1 jaar SURFsoc: samen staan we echt sterker tegen cyberdreigingen

Startschot

Eind 2019 vond er een zeer ernstige ransomwareaanval plaats bij de Universiteit Maastricht. De impact was groot. Niet alleen voor de UM zelf, maar voor het hele onderwijs en onderzoek. De aanval op de UM was een doorbraak in het bewustzijn dat cybersecurity nog steviger moet worden opgepakt, en dat we het als sector samen moeten doen.

Samen detectiecapaciteit vergroten

Een SOC verzamelt niet alleen gegevens uit het netwerk van de instelling, maar analyseert die ook. Daardoor kun je gerichter actie ondernemen op verdachte activiteiten. Een ander voordeel is dat alle systemen in samenhang worden gemonitord. Verdacht verkeer in het ene systeem wordt gemakkelijker ook herkend in het andere systeem. Een SOC vergroot op die manier je detectiecapaciteit.

Ga je dan ook nog samenwerken over instellingen heen, met een centraal security operations centre, dan kun je bedreigingen nóg beter detecteren. Bespeur je verdacht verkeer bij één instelling, dan kun je de netwerken van alle andere instellingen ook analyseren op dat type verkeer. Je staat dan dus samen echt sterker.

Gertjan: “We hadden natuurlijk ook zelf een SOC kunnen aanschaffen, maar we hebben het heel bewust via SURF gedaan. Bij de HAN vinden we het collectief belangrijk, dus we willen samen optrekken met onze collega-instellingen. Daarnaast is het natuurlijk praktisch dat we niet zelf een heel aanbestedingstraject hoefden uit te voeren. We zijn blij met de kant-en-klare oplossing van SURFsoc.”

Succesvolle megaklus

SURF is begin 2020 gestart met het opzetten van SURFsoc, samen met een aantal universiteiten en een hogeschool. Zij hebben veel inspraak gehad, want zij zijn de uiteindelijke afnemers.  Florian: “In januari 2020 startte de aanbesteding, want we hadden besloten de dienst niet in huis te draaien, maar dit uit te besteden.”

Binnen een jaar was de aanbesteding rond en in april 2021 is de dienst in productie genomen. Dit was een megaklus voor SURF, voor de deelnemende instellingen en ook voor leverancier Fox-IT. “Met Fox-IT hebben we een partij in huis gehaald met een grote staat van dienst op het vlak van cybersecurity. Zij bieden 24/7 bemande ondersteuning, maar misschien nog wel belangrijker: we maken voor SURFsoc gebruik van de detectieregels die Fox-IT zelf ontwikkelt, ook voor andere sectoren.” Rein Breimer is programmamanager SURFsoc bij Fox-IT en het aanspreekpunt voor SURF. Hij vult aan: “We volgen, via mijn Fox-IT-collega’s van Threat Intelligence, de cyberdreigingen in het onderwijs- en wetenschapsveld op de voet. Die kennis voegen we via detectieregels toe aan de SURFsoc-dienstverlening.”

Vertrouwen in SURFsoc

De HAN is tevreden over de samenwerking met SURF en Fox-IT. Gertjan: “Wij zijn in juli 2021 aangesloten op SURFsoc. Het aansluittraject duurde een week of 6 en verliep goed. In die tijd hebben we alles geconfigureerd en ingeregeld en de eerste meldingen besproken. Daarbij zijn we goed begeleid door de mensen van Fox-IT.”

Gertjan heeft wel een tip voor instellingen die gaan aansluiten op SURFsoc: maak de eerste tijd na de aansluiting extra menskracht vrij. Er komen dan veel meldingen binnen, onder andere omdat nog niet alles helemaal goed ingeregeld is. Als alles gefinetuned is, neemt het aantal meldingen sterk af. “Dat is een goede zaak”, aldus Gertjan. “Alle meldingen die nu binnenkomen zijn relevant en daar gaan we mee aan de slag. SURFsoc geeft ons het vertrouwen dat we kleine incidenten kunnen oplossen voordat het grote aanvallen worden die schade aanrichten. Want een grote hack begint bij een kleine inbraak.”

Grote én kleine instellingen aangesloten

SURFsoc is nu een jaar in productie. Waar staan we na dat jaar? Productmanager Florian: “Ik kijk met een goed gevoel terug op het eerste jaar. Er zijn al 23 instellingen die SURFsoc afnemen, verdeeld over mbo, hbo, wo, research en umc’s. Daar zitten ook kleinere instellingen bij en dat is goed om te zien: voor hen betekent SURFsoc een behoorlijke uitgave, maar ook zij zien de toegevoegde waarde. De adoptie gaat dus goed.” Rein van Fox-IT kan dit beamen: “Ook wij zijn heel tevreden over het eerste jaar SURFsoc: we kunnen de verwachtingen waarmaken en er zijn steeds meer instellingen die interesse hebben in SURFsoc.”

Doorontwikkeling

Uiteraard staat SURFsoc niet stil, er is geen tijd om op de lauweren te rusten. Florian: “Het belang van cyberweerbaarheid wordt alleen maar groter, en samenwerking is daarin een cruciale factor. Afgelopen najaar stelde de minister van OCW bijvoorbeeld nog dat iedere instelling op termijn de beschikking moet hebben over een security operations centre.”

Alle reden dus om volop in te zetten op de doorontwikkeling van SURFsoc. Zo is er afgelopen jaar al een nieuwe usecase toegevoegd aan SURFsoc: de monitoring van Microsoft 365. Daarnaast is het aansluittraject versoepeld. Rein van Fox-IT: “SURFsoc implementeren is best een klus voor instellingen. Daarom gaan onze specialisten nu naar de instelling toe om ze ter plaatse te helpen bij het inrichten en inregelen.” Verder is er, naast een groepstraining, nu ook een online trainingsprogramma voor het gebruik van het SIEM-platform, dat gebruikers individueel kunnen volgen.

Op naar de 40 deelnemers in 2022

En natuurlijk zetten SURF en Fox-IT in op nog meer deelnemers aan SURFsoc. Hoe meer instellingen kennis en expertise delen over hun netwerk en de incidenten die daar plaatsvinden, hoe beter instellingen zich kunnen beschermen tegen dreigingen. Florian: “Ik verwacht dat we dit jaar nog zo’n 17 instellingen aansluiten, waarmee het totaal op 40 zou komen. Dat zou een mooi resultaat zijn voor 2022. Maar het uiteindelijke doel is dat alle instellingen zijn aangesloten op een SOC. En dan bij voorkeur op SURFsoc, natuurlijk. Omdat dat de weerbaarheid van onze sector als geheel vergroot.”

tekst: Jan Michielsen