Een veiligere digitale samenleving door security monitoring en detectie

Thema:
Security monitoring en detectie

Technologie, data, AI en datagedreven oplossingen worden steeds belangrijker voor het functioneren van onze samenleving. Helaas brengt dit ook risico’s met zich mee, omdat cyberaanvallen steeds geavanceerder worden. Security monitoring en detectie (SM&D), waarbij netwerkverkeer en data worden geanalyseerd om verdachte patronen te identificeren, biedt organisaties kansen om hun cyberbeveiliging te verbeteren.

Algoritmen tegen blinde vlekken

Met behulp van geavanceerde algoritmen en softwareprototypes helpt TNO organisaties bij het opsporen van cybercriminelen die binnen hun interne netwerken opereren. Dit minimaliseert blinde vlekken voor beveiligingsteams, waardoor de potentiële schade door aanvallers wordt verminderd. Deze oplossing is bijzonder waardevol voor banken, bedrijven met intranet, datacenters, hostingproviders, cloudproviders en beveiligingsbedrijven.

Hoe werkt security monitoring en detectie?

Je probeert je huis te beschermen tegen inbrekers en branden. Bij inbraak lijken goede sloten en een alarm een oplossing. Maar wat als een indringer je sleutel en alarmcode steelt zonder gedetecteerd te worden en zo altijd toegang heeft tot je huis? In dat geval zou de indringer alle preventieve maatregelen kunnen omzeilen, en zou een detectiesysteem zoals een camera nodig zijn.

Evenzo kunnen preventieve maatregelen in digitale systemen mogelijk niet voldoende zijn om de veiligheid te waarborgen vanwege de complexiteit van systemen en de hoeveelheid data. Security monitoring en detectie pakt dit probleem aan door algoritmen te ontwikkelen die verdachte patronen te identificeren, zoals frequente verbindingen die op malware kunnen wijzen. Deze aanpak is gericht op het snel detecteren en minimaliseren van de impact van cyberaanvallen, waarbij de effectiviteit afhangt van de kwaliteit van de gebruikte algoritmen.

Waarom security monitoring en detectie?

Onderzoek en innovatie in SM&D zijn essentieel voor organisaties om:

  • Schade door (“zero-day") aanvallen te voorkomen.
  • Veilige en verdedigbare IT- en Operationele Technologie (OT) infrastructuren te creëren.
  • Menselijke inspanning in beveiligingsoperatiecentra (SOCs) efficiënt in te zetten.
  • AI te benutten om zich te verdedigen tegen (AI-gestuurde) cyberaanvallen.
Infographic waarin Security Monitoring word uitgelegd.

Wat doet TNO op dit gebied?

Met ons onderzoek verleggen we de grenzen van de huidige technologie en verkennen we nieuwe mogelijkheden op het gebied van security monitoring en detectie. We zorgen ervoor dat ons onderzoek praktische toepassingen heeft door nauw samen te werken met onze partners.

We hebben ervaring met zowel synthetische data als operationele data. Dit stelt ons in staat om praktisch toepasbare oplossingen te ontwikkelen die bedrijven verder kunnen helpen. De tools die we ontwikkelen, automatiseren detectietaken steeds meer. Bovendien richten we ons op het onderzoeken van het interne netwerk van een organisatie, niet alleen op externe aanvallen.

Onze focus:

We ontwikkelen hoogwaardige en bruikbare anomaliedetectoren terwijl we het aantal false positives minimaliseren. Dit is cruciaal voor vroege en geautomatiseerde reacties, waardoor de schade en menselijke kosten tijdens een aanval worden beperkt. Onze methoden omvatten het combineren van verschillende databronnen, het betrekken van menselijke experts en het benutten van nieuwe technologieën zoals causale AI en graph networks. Om ervaring op te doen en een veilige omgeving te creëren voor het testen van onze detectietools, hebben we bij TNO een interne, volledig geautomatiseerde en aanpasbare IT-cyberrange ontwikkeld.

We richten ons op het ontwerpen en implementeren van methoden om aanvallen op kritieke infrastructuur te detecteren. Dit is essentieel voor de veiligheid van de moderne Nederlandse samenleving, die steeds afhankelijker wordt van operationele technologie (transport, energie, water, industrie, enz.).

