Voorstel voor een nieuwe invulling van de PACT dienstverlening Project Projectjaar Projectmanager Auteur(s) Opleverdatum Versie
: : : : : :
SURFworks 2009 Maurice van den Akker Maurice van den Akker juni 2009 2.0
Samenvatting SURFnet wil in 2009 de dienst PACT (Programma voor de Accreditatie van CERTs) meer laten aansluiten op de behoeftes van de Computer Emergency Response Teams (CERT) van aangesloten instellingen. Bijgaand rapport beschrijft de context rondom de huidige PACT dienstverlening en doet een voorstel voor de nieuwe vorm en inhoud van PACT.
2
Colofon Programmalijn Onderdeel Activiteit Deliverable dienstverlening Toegangsrechten Externe partij
: : : :
Stimulering gebruik & support Beveiliging 7.1 Geschreven voorstel voor een nieuwe invulling van de PACT
: Publiek : S-cure
Dit project is tot stand gekomen met steun van SURF, de organisatie die ICT vernieuwingen in het hoger onderwijs en onderzoek initieert, regisseert en stimuleert door onder meer het financieren van projecten. Meer informatie over SURF is te vinden op de website (www.surf.nl).
3
4 dingen die je moet weten over het voorstel voor een nieuwe invulling van de PACT dienstverlening Context
SURFnet wil in 2009 de dienst PACT (Programma voor de Accreditatie van CERTs) meer laten aansluiten bij de behoeften van de CERT teams van aangesloten instellingen.
Wat is het?
Het voorstel is in de vorm van een rapport, waarbij de huidige PACT dienstverlening wordt geanalyseerd en vervolgens een aanbeveling voor een nieuwe vorm en inhoud van PACT wordt gedaan.
Voor wie is het?
Het voorstel is bedoeld voor de verantwoordelijken binnen SURFnet voor de dienst PACT en het SURFnet dienstportfolio. Daarnaast is het document mogelijk interessant voor SURFcert, SURFibo en de CERT teams van aangesloten instellingen.
Hoe werkt het?
N.v.t.
Wat kan je ermee?
N.v.t.
Extra (Bijlagen, Thema, Gerelateerde thema’s)
Het rapport is als bijlage opgenomen.
Herinvulling PACT 2009 Versie: 2.0
Inhoudsopgave
1
Inleiding ................................................................................ 3
2
Huidige stand van zaken PACT ............................................... 4 2.1 Inleiding ............................................................................. 4 2.2 Positie van PACT binnen SURFnet en haar dienstenportfolio ....... 4 2.3 Waardering PACT ................................................................. 4 2.4 Uitdagingen PACT ................................................................. 5
3
Toekomst voor PACT .............................................................. 6 3.1 Inleiding ............................................................................. 6 3.2 Positie van PACT binnen SURFnet en haar dienstenportfolio ....... 6 3.3 Invulling PACT ..................................................................... 6
Herinvulling PACT 2009
2
1
Inleiding
Computer security incident management is een essentiële bouwsteen van het risk management en beveiligingsbeheer van een instelling en omvat zowel het voorkomen van incidenten, als het oplossen ervan. Het zogenaamde CERT concept is het wereldwijd gangbare model gebruikt voor incident management. SURFnet heeft sinds 1992 haar eigen CERT, met een zeer goed nationaal en internationaal netwerk. De bij SURFnet aangesloten instellingen onderschrijven het belang van incident management in toenemende mate en omarmen daarbij het CERT concept. Randvoorwaarden voor een effectieve CERT zijn het beleid op concernniveau en het draagvlak in de eigen organisatie. Om op langere termijn effectief te zijn, moet de juiste top-down en bottom-up balans gevonden worden. Immers dient de CERT het belang van de hele organisatie, als waakhond van de beveiliging. Adequate beveiliging is een randvoorwaarde voor het primaire proces. SURFnet heeft dit in een vroeg stadium ingezien. Was zij al de eerste NREN in Europa met een eigen CERT, SURFnet ging verder om instellingen te ondersteunen om een adequate beveiliging in te richten, met activiteiten