indi-2009-12-023 PACT met nieuwe invulling operationeel Project : SURFworks Projectjaar : 2009 Projectmanager : Maurice van den Akker Auteur(s) : Maurice van den Akker Opleverdatum : december 2009 Versie : 1.1 Samenvatting SURFnet wil in 2009 de dienst PACT (Programma voor de Accreditatie van CERT s) meer laten aansluiten op de behoeftes van de Computer Emergency Response Teams (CERT s) van aangesloten instellingen. Uit onderzoek eerder dit jaar is geconcludeerd dat er onder de huidige en potentiële PACT-leden voornamelijk behoefte is aan het delen van informatie rondom incident management en andere operationele security kwesties, maar dat de PACTdienstverlening hier nog onvoldoende invulling aan geeft. Ook is gebleken dat veel (nietuniversitaire) instellingen de PACT-accreditatie voor CERT-teams zien als een te zwaar en te ingrijpend proces en daarom minder snel hiertoe geneigd zijn. Op basis van de bevindingen is daarom besloten om PACT-accreditatie op een andere, meer praktische wijze vorm te geven. De PACT-dienstverlening is daarom vervangen door een drietal facultatief af te nemen vormen van dienstverlening (waarvan één nog in ontwikkeling is): 1. Starterskit Incident Management, inclusief workshop: met behulp van dit startpakket worden instellingen op weg geholpen bij de inrichting van een CERT. De aansluitende workshop loodst de instelling door de starterskit en besluit met de accreditatie van het CERT team door SURFcert. 2. SWIM (SURFnet Werkgroep Incident Management). SWIM is de naam van een actieve werkgroep op het gebied van security op het operationele vlak, zoals het uitvoeren van de CERT-functie. Deze werkgroep komt periodiek samen en bestaat inmiddels uit ruim vijftig personen uit de SURFnet doelgroep. 3. SURFaudit (in ontwikkeling): SURFaudit is de werktitel voor een methodiek in ontwikkeling, waarmee de mate van volwassenheid op onder andere het gebied van security incident management, maar ook informatiebeveiliging en identity management, kan worden gemeten.
2 Colofon Programmalijn : Stimulering gebruik & support Onderdeel : Beveiliging Activiteit : 7.1 Deliverable : SWIM: PACT met nieuwe invulling operationeel Toegangsrechten : Publiek Externe partij : S-cure Dit project is tot stand gekomen met steun van SURF, de organisatie die ICT vernieuwingen in het hoger onderwijs en onderzoek initieert, regisseert en stimuleert door onder meer het financieren van projecten. Meer informatie over SURF is te vinden op de website (www.surf.nl).
3 6 dingen die je moet weten over de nieuwe invulling van PACT Context Wat is het? Voor wie is het? SURFnet wil in 2009 de dienst PACT (Programma voor de Accreditatie van CERTs) meer laten aansluiten bij de behoeften van de CERT teams van aangesloten instellingen. PACT, als vorm van dienstverlening, is hierbij vervangen door een drietal facultatief af te nemen vormen van dienstverlening. Ten eerste het starterspakket en de workshop voor beginnende CERT s, ten tweede de community SWIM (SURFnet Werkgroep Incident Management), gericht op operationele security en ten derde de methodiek onder de werktitel SURFaudit voor instellingen die hun invulling van (onder andere) incident management willen toetsen aan harde criteria. Het starterspakket bestaat uit een set van documenten en templates, die in een dagdeel (de workshop) besproken worden en zullen leiden tot zowel verbeteracties op het gebied van security incident management als tot accreditatie van de CERT-functie door SURFnet/SURFcert. SWIM is een community die zich richt op het delen van informatie rondom aspecten van operationele security met focus op incident management. De community deelt deze informatie door middel van reguliere bijeenkomsten (1x per 5 maanden) en online-samenwerkingtools. De methodiek die is ontwikkeld onder de werktitel SURFaudit is bedoeld om het niveau van volwassenheid op de gebieden security incident management, informatiebeveiliging en identity management te kunnen meten. Het starterspakket en de workshop zijn bedoeld voor instellingen die hun CERTfunctie meer structuur en inhoud willen geven. SWIM is bedoeld voor personen binnen instellingen uit de doelgroep die zich actief bezighouden met alle aspecten rondom operationele security issues c.q. incident management, en die hierover kennis willen delen en vergaren. SURFaudit is bedoeld voor instellingen die processen op het gebied van de drie genoemde thema s willen toetsen aan (harde) criteria. Hoe werkt het? N.v.t. Wat kan je ermee? N.v.t. Extra (Bijlagen, Thema, Gerelateerde thema s) Bijlage I: Nieuwe invulling PACT (toelichting)
