Eind 2019 vond er een zeer ernstige ransomwareaanval plaats bij de Universiteit Maastricht. De impact was groot. Niet alleen voor de UM zelf, maar voor het hele onderwijs en onderzoek. Het incident vormde de aanleiding voor de opzet van SURFsoc, dat nu 23 onderwijsinstellingen helpt met cybersecurity.

Het security operations centre (SOC) van SURF is nu iets meer dan een jaar actief. Florian Draisma, productmanager van SURFsoc: “Er waren voor de aanval op de UM onder de SURF-leden wel initiatieven om een gezamenlijk SOC op te zetten. Maar de gebeurtenissen in Maastricht hebben voor een flinke stroomversnelling gezorgd.”
De HAN is een van de instellingen die snel na livegang op SURFsoc zijn aangesloten. Gertjan Flinterman, hoofd ict bij de HAN: “Ook voor ons was de aanval bij de UM de directe aanleiding om na te denken over een security operations centre. We hebben rond die tijd ook een security scan gedaan. Die liet zien dat goed inzicht in cyberdreigingen nodig is om gericht en tijdig te kunnen handelen bij incidenten. We hadden natuurlijk wel de standaard-monitoringtools tot onze beschikking, maar het is lastig om alle logs te analyseren. Daar is veel kennis en inzet voor nodig. Vandaar dat we gekozen hebben voor SURFsoc.”

Samen detectiecapaciteit vergroten
Een SOC verzamelt niet alleen gegevens uit het netwerk van de instelling, maar analyseert die ook. Daardoor kun je gerichter actie ondernemen op verdachte activiteiten. Een ander voordeel is dat alle systemen in samenhang worden gemonitord. Verdacht verkeer in het ene systeem wordt gemakkelijker ook herkend in het andere systeem. Een SOC vergroot op die manier je detectiecapaciteit.
Ga je dan ook nog samenwerken over instellingen heen, met een centraal security operations centre, dan kun je bedreigingen nóg beter detecteren. Bespeur je verdacht verkeer bij één instelling, dan kun je de netwerken van alle andere instellingen ook analyseren op dat type verkeer. Je staat dan dus samen echt sterker. Flinterman: “We hadden natuurlijk ook zelf een SOC kunnen aanschaffen, maar we hebben het heel bewust via SURF gedaan. Bij de HAN vinden we het collectief belangrijk, dus we willen samen optrekken met onze collega-instellingen. Daarnaast is het natuurlijk praktisch dat we niet zelf een heel aanbestedingstraject hoefden uit te voeren. We zijn blij met de kant-en-klare oplossing van SURFsoc.”

Succesvolle megaklus
SURF is begin 2020 gestart met het opzetten van SURFsoc, samen met een aantal universiteiten en een hogeschool. Zij hebben veel inspraak gehad, want zij zijn de uiteindelijke afnemers. Draisma: “In januari 2020 startte de aanbesteding, want we hadden besloten de dienst niet in huis te draaien, maar dit uit te besteden.”
Binnen een jaar was de aanbesteding rond en in april 2021 is de dienst in productie genomen. Dit was een megaklus voor SURF, voor de deelnemende instellingen en ook voor leverancier Fox-IT. “Met Fox-IT hebben we een partij in huis gehaald met een grote staat van dienst op het vlak van cybersecurity. Zij bieden 24/7 bemande ondersteuning, maar misschien nog wel belangrijker: we maken voor SURFsoc gebruik van de detectieregels die Fox-IT zelf ontwikkelt, ook voor andere sectoren.” Rein Breimer is programmamanager SURFsoc bij Fox-IT en het aanspreekpunt voor SURF. Hij vult aan: “We volgen, via mijn Fox-IT-collega’s van Threat Intelligence, de cyberdreigingen in het onderwijs- en wetenschapsveld op de voet. Die kennis voegen we via detectieregels toe aan de SURFsoc-dienstverlening.”

