Benchmark en feeds

De gedragscode abusebestrijding wordt ondersteund met het ter beschikking stellen van informatie over abuse en kwetsbaarheden in de netwerken van de providers die de gedragscode onderschrijven op Cleannetworks.net. Providers kunnen deze informatie gebruiken als aanvulling op bronnen die zij reeds raadplegen om zich op de hoogte te stellen van problemen in hun netwerk. De informatie op dit platform is afkomstig van diverse notifiers  en internet abuse onderzoekers.

Benchmark

Onderzoekers van de TU Delft hebben in kaart gebracht hoeveel abuse en kwetsbaarheden de providers met een login op het platform in hun netwerk hebben. Deze data is over een langere periode verzameld. Op basis van die cijfers is na normalisatie voor grootte van het netwerk een ranking gemaakt voor een aantal van de providers. Een aantal ingelogde providers hebben inzage in zijn/haar ranking ten opzichte van de andere providers. De provider krijgt informatie over de kwaliteit van de abuse bestrijding: “Good”, “Average” of “Bad”. De ranking wordt periodiek aangepast aan de hand van de beschikbare data in de feeds, zodat de ranking en rating beter wordt als de provider actie neemt en naarmate de tijd vordert. De abuse en kwetsbaarheden data die hieraan ten grondslag ligt is deels beschikbaar op het platform. Op termijn zal de ranking alleen nog maar gebaseerd worden op de op het platform beschikbare data.

We willen providers er wel op wijzen dat rekening moet worden gehouden met de mogelijkheid dat deze ranking op termijn breder beschikbaar zal komen. Dat komt omdat de feed data weliswaar niet volledig openbaar is, maar door de notifiers wel breed gedeeld wordt. Verder zal de door de TU Delft ontwikkelde methode gepubliceerd worden. De ranking kan dus, met de nodige moeite, door anderen gerepliceerd worden. 

De onderzoekers van de TU Delft beschrijven hier de werking van hun model achter de benchmark.

Feeds

De op dit platform aangeboden data is afkomstig van ShadowServer en de Facebook Threat Exchange. Deze beide notifiers baseren hun notices op eigen onderzoek, internet scans en door derden aangeboden data. De ShadowServer notices worden met grote waarschijnlijkheid uitgestuurd. Dat betekent dat in de regel de feed weinig tot geen false positives bevat. De Facebook feed bevat data die door een groot aantal partijen aangeleverd wordt. In sommige gevallen bevat de notice informatie over de waarschijnlijkheid dat de melding correct is, in andere gevallen mist deze informatie. De beheerders van abuseplatform.nl zullen in de loop van de tijd de Facebook feed verder tweaken waarmee de waarschijnlijkheid van de meldingen zal stijgen.

Uiteraard wordt de beschikbare informatie beperkt tot notices over het netwerk van de ingelogde provider. De informatie is daarmee niet publiekelijk beschikbaar en het is niet mogelijk notices over netwerken van andere providers in te zien.

De feeds worden op een webapplicatie van AbuseIO beschikbaar gesteld en er zijn handleidingen voor configuratie van de provider accounts en gebruik van de feeds beschikbaar.