4 Bijlage I: Nieuwe invulling PACT SURFnet wil in 2009 de dienst PACT (Programma voor de Accreditatie van CERTs) meer laten aansluiten op de behoeftes van de Computer Emergency Response Teams (CERT s) van aangesloten instellingen. Uit onderzoek eerder dit jaar is geconcludeerd dat er onder de huidige en potentiële PACT-leden voornamelijk behoefte is aan het delen van informatie rondom incident management, maar dat de PACT-dienstverlening hier nog onvoldoende invulling aan geeft. Ook is gebleken dat veel (niet-universitaire) instellingen de PACTaccreditatie voor CERT-teams zien als een te zwaar en te ingrijpend proces en daarom minder snel hiertoe geneigd zijn. Op basis van de bevindingen is daarom besloten om PACTaccreditatie op een andere, meer praktische wijze vorm te geven. De PACT-dienstverlening is daarom vervangen door een drietal facultatief af te nemen vormen van dienstverlening (waarvan één nog in ontwikkeling is): 1. Starterskit Incident Management, inclusief workshop: met behulp van deze starterskit worden instellingen op weg geholpen bij de inrichting van een CERT. De aansluitende workshop loodst de instelling door de starterskit en besluit met de accreditatie van het CERT team door SURFcert. 2. SWIM (SURFnet Werkgroep Incident Management). SWIM is de naam van een actieve werkgroep op het gebied van security op het operationele vlak, zoals het uitvoeren van de CERT-functie. Deze werkgroep komt periodiek samen en bestaat inmiddels uit ruim vijftig personen uit de SURFnet doelgroep. 3. SURFaudit (in ontwikkeling): SURFaudit is de werktitel voor een methodiek in ontwikkeling, waarmee de mate van volwassenheid op onder andere het gebied van security incident management, maar ook informatiebeveiliging en identity management, kan worden gemeten. Accreditatie van de CERT-functie (Starterskit en de workshop) Het oude PACT-accreditatieproces was het afsluitende onderdeel van het stimuleren van beveiligingsteams -programma van SURFnet, als onderdeel van het door stichting SURF gefinancierde SURFworks-project. In dit programma werd de Computer Emergency Response Team van een instelling (CERT) een aantal malen bezocht door een expert op het gebied van Computer Security Incident Management. Deze expert hield interviews, formuleerde adviezen die werden geëvalueerd in volgende sessies en stuurde aan op inbedding van security incident management in de gehele organisatie. Het proces werd door middel van een officiële PACT-accreditatie beëindigd, waarna het geaccrediteerde team onderdeel mocht uitmaken van de PACT-community. Omdat het PACT-accreditatieproces, behalve door de universiteiten, door veel instellingen als te zwaar werd gezien en daardoor te weinig werd benut, is in het najaar van 2009 een lichtere variant geïntroduceerd. Deze lichtere variant bestaat uit een zogenaamd starterspakket, gevolgd door een workshop. Het starterspakket bestaat uit een aantal documenten en templates die instellingen zelf kunnen gebruiken om de organisatie rondom security incident management in kaart te brengen. In de workshop die niet langer dan een dagdeel in beslag neemt, worden deze documenten doorgewerkt en vastgesteld. Na deze exercitie is de CERT-functie van een instelling volgens de normen van SURFnet/SURFcert ingericht en daarmee geaccrediteerd 1. Deze accreditatie is voldoende om dit CERT-team of, anders gezegd: de leden die deze CERT-functie uitoefenen, toe te laten tot de SWIMcommunity die als vervanger van de PACT-community is opgericht. SWIM wordt in de laatste paragraaf nader toegelicht. 1 Accreditatie staat overigens los van de mate van volwassenheid (maturity) van een CERT.
