Programma Cyberveiligheid mbo

Traject Van check tot hack 2.0

Met het traject Van check tot hack 2.0 bouwen we voort op de ervaringen die we in eerdere pilots hebben opgedaan. Samen met SURF testen we hoe twaalf mbo-instellingen ervoor staan op het gebied van technische weerbaarheid, maar nu met een duurzamere aanpak en meer focus op begeleiding en handelingsperspectief.

We hebben veel geleerd van de red teaming-oefeningen bij drie mbo-scholen in 2023 en het traject Van check tot hack in 2024. We weten dat goede begeleiding, strak projectmanagement, uniforme rapportage en concreet handelingsperspectief essentieel zijn voor een succesvol traject. Deze vormen daarom de basis van het traject Van check tot hack 2.0. In tegenstelling tot het eerste traject, kiezen we er nu voor om alle checks bij deelnemende instellingen uit te voeren. Verderop op deze pagina lees je wat de checks van het traject precies inhouden.

Van pilots naar structurele aanpak

Het doel is nu net wat anders dan in de eerste pilots. Samen met SURF werken we vanuit het programma Cyberveiligheid aan een duurzame manier van testen, waarmee instellingen continu inzicht krijgen in hun actuele technische weerbaarheid. De handmatige netwerkpentest die onderdeel is van het traject is voor instellingen een waardevolle bonus. Voor ons zijn ze een extra check om te achterhalen of de geautomatiseerde testen iets hebben gemist.

Dit verwachten we van deelnemende instellingen

De twaalf instellingen die aan het traject Van check tot hack 2.0 meedoen, voldoen aan de volgende vereisten:

  • De instelling heeft logging en monitoring ingericht.
  • Er is één aanspreekpunt dat het traject vanuit de instelling leidt.
  • De Site Security Contact (SSC) van de instelling stemt in met deelname.
  • Er is binnen de instelling voldoende tijd en aandacht om de uitkomsten op te volgen.
  • De instelling deelt achteraf zoveel mogelijk uitkomsten en geleerde lessen met de sector.

Samen leren

Gedurende Van check tot hack 2.0 faciliteren SURF en het programma Cyberveiligheid de kennisuitwisseling tussen deelnemende instellingen. Dat doen we via een gezamenlijke kick-off, regelmatige vragenuurtjes en een gezamenlijke evaluatie.

De checks van traject Van check tot hack 2.0

Het traject bestaat uit de volgende onderdelen:

Pre-intake
Wat: We verzamelen van tevoren de benodigde basisinformatie. We achterhalen de scope (domeinen, IP-ranges, lokale subnets) en vragen de instelling om alvast een CIS-benchmark te draaien.
Doel: Informatie verzamelen waarmee we de tooling later in het traject kunnen inrichten. We krijgen een eerste beeld van de instelling en weten welke zaken we moeten bespreken om dit tijdens de intake helemaal duidelijk te krijgen.
Uitkomst: Informatie die nodig is voor het vaststellen van de ASM-scope (Attack Surface Management). Deze bepalen we in overleg tijdens de intake. Informatie benodigd voor EduC2 (netwerkinstellingen) en de resultaten van de CIS-benchmark.
Ondersteuning: Indien gewenst kunnen we de CIS-benchmark tijdens de intake uitvoeren. We trekken hiervoor dan extra tijd uit.

Intake
Wat: We komen langs bij de instelling voor een informeel gesprek van 2 tot 2,5 uur, waarin meerdere IT-securityonderwerpen, van operationeel tot beleid, aan bod komen. Samen vullen we een checklist in.  We bespreken ook de voorbereide resultaten: de IV-meting, informatie over ASM, scores van de CIS-benchmark. We nemen een device voor EduC2-testen mee.
Doel: Inzicht krijgen hoe IT-security is ingericht (o.a. incident response), waar de instelling tegenaan loopt en welke hulp we eventueel kunnen bieden, bijvoorbeeld via de security-community’s en diensten van SURF.
Uitkomst: Een lijst van onderdelen waarbij de instelling hulp of informatie kan gebruiken.

Vulnerability scan
Wat: SURF voert een vulnerability (kwetsbaarheden) scan op het externe netwerk en systemen van de organisatie uit. We helpen instellingen bij het bepalen van de scope van de scan. De verantwoordelijkheid voor communicatie en eventuele afspraken met externe leveranciers ligt bij de instelling.
Doel: Achterhalen welke kwetsbaarheden er zijn in de door de organisatie gehoste systemen.
Uitkomst: Een lijst van gevonden kwetsbaarheden, waarmee we met de instelling aan de slag kunnen gaan.

Detectietest
Wat: SURF voert op locatie testen uit op het netwerk en/of de systemen die de instelling host. Denk bijvoorbeeld aan brute force password spraying, portscans en testen die alerts op SURFsoc-usecases veroorzaken. We beperken dit tot de IP-reeksen van de instelling.
Doel: Testen of aanvallen worden opgemerkt door de organisatie – via een SOC, CERT/CSIRT of lokale maatregelen op host- of netwerkniveau.
Uitkomst: Een overzicht met bevindingen en gedetailleerde logging van alles wat we hebben getest. Hiermee kan de instelling aan de slag voor vervolgstappen om de cyberveiligheid te verhogen.

Attack Surface Management (ASM)
Wat: Tijdens de pre-intake hebben we bepaald welke domeinen en IP-ranges onderdeel zijn van de ASM-scope, bij de intake aan welke ontdekte assets we aandacht gaan besteden. In dit onderdeel delen we resultaten over de scope. Denk bijvoorbeeld aan (potentiële) kwetsbaarheden, publiek beschikbare diensten, lekkende informatie en schaduw-IT.
Doel: Inzicht krijgen en het minimaliseren van het totale aanvalsoppervlak van de instelling.
Uitkomst: Een overzicht van alle aan de instelling te relateren domeinen en IP-ranges die onderdeel kunnen zijn van het aanvalsoppervlak.

EduC2
Wat: Vanuit het programma Cyberveiligheid is een eigen product ontwikkeld: EduC2. Het detecteert de meest voorkomende bevindingen uit pentests die bij mbo-instellingen zijn uitgevoerd. Hiermee kunnen we snel en wendbaar onderzoek doen naar veelvoorkomende misconfiguraties en kwetsbaarheden bij een instelling.
Doel: We halen dit laaghangend fruit weg, zodat de uitkomst van een latere pentest of red team-test waardevoller wordt.
Uitkomst: Een overzicht van bevindingen uit de scans en scripts van de EduC2-(virtual) appliance.

Netwerkpentest door externe partij
Wat: Hacksclusive voert een aanvalstest uit op het netwerk van de instelling. Dit gebeurt op een kleinere schaal dan normaal bij een pentest. SURF biedt ondersteuning aan de testende partij door een remote toegankelijke laptop in het netwerk van de instelling te plaatsen.
Doel: Achterhalen of er intern zaken zichtbaar zijn en misbruikt kunnen worden om een systeem of netwerk binnen te dringen. Verifiëren of de voorgaande stappen van het traject hebben geleid tot minimalisatie van het interne en externe aanvalsoppervlak.
Uitkomst: Een overzicht met bevindingen en gedetailleerde logging van alles wat we hebben getest en gevonden. Hiermee kan de instelling aan de slag voor vervolgstappen om de cyberveiligheid te verhogen.

Contactpersoon

Neem contact op met Mick Deben of Ry Boxem voor meer informatie.