Met gedegen cyber threat intelligence (CTI), ook dreigingsinformatie genoemd, probeert het Nationaal Cyber Security Centrum (NCSC) digitaal Nederland veiliger te maken. Kevin is Cyber Threat Intelligence-specialist en zet zijn vakmanschap in om die dreigingsinformatie op tijd op de juiste plaats terecht te laten komen. Zodat de overheid en organisaties in vitale sectoren in actie kunnen komen om hun systemen – en daarmee Nederland – veilig te houden. Denk aan ministeries, maar ook aan drinkwater-, gas- en elektriciteitsbedrijven. Daarbij focust hij meestal op de technische component van dreigingsinformatie, zoals IP-adressen, domeinnamen, bestand- of JA3-hashes.
Blog: Nederland digitaal veilig door Cyber Threat Intelligence
Speuren in bronnen
'Ik gebruik verschillende bronnen van dreigingsinformatie. Dit kunnen open bronnen zijn, zoals een blogpost van een cybersecurity onderzoeker. Maar het NCSC beschikt ook over bronnen die voor het grote publiek minder toegankelijk zijn. We krijgen bijvoorbeeld geregeld informatie van onze partners uit het (inter)nationale netwerk van Computer Emergency Respons Teams (CERT), waar het NCSC er één van is.
Dreigingsinformatie analyseren
Bij het NCSC zijn veel organisaties aangesloten. Het heeft natuurlijk geen zin om alle dreigingsinformatie één voor één aan hen door te zetten. Daarom maak ik voor elke set van dreigingsinformatie een inschatting in hoeverre de set relevant is.
Nieuwe ransomware een dreiging voor Nederland?
Laat ik een voorbeeld noemen om het concreet te maken. Stel je een blogpost voor van een onderzoeker over een nieuwe ransomware variant. De blog bevat technische indicatoren. Hashes van de malware en IP-adressen en domeinnamen van de command & control servers, maar ook het CVE-id van de kwetsbaarheid die de groep gebruikt om toegang te krijgen tot het netwerk van het slachtoffer. Over de criminele groep weet de onderzoeker te melden dat deze zich vooral richt op West-Europa.
Van dreigingsinformatie naar detectie
Relevante informatie of niet? Zeker wel. Ransomware kan enorme schade aanrichten en de criminelen die hierachter zitten, kunnen Nederland best in het vizier hebben. Met zoiets ga ik dus onmiddellijk aan de slag. Ik kijk of de kwaliteit van de indicatoren goed genoeg is om te gebruiken voor detectie. En of ik de informatie kan verrijken door aanvullende bronnen te raadplegen. De informatie over de gebruikte kwetsbaarheid kan ik misschien wel gebruiken om een aanvullende detectiescript of -regel te schrijven. Ik deel alle informatie met onze doelgroepen via het Nationaal Detectie Netwerk (NDN), zodat zij daarmee hun netwerken beter kunnen beveiligen en hopelijk kunnen voorkomen geraakt te worden door de ransomware. De technische indicatoren worden ook automatisch doorgestuurd naar de netwerk sensoren van het NDN.
En actie…
Stel je nu eens voor dat we, dankzij de opgevoerde IP-adressen, netwerkverkeer zien richting een van de C2-servers. Nu gaat de adrenaline pompen! Even checken of het echt geen false positive is, zoals een reeks mislukte inlogpogingen die bij nader inzien niets te maken heeft met een cyberaanval. Dan snel contact opnemen met het Security Operations Center (SOC) van de betreffende organisatie, zodat zij direct verder actie kunnen ondernemen. Van de betreffende IP-adressen blokkeren tot onderzoek naar hun netwerk of zij besmet zijn. Hebben ze daarbij ondersteuning van het NCSC nodig? Dan staan de incident responders van de unit Operatie klaar om uit te rukken. Gelukkig weet het SOC snel het besmette werkstation van het netwerk te isoleren en kunnen ze verdere schade voorkomen.
Incident bij de één, is preventie bij de ander
In deze (hypothetische) casus waren we er dus op tijd bij. We krijgen uit het onderzoek zelfs nog wat aanvullende technische indicatoren die we via het NDN weer aan onze doelgroepen doorgeven. Een incident bij de één is immers preventie voor de ander. Dit is zomaar een kleine greep uit de dingen waar ik als CTI-specialist bij het NCSC mee te maken krijg. En dat alles doe ik natuurlijk niet alleen. Gelukkig maak ik onderdeel uit van een ontzettend leuk team van getalenteerde en gedreven CTI-specialisten waar ik altijd op kan terugvallen. Ons team kan wel wat versterking gebruiken, iets voor jou? Solliciteer dan nu op de vacature.'