Cybersecurity-maatregelen testen, hoe doe je dat?

Cybersecurity damage control

Onderwijsinstellingen hebben te maken met steeds geavanceerdere cyberdreigingen.
Een proactieve benadering van het verhogen van de cyberweerbaarheid, waarbij het accent ligt op het regelmatig testen en oefenen van beveiligingsmaatregelen, is dan ook essentieel.

Door regelmatig te testen en oefenen weet je of procedures, technische maatregelen, detectie en reacties op incidenten effectief en up-to-date zijn.

Er zijn veel verschillende soorten oefeningen en testen, waardoor het moeilijk kan zijn om te bepalen welke je waarvoor in kan zetten. In dit artikel leggen we uit hoe SURF kan ondersteunen bij het kiezen van de juiste aanpak en de uitvoering van testen en oefeningen.

Het kiezen van de juiste cybersecuritytest

Om maximaal te leren van een test of oefening is het zaak dat je keuze aansluit bij je doelen. Als je bijvoorbeeld realistisch het reactievermogen op cyberaanvallen wilt testen, is een red team oefening geschikt. Als je juist wil zien of je bedachte incident of crisisprocessen werken, is een tablet- of simulatieoefening het beste. En als het doel is om een indruk van je huidige beveiligingsstaat te krijgen, kan je beter een vulnerability scan doen.

Voor het kiezen tussen de verschillende opties hebben wij de "Keuzekaart weerbaarheidstesten" ontwikkeld. Hierin staat uiteengezet wat de opties zijn en welke testen en oefeningen bij welke doel horen.

Keuzekaart weerbaarheidstesten SURF v1.0 (1)

Testen en oefeningen uitvoeren

Op dit moment werken wij aan een document dat meer uitleg geeft over Red teaming en werken wij aan een handleiding voor opdrachtbepaling en uitvoering. Voor cybercrisisoefeningen en het inzetten van een  Coordinated Vulnerability Disclosure  hebben we ook verschillende initiatieven en oefeningen lopen.

Voor sommige onderdelen hebben we al een standaard aanpak binnen onze sector. Zo hebben we OZON en NOZON voor incident- en crisisoefeningen en HALON voor het laten doorlichten van de systemen die onder je Coördinated Vulnerability Disclosure beleid vallen.

Ondersteuning vanuit SURF

Wanneer je nadenkt over het uitvoeren van een test of oefening, bieden wij vanuit het Security Expertise Centrum (SEC) ondersteuning in de vorm van een sparringpartner. Wij helpen met het kiezen en plannen van de test. Daarnaast kijken wij graag mee als je een test gaat uit laten voeren. Zeker bij de uitgebreidere (red en purple team) testen kan het waardevol zijn om vanuit SURF iemand mee te laten kijken. Naast het inbrengen van kennis en ervaring zorgt dit ervoor dat je capaciteit binnen je organisatie over houdt, terwijl je toch een goed gevuld team de test laat begeleiden. Dit alles om waardevolle inzichten en leerpunten te verkrijgen. Tevens kunnen wij ondersteunen bij het delen van informatie in bijvoorbeeld themadagen.  De kwartaalmeetings van SCIPR en SCIRT, waar we ervaringen delen en leren van anderen, dragen hier ook aan bij.

Toekomstige activiteiten: Raamwerk voor testen binnen de sector

Binnen SURF’s Security Expertise Centrum (SEC) helpen we je graag bij het opzetten en uitvoeren van verschillende soorten cybersecuritytesten. Wij zijn actief bezig met samenwerkingen, zowel binnen als buiten het SEC, om kennis en ervaring uit te wisselen. Het uiteindelijke doel is om voor de sector een raamwerk te hebben, zoals  (zorgsector) en  (financiële sector) waarbij testen en oefenen een gangbaar onderdeel is van cyberweerbaarheid-aanpak van elke instelling.