Impuls voor wetenschappelijk onderzoek naar collectieve internetbeveiliging

SIDN en de Universiteit Twente gaan de komende twee jaar in samenwerking het wetenschappelijk onderzoek naar collectieve internetbeveiliging bevorderen. Collectieve beveiliging houdt in dat groepen aanbieders samen automatisch grootschalige bedreigingen als DDoS-aanvallen en malware-infecties kunnen detecteren, analyseren en bestrijden. De tweejarige overeenkomst sluit aan bij het toegepast onderzoek van SIDN Labs op dit gebied en betekent dat ik één dag per week als hoofddocent bij de universiteit ga werken. In deze blog zet ik kort uiteen wat ik versta onder collectieve beveiliging en op welke onderzoeksthema’s ik me de komende 2 jaar zal richten.

Opmerking: Ik gebruik in deze blog twee soorten bronvermelding: hyperlinks voor meer algemene informatie en cijfers tussen vierkante haakjes ([]) voor diepgaande technische literatuur, bijvoorbeeld wetenschappelijke rapporten.

Voorbeeld: proactieve DDoS-bestrijding

Figuur 1 toont een voorbeeld van collectieve beveiliging op basis van metingen, waarbij een groep landelijk vitale aanbieders (waaronder ISP’s, IXP’s, hosting providers, overheidsinstellingen en DDoS-wasstraten) gegevens over DDoS-bronnen verzamelen en delen in de vorm van DDoS ‘fingerprints’. Deelnemende aanbieders gebruiken de PCAPs van DDoS-verkeer om fingerprints te maken en delen deze met de groep. In het voorbeeld in Figuur 1 komt aanbieder SP2 onder vuur van DDoS-aanval A en deelt de fingerprint hiervan met de andere groepsleden (SP1 en SP3), die verkeersfilters instellen om hun infrastructuur te beschermen tegen een mogelijke aanval door A (R1 en R3).

Het delen van DDoS fingerprints heeft als voordeel dat aanbieders sneller pakketfilters kunnen instellen voor DDoS-aanvallen waarmee ze nog niet zijn bestookt, wat normaal onder enorme druk moet gebeuren. Is SP1 bijvoorbeeld het volgende doelwit van DDoS-aanval A en beschikt deze aanbieder niet over A’s fingerprint, dan moeten de operations teams het binnenkomende DDoS-verkeer analyseren, een pakketfilterregel (R1) voor de diverse soorten apparaten in hun netwerk schrijven en deze op hun netwerk invoeren terwijl de beschikbaarheid van SP1’s diensten mogelijk al verslechterd is. De fingerprint van A geeft SP1 meer tijd om R1 in te voeren, wat de kans om de aanval effectief te bestrijden vergroot.  

Collaborative internet security 1

Figuur 1. Voorbeeld: collectieve aanpak van DDoS-aanvallen

Hoewel aanbieders als SP1 door het delen van DDoS fingerprints een voorsprong hebben, moeten ze zich ook wapenen voor het geval ze daadwerkelijk onder vuur komen te liggen (zoals in het geval van aanbieder SP2). Collectieve beveiliging tegen DDoS-aanvallen door het delen van DDoS fingerprints is een aanvulling op – geen vervanging voor – DDoS-wasstraten zoals de NAWAS of soortgelijke commerciële diensten.

Betere beveiligingstactiek

Het voorbeeld in Figuur 1 illustreert dat collectieve beveiliging deelnemende aanbieders voorziet van betere en meer tijdige informatie, waardoor ze betere beveiligingsbeslissingen kunnen nemen [1] en uiteindelijk de beveiliging en beschikbaarheid van hun diensten verhogen. Dat is belangrijk omdat wij voor steeds meer dagelijkse diensten afhankelijk zijn van het internet. Te denken valt aan elektronisch betalen, energievoorziening, hulpdiensten en de IoT-apparaten in ons huis [13]). Uitval of verstoring hiervan kan leiden tot ernstige maatschappelijke ontwrichting en financieel verlies.

