Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 23, views: 10.424 •

Onderzoeksinstituut TNO werkt samen met beveiligingsbedrijf Fox-IT aan betere software om beveiligingsproblemen op een netwerk te detecteren. Het is een van de projecten waarop het nieuwe Cyber Security Lab van TNO zich toelegt.

TNOVolgens beveiligingsconsultant Roy Mente werkt het Cyber Security Lab van TNO aan een methode voor detectie van beveiligingsproblemen op het netwerk die beter moet werken dan commercieel verkrijgbare software. "Veel beschikbare software let op signatures", aldus Mente. "Onze netwerkdetectie moet op ongebruikelijke patronen in het netwerkverkeer kijken en bijvoorbeeld alarm slaan bij een bepaalde portscan, in combinatie met een bepaald mailtje en afkomstig van een specifiek ip-adres."

Volgens Mentes collega Richard Kerkdijk bieden bestaande beveiligingsproducten dergelijke analyse alleen achteraf, maar moet de software van TNO en Fox-IT die in realtime gaan bieden. Woordvoerder Joost Bijl van Fox-IT bevestigt de samenwerking met het centrum, dat dinsdag zijn deuren opent. "Het centrum moet onder meer inzichtelijk maken wat er op organisaties afkomt met een incident, zodat ze ervan kunnen leren", aldus Bijl. De bedoeling is dat een commercieel bedrijf de techniek uiteindelijk in de markt brengt, waarschijnlijk eind 2014 of begin 2015.

Het centrum werkt verder aan een methode waarmee het Ministerie van Defensie de kwetsbaarheid van zijn ict-systemen kan visualiseren. "Zo kan het ministerie tijdens een missie tot in detail zien wat de gevolgen zijn als één systeem down gaat", aldus Mente van TNO. Daarnaast wil het centrum samen met de TU Delft, de Universiteit Twente en de Haagse Hogeschool studenten in aanraking laten komen met de 'taaiere onderwerpen'.

Tot slot werkt het nieuwe centrum aan een faciliteit waarmee bedrijven die een digitale aanval achter de rug hebben, die aanval kunnen naspelen om te kijken of ze ervan hebben geleerd. Daarbij wordt onder meer het netwerkverkeer nagebootst, maar kunnen ook de 'interne communicatie' en de 'interactie met de media' worden 'herbeleefd'. In de toekomst moet de faciliteit ook kunnen worden gebruikt door bedrijven die nog geen aanval hebben meegemaakt.

Reacties (23)

Dat is iets waar we veel aan kunnen hebben.
Ik hoop dat ze in het begin niet teveel hooi op hun vork gaan nemen, ze kunnen beter stap voor stap de functionaliteit verbeteren dan proberen met 1 giga project aan te komen.
Goede zaak, wel jammer dat dit soort bewegingen\teamverbanden eigenlijk aan de late kant zijn.

In VS zijn vergelijkbare samenwerkingen opgestart tussen bedrijven en overheidsinstanties.
Deze waren echter belachelijk achterhaald en helemaal niet up to date . Jongens die net van hun HBO of universiteit hun IT diploma hebben gehaald en vervolgens afgetroefd worden door hobbyende tieners.
Nou weet ik niet in hoeverre FOX-IT vooroploopt wat betreft detectie en beveiliging , ze komen wel vaak in het nieuws maar dat zegt ook niet altijd alles.

Wel goed om te horen dat her en der serieus samengewerkt wordt aan zeer relevante vraagstukken en potentiŰle "cyber ramp" die ons allemaal kan treffen(wat recent al een paar keer voorkwam).
Dit soort software bestaat echter al in Linux variant, tevens ook nog Open-Source. Hmmz
Welke software kan dat dan? Bedoel je Snort? Graag naam en rugnummer 8-)

[Reactie gewijzigd door Muncher op 21 mei 2013 15:31]

Eigenlijk komt een platform helemaal niet ter sprake. Het gaat hier om aanvallen preventief aanpakken in het algemeen. Op welk platform je dit voorkomt of faciliteert is niet zo zeer van belang.

Ik denk dat Unflux waarschanlijk denkt aan analyse software als BackTrack en zo zijn er nog een stuk of 5 vergelijkbare paketten.

Volgens mij doelt men in de hier bovenstaande artikel nog een stap verder (richting preventie) .
Analyseren en begrijpen hoe aanvallen tot stand komen en deze vervolgens in een vroeg stadium detecteren met verkregen ervaring en inzicht. Niet dat dit niet vanzelfsprekend is...blijkbaar doet niemand het serieus genoeg.

