Trots op tien jaar nationale detectie: Een toegankelijke geschiedenis van het Nationaal Detectie Netwerk

Weblogbericht | 02-12-2021 | NCSC

Voor de lezers die niet bekend zijn met het begrip ‘Nationaal Detectie Netwerk’: Het NDN is een detectienetwerk, waar de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en het Nationaal Cyber Security Centrum (NCSC) samenwerken om kwaadaardig internetverkeer naar overheidsorganisaties en organisaties in vitale sectoren, tijdig te herkennen. Bij overheidsorganisaties gebeurt dit door middel van netwerksensoren, die speuren naar technische kenmerken van kwaadaardig verkeer. Ook richt het NDN zich op het onderling delen van dreigingsinformatie om cybersecurityrisico’s en -gevaren sneller op te kunnen sporen. De technische kenmerken (Indicators of Compromise) en andere dreigingsinformatie worden bijvoorbeeld met vitale organisaties gedeeld, zodat organisaties vervolgens veiligheidsmaatregelen kunnen treffen om schade te voorkomen of te beperken.

Vergroot afbeelding

2011-2013: Het concept

In 2011 werd op een whiteboard ergens in Den Haag het eerste plan uitgetekend tot wat zich nu heeft ontwikkeld als het NDN. Het was oorspronkelijk een heel beperkt concept, dat door GOVCERT (de voorloper van het NCSC) als manier werd geopperd om inzicht te krijgen in overheidsnetwerken, met als doel om de weerbaarheid van deze netwerken te verhogen. Omdat GOVCERT zich primair richtte op overheidsorganisaties, werden de vitale sectoren in de initiële plannen nog buiten beschouwing gelaten.

Onder het motto ‘Om meer te zien, moet je beter kijken’, werden er de jaren daarna verkenningen uitgevoerd door onder andere TNO, Fox-IT en de TU Delft. De AIVD, MIVD en het (inmiddels kersverse) NCSC vormden samen een werkgroep om deze netwerkmonitoring op nationale schaal vorm te geven. Dit vereiste niet alleen een heel politiek en juridisch traject, maar ook een technisch ontwerp van de eerste netwerksensoren en het informeren van talloze belanghebbenden. Het is daarom niet zo vreemd dat het enkele jaren gekost heeft, voordat in 2013 de eerste pilot binnen het NCSC van start ging. Deelname aan het NDN was, en gebeurt nog steeds, geheel op vrijwillige basis.

Niet lang daarna gebeurde er iets dat niemand had kunnen voorspellen, maar dat het piepjonge NDN  ineens onder een vergrootglas plaatste: De publicaties van Edward Snowden vestigden niet alleen de aandacht op surveillance van buitenlandse mogendheden, maar benadrukten ook het belang van privacy voor personen en berichtenverkeer. Daardoor werden ontwikkelingen rondom het NDN door organisaties soms met argusogen bekeken. Immers, in hoeverre tastte deze manier van overheidsmonitoring niet de privacy van werknemers aan? Menig ondernemingsraad stelde zich terughoudend op tegen de mate van netwerkinzicht die via het NDN verkregen zou kunnen worden.

Het NDN zou hierin de komende jaren steeds naar een balans moeten zoeken: Aan de ene kant zagen de AIVD, MIVD en het NCSC een razendsnelle toenemende digitale dreiging en daarmee een grotere noodzaak voor netwerkdetectie binnen overheids- en vitale organisaties. Aan de andere kant zou de techniek zodanig moeten functioneren dat privacybelangen gewaarborgd werden. Alleen op die manier zouden meer organisaties bereid zijn om zich aan te sluiten bij het NDN waardoor de landelijke dekking, en daarmee de effectiviteit, van het detectienetwerk zou toenemen. Met de enorme inzet van veel medewerkers, partijen en deelnemers is het NDN op deze manier geleidelijk gegroeid.

