NWO kent 1,2 miljoen euro toe aan cybersecurity onderzoek

15 november 2018

Het Bestuur van het domein Exacte en Natuurwetenschappen van NWO heeft vijf aanvragen in de call Joint U.S. - Netherlands Cyber Security Research Programme gehonoreerd. Deze call maakt samenwerking mogelijk tussen onderzoekers werkzaam in Nederland en de U.S. op het gebied van cybersecurity. De call is een samenwerking tussen NWO, het Ministerie van Justitie & Veiligheid en het Amerikaanse Department for Homeland Security, Science and Technology Directorate (DHS S&T).

De volgende vijf voorstellen zijn gehonoreerd (in alfabetische volgorde van auteur):

TROPICS: Timely and RObust Patching of Industrial Control Systems
Prof. dr. ir. H.J. Bos & Prof. dr. C Kruegel
Juist de meeste vitale industrial control systemen (ICS) worden vaak het slechtst beschermd tegen cyber-aanvallen. Hiervoor zijn verschillende, elkaar versterkende redenen. Vaak is het bijvoorbeeld helemaal niet duidelijk is hoe ernstig het veiligheidsprobleem is. Daarnaast kan het installeren van een security-update (als die er al is) er ook toe kan leiden dat je super-essentiële systeem instabiel wordt, bijvoorbeeld omdat de patch bugs bevat. Tenslotte is updaten van een industrial control system een alles-of-niets operatie: je voert de patch helemaal uit (en dan is je systeem beschermd tegen de cyberaanval, maar mogelijk minder stabiel vanwege bugs in de update zelf), of helemaal niet (en dan is je systeem stabiel, maar ben je kwetsbaar voor de aanval). In de praktijk wegen de risico's van instabiliteit zwaarder dan de cyberveiligheidsrisico’s en worden de belangrijkste industrial control systemen niet of pas maanden later ge-update. Met een toenemende afhankelijkheid van ICS/SCADA wordt deze situatie onhoudbaar en het doel van het TROPICS project is dan ook de ontwikkeling van een oplossing waarbij ICS beheerders:
1. kunnen inschatten hoe ernstig een gevonden kwetsbaarheid is zodat duidelijk is hoe urgent tegenmaatregelen zijn,
2. vervolgens kunnen bepalen hoe risicovol de urgente update is voor de stabiliteit van de software,
3. en tenslotte de mogelijkheid hebben om een urgente, maar risicovolle update te vervangen door een veilige tussenoplossing die de mogelijke aanvallen tegenhoudt, maar niet de stabiliteit in gevaar brengt.
Met andere woorden, TROPICS stelt beheerders in staat om te bepalen of er iets aan een veiligheidslek moet worden gedaan en zo ja, dan biedt het ze een alternatieve maar veilige versie van de software die het lek dicht, terwijl de officiële update (door-)ontwikkeld, getest en gedebugt wordt tot ze echt kan worden doorgevoerd.

DEPICT: DEep Packet Intelligence for industrial ConTrol systems
Prof. Dr. Sandro Etalle & Dr. Alvaro A. Cardenas
Zoals recente aanvallen laten zien is betere bescherming van kritieke infrastructuur en andere industriële controle systemen (ICS) essentieel en dit vereist oplossingen die bestaande systemen niet hinderen in hun werking. Dit laatste is zeker voor al bestaande ‘legacy’ systemen onontbeerlijk. Het DEPICT (DEep Packet Intelligence for industrial Control sysTems) project zal nieuwe tools, algoritmen en software ontwikkelen die een betere ‘situational awareness’, i.e. inzicht in de huidige status van het systeem bieden. Dit wordt bereikt door informatie over bedreigingen uit externe bronnen te combineren met analyse van het netwerk verkeer uit verschillende perspectieven. Eerst wordt er met automatische ondersteuning een overzicht gemaakt van de recourses van het system. Dit wordt gelinkt met de gevonden informatie over bedreigingen. Verder wordt semantische informatie geëxtraheerd uit netwerk berichten wordt vergeleken met modellen van het ICS en de processen die hierop draaien. De beheerder wordt zo een beeld geboden van gevaarlijke en onverwachte situaties met voldoende context informatie om hier adequaat op te kunnen reageren. DEPICT is een samenwerking tussen drie partijen met uitgebreide kennis op dit gebied en belangrijke faciliteiten zoals ICS netwerk datasets en test-beds; het Cyber-Physical Security Laboratory van de University of Texas at Dallas (UTD), de security groep van de at Technische Universiteit Eindhoven (TUE) en ICS beveiligings expert SecurityMatters BV.

MINIONS: MitigatINg IOt-based DDoS attacks via DNS
Dr. ing. C. Hernandez Ganan & Dr. D. McCoy
Slechte beveiliging van Internet-of-Things-apparatuur (IoT) vormt een groot veiligheidsrisico voor kritieke internetinfrastructuren en kan tot significante schade leiden. Ter illustratie, Dyn, een grote Domain Name System (DNS) provider, werd getroffen door een grote Distributed Denial-of-Service (DDoS) aanval die gebruik maakte van gehackte IoT apparaten. Als gevolg hiervan werden grote internetdiensten als Airbnb, PayPal, CNN, The New York Times en Twitter deels verstoord. In dit project focussen we op het ontwerpen, bouwen en evalueren van praktische technieken en instrumenten om de bedreiging van DDoS-aanvallen vanaf IoT-apparatuur terug te dringen. De eerste verbetering die we zullen realiseren is het MINION's instrument voor in-home netwerken. Dit instrument maakt gebruik van DNS om geïnfecteerd IoT apparaten te detecteren. De resultaten van deze vorm van detectie zal gebruikt worden voor zowel DNS-gebaseerde filtering en het opschonen van geïnfecteerde IoT-apparatuur. Daarnaast zullen op basis van dit voorstel geautomatiseerde instrumenten gebouwd worden om inzicht in de structuur te krijgen van criminele DDoS-for-hire diensten. Deze kennis zal gebruikt worden om de geldstromen tussen klanten en services te verstoren en andere mogelijk interventies te ontwerpen. Onze technieken en instrumenten zullen we overbrengen naar commerciële anti-DDoS-diensten, online betalingsverleners en threat intelligence bedrijven. Zij kunnen onze praktische mitigatiestrategieën implementeren en daarmee het risico op IoT-gebaseerde DDoS-aanvallen verminderen.