5 De community (SWIM) SWIM is de naam van een community, en vervangt sinds de oprichting op 24 november 2009 de oude PACT-community. SWIM, wat staat voor SURFnet Werkgroep Incident Management, is bedoeld voor personen binnen de instellingen die zich bezig houden met security op het operationele vlak, zoals het uitvoeren van de CERT-functie, en is daarmee breder dan de PACT-community, die zich uitsluitend richtte op PACT-geaccrediteerde teams. SWIM is gestart met een bijeenkomst op 24 november 2009. Aan de bijeenkomst hebben ruim vijftig personen uit de SURFnet doelgroep deelgenomen. In die eerste bijeenkomst zijn er presentaties gehouden en is er gediscussieerd over incident management in het algemeen en specifieke incidenten in het bijzonder. Ook is de vorm en invulling van SWIM aan de orde geweest. Zo is er een voorzitter uit de doelgroep gekozen en is bepaald dat de secretarisfunctie door SURFnet zal worden vervuld. De SWIM-bijeenkomst is afgesloten met een sociaal programma in de vorm van een gezamenlijk diner. SWIM zal, zo is voorlopig besloten, regulier één keer per vijf maanden bijeenkomen. On-line samenwerkingtools worden in de tussenliggende periode gebruikt om bij te dragen aan de doelstellingen. Een registratie/verslag van de eerste bijeenkomst volgt op de volgende pagina s. Omdat de groep van deelnemers behoefte blijkt te hebben aan een bepaald niveau van vertrouwen, is besloten dat deelname aan SWIM voorbehouden zal zijn aan die professionals uit de doelgroep die bereid zijn een bepaald niveau van geheimhouding te onderschrijven. Dat werkt wederzijds: zo zullen de deelnemers zich vrijer voelen om ook gevoelige of voor de instelling wellicht wat ongemakkelijke incidenten te bespreken. Mate van volwassenheid (SURFaudit) In 2009 is in opdracht van stichting SURF en SURFnet gezamenlijk een methodiek onder de werktitel SURFaudit ontwikkeld waarmee op het gebied van beveiliging en dan met name op het gebied van informatiebeveiliging, security incident management en identity management de mate van volwassenheid kan worden gemeten. Dit geeft instellingen inzicht in de eigen mate van volwassenheid, de relatieve volwassenheid ten opzichte van andere instellingen, en de verbeterpunten rondom de genoemde thema s. Het verplicht stellen van een bepaald volwassenheidsniveau voor een bepaald doel, bijvoorbeeld door SURFnet aan de instelling of door de SURFfederatie aan haar leden behoort tot de mogelijkheden van deze methodiek.
6 Registratie/verslag eerste SWIM-bijeenkomst VERSLAG SWIM BIJEENKOMST #1 (CONCEPT) =================================== datum: 24 november tijd: vanaf 12:30 locatie: SURFnet Utrecht 12:30 ontvangst met broodjes ----------------------------- We mogen 51 deelnemers ontvangen uit alle geledingen van SURFnet. 13:15 formele start SWIM ------------------------- Jacques Schuurman, SURFcert voorzitter, zit SWIM ad interim voor. Don Stikvoort is secretaris. SURFnet-directeur Erwin Bleumink heet allen welkom en benadrukt het vertrouwen dat onze "community" in brede kring geniet - tot aan de Tweede Kamer toe. Het belang van adequate beveiliging kan moeilijk onderschat worden. Daarom met genoegen dit startschot voor SWIM. SURFnet ondersteunt dit initiatief graag. 13:30 voorstelronde -------------------- Alle aanwezigen stellen zich voor. Een intekenlijst gaat rond. Een lijst van SWIM deelnemers zal in een later stadium vastgesteld en gedeeld worden binnen deze groep. 13:45 intro SWIM : achtergrond en ideeën ----------------------------------------- Jacques heet allen welkom en legt de achtergrond van SWIM uit. In SURF-IBO werken de op SURFnet aangesloten instellingen samen op het gebied van security beleidskwesties. SURFcert is natuurlijk de CERT van SURFnet, voor haar klanten. Deze klanten gaven de afgelopen 2 jaar regelmatig aan dat er behoefte was aan een forum voor operationele security. Dat is SWIM geworden. SWIM is er dus voor en nadrukkelijk ook *door* de deelnemers. Don legt uit dat SURFcert sinds 1991 bestaat, en dat het daaruit voortgevloeide concept van de "Site Security Contact" contractueel is vastgelegd - elke klant heeft zo'n SSC. Maar de SSC's zitten steeds vaker op beleidsniveau en de contactpunten voor SURFcert zijn nu in de regel lokale CERTs. Met de PACT accreditatie en CVPO projecten heeft SURF dit gestimuleerd. PACT wordt thans omgevormd in een administratief keurmerk van SURFcert. SWIM is in wezen een logisch voortvloeisel uit deze projecten. 14:10 Erasmus MC-CERT stelt zich voor -------------------------------------- Marcel de Wijs stelt Erasmus MC-CERT voor. Zie bijlage.