2014-2018: De contouren

In 2014 werden de eerste werkafspraken gemaakt met organisaties in de vitale sectoren. Door de Wet Markt en Overheid is het niet mogelijk om sensoren te plaatsen bij dit soort organisaties, omdat de overheid dan zou concurreren met commerciële partijen die ook netwerksensoren leveren. Daarom is toen besloten dat het NCSC technische kenmerken van kwaadaardig verkeer (IoC’s) direct zou delen met de aangesloten vitale organisaties. Voor dit doel werd, en wordt nog steeds, het platform MISP gebruikt. MISP (het Malware Information and Sharing Platform) is een open source oplossing om snel technische dreigingsinformatie met meerdere partijen te delen. Partijen kunnen hun eigen waarnemingen ook in het platform delen, zodat zichtbaar wordt welk soort digitale aanvallen er op Nederlandse organisaties plaatsvinden. ‘Wat een incident is bij de een, is een goede waarschuwing voor de ander’ werd vanaf nu het motto.

2019-2021: Het fundament

Op technisch vlak werkten de NDN-partijen hard aan een sensor die in staat was om internetverkeer in grote hoeveelheden te kunnen scannen op kwaadaardige kenmerken. Het NCSC gebruikte in 2016 de NDS (Nationaal Detectie Sensor) die kon scannen op HTTP-, DNS- en SMTP-verkeer. Door de razendsnelle digitale ontwikkelingen werd deze sensor al snel achterhaald en vervolgens vanaf 2019 vervangen door het huidige NSP. Deze sensor heeft de mogelijkheid om in plaats van naar drie, naar wel 157 protocollen te kijken. Daarbij slaat de nieuwe sensor (afhankelijk van hoe je hem instelt) gemiddeld zo ongeveer 50 terabyte aan metadata per dag op. Dat zijn zo’n 800 iPhones van 64 gigabyte vol. Een stuk scherper zicht en een ijzeren geheugen dus! Maar met dit soort ontwikkelingen nam ook het belang toe om NDN-deelnemers in staat te stellen om dit goed te kunnen gebruiken. Het NCSC legt zich sindsdien daarom ook toe op het trainen van medewerkers van deelnemende organisaties.

Op organisatorisch vlak, daalde sinds 2018 het besef in dat technische gegevens pas echt waardevol werden als je ze ook kon voorzien van de bijbehorende context. Want waarom zou je detecteren op een set technische gegevens als deze dreigingen niet gericht zijn tegen jouw organisatie? En wat heb je aan data als je niet weet waar het voor staat en wat het mogelijk doet. Binnen het NCSC begonnen de technisch specialisten onder de paraplu van het NDN daarom steeds nauwer samen te werken met de meer tactisch georiënteerde dreigingsanalisten, die zich specialiseren in typen aanvallers, hun werkwijze en doelwitten. Op die manier konden trendverschuivingen en ontwikkelingen in digitale aanvallen beter herkend worden en ontstond er een completer beeld van de digitale dreigingen waar Nederland mee te maken krijgt.

Vergroot afbeelding

2021 en verder: Doorontwikkeling?

Inmiddels zijn we tien jaar verder. Het NDN heeft zich intussen in meerdere opzichten bewezen: aanvallen werden gedetecteerd, relevante informatie is gedeeld en het vermogen van deelnemers om netwerkverkeer te monitoren is gegroeid.

Begin december zullen we niet alleen stilstaan bij het succes van 10 jaar Nationaal Detectie Netwerk, maar ook nadenken over de toekomst. De digitale ontwikkelingen gaan immers vliegensvlug en staan nooit stil. Met zekerheid kun je zeggen dat stilstand ook achteruitgang betekent. Als we geen tijd, geld en inzet steken in nieuwe detectietechnieken, zal het NDN minder scherp gaan zien en dus aan effectiviteit verliezen. Dat is de reden dat de AIVD, MIVD en het NCSC blijven investeren in hetgeen waaraan Europarlementariër Bart Groothuis ooit refereerde als ‘De verborgen cybersecurity-parel’. Eenvoudig, effectief en preventief: Het Nationaal Detectie Netwerk is essentieel voor de digitale veiligheid van Nederland. Daar ben ik trots op en dat vier ik graag.

Meer over over hoe het NDN werkt en de samenwerking binnen dit netwerk hoor je in aflevering zes van de podcast Let's talk about hacks