Rekencentrum

Red Team Experts test de beveiliging van uw datacenter door middel van red teaming.

Is uw digitale beveiliging op orde?

Een Red Team nam op verzoek een middelgroot datacenter nabij Rotterdam op de korrel. Het ging hierbij om een bedrijf dat clouddiensten aanbiedt aan administratiekantoren. De directie had gevraagd om uit te zoeken of onbevoegden ondanks de vergaande beveiligingsmaatregelen via identiteitsfraude bij de serverracks konden komen.

Niet eenvoudig

Het werd het Red Team niet eenvoudig gemaakt. Een fysieke inbraak was niet de bedoeling en zou ook niet mogelijk zijn geweest zonder grote schade te veroorzaken. Klanten hadden toegang tot hun eigen servers, maar alleen onder begeleiding van iemand van de door het datacenter ingehuurde particuliere beveiligingsdienst. Bovendien kon dat alleen op afspraak, zodat er altijd voldoende capaciteit zou zijn om klanten te begeleiden en gelijktijdig het gebouw te bewaken.

Observatie

Het Red Team ging op onderzoek naar informatie over het datacenter en voerde in dezelfde periode observaties uit. Op één van die dagen werd het datacenter bezocht door een IT-bedrijf uit Zoetermeer. Dat was geen klant, dus was het waarschijnlijk dat het onderhoud betrof. Een van de Red Teamers liep langs het gebouw en zag dat beide beveiligers bij de receptie zaten. De onderhoudsman kon dus zonder begeleiding naar binnen. Waarschijnlijk kwam hij vaker langs.

Spoofing

Op LinkedIn werd gezocht naar informatie over het IT-bedrijf en al snel kwamen de naam en nog wat aanvullende gegevens van de onderhoudsman naar voren. Het Red Team stuurde hem een e-mail met als afzender de directeur van een van de klanten van het datacenter. Dat heet spoofing. Een truc waarbij afzender van een e-mail wordt vervalst. De ‘directeur’ liet weten dat er die dag grote vertragingen waren in de verwerking van gegevens en dat zijn ICT-afdeling het vermoeden had dat dit kwam door defecten in de server. Klanten klaagden intussen steen en been, dus het probleem moest direct worden opgelost. De directeur zou een ICT-medewerkster sturen, zodat die samen met de onderhoudsman de server kon onderzoeken. Jawel, een medewerkster, want vrouwen worden sneller vertrouwd dan mannen!

beveiliging pentest

Zonder beveiligers

Een probleem was nog dat de medewerkster van het Red Team geen officiële klantenpas had voor het datacenter. Daarom was de onderhoudsman nodig. Zoals verwacht arriveerde die netjes op tijd en samen met hem meldde de medewerkster zich bij de beveiliging. De beveiliger vroeg volgens de procedure om een ID-bewijs, maar dat had de dame in de haast op kantoor laten liggen. ‘Het is goed. Ik blijf erbij’, zei de onderhoudsman en zo kon zij met hem, maar zonder de beveiligers naar binnen.

Men kan er een mening over hebben, maar zo gaat het vaak in de praktijk. Onder stress wijken mensen makkelijker van de procedures af. De onderhoudsman had moeten twijfelen toen de ‘klant’ geen pas had en de beveiligers hadden beide personen nooit zomaar naar binnen mogen laten.

In de rapportage benoemde het Red Team geen ‘schuldigen’. Het advies was om meer aandacht te schenken aan security awareness, bij zowel eigen medewerkers, beveiligers, (onder)aannemers als klanten. In een hoog risico-omgeving is iemand pas te vertrouwen als de identiteit is geverifieerd. Niet geverifieerde personen mogen onder geen beding naar binnen. Zelfs niet als het politieagenten zijn, want ook uniformen en politie-ID’s zijn zonder overdreven veel moeite na te maken.