Deel 2: De kogel door de kerk - NDN sensor in mijn netwerk!

Weblogbericht | 29-04-2020 | NCSC

1. Technische sessie

Ik of een van mijn collega’s kom samen met een projectleider bij u op locatie. Tijdens deze sessie komen we informatie halen en brengen. Wat komt er zoal aan bod?

• Wat doet de sensor nou precies in uw netwerk?
• Hoeveel verkeer wilt u met de sensor monitoren?
• Hoe kunt u zelf gebruik maken van de sensor?
• Hoe groot is de sensor?

Maar ook: waar komt de sensor te staan, hoeveel stroom verbruikt het en hoe wordt het gekoppeld in de bestaande infrastructuur?

De sensor is een netwerk detectie apparaat. In live data en het lokaal bewaarde  materiaal wordt gezocht naar dreigingen. Uw netwerkverkeer wordt omgezet in metadata. Metadata is een beschrijving van het verkeer (hoeveel, waar vandaan, waar naar toe, met welk protocol, etc). Deze metadata kan gebruikt worden door uw Security Operations Center (SOC) of technisch analisten om zelf dreigingen of problemen in uw netwerk op te sporen.

Voor een goede aansluiting hebben wij ook informatie nodig over uw netwerk:

1. Weet hoe uw netwerk in elkaar steekt; dan kunnen we gezamenlijk bespreken of de sensor op de juiste plaats komt.
2. Vertel ons de functie van de aanwezige servers
3. Vertel ons de functies van de segmenten van het netwerk, zodat wij bij een gevonden dreiging weten waar het probleem zich bevindt.

2. IP-plan invullen

Na de technische sessie wordt het detail ontwerp met IP-plan gezamenlijk ingevuld in het intakeformulier. Dit gebeurt doorgaans via de mail. Het intakeformulier is een bijlage in de Technische Handleiding die voorafgaand aan de technische sessie naar u is verzonden. Enkele details die wij vragen in het formulier:

• Het type sensor en bijbehorende dataopslag. Dit is afhankelijk van de bandbreedte en retentie en wordt besloten door de organisatie en het NCSC.
• Retentietijden. Hoe lang wilt u de metadata bewaren, en hoe lang de beschikking hebben tot de Full Packet Capture (PCAP)?
• IP-adressen en contactgegevens van degenen die de sensor aan de organisatiekant zullen gebruiken. Een contactpersoon die wij kunnen benaderen zodra er een potentiële dreiging wordt waargenomen, die het NCSC dusdanig risicovol vindt dat wij besluiten contact op te nemen met uw organisatie.

3. Sensor bestellen en plaatsen

Als het intakeformulier volledig en juist is ingevuld bestellen wij de sensor bij onze leverancier. Het duurt daarna minimaal 2 weken voordat de leverancier de sensor bij u in het netwerk komt plaatsen.

4. Een verwerkersovereenkomst/afspraak ondertekend

Omdat het NCSC het volledige beheer van de sensor doet, wordt er een verwerkersovereenkomst (bij ZBO’s) of een verwerkersafspraak (voor onderdelen van Ministeries) opgesteld. Beide partijen ontvangen een getekende kopie.

5. Sensor in gebruik nemen

Zodra de sensor is gekoppeld, krijgen de medewerkers die met de sensor gaan werken hun inloggegevens voor het dashboard. Dit dashboard geeft u inzicht in de netwerkdata van uw organisatie. Misschien denkt u: leuk en aardig zo’n dashboard, maar als ik inlog zie ik dan een heleboel cijfers, letters en lijntjes? En hoe haal ik daar de voor mij nuttige informatie uit? Om ervoor te zorgen dat u weet waar u mee werkt, heeft het NCSC 1-daagse trainingen voor uw medewerkers die met de sensor aan de slag gaan.

De sensor hangt! U bent aangesloten op het NDN! O jee.. dat ding gaat af.. Wat nu?

Meer informatie hierover leest u in deel 3. Coming soon! Het volgende deel wordt geschreven vanuit het oogpunt van een Cyber Threat Intel specialist bij het NCSC.

Richard van den Berg