Tekst BKB
Foto Hollands Hoogte

Het Nationaal Detectie Netwerk (NDN) is een belangrijk netwerk om de Rijksoverheid en organisaties waar vitale processen draaien te beschermen tegen cyberdreigingen. Het NDN is een samenwerkingsverband tussen het NCSC en andere organisaties, waaronder bijvoorbeeld de politie en de Waterleiding Maatschappij Limburg (WML). In het NDN wordt dreigingsinformatie verzameld, gedeeld en verrijkt. “Het is een netwerk, en geen dienst of product,” zegt Roxane Kortland, projectleider NDN voor de Rijksoverheid. Het gaat niet alleen om het delen van dreigingsinformatie met de doelgroep, we willen samen sterker en weerbaarder zijn en dit is hét kanaal om dat te doen.”

Deelnemers, geen afnemers

Het woord netwerk is veelzeggend voor het NDN. “Het NDN is echt een samenwerkingsverband tussen de Rijksoverheid en vitale partijen,” zegt Kortland. Het doel is om deze partijen weerbaarder te maken, maar ook om van elkaar te leren. Partijen die worden aangesloten op het NDN worden dan ook deelnemers genoemd: “Het zijn geen klanten, er wordt actieve deelname gevraagd,” aldus Kortland. Zo wordt er bijvoorbeeld van deelnemers verwacht dat ze meldingen uit het NDN zelf opvolgen en begrijpen.

Threat intelligence

Het NDN werkt zo goed omdat het gebaseerd is op transparantie en samenwerking. “De dreigingsinformatie die in het netwerk wordt gestopt is inzichtelijk voor de deelnemers met een sensor. Het NDN is dan ook meer een parapluterm”, zegt Anton Jongsma, Cyber Threat Intelligence specialist bij het NCSC. “Wij hebben veel bronnen waar we dreigingsinformatie van verzamelen. Via cybersecurity analisten, commerciële partijen en open bronnen. En er komt ook allerlei informatie binnen via de samenwerkingsverbanden waar het NCSC aan deelneemt.” Al deze informatie wordt gebundeld op het threat intelligence platform. Deelnemers van het NDN kunnen hierop inloggen en alle dreigingsinformatie inzien.

“Zo kijken we bijvoorbeeld naar statelijke actoren en naar zwaardere criminelen en nemen we onder andere de ransomware trend zeer serieus.”

Om de informatie relevant te maken voor de doelgroep maakt het NCSC een selectie van alle informatie die binnenkomt. Dat gebeurt deels geautomatiseerd en deels handmatig. “Wij selecteren dreigingsinformatie die relevant is voor onze doelgroepen. Deze informatie verrijken we dan door bronnen te combineren, in te zien door alle deelnemers van het NDN. We kijken bijvoorbeeld naar statelijke actoren en zwaardere criminelen. Zo nemen we onder andere de ransomware trend zeer serieus, waar bijvoorbeeld bij de Universiteit Maastricht mee te maken heeft gehad”, aldus Jongsma.

Eind 2019 drongen hackers het netwerk van de Universiteit Maastricht binnen. De hackers versleutelden via gijzelsoftware - of ransomware - de systemen van de universiteit, waardoor medewerkers en studenten niet bij hun belangrijke bestanden konden. De Universiteit Maastricht betaalde de criminelen een bedrag om de systemen weer te ontgrendelen.

Evil.com

De netwerksensoren van het Nationaal Detectie Netwerk monitoren al het inkomende en uitgaande internetverkeer binnen een organisatie. Het NDN scant op malafide email- en IP-adressen, maar ook domeinnamen. Als een medewerker van bijvoorbeeld de politie naar politie.nl gaat, dan detecteert het NDN dit, maar gebeurt er niets. “Stel bijvoorbeeld dat een medewerker in een mailtje op een link klikt die leidt naar de website ‘evil.com’ en deze website is in het NDN gemarkeerd als onveilig, dan krijgt het cybersecurity team bij de politie een melding, of zoals wij dat noemen een hit,” zegt Jongsma.

Een overheidsorganisatie als de politie krijgt automatisch een hit via de netwerksensoren binnen. Het grote voordeel van deze sensoren is dat ze ook terug kunnen kijken naar internetverkeer in het verleden. Dat betekent dat als er een medewerker naar evil.com surft en bijvoorbeeld een maand later bekend wordt dat dit een statelijke actor betreft, de sensor bij het ontvangen van de informatie alsnog een melding geeft.

