Een veiligere digitale samenleving door security monitoring en detectie

We ontwikkelen hoogwaardige en bruikbare anomaliedetectoren terwijl we het aantal false positives minimaliseren. Dit is cruciaal voor vroege en geautomatiseerde reacties, waardoor de schade en menselijke kosten tijdens een aanval worden beperkt. Onze methoden omvatten het combineren van verschillende databronnen, het betrekken van menselijke experts en het benutten van nieuwe technologieën zoals causale AI en graph networks. Om ervaring op te doen en een veilige omgeving te creëren voor het testen van onze detectietools, hebben we bij TNO een interne, volledig geautomatiseerde en aanpasbare IT-cyberrange ontwikkeld.

We richten ons op het ontwerpen en implementeren van methoden om aanvallen op kritieke infrastructuur te detecteren. Dit is essentieel voor de veiligheid van de moderne Nederlandse samenleving, die steeds afhankelijker wordt van operationele technologie (transport, energie, water, industrie, enz.).

We specialiseren ons in het beschermen van AI-modellen en het detecteren van misbruik van AI. Naarmate AI wordt geïntegreerd in software, ontstaan er nieuwe kwetsbaarheden die ook security monitoring vereisen. Bijvoorbeeld, vergiftigde trainingsdata kunnen modellen corrumperen, terwijl gewijzigde invoer AI-gestuurde detectoren kan omzeilen. We richten ons ook op het identificeren van AI-gestuurde aanvallen, waaronder geavanceerde bedreigingen zoals deepfake telefoongesprekken, om onze digitale samenleving te beschermen tegen de evoluerende risico’s van AI.

In dit project streven we ernaar de ware oorzaken achter een Application Layer DDoS-aanval te identificeren. We gebruiken een methode die eerst anomalieën detecteert die kunnen wijzen op L7 DDoS-aanvallen die bestaande beveiligingsmaatregelen kunnen omzeilen. Vervolgens verklaren we de ware oorzaken van deze anomalieën met behulp van “Causal AI”-technologie. Dit helpt om de oorzaken van de anomalieën te begrijpen.

Elke dag ontvangen organisaties meldingen van kwaadaardige IP-adressen via cyber threat intelligence (CTI)-feeds. Wanneer een IP-adres aan zo’n CTI-feed wordt toegevoegd, rijst de vraag: sinds wanneer is dit IP-adres onder controle van de aanvaller? We introduceren een nieuwe, datagedreven aanpak om dieper inzicht te krijgen in de kenmerken van IP-adressen die worden gebruikt voor command-and-control (C2) -verkeer. Onze methode, geïmplementeerd in een tool, identificeert eigendomsveranderingen van IP’s en heeft geleid tot de observatie dat sommige malware C2-infrastructuren waarschijnlijk onder controle van de aanvaller zijn, lang voordat ze worden ontdekt en vermeld in populaire blocklists.

In samenwerking met een grote Nederlandse organisatie ontwikkelen we een uitlegbaar AI-model dat in staat is om langdurige en moeilijk te traceren multi-stage aanvallen te detecteren. Moderne aanvallen vereisen aanzienlijke vaardigheden, tijd en geduld om uit te voeren en zijn gericht op onopgemerkt blijven. Denk bijvoorbeeld aan de tijd en expertise die nodig zijn om een backdoor in het XZ-incident te verwerken waarbij een anonieme bijdrager probeerde een backdoor in de XZ Utils-repository te introduceren; een veelgebruikt compressiehulpmiddel in Linux-systemen, dat willekeurige code-uitvoering zou hebben toegestaan. Door netwerkevenementen in de tijd te correleren, kunnen we patronen en anomalieën identificeren die kunnen wijzen op multi-stage aanvalspaden. Dit stelt je in staat precies te weten wat er moet worden tegengegaan.

Elke week horen we over fraude, desinformatie en kunstmatig gegenereerde inhoud die steeds meer invloed heeft op het leven van mensen. We ontwikkelen een realtime, fusion-model detector voor stemmen die gegenereerd of aangepast zijn. Het doel is om deepfake stemmen, voice phishing-aanvallen en telefoonscams te identificeren en de luisteraar te waarschuwen dat zo’n stem niet echt is.