NBV themanummer Nieuwsbrief December 2010

December 2010

NBV themanummer Nieuwsbrief December 2010 Het Nationaal Bureau Verbindingsbeveiliging (NBV), onderdeel van de AIVD, geeft voor zijn relaties tweemaandelijks een nieuwsbrief uit. Dit is een verzameling van nieuwsfeiten zoals die eerder op de website zijn gepubliceerd, aangevuld met actualiteiten. De NBV-nieuwsbrief is voornamelijk bedoeld voor beveiligingsambtenaren en informatiebeveiligers van de rijksoverheid.

Inhoud Thema Network Defence Technologische kwetsbaarheid Preventie en detectie Toegevoegde waarde van detectie Detectie en risicomanagement Doel van het project Aanpak Conclusie

Thema Network Defence Introductie Deze editie van de NBV-nieuwsbrief is volledig gewijd aan een actueel thema: het verdedigen van ICT-infrastructuren tegen digitale dreigingen. De dreiging op ICT-infrastructuur is op zichzelf niet nieuw, wel wordt waargenomen dat digitale aanvallen vanuit verschillende landen een steeds gerichter en specifieker karakter krijgen[1]. Vastgesteld is dat digitale aanvallen kunnen leiden tot informatieverlies. Het is en blijft dan ook van belang om deze risico’s te beheersen. Vanuit zijn specifieke kennis en expertise ondersteunt het NBV de rijksoverheid om beveiligingstechnische risico’s te onderkennen, zichtbaar te maken en te beheersen. Het afgelopen jaar is het NBV in samenwerking met onder andere GOVCERT het project Network Defence gestart.

[1] zie ook het AIVD jaarverslag 2009 Terug naar boven

Technologische kwetsbaarheid Voor zowel bedrijven als overheden geldt dat de afhankelijkheid van Internettechnologie voor de bedrijfsvoering groot is en steeds groter wordt. Wereldwijd neemt ook het besef toe dat deze afhankelijkheid niet zonder risico is. Technologie, beveiligingstechnologie niet uitgezonderd, kan kwetsbaar zijn voor digitale aanvallen. Deze kwetsbaarheid wordt tijdens technische onderzoeken (beoordelingen) van het NBV bevestigd en komt ook naar voren in het recent verschenen Nationaal Trendrapport Cybercrime en Digitale Veiligheid 2010[2]. Kwetsbaarheden kunnen zich op verschillende plekken manifesteren en het kan voor aanvallers opportuun zijn om deze kwetsbaarheden te exploiteren. De doelen kunnen hierbij heel verschillend zijn. Zo kan het doel zijn het verstoren van bedrijfsprocessen door zogenaamde Distributed Denial of Service-aanvallen uit te voeren. Bij een dergelijke aanval wordt een zodanige hoeveelheid netwerkverkeer naar een systeem gestuurd dat deze dit niet kan verwerken en stopt met functioneren. Recent heeft zo'n DDOS- aanval plaatsgevonden bij de websites van Mastercard en Visa naar aanleiding van de Wikileaks affaire. Een ander doel kan het achterhalen van voor de aanvaller waardevolle informatie zijn, ook bekend als digitale spionage[3]. [2] zie www.govcert.nl [3] zie de AIVD / MIVD-publicatie “Digitale spionage.

Wat is het risico ?” Terug naar boven

Preventie en detectie De kwetsbaarheid van ICT-infrastructuren kan verkleind worden door preventieve maatregelen te nemen. Bijvoorbeeld door het plaatsen van beveiligingscomponenten zoals firewalls en het snel ‘patchen’ van bekende kwetsbaarheden. Ook niet-technische maatregelen zoals het verhogen van het veiligheidsbewustzijn van gebruikers kunnen een belangrijke rol spelen. Om meer zekerheid te krijgen dat de ICT-infrastructuur daadwerkelijk afdoende beveiligd is, is het monitoren en analyseren van netwerkverkeer een wenselijke aanvulling. Dit monitoren van een netwerk geschiedt met behulp van een zogenaamde probe [4]. [4] ook wel network monitor genoemd

Terug naar boven

Toegevoegde waarde van detectie Detectie door middel van het monitoren en intelligent analyseren van netwerkverkeer heeft een toegevoegde waarde. Met name op het vlak van onderkenning van, al dan niet geslaagde, geavanceerde gerichte digitale aanvallen, waarbij aanvallers geïnteresseerd zijn in het heimelijk wegsluizen van voor hen relevante informatie. Dit is een type aanval waarbij door aanvallers diep in een ICT-infrastructuur ingegrepen wordt en waarbij zij langdurig in de ICT-infrastructuur aanwezig kunnen zijn om op die wijze zoveel mogelijk informatie te vergaren. Detectie kan een aanval weliswaar niet voorkomen, maar toch heeft monitoring meerwaarde. Door monitoring ontstaat een beter zicht op de daadwerkelijke staat van de beveiligingsmaatregelen en het biedt de mogelijkheid om meer grip op een ICT-infrastructuur te krijgen. Zo kan onder andere vastgesteld worden of beveiligingsbeleid ook daadwerkelijk geïmplementeerd is. Ook kunnen (vermoedens van) incidenten bevestigd of ontkracht worden. Detectie kan bijdragen aan het beperken van de schade door digitale aanvallen. Terug naar boven