Achteraf alles in stukjes hakken en begrijpen lukt altijd wel, maar dan ben je al te laat.
Veel bedrijven zijn goed in revesre enginering ... maar het wordt een stuk lastiger om iets complex en onbekend goed op te vangen, zelff met goede kennis uit het verleden.
Er is heel wat soft en hardware wat dit al kan en doet, een mens blijft echter intelligenter en om de zo veel tijd worden compleet nieuwe manieren uitgevonden om anderen te "pesten"

[Reactie gewijzigd door josipbroz op 21 mei 2013 15:45]

Nee ik denk net als muncher dat hij snort bedoeld.
Je kunt bijv vrij gemakkelijk een firewall maken (pfsense) waar je snort verdacht gedrag kan laten analyseren zoals portscans.
Ook bestaat er al software die een aanval kan opnemen en naspelen.
http://www.cs.vu.nl/~herbertb/papers/trargosreplay08.pdf
Ook dacht ik dat vmware ook iets dergelijks aanbied.
Ook verdachte email er uit pikken kan.
De kracht van dit systeem zal ook zijn dat deze informatie gebundeld geanalyseerd word Dus als volgt hee een portscan op de mail server, 1000 foutieve logins op de mail server en vervolgens een email aan het beheer van de mailserver. Alle alarm bellen gaan af.

Technisch gezien is en kan het allemaal al,maar het zal geen gemakkelijke klus zijn die samen te voegen en er iets nuttigs uit te extraheren.
Hopelijk maken ze het opensource.
Ik denk - gezien de betrokken bedrijven - dat dit samenwerkingsverband van een iets andere orde van grootte is dan een stuk Linux-software. Al is het alleen maar omdat er een aantal sterke partijen de handen ineen slaan hier, met de nodige ervaring op allerhande gebieden (denk alleen al aan reverse engineren van nieuwe/onbekende (of heel specifieke) stukken ongewenste software).
Bovendien is het wat eenvoudiger om vanuit een entiteit als dit een helicopter-view te krijgen op problemen. Ongeacht of dat om een organisatie gaat, of een branche, of een specifiek deel van de wereld...
SIEM is geen oplossing in de klassieke zin.
Het is een Best Practice verhaal. Het kan een oplossing zijn in de zin dat je door best practice op te volgen het een en ander beter kan doen (en dus gedoe voorkomen). Grootste fout is om het juist als een oplossing te zien...schijnt

hier een korte to the point presentatie (nogal globaal, maar ter zake)

LINK

[Reactie gewijzigd door josipbroz op 21 mei 2013 20:32]

Je hebt helemaal gelijk. Ik heb het fout verwoord.
Nuttige slides! Thx :)
Een geavanceerder IDS/IPS 2.0?
Ik kijk er verheugd naar uit als dit de next-gen op dat gebied wordt.
Misschien off-topic maar waarom duikt Fox-IT toch iedere keer op? Ze zijn reeds de hof influisteraars bij van Opstelten en consorten, hebben daardoor het meeste belang bij de wets-wijzigingen die van Opstelten wil nemen en nu weer Fox-IT met TNO.
Voor mijn gevoel wordt de afhankeljkheid van Fox-IT in dit land een beetje te groot. Zo bijzonder is hetgeen ze doen nu ook weer niet. Waar blijven de concurenten?
De overheid kent geen concurrentie ;)
Die concurrenten zijn er wel, je hoort ze alleen veel minder. Veel bedrijven in de security branche proberen bewust uit de media te blijven. Fox-IT (met name Ronald Prins) daarentegen draagt zijn mening wel uit, en probeerd het publieke debat wat aan te wakkeren/beinvloeden. En de invloed van Fox-IT valt denk ik ook wel een beetje mee.
Fox-IT zijn erg bekend geworden door het diginotar debacle. Ze hebben vast wel een maar skilled mensen in dienst maar vooral zijn het standaard hbo'ers met middelmatige kennis.

Voor wat ik heb vernomen zouden ze heel erg goed samenwerken met de gemeenten/overheid maar daar zie ik op werk nog heel weinig van terug (laten we een firefox 10.0 noemen of een unpatched iexplorer 8) , het probleem zit hem in dat bedrijven gewoon hun software niet bijwerken. Afgelopen 10 jaar heb ik altijd met "achterstallige" / "unpatched" software om moeten gaan als extern bij verschillende grote bedrijven. Vooral de mobiele leveranciers (KPN/T-mobile) kunnen nog aardig wat leren qua veiligheid. (windows xp + internet explorer 6 , anno 2013!, natuurlijk wel achter een proxy maar als er reclamebanners toegelaten worden van een site zoals *kots* telegraaf.nl dan vraag je al om problemen)

Het is goed dat dit clubje er is van Fox, ik hoop alleen dat ze niet alleen maar van die standaard HBO'rs aannemen die alleen maar weten wat er in een boekje staat ,de echte "creativelingen" die goed out of the box denken met een greyhat/blackhat state of mind , die moeten ze zoeken en aannemen.

[Reactie gewijzigd door Aionicus op 21 mei 2013 21:31]

Wat ik van Fox-IT weet, is dat er zat van die creatievelingen rondlopen. Jongens die weten wat hacken is. Het hebben van een of meer goeie hacks op je CV kan in je voordeel werken als je bij ze solliciteerd.
En juist zulke 'getemde' hackers geven een bedrijf als Fox-IT natuurlijk een voorsprong op de concurentie.

