Aanvallen van cybercriminelen zijn complex en vaak geautomatiseerd. Daarom is het nodig op machinesnelheid dreigingen te pareren. TNO werkt in samenwerking met drie techbedrijven aan een platform dat dit voor elkaar krijgt. ‘We hebben al een werkend prototype’, zegt Noura El Ouajdi die bij TNO de zoektocht leidt binnen het automated security operations (asop)-consortium.
Zij vertelt dat ze bij het onderzoeksinstituut als taak heeft cyberkennis en -kunde in Nederland te versterken, onderzoek en innovatie te faciliteren en een ecosysteem van experts en organisaties te bouwen om digitale maatschappelijke uitdagingen te adresseren. ‘It-security is zo’n probleem. Als we geen deugdelijk antwoord vinden op de toenemende digitale criminaliteit, dan heeft dat een negatief effect op de goede uitgangspositie van Nederland om de economische en maatschappelijke kansen van digitalisering te verzilveren. Cybercrime zet een rem op onze economische ontwikkeling.’
In 2019 is zij begonnen het probleem in kaart te brengen en een mogelijk antwoord te formuleren. ‘Dat doen we niet alleen, maar in een ecosysteem met andere belanghebbende partijen. We werken samen met KPN Security, Bizzdesign (specialist in business-impactanalyses) en VMware (specialist in gevirtualiseerde omgevingen). Cybercriminaliteit is een veelkoppig monster; je hebt elkaar nodig om het gevecht aan te gaan. Voorlopig werken we met z’n vieren de plannen uit om het werkbaar te houden. In een later stadium zullen andere partijen kunnen aanhaken.’
In 2020 is met steun van het ministerie van Economische Zaken en Klimaat het consortium opgericht. Het doel van deze publiek-private samenwerking is een platform te ontwikkelen dat bedrijven weerbaar maakt tegen cyberaanvallen.
Verschillende talen
‘Het grootste knelpunt bij met name de grote organisaties’, vertelt El Ouajdi, ‘is het bestaan van data-silo’s, gebrek aan interoperabiliteit tussen applicaties en cyberproducten en aanhoudende schaarste aan cyberexperts. Zij hebben tal van tools om de data-integriteit te waarborgen, maar die spreken verschillende talen. Wij maken een integraal modulair platform dat geautomatiseerd cyberaanvallen af kan weren. Er is gekozen voor open standaarden en protocollen en een flexibele structuur, zodat bestaande en nieuwe cyberproducten als modules aangesloten kunnen worden in één raamwerk. Dit raamwerk zorgt ervoor dat de producten één taal spreken via software interfaces.’ Dit vergemakkelijkt ook de communicatie en integratie met nieuwe modules.
Een platform dat geautomatiseerd afwijkingen in een netwerk constateert en maatregelen treft, is volgens haar dringend nodig. ‘Het kost een aanvaller soms minuten om ergens binnen te komen, maar het kost weken soms maanden of zelfs nog langer voordat iemand de indringer in de smiezen heeft. Tel daarbij op dat er een groot tekort is aan kundige securityspecialisten en de noodzaak voor geautomatiseerde afweer dringt zich op.’
Asop is bedoeld voor organisaties die zelf een security operations center (soc) hebben of die digitale beveiliging als een dienst afnemen en een visie op cyberveiligheid hebben. ‘Binnen een soc werken Tier I-, Tier II- en Tier III-specialisten. De eerste groep houdt alle signalen bij. Die raken overvoerd met informatie en balen van de vele false positives die ze krijgen te verwerken. Juist deze groep medewerkers willen wij ontlasten, zodat zij meer tijd krijgen voor het echte beveiligingswerk. Hoewel asop automatisch afwijkingen herkent en actie onderneemt, is er altijd nog een securityanalist die bepaalt of een voorgestelde handeling moet worden uitgevoerd. Denk aan het afsluiten van een werkplek, een applicatie afschakelen of het aanpassen van firewalls.’
Modulair opgebouwd
Overigens gaat asop niet alleen over de techniek. “Wij analyseren en beoordelen ook hoe groot het risico van een aanval is en wat de impact zou zijn op de bedrijfsvoering. Dat bepaalt mede welke actie moet worden ondernomen. Voor dit aspect werken we samen met Bizzdesign dat hierin is gespecialiseerd.”
Het asop-platform bestaat uit drie hoofdonderdelen: monitoring & detectie (met een lage kans op een (kostbaar) vals alarm) en analyse & respons, automatische besluitvorming of advisering over de best mogelijke reactie inclusief de potentiële impact op de bedrijfsvoering en de daadwerkelijke aanpassing of reconfiguratie in de it-infrastructuur.
Werkend prototype
Na twee jaar sleutelen, is het consortium halverwege. Er is een werkend prototype gebouwd. Uitgangspunt is dat het platform leveranciersonafhankelijk blijft, zodat het inzetbaar is met alle mogelijke cybersecurity-oplossingen die organisaties al in huis hebben of gaan nemen.
‘Wat we nu hebben, testen en valideren we in de omgevingen van de deelnemende partijen. De TNO-experts hebben met het prototype bewezen dat het werkt’, zegt El Ouajdi. ‘We gaan het nu verder verfijnen door de communicatie met bestaande beveiligingsoplossingen en verschillende modules van leveranciers op te nemen. Daarmee biedt het platform een antwoord op het diverse spectrum van digitale dreigingen.’
Het is de bedoeling in de loop van 2023 asop-platform te laten landen in klantomgevingen om te beproeven hoe het daar werkt. De verwachting is dat er vanaf 2024 een versie is die aan marktpartijen beschikbaar gesteld zal worden voor verdere implementatie en verrijking.
