Real Time Monitoring & Adaptive Cyber Intelligence
SBIR13C038
Opgericht
2010
Ervaring
>10 jaar
Expertise
Forensisch gegevensonderzoek Anomalie detectie Behavioral profiling SBIR Partners
TNO Texar Data Science TU Delft Microsoft Waternet
Feit
De maatschappij is steeds meer afhankelijk van systemen waarover we steeds minder controle hebben
Onbekende bedreigingen worden niet gedetecteerd Er worden zoveel alarmen gegenereerd dat er sprake is van schijnveiligheid Systemen kunnen de groeiende hoeveelheid data niet samenvoegen en visualiseren Aanvallen worden complexer en minder opvallend
Haalbaarheidsonderzoek
Waar zijn we mee begonnen SBIR FASE 1 Haalbaarheids Onderzoek
Aanpassing Bestaande Componenten
Gedrags Analyse
Aanpassingen Voor Cyber Analist
Initiële scope
Case Management OODA
Haalbaarheidsonderzoek
Wat hebben we uiteindelijke gedaan SBIR FASE 1 Haalbaarheids Onderzoek
Aanpassing Bestaande Componenten
Gedrags Analyse
Aanpassingen Voor Cyber Analist
Machine Learning
Technische Integratie
Case Management OODA
Koppelingen met bestaande ICS oplossingen
Integratie .NET en Open Source
Integratie met Processen & Diensten
Uiteindelijke scope
Gedrags analyse + Machine Learning
Correlatie alerts en risico
MensMachine Feedback Loop
Probleemstelling
Onbekende bedreigingen worden niet gedetecteerd Waarom
Traditionele systemen zien alleen de top van de ijsberg Je kunt geen regels bedenken voor gevaren die je niet kent Er ontbreekt essentiële informatie om te begrijpen wat er wordt gesignaleerd Veel ‘point’ oplossingen voor deelgebieden met eigen operatoren
Onze visie
Integreer alle belangrijke gebeurtenissen binnen de onderneming
Oplossingen
Profiling voor onbekende bedreigingen Profileer alle beschikbare data Centrale cyber intelligence omgeving Adaptieve architectuur (alles past) Voorkom ketenuitval Resultaat
Detectie graad omhoog Eén centraal dreigingsbeeld
Probleemstelling
Er worden zoveel alarmen gegenereerd dat er sprake is van schijnzekerheid Waarom
Huidige systemen zijn niet adaptief (geen mens-machine interactie). Detectie vindt op zeer abstract niveau plaats Je kunt met regels niet alle uitzonderingen afvangen of uitsluiten. Er is geen duidelijke relatie tussen een uitzondering en concreet bedrijfsrisico.
Wat levert het precies op?
Onze visie
Eén geïntegreerde detectie- en ranking omgeving op basis van geavanceerde mens-machine interactie. Oplossingen
Bouwen mens-machine interactie Combineren profiling en nieuwe ML algoritmen. Alerts voorzien van business context Resultaat
Human-in-the loop systeem dat het gedrag van analisten adaptief meeweegt en false positives minimaliseert.
Voorstel
Risico Scoring & Sortering
Correlatie Analyse
HQ
Onderzoek en Visualisatie Omgeving
Data Storage
1
3 Bestaande point oplossingen
Gedrags Analyse
Anomalie Analyse
2 Ruwe data
Verzamelen
Integreer alerts uit bestaande oplossingen (1) met belangrijke data uit andere bronnen (2) Combineer geavanceerde ML technologieën met profiling technologie (3)
Voorstel
Risico Scoring & Sortering
4 Correlatie Analyse
HQ
Onderzoek en Visualisatie Omgeving
Data Storage
1
3 Bestaande point oplossingen
Gedrags Analyse
Anomalie Analyse
2 Ruwe data
Profileren, waarderen en sorteren
Sla alle uitzonderingen en profielen op. Breng ze met elkaar in verband en vergelijk de veranderingen in de tijd. Sorteer alle feiten op risico-score (4)
Voorstel
Risico Scoring & Sortering
4
5
Correlatie Analyse
HQ
Onderzoek en Visualisatie Omgeving
Data Storage
1
3 Bestaande point oplossingen
Gedrags Analyse
Anomalie Analyse
2 Ruwe data
Onderzoeken en begrijpen
Onderzoek de relatie tussen technische meldingen en de dagelijkse werkelijkheid in één overkoepelend beeld (situational awareness) (5).
Voorstel
Risico Scoring & Sortering
Expert investigation Support
4
5
Correlatie Analyse
HQ
Onderzoek en Visualisatie Omgeving
Data Storage
1
3 Bestaande point oplossingen
Gedrags Analyse
Anomalie Analyse
2 Ruwe data
Expert Beslissings Engine Leren
6
Expert feedback
Betrek de expert bij het proces en leer van zijn kennis, kunde en conclusies (6)
Haalbaarheidsonderzoek
Conclusies Algemeen
Maatschappelijk en commercieel van groot belang en realiseerbaar Technische risico’s en onzekerheden
Bestaande generieke componenten verhogen de kans op succes Leemtes in kennis en kunde worden goed aangevuld door partners. Economische haalbaarheid
Project is economisch haalbaar omdat we nieuwe ontwikkelingen kunnen combineren met bestaande componenten. Vooruitblik FASE 3
Concreet gesprekken gaande met marktpartijen die leiden tot intentieverklaring en vervolgafspraken.
FASE 2
Wat levert het op? Vertrouwen
Verbeteren van de veiligheid van en het vertrouwen in ICT-infrastructuur en diensten Nederland voorbereiden op de veiligheidsuitdagingen op het gebied van cyber security in de nabije toekomst door een aantoonbare bijdrage te leveren aan innovatie op cyber security en tools te ontwikkelen die (overheids-)organisaties in staat stellen dergelijke uitdagingen tijdig aan te pakken Versterken van de Nederlandse cyber security economie
FASE 2
Waarom wordt het een succes?
Inbreng bestaande componenten en kennis
Complex event processing Profiling technologie Forensische database Case Management Intelligence & visualisaties
Bijdrage
Wetenschappelijke detectiemethodieken Machine learning Human-in-the-loop
Senior management team met bewezen track record
Commercie Productontwikkeling Opbouwen innovatieve bedrijven
Bijdrage
Mogelijke FASE 3 implementatie
Nieuw Cyber Security Lab TNO voor integrale aanpak cyber-risico’s TNO innoveert voor een Secure Cyber Space Preventieve oplossingen i.p.v. incident based panic Cyberhood Watch Cyber Security Lab TNO in Hague Security Delta
Men-Machine-Interaction (learning) Men-Machine-Interaction (MMI): 10 jaar MMI research & innovatie, o.a. in samenwerking met AgentschapNL
Waternet Waternet is het enige waterbedrijf in Nederland dat zich richt op de hele cyclus van het zuiveren van afvalwater, maken van drinkwater en het op peil en schoon houden van het oppervlaktewater. Dit doet Waternet in opdracht van Waterschap Amstel, Gooi en Vecht en de gemeente Amsterdam.
Doel van de samenwerking (Fase 2 en 3): Waternet heeft behoefte aan een real time monitor die naast het bestaande IDS en firewall meer bronnen kan analyseren, correleren zowel ten aanzien van de KA als de PA (proces automatisering) omgevingen. Dit past naadloos op de doeloplossing zoals deze is verwoord in de SBIR aanvraag
Dank voor uw aandacht!
[email protected]
SBIR13C038
