Een effectief wapen tegen cybercriminaliteit ‐ CREDS

By CREDS | 23 Apr 2024

Een effectief wapen tegen cybercriminaliteit

Wij onthullen het cyber aanvalspad naar de kroonjuwelen

Beveiliging tegen cyber aanvallen toegankelijk maken voor het grotere mkb. Dát is de missie van Ralf Bardoel en Daan Wagenaar, bevlogen oprichters van CREDS, experts in offensive security.

En met “offensief” en “toegankelijk” maakt het vier jaar geleden gestarte bedrijf het grote verschil. Ralf Bardoel vertelt: “CREDS Automated Red Teaming (ART) is een platform dat de cyberweerbaarheid van organisaties test door echte aanvallen uit te voeren. En omdat dit 24/7 en volledig geautomatiseerd gebeurt, is optimale cyber security nu ook voor het middelgrote en grote mkb bereikbaar.”

Want, zo benadrukt Bardoel: Het is betaalbaar. “Ons platform slaapt niet, drinkt ook geen koffie en kan grote netwerken geautomatiseerd aan. Al kijken we wel elke dag even mee met klanten, soms ziet het menselijk oog net iets anders. Onze dienstverlening onderscheidt zich door die automatisering. CREDS ART valt systemen aan met – zo noemen we het maar even – rubberen kogels. Waardoor daadwerkelijke schade zo optimaal als mogelijk wordt beperkt. Maar tegelijkertijd kunnen we na een aanval kwetsbaarheden en risico”s detecteren die dringend aandacht nodig hebben. Door die onafhankelijkheid van menselijke tussenkomst en voortdurende beschikbaarheid bieden wij het mkb nu een uiterst effectief wapen tegen cybercriminaliteit.”

Real time resultaten door voortdurend inzicht en concrete verbeterpunten

Zijn collega en medeoprichter van CREDS, Daan Wagenaar: “Veel mkb-ondernemers denken dat penetratietesten en scanners afdoende verdediging bieden tegen cyber crime. Maar testen betekent dat je afhankelijk bent van externe partners. Bovendien dekken die maar een gedeelte van de IT af, moeten vaak lang van tevoren worden gepland en worden in de regel vaak maar eens per jaar uitgevoerd. Scanners bieden geen diepgang, geven veel false positives weer en impact geldt niet altijd als prioriteit. En hier komt onze meerwaarde om de hoek kijken. Automatische aanvallen, altijd beschikbaar, altijd actueel. Met real time resultaten, voortdurend inzicht en het aandragen van concrete verbeterpunten.”

Ruim vier jaar werkten Wagenaar en Bardoel aan hun platform. Daan Wagenaar studeerde Informatica en werkte als cyber security consultant bij KPMG. Daar werd hij een collega van Ralf Bardoel die zijn master financiële bedrijfseconomie aan Tilburg University haalde. “Na eerst als ethisch hacker bij Ordina te hebben gewerkt, stapte ik over naar KPMG. Daar, bij Information Protection Services, leerden Daan en ik elkaar kennen. En besloten we uiteindelijk als ondernemers verder te gaan.”

Dankzij beide initiatiefnemers en een team van vijf cyber experts staat het CREDS ART platform nu ter beschikking van bedrijven en organisaties. “Klanten maken zélf de keuze uit de verschillende aanvallen waarin CREDS ART voorziet”, legt Daan Wagenaar uit. “Zo kunnen ze hun openbare IT-infrastructuur en cloud omgeving vanaf het internet aanvallen om hun kwetsbaarheden te detecteren. Of phishing e-mails versturen om de impact van een gecompromitteerde medewerker aan te tonen .”

Wat zijn de gevolgen als een collega geïnfecteerd wordt met ransomware?

Ralf Bardoel vult aan: “Onze klant start een aanval vanaf zijn of haar kantoor of datacenter om de impact van een medewerker die te kwader trouw is te testen. En wat zijn de gevolgen voor de bedrijfsvoering als een collega geïnfecteerd raakt met ransomware?”

