SURFnet cyberskills #4:

Binnen het Nederlandse onderwijs en onderzoek is samenwerken aan security belangrijk

Samen zorgen voor een schoon en veilig netwerk

Er zijn verschillende communities in het leven geroepen waarin veel bij SURFnet aangesloten instellingen vertegenwoordigd zijn. Wat doen deze communities allemaal om het netwerk binnen onderwijs en onderzoek schoon en veilig te houden? Hoe gaan zij bijvoorbeeld om met besmette systemen en DDOS-aanvallen? 

Incident response teams
Sinds 2007 bevordert SURFnet het opzetten van lokale Computer Security Incident Response Teams (CSIRT's) in het hoger onderwijs en onderzoek. Deze teams voeren de lokale incident response procedures uit en staan in contact met SURFcert, dat namens SURFnet de aanpak van geconstateerde incidenten coördineert. De meeste instellingen hebben een CSIRT en deze hebben een hechte samenwerking met SURFcert. Met SURFcert hebben aangesloten instellingen 24 uur per dag, 7 dagen per week ondersteuning bij beveiligingsincidenten. Ze werken samen en delen informatie in SCIRT (de SURFnet Community van Incident Response Teams).

Analyse van incidenten
Meldingen kunnen overal vandaan komen en indien nodig zal SURFcert eerst een analyse doen van het incident. Hierbij wordt gekeken naar; wat voor incident is het, hoe groot is het incident, hoe bedreigend is het en wie zijn er nodig om dit te bestrijden? De melding wordt gedeeld met het incident response team van de instelling die vervolgens actie kan ondernemen. Als het om een geïnfecteerde computer gaat kunnen ze deze bijvoorbeeld isoleren en opschonen, bij een DDoS aanval werken ze vaak direct samen met SURFcert om de effecten te beperken.

Wasstraat voor DDOS-aanvallen
Om gevolgen van DDOS-aanvallen tegen te gaan heeft SURFcert de beschikking over een zogenaamde ‘wasstraat’, waar het verkeer richting een instelling doorheen geleid kan worden. In de wasstraat wordt eerst een grove schifting gemaakt tussen vuil en schoon verkeer (de 'voorwas'). De rest van het al bijna schone verkeer gaat dan in een ‘wasmachine' die intensiever schoonmaakt (de ‘hoofdwas’). Het schone verkeer uit de wasmachine gaat weer richting de instelling, mogelijke restjes fout verkeer die overblijven kunnen vervolgens gemakkelijk bij de instelling zelf worden opgevangen. Hierdoor blijft de internetverbinding ondanks de DDoS-aanval beschikbaar voor onderwijs en onderzoek.

SURF Community voor Informatiebeveiliging en PRivacy (SCIPR)
Een andere community die een belangrijke rol speelt in de samenwerking voor een schoon en veilig netwerk is SCIPR. Dit is een community waarin informatiebeveiligers en privacy officers van instellingen samenwerken om hun informatiebeveiliging verder te professionaliseren. Zij doen dit met name door kennisdeling, het ontwikkelen van beleid en procedures en het inzetten van meetinstrumenten om security resultaten toetsbaar te maken zoals de SURFaudit. 

Eerste landelijke cybercrisisoefening 
Een mooi voorbeeld van de goede samenwerking is de eerste landelijke cybercrisisoefening binnen het Nederlandse onderwijs en onderzoek die op 4 en 5 oktober werd gehouden. SURFcert heeft het initiatief genomen dit te organiseren. Dankzij de enthousiaste samenwerking van de hele sector hebben uiteindelijk meer dan 200 mensen van 27 instellingen deelgenomen.

Meer informatie 
Meer informatie over SURFcert, CSIRT, SCIPR is te vinden op de website van SURFnet. Lees meer over de crisisoefening in het persbericht ‘Eerste landelijke cybercrisisoefening voor Nederlands onderwijs en onderzoek’ of in het blog van SURFcert.