De Nederlandse start-up AnalyzeData zet met de tool Eventpad datastromen in een computersysteem om in een visualisatie van gekleurde blokjes. Een combinatie van geautomatiseerde technieken en menselijke oplettendheid moet gevaren als ransomware en belfraude via VoIP opsporen. “Onze software is een perfecte aanvulling op antivirus.”
AnalyzeData is een spin-off van de Technische Universiteit (TU) Eindhoven en is vorig jaar opgericht. Medeoprichter is dr. ir. Bram Cappers, die Eventpad heeft bedacht en ontwikkeld. Vorig jaar promoveerde hij op zijn vinding en startte hij met de bevriende promovendus dr. ir. Josh Mengerink de start-up AnalyzeData. In gesprek met PCM vertelt hij over de ontwikkeling van Eventpad en de grootste toekomstplannen met zijn start-up.
Het idee voor Eventpad ontstond toen Cappers zijn promotieonderzoek deed aan de TU/e. “Ik bestudeerde geavanceerde virusaanvallen die na maanden voorbereiding één keer hard toeslaan, bijvoorbeeld door een nucleaire centrale plat te leggen of eenmalig een heel groot geldbedrag af te schrijven.” De vraag was: hoe vind je zo’n virus?
“Ik kwam tot de conclusie dat er al heel veel systemen bestaan die virussen op allerlei manieren kunnen zoeken, mits ze weten hoe de virussen eruitzien. Maar ik moest op zoek naar onbekende viruspatronen.” Cappers richtte zich op de netwerkpakketjes die continu tussen computers verstuurd worden. “In tekstverwerkers als Notepad++ kun je heel snel en eenvoudig woorden zoeken, bijvoorbeeld door te filteren op alle woorden die beginnen met een ‘F’ en eindigen met een ‘E’. Ik wilde deze zoekfunctionaliteit graag toepasbaar maken om verdachte activiteiten in loggegevens (specifiek de netwerkpakketjes) te vinden.”
Een netwerkpakketje heeft meer dan honderd verschillende eigenschappen, legt hij uit. Handmatige inspectie van deze gegevens werd al snel onhoudbaar. Het gemiddelde computernetwerk verwerkt duizend pakketjes per seconde, wat honderden kolommen en honderdduizenden rijen opleverde. Cappers moest op zoek naar een andere manier om de data inzichtelijk te maken. “Ik dacht: zo’n grote tabel is veel te gedetailleerd, je mist compleet het overzicht. Kan ik de Excel-regels omzetten naar blokjes en die groeperen? Dat is belangrijk, omdat de pakketjes bijvoorbeeld van verschillende gebruikers komen en ik wil zien wat er allemaal op de verschillende computers gebeurt, om te concluderen of iets raar is of niet.”
Blokjes kleuren
Cappers, die ervaring heeft met zaken als datavisualisatie en programmeren, bestudeerde veel technieken die fraude en rare patronen in data vinden. Vervolgens schreef hij de code voor een eigen visualisatietool die hij Eventpad noemde. De input van dit programma is in feite een Exel-tabel waarbij de regels bijvoorbeeld netwerkpakketjes voorstellen. De kolommen zijn de eigenschappen van de pakketjes. De geautomatiseerde technieken van Eventpad zijn volgens de TU/e-promovendus ‘erg goed’ in het herkennen van afwijkingen in opeenvolgende patronen.
Als voorbeeld noemt Cappers ransomwareverkeer, een virus dat herhaaldelijk bestanden wegschrijft en versleutelt. Eventpad controleert onder andere of alle geopende computerbestanden ook weer gesloten worden. Gebeurt dat niet, dan gaan de alarmbellen af. Als gebruiker zie je dat aan de kleuren van de blokjes. “Je kunt het blokje dat een bestand opent, geel kleuren”, legt Cappers uit. Het blokje dat een bestand sluit, is bijvoorbeeld blauw. Daarna stel je in dat je alle reeksen wilt zien die beginnen met geel en eindigen met blauw. “Mensen zijn visueel ingesteld, dus een afwijking valt snel op.” Natuurlijk hoef je geen honderdduizenden rijen te controleren. Eventpad toont de blokjes automatisch op een verkleinde manier en wijst afwijkingen aan.
