Het NCSC en dreigingsproducten

Weblogbericht | 08-07-2021 | NCSC

Productportfolio

In een van mijn eerdere blogs schreef ik over het ‘dreigingslandschap’: het volledige beeld van relevante digitale dreigingen waar Nederland mee te maken kan krijgen. Door analisten en specialisten wordt er elke dag gewerkt aan informatieproducten die afgeleid zijn van dit dreigingslandschap. Daarbij doet ons team zijn best om een zekere diversiteit in deze producten aan te brengen. Niet alle organisaties hebben immers behoefte aan hetzelfde product en een ‘one-size-fits-all’-benadering levert zelden een goede bijdrage aan de digitale veiligheid. Hoe bepalen we dan welke producten we maken?

Allereerst willen we onze informatie zo goed mogelijk afstemmen op de behoefte van de doelgroepen. Dit is waarom onze producten ook met enige regelmaat door het NCSC geëvalueerd worden in een proces dat productmanagement of portfoliomanagement heet. Ten tweede zorgen we dat we verschillende niveaus van dreigingsinformatie delen. Ons portfolio bestaat uit zowel technische als tactische informatie, en soms uit strategische (meer beleidsmatige) en operationele (meer incidentresponsgerichte) informatie. Deze categorieën zijn bij het NCSC vaak onderverdeeld in verschillende producten.

Doelgroepen

Geen enkele sector is hetzelfde, maar ook binnen sectoren zijn er organisaties die veel van elkaar verschillen. Soms hangt de informatiebehoefte van organisaties ook af van de mate waarin dreigingsinformatie verwerkt kan worden. Als organisaties al een heel team hebben van dreigingsanalisten zal bijvoorbeeld alleen een nieuwsbrief weinig toevoegen. Maar als organisaties niet aan monitoring doen, dan is er ook weinig kans dat ze een geautomatiseerde feed met malware indicatoren (IoC’s) op de juiste wijze kunnen verwerken.

Vergroot afbeelding

Het NCSC werkt met bovenstaande terminologie om de volwassenheid van organisaties aan te geven op het gebied van digitale dreigingsinformatie. Dit noemen we ook soms CTI-maturity. Voor dit blog is het nu niet van belang wat de exacte specificaties van iedere categorie is, maar wel dat we als nationale CSIRT/CERT onze informatie zo goed mogelijk proberen toe te passen op de verschillende volwassenheidniveaus. Wij blijven dan ook met organisaties of sectoren in gesprek om steeds opnieuw te kunnen beoordelen welk soort dreigingsinformatie voor hen van meerwaarde is.

Scenario-sessies: een voorbeeld van tactische dreigingsinformatie

Een van de producten die we onze doelgroepen aanbieden zijn sessies, waarin we samen met organisaties de waarschijnlijkheid van digitale dreigingen inschatten. Dit wordt door het NCSC toegepast voor het identificeren van toekomstscenario’s die zich richten op dreigingskans- en context. Het doel van deze sessies is om verschillende toekomstige digitale aanvallen voor te stellen, hierop te anticiperen en risico’s te beoordelen, zoals fysieke, politieke en financiële risico’s.

Tijdens de interactieve sessies wordt een systematische inventarisatie van actoren, doelwitten en werkwijzen gemaakt. Hierbij wordt van de deelnemende partijen verwacht dat zij mogelijke doelwitten in hun eigen organisatie kunnen identificeren en benoemen. Aan deze inventarisatie wordt vervolgens een waarschijnlijkheidsgraad toegekend van een digitale aanval op elk systeem:

Vergroot afbeelding

Op basis van deze overzichten worden vervolgens enkele plausibele scenario’s uitgewerkt in onder andere een situatieschets, (keten)effecten en mogelijk handelingsperspectief. Het NCSC faciliteert en ondersteunt bij dit proces. De resultaten van de sessie worden door de deelnemers gebruikt om beveiligingsmaatregelen te treffen, draaiboeken bij te stellen en scenario’s te leveren voor oefeningen.

