Anomaliedetectie bij de Belastingdienst

<div><p>De Belastingdienst beheert grote hoeveelheden gevoelige data en is daarmee een doelwit voor cybercriminelen, spionage en financieel gemotiveerde cyberaanvallen. TNO voert onderzoek uit op grote, operationele datasets in samenwerking met het Security Operations Centre (SOC). Ontwikkelde innovaties:</p><ul> <li>Anomaliedetectie: detecteren van werkplekken met afwijkend communicatiegedrag.</li> <li>Apparaatidentificatie: uniek identificeren van apparaten op basis van hardware kenmerken in het apparaat.</li> <li>Detectie van multi-stage cyber attacks: herkennen en aan elkaar koppelen van meerdere stappen in een cyber kill chain.</li> <li>Detectie van DNS-tunnels: detecteren van data-exfiltratie en command en control verkeer via DNS-verkeer.</li> <li>LLM-ondersteunde advisering: gebruik van grote taalmodellen voor geautomatiseerde analyse en aanbevelingen voor SOC-analisten.</li> </ul><p>In een apart programma wordt een proof-of-concept ontwikkeld voor ransomware-detectie. Specifiek doet TNO onderzoek naar anomaliedetectie op fileshares. De detectie is gebaseerd op veranderingen in Shannon-entropie - een maat voor de voorspelbaarheid van data die stijgt wanneer bestanden worden versleuteld. Dit maakt het mogelijk om een extra line of defense in te stellen.</p></div>

Geavanceerde detectie en dreigingsbeheer voor IT en OT

Thema:: Cybersecurity

Regelgebaseerde detectiesystemen signaleren alleen bekende cyberaanvallen. Zero-day-aanvallen en AI-gestuurde aanvallen kunnen ongemerkt passeren. De vraag is niet of je infrastructuur kwetsbaar is, maar of je ziet wat er echt gebeurt. Hoe krijg je zicht op wat je huidige detectie niet ziet?

TNO ontwikkelt en test anomaliedetectiemethoden die afwijkend gedrag door cyberaanvallen herkennen in aanvulling op producten die bekende aanvalspatronen signaleren. Daarnaast begeleidt TNO organisaties met OT-infrastructuren niet alleen met technische innovaties, maar ook met inrichting van effectieve samenwerking en besluitvorming tussen cybersecurityteams en assetmanagers.

Het detectieprobleem

Cybersecurity voor OT-omgevingen is uitdagend. Het aanvalsoppervlak neemt toe door IT/OT convergentie. Het aantal aanvallen neemt wereldwijd toe en aanvallen worden geraffineerder. De OT-infrastructuren worden complexer. Ze bevatten proprietary hardware & software en oudere systemen met een levensduur van 10 jaar of meer. Daarnaast is downtime uit den boze hetgeen patching compliceert.

Volgens het Fortinet State of Operational Technology and Cybersecurity-rapport 2024 kreeg 31% van de organisaties met OT-omgevingen in 2023 minstens zes inbraken te verwerken. Regelgebaseerde detectiesystemen falen bij:

Zero-day-aanvallen: kwetsbaarheden die nog niet eerder zijn misbruikt en waarvoor nog geen regels bestaan.
AI-gestuurde aanvallen: geautomatiseerde aanvallen die sneller evolueren dan handmatig bijgewerkte regelsets kunnen bijhouden.
Gerichte aanvallen: aanvallen die bewust afwijken van bekende patronen om detectie te omzeilen.

Gedragsgebaseerde anomaliedetectie

TNO ontwikkelt detectiemethoden op basis van gedragsanalyse in plaats van regels. Het systeem leert wat normaal gedrag is binnen een specifiek netwerk of systeem, en signaleert afwijkingen daarvan, ongeacht of het aanvalspatroon eerder is gezien. Werkwijze:

Analyse van operationele data: TNO stelt op basis van de data van de betreffende organisatie een baseline op van normaal gedrag.

Algoritme-ontwikkeling: detectie-algoritmen worden specifiek afgestemd op de betreffende omgeving.
Prototype-testen tot TRL 7: prototypes worden getest bij partners met hun productiedata, zodat detectienauwkeurigheid iteratief wordt verbeterd.
Verklaring per alert: het systeem geeft per melding de oorzaak, een risicobeoordeling en een advies voor vervolgstappen, geautomatiseerd of voor de analist.

Bijkomend voordeel is dat tijdens implementatie komen configuratiefouten in het netwerk aan het licht, wat de netwerkhygiëne verbetert, en het aantal vals positieven verlaagt.

