Promotie TU Eindhoven met visualisatietool Eventpad tegen cyberaanvallen

Promotie TU Eindhoven met visualisatietool Eventpad tegen cyberaanvallen

Cyberaanvallen zijn tegenwoordig erop gericht in één keer krachtig toe te slaan en grote schade te veroorzaken. Om op tijd verdachte activiteit in dataverkeer aan het licht te brengen ontwikkelde informaticus Bram Cappers aan de TU Eindhoven de visualisatietool Eventpad. Hij promoveert er op 4 december op en is ook al een startup begonnen.

Deze tool zet de complexe datastromen van een systeem om in een overzichtelijke collectie van gekleurde blokjes. Ze maken  eenvoudig afwijkende of opvallende patronen zichtbaar. Met succes toonde Cappers met Eventpad reeds meerdere vormen van ransomware en telefoonfraude aan.

 

Verwoesting

De verwoesting van een nucleaire installatie in Iran, diefstal van 6,5 miljoen inloggegevens van LinkedIn, een hackpoging op het Duitse parlement: het zijn grootschalige cyberaanvallen die bijna dagelijks in het nieuws voorbij komen. Zulke aanvallen kunnen plaatsvinden doordat hackers maandenlang in het geheim aan het ‘wroeten’ zijn in computernetwerken en systemen zonder dat iemand het door heeft.

“Het probleem bij veel bedrijven is dat systemen door de jaren heen heel ver zijn doorontwikkeld. Niemand begrijpt meer goed wat er zich precies onder de motorkap afspeelt”, zegt Bram Cappers. Daardoor is volgens hem moeilijk vast te stellen of dataverkeer wel of niet thuishoort in het systeem. En dus wanneer bepaald gedrag tot gevaarlijke situaties kan leiden.

Cappers ontwikkelde Eventpad als een vorm van preventieve beveiliging. Deze maakt de complexe datastromen in een computersysteem overzichtelijk en begrijpelijk voor de gebruiker.

Op basis van de input van de gebruiker zetten geautomatiseerde technieken gebeurtenissen van het systeem om in lange rijen van felgekleurde blokjes. “Zo kun je als gebruiker niet alleen identificeren wat er allemaal gebeurt, maar ook waarom”, zegt Cappers. ” Verdachte of afwijkende patronen in de data worden in één oogopslag zichtbaar.”

 

Telefoonfraude en ransomware

Dat dit werkt toonde Cappers tijdens zijn promotieonderzoek overtuigend aan voor verschillende toepassingen. Zo wist hij onder meer sporen van fraude aan te tonen in het gebruik van VoIP-telefonie. Bij deze vorm van fraude proberen hackers toegang te krijgen tot telefooncentrales en geld te verdienen door naar eigen premium-nummers te bellen.

Met Eventpad gaf hij de verschillende stappen tijdens zo’n gesprek weer. Zoals het overgaan van de telefoon, acceptatie aan de andere kant en een afsluitend signaal. Zo werd elk telefoongesprek omgezet in een rij van blokjes, waarbij de kleur van de blokjes een actie voorstelde.

Cappers: “Zo werd duidelijk dat lang niet alle gesprekken volgens een logisch patroon verlopen: daar was dus iets mee aan de hand.”

Ook bracht hij de werking van ransomware in beeld. dit is kwaadaardige software die criminelen gebruiken om bestanden te vergrendelen en van slachtoffers vervolgens hoge sommen losgeld eisen om de bestanden terug te krijgen. “Interessant was dat de werkwijze van de virussen leiden tot een specifiek en herkenbaar blokjespatroon voor elk virus”, zegt Cappers. “Dit betekent dat je bij het in kaart brengen van een computernetwerk deze ‘handtekening’ van het virus direct kunt signaleren.”

Eventpad maakt de data overzichtelijk door kleurcodes te gebruiken voor bepaalde gebeurtenissen. De input hiervoor wordt door de gebruiker gedaan, de tool zet vervolgens automatisch alle gegevens in het overzicht. Illustratie: Bram Cappers

 

Prijzen

Cappers won met Eventpad in 2017 reeds de IEEE Visual Analytics Challenge en dit jaar de ICT.OPEN Best Demo Award. Ook presenteerde hij zijn tool dit jaar op Black Hat USA, een befaamde internationale hackersconferentie.

Vanwege het succes en de vele interesse vanuit de academische wereld en het bedrijfsleven is Cappers samen met zijn broer Dennis en TU/e-promovendus Josh Mengerink de startup AnalyzeData begonnen om Eventpad in de markt te zetten.

Bram Cappers promoveert dinsdag 4 december om 16.00 uur op zijn proefschrift ‘Interactive Visualization of Event Logs for Cybersecurity’. Hij voerde zijn onderzoek uit onder begeleiding van prof.dr.ir. Jack van Wijk en prof.dr. Sandro Etalle. Verder waren TNO, SecurityMatters en Synerscope betrokken als partner.