Onderzoeksinstituut TNO werkt samen met beveiligingsbedrijf Fox-IT aan betere software om beveiligingsproblemen op een netwerk te detecteren. Het is een van de projecten waarop het nieuwe Cyber Security Lab van TNO zich toelegt.
Volgens beveiligingsconsultant Roy Mente werkt het Cyber Security Lab van TNO aan een methode voor detectie van beveiligingsproblemen op het netwerk die beter moet werken dan commercieel verkrijgbare software. "Veel beschikbare software let op signatures", aldus Mente. "Onze netwerkdetectie moet op ongebruikelijke patronen in het netwerkverkeer kijken en bijvoorbeeld alarm slaan bij een bepaalde portscan, in combinatie met een bepaald mailtje en afkomstig van een specifiek ip-adres."
Volgens Mentes collega Richard Kerkdijk bieden bestaande beveiligingsproducten dergelijke analyse alleen achteraf, maar moet de software van TNO en Fox-IT die in realtime gaan bieden. Woordvoerder Joost Bijl van Fox-IT bevestigt de samenwerking met het centrum, dat dinsdag zijn deuren opent. "Het centrum moet onder meer inzichtelijk maken wat er op organisaties afkomt met een incident, zodat ze ervan kunnen leren", aldus Bijl. De bedoeling is dat een commercieel bedrijf de techniek uiteindelijk in de markt brengt, waarschijnlijk eind 2014 of begin 2015.
Het centrum werkt verder aan een methode waarmee het Ministerie van Defensie de kwetsbaarheid van zijn ict-systemen kan visualiseren. "Zo kan het ministerie tijdens een missie tot in detail zien wat de gevolgen zijn als één systeem down gaat", aldus Mente van TNO. Daarnaast wil het centrum samen met de TU Delft, de Universiteit Twente en de Haagse Hogeschool studenten in aanraking laten komen met de 'taaiere onderwerpen'.
Tot slot werkt het nieuwe centrum aan een faciliteit waarmee bedrijven die een digitale aanval achter de rug hebben, die aanval kunnen naspelen om te kijken of ze ervan hebben geleerd. Daarbij wordt onder meer het netwerkverkeer nagebootst, maar kunnen ook de 'interne communicatie' en de 'interactie met de media' worden 'herbeleefd'. In de toekomst moet de faciliteit ook kunnen worden gebruikt door bedrijven die nog geen aanval hebben meegemaakt.