Elke op het SURF-netwerk aangesloten instelling kan incidentmeldingen ontvangen van SURFcert. Deze meldingen gaan over bijvoorbeeld kwetsbare services, besmette machines of overlast die vanuit het netwerk van de instelling plaatsvindt. Dit kan zijn omdat SURFcert meldingen heeft ontvangen van derde partijen, of omdat SURFcert zelf een incident heeft waargenomen in de IP-space van de instelling.

Meldingen ontvangen

SURFcert stuurt incidentmeldingen via e-mail naar het door de instelling opgegeven 'Security Entry Point' (SEP) contact. Dit kan bijvoorbeeld het e-mailadres van het eigen CSIRT zijn of een ander loket dat abuse/beveiligingsmeldingen afhandelt. Indien er geen SEP bekend is, wordt het 'Site Security Contact' (SSC) gebruikt. Het SSC is een verplicht contactpunt en bestaat uit één of meer personen die verantwoordelijk zijn voor IT-beveiligingszaken bij de instelling.

Het is van groot belang dat je als instelling deze contacten up-to-date houdt!

Security Entry Point (SEP)

Wanneer een instelling een CSIRT team heeft of een ander loket dat abuse/beveiligingsmeldingen afhandelt, hebben ze de mogelijkheid om een ​​SEP-contactpunt te registreren in het SURF-dashboard. Dit contactpunt wordt dan gebruikt als eerste aanspreekpunt (in plaats van het SSC) voor security (incidenten). Het SEP is een algemeen (niet-persoonsgebonden) contactpunt. Bij het ontbreken van een SEP valt SURFcert voor de communicatie over security terug op de SSC.

Let op: Registreer één contact als SEP en niet meerdere!

Om het SEP contact te registreren, heb je één van de volgende rollen nodig in het SURF-dashboard:

  • InstellingsContactPersoon (ICP)
  • Instellingsbevoegde

Zodra je de juiste rol hebt ga je naar het SURF dashboard

  • Log in met SURFconext en kies je eigen IDP (of eduID als je geen IdP hebt aangesloten op SURFconext).
  • Zoek het CSIRT team of een ander loket op
    • Voeg aan dit bestaand profiel het aandachtsgebied ‘Security Entry Point' toe
  • Of als voor het CSIRT team of een ander loket nog geen profiel bestaat
    • Maak een nieuw profiel aan. Er wordt enigszins misleidend gevraagd om voornaam/achternaam etc maar hier kun je dus ook gewoon de naam van het CSIRT invullen.

    • Voeg aan dit nieuwe profiel het aandachtsgebied ‘Security Entry Point' toe.

Site Security Contact (SSC)

Het SSC is voor het SURFcert-team het contactpunt om algemene (of vertrouwelijke) beveiligingsproblematiek te bespreken, veelvoorkomende incidenten door te nemen en om te kunnen escaleren bij grote of urgente incidenten. Elke SURF-deelnemer die een contract heeft met SURF voor het leveren van netwerkdiensten, heeft de contractuele verplichting om minimaal één SSC aan te stellen. De instelling dient deze contactpersoon te registreren en up-to-date te houden in het SURF-dashboard. De contactgegevens van de SSC moeten directe contactinformatie bevatten en mogen geen algemeen telefoonnummer en e-mailadres zijn.


Om het SSC contact te registreren, heb je één van de volgende rollen nodig in het SURF dashboard:

  • InstellingsContactPersoon (ICP)
  • Instellingsbevoegde

Zodra je de juiste rol hebt ga je naar het SURF dashboard

  • Log in met SURFconext en kies je eigen IDP of eduID.
  • Zoek de gebruiker op
    • Voeg aan dit bestaand profiel de rol ‘Site Security Contact' toe
  • Of als voor de gebruiker nog geen profiel bestaat
    • Maak een nieuw profiel aan.

    • Voeg aan dit nieuwe profiel de rol ‘Site Security Contact' toe

    • De gebruiker ontvangt per ommegaande een mail met een koppelverzoek. Na acceptatie is de gebruiker gekoppeld.

Verwachtingen van de instelling

Meldingen van SURFcert zijn niet vrijblijvend. Als instelling ben je aangesloten op het SURF-netwerk en dragen we gezamenlijk de verantwoordelijkheid om ons netwerk 'schoon' te houden. Deze verantwoordelijkheid geldt vooral sterk voor meldingen waarbij anderen overlast ondervinden of risico lopen. Een bekend voorbeeld is spam vanuit het instellingsnetwerk, maar ook bijvoorbeeld een open DNS-resolver kan een risico vormen voor het bijdragen aan een DDoS-aanval bij anderen. In de aansluitovereenkomst met SURF is vastgelegd welke verantwoordelijkheid de instelling in deze kwesties heeft.

SURFcert verwacht dan ook een tijdige reactie op incidentmeldingen en dat de instelling zich inspant om deze onverwijld op te lossen. Tevens wordt verwacht dat de IT-infrastructuur zo is ingericht dat bijvoorbeeld een kwetsbaar systeem snel getraceerd kan worden.

In de incidentmeldingen die SURFcert stuurt, staat expliciet vermeld wat we verwachten. We ontvangen graag terugmeldingen op elke uitgestuurde incidentmelding, tenzij er expliciet staat vermeld dat er geen afmelding nodig is.


IODEF-formaat

SURFcert kan incidenten naast de standaard mail ook in het IODEF-formaat aanleveren zodat dit machine-leesbaar is. Bijvoorbeeld systemen als Quarantainenet kunnen deze automatisch verwerken.

De IODEF-formaat meldingen worden eveneens per e-mail verstuurd naar een door de instelling opgegeven adres. Het verdient aanbeveling om dit enigszins af te schermen, zodat geverifieerd kan worden dat alleen de echte SURFcert-meldingen worden verwerkt. De afzender is altijd cert@surfcert.nl, en indien gewenst kan er op IP-adres gefilterd worden.

post1.surfcert.nl has address 145.97.20.187
post1.surfcert.nl has IPv6 address 2001:610:188:427:145:97:20:187
post2.surfcert.nl has address 192.87.66.87
post2.surfcert.nl has IPv6 address 2001:610:428:140:192:87:66:87

Neem contact op met SURFcert om dit in te schakelen voor je instelling.

  • No labels