Stageopdracht Cybersecurity Ontwikkeling van In‑Database Detectie- en Preventiemechanismen voor PostgreSQL

Binnen veel organisaties wordt endpoint- en netwerkbeveiliging verzorgd door tools zoals EDR/XDR‑oplossingen (bijv. CrowdStrike). Hoewel deze oplossingen effectief zijn in het detecteren van OS- en procesniveau-gedrag, blijken zij beperkt wanneer het gaat om inhoudelijke en semantische controle van database-activiteit. Met name bij PostgreSQL is het lastig om afwijkend of kwaadaardig gedrag te herkennen dat zich binnen de database-engine zelf manifesteert, zoals:

  • Ongebruikelijke querypatronen
  • Data‑exfiltratie via legitieme SQL
  • Misbruik van rollen, functies of stored procedures
  • Privilege escalation binnen de database

Huidige tooling werkt vaak buiten de database om (agents, netwerkmonitoring), terwijl juist context en data‑inhoud cruciaal zijn voor goede detectie. Dit biedt een kans om detectie en preventie direct binnen PostgreSQL te realiseren, met minimale performance‑impact.

Doel van de stage

Het doel van deze stage is het onderzoeken, ontwerpen en (proof‑of‑concept) ontwikkelen van een in‑database detectie‑ en preventietool voor PostgreSQL, die:

  • Verdacht of afwijkend databasegedrag kan detecteren
  • Optioneel preventief kan optreden (bijv. blokkeren, vertragen of loggen)
  • Volledig binnen PostgreSQL functioneert
  • Minimale overhead veroorzaakt op performance en stabiliteit

Centrale onderzoeksvraag

In hoeverre is het technisch en praktisch haalbaar om binnen PostgreSQL zelf een detectie- en preventiemechanisme te ontwikkelen dat afwijkend of kwaadaardig databasegedrag herkent, met behoud van acceptabele performance?

Deelvragen

  1. Welke aanvalsvectoren en misbruikscenario’s komen specifiek voor binnen PostgreSQL?
  2. Welke extensie‑ en hook‑mechanismen biedt PostgreSQL (bijv. extensions, event triggers, pg_stat, logical decoding)?
  3. Welke vormen van gedragsdetectie zijn geschikt voor in‑database analyse (rule‑based, baseline‑afwijkingen, statistisch)?
  4. Wat is de meetbare performance‑impact van verschillende detectiebenaderingen?
  5. In hoeverre kan preventie (bijv. query‑interceptie of rolbeperking) veilig worden toegepast?
  6. Hoe verhoudt een in‑database aanpak zich tot externe security‑oplossingen?
  7. In hoeverre kunnen AI‑/Machine‑Learning‑platformen bijdragen aan het detecteren van afwijkend of kwaadaardig databasegedrag binnen PostgreSQL, en in hoeverre zijn zij praktisch ongeschikt vanwege factoren zoals performance‑overhead, transparantie, trainingsdata en onderhoud?

    Het toepassen van AI/ML is geen verplicht onderdeel van de implementatie, maar kan als verkennende onderzoeksrichting worden meegenomen om de geschiktheid ervan voor in‑database detectie te evalueren.

Scope en afbakening

Binnen scope:

  • PostgreSQL (bij voorkeur recente LTS‑versies)
  • Detectie op query‑, rol‑ en datagedrag
  • Proof‑of‑concept (geen productieklare oplossing vereist)
  • Focus op techniek, architectuur en meetbare effecten

Buiten scope:

  • Volledige SIEM/XDR‑integraties
  • Andere databases (MySQL, Oracle, SQL Server)

Werkzaamheden en activiteiten

  • Literatuur- en praktijkonderzoek naar database‑security en aanvalspatronen
  • Analyse van PostgreSQL interne architectuur en extensiemogelijkheden
  • Ontwerp van een in‑database detectiemodel (architectuur)
  • Implementatie van een proof‑of‑concept (bijv. extensie of trigger‑gebaseerd)
  • Opzetten van testscenario’s (normaal vs afwijkend gedrag)
  • Meten van performance‑impact (latency, throughput, resourcegebruik)
  • Evaluatie van effectiviteit en beperkingen
  • Documentatie en presentatie van bevindingen

Verwachte resultaten

  • Architectuurontwerp voor een in‑database detectie‑/preventietool
  • Proof‑of‑concept implementatie binnen PostgreSQL
  • Analyse van performance‑impact en detectiekwaliteit
  • Adviesrapport over haalbaarheid, risico’s en vervolgstappen
  • Stageverslag conform opleidingseisen

Vereiste kennis en vaardigheden

Wat vragen wij?

  • Opleiding: HBO/WO IT, Cybersecurity, Informatica of vergelijkbaar
  • Affiniteit met cybersecurity en threat detection
  • Interesse in low‑level security
  • Kennis van logging, monitoring of EDR‑concepten
  • Leergierig, analytisch, gestructureerd en onderzoeksmatig werken
  • Basiskennis (bijv. Golang, C, Python of PL/pgSQL) en SQL is een pré
  • Kennis van database‑internals is een pré

Ervaring met PostgreSQL is een pré, maar geen vereiste.

Wat bieden wij?

  • Begeleiding door ervaren developers/consultants
  • Wekelijkse voortgangsgesprekken
  • Code reviews
  • Inhoudelijke begeleiding bij design- en architectuurkeuzes
  • Mogelijkheid tot afstuderen
  • Flexibele stage-invulling en hybride werken

Geïnteresseerd?

Neem contact met ons op via werkenbij@nibble-it.nl of bel met Agnes v/d Vlugt 06-53919042