9/11: de opkomst van detectie & respons

De terroristische aanval op de WTC-torens in New York en het Pentagon in Washington op 9/11 heeft de informatiebeveiliging voor altijd veranderd. Hierdoor kwam er een focus te liggen op detectie en respons. ‘Prevent, detect, respond’ is de nieuwe dimensie waarin cybersecuritymaatregelen worden uitgelegd. ‘People, process, technology’ was het onderwerp van mijn vorige column. Omdat de standaardinvulling hiervan eigenlijk volledig uit preventieve maatregelen bestaat, zijn detectie en respons daarin ondervertegenwoordigd.

Vijfentwintig jaar geleden was detectie in de standaarden geen onderdeel van security. De meest verwante securitymaatregel was de verplichting om te loggen. Maar er stond in standaarden niets over het monitoren ervan, laat staan dat ‘alerting’ beschreven was. Het werd wel gedaan, door ‘system administrators’ als onderdeel van ‘system support’.

Na 9/11 investeerden geheime diensten in kennis en kunde om in systemen in te kunnen breken. Op het moment dat je ziet hoe makkelijk dat is, vraag je je af of zo’n aanval bij jou ook mogelijk is. En dat bleek zo te zijn. Onderzoekers vinden sporen van activiteiten van verschillende groeperingen die proberen in cyberspace aan te vallen. Sommigen zijn moeilijk te vinden. De een na de andere zogenaamde ’Advanced Persistent Threat’ wordt ontdekt. Allemaal georganiseerde bendes, veelal met directe banden met een nationale regering.

De eerste grote doorbraak is er een van westerse bodem: Stuxnet. Samen met Maarten Hartsuijker schreef ik daar eind 2010 nog een artikel over in dit blad. Kim Zetter schreef er later een boek over, Countdown to Zero Day.

Rond deze tijd kwam ook de Security Information and Event Management (SIEM) op als nieuwe productcategorie. In theorie een heel sterk concept: als analyse van één logbestand bewijs voor een cyberaanval kan leveren, dan kan het combineren van informatie uit meerdere logbestanden eerder en duidelijker aantonen wat er fout zit. Een SIEM kan duizenden, zelfs miljoenen logregels doorwerken en alerts uitbrengen op verdachte situaties. Maar een verdachte situatie is niet per se een cyberaanval. Dit kan lastig zijn om te bevestigen. Hierop volgt de opkomst van een specialistisch bureau om vast te stellen wat er aan de hand is en of een alert daadwerkelijk een kwaadaardige aanval betreft. Dit bureau krijgt de naam ‘Security Operations Center’, ofwel een SOC.|

En als je detecteert moet je ook reageren, ‘respond’. Cyberrespons werd al veel eerder erkend als een noodzakelijke ‘capability’, al na de Morris-worm (1988). Toen richtte Carnegie Mellon University het CERT/CC op. CERT staat voor ‘Computer Emergency Response Team’, ook wel CSIRT genoemd, ‘Computer Security Incident
Response Team’.

Toch was ook hier de focus op terrorisme nodig om het CERT gemeengoed te maken. In 2002 richtte de Nederlandse Overheid GovCERT op als dienst onder Binnenlandse Zaken, wat in 2012 opging in het NCSC, onder het NCTV. Sinds 2019 is het NCSC een zelfstandige dienst van Justitie en Veiligheid. Jaarlijks brengt het een nieuwe versie uit van het rapport ‘Cybersecuritybeeld Nederland’. In 2003 richtte de Amerikaanse overheid de US-CERT op. De UK liet het allemaal nog vrij lang vallen onder CGHQ en richtte in 2013 CERT-UK op, dat in 2016 opging in het Engelse NCSC.

Vandaag de dag werken SOCs en CERTs veel proactiever en structureler aan detectie van en respons op cyberaanvallen. Daar ga ik het de volgende keer over hebben.

Lex Borger
security consultant bij Tesorion en oud-hoofdredacteur van iB-Magazine.
Lex is bereikbaar via lex.borger@tesorion.nl

Deze column verscheen in IB4-2023.