Geteste gebruikssituaties
Om erachter te komen of de techniek van Eventpad werkt, testte Cappers zijn tool bij een groot IT-bedrijf. Hij kreeg data waar hij offline in mocht graven. De promovendus richtte zich op belfraude via VoIP, zakelijke telefonie via het internet. Hierbij hacken criminelen telefooncentrales en laten ze de toestellen bellen naar hun eigen, betaalde telefoonnummers. “Ik keek naar de protocollen (netwerkpakketjes, red.) die de gesprekken tot stand brengen en zag afwijkende conversaties met bijvoorbeeld onbekende pakketjes.”
Door die gegevens te bestuderen, kon Cappers fraudeleuze gesprekken aantonen. De informatietechnicus deed ook mee aan een internationale data-analysewedstrijd waarbij teams gemiddeld drie maanden de tijd krijgen om afwijkingen in data op te sporen. De dataset had betrekking op auto’s die door een natuurreservaat rijden, vertelt Cappers. “Elke keer als een auto door een poortje reed, werd er een event gegenereerd. Voor Eventpad maakt het weinig uit of je een netwerkpakketje of auto-event gebruikt, dus na drie uur waren we klaar. Een redelijke klap in het gezicht van de organisatie.”
Eventpad is een tool die veel gebruikmaakt van kunstmatige intelligentie en andere automateringstechnieken. Helemaal zelfstandig is de software echter niet en dat is bewust. Cappers: “Als je een dusdanig grote dataset hebt, zie je dat volledig geautomatiseerde technieken fouten gaan maken. Ze missen de context en achtergrondinformatie en kunnen niet goed bepalen hoe belangrijk afwijkende waarden zijn.” De gebruiker moet dat aangeven door blokjes te kleuren op basis van waarden die hij interessant vindt. “Je kan bepaalde afwijkingen belangrijker maken dan andere en zo vind je sneller waarden die echt afwijken”.
Welke waarden wel of niet belangrijk zijn, hangt volgens Cappers af van je onderzoeksvraag. Hij beaamt dat het toekennen van waarden aan het programma niet voor iedereen even eenvoudig zal zijn. “Het opstellen van regels zal wat lastiger zijn, daar kunnen mensen misschien assistentie bij gebruiken.” Daarna is het wel de bedoeling dat iedereen Eventpad kan gebruiken. “We hebben de software in twintig minuten gedemonstreerd aan medewerkers van een wooncoöperatie en dat waren digibeten, om het zo maar te zeggen. Binnen een half uur hadden ze het systeem onder de knie”, zegt Cappers.
Data-analyseplatform in ontwikkeling
De promotie van Cappers betekent dat Eventpad geslaagd is als proof-of-concept: de techniek werkt in diverse scenario’s, waaronder het opsporen van ransomware, belfraude via VoIP en het aanwijzen van auto’s die afval dumpen in een natuurreservaat. En nu? Cappers heeft Eventpad ondergebracht in de start-up AnalyzeData, waar hij met medepromovendus Josh Mengerink (software-engineering) en zijn team werkt aan de doorontwikkeling en commercialisering van zijn vinding. Het doel: Eventpad integreren in een eigen data-analyseplatform.
“We zien dat veel bedrijven moeite hebben met het opzetten en onderhouden van data-analysetechnieken en dat het later lastig is om de benodigde Excel-data uit hun verschillende systemen te halen”, verklaart Cappers. “Daarom ontwikkelen we een platform dat dit werk uit handen neemt. We willen Eventpad koppelen aan dit platform zodat klanten de technieken van Eventpad kunnen gebruiken voor fraudebestrijding en het monitoren van user-logins.” Bij dat laatste moet het programma een seintje geven bij verdacht gedrag, bijvoorbeeld een inlog(poging) vanaf een afwijkende locatie.
Het analyseplatform zou eind begin april komen, de commerciële versie van Eventpad volgt later dit jaar. “Een hoop analyses kunnen we namelijk zonder visualisaties oplossen en dit geeft ons meer tijd om Eventpad te verbeteren”, legt Cappers uit. Hij belooft dat je als gebruiker alleen twee regels code in je programma hoeft te plakken om gebruik te kunnen maken van het softwareplatform. Ook zouden er plakklare plug-ins komen voor alle bekende programmeertalen, waaronder Java, PHP en Python.
