Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Werk in uitvoering: het CONCORDIA-platform voor cyberdreigingsinformatie

Onze eerste stappen om de informatiepositie van Europa op het gebied van cybersecurity te verbeteren

  • vrijdag 25 september 2020

Auteurs: Marco Caselli (Siemens AG), João Ceron (SIDN Labs), Christian Keil (DFN-CERT), Jan Kohlrausch (DFN-CERT), Cristian Hesselman (SIDN Labs) We bespreken CONCORDIA's visie voor een sectoroverschrijdend, pan-Europees platform voor het verzamelen, analyseren en delen van cyberdreigingsinformatie. Het platform combineert datasets die in verschillende delen van het project worden opgebouwd.

Wat is cyberbedreigingsinformatie?

Cyberdreigingsinformatie kan worden gedefinieerd als het proces van het halen van kennis uit data over bedreigingen van een digitale omgeving. De data gaat bijvoorbeeld over aanvalstechnieken, ‘indicators of compromise’ en kwetsbaarheden en is vaak afkomstig uit meerdere bronnen. Cyberdreigingsinformatie ondersteunt de besluitvorming op het gebied van cybersecurity en is in de kern collaboratief en gebaseerd op daadwerkelijke data uit het veld.

CONCORDIA’s aanpak

De 2 sector-overstijgende pilots in CONCORDIA ('Building a Threat Intelligence for Europe' en 'Piloting a DDoS Clearing House for Europe') ontwikkelen de basisbouwstenen voor een pan-Europees en cyberinlichtingenplatform, dat conceptueel een centraal punt vormt voor alle diensten binnen het CONCORDIA-ecosysteem die dit soort informatie nodig hebben.

We ontwikkelen het CONCORDIA-informatieplatform op basis van 3 basisprincipes:

  • Multi-source: het platform maakt gebruik van meerdere datasets die beschikbaar zijn via uiteenlopende technologieën en via verschillende interfaces (bijvoorbeeld 2 clearinghouses en hun interfaces voor datamanagement).

  • Combinatie van datasets: het platform gebruikt algoritmen om datasets te integreren en daaruit nieuwe datasets af te leiden (bijvoorbeeld het koppelen van gerapporteerde botnetinfecties en DDoS-aanvallen, zie het scenario hieronder).

  • Uniforme API: applicaties hebben toegang tot (afgeleide) cyberdreigingsinformatie via een gemeenschappelijke en goed gedefinieerde API.

Figuur 1 toont de platformarchitectuur die we op basis hiervan hebben ontwikkeld, die bestaat uit 3 kerncomponenten:

MISP

De centrale instantie van het MISP-systeem, die de belangrijkste toegangspoort is voor cyberdreigingsinformatie binnen het CONCORDIA-platform. Het slaat informatie op over malware, kwetsbaarheden, doelwitaanvallen en meer.

ICH

The Incident Clearing House (ICH) verzamelt informatie over kwetsbare en gecompromitteerde systemen en stuurt deze door naar de eigenaren van deze systemen.

DDoS-CH

Het DDoS Clearing House (DDoS-CH), dat beschrijvingen bevat van de kenmerken van DDoS-aanvallen (bijv. bronadressen en gemiddelde aantallen pakketten per seconde) in de vorm van zogenaamde ‘DDoS-fingerprints’.

De andere belangrijke component van het platform is een functionele laag van cyberdreigingsdiensten, die bestaat uit algoritmes die datasets van de kerncomponenten combineren en het resultaat beschikbaar stellen aan gebruikers (bijv. CONCORDIA-services en partners) via een API.

Figuur 1. Overzicht van het CONCORDIA-platform voor cyberdreigingsinformatie.

Beschrijving van een use case

Het volgende scenario (met hypothetische spelers en incidenten) illustreert hoe het CONCORDIA-platform de strijd tegen een opkomende DDoS-booterservice kan ondersteunen. In het kader van een cybersecurity verbeteringsprogramma begint een team van het bedrijf José Arcadio (een bedrijf dat deelneemt aan het CONCORDIA-ecosysteem) met het verzamelen van informatie over een nieuwe booterservice die op het ‘dark web’ wordt verkocht. Ze pushen alle verzamelde informatie naar hun lokale MISP-instantie die synchroniseert met de centrale MISP-instantie van CONCORDIA (zie figuur 2). De informatie bevat een rapport over een nieuwe booterservice genaamd ‘Prudencio’, waarvan bekend is dat deze DDoS-aanvallen uitvoert op financiële instellingen.

Figuur 2. Booter-detectiescenario.

Ondertussen begint het ICH meldingen te ontvangen van systemen die door het Prudencio-botnet zijn gecompromitteerd. Van de meldingen onthult een forensisch onderzoeker dat een specifieke gecompromitteerde server is gekoppeld aan een IP-adres dat behoort tot een ander bedrijf binnen het CONCORDIA-ecosysteem, de investeerdersgroep ‘Ursula IG’. Onmiddellijk na ontvangst van de melding waarschuwt de ICH automatisch het veiligheidsteam van Ursula IG en verwijst naar alle informatie die momenteel beschikbaar is over de botnet in de centrale instantie CONCORDIA-MISP. De DDoS-CH observeert DDoS-aanvallen die Prudencio lanceert en begint met het verzamelen van DDoS-fingerprints die kunnen worden gebruikt om de DDoS-aanvallen op te sporen en vervolgens te neutraliseren (figuur 3).

Figuur 3. Botnetcampagne geïdentificeerd door ICH en DDoS-CH (links). Het ICH heeft de botmaster geïdentificeerd en de betrokken entiteiten op de hoogte gebracht (rechts).

Na ontvangst van de melding van het ICH verifieert het beveiligingsteam van Ursula IG het probleem en bevestigt het incident: een van hun webservers is gecompromitteerd. Op dit moment controleert het team alle beschikbare dreigingsinformatie die toegankelijk is op de centrale instantie van de CONCORDIA-MISP en begint het met het organiseren van de reactie op het incident. In de tussentijd heeft het team meldingen ontvangen van het DDoS-CH, die aangeven dat het clearinghouse fingerprints heeft gegenereerd waarmee beveiligingsteams automatisch DDoS-aanvallen van Prudencio kunnen detecteren. Door deze fingerprints (figuur 4) te gebruiken in andere beveiligstools (bijvoorbeeld systemen die inbraken voorkomen en detecteren) kan Ursula IG haar andere webservers beschermen terwijl de gecompromitteerde server wordt opgeschoond.

Figuur 4. Ursula IG bevraagt de MISP en het DDoS-CH om meer informatie op te halen (boven) en toepassing daarvan in mitigatie- en opschoonacties (onder).

Vervolgstappen

Na het maken van het platformontwerp gaan we werken aan de definitie van de beschikbare resources (in de vorm van ‘catalogi’) in elk van de kerncomponenten (de databases). Deze catalogi zijn de eerste stap om een gemeenschappelijke interface te bouwen waarmee we gegevens uit meerdere bronnen kunnen combineren. Zodra we deze interface hebben, gaan we extra componenten ontwikkelen om cyberdreiginsinformatie te delen en te correleren.

Dankwoord

SIDN, Siemens en DFN-CERT zijn deels gefinancierd door het Horizon 2020-programma voor onderzoek en innovatie van de Europese Unie in het kader van subsidieovereenkomst nr. 830927. Projectwebsite: https://www.concordia-h2020.eu/.