7 Er wordt gediscussieerd over het uitvoeren van persoonsonderzoeken. Dit moet goed geregeld zijn - wie dit mag aanvragen, wie dit moet goedkeuren, wie het mag uitvoeren, hoe de geheimhouding geregeld is, aan wie gerapporteerd wordt. Aangeraden wordt om vooral terughoudend te zijn met dit soort onderzoek. Sedat Capkin (SARA) vraagt naar de bevoegdheden van de CERT. Marcel vertelt dat ze vooral ondersteunend werken. "Zwaardere" procedures lopen als regel via de CISO. Bert Moorlag (UMCG) vraagt hoe de rolverdeling is tussen IT afdeling en CERT. Marcel benadrukt dat de CERT voroal ondersteunt, maar wel vrij in beweging is en dus gevraagd en ongevraagd adviezen kan uitbrengen. 14:30 SURFcert en beveiligingstools ------------------------------------ Wim Biemolt (SURFcert) vertelt over SURFcert en haar beveiligingstools. Deze presentatie zal zodra beschikbaar over de SWIM lijst verspreid worden. 15:00 --- pauze --- -------------------- 15:30 CERT opzet en maturity ------------------------------- Don vertelt over de ondersteuning die hij namens SURFnet mag aanbieden bij de vorming van lokale CERT functies. (voorheen bekend als CVPO en PACT) Er zijn thans 26 lokale CERTs geregistreerd, maar dat aantal zal binnen een paar maanden de 40 passeren omdat een hele reeks SURFnet klanten bezig is met het inrichten of formaliseren van incident beheer (lees: CERT). Om hierbij te helpen is nu een "CERT Starterkit" beschikbaar. Deze is op aanvraag te krijgen bij je SURFnet AA contactpersoon - of bij zender dezes. Deze starterkit bevat niet alleen direct bruikbare argumenten ter ondersteuning van CERT vorming, maar ook concrete voorbeelden van de belangrijkste documentatie, zoals de service beschrijving conform RFC-2350 en een "operational framework". Als vervolg daarop zijn in elk geval tot 15 januari CERT Workshops beschikbaar, waarbij Don langskomt om aan de hand van de Starterkit concreet invulling te geven aan een en ander - afgestemd op de behoefte van de bewuste instelling. Deze workshops vertegenwoordigen een hoge commerciele waarde maar zijn vooralsnog "gratis". Maak er gebruik van! Wat hier het gevolg van is is dat voor deze klanten een lokale CERT geregistreerd kan worden bij SURFcert (voorheen: PACT). De webpagina's van SURFcert met lokale CERTs en de PACT webpagina's worden in december geïntegreerd en up-to-date gebracht. SWIM is natuurlijk de logische plek waar al deze lokale CERTs bijeenkomen, samen met SURFcert. Maar tenzij deze vergadering anders beslist is het de bedoeling die klanten die dicht tegen CERT vorming aanzitten vooral te stimuleren om met SWIM mee te doen. De inrichting van een CERT functie of interface volgt dan (bijna) vanzelf. Daarnaast blijven de SURFcert themabijeenkomsten gewoon doorgaan, gericht op alle klanten - SWIM is daarbij meer voor "gevorderden".
8 TRANSITS blijft in stand als bewezen waarde - de beste introductiecursus voor nieuwe CERT leden en hen die een CERT functie inrichten. Qua CERT Maturity vertelt Don over het SURFaudit pilot project. Hierin worden de staat van Informatiebeveiliging algemeen, de beveiliging van Identity Management en Incident Management gemeten in één lange audit day. Deze pilot wordt thans door Moens, Jurg en Stikvoort in opdracht van SURF uitgevoerd - het idee is dat dit in 2010 verder wordt uitgewerkt zodat het in 2011 een vaste waarde kan worden. In beginsel zouden dan meer partijen deze audit moeten kunnen uitvoeren, en zou SURF de normering moeten bewaken. Ook het financieringsmodel moet uitgewerkt worden. Het Incident Management (CERT) deel van deze audit kent 50 parameters onderverdeeld in de categorieën Organisatie, "People", Tools en Processen. Op elke parameter kan als volgt gescoord worden: 0 = afwezig, niet beschikbaar, n/a 1 = impliciet, tussen de oren (niet opgeschreven) 2 = expliciet, vastgelegd 3 = expliciet en goedgekeurd, "rubberstamped" 4 = idem als 3 maar tevens onderdeel van een onafhankelijk controle proces Een normering is in ontwikkeling. Deze maakt het mogelijk om grafisch in één oogopslag te zien waar een CERT functie staat t.o.v. die norm. Peter Timmermans merkt op dat als bepaalde parameters "not applicable" zijn (in tegenstelling tot "not available"), er dan geen 0 gescoord zou moeten worden, maar een n.v.t. Anders wordt de score nodeloos en onterecht gedrukt. Don neemt dit mee in de SURFaudit evaluatie. 