Programma Cyberveiligheid mbo

Traject Van check tot hack

In het traject Van check tot hack testen we hoe instellingen ervoor staan op het gebied van technische weerbaarheid. Van de scholen die het hele traject succesvol doorlopen, komen er drie in aanmerking om hun cyberweerbaarheid uitgebreid door een professioneel red team te laten testen. Instellingen die nog niet zo ver zijn, kunnen aan losse onderdelen van het traject deelnemen.

Als vervolg op de red teaming oefeningen bij drie mbo-scholen in 2023, biedt het programma Cyberveiligheid mbo in 2024 een uitgebreider traject aan: Van check tot hack. In dit traject hebben we samen met SURF verschillende checks en scans gedefinieerd, die instellingen kunnen gebruiken als voorbereiding op een red teaming oefening.

Van check tot hack is een menu

Zoals je onderaan deze pagina ziet, hebben we het Van-check-tot-hack-traject beschreven als een menu. Je kunt alle gangen á la carte aanvragen. Maar als je in aanmerking wilt komen voor het toetje, moet je het menu in zijn geheel bestellen. De drie instellingen die als meest kansrijk uit de eerste vijf gangen komen, mogen als dessert hun technische weerbaarheid door een professioneel red team laten testen.

Waarom deze aanpak?

We hebben voor deze aanpak gekozen omdat red teaming testen kostbaar zijn. Met dit traject helpen we je om eerst het laaghangend fruit uit de boom te schudden, zodat je later meer uit de externe test kunt halen. Er worden dan geen open deuren meer ingetrapt en de aanbieder van de test moet creatiever te werk gaan. Ook garandeert deze aanpak een grondige doorlichting van je systemen. Je weet op deze manier beter hoe je technische weerbaarheid ervoor staat en hoe je deze op orde kunt houden.

Wie kan er meedoen?

Alle mbo-instellingen kunnen zich opgeven voor het complete Van-check-tot-hack-traject. Het is ook mogelijk om à la carte losse tests van het menu te kiezen, maar we geven instellingen die het hele traject doorlopen voorrang in de planning. Als meer dan negen instellingen zich aanmelden voor het hele traject, hanteren we een intake om te beoordelen voor wie het traject het meest passend is.

Dit verwachten we van instellingen

Voor deelname aan het Van-check-tot-hack-traject is het een vereiste dat de instelling logging en monitoring heeft ingericht. Ook willen we per instelling één aanspreekpunt die het traject vanuit de instelling leidt. Verder moet de Site Security Contact (SSC) van de instelling ermee instemmen dat de instelling deelneemt aan het traject. Daarnaast is het belangrijk dat er binnen de instelling aandacht en tijd is om de uitkomsten van de trajectstappen op te volgen. En dat de instelling naderhand zoveel mogelijk uitkomsten en geleerde lessen deelt met de sector. Tijdens het traject faciliteren SURF en het programma Cyberveiligheid de uitwisseling van kennis en ervaringen tussen de deelnemende instellingen, zodat we samen zoveel mogelijk leren. Dit doen we onder meer met een gezamenlijke kick-off, regelmatige vragenuurtjes en een gezamenlijke evaluatie.

Meer informatie en aanmelden

Wil je meer informatie over Van check tot hack, stuur dan een bericht naar Joost Gadellaa. Bij hem kun je ook terecht om je aan te melden voor losse onderdelen van het traject; de aanmeldingsperiode voor het complete Van check-tot-hack-traject is inmiddels voorbij. Zorg dat je de volgende gegevens meestuurt: naam van de instelling en de naam en contactgegevens van het aanspreekpunt van de instelling. Verder willen we een bevestiging van de SSC van de instelling dat deze akkoord is met deelname aan Van-check-tot-hack. De SSC moet bij de aanmelding ook in de CC worden meegenomen.

Traject Van check tot hack – het menu

Voor- en hoofdgerechten (voor iedereen)

Gang 1: Basischecklist

Wat: Tijdens een informeel gesprek op locatie van 2 tot 2,5 uur bespreken we IT-security gerelateerde onderwerpen, van operationeel tot beleid. Tijdens het gesprek vullen we samen de standaard checklist in. Ook besteden we aandacht aan voorbereidde resultaten: de IV-meting, OSINT, e.d.

Doel: Bespreken hoe IT security is ingericht (o.a. incident response), waar de instelling tegenaan loopt en welke hulp we eventueel kunnen bieden, bijvoorbeeld via de security community’s en diensten van SURF.

