CONTACTINFORMATIENIEUWSZOEKENENGLISH
HomeKennisuitwisseling
producten

Deelnemersforum
Op onze bijeenkomsten kunnen ICT-veiligheidsspecialisten kennis en ervaringen uitwisselen over actuele thema’s.

Kennisbank
Onze kennis en ervaring staan tot uw beschikking via mailinglijsten, een uitgebreid archief en relevante documentatie.

cases

Internationale kennisuitwisseling voorkomt schade wormuitbraak

Hacker dringt door tot webserver gemeentedienst
meer informatie
deelnemer worden?
contactinformatie

Bezoekadres:
Wilhelmina van Pruisenweg 104
2595 AN Den Haag
Routebeschrijving

Postadres:
Postbus 84011
2508 AA Den Haag

Telefoon: (070) 888 75 55
Fax: (070) 888 75 50
E-mail: info@govcert.nl
deelnemer aan:

Taranis
30 / 09 / 2009

Click here for an English description of Taranis


Inleiding

GOVCERT.NL kent een waakdienst die 24/7 het internet afspeurt, op zoek naar digitale dreigingen en kwetsbaarheden in software en besturingssystemen. Dit gebeurt door dagelijks ongeveer 900 bronnen te controleren. Relevante nieuwsberichten en e-mails worden geanalyseerd. Op basis van de gevonden informatie publiceert GOVCERT.NL verschillende producten, elk voor een eigen doelgroep: advisories, End-of-Week e-mails, mails naar een interne mailinglijst, alert e-mails en SMS-berichten voor het Nederlandse publiek. De analyses die worden gedaan op basis van de gevonden nieuwsberichten dienen ook als basis voor andere typen producten, zoals factsheets en whitepapers.

Het verwerken en verrijken van deze hoeveelheden informatie, en er vervolgens publicaties van maken, is een inspannende taak. GOVCERT.NL gebruikt hiervoor Taranis. Taranis is door GOVCERT.NL gebouwd en is speciaal ontworpen om de workflow die hoort bij het voorgenoemde aspect van het CERT werk te ondersteunen. De applicatie is specifiek ontwikkeld voor het verzamelen, analyseren en publiceren van informatie. Bij het ontwerpen ervan is continu gedacht aan herleidbaarheid en transparantie.


De vijf fasen van de workflow

GOVCERT.NL verzamelt en verrijkt informatie volgens vijf fasen. Zo worden van relevante nieuwsberichten producten gemaakt, die zijn toegespitst op specifieke doelgroepen. De vijf fasen zijn:

  1. Collect: Verzamel informatie van de bronnen
  2. Assess: Bepaal de relevantie van de informatie en negeer de irrelevante berichten
  3. Analyze: Analyseer de relevante nieuwsberichten en bepaal welke producten er worden gemaakt over welke onderwerpen
  4. Write: Schrijf de producten en onderwerp ze aan het standaard kwaliteitsbewaking proces
  5. Publish: Stuur het product naar de relevante doelgroep

Deze workflow is de basis van Taranis. Bij het ontwerpen van Taranis is nauwkeurig gekeken naar de manier waarop de teamleden de informatiestroom verwerken. Hierdoor is een applicatie ontstaan, die maximale stroomlijning van de workflow ondersteunt.


Uitwerking van de vijf fasen

1. In de “collect” fase wordt nieuwe informatie opgehaald uit de bronnen. Taranis scant dag en nacht zowel web- als mailbronnen om te zien wat de veranderingen zijn. Een geautomatiseerd proces herkent de veranderingen op websites, in mailboxen en RSS feeds en slaat deze op in een database.

2. De verzamelde informatie wordt getoond in de web-interface, waar het GOVCERT.NL team kan bepalen of een nieuwsbericht wel of niet relevant is voor een of meer van haar doelgroepen.

3. Interessante en relevante berichten worden opgenomen in de “analyse” fase. Hier kan een medewerker het bericht nader onderzoeken. Onderzoeksresultaten worden opgeslagen en automatisch voorzien van de datum en tijd van de aanpassing, waardoor een collega later de specifieke details van een analyse kan achterhalen.

4. Wanneer een kwetsbaarheid of dreiging relevant is voor een of meer van de doelgroepen, wordt de analyse overgezet naar de “write” fase. Deze fase wordt gebruikt om de GOVCERT.NL advisories, alert e-mails en SMS-berichten te schrijven, herzien en controleren. De schrijver van een product kan zijn eigen werk niet naar de “publish” fase zetten, waarmee de controleslag wordt afgedwongen.

5. In de “publish” fase worden de producten geschreven die vervolgens worden gepubliceerd via de verschillende kanalen (t.w. websites, e-mail en SMS). Taranis houdt bij welke advisories naar welke e-mailadressen zijn verzonden.



De informatie die is gebruikt binnen de applicatie, is gebaseerd op internationaal aanvaarde standaarden. Kwetsbaarheden worden aangeduid met Common Vulnerabilities and Exposures (CVE) IDs. De softwarelijst is gebaseerd op de Common Platform Enumeration (CPE) lijst. Beide lijsten worden actief onderhouden en ontwikkeld door Mitre. De CVE-lijst wordt gesponserd door de National Cyber Security afdeling van het Amerikaanse Department of Homeland Security. Taranis biedt functionaliteit om de lijsten en de koppeling tussen de twee actueel te houden.


Additionele functionaliteit

Naast de basisonderdelen van Taranis, bevat de applicatie nog een aantal andere functies. Zo kan het overgrote deel van de configuratie worden aangepast in de web-interface. Hiermee kunnen opties worden ingesteld, variërend van de details van een deelnemer, tot de instellingen van de parser die wordt gebruikt bij het analyseren van een website. Een uitgebreid authenticatie raamwerk maakt het mogelijk om gedetailleerde gebruikersrechten toe te kennen en het gebruik ervan te monitoren.

Naast de web-based configuratie biedt Taranis ook toegang tot een diversiteit aan statistieken (zowel extern als Taranis-specifiek) en logbestanden.


Screenshots

Verzamelde nieuwsberichten controleren op relevantie



Mogelijk relevante nieuwsberichten analyseren



Een advisory schrijven



Statistieken

Meer informatie hierover bij:
Mail GOVCERT.NL
producten en rapporten
GOVCERT.NL
- Algemeen
- Achtergrond
- Medewerkers
- PGP-sleutel GOVCERT.NL
- Routebeschrijving
- Deelnemerschap aan GOVCERT.NL
- Jaaroverzichten
- Deelnemende organisaties
- Downloads (English)
- Vacatures
- Deelnemer worden?
- Dienstencatalogus GOVCERT.NL
Preventie
- Beveiligingsadviezen
- Bescherming tegen DDos-aanvallen
Incidentafhandeling
- Coördinatie
- Assistentie
Kennisuitwisseling
- Trendrapport 2009: cybercrime in trends en cijfers
- Kennisproducten
- Films
- Deelnemersforum
- Kennisbank
- References from the Trend Report 2009
- Taranis
- Referenties uit het Trendrapport 2009
- References from the Trend Report 2008
- Referenties uit het Trendrapport 2008
- CERT-in-a-box & Alerting-service-in-a-box
Internationale Partners
- Internationaal netwerk
Nieuws
- Factsheet over de nieuwe Windows kwetsbaarheid en Stuxnet
- Vacature: Specialist informatiebeveiliging
- Vacature: communicatieadviseur