SURFsoc: samen informatiebeveiliging verhogen

Met SURFsoc heb je één aanspreekpunt voor al je securityzaken op infrastructuurgebied. SURFsoc monitort, onder andere via een SIEM-systeem, cyberdreigingen en mogelijke aanvallen op de instellings-infrastructuur. De kennis die we binnen SURFsoc opdoen, delen we met de instellingen. Zo verhogen we de informatieveiligheid binnen onderwijs en onderzoek.

2 personen luisteren aandachtig

SURFsoc: samen informatiebeveiliging versterken

SURFsoc versterkt samenwerking over informatiebeveiliging en is hét aanspreekpunt voor instellingen om beveiligingsincidenten te detecteren en te voorkomen.

SURFsoc

Onderzoeks- en onderwijsinstellingen zetten steeds meer verschillende vormen van ICT in; tijd en kennis om deze te beschermen tegen dreigingen hebben ze niet altijd in huis. Een gezamenlijk Security Operations Centre (SOC) versterkt hun positie in informatiebeveiliging.

SURFsoc monitort op cyberdreigingen, mogelijke aanvallen en inbraken op de ICT-infrastructuur van aangesloten instellingen en het is beschikbaar voor alle instellingen die zijn aangesloten op het SURF-netwerk.

SURFsoc bestaat uit verschillende onderdelen, die elkaar ook versterken:
•    Security Information en Event Management (SIEM)
•    Advies over use casegebruik en use casemanagement
•    Kennisdeling op securitygebied
•    Vulnerability Scanning

De SIEM-dienstverlening is het belangrijkste onderdeel van SURFsoc. Deze dienst besteden we uit aan een leverancier; deze levert het SIEM-systeem en de SIEM-dienstverlening. Samen met de leverancier en de instellingen werken we vanuit SURFsoc aan use casemanagement, zodat instellingen use cases en het SIEM-systeem zinvol kunnen inzetten.

    MISP

    SURFcert is aangesloten op het Nationaal Detectie Netwerk (NDN), een samenwerkingsverband tussen het Nationaal Cyber Security Centrum (NCSC), Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Het NDN wil cybersecurityrisico’s en -gevaren sneller opmerken door onderling dreigingsinformatie te delen, onder andere met een Malware Information Sharing Platform (MISP). SURFcert mag met het MISP ontvangen gegevens opslaan en delen. Instellingen kunnen deze 'Threat Intel Feed' samen met eigen middelen inzetten en op mogelijke bedreigingen monitoren. Hoe je je daarvoor aanmeldt lees je op de SURFsoc-wiki.

    Hoe werkt NDN?

    Vulnerability scanning

    SURFsoc voert ook vulnerability scanning uit. Het gaat daarbij om kwetsbaarheden en bad practices die vanaf het internet zichtbaar zijn en die zodanig misbruikt kunnen worden dat instellingen er schade van ondervinden. Deze vorm van vulnerability scanning vervangt niet de vulnerability scanning die je als instelling zelf doet binnen je systeembeheer en patchmanagement. Meer over de vulnerability scanning door SURFsoc lees je op de SURFsoc-wiki.

    Samenwerking SURFsoc en SIEM

    Continu (24/7) loggegevens uit ICT-infrastructuur verzamelen en analyseren is specialistisch werk. SURF besteedt SIEM daarom uit aan een leverancier, SURF voert zelf de regie. SURFsoc blijft verantwoordelijk voor afstemmen van de behoeftes van instellingen; ze hebben immers een contract met SURF. Zo blijft SURF ook aanspreekpunt voor gezamenlijke diensten rond beveiligingsincidenten detecteren en voorkomen. De SIEM-leverancier helpt SURF en de instellingen met informatiebeveiliging versterken, bedreigingen signaleren en daarover aan de instellingen adviseren. Met dit advies kunnen ze dan weer meldingen opvolgen en de bedreiging mitigeren. SURFcert krijgt toegang tot al deze informatie om zo hun CERT-functie te versterken. Bij bedreiging van één instelling die breder kan plaatsvinden, treden SURF en de SIEM-leverancier proactief op voor alle instellingen.

    Visualisatie SURFsoc

    In onderstaande infographic zie je hoe SURFsoc, SURFcert, SIEM en de instellingen zich tot elkaar verhouden. De SIEM-dienstverlening is onderdeel van de overkoepelende SURFsoc-dienstverlening. SIEM treedt dus op als aanvullende partner van SURFsoc en er is een nauwe samenwerking met SURFcert. SURFcert heeft toegang tot de gegevens van alle aangesloten instellingen. Bij calamiteiten helpt SURFcert mee met oplossen en mitigeren op basis van advies van SIEM en eigen kennis.

    een sche waaruit blijkt hoe het SOC in elkaar steekt