SURFsoc: samen informatiebeveiliging verhogen

Eén aanspreekpunt voor gemeenschappelijke diensten die beveiligingsincidenten detecteren en voorkomen. Verder houdt SURFsoc toezicht op cyberdreigingen en mogelijke aanvallen of inbraken op ICT-infrastructuur. Beschikbaar voor alle instellingen aangesloten op het SURF-netwerk.

2 personen luisteren aandachtig

Informatiepositie vergroten door scannen en anticiperen

We onderzoeken verschillende manieren om op incidenten te reageren. Door informatie te verzamelen, gericht te linken, actief te scannen en anticiperen vergroten we onze informatiepositie.

PANGA

Informatiepositie vergroten door scannen en anticiperen

Met Proactieve Analyse Naar Geavanceerde Aanvallen (PANGA) onderzoeken we mogelijke bredere implicaties van een incident om beter inzicht te krijgen in de reikwijdte van bedreigingen voor de sector onderwijs en onderzoek. SURFcert verzamelt en analyseert (pro)actief grote hoeveelheden cyberdreigingsinformatie en plaatst deze in conext. Zo onderscheppen we snel onregelmatigheden en waarschuwen in een vroeg stadium voor bedreigingen.

Incidenten grondiger onderzoeken

SURFcert startte in 2019 met PANGA. 1 dag per maand pluist het SURFcert-team een incident of bedreiging uit. Het team onderzoekt dan of er implicaties zijn voor de hele doelgroep, in plaats van alleen voor de ene gerelateerde instelling.

OSINT

Openbare informatiebronnen inzetten

Open Source Intelligence (OSINT) gebruikt openbare informatiebronnen om kwetsbaarheden binnen het SURF-netwerk en dat van aangesloten instellingen op te sporen. Denk hierbij aan Shodan en Censys, beiden zoekmachines voor kwetsbaarheden op het internet. We ontwikkelen nog een betere gebruikersinterface, want vertonen, ordenen en doorzoeken van informatie is op dit moment nog vrij technisch, en aanvankelijk richten we op gebruik door SURFcert zelf. Naast ontwikkelen van de interface, houden we ook de markt scherp in de gaten.

In de toekomst breiden we mogelijk interface-gebruikers uit naar CSIRT-teams van instellingen.

Gerichter kwetsbaarheden linken

De informatie uit deze openbare bronnen koppelen we aan de informatie over bijvoorbeeld IP-ranges van de aangesloten instellingen. Zo kunnen we gerichter kwetsbaarheden linken aan specifieke instellingen. In 2018 en 2019 breidden we dit uit met actieve scanning op basis van netflowinformatie uit het SURF-netwerk. Netflow maakt het mogelijk om IP-netwerkverkeer dat een interface binnenkomt of verlaat te verzamelen.