Ga direct naar inhoud

Deel 3: De NDN-sensor hangt in mijn netwerk

Expertblogs

Weblogbericht | 26-01-2021 | NCSC

In deel 2 van deze reeks heeft u de aanloop gelezen naar het plaatsen van de NDN-sensor in het netwerk van een rijksoverheidsorganisatie. In dit derde en laatste deel van de reeks leest u meer over o.a. de dreigingsinformatie die in de sensor wordt gestopt, wat er gebeurt als de sensor een melding geeft en wat u zelf kunt doen. Het ontvangen en verwerken van deze dreigingsinformatie gebeurt in een loop van 5 stappen. Aan de hand van deze stappen nemen we u mee in het dagelijkse werk van onze Cyber Threat Intelligence (CTI) specialisten.

Stap 1. Dreigingsinformatie komt binnen

Dreigingsinformatie, ook wel threat intelligence genoemd, bestaat in verschillende soorten en maten en komt binnen bij het NCSC vanuit verschillende bronnen, zowel publieke als commerciële bronnen. Deze indicatoren, ‘indicators of compromise’ (IoC’s), worden door de sensoren vervolgens gebruikt om malafide verkeer te kunnen detecteren. Bij de indicatoren zit ook context informatie die goed bruikbaar is bij het duiden van hits. Het CTI team van het NCSC is continue bezig de kwaliteit van de dreigingsinformatie te verbeteren. Dit doen we door bijvoorbeeld te kijken naar verbeteringen in de techniek en door nieuwe bronnen toe te voegen. De focus binnen het selecteren ligt grotendeels op dreigingsinformatie die voor de doelgroeporganisaties van het NCSC relevant is, zoals digitale spionagecampagnes en dreigingen met een (in potentie) hoge impact voor de organisatie (bijvoorbeeld gerichte ransomware). Ook doen de CTI-specialisten samen met het Incident Response cluster binnen het NCSC zelfstandig onderzoek naar dreigingen, bijvoorbeeld door informatie uit verschillende bronnen te combineren om daaruit vervolgens indicatoren te ontwikkelen.

Stap 2: Verrijking van de dreigingsinformatie

Een belangrijke taak van het CTI-team is het verrijken van de grote hoeveelheid dreigingsinformatie die bij het NCSC binnen komt. Dit gebeurt onder andere door het filteren van de grote verzameling indicatoren op de zogenaamde ‘false positives’ (indicatoren die ten onrechte legitiem verkeer als malafide bestempelen). Dit doen we door middel van een check op relevantie en actualiteit. Daarnaast wordt er zowel handmatig als automatisch een inschalings-label aan een indicator gehangen. De keuze van een label is afhankelijk van de ernst van de dreiging.

Stap 3. De dreigingsinformatie gaat in de sensor

De verrijkte dreigingsinformatie inclusief inschalings-label wordt doorgezet naar de NDN-sensor in de vorm van indicatoren. Doelgroeporganisaties kunnen deze indicatoren, het inschalings-label en de bijbehorende context informatie inzien in het Threat Intel Platform (TIP). Na het ontvangen van nieuwe indicatoren gaat de sensor aan de slag en vergelijkt de indicatoren real-time met het netwerkverkeer van uw organisatie. Ook wordt er eenmalig terug gezocht in de tijd om te bepalen of de indicatoren in het verleden is waargenomen.

Stap 4: Een hit!

De sensor gaat af! Bij een melding van de sensor is het de verantwoordelijkheid van de doelgroeporganisatie om te onderzoeken of dit een incident is. Impliceert dit dat niet elke hit daadwerkelijk een incident is? Dat klopt. Dat de sensor een melding geeft, betekent niet altijd dat we te maken hebben met een acute dreiging. Het komt bijvoorbeeld voor dat, bij een hit op een IP-adres, bij nader onderzoek het IP-adres niet meer malafide blijkt.

De melding wordt automatisch doorgestuurd naar het NCSC, tenzij de doelgroeporganisatie dit niet wil. U als doelgroeporganisatie heeft altijd de mogelijkheid om een melding terug te trekken. Door het automatisch doorsturen van meldingen heeft het CTI-team een goed beeld van eventuele dreigingen bij deelnemers.

Het onderzoeken van een hit is in de praktijk vaak een samenspel tussen de organisatie en het NCSC. De doelgroeporganisatie kan het beste inschatten wat de hit kan betekenen voor de organisatie. Bijvoorbeeld door uit te zoeken uit welk deel van het netwerk de hit komt. Is het een server of een werkstation? En is dat een kroonjuweel of juist niet? Vanuit het NCSC kunnen we helpen met het duiden van de dreigingsinformatie. In aanvulling op de beschikbare context informatie in het Threat Intel Platform kunnen we verder onderzoek doen naar de dreiging, of bijvoorbeeld navraag doen bij de bron van de dreigingsinformatie. Door te kijken naar zowel de context in de organisatie van een hit als naar de relevante dreigingsinformatie bij een hit kan de doelgroeporganisatie vaststellen of er daadwerkelijk sprake is van een incident.

Stap 5: Feedback

Zodra de doelgroeporganisatie de hit heeft onderzocht, krijgen wij graag terugkoppeling over de melding. Alleen de getroffen doelgroeporganisatie kan de impact van de hit bepalen. Het NCSC kan een geslaagde aanval detecteren, maar of er uiteindelijk een belangrijk systeem geraakt is, is een constatering die alleen de organisatie kan doen. Door feedback te leveren op meldingen kunnen wij de kwaliteit van onze dreigingsinformatie verbeteren. Naar aanleiding van de waarnemingen binnen de organisatie doen wij aanvullend onderzoek, worden er irrelevante indicatoren verwijderd of worden er nieuwe indicatoren, met relevante context, toegevoegd. Op die manier komt er weer nieuwe dreigingsinformatie bij en begint de keten opnieuw.

Vertegenwoordigt u een Rijksoverheidsorganisatie en bent u geïnteresseerd geraakt in de mogelijkheden die er zijn voor u met betrekking tot een sensoraansluiting op het NDN? U kunt ons bereiken via info@ncsc.nl.

Anton Jongsma en Anouk de Rooij

Meer weblogberichten

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.