De strijd tegen cybercriminaliteit is een voortdurende wapenwedloop en vereist een lange adem. Flexibiliteit en aanpassingsvermogen staan op pole position om dat dreigende gevaar te neutraliseren. Bij CREDS zijn ze ervan overtuigd dat aanvallers het beste kunnen worden geweerd door het heft in handen te nemen en te onderzoeken wat de doelen, de tools, technieken en patronen van een vijandelijk cyber offensief zijn. Door de eigen IT-zwakheden te detecteren, kan misbruik in de toekomst worden voorkomen, aldus de CREDS-strategie. “Wij zijn hackers in hart en nieren en dragen een white hat voor de goede zaak. Security is onze passie, niet onze baan.”

Klanten kunnen zelf en per server hun risicobereidheid bepalen

Ralf Bardoel: “De praktijk is dat klanten onboarden op ons online portaal, de inlogprocedure volgen en daarna zelf (of met hulp) de aanval op hun eigen organisatie starten. Daarbij kunnen ze kiezen uit verschillende “volwassenheid niveaus”, de klant heeft de regie zelf in handen, kan remmen en bijsturen. Op het hoogste niveau valt bijvoorbeeld je server uit. Klanten kunnen zelf en per server hun risicobereidheid bepalen. Want bij zo”n echte aanval, is er het risico van colatteral damage, van nevenschade. Die blijft op de meeste niveaus beperkt tot het opnieuw opstarten van systemen. Wij vinden zwakheden, hiaten in veiligheid, door ons vriendelijke virus, ons “virus met een glimlach”, te sturen. Waar het uiteindelijk om gaat; het dichten van alle aanvalshoeken, maximale weerbaarheid bereiken om die kroonjuwelen te verdedigen. Denk aan inbreken in accounts met hoge rechten, denk aan het overnemen van de cloud omgeving, denk aan het infiltreren in de financiële administratie.”

“In het grotere mkb is heel veel winst te behalen, daar is het cyber bewustzijn vaak nihil en staat security niet hoog op de agenda”, is de overtuiging van Daan Wagenaar. “Denk aan sectoren als tuinbouw, levensmiddelenleveranciers, dat transportbedrijf met 200 medewerkers en een jaaromzet van tussen de 5 en 10 miljoen euro. Beveiliging tegen cyber crime staat bij zo”n organisatie zeker niet op de 1e plaats. Maar áls cyber criminelen toeslaan, kan dat een bedrijf voor langere tijd platleggen. Met alle financiële- en imagogevolgen van dien. Voor ons is het zaak potentiële klanten ervan te overtuigen dat de beste verdediging die aanval op jezelf is. Want dan filter je die zwakheden uit je defensie, dan kun je die échte effectieve blokkade tegen cyber criminelen opbouwen.”

Ransomware is in het mkb dagelijkse business, iedere DGA zit er wel mee

Veel mkb-ondernemers zullen zeggen dat hun cyber beveiliging al geregeld is door de eigen IT-leveranciers. “Tja”, stelt Wagenaar, “wij zijn geen onderdeel van welke IT-leverancier dan ook, om het verhaal van “wc-eend test wc-eend als beste” te voorkomen. Leuk is het natuurlijk nooit voor de IT-partij als wij die paar spades dieper graven en het dasboard vervolgens dieprood kleurt. Want één enkele ART-scan toont vaak aan dat diezelfde IT-leverancier zo”n high- tech aanval helemaal niet ziet. Ons doel is het verwachtingsmanagement aan de voorkant een upgrade te geven, het security level naar het hoogst mogelijke niveau te tillen.”

“Een cyberverzekering vereist steeds hogere premies”, zegt Ralf Bardoel. “Bovendien wordt de wetgeving rond informatiebeveiliging met de EU NIS2 directive strenger. Nu is ons platform klaar voor de strijd tegen cyber crime en is het tijd voor de echte uitrol. Het prijskaartje voor die middelgrote tot grote mkb-klant? Dat hangt af van de verschillende aanvalsperspectieven waarvoor uiteindelijk wordt gekozen. Intern én extern? Wekelijks, maandelijks, halfjaarlijks? De investering varieert van 3.000 tot 32.000 euro per jaar. Dit is een investering maar valt in het niet als men kijkt naar de risico’s die worden gereduceerd en de eventuele kosten die bij ransomware-aanvallen komen kijken. Daarnaast verplicht nieuwe wetgeving DGA’s ook informatiebeveiliging serieus te nemen en is ART een effectieve manier om invulling te geven aan een deel van deze eisen.