AnalyzeData wil zijn online softwareoplossing via verschillende licentiemodellen aanbieden aan een zo breed mogelijk publiek. “Iedereen met een website kan onze dienst gebruiken”, stelt Cappers. “We merken dat bedrijven waar technologie niet de corebusiness is, vooral behoefte hebben aan een licentie per gebruiker of de hoeveelheid gegevens die geanalyseerd moeten worden.
Bedrijven met een kritische infrastructuur willen de technieken juist liever zelf draaien en achter de knoppen zitten. Dan is een licentiemodel voor het hele platform logischer.” Wat klanten voor een licentie gaan betalen, is nog niet duidelijk. Wel zet de start-up in op flexibiliteit. “Ik houd niet van pakketten waar je als gebruiker niet meer vanaf komt”, zegt Cappers.
Veiligheid
Data-analyse is een handig iets, maar als gebruiker wil je natuurlijk niet dat je (waardevolle en geheime) gegevens in de verkeerde handen komen. AnalyzeData versleutelt alle data en kan niets zonder toestemming inzien, belooft Cappers. Hier voegt hij aan toe dat de data wel ‘in een dusdanig formaat’ moet blijven, anders kan de analysesoftware zijn werk niet doen. In lijn met de privacywet AVG kun je als gebruiker zelf kiezen welke data je wel en niet deelt en of je die in de cloud of lokaal wilt opslaan. De start-up wil ook publieke api’s beschikbaar stellen, zodat gebruikers hun eigen type analyses kunnen schrijven en gebruiken met het data-analyseplatform.
De broncode is en blijft voorlopig gesloten. Op de vraag of Eventpad continue bijgewerkt moet worden om nieuwe dreigingen het hoofd te bieden, antwoordt Cappers stellig: “Natuurlijk. Voor iedere maatregel die wij nemen, komt er een ander gevaar terug. We moeten voortdurend blijven ontwikkelen. Ik sluit ook niet uit dat er in de toekomst andere visualisatievormen nodig zijn om nieuwe typen aanvallen te vinden en te presenteren.”
Je moet Eventpad niet zien als een vervanging van een antivirusprogramma, benadrukt Cappers. Antivirusprogramma’s zoeken naar patronen van virussen die al bekend zijn. Eventpad is bedoeld om virussen op te sporen aan de hand van patronen die nog niet goed zichtbaar zijn en je dus nog niet weet hoe een virus er precies uitziet. De TU/e-promovendus noemt zijn vinding een perfecte aanvulling op de bestaande huis-tuin-en-keuken antivirusprogramma’s.
Grote antiviruspartijen hebben ook gespecialiseerde teams die nieuwe virussen zoeken en daar bescherming voor bouwen. “Eventpad kan zeker interessant zijn voor antivirusbedrijven als Fox-IT en Bitdefender”, zegt Cappers desgevraagd. “Maar dat geldt ook voor universiteiten, energiecentrales, zzp’ers en consultancybureaus, want de hele wereld draait nu gewoon om data.”
Spreken op Black Hat
Data-analyse en security is een populair onderwerp, gaat de informatietechnicus verder. “Mijn academisch prototype van Eventpad is op één dag ruim duizend keer van m’n website gedownload door mensen uit meer dan tachtig landen.”
Cappers won de afgelopen jaren al meerdere nationale en internationale prijzen met zijn vinding en mocht onder andere spreken op Black Hat USA 2018. Iets waar hij heel trots op is. “Het feit dat ik op dit niveau mocht spreken en demonstreren, vind ik wel het ultieme.” De komende tijd wil hij als post-doc-onderzoeker één dag per week blijven werken op de TU Eindhoven, onder andere om op de hoogte te blijven van de laatste ontwikkelingen. De rest van de tijd wil hij zich bezighouden met AnalyzeData.
Er zijn plannen om meer mensen aan te nemen en zijn start-up heeft onlangs 250 duizend euro subsidie ontvangen van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO). Ook is er een strategische samenwerking gesloten met KPN, dat als pilotbedrijf de diensten van AnalyzeData gaat testen. “Het is met een sneltreinvaart gelopen”, lacht Cappers. “Er gebeuren een hoop dingen op een dag.”