innovatie

Hoe voorkom je succesvolle cyberaanvallen?

21 maart 2017 • 4 min leestijd

Cyberaanvallen worden steeds heviger en professioneler, waardoor overheden, bedrijven en de economie veel schade lijden. Hoe eerder een cyberdreiging wordt ontdekt, hoe minder schade een aanval kan toebrengen. Alleen preventie, monitoring en incident respons zijn daarbij niet meer genoeg; een nieuw antwoord is nodig. In het recent geopende Cyber Threat Intelligence Lab (CTI Lab) experimenteert TNO met nieuwe technologieën en het ontwikkelen van cybersecurity-innovaties.

“Veel organisaties houden hun netwerk al nauwlettend in de gaten en ondernemen actie als ze iets verdachts zien”, vertelt Richard Kerkdijk, cybersecurity expert bij TNO. “Dit is een goede, maar erg reactieve aanpak. Met cyber threat intelligence (CTI, red.) willen we een stuk van het initiatief herwinnen. Door dreigingsinformatie te analyseren, krijgen organisaties bijvoorbeeld inzicht in de werkwijze van hackersgroepen en de kenmerken van specifieke soorten malware. Zo kunnen ze in een vroeg stadium anticiperen op cyberdreigingen en schade aan hun systemen voorkomen.”

Krachten bundelen

CTI is een relatief nieuw werkveld, dat volgens Annemarie Zielstra, directeur Cyber Security & Resilience bij TNO, nog in de kinderschoenen staat. “Er wordt door organisaties veel gepionierd en er zijn nog veel onbeantwoorde technische en organisatorische vragen. Aangezien het belang van cyber threat intelligence steeds groter wordt in het bestrijden van cyberaanvallen, heeft TNO een ecosysteem hiervoor ingericht op de HSD campus: het CTI Lab.” In dit ecosysteem komen publieke en private partijen bij elkaar om bestaande kennis uit te wisselen en nieuwe kennis te ontwikkelen. Deze krachtenbundeling geeft volgens Zielstra een boost aan de doorontwikkeling van CTI én aan de ontwikkeling van cybersecurityproducten. “Enerzijds wordt Nederland digitaal veiliger als cyber threat intelligence gezamenlijk wordt verzameld, geanalyseerd en gedeeld. Anderzijds ontstaat door het omzetten van kennis naar cybersecurity-innovaties en -producten, een sterke Nederlandse cybersecurityindustrie. Betrouwbare producten van eigen bodem zijn goed voor de nationale veiligheid en het biedt enorme economische kansen op de wereldmarkt.”

“Door dreigingsinformatie te analyseren, kunnen organisaties in een vroeg stadium anticiperen op cyberdreigingen en schade aan hun systemen voorkomen”

Aanvallen vóór zijn

ING is een van de pioniers op het gebied van CTI. Toen de grote DDoS-aanvallen op de Nederlandse banken begonnen, heeft ING een Cyber Crime Expertise & Response Team (CCERT) opgericht. Dit team verzamelt en deelt wereldwijd informatie binnen ING, alarmeert de organisatie bij dreigingen en lost problemen op. Volgens Vincent Thiele, manager CCERT, is het belangrijk dat een cyber threat intelligence-team nauw aansluit bij de bedrijfsprocessen en business. “Met CTI willen we aanvallen vóór zijn. Dat betekent dat iedereen binnen onze organisatie een verantwoordelijkheid heeft signalen door te geven aan ons CCERT, maar andersom moet ons team relevante informatie, dreigingen en oplossingen weten te vertalen naar de businessprocessen of naar een specifiek IT-systeem. Dan ben je het meest effectief.” Cyber threat intelligence heeft betrekking op operationeel, tactisch en strategisch niveau, zegt Thiele. “Daarom is die vertaling zo belangrijk. En dat er goede analyses worden gemaakt. Dan ben je relevant voor iedereen in de organisatie en wordt je oordeel vertrouwd.” Hoewel ING voorloper is op CTI, valt er nog genoeg te ontwikkelen. “We willen beter worden in ‘threat hunting’: actief jagen op dreigingen, wereldwijd. En dan snel ons beveiligingsbeleid daarop aanpassen. Hiervoor maken we gebruik van de expertise van TNO.”

Vertaalslag van CTI naar de organisatie

Net als Vincent Thiele van ING legt Joep Gommers, CEO van het platform EclecticIQ dat dreigingsinformatie helpt te analyseren, de nadruk op de vertaalslag van CTI naar de organisatie. “Een CTI-team moet de business van interne stakeholders begrijpen en in dat licht dreigingen op waarde kunnen schatten.” CTI maakt volgens Gommers ‘threat management’ mogelijk. “Het is een geïntegreerd proces, dat de risico’s van dreigingen vermindert door gerichte preventie, detectie en beveiligingsmaatregelen, om zo cyberaanvallen voor te zijn.”

Welke kwetsbaarheden hebben prioriteit?

