Met SURFsoc heb je één aanspreekpunt voor al je securityzaken op infrastructuurgebied. SURFsoc monitort, onder andere via een SIEM-systeem, cyberdreigingen en mogelijke aanvallen op de instellings-infrastructuur. De kennis die we binnen SURFsoc opdoen, delen we met de instellingen. Zo verhogen we de informatieveiligheid binnen onderwijs en onderzoek.
Informatiepositie vergroten door scannen en anticiperen
We onderzoeken verschillende manieren om op incidenten te reageren. Door informatie te verzamelen, gericht te linken, actief te scannen en anticiperen vergroten we onze informatiepositie.
PANGA
Informatiepositie vergroten door scannen en anticiperen
Met Proactieve Analyse Naar Geavanceerde Aanvallen (PANGA) onderzoeken we mogelijke bredere implicaties van een incident om beter inzicht te krijgen in de reikwijdte van bedreigingen voor de sector onderwijs en onderzoek. SURFcert verzamelt en analyseert (pro)actief grote hoeveelheden cyberdreigingsinformatie en plaatst deze in conext. Zo onderscheppen we snel onregelmatigheden en waarschuwen in een vroeg stadium voor bedreigingen.
Incidenten grondiger onderzoeken
SURFcert startte in 2019 met PANGA. 1 dag per maand pluist het SURFcert-team een incident of bedreiging uit. Het team onderzoekt dan of er implicaties zijn voor de hele doelgroep, in plaats van alleen voor de ene gerelateerde instelling.
OSINT
Openbare informatiebronnen inzetten
Open Source Intelligence (OSINT) gebruikt openbare informatiebronnen om kwetsbaarheden binnen het SURF-netwerk en dat van aangesloten instellingen op te sporen. Denk hierbij aan Shodan en Censys, beiden zoekmachines voor kwetsbaarheden op het internet. We ontwikkelen nog een betere gebruikersinterface, want vertonen, ordenen en doorzoeken van informatie is op dit moment nog vrij technisch, en aanvankelijk richten we op gebruik door SURFcert zelf. Naast ontwikkelen van de interface, houden we ook de markt scherp in de gaten.
In de toekomst breiden we mogelijk interface-gebruikers uit naar CSIRT-teams van instellingen.
Gerichter kwetsbaarheden linken
De informatie uit deze openbare bronnen koppelen we aan de informatie over bijvoorbeeld IP-ranges van de aangesloten instellingen. Zo kunnen we gerichter kwetsbaarheden linken aan specifieke instellingen. In 2018 en 2019 breidden we dit uit met actieve scanning op basis van netflowinformatie uit het SURF-netwerk. Netflow maakt het mogelijk om IP-netwerkverkeer dat een interface binnenkomt of verlaat te verzamelen.