Het aantal cyberdreigingen neemt jaarlijks toe. Voor het leveren van een optimale IT-dienstverlening focust NS zich op concrete maatregelen tegen cyberincidenten. Middels threat modeling, testen en red teaming werkt de organisatie doorlopend aan het tegengaan van kwetsbaarheden. Hoe gebeurt dit precies?
In juli trof de grootschalige aanval met Kaseya-ransomware wereldwijd honderden bedrijven. De aanval en securitydreigingen vergrootten de alertheid van Rene Meijer en Noah Pattij, security-testers bij NS. “Dergelijke aanvallen herinneren ons eraan dat we harder moeten werken op het niveau dat we nastreven, om de IT-omgeving voor zowel de klant als medewerkers veiliger te maken”, vertelt Rene.
Binnen NS worden op verschillende domeinen security-testen uitgevoerd om veiligheid te realiseren. “Mijn focus ligt nu voornamelijk op de online kant van de organisatie: van de website tot alle (web)applicaties, api’s en mobiele apps,” zegt Noah. Rene richt zich op infrastructurele testen op de trein, het station en het slimme slot voor de OV-fiets.
Gespecialiseerde kennis
Security-testen binnen NS start met threat modeling, waarbij het security-team de risico’s identificeert waarop de testactiviteiten worden gebaseerd, om vervolgens met pentesten kwetsbaarheden te vinden en op te lossen om de beveiliging te versterken. Rene: “Met threat modeling kun je de expliciete dreigingen in kaart brengen. Misschien hebben we voor deze dreigingen al doeltreffende maatregelen bedacht. Vervolgens wil je middels de pentest aantonen dat die maatregelen effectief zijn. Hierbij wordt een tijdsefficiënte werkwijze gevolgd waarbij we met het team gericht relevante data interpreteren, problemen signaleren en ze oplossen.”
NS streeft er met een intern team van IT-specialisten naar om doelgericht potentiële dreigingen aan te pakken. “Doorgaans huren bedrijven externe partijen in om pentesten uit te voeren. We leren nu sneller de verschillende applicaties kennen voordat we aan de slag gaan, omdat we tijdens sessies schakelen met bijvoorbeeld ontwikkelaars die het systeem goed kennen en op de hoogte zijn van actuele ontwikkelingen. We nemen zo meer achtergrondinformatie mee in het pentesttraject, waardoor we snel kwetsbaarheden kunnen ontdekken”, vertelt Rene.
Privacy en gegevensbescherming
IT vervult binnen NS een belangrijke rol in alle processen. Het gaat lang niet alleen om het leveren van reisinformatie via de mobiele app of het onderhoud van treinen. Betrouwbare IT is ook nodig voor onder meer de goede werking van NS-poortjes wanneer reizigers met hun OV-chipkaart inchecken voor toegang tot het station of tijdens het reistraject.
NS verzamelt de gegevens van abonneehouders voor het leveren van betere IT-dienstverlening. Het beschermen van privacy van reizigers is dan ook belangrijk voor de NS-organisatie, meldt Noah. “Door onze grote klantenkring beschikken we over veel persoonsgegevens. Je wil koste wat het kost een datalek voorkomen; de gegevens mogen niet op straat komen te liggen of worden verkocht door criminelen.” Rene benadrukt daarnaast het belang van continuïteit van systemen, onder meer door goede DDoS-bescherming. “Als je een website wil blijven optimaliseren, moet je ook kijken naar de juiste bescherming. Binnen het NS-landschap zijn er veel verschillende systemen, van de poortjes en de paaltjes tot de kassa’s op de stations. Betere bescherming draagt bij aan de veiligheid en wendbaarheid van de NS-organisatie.”
Praktisch toepasbaar
Tijdens een threat modeling-sessie kruipen Rene en Noah samen met hun security-team in de huid van de hacker om mogelijke kwetsbaarheden in IT-infrastructuur, api’s of het slimme slot te identificeren. Noah: “Als testers signaleren wij problemen die een omgeving onveilig maken. We stellen allereerst een testplan op waarbij we alle informatie ordenen die we van een devops-team hebben ontvangen. We beantwoorden tijdens een sessie onze vragen, met de threat modeling-tool Stride die de verschillende bedreigingen categoriseert. Dan doen we alle pentesten whitebox en greybox, waarbij we zowel zonder als met informatie gericht op zoek gaan naar kwetsbaarheden in bijvoorbeeld web- en mobiele applicaties. Deze aanvalsscenario’s geven een compleet overzicht van de technische weerbaarheid van onze digitale omgeving. Tot slot kijken we of we een privilege escalation kunnen uitvoeren, waarbij een hacker met een ‘gewoon’ gebruikersaccount kan upgraden naar een beheerdersaccount. Het is een goede manier om het hele systeem te controleren.” Alle resultaten en bevindingen vertalen de testers in een adviesrapport voor eventuele vervolgactiviteiten. Een information security officer geeft vervolgens aan of het devops-team het probleem moet oplossen voordat er live wordt gegaan, of niet.
