Gijs Rijnders
Gijs werkt als Cyber Threat Intelligence-specialist bij SURF aan projecten om instellingen veiliger te maken. Bijvoorbeeld de ontwikkeling van netwerksensoren voor SURFsoc en SURFcert helpen om hun tools te verbeteren. Daarnaast werkt Gijs bij de Nationale Politie om de organisatie cyberweerbaar te maken tegen dreigingen als ransomware en statelijke actoren.
Sessie
Het landschap van middelen om cyberdreigingen te detecteren wordt steeds uitgebreider. Endpoint detection is populair en effectief, maar een aanvaller kan dit ook omzeilen. Daarom is een Network Intrusion Detection System (NIDS) onmisbaar om volledig zicht te krijgen op verdachte activiteit in je netwerk. Zo'n NIDS is meestal gebaseerd op een netwerksensor, een systeem wat een kopie krijgt van (een deel van) het verkeer in je netwerk. Dit systeem analyseert het verkeer in real-time en slaat alarm als er verdachte activiteit wordt gedetecteerd.
Een netwerksensor zorgt ervoor dat je overal in je netwerk een oogje in het zeil kunt houden, maar het brengt ook uitdagingen met zich mee. De capaciteit van netwerken groeit gestaag en gebruikers maken daar steeds meer gebruik van. De sensor moet krachtig genoeg zijn om die groei aan te kunnen zonder op de kwaliteit van detectie in te leveren. Een aanvaller kan zich op een onverwachte plek in het netwerk nestelen. Als instelling zou je geen afweging moeten hoeven maken welke segmenten van je netwerk je in de gaten houdt en welke niet. SURF is daarom bezig met een pilot om high-performance netwerksensoren te ontwikkelen voor SURFsoc Next-Gen. Het doel? Netwerk-gebaseerde detectie van cyberdreigingen naar een hoger niveau brengen. We bouwen een netwerksensor die aangesloten kan worden met 100Gbit/s en minstens 25Gbit/s betrouwbaar kan analyseren.
In deze sessie gaan we in op de uitdagingen van netwerkdetectie bij grote hoeveelheden verkeer. Hoe we de hardware hebben geselecteerd, hoe de sensor eruit ziet en welke mooie resultaten we hebben behaald.