Toepassing: PLC-communicatie in OT-omgevingen

Programmable Logic Controllers (PLC's) besturen fysieke processen zoals pompen en motoren. Afwijkingen in PLC-communicatie - zoals onverwachte commando's of wijzigingen in communicatiepatronen - kunnen, in combinatie met andere indicatoren, wijzen op een cyberaanval.

TNO ontwikkelt detectiesystemen die deze afwijkingen automatisch detecteren en geeft operators inzicht in de aard van de afwijking, het bijbehorende risico voor het fysieke proces, en aanbevolen acties om veilig te reageren zonder het proces te verstoren.

Mobile OT Cyber Lab: testen bij organisaties op locatie

TNO heeft samen met het Nationaal Cyber Security Centrum (NCSC) een mobiel OT Cyber Lab ontwikkeld, dat op locatie kan worden ingezet bij geïnteresseerde organisaties.

Functie van het lab:

Testen en experimenteren met detectie- en responsinnovaties in een operationele context, zonder impact op productiesystemen.
Verzamelen van representatieve data voor algoritme-ontwikkeling.
Faciliteren van overleg en besluitvorming tussen assetmanagers en cybersecurityteams.
Bijdragen aan een innovatie-ecosysteem voor SOC- en CSIRT-technologieën.

Het Mobile OT Cyber Lab is beschikbaar en wordt ook ingezet in het SILO programma, een initiatief van NCSC, TNO, IenW en de OT Coalitie. SILO staat voor Security Innovatie Lab voor OT. Organisaties die interesse hebben in deelname aan SILO worden uitgenodigd om contact op te nemen met TNO.

TNO use-cases

In het NEWS-project ontwikkelde TNO samen met het Ministerie van Defensie en partners een gedecentraliseerd monitoringsysteem voor cyberdreigingen op marineschepen. Minder bemensing aan boord vereist een systeem dat zelfstandig dreigingen detecteert, filtert en prioriteert.

TNO ontwierp een demonstrator en een architectuur voor het verzamelen, filteren, analyseren, opslaan en distribueren van logdata uit militaire netwerken. De oplossing omvat:

Specifieke responsmaatregelen per type incident.
Drie gedefinieerde cybersecurity-rollen aan boord, gericht op mens en proces.
Onderzoek naar overdraagbaarheid naar andere krijgsmachtonderdelen.

De Belastingdienst beheert grote hoeveelheden gevoelige data en is daarmee een doelwit voor cybercriminelen, spionage en financieel gemotiveerde cyberaanvallen. TNO voert onderzoek uit op grote, operationele datasets in samenwerking met het Security Operations Centre (SOC). Ontwikkelde innovaties:

Anomaliedetectie: detecteren van werkplekken met afwijkend communicatiegedrag.
Apparaatidentificatie: uniek identificeren van apparaten op basis van hardware kenmerken in het apparaat.
Detectie van multi-stage cyber attacks: herkennen en aan elkaar koppelen van meerdere stappen in een cyber kill chain.
Detectie van DNS-tunnels: detecteren van data-exfiltratie en command en control verkeer via DNS-verkeer.
LLM-ondersteunde advisering: gebruik van grote taalmodellen voor geautomatiseerde analyse en aanbevelingen voor SOC-analisten.

In een apart programma wordt een proof-of-concept ontwikkeld voor ransomware-detectie. Specifiek doet TNO onderzoek naar anomaliedetectie op fileshares. De detectie is gebaseerd op veranderingen in Shannon-entropie - een maat voor de voorspelbaarheid van data die stijgt wanneer bestanden worden versleuteld. Dit maakt het mogelijk om een extra line of defense in te stellen.

Dit TNO-rapport verkent hoe digitale technologieën zoals Digital Twins en Cyber Ranges (pdf) kunnen worden ingezet om de Nederlandse watersector te ondersteunen bij complexe beheer- en infrastructuurvraagstukken. Het helpt waterschappen en drinkwaterbedrijven om cyberrisico’s op kritieke infrastructuur vroegtijdig te identificeren en te begrijpen. Zo wordt de weerbaarheid tegen cyberaanvallen op waterbeheer-systemen versterkt.

