Developers/Consultants

Stageopdracht Cybersecurity Ontwikkeling van In-Database Detectie- en Preventiemechanismen voor PostgreSQL Binnen veel organisaties wordt endpoint- en netwerkbeveiliging verzorgd door tools zoals EDR/XDR-oplossingen (bijv. CrowdStrike). Hoewel deze oplossingen effectief zijn in het detecteren van OS- en procesniveau-gedrag, blijken zij beperkt wanneer het gaat om inhoudelijke en semantische controle van database-activiteit. Met name bij PostgreSQL is het lastig om afwijkend of kwaadaardig gedrag te herkennen dat zich binnen de database-engine zelf manifesteert, zoals:

• Ongebruikelijke querypatronen

• Data-exfiltratie via legitieme SQL

• Misbruik van rollen, functies of stored procedures

• Privilege escalation binnen de database Huidige tooling werkt vaak buiten de database om (agents, netwerkmonitoring), terwijl juist context en data-inhoud cruciaal zijn voor goede detectie. Dit biedt een kans om detectie en preventie direct binnen PostgreSQL te realiseren, met minimale performance-impact.

• Literatuur- en praktijkonderzoek naar database-security en aanvalspatronen

• Analyse van PostgreSQL interne architectuur en extensiemogelijkheden

• Ontwerp van een in-database detectiemodel (architectuur)

• Implementatie van een proof-of-concept (bijv. extensie of trigger-gebaseerd)

• Opzetten van testscenario's (normaal vs afwijkend gedrag)

• Meten van performance-impact (latency, throughput, resourcegebruik)

• Evaluatie van effectiviteit en beperkingen

• Documentatie en presentatie van bevindingen Verwachte resultaten

• Architectuurontwerp voor een in-database detectie-/preventietool

• Proof-of-concept implementatie binnen PostgreSQL

• Analyse van performance-impact en detectiekwaliteit

• Adviesrapport over haalbaarheid, risico's en vervolgstappen

• Stageverslag conform opleidingseisen Vereiste kennis en vaardigheden

• PostgreSQL (bij voorkeur recente LTS-versies)

• Detectie op query-, rol- en datagedrag

• Proof-of-concept (geen productieklare oplossing vereist)

• Focus op techniek, architectuur en meetbare effecten

• Opleiding: HBO/WO IT, Cybersecurity, Informatica of vergelijkbaar

• Affiniteit met cybersecurity en threat detection

• Interesse in low-level security

• Kennis van logging, monitoring of EDR-concepten

• Leergierig, analytisch, gestructureerd en onderzoeksmatig werken

• Basiskennis (bijv. Golang, C, Python of PL/pgSQL) en SQL is een pré

• Kennis van database-internals is een pré Ervaring met PostgreSQL is een pré, maar geen vereiste.

Het doel van deze stage is het onderzoeken, ontwerpen en (proof-of-concept) ontwikkelen van een in-database detectie- en preventietool voor PostgreSQL, die: + Verdacht of afwijkend databasegedrag kan detecteren + Optioneel preventief kan optreden (bijv. blokkeren, vertragen of loggen) + Volledig binnen PostgreSQL functioneert + Minimale overhead veroorzaakt op performance en stabiliteit Centrale onderzoeksvraag In hoeverre is het technisch en praktisch haalbaar om binnen PostgreSQL zelf een detectie- en preventiemechanisme te ontwikkelen dat afwijkend of kwaadaardig databasegedrag herkent, met behoud van acceptabele performance? Deelvragen 1. Welke aanvalsvectoren en misbruikscenario's komen specifiek voor binnen PostgreSQL? 2. Welke extensie- en hook-mechanismen biedt PostgreSQL (bijv. extensions, event triggers, pg_stat, logical decoding)? 3. Welke vormen van gedragsdetectie zijn geschikt voor in-database analyse (rule-based, baseline-afwijkingen, statistisch)? 4. Wat is de meetbare performance-impact van verschillende detectiebenaderingen? 5. In hoeverre kan preventie (bijv. query-interceptie of rolbeperking) veilig worden toegepast? 6. Hoe verhoudt een in-database aanpak zich tot externe security-oplossingen? 7. In hoeverre kunnen AI-/Machine-Learning-platformen bijdragen aan het detecteren van afwijkend of kwaadaardig databasegedrag binnen PostgreSQL, en in hoeverre zijn zij praktisch ongeschikt vanwege factoren zoals performance-overhead, transparantie, trainingsdata en onderhoud? Het toepassen van AI/ML is geen verplicht onderdeel van de implementatie, maar kan als verkennende onderzoeksrichting worden meegenomen om de geschiktheid ervan voor in-database detectie te evalueren.