Op jacht naar #dreigingen!
Jyotika, Cyber Threat Intelligence Specialist
De ICT-systemen van de overheid en daaraan verbonden organisaties zijn cruciaal voor ons land. Alleen al omdat ze nodig zijn om Nederland te besturen en omdat ze persoonlijke gegevens van inwoners bevatten. Cyberaanvallen moeten dus koste wat het kost worden afgeslagen. Maar vóór alles is voorkomen beter dan genezen als het aankomt op de integriteit van computernetwerken en -systemen.
Monitor, Detect, Hunt… Part-of-the-job van cyber security is handmatig en/of semi-geautomatiseerd proactief op zoek gaan naar dreigingen. Op basis van dreigingsinformatie, via het toetsen van aanvalstechnieken, en door het nabootsen van geavanceerde dreigingen Voor specialist Cyber Threat Intelligence Jyotika is waakzaam zijn op dreigingen van buitenaf en van binnenuit dagelijks werk.
Dreigingen onderzoeken
Zo voert het team elke maand threat hunts uit. 'We willen de aanvaller voor zijn', zo vertelt Jyotika. 'Om een aanval te kunnen detecteren, monitoren we op bekend slecht gedrag en afwijkingen. Slecht gedrag herkennen we aan signatures. Het gaat hierbij om statische dreigingsinformatie, zoals bijvoorbeeld hashwaardes van vermaarde malafide bestanden of beruchte IP-adressen. Afwijkingen vinden we in logbestanden en aan de hand van monitoring use cases. Een monitoring use case is een scenario waarbij een aantal voorwaarden is opgesteld waaraan een specifieke aanval is te herkennen; zien we die voorwaarden, dan gaan de alarmbellen af.'
Digitaal aanvalspatroon
'Ja, ik heb wel eens iets ontdekt, bij een threat hunt naar aanleiding van een beveiligingsadvies. Daarvoor heb ik eerst onderzoek gedaan om de TTP-methodieken van een aanvaller – dat is Tactics, Techniques and Procedures – in kaart te brengen voor een mogelijk digitaal aanvalspatroon. Alle bevindingen heb ik daarna gerapporteerd, waarna specialisten van een andere afdeling het overnemen. Andersom werkt het trouwens ook. Door de TTP's en de allernieuwste Indicators of Compromise (IoC) te delen met het Nationale Detectie Netwerk van het NCSC, kan eenzelfde aanval wellicht onze collega’s binnen de Rijksoverheid bespaard blijven. Zo werken we optimaal samen om de gehele Nederlandse overheid en de BV Nederland weerbaarder te maken.'
Actuele dreigingen
Om de beurt krijgen de teamleden de taak om een week lang actuele dreigingen die circuleren binnen de IT-wereld te inventariseren en te rapporteren. Deze zouden immers voor DICTU en zijn klanten relevant kunnen worden. Toevallig is het net de beurt van Jyotika. 'Wij krijgen informatie van onder andere het NCSC, het Nationaal Cyber Security Centrum, en samenwerkingsverbanden binnen de Rijksoverheid zoals SOC’s (security operations centers) van andere ministeries. Ook bezoek ik relevante fora en blogs, en volg berichten van leveranciers die zelf kwetsbaarheden melden. Overigens, naast zeg maar de ‘commerciële’ cybercriminelen zijn er ook statelijke actoren van of namens een vreemde mogendheid die een mogelijke dreiging vormen.'
Second opinion uitvoeren
Ook vanuit DICTU zelf kan Jyotika een verzoek krijgen om een onderzoek te starten. 'Onze chief information security officer, kortweg CISO, heeft bijvoorbeeld op hoger niveau informatie ontvangen en maakt zich daarover zorgen. Of de Servicedesk vraagt aan ons een second opinion wanneer een gebruiker een mogelijke phishing mail heeft ontvangen. In een geïsoleerde omgeving – Sandbox – en via verschillende tools kijken we dan welke aanvalstechniek er is gebruikt, bijvoorbeeld of er malware is gebruikt. Soms is het erg moeilijk om een phishing mail te onderscheiden van een echte e-mail. En ik kan me voorstellen dat cybercriminelen vaker AI gaan inzetten voor het opstellen van phishing mails. Zo neemt het belang en complexiteit van mijn werk nog meer toe. Vanuit mijn onderzoekende en adviserende rol draag ik bij aan de veiligheid van Nederland. En dat is wel heel gaaf.'