‘Aanvallers delen veel informatie met elkaar. Waarom zouden wij dat niet ook doen?’ Coen de Jong is teamlead van het Computer Emergency Response Team (CERT). Niet alleen binnen KPN werken hij en z’n collega’s intensief samen met andere securityspecialisten om KPN veilig te houden, ook erbuiten. Hun taak in het hele securityspectrum? Bedreigingen tijdig identificeren, isoleren, mitigeren én zorgen dat de organisatie – inclusief de klanten op ons netwerk – goed beschermd is.
Met enkele tientallen mensen, verdeeld over 5 teams, zorgen Coen en zijn collega’s ervoor dat aanvallers niet onopgemerkt blijven en incidenten razendsnel opgevolgd kunnen worden. Onder het Blue team vallen het CERT, het Security Operations Center (SOC), de Abusedesk en het Loket Security Services, en sinds kort een virtueel Threat intelligence-team. Waar het SOC visueel wellicht het meest tot de verbeelding spreekt – met grote schermen vol streamende cijfers in een streng beveiligd commandocentrum – is het Threat intelligence-team nog het meest state-of-the-art. Want terwijl de andere specialisten vooral defensief te werk gaan, gaan deze securityspecialisten proactief op zoek naar mogelijke bedreigingen. En dat is spannend werk. Zo hebben ze wereldwijd contact met de andere ‘goeien’ en infiltreren ze in hackersnetwerken. Samen met het Red team van KPN (lees het interview met Mark van het Red team) vormen ze een Purple team.
Samenwerken
De termen Blue en Red team komen van het Amerikaanse leger, waar in simulaties Blue zorgt voor de verdediging en Red voor de aanvallen. Het Purple team hebben ze daar zelf aan toegevoegd: Blue en Red werken in dit team samen aan kennisontwikkeling en het uitwerken van aanvalsscenario’s. Coen de Jong: ‘Tijdens een gesimuleerde aanval kijken wij mee over de schouders van de ethical hackers van het Red team. Hoe houden onze systemen zich, krijgen we de juiste triggers en meldingen door en weten we hoe we moeten reageren op deze aanval?’
‘Natuurlijk, we kunnen de verdediging als Blue team niet alleen doen,’ gaat Coen verder. ‘De organisatie als geheel is verantwoordelijk voor de beveiliging van de eigen systemen, tijdige patches en de juiste configuraties. Daar krijgen ze overigens wel hulp bij, van ons interne loket Security Services. Die zorgen voor de onboarding op bijvoorbeeld het vulnerabilitymanagement of de endpointprotection.’
Landelijke oefeningen
‘Als Blue team vormen wij de laag erboven. Komt een aanvaller toch door de reguliere beveiliging, dan nemen wij de aanval waar en slaan we ‘m af. We noemen onszelf daarom de digitale brandweer van KPN. Net als de brandweer oefenen we veel en doen we ook mee aan grootschalige landelijke oefeningen. Denk aan ISIDOOR van de Rijksoverheid.’ Het Threat Intelligence-team werkt eveneens landelijk samen en wisselt bijvoorbeeld IP-reeksen uit die criminelen gebruiken met andere grote organisaties of telecomaanbieders. ‘Daarnaast verzamelen we ook informatie over tactieken, procedures en infrastructuren van aanvallers. Nemen we een aanvaller waar, dan delen we diens aanpak en infrastructuur met andere organisaties.’ Ook werken ze samen in communities als de Circle of trust.
Slim geautomatiseerd
De dagelijkse analyse van de ongeveer 40 miljard events – en dat zijn alleen nog maar de events op de onpremise omgevingen, nog zonder de cloud dus – gebeurt in het SOC. Al die events, hoe onschuldig de meeste ook zijn, zul je moeten analyseren op afwijkingen die kúnnen duiden op securitybedreigingen. Vanwege de grote hoeveelheid events is het werk geautomatiseerd met onder meer detectieregels, usecases en de AI-tool Copilot for Security. Signaleert het SOC een afwijking, dan wordt het CERT ingezet om zo snel mogelijk de impact van een incident te beperken.
Denken als een aanvaller
‘Ons netwerk, het netwerk van KPN, is zó groot,’ besluit Coen. ‘We komen tot in de woonkamers van zowat alle Nederlanders. Wat wij als Blue team beschermen is uniek. Denk aan 112 of het grootste mobiele netwerk van Nederland. De hele dag door hebben we te maken met DDOS-aanvallen en mitigeren we aanvalsverkeer. Ook van aanvallers die bovendien zo stil mogelijk proberen te zijn. Ze doen zich liefst voor als iemand die bij ons werkt en proberen credentials van collega’s te stelen. Willen wij aan de bal blijven, dan moeten we denken als een aanvaller. Zodat we ze steeds een stap voor blijven.’
Geleerde lessen van Coen
- ‘Als iemand ons succesvol kan hacken, en dat netjes meldt, dan krijgen deze bountyhunters geen geld – je wilt het niet aanmoedigen – maar wel de swag, de erkenning. Ze helpen ons toch ons netwerk veilig te houden.’ Daarom geven wij t-shirts weg als iemand aan kan tonen dat het lukt om succesvol bij onze systemen binnen te komen en dit bij ons meldt.
- Ga aan de slag met incident response plannen binnen je organisatie. Sommige organisaties, waaronder die van ons hebben uitgebreide disaster recovery plannen, maar vaak wordt er niet naar incident response plannen gevraagd. Wij hebben deze geïntroduceerd waardoor we veel beter georganiseerd incidenten oppakken en zo efficiënter te werk gaan. Iedereen weet voor een incident al van elkaar wat ze kunnen verwachten. Zo ben je veel beter in staat een incident snel te bestrijden.
De 4 A’s van security en hoe dat jou kan helpen
Net als veel andere organisaties hebben wij te maken met grote securityuitdagingen, zoals een tekort aan securityspecialisten en een steeds grotere aanvalsoppervlakte door AI. Omdat wij zorgen voor het netwerk van Nederland is onze verantwoordelijkheid extra groot. Daarom delen we onze securityaanpak en -strategie met de 4 A’s: adaptive, automate, aware en assure. Benieuwd wat jij daaraan hebt? Neem contact op.