Detectie en risicomanagement Naast het onderkennen van een mogelijke digitale aanval kan een probe ook als instrument dienen om risicomanagement binnen een organisatie te ondersteunen. Risicomanagement is het proces waarbij dreigingen, kwetsbaarheden en de te beschermen belangen in kaart gebracht worden, waarna vervolgens het daaruit volgende risico afgewogen wordt ten opzichte van de kosten (in de brede zin van het woord) van beveiligingsmaatregelen. Zo kan detectie inzicht geven in onbekende kwetsbaarheden. Terug naar boven

Doel van het project Met commercieel verkrijgbare middelen (zoals een virusscanner of een firewall) is het niet altijd mogelijk om een gerichte digitale aanval te detecteren. Het doel van het Network Defence research project is om te komen tot een prototype van een geavanceerde netwerkprobe[5]. Door het plaatsen van probes wordt de kans verhoogd dat gerichte digitale aanvallen onderkend worden. Dit stelt organisaties waar een probe is geplaatst in staat om maatregelen te treffen. Het project richt zich op het ontwikkelen van technologie om effectief te kunnen detecteren dat een gerichte digitale aanval plaatsgevonden heeft en

mogelijk nog steeds plaatsvindt. Met de door het NBV ontwikkelde probe is de kans dat gerichte digitale aanvallen gedetecteerd worden groter dan wanneer alleen standaard commerciële middelen worden ingezet. Het project wordt uitgevoerd in nauwe samenwerking met de organisaties waar een probe geplaatst wordt. Met een praktische insteek wordt kennis en expertise verbreed op zowel technologisch als organisatorisch vlak. Het is de bedoeling de kennis van detectietechnologie te gebruiken om het prototype uiteindelijk door te ontwikkelen tot een volwaardig beveiligingsproduct. Op deze wijze wordt gestimuleerd dat hoogwaardige producten voor informatiebeveiliging beschikbaar komen en daarmee het portfolio aan bestaande beveiligingsoplossingen voor de rijksoverheid aan te vullen. Daarnaast is ook de aanwezige expertise op het vlak van geavanceerde analyse van digitale aanvallen versterkt en uitgebouwd. [5]ook wel network monitor of sensor genoemd Terug naar boven

Aanpak In de ICT-infrastructuur van de organisatie worden netwerkprobes geplaatst. De organisatie is en blijft eigenaar van de opgeslagen informatie en de uitkomst van de analyse; gegevens worden niet verstrekt aan derden. De netwerkprobe monitort het netwerkverkeer tussen de ICT-infrastructuur van een organisatie en het ‘open’ Internet. Deze monitoring is automatisch en passief van aard. Het netwerkverkeer wordt op metaniveau geanalyseerd; zo wordt onder andere gezocht naar kenmerken in het netwerkverkeer die kunnen duiden op digitale aanvallen. Bepaalde documenttypen worden uit het netwerkverkeer gehaald en technisch geanalyseerd op specifieke verdachte kenmerken. Door de resultaten uit verschillende analysemethoden samen te voegen ontstaat inzicht in potentiële incidenten die kandidaat zijn om verder onderzocht te worden. Het overzicht van potentiële incidenten wordt aan de organisatie waar de probe geplaatst is aangeboden. Dit kan dienen als basis voor verder onderzoek dat onder regie van de organisatie zelf plaatsvindt. Overigens kan door het karakter van een research project geen garantie afgegeven worden over de beschikbaarheid van de probe, het is nadrukkelijk work in progress. Terug naar boven

Conclusie Door de recente Wikileaksaffaire zijn digitale aanvallen op netwerken weer prominent in het nieuws gekomen. Het is dan ook zaak om in een zo vroeg mogelijk stadium achter een aanval te komen om de schade tot een minimum te beperken. Voorkomen van zo'n aanval is een utopie zolang er mensen zijn die uit hobby of professionele nieuwsgierigheid in uw netwerken willen grasduinen. Networkmonitoring draagt bij aan het beperken van de risico’s en van mogelijke schade. Voor meer informatie over het project Network Defence kunt u contact opnemen met het NBV op het algemene e-mail adres [email protected]. De projectleider is gaarne bereid toelichting te geven. Terug naar boven

Colofon Voor nadere informatie kan contact worden opgenomen met het NBV: [email protected]

Deze nieuwsbrief is ook terug te vinden op de NBV website.

Dit bericht kan informatie bevatten die niet voor u is bestemd. Indien u niet de geadresseerde bent of dit bericht abusievelijk aan u is toegezonden, wordt u verzocht dat aan de afzender te melden en het bericht te verwijderen. De Staat aanvaardt geen aansprakelijkheid voor schade, van welke aard ook, die verband houdt met risico's verbonden aan het elektronisch verzenden van berichten. This message may contain information that is not intended for you. If you are not the addressee or if this message was sent to you by mistake, you are requested to inform the sender and delete the message. The State accepts no liability for damage of any kind resulting from the risks inherent in the electronic transmission of messages.