PAADDOS: Planning Anycast for Anti-DDoS
Prof. dr. ir. A. Pras & Prof. J Heidemann
Het Internet of Things brengt naast nieuwe mogelijkheden, ook een aantal problemen met zich mee, met name op het gebied van veiligheid. Recente gebeurtenissen hebben laten zien dat IoT apparaten zich relatief eenvoudig laten lenen voor zeer grootschalige Denial of-Service aanvallen. Eerder onderzoek heeft laten zien dat kleinschalige DDoS aanvallen al een grote impact kunnen hebben op kritieke internetinfrastructuur zoals het Domain Name System (DNS), wat verantwoordelijk is voor het omzetten van domeinnamen in IP-addressen. We werken in dit onderzoek aan het verbeteren van beschermingsmethoden tegen dit soort aanvallen waarbij als verdediging gebruik wordt gemaakt van Anycast. Anycast is een methode om meerdere systemen zich voor te laten doen als een, waarbij de totale capaciteit in het ideale geval de som van de capaciteit van de systemen is. Door de complexiteit van het Internet is het echter niet triviaal om een systeem op dergelijke wijze in te richten. Dit onderzoek richt zich op het ontwikkelen van tools om beheerders van kritieke diensten te helpen om hun systemen zo in te richten dat de weerbaarheid tegen aanvallen zo groot mogelijk is. Daarnaast kunnen deze tools ingezet worden om de capaciteit van het netwerk te optimaliseren tijdens en tegen een specifieke aanval. Het resultaat van dit onderzoek kan bijvoorbeeld toegepast worden op kritieke internetinfrastructuur zoals de DNS. Zodat het Internet blijft werken zoals wij het nu kennen.

MADDVIPR: Mapping DNS DDoS Vulnerabilities to Improve Protection and Prevention
Dr. Anna Sperotto & Dr. Kimberly Claffy
Het Domain Name System (DNS) vervult een cruciale taak op het internet: het vertalen van voor mensen leesbare namen in voor machines leesbare IP adressen. Daarmee ondersteunt DNS vrijwel alle internetdiensten, waaronder mediadiensten en veiligheidsvoorzieningen. Omdat het internet zo afhankelijk is van DNS, zijn Distributed Denial-of-Service (DDoS)-aanvallen gericht op DNS zeer schadelijk. Het doel van het MADDVIPR project is het systematisch in kaart brengen van: 1) kwetsbaarheden in de inrichting van DNS, en 2) aanvalsbronnen, aanvallers en doelwitten van DDoS-aanvallen op het DNS. We brengen deze twee delen van het onderzoek vervolgens bij elkaar om een eenduidig beeld te krijgen van het dreigingslandschap richting DNS. Hiermee kunnen we a) inzicht krijgen in lopende aanvallen tegen DNS, b) inzicht krijgen in kwetsbaarheden en met welke prioriteit deze door DNS operators moeten worden opgelost en c) operators richtlijnen geven om zich tegen toekomstige aanvallen op DNS te wapenen. Dit project brengt unieke databronnen uit eerder onderzoek samen: het OpenINTEL project, wat dagelijks 60% van het wereldwijde DNS bemeet, en internetbrede metingen van CAIDA, waaronder de Network Telescope, een grootschalig zogenaamd \darknet" waarmee op basis van achtergrondruis DDoS aanvallen kunnen worden waargenomen. De schaal van deze datasets is in de orde van tera- tot petabytes per jaar. Aan de ene kant biedt dit een unieke kans om een groot deel van het internet te dekken in de analyse, aan de andere kant zijn er grote uitdagingen te overwinnen in het vinden en combineren van de juiste informatie.

Over de call

De Joint U.S. - Netherlands Cyber Security Research Programme betreft een gezamenlijke call for proposals van NWO, het Ministerie van Veiligheid & Justitie en het Department for Homeland Security, Science and Technology Directorate (DHS S&T). In deze call hebben onderzoekers werkzaam in Nederland in partnerschap met een Amerikaanse mede-aanvrager een voorstel ingediend binnen twee onderzoeksthema’s, te weten Industrial Control Systems / Supervisory Control and Data Acquisition (ICS/SCADA) en Distributed Denial of Service (DDoS) attacks and Domain Name Systems (DNS). Tot 31 augustus 2017 konden onderzoekers aanvragen indienen voor de Joint U.S. - Netherlands Cyber Security Research Programme. In totaal zijn 13 voorstellen beoordeeld, waarvan er 5 aanvragen gehonoreerd zijn.

Contact

Voor meer informatie over de Joint U.S. - Netherlands Cyber Security Research Programme kunt u contact opnemen met Amber Kerkhofs, nwo-cs@nwo.nl.

Bron: NWO