Één spatie te veel

Anton Jongsma (NCSC) ziet nog kansen om meer robuuste detectie in te bouwen in het NDN. Er wordt nu gedetecteerd op domeinnamen, email- en IP-adressen. Maar deze zijn ook weer makkelijk te wijzigen door een aanvaller. Een voorbeeld van wat Jongsma met robuuste detectie bedoeld werd vorig jaar omschreven in een blogpost van Fox-IT, een grote partij op het gebied van cybersecurity: “Een analist ontdekte dat er in het netwerkverkeer van Cobalt Strike - software die gebruikt wordt om aanvallen uit te voeren - ergens een spatie te veel stond. Dat is belangrijke informatie, omdat het voor de aanvaller met het domein ‘evil.com’ niet helpt als hij daarna nog een keer aanvalt met een nieuwe domeinnaam, bijvoorbeeld evil2.com of evil3.com. Dat is natuurlijk een voorbeeld, maar een dergelijke fout zou een aanvaller in de praktijk ook kunnen maken. Omdat we in de code van de software zien dat er bijvoorbeeld een spatie te veel staat, zien we welke aanvalstactiek er wordt gekozen en kunnen we de patronen ontdekken van verschillende aanvallers.”

Een wiel

De samenwerking en actieve deelname maakt het NDN juist interessant voor organisaties om deel te nemen. “Omdat er een link wordt gelegd naar andere (overheids)organisaties,” zegt John Graat, cybersecurity specialist bij de politie. ”Bij aanvallen die wij in ons netwerk zien langskomen, kan het NCSC zien of dezelfde soort aanvallen ook bij andere partijen uitgevoerd worden.” Deze uitwisseling van informatie is cruciaal voor het succes van het NDN. “Want criminelen beperken zich meestal niet tot bepaalde organisaties, maar gaan door alle netwerken heen”, aldus Graat.

De politie heeft veel medewerkers en een groot netwerk. Als organisatie zien ze vaak ‘iets’ langskomen. “Er wordt bijna dagelijks wel op de spreekwoordelijke deur geklopt”, zegt John Graat. “Het NDN is een goede tool om in de gaten te houden of we naar aanleiding van een melding verder onderzoek moeten doen. Je kunt niet elke keer dat er op de deur geklopt wordt gaan onderzoeken wie dat dan was. In het NDN kun je bij een melding gelijk zien wat er al bekend is over die specifieke melding doordat er onderzoeksrapporten aan gekoppeld zijn. Is een bepaald IP-adres of domein een bekend crimineel adres? Dan zien we dat en weten we snel of de melding de moeite waard is om op te volgen. Daarnaast vraagt het NCSC ons ook wel eens om een specifieke melding te onderzoeken.”

De verrijkte informatie van het NCSC in het NDN is van grote waarde voor de deelnemers. Maar de deelnemers zijn ook essentieel voor het draaiende houden van het NDN. Een melding bij de ene partij kan helpen om een incident bij de andere partij te voorkomen. “Je moet het zien als een wiel. Het NCSC is de as die het wiel draaiende houdt, terwijl deelnemers de spaken zijn die het wiel versterken,” aldus Graat.

Waterleiding Maatschappij Limburg (WML) was één van de eerste bedrijven in de vitale sector die werd aangesloten op het NDN. Philip Stollman en Theo van Well, die zich bij WML bezighouden met proces-, kantoorautomatisering en cybersecurity, geloofden erin. Zij gebruiken het NDN, naast andere systemen, als belangrijke bron voor hun cybersecurity. “Vanuit het NDN komen meldingen vertraagd binnen. Dat is logisch, want de meldingen zijn gevalideerd en relevant voor de sector waardoor je weet dat de informatie klopt en waardevol is. We vinden het geautomatiseerd terugdelen van de gedetecteerde maar zeker ook de niet-gedetecteerde dreigingspatronen belangrijk zodat je elkaar gaat versterken,” zeggen van Well en Stollman. WML is nauw betrokken bij de doorontwikkeling van het NDN en is een ambassadeur binnen de (vitale) sector.

“Je moet het zien als een wiel. Het NCSC is de as die het wiel draaiende houdt, terwijl deelnemers de spaken zijn die het wiel versterken.”

Korte lijntjes

Toch is er ook nog wat te verbeteren aan het NDN, zegt John Graat. Zo is er weinig contact tussen onderlinge deelnemers: “Neem de metafoor van het wiel, de deelnemers zijn de spaken, maar die hebben onderling weinig met elkaar te maken. Echter, de lijntjes in het cybersecurity wereldje zijn kort. Als ik iets van iemand nodig heb met een bepaald specialisme, dan weet ik diegene altijd wel snel te bereiken via via.”

Het NCSC blijft het NDN doorontwikkelen. Het doel is om de komende jaren meer overheidsorganisaties en vitale bedrijven aan te sluiten en meer te investeren in het uitbouwen van een sterke weerbare community.