Alle instellingen goed bedienen
Breimer vervolgt: “We zijn trots dat we met SURF mogen samenwerken aan SURFsoc. We werken op meerdere vlakken al samen met instellingen in onderwijs en wetenschap, dus de sector kennen we al. Toch is deze samenwerking nieuw voor ons, omdat SURF een groot aantal klanten vertegenwoordigt. De uitdaging daarbij is om alle instellingen goed en eenduidig te bedienen, volgens de afspraken die we met SURF gemaakt hebben. We zien dat het volwassenheidsniveau op het vlak van cybersecurity niet bij alle instellingen even groot is. Dat is logisch als je bedenkt dat een universiteit misschien 150 IT-mensen in dienst heeft, en een kleine mbo-instelling maar vier. We werken nauw samen met SURF, en ook met SURFcert, om te zorgen dat alle instellingen de verbetermaatregelen kunnen doorvoeren die nodig zijn naar aanleiding van incidenten.”

Vertrouwen in SURFsoc
De HAN is tevreden over de samenwerking met SURF en Fox-IT. Flinterman: “Wij zijn in juli 2021 aangesloten op SURFsoc. Het aansluittraject duurde een week of 6 en verliep goed. In die tijd hebben we alles geconfigureerd en ingeregeld en de eerste meldingen besproken. Daarbij zijn we goed begeleid door de mensen van Fox-IT.” Hij heeft nog wel een tip voor instellingen die gaan aansluiten op SURFsoc: maak de eerste tijd na de aansluiting extra menskracht vrij. Er komen dan veel meldingen binnen, onder andere omdat nog niet alles helemaal goed ingeregeld is. Als alles gefinetuned is, neemt het aantal meldingen sterk af. “Dat is een goede zaak”, aldus Flinterman. “Alle meldingen die nu binnenkomen zijn relevant en daar gaan we mee aan de slag. SURFsoc geeft ons het vertrouwen dat we kleine incidenten kunnen oplossen voordat het grote aanvallen worden die schade aanrichten. Want een grote hack begint bij een kleine inbraak.”

Grote én kleine instellingen aangesloten
SURFsoc is nu een jaar in productie. Waar staan we na dat jaar? Productmanager Flinerman: “Ik kijk met een goed gevoel terug op het eerste jaar. Er zijn al 23 instellingen die SURFsoc afnemen, verdeeld over mbo, hbo, wo, research en umc’s. Daar zitten ook kleinere instellingen bij en dat is goed om te zien: voor hen betekent SURFsoc een behoorlijke uitgave, maar ook zij zien de toegevoegde waarde. De adoptie gaat dus goed.” Rein van Fox-IT kan dit beamen: “Ook wij zijn heel tevreden over het eerste jaar SURFsoc: we kunnen de verwachtingen waarmaken en er zijn steeds meer instellingen die interesse hebben in SURFsoc.”

Doorontwikkeling
Uiteraard staat SURFsoc niet stil, er is geen tijd om op de lauweren te rusten. Florian: “Het belang van cyberweerbaarheid wordt alleen maar groter, en samenwerking is daarin een cruciale factor. Afgelopen najaar stelde de minister van OCW bijvoorbeeld nog dat iedere instelling op termijn de beschikking moet hebben over een security operations centre.”
Alle reden dus om volop in te zetten op de doorontwikkeling van SURFsoc. Zo is er afgelopen jaar al een nieuwe usecase toegevoegd aan SURFsoc: de monitoring van Microsoft 365. Daarnaast is het aansluittraject versoepeld. Breimer van Fox-IT: “SURFsoc implementeren is best een klus voor instellingen. Daarom gaan onze specialisten nu naar de instelling toe om ze ter plaatse te helpen bij het inrichten en inregelen.” Verder is er, naast een groepstraining, nu ook een online trainingsprogramma voor het gebruik van het SIEM-platform, dat gebruikers individueel kunnen volgen.

Op naar de 40 deelnemers in 2022
En natuurlijk zetten SURF en Fox-IT in op nog meer deelnemers aan SURFsoc. Hoe meer instellingen kennis en expertise delen over hun netwerk en de incidenten die daar plaatsvinden, hoe beter instellingen zich kunnen beschermen tegen dreigingen. Florian: “Ik verwacht dat we dit jaar nog zo’n 17 instellingen aansluiten, waarmee het totaal op 40 zou komen. Dat zou een mooi resultaat zijn voor 2022. Maar het uiteindelijke doel is dat alle instellingen zijn aangesloten op een SOC. En dan bij voorkeur op SURFsoc, natuurlijk. Omdat dat de weerbaarheid van onze sector als geheel vergroot.”

Bron: surf.nl