NIDS (Network Intrusion Detection System)

Met behulp van de NIDS kunnen we realtime bedreigingen en aanvallen detecteren. We sluiten de SIDN CyberSterk-box hiervoor aan op een SPAN-poort binnen het bedrijfsnetwerk, op het koppelvlak van het interne netwerk naar de buitenwereld. Hierdoor kan de box het dataverkeer monitoren en verdachte activiteiten in kaart te brengen. We kijken hierbij niet inhoudelijk naar het dataverkeer. We slaan alleen metadata van het verkeer op (bron-ip, doel-ip, poortnummer en URL).

Deze zogenaamde IPfix-flow berichten worden vervolgens versleuteld en naar onze cloudomgeving gestuurd. Daar wordt het verkeer gecategoriseerd en geanalyseerd en tegen een uitgebreide threat-intelligence database aangehouden. Deze database maakt gebruik van een groot aantal threat-intelligence leveranciers en verwerkt meer dan 90.000 updates per 15 minuten. De data wordt gescand op de aanwezigheid van bijvoorbeeld:

• Ransomware;
• Botnets;
• Malware/virussen;
• TOR-netwerkconnecties;
• ADware;
• Bitcoin-miners;
• File-sharing-verbindingen (torrent, emule, etc.);
• …en andere verdachte gedragingen.

Ook kan het platform historische analyses uitvoeren. Elke nacht voert onze cloudomgeving diepgaande analyses van de metadata van de afgelopen 6 maanden, op basis van de meest recente threat-intelligence. Zo detecteren wij ook infecties die eerder plaatsgevonden hebben maar waarover op dat moment nog geen informatie beschikbaar was.