zoals: • SURFcert themamiddagen; • CERT trainingen voor beginnende CERT’s of nieuwe CERT leden (TRANSITS, zie http://www.terena.org/activities/csirt-training/); • CVPO: Het programma ter ondersteuning van CERT vorming bij instellingen; • PACT: Programma van accreditatie voor CERTs, plus de daaraan gekoppelde PACT dienstverlening. PACT bestaat al sinds 2006, maar heeft tot nu toe slechts een beperkte invulling gekend. Echter, door de recente groei in het aantal CERT teams is ook de behoefte aan een uitgebreide invulling van de dienst sterk toegenomen. Ook is de aard van de behoefte gewijzigd. Dit rapport doet een voorstel voor de verbetering van PACT, zodat deze meer zal aansluiten op de huidige behoefte. In het volgende hoofdstuk zal de huidige stand van zaken worden besproken en geanalyseerd. In hoofdstuk drie zal de toekomstige invulling van PACT aan bod komen. Dit document is gebaseerd op een Rapport van S-Cure over PACT (Don Stikvoort, mei 2009) en een in door SURFnet gehouden gebruikersonderzoek onder PACT-leden, eind 2008.
Herinvulling PACT 2009
3
2
Huidige stand van zaken PACT
2.1
Inleiding
PACT staat voor Programma van accreditatie voor CERTs. De omschrijving van PACT is als volgt: “Voor het uitwisselen van gevoelige informatie over kwetsbaarheden en beveiligingsincidenten is een vertrouwensstructuur noodzakelijk. SURFnet PACT biedt instellingen een omgeving waarin voorzieningen zijn getroffen om informatie-uitwisseling tussen beveiligingsfunctionarissen zo vertrouwd mogelijk te laten plaatsvinden.” Van een vertrouwensstructuur is binnen de PACT leden zeker sprake, maar niet op grote schaal. Leden van PACT weten elkaar te vinden en delen onderling, meestal bilateraal, gevoelige informatie. Verder wordt in de omschrijving van PACT gesproken over een ‘omgeving’. Het gaat hier tot nu toe om een (beveiligde) website waar informatie uitgewisseld kan worden. In de volgende paragrafen komen achtereenvolgens de positie, de waardering en de recente uitdagingen van PACT aan bod. 2.2
Positie van PACT binnen SURFnet en haar dienstenportfolio
PACT is sinds 2006 als operationele dienst opgenomen in het dienstenportfolio van SURFnet. Dit houdt onder meer in dat SURFnet zich richting de aangesloten instellingen vastlegt voor bepaalde verplichtingen die gelden voor diensten. Het gaat hier om zaken zoals productmanagement, invulling, beheer, administratie, operational excellence en het faciliteren van bijeenkomsten. De naamgeving PACT is bewust geen SURFpact, omdat het hier gaat om een vertrouwensstructuur die bestaat tussen de instellingen onderling en niet vanuit SURF of SURFnet wordt opgelegd. PACT heeft een duidelijke relatie met SURFcert. De leden van PACT, de CERT teams binnen de op SURFnet aangesloten instellingen, hebben door onder meer het afhandelen van de beveiligingsincidenten, het volgen van cursussen en het bezoeken van door SURFcert georganiseerde beveiligingscongressen geregeld contact met (de leden van) SURFcert. Er is niet altijd afstemming tussen (de plannen van) PACT en SURFcert. Dit kan zeker verbeterd worden. De positie van PACT als SURFnet dienst is twijfelachtig. PACT is geen SURFnet dienst zoals SURFmailfilter, SURFids of SURFgroepen waar sprake is van een product van SURFnet dat door instellingen al dan niet kan worden afgenomen. Het gaat bij PACT echter meer om de facilitatie van een community met enkele specifieke eigenschappen en kenmerken. Bij de herinvulling van PACT kan hier rekening mee worden gehouden. 2.3
Waardering PACT
Eind 2008 is er onder de PACT-leden een onderzoek gehouden naar de waardering van PACT. Uit het onderzoek kan geconcludeerd worden dat de PACT-leden wel behoefte hebben aan een dergelijke dienst, maar dat deze momenteel niet aan de verwachtingen voldoet. Kenmerkend zijn de volgende uitspraken van de PACT-leden: 1. Vanuit SURFnet zijn geen activiteiten meer vernomen sinds wij PACT geaccrediteerd zijn; 2. De meerwaarde van PACT accreditatie is onduidelijk; 3. De omgeving en vertrouwensstructuur worden nauwelijks of niet benut;