@regmaster: Fox hangt inderdaad tegen de overheid aan, maar denk je nu echt dat een startup als dit enige kans van slagen heeft als er een kans zou zijn dat de gewonnen data (in)direct in handen komt van een meeluisterende overheid?
Het terughacken van criminelen (waar je (onder andere) waarschijnlijk) op doelt is veel eerder een taak van een speciale opsporingseenheid, dan van een bedrijf dat zijn geld en bestaansrecht verdient aan het tegen het licht houden van beveiligingsissues en -problemen.
Dat ze zo vaak opduiken heeft van alles te maken met hun kennis en inzichten.
Ik moet zeggen, dit is het eerste cyber security initiatief van onze overheid dat goed doordacht lijkt. Een eerste poging om de problemen voor te zijn. Ik zie niet direct in wat de expertise van TNO toevoegd, maar ik speculeer dat dat juist de bedoeling is om die op te bouwen. Ook dat Fox-It cyber security defensie serieus aan wil gaan pakken door verschillende monitoring technieken te combineren lijkt me een een stap in de goede richting.

[Reactie gewijzigd door almar op 22 mei 2013 19:05]

Jammer dat onduidelijk is wat TNO op dit vlak doet... want als afdeling Information Security (ca. 30 security professionals) doen we hele leuke dingen :) Om een beeld te geven, zeker niet volledig maar daarom is het ook een beeld:

Technisch:
* De hierboven beschreven Cyber Attack Detector: Onderzoek (samen met Fox-IT) waarbij wordt gekeken hoe bepaalde cyberaanvallen, die nog niet door de huidige standaard-beveiligingsproducten worden gezien, gedetecteerd kunnen worden. Denk aan statistische analyse van netwerkverkeer om daar 'Command & Control' verkeer uit te herkennen.

* We doen regelmatig onderzoek naar de beveiliging van diensten, kan er op worden ingebroken, welke maatregelen moeten er worden genomen om het veilig(er) te krijgen. Soms door middel van technische tests (zoals je bij een penetratietest doet), maar meestal een niveau hoger, waarbij de (netwerk) infrastructuur en de geboden dienstverlening wordt geanalyseerd. Ook fraude is iets wat dan wordt meegenomen.

* Smartcards - advies geven bij de keuze voor een smartcard voor bijvoorbeeld electronische toegangsverlening. Er zijn kwetsbare smartcards die te klonen zijn, die wil je dus niet :) Een van de demo's bij de opening van het lab was een Smartcard proxy: twee apparaatjes, 1 hou je bij de paslezer bij een deur, 1 bij de pas van een nietsvermoedende persoon, en draadloos wordt de communicatie tussen paslezer en pas "geproxied" - deur gaat open, pashouder weet van niets.

* Ook leuk is ons onderzoek naar Typosquatting - stel dat je tweaker.net claimt, en daar de mails van onderschept (alle mails naar @tweaker.net), dan kan je als 'aanvaller' gevoelige informatie onderscheppen. Dat hebben we onderzocht (daadwerkelijk typo-domeinen geregistreerd), en is een wezenlijk probleem. We zijn nu verder aan het kijken welke domeinnaamvariaties het meest "gevaarlijk" zijn, daarbij werken we samen met SIDN.

Procedureel:
* Risicoanalyses - alle soorten en maten. Op zich niet heel vernieuwend, hoewel we met een nieuwe risicoanalysemethodiek bezig zijn "Advanced Risk Management" :) De specifieke details weet ik er niet van maar het biedt een structuur waarmee het makkelijk wordt om risicoanalyses mee te (semi) automatiseren.

Organisatorisch:
* Ondersteuning bij het inrichten van een Security Operations Center (hoe zet je een afdeling op die als eerste aanspreekpunt fungeert voor security problemen, wat laat je ze doen, hoe laat je ze het doen, etc.)

We zijn nog op zoek naar afstudeerders, onder andere voor "Cyber Active Defense" - het verdedigen door terug aan te vallen, voor onderzoek naar de SSL/TLS beveiliging op Android, voor verder onderzoek naar detectie van APT's. Voor een overzicht, zie de website van TNO (zoek op 'security').
Dank voor je verhelderende uitleg. Wat is het niveau van die 30 security pro's? Want deze structurele aanpak is voor mij nog redelijk nieuw. Toen ik mij een aantal jaren geleden tot redelijk niveau in security verdiept heb, viel het mij vooral op hoe ongestructureerd dit was. Het is leuk als je een BoF kunt vinden in software en dat je een heel scala aan penetratietesten beschikbaar hebt, maar de samenhang ontbrak vaak. De gevaarlijkste aanvallen komen niet uit het standaard receptenboek en ondervang je daarom daar ook niet mee. Dat zie je vooral terug in de Chrome hacks in de afgelopen jaren. Dat er minimaal 10 exploits in verschillende lagen van de browser als het ware gecombineerd moeten worden om ergens te komen. Ik denk dat de vereniging van statistiek/data mining met cyber security dan ook weer een hele nieuwe revolutie gaat betekenen zowel op 'binary analysis' niveau als op netwerk structuur niveau.
lol tweaker.net is de website van de drummer van tool.
Al vaak genoeg opgekomen door een typfout.

Op dit item kan niet meer gereageerd worden.