16:00 Calamiteiten ------------------- Hermine de Vos (Saxion) geeft aan de aanwezigen in overweging na te dneken over wat er allemaal te doen staat in het geval van calamiteiten, en hoe dat van te voren geregeld en geformaliseerd moet worden. Het niveau waarop hiervoor zaken geregeld zijn blijkt zeer divers - ongeveer 25% van de aanwezigen denkt een calamiteitenplan te hebben. Mark Bakker (HS Utrecht) beschrijft een calamiteitenplanning op basis van draaiboeken die zeer doordacht klinkt. Ongeveer 10% doet firedrills. Dit wordt zeer sterk aangeraden. Sedat Capkin (SARA) vraagt of dit bij SWIM hoort of bij SURF-IBO. Het antwoord is voorlopig: bij beide, want er zitten zowel beleidsaspecten als operationele aspecten aan. Meenemen in de afstemming met SURF-IBO [ACTIE Ewald/Don] Hermine is bereid Saxion's calamiteitenplan i.o. als template ter beschikking te stellen zodra het beschikbaar zal zijn. [ACTIE Hermine] 16:10 Incident trends ---------------------- Teun Nijssen (SURFcert & UVT) vertelt over incident trends. Zie bijlage. Twee dringende adviezen uit deze presentatie:
9 1) flow monitoring (en "follow-up") is *essentieel* - dit zal in de meeste audits niet gevraagd worden, maar is des te belangrijker ; 2) * check websites * op aanwezigheid XSS ("Cross-site scripting") 16:30 discussie SWIM --------------------- Don leidt de discussie, Jacques maakt aantekeningem. De volgende punten worden besproken: o naamgeving: de naam SWIM ontmoet geen bezwaren. Er komen ook geen alternatieven naar voren. De nieuwe voorzitter zal de naamskeuze weer aan de orde stellen per e-mail. o doel: SWIM richt zich op aspecten van operationele security met een speciaal focus op incident management. Daarbij wordt uitgegaan van concrete acties op het moment dat die opportuun zijn, zonder compleetheid of continuiteit te beogen. Er is een overlap met SURF-IBO (beleid), waardoor afstemming tussen beide nodig is. o doelgroep: In principe volgt de doelgroep uit de doorsnede van het doel van SWIM met de SURFnet doelgroep. De vergadering besluit daarbij echter dat er een vorm van ballotage moet komen, en een geheimhoudingsverklaring. Hiervoor moet een voorstel worden gemaakt. [ACTIE Ewald/Don] o programmagroep: Op dit moment bestaat de programmagroep uit Hermine de Vos, Remon Klein Tank en Jacques Schuurman. Don begeleidt deze groep. Andere vrijwilligers zijn welkom! o frequentie: 1x per 5 maanden wordt als uitgangspunt aanvaard. o locatie: liefst centraal, zoals bij SURFnet. o communicatie: er wordt besloten dat er een e-mail distributielijst met archief komt, plus een SURFgroep voor SWIM. [ACTIE Jacques] o voorzitter: Ewald Beekman (AMC) heeft zich bereid verklaard voorzitter te worden. Er melden zich geen andere kandidaten. Ewald stelt zich kort voor. Op verzoek van Don verlaat Ewald de zaal. De vergadering is unaniem voor Ewald's benoeming tot voorzitter. Ewald wordt weer binnen gevraagd en verwelkomd als voorzitter van SWIM. o secretaries: SURFnet heeft Don Stikvoort gevraagd als ambtelijk secretaris op te treden, tegen betaling. Dit houdt ook verslaglegging in. [ACTIE Don] Daarnaast zal Don ook inhoudelijk bijdragen, op vrijwillige basis, zoals alle SWIM deelnemers. 17:30 samen naar diner in Utrecht ---------------------------------- In verheugend groten getale gaan we samen naar Grieks restaurant "Taverna" aan de Oude Gracht, waar de eerste SWIM bijeenkomst in een uitstekende sfeer wordt afgesloten. Balans van acties ----------------- [SWIM#1-1] Ewald Beekman & Don Stikvoort
10 Afstemming met SURF-IBO. status: nieuw [SWIM#1-2] Hermine de Vos Saxion's calamiteitenplan i.o. als template ter beschikking te stellen zodra dat opportuun is. [ACTIE Hermine] [SWIM#1-3] Ewald Beekman & Don Stikvoort Voorstel ballotage & geheimhoudingsverklaring voor SWIM. status: nieuw [SWIM#1-4] Jacques Schuurman Aanmaken e-mail distributielijst (met archief) en SURFgroep voor SWIM. status: klaar [SWIM#1-5] Don Stikvoort Rapportage maken en verspreiden van SWIM#1 status: klaar