Collectieve beveiliging is ook van belang omdat een ‘ieder voor zich’ aanpak (waarbij aanbieders alleen beschikken over eigen informatie en beveiligingsvoorzieningen) steeds ontoereikender wordt [1]. Aanvallen muteren steeds sneller (onder andere door snel muterende soorten malware [7]), groeien steeds sneller (het aantal met Mirai besmette apparaten verdubbelde in slechts 75 minuten [3]), en het kost tijd om oplossingen voor zero-day aanvallen te ontwikkelen. Bovendien is het internet in de kern een samenwerking tussen meer dan 60.000 autonome netwerken zonder overkoepelende autoriteit. De enige manier waarop aanbieders het systeem als geheel kunnen beveiligen is dan ook door samenwerking.

Beter beveiligde infrastructuur

Het doel van ons werk is om groepen aanbieders in staat te stellen om hun infrastructuur beter te beveiligen door hun gegevens over een bepaald incident met de groep te delen, collectief te analyseren en gezamenlijk bestrijdingsstrategieën te ontwikkelen. Wij richten ons hierbij op geautomatiseerde tools ter ondersteuning van dit proces en op grootschalige internetincidenten, zoals DDoS-aanvallen vanaf IoT-apparaten, malware-verspreiding door IoT-apparaten [7], ransomware-aanvallen en DNS-kaping.

Een belangrijke inspiratiebron hiervoor is het concept van het internet als ‘knowledge plane’ [2], een automatisch en intelligent internet-breed systeem dat het gegevensvlak van het internet herconfigureert op basis van metingen van een bepaald incident vanaf meerdere locaties (observatiepunten), bijvoorbeeld om beveiligingsredenen. Een recent voorbeeld van zo’n multi-locatie analyse van een bedreiging is het werk van Antonakakis et al. [3], die een ‘post mortem’ analyse uitvoerde van de Mirai-botnet aanval op DNS-operator Dyn in oktober 2016. De aanval vond plaats vanaf ongeveer 600.000 geïnfecteerde IoT-apparaten en leidde ertoe dat diverse klanten van Dyn onbereikbaar werden (waaronder Twitter, GitHub en PayPal). De auteurs combineerden acht verschillende gegevensbronnen (telnet honeypots, passieve DNS-patronen en DDoS-patronen) verspreid over tien verschillende locaties. Ze constateerden bijvoorbeeld dat de Mirai-infecties geconcentreerd waren in een beperkt aantal autonome systemen (de top tien vertegenwoordigde 44% van de Mirai-infecties) en identificeerden de verschillende soorten DDoS-aanvallen die Mirai genereerde (waaronder volumetrische en TCP-poort uitputting). Dit soort informatie helpt aanbieders om filterregels voor hun verkeer te schrijven. De auteurs stelden ook vast dat de botnet werd aangestuurd door drieëndertig besturingsclusters, wat nuttig is voor de opsporing en vervolging van daders.

Als uitgangspunt voor ons werk richten wij ons op diverse bestaande en nog verder te ontwikkelen collectieve beveiligingsinitiatieven en -systemen, die de haalbaarheid van en noodzaak voor samenwerking op dit moment benadrukken. Voorbeelden zijn de DDoS-radar (het onderling delen van DDoS fingerprints tussen vitale aanbieders in Nederland), AbuseHUB (het automatisch delen van botnetgegevens tussen dertien Nederlandse ISP’s en hosting providers), en SIDN’s samenwerking met het Nederlandse Fraudehelpdesk (het automatisch delen van informatie over voor phishing misbruikte .nl domeinnamen).

Onderzoeksuitdagingen

Onze algemene onderzoeksuitdaging is het ontwikkelen, testen en evalueren van gedistribueerde systemen die het groepen aanbieders makkelijk maken om samen te werken bij verschillende soorten grootschalige incidenten (bijvoorbeeld DDoS-aanvallen en malware-verspreiding) die de veiligheid en stabiliteit van hun diensten in gevaar brengen.

