Sensors van Nováccent maken gemeenten weerbaar tegen cyberaanvallen

Richtte het hackersgilde enkele jaren geleden zijn pijlen vooral op financiële instellingen, nu betalen vooral gemeenten het gelach rond de digitale samenleving. Vlotte, publieksvriendelijke dienstverlening dreigt ten onder te gaan aan inbraken in en ontregelen van systemen waaraan burgers hun persoonlijke data toevertrouwen. Nováccent nam het initiatief en startte een ingenieuze cyber security monitoring dienst voor gemeenten, inclusief in eigen beheer ontwikkelde intelligentie op sensors. Hoe meer afnemers, des te slimmer de dienst wordt. Afrekenen per sensor op maandbasis maakt de kosten voor de afnemer overzichtelijk.

”Wanneer je geen enkele notie hebt van hetgeen er op je netwerk gebeurt, sta je al gelijk met 1-0 achter”, zegt Stef Liethoff, partner en tevens CTO van Nováccent. ”In de strijd tegen hackers is het voor gemeenten van belang dat ze de gevolgen van inbraak kunnen beperken en niet met de mond vol tanden staan wanneer een incident om uitleg vraagt. Tijdens een gesprek met Geert Bax, de voor cyber security verantwoordelijke functionaris van de gemeente Eindhoven, vernamen wij dat vanwege de toenemende en meer gerichte aanvallen van hackers op het gemeentelijke computernetwerk er behoefte was aan permanente netwerkbewaking. De van daaruit verkregen indicatoren wilden ze delen met andere gemeenten. Een eigen cyber security monitoring systeem bovenop de IT-voorzieningen bleek voor hen geen haalbare kaart. Met de aanschaf en implementatie zouden tonnen gemoeid zijn. Bovendien zou de impact op de operationele werkwijze bij de gemeente te groot zijn. Hij vroeg ons, maar ook een andere partij, om een oplossing. Ik ben in conclaaf gegaan met Michiel Monchen, manager van ons Security Operations Center. Ik wist dat daar al eens initiatieven in de richting van de Eindhovense wens waren onderzocht. Afgelopen april zijn we begonnen met het bouwen van de oplossing. In augustus hebben we die opgeleverd en inmiddels bij een aantal gemeenten geleverd.”

Analyse van in- en uitgaande datastroom

Stef Liethoff

Nováccent ontwikkelde een monitoring toepassing op basis van een multifunctionele security sensor, geplaatst op het locale netwerk zo dicht mogelijk bij de werkplekken. Dus achter de firewall op de plaats waar de werkplekken interacteren met het internet. De van intelligentie voorziene sensor analyseert de in- en uitgaande datastroom op gedrag en op specifieke aanvallen. Michiel Monchen: ”We verzamelen indicatoren en daarmee voeden we alle sensoren, geplaatst bij de aangesloten gemeenten. We bouwen gezamenlijk intelligentie op, waardoor de weerbaarheid van deze gemeenten toeneemt. Onze oplossing is laagdrempelig en stimuleert bovendien de samenwerking tussen de gemeenten. We detecteren niet alleen waar en wanneer een besmetting heeft plaatsgevonden, we zijn ook in staat het betreffende malware bestandje, dikwijls in de vorm van een pdf, te separeren en in onze SOC verder te analyseren. Daarmee plaats je de bedreigingen in context. Welke veranderingen treden op bij de eindpunten; wat zijn de bedreigingen; hoe kun je het bestand verwijderen en wat zijn daarbij de risico’s? De antwoorden op al die vragen delen we met de gemeenten.”

Michiel Monchen

Het Nováccent SOC wisselt de contextinformatie en de indicatoren uit via een portal. Op die manier vergaart een gemeente de kennis om een begin van een aanval waar te nemen en het probleem vroegtijdig te adressen en te neutraliseren. Op hun beurt verwachten ze bij het SOC dat gemeenten een verdacht e-mailbericht aan bijvoorbeeld een wethouder via de portal aanbiedt, zodat daaruit weer nieuwe indicatoren en contextinformatie is te halen waarmee andere gemeenten hun voordeel kunnen doen wanneer ze een infectie constateren. Ook van meldingen van aanvallen buiten het gemeentelijke netwerk willen ze op het SOC kennis nemen, bijvoorbeeld bij mobiel internet gebruik door medewerkers van de gemeente of bij het werken vanuit huis. Daarmee komen Nováccent experts meer te weten over de bestemming, de payload (de echte malware) en de callback ( de terugkoppeling naar de hacker). Op die manier laat zich volgens Monchen in de datastroom de ’tooling’ herkennen die de eindstations aanstuurt. Dat in de gemeentehuizen tegenwoordig ook wifi wordt aangeboden aan de bezoekers, leidt naar zijn mening niet per se tot meer risico’s van besmetting. ”Meestal functioneert dit gastgebruik geïsoleerd van het gemeentelijke dataverkeer. Het betreft 1 op 1 verbindingen met het internet zonder afhankelijkheden van andere systemen.”

Infrastructuur in kaart brengen met quick scan

Gemeenten zijn net als bedrijven juridisch aansprakelijk indien blijkt dat de organisatie rondom de beveiliging van digitale bronnen niet goed is en als gevolg daarvan zich datalekken voordoen. ”Het kan dus geen kwaad om vooraf een quick scan los te laten op het gemeentelijke netwerk om de infrastructuur te beoordelen”, zegt Liethoff. ”Waar zitten de white spots, waar zijn geen afdoende maatregelen getroffen rond kwetsbare systemen, waaronder het gasten wifi of het camera netwerk. Daarover brengen we dan een advies uit en kan de gemeente passende maatregelen nemen om de beveiliging aan de eisen te laten voldoen, zoals het dichtzetten van poorten en het op bepaalde tijdstippen beperken van het aantal publiekstoegankelijke websites. Maar die voorzieningen maken een sensor zeker niet overbodig. Het gaat om de snelheid waarmee een aanval is te detecteren en de reactiesnelheid van de gemeente op basis van correcte informatie.”

De door Nováccent geplaatste sensor heeft het uiterlijk van een server systeem, voorzien van software waarmee zich in de datatransmissie afwijkingen in gedrag laten opsporen en vanuit verschillende invalshoeken matches zijn te maken. ”De intelligentie van de sensor groeit naarmate de logica vanuit het SOC met nieuwe functionaliteit wordt uitgebreid, aldus Monchen. ”Nu een toenemend aantal gemeenten applicaties uit de cloud willen halen, is het zaak om vroegtijdig de eventuele risico’s te identificeren. Zo kan in potentie het gebruik van Dropbox problemen opleveren. Het dataverkeer van en naar de cloud dienst is encrypted, waardoor we niet in de tunnels kunnen kijken. Toch is het voor een gemeente belangrijk om te weten hoe vaak grote hoeveelheden data heen en weer gaan en waarom. Indien inzicht in de tunnels gewenst is, kan in afstemming met de gemeente ontsleuteling worden toegepast. Een ontsleuteling van dergelijke cloud applicaties heeft naast de organisatorische afstemming over privacy ook qua aanpassingen meer voeten in de aarde. Het lekken van gevoelige data die volgens de gemeentelijke voorwaarden niet gedeeld mogen worden, is dan wel inzichtelijk te maken.”

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *