Jaaroverzicht 2021

Jaaroverzicht 2021

01 March 2022, by Lucinda Sterk

DIVD is here to stay.

Met 19 afgeronde onderzoeken, waaronder het spraakmakende Kaseya VSA, 76 vrijwilligers, tientallen media-optredens en 9 zero-day cases, heeft DIVD in 2021 een vaste plek veroverd in het Nederlandse security landschap. Het Dutch Institute for Vulnerability Disclosure scant het hele internet op kwetsbaarheden en meldt die bij degenen die het kunnen fixen: gratis en ongevraagd. Wij zijn het Rode Kruis van het internet.

KaseyaVSA is een van de 19 onderzoeken die DIVD in 2021 heeft gedaan tegenover 14 in 2020. Naast deze kwantitatieve groei zijn we vooral gegroeid in het soort onderzoek dat DIVD verricht. Naast het scannen op bekende kwetsbaarheden, in de regel een CVE high/high, zijn er twee nieuwe onderzoekslijnen het afgelopen jaar ontwikkeld: gelekte credentials en zero-days. Hiervoor is de Code of Conduct aangepast om ook binnen deze bredere scope verantwoordelijk te kunnen handelen. Om onze scan-activiteiten te professionaliseren is in 2021 een eigen Autonomous System (AS50559), dus een eigen reeks van IPv4-adressen aangeschaft: 194.5.73.0 tot en met 194.5.73.255. Hierbij kunnen degenen die gescand worden dus zien dat wij het zijn. Zet deze adressen vooral op je allow list.

CSIRT

De afdeling DIVD CSIRT heeft in 2021 in totaal 77.727 kwetsbaar bevonden IP adressen genotificeerd. Ten opzichte van 57.809 in 2020 is dat een groei van ruim 34%. Op het moment van schrijven zijn nog niet alle cases uit 2021 geheel afgerond, dus het werkelijke aantal notificaties ligt nog iets hoger.

Academy

In 2021 heeft de DIVD Academy vooral ingezet op de opbouw en inrichting van de Academy, het inrichten van het lespakket en workshops en het aangaan van duurzame partnerschappen. Eind 2021 is besloten door het bestuur de DIVD Academy af te splitsen als een zelfstandige stichting, met een eigen bestuur en begroting, maar wel met deelname van docenten van het DIVD Instituut.

Vrijwilligers

Op 1 januari 2022 telt DIVD 76 deelnemers: zeven bij Academy, dertien bij CSIRT, achttien bij Instituut, acht bij Operations en dertig bij Research. Van deze deelnemers zijn er negentien pas in december 2021 aangenomen. Bijna elke week komen er nieuwe vrijwilligers bij in diverse onderdelen van DIVD.

Zero-day

In 2021 zijn negen zero-day cases gedraaid vanuit Research. Dat zijn dus onbekende kwetsbaarheden die de DIVD onderzoekers zelf hebben ontdekt en gemeld bij de makers van de software. Hiervan zijn er vijf gepubliceerd op csirt.divd.nl. Door de onderzoekers zijn er afgelopen jaar 92 individuele Coordinated Vulnerability Disclosure meldingen gedaan die geen casenummer hebben. Het research team is nu uitgegroeid tot een volledige afdeling bestaande uit drie teams.

Kortom: DIVD heeft in 2021 laten zien dat we ertoe doen. We zijn ook geen CERT of SOC voor een specifieke doelgroep, maar gaan uit van een kwetsbaarheid en scannen daar de hele wereld op. Zitten daar IP-adressen bij die volgens ons door anderen bediend worden, bijvoorbeeld hun CERT of Internet Service Provider, melden we ook via die partijen. We blijven scannen en melden totdat de aantallen potentiƫle slachtoffers zodanig is gedaald dat we voldoende weerbaar zijn tegen toekomstige aanvallen.

Jaarverslag

Ons jaarverslag is te downloaden via deze link


Last modified: 09 Dec 2022 12:34