Figuur 2 geeft een algemeen overzicht van de functies die wij voor ogen hebben, waarbij Figuur 1 als voorbeeld wordt gebruikt: meetlocaties (MS) onder controle van de aanbieders in de groep, een Joint Threat Analysis (JTA) functie en een Joint Strategy Generation (JSG) functie. De JTA combineert meerdere metingen vanaf verschillende locaties en brengt het incident zo in kaart, net als bij Antonakakis’ offline analyse van de Mirai-botnet maar dan geautomatiseerd. De JSG gebruikt de collectieve analyse van de bedreiging om abstracte bestrijdingsstrategieën af te leiden die aanbieders aanpassen aan hun eigen infrastructuur. Dit kan bijvoorbeeld door strategieën te vertalen naar Snort-filterregels of configuratiecommando’s voor specifieke routing-apparatuur om verweer te bieden tegen DDoS-aanvallen. Als voorbeeld toont Figuur 2 3 meetlocaties (MS1-MS3). De JTA en JSG kunnen centraal, decentraal of in een combinatie hiervan worden opgesteld, afhankelijk van de behoeften van de aanbiedergroep.

Collaborative internet security 2

 Figuur 2. Collectieve beveiligingsfuncties

Specifieke uitdagingen waar wij ons in de context van Figuur 2 op zullen richten zijn:

  • Multi-locatiemetingen:

    hoe kunnen incidenten als DDoS-aanvallen of malware-verspreidingen automatisch vanaf verschillende heterogene locaties (bijvoorbeeld MS1-MS3) worden gemeten zodat een compleet beeld ontstaat? Hiervoor zijn gestandaardiseerde methoden nodig om de metingen en gebruikte methodieken te beschrijven (zoals d.m.v. TAXII, IODEF [5], of DOTS [15]). SIDN Labs’ en UT’s ervaring met grootschalige metingen bij onder meer DDoS-aanvallen [10], misbruik van domeinnamen [9] en

    de rollover van DNSSEC-sleutels speelt hierbij een grote rol.

  • Collectieve bedreigingsevaluatie:

    hoe kunnen groepen aanbieders metingen vanaf meerdere locaties op een schaalbare manier analyseren en breder inzicht krijgen in een bepaald incident? Dit vereist ook beleidsinstrumenten om de privacy van meetgegevens te beschermen en vast te leggen hoe groepsleden deze gegevens kunnen gebruiken. Daarnaast zijn er mechanismen voor groepsauthenticatie en ‑autorisatie nodig om meetgegevens en conclusies veilig uit te wisselen (bijvoorbeeld op basis van het Service Provider Group concept [8]). Tenslotte is gezamenlijke evaluatie van bedreigingen belangrijk om inzicht te krijgen in de evolutie van bedreigingen. Collectieve bedreigingsevaluatie is ook een aandachtsveld op de onlangs gepubliceerde Nederlandse Nationale Cybersecurity Research Agenda.

  • Collectieve strategieontwikkeling:

    hoe kunnen abstracte bestrijdingsstrategieën worden afgeleid die groepsleden kunnen aanpassen aan hun eigen infrastructuur? Hierbij valt te denken aan standaardregels voor het filteren van upstream verkeer of de dynamische omleiding van DNS-verkeer via anycast tijdens aanvallen, en het beperken van uitgaand verkeer van besmette IoT-apparaten in edge-netwerken. Een ander aandachtspunt bij gedistribueerde bestrijding is hoe collectieve bedreigingsanalyses kunnen worden gebruikt voor attributie, zoals het verzamelen van fingerprints van DDoS-aanvallen (zie Figuur 1) over een langere periode om daders op te sporen en te vervolgen.

  • Evaluatie:

    hoe kan empirisch worden gemeten in hoeverre collectieve beveiliging bijdraagt aan een veiliger en stabieler internet? Daarvoor is pilotonderzoek op hogere niveaus op de

    Technology Readiness schaal

    nodig (globaal TRL 5 tot 7) voor specifieke soorten bedreigingen (zoals DDoS-aanvallen of malware-verspreiding) en specifieke typen bedreigingsevaluatie en strategieontwikkeling.

