Met SURFsoc heb je één aanspreekpunt voor al je securityzaken op infrastructuurgebied. SURFsoc monitort, onder andere via een SIEM-systeem, cyberdreigingen en mogelijke aanvallen op de instellings-infrastructuur. De kennis die we binnen SURFsoc opdoen, delen we met de instellingen. Zo verhogen we de informatieveiligheid binnen onderwijs en onderzoek.
Sneller en gerichter bedreiging onderscheppen door monitoren van security
SURF vernieuwt non-stop en ontwikkelt op dit moment een aantal securitydiensten om sneller en gerichter onregelmatigheden in het netwerk te onderscheppen. SURFcert kan dan in een zo vroeg mogelijk stadium waarschuwen voor bedreigingen.
Domain Name System (DNS) monitoren en filteren
Verdachte domeinen detecteren
Met DNS-monitoring detecteert SURFcert kwaadaardige domeinen die worden opgevraagd in DNS, op een privacyvriendelijke manier. Cybercriminelen zetten namelijk op verschillende manieren DNS in voor hun activiteiten; aanvraag van een bepaald domein (of patroon van domeinen) bij een DNS-resolver kan onderdeel zijn van een Indicator of Compromise (IoC). Een systeem is dus mogelijk geïnfecteerd of er vindt een aanval plaats. We controleren opgevraagde domeinen met een lijst van verdachte domeinen en krijgen zo beter inzicht in mogelijke bedreigingen. Met dit inzicht waarschuwen en adviseren we instellingen bijvoorbeeld om scherper te monitoren of bepaalde systemen te isoleren.
Kwaadaardige aanvragen blokkeren
In de toekomst overwegen we dergelijke domeinen daadwerkelijk te blokkeren. Als je deze domeinen dan opvraagt, levert dat bijvoorbeeld in DNS geen resultaten meer op, of je ziet een pagina van SURFcert. We onderzoeken deze optie nog grondig: de maatregel is ingrijpend, met mogelijk onvoorziene gevolgen.
Intrusion Detection System (IDS)
Controleren en waarschuwen
Een Intrusion Detection System (IDS) bestaat uit sensoren die het netwerkverkeer monitoren. Een IDS controleert op IoC's (Indicators of Compromise), en waarschuwt als het iets ontdekt. In het netwerk werken deze sensoren als passieve monitors en verstoren niet de normale werking van het netwerk. Ze zijn strategisch geplaatst en controleren op basis van informatie uit IoC's op bepaalde verdachte patronen in het netwerkverkeer. Als je deze IoC's wilt gebruiken voor de IDS-systemen van je instelling, kun je ze al krijgen van SURFcert.
IDS opzetten in SURF-netwerk
We onderzoeken de mogelijkheden van een eigen IDS opzetten in het SURF-netwerk, met behulp van dezelfde infrastructuur als die van Firewall-as-a-Service. Daarmee monitoren we dan op IoC's buiten de instellingsnetwerken, als mogelijke aanvulling op de IDS van de instelling zelf; een IDS in het SURF-netwerk kan immers geen intern instellingsverkeer zien.