Het Nationaal Detectie Netwerk voor een private organisatie

Expertblogs

De doelgroep voor het Nationaal Detectie Netwerk (NDN) zijn Rijksoverheidsorganisaties en Vitaal verklaarde private organisaties. Onlangs heeft u in een NDN expertblog  kunnen lezen hoe een sensor aansluiting op het NDN voor Rijksoverheidsorganisaties werkt. Maar hoe werkt een NDN aansluiting voor private organisaties? Dat leest u in deze blog.

Vitale infrastructuur

Ten eerste is het belangrijk om te weten dat alleen organisaties die onderdeel uitmaken van de vitale infrastructuur kunnen aansluiten op NDN. De vitale processen zijn beschreven op de website van de NCTV. Indien uw organisatie is aangewezen als vitale aanbieder heeft de directie van uw bedrijf daar bericht over ontvangen.

Malware Sharing Platform

Als uw organisatie is aangewezen als vitale aanbieder kunt u aansluiten op het malware sharing platform van het NCSC. Met dit platform delen het NCSC en de aangesloten partijen dreigingsinformatie (zoals events, indicatoren en sightings) met elkaar. Deze informatie is deels in leesbare vorm, deels in een vorm die automatisch verwerkt kan worden (de “NDN feed") in bijvoorbeeld een Security Information & Event Management (hierna SIEM) of in uw eigen malware sharing platform voor de monitoring van uw IT-infrastructuur.

Stel, wettelijk gezien mag u en kunt u aansluiten op het NDN, maar u bent nog niet overtuigd van de toegevoegde waarde? Dat kan, daarom nog een paar argumenten die u wellicht overtuigen:

  • De NDN feed is een kwalitatief goede feed die door analisten van het NCSC continu gecontroleerd en gevoed wordt met relevante informatie;
  • Naast relevant is de NDN feed ook actueel, de events in de feed worden door de specialisten op bruikbaarheid geselecteerd;
  • Het NCSC heeft ervaring met het koppelen van SIEM’s aan het NDN en kan u helpen met kennis en tools;
  • Aansluiting op en gebruik van het NDN is gratis. De enige kosten die aansluiting met zich meebrengt zijn kosten voor de implementatie (mensen/middelen).

Welke NDN aansluitvormen zijn er?

1. U krijgt een account op de malware sharing platform feed van het NCSC.

U hoeft zelf geen malware sharing platform te hebben om aan te kunnen sluiten bij het NDN want met deze ‘entry-level’-aansluitvorm krijgt u een account voor uw organisatie op het malware sharing platform van het NCSC. Via dit account kunt u alle relevante dreigingsinformatie online inzien en bijvoorbeeld mail alerts instellen zodat u via de mail waarschuwingen ontvangt over nieuwe dreigingen. Om specifiekere dreigingsinformatie te ontvangen kunt u ook zelf filters instellen.

2. U heeft een eigen malware sharing platform en wilt dit koppelen met het NCSC malware sharing platform.

Indien uw organisatie beschikt over een eigen malware sharing platform kan dit technisch gekoppeld worden aan het malware sharing platform van het NCSC. De dreigingsinformatie van het NCSC zal dan (indien het relevant is voor uw organisatie) automatisch gedeeld worden met uw malware sharing platform waarna u de informatie kunt gebruiken en verder distribueren in uw infrastructuur, b.v. met een Intrusion Detection Systeem of een SIEM. Bij deze aansluitvariant heeft het NCSC ervaring met open source tools.

3. U heeft een SIEM en wilt deze koppelen met het NCSC.

Indien uw organisatie beschikt over een eigen SIEM kan deze vaak gekoppeld worden aan het malware sharing platform van het NCSC. De dreigingsinformatie uit het NDN zal dan (indien het relevant is voor uw organisatie) automatisch gedeeld worden met uw SIEM voor gebruik van bijvoorbeeld loggingsmonitoring. Bij deze aansluitvariant heeft het NCSC ervaring met een zestal SIEMs van zowel open source als commerciële leveranciers; en uiteraard kunt u bij het aansluiten gebruik maken van onze expertise en tools.

4. U heeft uw SOC of monitoringdienst uitbesteed aan een Managed Security Service Provider (MSSP).

Ook als u uw SOC of monitoringsdienst hebt uitbesteed aan een MSSP kunt u, als uw organisatie is aangewezen als vitaal, gebruik maken van de dreigingsinformatie van het NCSC. In dit geval wordt de NDN feed technisch afgeleverd bij de MSSP voor (exclusief!) gebruik in de dienstverlening aan uw organisatie. Bij deze aansluitvariant verwachten wij wel een verklaring van u waarin u aangeeft een aantal onderwerpen met uw leverancier geregeld te hebben; denk hierbij aan een verwerkersovereenkomst, een geheimhoudingsovereenkomst, etc. Voor meer informatie over deze aansluitvariant kunt u contact opnemen met uw MSSP en/of info@ncsc.nl.

Regelmatig zien we dat in deze aansluitvariant organisaties ook zelf op de hoogte willen blijven van de actuele dreigingsinformatie. Het is mogelijk dat er dan naast een MSSP koppeling ook gekozen wordt om op de hoogte te blijven via een eigen account op het NCSC malware sharing platform (optie 1).

5. Uw organisatie is een zorginstelling, een gemeente, een onderwijsinstelling of een waterschap.

In dat geval kan uw organisatie ook aansluiten op het NDN via de CERT voor uw sector. Zij kunnen samen met u (en uw MSSP indien van toepassing) een aansluiting realiseren, zo nodig met ondersteuning vanuit het NCSC.

6. Uw organisatie ontvangt informatie van een organisatie/samenwerkingsverband dat objectief kenbaar tot taak (OKTT) heeft om het publiek of bepaalde organisaties te informeren over ICT-dreigingen of incidenten.

Deze informerende organisaties ontvangen van ons een NDN-feed met informatie over ICT-dreigingen of incidenten. Deze informerende organisaties kunnen voor zover dit relevant is voor uw organisatie (een gedeelte van) deze NDN-feed doorzetten naar uw organisatie.

Het terugdelen van dreigingsinformatie

Als u NDN deelnemer bent ontvangt u een continue stroom aan dreigingsinformatie. Maar wat als een dreiging waarvoor het NCSC gewaarschuwd heeft zich nu ook daadwerkelijk voordoet in uw infrastructuur? First things first; u doet dan natuurlijk eerst wat er gedaan moet worden om de potentiële dreiging op te lossen. Maar zodra de situatie het weer toelaat wil het NCSC hierover een melding krijgen, zodat wij andere aangesloten organisaties kunnen waarschuwen. Een incident voor de één, is preventie voor de ander! Het NDN voorziet in mogelijkheden om de terugmeldingen efficiënt (en zelfs geautomatiseerd) aan te maken.

Tot slot.

Het NCSC organiseert regelmatig informatiesessies en trainingen over het NDN en het malware sharing platform dat wij gebruiken.

Nieuwsgierig geworden? Join dan de steeds sneller groeiende NDN community door een mail te sturen waarin u uw interesse aangeeft naar info@ncsc.nl. Een NDN projectleider neemt dan zo snel mogelijk contact met u op.

Anouk de Rooij en René Brozius

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.