Productieomgeving versus acceptatieomgeving
De security-testen worden zowel in een productie- als acceptatieomgeving uitgevoerd. De werkwijze van de testers is afhankelijk van de vraag of ze met webapplicaties werken of met een simulator op locatie. Rene legt uit: “Bij een applicatie heb je vaak maar één IP-adres of een aantal url’s die moeten worden getest, bijvoorbeeld NS.nl. Een trein is net een rondrijdend datacenter, met verschillende systemen die met elkaar communiceren, en een netwerkindeling. Je wil dat het complete netwerk aan boord van de trein veilig is, inclusief alle infrastructuurcomponenten. Op het NS-kantoor hebben we grote, houten testmuren voor de treinen, met alle apparatuur die bij de echte trein is ingebouwd, om de testen uit te voeren. Maar we hebben ook een acceptatietrein: een trein die op een rustige plek wordt stilgezet om te testen.”
Red teaming
In 2021 gaat NS tijdens het security-testen een stap verder, met red teaming. Rene: “Je kunt dit zien als een aanvalssimulatie op de organisatie en niet zozeer op één specifieke applicatie. Het initiatief sluit aan bij de interne transformatie binnen NS. Security-testen wordt nu ook een verantwoordelijkheid binnen de devops-teams zelf. Noah voegt toe: “Door deze lichte verschuiving krijgen applicaties ietwat minder aandacht van security-testers. Als achterwacht wil je red teaming gebruiken om te kijken of ze de juiste handelingen verrichten. Daarbij passen we het altijd toe in een productieomgeving en niet in een acceptatieomgeving.”
Social engineering
De verschillende afdelingen binnen NS zijn niet op de hoogte wanneer de testers een red team-exercitie uitvoeren, geeft Noah aan. “We delen het niet van tevoren mee, omdat we willen weten hoe medewerkers reageren. Het is een belangrijk onderdeel van security: wat gebeurt er als blijkt dat een kwetsbaarheid wordt uitgebuit of als we zien dat iemand probeert binnen te dringen? We houden ook rekening met wat iemand op het station zou kunnen doen, bijvoorbeeld het betreden van een ruimte waar hij of zij niet mag komen. Maar denk ook aan het bellen van onze eigen helpdesk of het controleren van de bereikbaarheid van hooggeplaatste medewerkers.”
Toch zijn er ook grenzen aan een red team-exercitie. Rene: “Testen gaat best ver, maar je mag nooit een systeem onderuithalen. Daarbij kijken we ook naar persoonlijke veiligheid die in het geding kan komen. Denk bijvoorbeeld aan de poortjes op het station. Als alle gates dicht blijven, kan het mogelijk leiden tot onveilige situaties en dat wil je natuurlijk voorkomen.” Noah knikt instemmend: “Zolang we binnen de kaders blijven, is er veel mogelijk.”
Steile learningcurve
NS daagt security-testers uit om zich te blijven ontwikkelen voor het signaleren en oplossen van kwetsbaarheden binnen het interne digitale landschap. Rene: “De diversiteit aan systemen binnen het bedrijf is enorm interessant. Er is altijd ruimte voor verbetering.” Security-testen zullen bovendien een steeds belangrijkere rol spelen binnen de IT-dienstverlening van NS. “Wat vandaag veilig is, kan morgen onveilig zijn. Als tester word je gedwongen om constant te blijven leren. Zo hou je jezelf bezig en hoef je je nooit te vervelen”, voegt Noah toe.
Meer weten over werken als tester bij NS, of over een andere IT-functie? Kijk dan of je profiel past bij een van de openstaande vacatures.
Dit artikel is geen redactioneel artikel, maar een advertorial en tot stand gekomen dankzij NS en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers-events zoals Meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].
:strip_exif()/i/2004862464.jpeg?f=fpa)
:strip_exif()/i/2003268142.jpeg?f=fpa)
:strip_icc():strip_exif()/u/397182/doge.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/1663458/crop61486d279b4ab_cropped.jpg?f=community){kind=small}
:strip_exif()/u/47168/loop.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/11292/touchinverted.jpg?f=community){kind=small}