Uitkomst: Een lijst van zaken waarbij de instelling meer hulp of informatie zou kunnen gebruiken.

Ondersteuning SURF/programma Cyberveiligheid: Indien mogelijk het bieden van extra ondersteuning n.a.v. de uitkomst van het gesprek.

Gang 2: Vulnerabilityscan

Wat: SURF voert een vulnerability (kwetsbaarheden) scan op het netwerk en/of de systemen van de organisatie uit. We beperken dit in principe tot on-premise systemen en de IP-reeksen van de instelling. We helpen instellingen bij het bepalen van de scope van de scan. De verantwoordelijkheid voor communicatie en eventuele afspraken met externe leveranciers ligt bij de instelling.

Doel: Testen welke kwetsbaarheden aanwezig zijn in de door de organisatie gehoste systemen.

Uitkomst: Een lijst van gevonden kwetsbaarheden om mee aan de slag te gaan.

Ondersteuning SURF/programma Cyberveiligheid: Een voorbereidend overleg om de scope te bepalen, het uitvoeren van de scan, en waar nodig (doorlopend in het traject) hulp bieden bij het oplossen van kwetsbaarheden.

Gang 3: Detectietest door SURF

Wat: Op locatie voert SURF testen uit op het netwerk en/of de systemen die de organisatie host (brute force password spraying, portscans, testen die alerts op SURFsoc use cases veroorzaken e.d.). We beperken dit tot de IP-reeksen van de instelling.

Doel: Testen of de aanvallen worden opgemerkt door de organisatie. Detectie/loggen kan door een SOC of CERT/CSIRT gebeuren, maar ook detectie door lokale preventieve maatregelen op host of netwerk is mogelijk.

Uitkomst: Een overzicht met bevindingen en gedetailleerde logging van alles wat we hebben getest. Hiermee kan de instelling aan de slag voor vervolgstappen voor meer cyberveiligheid.

Ondersteuning SURF/programma Cyberveiligheid: SURF bezoekt de instelling om de testen uit te voeren en te bespreken wat er is gedaan met welke bevindingen.

Gang 4: Mini red teaming test door SURF

Wat: SURF voert een daadwerkelijke aanvalstest op locatie uit op de systemen die de organisatie host. Dit gebeurt op een kleinere schaal dan een echte red teaming test en heeft als doel om de meest basale bevindingen van het latere red-team voor te zijn.

Doel: Door middel van een daadwerkelijke kleinschalige aanval nagaan of er intern zaken zichtbaar zijn en misbruikt kunnen worden om een systeem of netwerk binnen te dringen.

Uitkomst: Een overzicht met bevindingen en gedetailleerde logging van alles wat we hebben getest en gevonden. Hiermee kan de instelling aan de slag voor vervolgstappen voor meer cyberveiligheid.

Ondersteuning SURF/programma Cyberveiligheid: SURF bezoekt de instelling om de testen uit te voeren. De uitkomsten en eventuele mitigerende maatregelen bespreken we met de instelling.

Gang 5: Check of je klaar bent voor externe test

Wat: Samen met de specialisten van SURF een checklist doorlopen.

Doel: Check of de eerder gesignaleerde kwetsbaarheden zijn verholpen en het identificeren en oplossen van overige vaak gemiste verbeterpunten uit weerbaarheidstesten.

Uitkomst: Een overzicht van laatste voorbereidingsstappen om het maximale uit de red teaming test te halen.

Ondersteuning SURF/programma Cyberveiligheid: Een online of offline sessie om de checklist door te lopen en de eventuele red teaming test voor te bespreken.

Toetje: the proof of the pudding (voor drie instellingen)

Gang 6: Red teaming test door externe partij

Wat: Drie instellingen die alle bovenstaande stappen hebben doorlopen en passende acties hebben ondernomen om de kwetsbaarheden te verhelpen, krijgen een red teaming oefening aangeboden.

Doel: Zien waar hackers bij kunnen komen op basis van een door de instelling gedefinieerde lijst met kroonjuwelen.

Uitkomst: Een rapport met een verslag van alle uitgevoerde aanvallen, een presentatie van alle gevonden kwetsbaarheden en een (management)samenvatting met aanbevelingen.

Ondersteuning SURF/programma Cyberveiligheid: Bekostiging van de red teaming oefening voor drie instellingen. Ondersteuning bij het maken van de afspraken met de leverancier. SURF neemt deel in het control team dat de test begeleidt om de instelling te ondersteunen.

Contactpersoon

Neem contact op met Joost Gadellaa voor meer informatie.