Kennisdeling staat centraal op partner-event over cyber monitoring & detectie

Kennisdeling

Het uitwisselen van kennis stond centraal tijdens deze bijeenkomst en werd ingeleid en aangejaagd door key note speakers en break out sessies. Zo legde keynote speaker Joost Jansen, Head of Cybercrime Management in het CISO office van ABN AMRO, de nadruk op samenwerking als essentieel onderdeel van monitoring en detectie, waarbij deze zo ver mag gaan als het uitwisselen van dreigingsinformatie via sensoren van verschillende organisaties in real-time. Keynote speaker Pepijn Janssen, Founder en CTO van RedSocks Security, liet zien dat het door de ruime beschikbaarheid van (open source) malware componenten veel eenvoudiger is geworden om cyberaanvallen uit te voeren. Daarnaast zijn traditionele ‘endpoint’ oplossingen gericht op preventie steeds minder effectief. Monitoring zal zich moeten verplaatsen naar netwerkcommunicatiepatronen om latere fasen in de ‘cyber kill chain’ te herkennen.

Hoe zit Monitoring en Detectie eruit over vijf jaar?

Een aantal trends en ontwikkelingen zorgt er voor dat security monitoring er over vijf jaar heel anders zal uitzien dan nu. Waar de focus nu nog ligt op traditionele IT infrastructuren zullen we straks andere systemen monitoren, als gevolg van verclouding, het gebruik van de smartphone als primair computing device en de opkomst van het Internet-of-Things. Daarnaast zal het afhandelen van individuele, triviale events in 2022 grotendeels geautomatiseerd zijn, terwijl de nadruk gaat liggen op het herkennen en analyseren van geavanceerde incidenten. Dit stelt hoge eisen aan de security-analisten, die kennis van cyberaanvallen, het eigen netwerk en data-analyse in teamverband moeten zien te combineren.

Breakout sessies: DNS Anomaly Detection, Threat hunting en Internet Badhoods

Er is een beweging gaande naar security monitoring op basis van anomaliedetectie, het detecteren van afwijkingen. Rabobank en TNO presenteerden het systeem dat zij samen hebben ontwikkeld voor real-time anomaliedetectie van DNS verkeer in een bedrijfsnetwerk. Ook ervaringen die hiermee in de praktijk zijn opgedaan zijn gedeeld. Threat hunting is meer en meer in opkomst. Maar wat is threat hunting eigenlijk? Hoe gaat het proces? En wat voor soort tools heb je nodig? ING deelde haar ervaringen vanuit de praktijk. TNO presenteerde onderzoek naar wiskundige analyses en visualisaties die de threat hunter kunnen ondersteunen in zijn rol. RedSocks en TNO verzorgden een break-out sessie over Geo-based Threats and Predictive Badhoods: methoden om ‘slechte buurten’ op het internet te herkennen, die bij security monitoring extra aandacht verdienen. De geanimeerde discussies lieten zien dat het onderwerp tot de verbeelding spreekt en dat hier voor veel partijen nog iets te halen is.

Disruptive Cyber Game

De break-out sessie over Gaming in Cyber wierp een blik in de toekomst. Komend jaar wordt namelijk de ‘Disruptive Cyber Game’ ontwikkeld samen met ING, Rabobank en ABN AMRO. Daarbij wordt gebruik gemaakt van serious gaming concepten die TNO eerder in de logistieke sector heeft toegepast. In deze break-out sessie werden de deelnemers dan ook aangespoord om voor even een stapje buiten de cyberwereld te zetten en in het logistieke domein te ervaren hoe adequate signalering en respons op disruptieve ontwikkelingen ervoor zorgen dat bedrijfsprocessen onverstoord blijven. In de nog te ontwikkelen cybergame zal straks spelenderwijs ervaring kunnen worden opgedaan met de besluitvorming in SOC- en CERT-teams en de effectiviteit en consequenties van keuzes.