  • Inzet:

    wat voor een mogelijkheden zijn er om het makkelijk te maken voor aanbieders om collectieve beveiligingssystemen in te zetten? Er moeten ‘kookboeken’ komen om aanbieders te helpen groepen op te richten. Andere onderwerpen die hierin aan de orde moeten komen zijn richtlijnen voor technische systemen, wanneer welke informatiedelingsprotocollen en -formaten moeten worden gebruikt [5], organisatie- en processchema’s, ‘best practice’ uit andere sectoren en landen (bijvoorbeeld uit de Nederlandse banksector [11]), de strategische overwegingen die beïnvloeden wanneer een aanbieder bepaalde beveiligingsinformatie deelt [6], en afstemming met gedragscodes binnen de sector, zoals voor het bestrijden van botnets [14] of DINL’s voorstel voor een

    sectorbreed anti-misbruikbeleid in Nederland.

Ook willen wij onderzoeken hoe collectieve beveiliging in het internet van de toekomst zal werken, zoals in een manynet-scenario [4] of bij internetten die niet op TCP/IP gebaseerd zijn, maar bijvoorbeeld op SCION [12].

De onderzoeksresultaten worden vanzelfsprekend gepubliceerd om de operationele en wetenschappelijke gemeenschap te helpen om collectieve beveiliging te bevorderen, onder meer door open source programma’s, open data, open protocollen en wetenschappelijke rapporten.

Toegepast en wetenschappelijk onderzoek

Ik ben van plan om het onderwerp collectieve beveiliging vanuit twee verschillende hoeken te benaderen. Ten eerste door middel van toegepast onderzoek in mijn rol als manager van SIDN Labs en ten tweede via wetenschappelijk onderzoek in mijn nieuwe rol als parttime hoofddocent bij de Universiteit Twente (één dag per week). Onder die laatste rol valt ook het ontwikkelen van nieuwe medegefinancierde onderzoeksprojecten, het doceren van modules (bijvoorbeeld Security Services for the IoT), het begeleiden van studenten en het leveren van bijdragen aan wetenschappelijke rapporten en conferenties. Ik ga werken bij de Design and Analysis of Communications Systems (DACS) groep onder leiding van Prof. Aiko Pras.

Feedback

Als je geïnteresseerd bent in dit onderwerp en wil samenwerken op het gebied van collectieve beveiliging, stuur me dan een mail of neem telefonisch contact op.

Dankwoord

Dank aan Giovane Moura (SIDN Labs), Moritz Müller (SIDN Labs), Jair Santanna (Universiteit Twente), Aiko Pras (Universiteit Twente) en Marco Doeland (Betaalvereniging Nederland) voor hun feedback op deze blog, die me heeft me geholpen om verbeteringen aan te brengen.

Literatuurlijst

  1. Meng, Y. Liu, J. Zhang, A. Pokluda, R. Boutaba, “Collaborative Security: A Survey and Taxonomy”, ACM Computing Surveys, Vol. 48, Issue 1, September 2015, http://www.ntu.edu.sg/home/yangliu/csur.pdf

  2. D. Clark, C. Partridge, J.C. Ramming, and J.T. Wroclawski, “A Knowledge Plane for the Internet”, SIGCOMM’03, August 25–29, 2003, Karlsruhe, Germany

  3. Antonakakis, T. April, M. Bailey, M. Bernhard, E. Bursztein, J. Cochran, Z., Durumeric, J. A. Halderman, L. Invernizzi, M. Kallitsis, D. Kumar, C. Lever, Z. Ma, J. Mason, D. Menscher, C. Seaman, N. Sullivan, K. Thomas, and Y. Zhou, “Understanding the Mirai Botnet”, 26th USENIX Security Symposium, 2017, https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-antonakakis.pdf

  4. Ammar, “Ex uno pluria: The Service-Infrastructure Cycle, Ossification, and the Fragmentation of the Internet”, ACM SIGCOMM Computer Communication Review, Vol. 48, Issue 1, January 2018, https://ccronline.sigcomm.org/2018/ccr-january-2018/ex-uno-pluria-the-service-infrastructure-cycle-ossification-and-the-fragmentation-of-the-internet/