Organisatorische integratie: cybersecurityteams en assetmanagers

Effectieve detectie vereist samenwerking tussen assetmanagers (verantwoordelijk voor operationele continuïteit en budget) en teams met cybersecurityspecialisten (verantwoordelijk voor digitale veiligheid). In veel organisaties opereren deze groepen in gescheiden silo's. TNO hanteert een projectmethodiek gericht op deze kloof:

Boundary spanning: actief verbinden van afdelingen die normaal gesproken niet samenwerken aan cybersecurityvraagstukken.
Kortcyclische verbeterprogramma's: gestructureerde iteraties waarbinnen teams gezamenlijk beslissen over technologie, mensen en processen.
Betrekken van managers, engineers en analisten als actieve deelnemers in het innovatieproces.

TNO fungeert als klankbord voor risicoafweging en besluitvorming over cybersecurity-investeringen, ook voor organisaties zonder CISO. Lees er meer over in het volledige rapport.

Test innovatie in de praktijk

Test de prototypes, afgestemd op behoefte en beschikbare data, direct binnen jouw organisatie. Geavanceerde detectie-innovaties worden gevalideerd onder realistische omstandigheden, met echt verkeer, configuratiefouten en operationele variaties, tot TRL7-niveau. Neem contact met ons op voor meer informatie.

Veelgestelde vragen

Regelgebaseerde systemen detecteren bekende aanvalspatronen (signatures). Ze detecteren echter alleen bekende aanvallen. Anomaliedetectie stelt een baseline op van normaal gedrag en signaleert afwijkingen daarvan, ook bij zero-day-aanvallen en gerichte aanvallen zonder bekende signatures.

OT-systemen zijn ontworpen voor continuïteit van fysieke processen, niet voor informatiebeveiliging. Ze draaien vaak nog op verouderde protocollen, worden zelden gepatcht vanwege vereiste uptime, en zijn niet compatibel met standaard IT-beveiligingstools. Een cyberaanval die een operationeel systeem stillegt heeft directe fysieke gevolgen.

Shannon-entropie meet de voorspelbaarheid van data. Een normaal bestand heeft een bepaalde entropiewaarde. Wanneer ransomware bestanden versleutelt, stijgt de entropie sterk. Versleutelde data is statistisch willekeurig. Door entropieveranderingen op fileshares te monitoren, zijn vroege tekenen van versleuteling detecteerbaar voordat alle bestanden zijn aangetast.

DNS-tunneling is een techniek waarbij aanvallers data verbergen in DNS-verkeer, bijvoorbeeld om informatie ongemerkt uit een netwerk te exfiltreren. DNS-verkeer wordt door veel firewalls niet geblokkeerd, waardoor het een populair kanaal is voor verborgen communicatie tussen malware en een command-and-control-server. Detectie vereist statistische analyse van DNS-verkeer.

De methoden zijn primair ontwikkeld voor organisaties met Security Operation Centers (SOCs) en kritische IT en/of OT-infrastructuur: energiebedrijven, drinkwaterbedrijven, overheidsinstanties, bedrijven uit de financiële sector, defensie en organisaties binnen de nationale vitale infrastructuur. De aanpak is toepasbaar op alle organisaties die cyberveiligheid hoog in het vaandel hebben staan.

Commerciële SIEM- en EDR-oplossingen bieden standaard regels die breed inzetbaar zijn. TNO ontwikkelt detectie-algoritmen specifiek op basis van de data en context van de betreffende organisatie ter versterking en aanvulling op commerciële, regel-gebaseerde producten.

Na afloop van een innovatietraject beschikt de organisatie over gedocumenteerde detectie-algoritmen afgestemd op de eigen omgeving, inzicht in configuratiefouten en verbeterde netwerk hygiëne. Daarnaast helpt het om het bewustzijn van medewerkers over actuele dreigingen te verhogen. De kortcyclische methodiek is zodanig ontworpen dat de organisatie zelfstandig verder kan zonder doorlopende afhankelijkheid van TNO.

Neem contact met ons op

Sla navigatie over (Neem contact met ons op)

Erik Meeuwissen

Functie:
Senior consultant
Erik Meeuwissen is senior consultant en heeft de leiding over het team Security monitoring en detectie van TNO. Dit team heeft een uitgebreide staat van dienst op het gebied van de detectie van cyberaanvallen in bedrijfsnetwerken en breidt zijn werkgebied uit naar OT. De detectie van afwijkingen speelt een sleutelrol bij het tegengaan van geavanceerde en gerichte aanvallen. Het team is actief in verschillende sectoren, waaronder de overheids- en financiële sector.

Meer over Erik
- Standplaats:
  Den Haag - New Babylon
- E-mail:
  E-mail Erik