SURFsoc: samen informatiebeveiliging verhogen

Eén aanspreekpunt voor gemeenschappelijke diensten die beveiligingsincidenten detecteren en voorkomen. Verder houdt SURFsoc toezicht op cyberdreigingen en mogelijke aanvallen of inbraken op ICT-infrastructuur. Beschikbaar voor alle instellingen aangesloten op het SURF-netwerk.

2 personen luisteren aandachtig

Sneller en gerichter bedreiging onderscheppen door monitoren van security

SURF vernieuwt non-stop en ontwikkelt op dit moment een aantal securitydiensten om sneller en gerichter onregelmatigheden in het netwerk te onderscheppen. SURFcert kan dan in een zo vroeg mogelijk stadium waarschuwen voor bedreigingen.

Domain Name System (DNS) monitoren en filteren

Verdachte domeinen detecteren

Met DNS-monitoring detecteert SURFcert kwaadaardige domeinen die worden opgevraagd in DNS, op een privacyvriendelijke manier. Cybercriminelen zetten namelijk op verschillende manieren DNS in voor hun activiteiten; aanvraag van een bepaald domein (of patroon van domeinen) bij een DNS-resolver kan onderdeel zijn van een Indicator of Compromise (IoC). Een systeem is dus mogelijk geïnfecteerd of er vindt een aanval plaats. We controleren opgevraagde domeinen met een lijst van verdachte domeinen en krijgen zo beter inzicht in mogelijke bedreigingen. Met dit inzicht waarschuwen en adviseren we instellingen bijvoorbeeld om scherper te monitoren of bepaalde systemen te isoleren.

Kwaadaardige aanvragen blokkeren

In de toekomst overwegen we dergelijke domeinen daadwerkelijk te blokkeren. Als je deze domeinen dan opvraagt, levert dat bijvoorbeeld in DNS geen resultaten meer op, of je ziet een pagina van SURFcert. We onderzoeken deze optie nog grondig: de maatregel is ingrijpend, met mogelijk onvoorziene gevolgen.

Intrusion Detection System (IDS)

Controleren en waarschuwen

Een Intrusion Detection System (IDS) bestaat uit sensoren die het netwerkverkeer monitoren. Een IDS controleert op IoC's (Indicators of Compromise), en waarschuwt als het iets ontdekt. In het netwerk werken deze sensoren als passieve monitors en verstoren niet de normale werking van het netwerk. Ze zijn strategisch geplaatst en controleren op basis van informatie uit IoC's op bepaalde verdachte patronen in het netwerkverkeer. Als je deze IoC's wilt gebruiken voor de IDS-systemen van je instelling, kun je ze al krijgen van SURFcert.

IDS opzetten in SURF-netwerk

We onderzoeken de mogelijkheden van een eigen IDS opzetten in het SURF-netwerk, met behulp van dezelfde infrastructuur als die van Firewall-as-a-Service. Daarmee monitoren we dan op IoC's buiten de instellingsnetwerken, als mogelijke aanvulling op de IDS van de instelling zelf; een IDS in het SURF-netwerk kan immers geen intern instellingsverkeer zien.