  5. Kampanakis, “Security Automation and Threat Information-Sharing Options”, IEEE Security and Privacy, Vol. 12, Issue No. 05, Sep-Oct 2014, pp 42-51

  6. Laube and R. Böhme, “Strategic Aspects of Cyber Risk Information Sharing”, ACM Computing Surveys, Vol. 50, Issue 5, 2017

  7. Kolias, G. Kambourakis, A. Stavrou, and J. Voas, “DDoS in the IoT: Mirai and Other Botnets”, IEEE Computer, July 2017

  8. Gommans, J. Vollbrecht, B. Gommans - de Bruijn, C. de Laat, “The Service Provider Group Framework; A framework for arranging trust and power to facilitate authorization of network services”, Future Generation Computer Systems, Vol.45, pp 176-192, Mar 2015, http://www.delaat.net/pubs/2015-j-2.pdf

  9. Korczynski, M. Wullink, S. Tajalizadehkhoob, G.C.M. Moura, A. Noroozian, D. Bagley, C. Hesselman, “Cybercrime After the Sunrise: A Statistical Analysis of DNS Abuse in New gTLDs”, ACM Asia Conference on Computer and Communications Security (AsiaCCS 2018) Incheon, Korea, June 2018, https://www.sidnlabs.nl/downloads/papers-reports/asiaccs2018-submitted.pdf

  10. Moura, R. de O. Schmidt, J. Heidemann, W. de Vries, M. Muller, L. Wei, and C. Hesselman, “Anycast vs. DDoS: Evaluating the November 2015 Root DNS Event”, ACM Internet Measurement Conference (IMC 2016), Nov 2016, https://www.sidnlabs.nl/downloads/papers-reports/imc2016.pdf

  11. Doeland, “Collaboration and the sharing of information help reduce payment transactions fraud”, Journal of Payments Strategy & Systems, Vol. 11, No. 1 2017, pp. 81–85, https://www.betaalvereniging.nl/wp-content/uploads/Artikel_Journal-of-payments-strategy-by-M-Doeland_11_1.pdf

  12. Barrera, L. Chuat, A. Perrig, R.M. Reischuk, P. Szalachowski, “The Scion Internet Architecture”, Communications of the ACM, June 2017, Vol. 60 No. 6, Pages 56-65, https://cacm.acm.org/magazines/2017/6/217735-the-scion-internet-architecture/abstract

  13. Apthorpe, D. Reisman, N. Feamster, “A Smart Home is No Castle: Privacy Vulnerabilities of Encrypted IoT Traffic”, Workshop on Data and Algorithmic Transparency (DAT '16), New York University Law School, November 2016, https://arxiv.org/abs/1705.06805

  14. K. E Silva, “How industry can help us fight against botnets: Notes on regulating private-sector intervention”, International Review of Law, Computers & Technology, 31(1), 2016, https://www.tandfonline.com/doi/abs/10.1080/13600869.2017.1275274

  15. Dobbins, D. Migault, S. Fouant, R. Moskowitz, N. Teague, L. Xia, and K. Nishizuka, “Use cases for DDoS Open Threat Signaling”, Internet Draft, draft-ietf-dots-use-cases-16, July 2018, https://www.ietf.org/id/draft-ietf-dots-use-cases-16.txt

Reacties

Cristian_Hesselman

Cristian Hesselman

Directeur SIDN Labs

+31 6 25 07 87 33

cristian.hesselman@sidn.nl

  • dinsdag 28 november 2017

    Nieuws

    Is alles wat op internet staat waar?

    Thumb-kids-telephone

    Leerlingen zijn minder digitaal vaardig dan ze zelf denken

    Lees meer
  • dinsdag 28 november 2017

    Nieuws

    Hoge waardering voor onze dienstverlening

    Thumb+klanttevredenheid

    Registrars waarderen ons met een 8.0

    Lees meer
  • maandag 28 mei 2018

    Nieuws

    “Privacy is een kans, geen administratieve last”

    Thumb-padlock-people

    Beter omgaan met de AVG dankzij Privacy Designer

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.