In het rapport ‘De economische en maatschappelijke noodzaak van meer cybersecurity’ schrijft Herna Verhagen, CEO PostNL, dat “de samenwerking tussen overheid en bedrijfsleven op het gebied van cybersecurity moet worden verstevigd en geïnstitutionaliseerd. Informatie-uitwisseling op het gebied van ongeoorloofd gebruik, kwetsbaarheden in systemen, criminaliteit of spionage in de digitale wereld moet worden bevorderd.” Dat is volgens Zielstra precies wat het CTI Lab voor cyber threat intelligence doet. Als voorbeeld noemt ze het project ‘Cyber Trend Watch’. In dit project worden informatiebronnen gekoppeld en geanalyseerd, en vervolgens worden daar kwetsbaarheden uitgehaald. Die krijgen een score mee, waardoor er een ‘threat index’ ontstaat. Deze index geeft via een rangschikking aan welke kwetsbaarheden prioriteit hebben en als eerste opgelost moeten worden. “Dit proces wordt in het CTI Lab ontwikkeld en getest. We willen hier ‘machine learning’ nog aan toevoegen, zodat het proces sneller en geautomatiseerd verloopt met een hoge betrouwbaarheidsfactor.”

“We willen beter worden in het actief jagen op dreigingen. En dan snel ons beveiligingsbeleid daarop aanpassen. Hiervoor maken we gebruik van de expertise van TNO”

Doorontwikkelen

Omdat CTI relatief nieuw is, zijn er nog veel onbeantwoorde vragen. Want welke informatiebronnen zijn bijvoorbeeld relevant voor een specifieke organisatie? Wat zijn de criteria om dreigingen te labelen en te prioriteren? Waar bestaat een efficiënte CTI-workflow uit? Hoe vertaal je dreigingsinformatie naar alle afdelingen in de organisatie? En welke vaardigheden hebben CTI-analisten nodig? “Zeer relevante vragen waarnaar we onderzoek doen in het CTI Lab”, vertelt Zielstra. “Partners die willen deelnemen aan onderzoeken, testen en demonstraties, nodigen we uit om contact met ons op te nemen. Als we de handen ineenslaan, kunnen we cyber threat intelligence doorontwikkelen en tot nieuwe innovaties komen.”

Verschil tussen CTI, SOC en CERT

Security Operations Centers (SOC) zijn vaak preventief gericht op detectie van afwijkend gedrag op het eigen netwerk. Computer Emergency Response Teams richten zich vooral op het oplossen van problemen als zich een incident voordoet. Beide zijn veelal reactief en gericht op de eigen organisatie. Het CTI-team is naar buiten gericht en kijkt welke actuele dreigingen relevant zijn voor de organisatie.

innovatie

Hoe voorkom je succesvolle cyberaanvallen?

21 mrt '17 - 4 min
Cyberaanvallen worden steeds heviger en professioneler, waardoor overheden, bedrijven en de economie veel schade lijden. Hoe eerder een cyberdreiging wordt ontdekt,... Lees meer
blik op de toekomst

Hoe een neurowetenschapper de recherche helpt

6 nov '18 - 5 min
Sinds drie jaar bestrijdt de recherche in West-Brabant de zware criminaliteit niet alleen met goed speurwerk, maar ook met wetenschappers. Met zijn team helpt neurowetenschapper... Lees meer
blik op de toekomst

Zeezoogdieren beter begrijpen

16 okt '18 - 3 min
Welke effecten heeft geluid dat de mens onder water veroorzaakt op zeezoogdieren en het milieu? Zolang die vraag niet nauwkeurig kan worden beantwoord, moeten beleidsmakers... Lees meer
op de werkvloer

Hoe gaming onze bewustwording van hybride dreigingen verhoogt

12 apr '18 - 3 min
We leven in een open, democratische samenleving en dat willen we graag zo houden. Voor TNO-unit ‘Defence, Safety and Security’ betekent dit een opdracht om de samenleving... Lees meer
blik op de toekomst

QUIN helpt opsporingsteam in nieuwe seizoen tv-programma ‘Hunted’

6 nov '17 - 3 min
Het tweede seizoen van tv-programma Hunted is 6 november van start gegaan, bij AvroTros op NPO3. In dit programma proberen veertien deelnemers, de ‘voortvluchtigen’,... Lees meer
blik op de toekomst

Hoe controleer je de betrouwbaarheid van data?

26 okt '17 - 5 min
Het verkeer, werkomstandigheden, ons voedsel: alles is voor onze veiligheid en gezondheid gereguleerd en staat onder streng toezicht. Hoe zit dat met data, nu veel... Lees meer

VOLG TNO OP SOCIAL MEDIA

blijf op de hoogte van ons laatste nieuws, vacatures en activiteiten

Wij gebruiken anonieme cookies om het gebruik van onze site te verbeteren. Ons privacystatement is aangepast aan de nieuwe privacywetgeving in de EU.