IoC-feed: een voorbeeld van technische dreigingsinformatie

De CTI-specialisten van het NCSC verzamelen elke dag indicatoren voor malafide gedrag (IoC’s) uit een hoeveelheid aan bronnen. Alle relevante IoC's worden vervolgens geanalyseerd en verrijkt, zoals ik in mijn tweede blog heb uitgelegd. Hierna worden de IoC’s door middel van een platform verspreid naar organisaties die deelnemen aan het Nationaal Detectie Netwerk. Dit is een groot gedeelte van alle Rijksoverheidsorganisaties en organisaties in de vitale sectoren. Deze organisaties gebruiken deze informatie (kortweg de IoC-feed of de NDN-feed genoemd) om binnen hun eigen omgeving te monitoren op malafide gedrag. Hierbij zijn organisaties primair zelf verantwoordelijk over wat zij vervolgens doen met de informatie. Het NCSC assisteert bij onderzoeken indien organisaties dat wensen.

Labels

De CTI-specialisten binnen het NCSC controleren en verrijken de data die zij aan de feed toevoegen op kwaliteit en geven zowel handmatig als automatisch inschalingslabels aan de IoC’s. Deze labels kunnen zowel iets over de ernst van de dreiging zeggen als over voor wie de IoC relevant is. Hieronder een voorbeeld van labels bij een indicator:

Vergroot afbeelding

Het is hierbij opvallend dat, ondanks dat het NCSC de informatie gericht classificeert, dit nog zo breed is dat het voor een doelgroep niet noodzakelijk relevant hoeft te zijn. Bovenstaand (fictief) label is daar een voorbeeld van: De campagne Shamoon richt zich bijvoorbeeld vooral op de energiesector en minder op andere vitale sectoren. Aangezien informatie met dit label ook verstuurd wordt naar andere partijen in de vitale sector, zullen deze partijen de IoC-feed zelf ook moeten filteren. Wat dat betreft zou je dus kunnen zeggen dat, hoewel het NCSC de dreigingsinformatie bewerkt, deze feed bij de meeste organisaties toch aankomt als ruwe informatie.

Andere aanbieders

Het NCSC is niet de enige aanbieder van geautomatiseerde IoC-feeds. Veel commerciële partijen bieden zo’n soort product aan, evenals internationale partners en collega-CSIRT/CERT’s. Veel organisaties gebruiken daarom een mix van verschillende feeds om in hun detectiesystemen in te voeren. Soms vertonen de feeds wel enkele overlap, maar vaak verschillen de indicatoren van elkaar omdat aanbieders werken met andere bronnen of een andere informatiepositie hebben. De feed van het NCSC onderscheidt zich met name door een goed zicht op de eigenschappen van malware-campagnes die relevant voor Nederland zijn.

De menselijke factor

Wat zowel de scenariosessies als de IoC-feed laten zien, is dat er bij dreigingsanalyse altijd een sterke menselijke factor bij komt kijken. Zelfs bij een sterk geautomatiseerd proces als een feed, is er altijd een analist of een specialist nodig die op basis van eigen kennis een goede afweging en filtering kan maken in de informatie. Zaken zoals geopolitieke context, interpretatie van bronnen en het waarderen van technische informatie zijn haast onmogelijk om te automatiseren. Daarom zijn en blijven organisaties zoals het NCSC voor een juiste verwerking van dreigingsinformatie afhankelijk van goed opgeleide analisten en specialisten, hoe goed en betrouwbaar je technische informatie ook kan zijn.

Wordt vervolgd...

Volgende week zal ik wat meer vertellen over enkele analysemodellen die doorgaans gebruikt worden om digitale dreigingsinformatie te duiden en te ontleden. Daarbij geef ik ook wat voorbeelden hoe het NCSC gebruikmaakt van het MITRE ATT&CK Framework.

Dank voor uw aandacht!