We specialiseren ons in het beschermen van AI-modellen en het detecteren van misbruik van AI. Naarmate AI wordt geïntegreerd in software, ontstaan er nieuwe kwetsbaarheden die ook security monitoring vereisen. Bijvoorbeeld, vergiftigde trainingsdata kunnen modellen corrumperen, terwijl gewijzigde invoer AI-gestuurde detectoren kan omzeilen. We richten ons ook op het identificeren van AI-gestuurde aanvallen, waaronder geavanceerde bedreigingen zoals deepfake telefoongesprekken, om onze digitale samenleving te beschermen tegen de evoluerende risico’s van AI.

In de praktijk - usecases

In dit project streven we ernaar de ware oorzaken achter een Application Layer DDoS-aanval te identificeren. We gebruiken een methode die eerst anomalieën detecteert die kunnen wijzen op L7 DDoS-aanvallen die bestaande beveiligingsmaatregelen kunnen omzeilen. Vervolgens verklaren we de ware oorzaken van deze anomalieën met behulp van “Causal AI”-technologie. Dit helpt om de oorzaken van de anomalieën te begrijpen.

Elke dag ontvangen organisaties meldingen van kwaadaardige IP-adressen via cyber threat intelligence (CTI)-feeds. Wanneer een IP-adres aan zo’n CTI-feed wordt toegevoegd, rijst de vraag: sinds wanneer is dit IP-adres onder controle van de aanvaller? We introduceren een nieuwe, datagedreven aanpak om dieper inzicht te krijgen in de kenmerken van IP-adressen die worden gebruikt voor command-and-control (C2) -verkeer. Onze methode, geïmplementeerd in een tool, identificeert eigendomsveranderingen van IP’s en heeft geleid tot de observatie dat sommige malware C2-infrastructuren waarschijnlijk onder controle van de aanvaller zijn, lang voordat ze worden ontdekt en vermeld in populaire blocklists.

In samenwerking met een grote Nederlandse organisatie ontwikkelen we een uitlegbaar AI-model dat in staat is om langdurige en moeilijk te traceren multi-stage aanvallen te detecteren. Moderne aanvallen vereisen aanzienlijke vaardigheden, tijd en geduld om uit te voeren en zijn gericht op onopgemerkt blijven. Denk bijvoorbeeld aan de tijd en expertise die nodig zijn om een backdoor in het XZ-incident te verwerken waarbij een anonieme bijdrager probeerde een backdoor in de XZ Utils-repository te introduceren; een veelgebruikt compressiehulpmiddel in Linux-systemen, dat willekeurige code-uitvoering zou hebben toegestaan. Door netwerkevenementen in de tijd te correleren, kunnen we patronen en anomalieën identificeren die kunnen wijzen op multi-stage aanvalspaden. Dit stelt je in staat precies te weten wat er moet worden tegengegaan.

Elke week horen we over fraude, desinformatie en kunstmatig gegenereerde inhoud die steeds meer invloed heeft op het leven van mensen. We ontwikkelen een realtime, fusion-model detector voor stemmen die gegenereerd of aangepast zijn. Het doel is om deepfake stemmen, voice phishing-aanvallen en telefoonscams te identificeren en de luisteraar te waarschuwen dat zo’n stem niet echt is.

Onze partners

We werken samen met publieke en private organisaties om de nieuwste technieken op het gebied van security monitoring en detectie te ontwikkelen. We werken in multi-stakeholder onderzoeksprojecten en in internationale onderzoeksprogramma’s. We voeren ook verschillende projecten uit binnen het PCSI-partnerschap, zoals Finding API, Aiwareness en Early warning system insider attacks.

Wil je meer weten?

Lees ons paper Cyber Ranges en Digital Twins waar we verschillende mogelijkheden voor de watersector hebben verkend om de cyberweerbaarheid te vergroten door gebruik te maken van technologieën zoals cyber ranges en digital twins.

Laat je verder inspireren

8 resultaten, getoond 1 t/m 5

Diepgaand software testen eenvoudiger gemaakt

Informatietype:
Artikel
Automatische testtechnieken als fuzzing hebben de potentie om software diepgaand en efficiënt te testen.

Cybersecurity uitdagingen en innovaties

Informatietype:
Artikel

Automated Vulnerability Research

Informatietype:
Artikel

Toegepaste cryptografie & quantumalgoritmen

Informatietype:
Artikel

Automated Security voor een veilige digitale economie

Informatietype:
Artikel
18 mei 2022