Herinvulling PACT 2009
4
4. Contactgegevens zijn niet up to date. Ik zoek wel met een zoekmachine op het internet; 5. Er zijn geen activiteiten rondom PACT; 6. Er vindt geen (periodieke) herhaling plaats van de accreditatie. Vanuit de PACT-leden zijn in het onderzoek enkele suggesties gedaan om PACT meer inhoud te geven. In de volgende paragraaf staan deze verwerkt in de uitdagingen. 2.4
Uitdagingen PACT
Met inachtneming van het voorgaande zijn er drie concrete uitdagingen te benoemen voor PACT: a. Verbetering onderlinge samenwerking: de gevorderde CERT’s willen graag onderling over security praten. Ze stellen het contact met SURFcert zeer op prijs, maar dat is één op één en sterk incident gedreven. Met collega CERT’s én SURFcert moet, in vertrouwelijke sfeer, diepgaander over operationele zaken gesproken worden. Kennismiddagen zijn geen optie (voor beginners). SURF-ibo is ook geen optie, daar gaat het over beleid. b. Beter CERT informatiemodel: Op dit moment zijn er op verschillende plaatsen binnen SURFnet en de SURFnet doelgroep databases online met informatie over contactpersonen op het gebied van beveiliging. Er zou één centrale database moeten zijn met alle nodige informatie (naw-gegevens, alarmnummer, pgp sleutels, enzovoort). c. CERT-Maturity-metingen: de PACT accreditatie is een nuttig einddoel bij de initiële CERT vorming. Instellingen blijken echter behoefte te hebben aan een periodieke “maturity”-meting waarbij de zaken ten aanzien van incidentmanagement opnieuw tegen het licht worden gehouden.
Herinvulling PACT 2009
5
3
Toekomst voor PACT
3.1
Inleiding
Vanuit het SURFworksprogramma 1 is sinds 2007 geïnvesteerd in activiteiten om instellingen te helpen en te motiveren om CERTs op te bouwen. Eén van de zaken die hiertoe bijdraagt is een door de instellingen goed gewaardeerde invulling van de PACT dienstverlening. In dit hoofdstuk zullen hiervoor aanbevelingen worden gedaan. 3.2
Positie van PACT binnen SURFnet en haar dienstenportfolio
PACT is een vreemde eend in de bijt als het gaat om de SURFnet dienstverlening. Zoals in hoofdstuk 2 al is gezegd, zijn binnen PACT meer community-achtige componenten, en nauwelijks dienstcomponenten. SURFnet moet daarom PACT niet meer als een (operationele) dienst positioneren. Zij moet PACT zien en uitvoeren als taak. Vanwege de nauwe relatie van PACT met SURFcert, zowel qua inhoud als persoonlijke contacten, is het zinvol PACT in zijn geheel te beleggen als taak van SURFcert. Dit heeft een aantal voordelen: • De band tussen de CERT teams onderling én met SURFcert wordt versterkt; • De afstemming tussen PACT en SURFcert gaat als vanzelf; • SURFcert kan eenvoudig als trekker van PACT fungeren; • De “trusted community” bestaat alleen uit CERT leden (ook vanuit SURFnet zijn er geen buitenstaanders bij); • De toekomstige invulling van PACT kan goed bijdragen aan het halen van de doelstellingen van SURFcert. Deze toekomstige invulling staat in de volgende paragraaf beschreven. 3.3
Invulling PACT
Om PACT een succesvolle activiteit te kunnen laten zijn, moeten de volgende zaken invulling krijgen: 1. Stimuleren van onderlinge samenwerking van CERTs door PACT: Het gaat hier om het onderling (tussen volwassen CERTs) delen van informatie met betrekking tot beveiligingsincidentmanagement. Concrete stappen zijn: a. Opzetten van een werkgroep rondom vraagstukken van security incident management, uitsluitend bedoeld voor gevorderden; b. Plannen van een bijeenkomst voor PACT-leden: i. Het plannen van een bijeenkomst voor PACT-leden, eind van de zomer 2009, met presentaties (externe sprekers en sprekers van eigen CERTs) en aanvullend een sociaal/informeel programma zoals diner; ii. Programmacommissie samenstellen uit de PACT-leden; iii. De bijeenkomst voor PACT-leden structureel maken (bv 2x per jaar). Dit kan bijvoorbeeld een agendapunt zijn op de eerste bijeenkomst. c. Elementaire webpagina op SURFcert pagina’s, besloten mailinglijsten en adequaat beveiligde samenwerkingstools.
