Met enkele tientallen mensen zorgen Coen en zijn collega’s ervoor dat aanvallers niet onopgemerkt blijven en incidenten razendsnel opgevolgd kunnen worden. Coen is tevens onderdeel van Blue team dat de taak heeft het KPN-netwerk te beschermen. Naast CERT bestaat Blue team uit het Security Operations Center (SOC), de Abusedesk, het Loket Security Services en het virtueel Threat intelligence-team. Terwijl andere specialisten vooral defensief werken, zijn deze securityspecialisten proactief op zoek naar bedreigingen. Ze hebben wereldwijd contact met de andere ‘goeien’ en infiltreren ze in hackersnetwerken. “Dat is spannend werk en heel uniek”, zegt Coen. “De hele dag krijgen we DDOS-aanvallen en mitigeren we aanvalsverkeer. Maar willen wij aan de bal blijven, dan moeten we denken als een aanvaller en hen steeds een stap voor blijven.”
Samenwerken
De termen Blue en Red team komen van de werkwijze van Amerikaanse defensieorganisaties. In hun simulaties zorgt Blue team voor de verdediging en Red team voor de aanvallen. KPN heeft dat concept aangevuld met een Purple team, waarin Blue en Red samenwerken aan kennisontwikkeling en aanvalsscenario’s. “Bij gesimuleerde aanvallen kijken wij mee met ethische hackers van Red team. Hoe houden onze systemen zich, krijgen we de juiste triggers en meldingen en hoe moeten we reageren op deze aanval”, zegt Coen terwijl hij uitlegt dat Blue team de verdediging natuurlijk niet alleen kan. “De gehele organisatie is verantwoordelijk voor de beveiliging van systemen, tijdige patches en juiste configuraties. Ons interne loket Security Services helpt daarbij met onboarding van vulnerabilitymanagement of de endpointprotection.”
Landelijke oefeningen
Blue team is de bovenste laag van bescherming. “Wij kunnen aanvallers waarnemen die door de reguliere beveiliging komen, slaan die af en indien nodig delen we die aanpak en infrastructuur met andere organisaties. We zijn de digitale brandweer van KPN, oefenen veel en doen we mee aan grootschalige landelijke oefeningen, zoals ISIDOOR van de Rijksoverheid. Met het Threat Intelligence-team delen we bijvoorbeeld IP-reeksen van criminelen met grote organisaties of telecomaanbieders. Daarnaast verzamelen we informatie over tactieken, procedures en infrastructuren van aanvallers.”
Slim geautomatiseerd
Dagelijks analyseert het SOC van KPN ongeveer 40 miljard (!) events. En dat zijn alleen maar de events op de on-premise omgevingen, dus zonder de cloud. “Al die events, hoe onschuldig ook, zul je moeten analyseren op afwijkingen die kúnnen duiden op securitybedreigingen”, zegt Coen. “Het werk is vanwege de grote hoeveelheid events uiteraard werk geautomatiseerd met onder meer detectieregels, use cases en de AI-tool Copilot for Security. Signaleert het SOC een afwijking, dan wordt het CERT ingezet om de impact ervan zo snel mogelijk te beperken.”
Geleerde lessen
De ervaringen van Coen en zijn team bieden meerdere lessen voor organisaties die werken aan het optimaliseren van hun IT-beveiliging. “Het belangrijkste is dat je binnen je organisatie aan de slag gaat met incident response plannen”, benadrukt Coen. “De meeste organisaties hebben doorgaans meer of minder uitgebreide disaster recovery plannen, maar geen incident response plannen. Toen wij deze introduceerden, konden we incidenten veel beter georganiseerd oppakken en efficiënter te werk gaan. Op die manier weet iedereen al voordat een incident gebeurt, al van elkaar wat ze kunnen verwachten. Zo kun incidenten sneller en effectiever bestrijden.”
(dit artikel verscheen eerder in ITchannelPRO magazine 2024 #05)