Het nieuwe security operations center bundelt cybersecuritykracht
Cybersecurity is een veelgevraagd en daardoor schaarser wordend specialisme. Juist daarom bundelt SURF de krachten steeds verder op dit gebied: we zijn bezig een eigen security operations center (SOC) op te richten. Waarom doen we dat? En hoe gaat zo’n SOC eruitzien?
Vragen die beantwoord worden door twee leden van het SOC-projectteam: Henk Swaters, chief information security officer (CISO) bij Universiteit Twente en Remco Poortinga-van Wijnen, teamhoofd Security & Privacy bij SURF.
“Er is de laatste jaren steeds meer aandacht voor cybersecurity, ook in het onderwijs en onderzoek. En dat is niet verwonderlijk, zeker niet nu we het afgelopen half jaar geconfronteerd zijn met incidenten als de ransomware-aanval bij de Universiteit Maastricht en het grote beveiligingslek in Citrix-software. We zien daardoor steeds beter hoe fundamenteel ict is: verstoringen in ict hebben een grote impact op de primaire processen.”
“Door deze ontwikkelingen neemt de druk op ict-afdelingen toe: cybersecurity is een steeds meer gevraagd en daardoor schaarser wordend specialisme. Daarmee stijgt de noodzaak om dit samen aan te pakken binnen onderwijs en onderzoek. Vandaar dus een gezamenlijk SOC binnen SURF.”
“Het initiatief kwam vanuit het wo. In het project werken we samen met experts van TU/e, TU Delft, UT, UM en ook Fontys. Het hbo is dus al betrokken bij de ontwikkeling, en de dienst komt uiteindelijk uiteraard ook beschikbaar voor de andere sectoren die bij SURF zijn aangesloten. Uit een peiling blijkt dat veel instellingen geïnteresseerd zijn om deel te nemen aan het SOC.”
Hoe gaat het nieuwe SOC eruitzien?
Swaters: “Het SOC gaat een centrale en proactieve rol spelen bij het detecteren van cyberdreigingen en zorgt dat de aangesloten ict-afdelingen snel gealarmeerd worden. Door de komst van het SOC kunnen instellingen ook beter samenwerken op het vlak van cybersecurity, doordat het makkelijker wordt om kennis uit te wisselen over het detecteren van cyberdreigingen. Een ander belangrijk voordeel van het nieuwe SOC is de 24x7 dienstverlening: wil je incidenten echt goed aanpakken, of zelfs voorkomen, dan moet je erbovenop zitten. Bij de UT hebben we nu moeite om een echte 24x7 service te realiseren en met een gezamenlijk SOC kan dat wel.”
De technische kern van het SOC wordt een SIEM: Security Incident & Event Management. Dit is software die de hele netwerkinfrastructuur gaat monitoren. “Dit SIEM kopen we in, inclusief het beheer en de 24x7 monitoring. We zijn daarvoor momenteel use cases aan het samenstellen. Dit zijn soorten incidenten die kunnen voorkomen en die gedetecteerd moeten worden door het SIEM. Denk dan aan afwijkend accountgebruik (iemand logt binnen twee uur in vanuit Nederland en vanuit Rusland), of gelijktijdige acties vanuit één account of IP-adres richting een heleboel servers in het netwerk. De informatie die nodig is voor deze use cases kunnen we aanbieden aan het SIEM, zodat het SIEM deze incidenten op een steeds intelligentere en efficiëntere wijze kan detecteren.”
Poortinga-van Wijnen: “Ook kennisdeling is een belangrijke component van het nieuwe SOC, zoals Henk al aangaf. We willen dat het SOC een plek wordt waar alle cybersecurity-expertise binnen de coöperatie bij elkaar komt. Zodat we elkaar kunnen helpen bij het voorkomen van incidenten, en het SIEM beter van informatie kunnen voorzien. We willen ook Indicators of Compromise (IoC’s) beter onderling delen. Dit zijn IP-adressen of domeinnamen die mogelijk een bedreiging vormen. Door die snel met elkaar te delen, kunnen we veel onheil voorkomen. Die kennisdeling is belangrijk: je krijgt als individuele instelling een beter beeld van wat er bij de andere instellingen speelt, en waar jij dus ook rekening mee kunt houden. Dit geeft veel synergie.”
SURF levert met SURFcert al cybersecuritydienstverlening. Hoe gaan SURFcert en het nieuwe SOC zich tot elkaar verhouden?
Poortinga-van Wijnen: “SURFcert wordt een belangrijk onderdeel van het SOC en blijft aan alle aangesloten instellingen de
dienstverlening bieden die het nu ook al biedt. Denk aan vulnerability scanning, kennis en IoC’s delen en de CERT-functie (ondersteuning bij beveiligingsincidenten). SURFcert kan al die diensten nog beter leveren omdat ze ook informatie mee kunnen nemen die het SIEM levert. Het SIEM vormt een uitbreiding op de SURFcert-dienstverlening. Je moet daar als instelling straks apart voor betalen als je het wilt afnemen.”
Hoe verloopt het project tot nu toe?
Swaters: “Het project loopt voorspoedig. Als deelnemende instellingen werken we heel transparant samen, we zien elkaar niet als concurrenten. Dus ik ben positief en hoop dat we zo snel mogelijk kunnen beginnen om met het SOC, cybersecurity echt centraal aan te pakken.”
Wanneer gaat het SOC draaien?
Swaters: “Uiteraard hadden we het SOC liever gisteren dan vandaag operationeel gehad. De planning is dat we begin 2021 gaan draaien. Natuurlijk zijn we dan nog niet klaar. Vanaf dan moeten alle deelnemende instellingen technisch gaan aansluiten op het SIEM. Ze moeten sensoren plaatsen in hun netwerk, de infrastructuur aanpassen enzovoort. Doordat we het samen doen, gaat het aansluitproces wel steeds sneller: de instellingen die later aansluiten leren van de ervaringen van de eerdere. Naast (en na) het feitelijke aansluiten gaan we samen kijken welk netwerkgedrag normaal is en wat afwijkend. In het begin zullen we false positives krijgen, valse alarmen. Die moeten we elimineren, zodat we alleen op echte incidenten reageren, want als je er dáár twee van hebt op een dag, heb je het al druk genoeg.”
“Maar ook na het aansluiten en de eerste hobbels zijn we niet klaar. Dat zijn we eigenlijk nooit: we blijven nieuwe ervaringen opdoen waarmee we het SIEM beter kunnen maken, en waarmee we elkaar steeds alerter blijven maken op cybersecuritydreigingen.”
Met medewerking van Marc Berenschot, security manager aan de Universiteit Twente.
'Het nieuwe security operations center bundelt cybersecuritykracht' is een artikel uit de september-editie van SURF Magazine 2020.
Tekst: Jan Michielsen
Foto: SURF