1
Zie: http://www.surfnet.nl/nl/innovatie/surfworks/Pages/default.aspx
Herinvulling PACT 2009
6
2. Koppelen van autoritieve bronnen m.b.t. contactgegevens van de CERT-teams en hun leden. Dit kan door de seperate PACT website af te bouwen en te vervangen door drie elementen: a. Een lijst van lokale CERT’s op de SURFcert pagina’s, met elementaire informatie (zoals PACT+ status) en relevante links, met name naar hun eigen websites. SURFcert is primair verantwoordelijk voor het bijhouden van deze gegevens (kan uiteraard worden uitbesteed); b. Aan lokale CERT’s wordt gevraagd om hun CERT informatie ter beschikking te stellen door middel van een ingevuld “RFC-2350” formulier. Die bevat 75% van de huidige in PACT gevraagde informatie en is bedoeld voor publiek gebruik. Door vanuit de SURFcert pagina’s hiernaar te linken ontstaat een efficiënte gegevensstructuur, die het zowel voor SURFcert als lokale CERT leden makkelijk maakt gegevens over de teams te vinden – en dit geldt evenzeer voor CERT professionals van buiten. De voertaal blijft hier dus Engels, zoals in RFC-2350. c. Informatie over CERT’s die niet publiek mag zijn, maar die wel onderling gedeeld mag worden, worden via de werkgroep (zie 1.a) beschikbaar gesteld via een afgeschermde omgeving. 3. Het instellen van een CERT-maturity-meting: de PACT accreditatie wordt nieuw vormgegeven als een CERT-maturity-meting, met daaraan gekoppeld een aantal minimum eisen. Deze metingen kunnen plaatsvinden: (i) in het kader van het bestaande CVPO (Cert Vorming Proces Ondersteuning) (ii) in het kader van de nog te ontwikkelen concept SURFaudit, en (iii) op beperkte schaal voor geaccrediteerde teams voor wie SURFaudit nog een brug te ver is. Het papieren “PACT-certificaat”, dat bij succesvolle PACT-accreditatie aan instellingen wordt verstrekt, blijft behouden – dat wordt gewaardeerd en geeft continuïteit (is één jaar geldig). Belangrijk is dat de maturity-metingen periodiek plaatsvinden, dat wil zeggen, er dient een continuïteitselement te worden toegevoegd. De methodiek kan in samenwerking met de TI (trusted introducer) in TERENA-verband worden ontwikkeld. Tot slot: Het CVPO-traject en de TRANSITS cursus zijn sinds een aantal jaar onderdeel van het SURFworks project ‘stimulering beveiliging’ en bedoeld om instellingen te helpen om CERTs te installeren gevolgd door toetreding tot PACT. Het verdient aanbeveling om deze onderdelen structureel onder verantwoordelijkheid van SURFcert (PACT) te brengen.
Herinvulling PACT 2009
7
