nodig om een heel netwerk lam te leggen. Maresa: ‘Er zijn tegenwoordig NFC-chips die zijn zo klein dat ze onder een vingernagel passen. Daarmee is het mogelijk een toegangskaart te klonen en deze informatie naar een andere chip te schrijven, om zo later toegang tot een gebouw te krijgen.’ 

Zwaarbeveiligde gebouwen hacken en bezorgdrones testen

Maresa en Mark vinden het belangrijk dat ze impact kunnen maken bij KPN. Mark werkt er al 22 jaar en roemt de diversiteit aan werkzaamheden: ‘Geen dag is hetzelfde en wij werken met gave, moderne technologieën.’ Maresa: ‘Als je kijkt wat een sommige bedrijven betalen aan hun medewerkers dan zou je daar jaloers van kunnen worden maar je kunt jezelf dan afvragen “Maak ik hier echt het verschil?’ Bij KPN weet ik zeker dat alles wat we doen het leven van Nederlanders op positieve wijze beïnvloed. Er zijn hier zoveel mogelijkheden.’

Mark vult aan: ‘We hebben verschillende gave projecten mogen doen. Van pentesten van drones die EpiPennen en pizza’s bezorgen, tot het testen van enorme schepen. We hebben een app onder handen mogen nemen die 24 uur per dag iemands hart monitort. Hierbij keken we of die medische data veilig opgeslagen werd. Als die app succesvol wordt, hoeven mensen straks niet meer naar het ziekenhuis om hartfilmpjes te laten maken. KPN heeft geïnvesteerd in een connected deurbel. We hebben bij zwaarbeveiligde gebouwen mogen inbreken. En zo kan ik nog wel even doorgaan. We hebben hier een bucketlist met gave, out-of-the-box projecten en zijn die een voor een aan het afvinken. Dat is toch fantastisch?’

Bronnen:
(*) = https://arxiv.org/pdf/2112.11233.pdf
(**) = https://cybersecurityguide.org/resources/cyber-ranges/