TRANSITS I-training: ICT-incidentafhandeling in een notendop

Wat is TRANSITS I?

Volgens de website van Géant: ‘TRANSITS provides affordable, high-quality training to both new and experienced computer security incident response team (CSIRT) personnel, as well as individuals with a bona-fide interest in establishing a CSIRT.’  

TRANSITS is in 2001 ontwikkeld door leden van Europese CERTs. Computer Emergency Response Team (CERT) is een andere afkorting maar inhoudelijk is een CERT hetzelfde als een CSIRT. Medewerkers van SURFcert hebben bijgedragen bij het opzetten en geven van de training.

De nadruk ligt op praktijk, met aandacht en verwijzingen naar de onderliggende theorie voor wie geïnteresseerd is. Het is een training waar veel ervaring uitgewisseld wordt, en waarin je vragen kunt stellen en inzicht krijgt in hoe andere organisaties omgaan met incidenten. Ook is deze training een goede manier om elkaar te leren kennen. De training duurt 3 dagen.

Voor wie is TRANSITS I?

Voor iedereen die onderdeel is van een CERT of CSIRT. Werk je in een IT-afdeling en ben je regelmatig betrokken bij incidenten dan is dit een goede training. Ook als je geen CSIRT of CERT in je organisatie hebt, zijn er incidenten die afgehandeld moeten worden. In principe kan iedereen zich inschrijven voor de training. In de praktijk zijn het vaak medewerkers die bij overheidsinstellingen, hogescholen of universiteiten werken. Dit is één van de weinig trainingen waarbij deelnemers uit de commerciële sector zoals banken of verzekeraars mee kunnen doen. De reden hiervoor is dat SURF het belangrijk vindt dat de leden van de CERT-community in Nederland elkaar goed weten te vinden, bijvoorbeeld in geval van nood. De training behandelt de organisatorische, technische, juridische en operationele aspecten van ICT-incidentafhandeling.

Na een korte introductie gaan we meteen aan de slag met een rollenspel. Er is een incident, wat gaan we doen? Er wordt druk heen en weer ‘gebeld’ en al snel escaleert het incident, met ontevreden gebruikers en een boze CEO als resultaat. De boodschap is duidelijk: bij een incident helpt het om goed beslagen ten ijs te komen. Net als de brandweer: de brand blussen moet altijd zo snel mogelijk, maar wanneer er geen brand is gebruik je je tijd om je goed voor te bereiden op incidenten en op maatregelen om brand te voorkomen.

Na de introductie splitsen we ons op in twee kleinere groepen van elk ongeveer 9 personen. Vandaag gaan we het hebben over operational. Omdat tijdens de cursus het Traffic Light Protocol (TLP) geldt, een protocol waarmee je de vertrouwelijkheid van berichten classificeert, krijgen we daar eerst wat uitleg over. Toevallig is het Nederlandse TLP net gepubliceerd door het NCSC, een document waar SURFcert ook aan bijgedragen heeft. Daarna duiken we de inhoud in. Meerdere modellen voor incident response worden besproken en afgewisseld met oefeningen. Kennis is macht: zorg dat je duidelijke afspraken maakt over wie wat doet, waar je mee bezig bent, ken je team en zorg dat er een proces is dat iedereen kent. Allemaal makkelijker gezegd dan gedaan! Door discussies in de groepen lopen we wat uit de tijd, want er zijn genoeg vragen en voorbeelden die de deelnemers met elkaar delen.

Dag 1: Smaakjes in incidentmanagement

Wat ik van deze dag meeneem, is dat ik een incident handler ben. Een SCIRT bestaat uit incident responders en incident handlers. Waar de responders op zoek gaan naar de oorzaak, beschikken over inhoudelijke kennis van systemen en netwerk zorgen de handlers dat er gecheckt wordt of het proces gevolgd wordt, de juiste mensen ingelicht zijn en de zaak loopt. Plus mensen hebben eten en slaap nodig, dus zorg ook tijdens crisissituatie dat er eten is en mensen hun rust pakken.

De eerste dag wordt afgesloten met een gezamenlijk etentje. We hebben net geleerd dat netwerken ontzettend belangrijk is. Bij een incident helpt het om lid te zijn van een community en om andere CSIRTS, CERTS te kennen. Het netwerken met de deelnemers is daarom een belangrijk onderdeel van de training. We maken het niet laat, want morgen is het weer een lange dag.

Dag 2: Wat bescherm je?

Het tweede blok gaat over de organisatie. Want hoewel IT-professionals natuurlijk dolgraag kwetsbaarheden willen dichten en aanvallen voorkomen, doen we dat zodat de business kan blijven draaien. De business is toevallig ook de plek waar geld vandaan moet komen voor trainingen en maatregelen. Wil je tijdens een incident mandaat hebben om snel in te grijpen, dan moet je dat ook met de organisatie regelen. Communicatie is daarbij belangrijk.

Ook samenwerken met andere onderdelen binnen je organisatie. Bijvoorbeeld fysieke veiligheid. Als er een aanval op je camerasysteem is, kan het handig zijn fysieke beveiliging in te lichten.

Na de break gaan we door met legal, oftewel met welke wetgeving krijg je te maken en wat doe je als de politie of de rechtbank aanklopt voor bewijsmateriaal. Hoe doe je eigenlijk aangifte van een cybercrime? Is het aan niet technische mensen uit te leggen wat de schade is van een DDoS-aanval en wat er aan de hand is? Het leuke van deze module is dat we geen wetteksten doornemen, maar kijken naar de gevolgen van de wet. Als het copyright geschonden wordt vanaf ‘jouw’ netwerk, ben jij dan verantwoordelijk? Wanneer iemand de organisatie verlaten heeft, mogen de mailbox en documenten dan door collega’s ingezien worden? Genoeg om over na te denken.

Dag 3: PGP-sleutels en waar zitten de boeven?

De derde dag en weer twee nieuwe trainers. Vooraf werd ons gevraagd om een PGP-sleutel aan te maken en keyslips van de public key mee te nemen zodat we een key swap party kunnen houden. Er moet nog wat last minute geprint en geknipt worden maar daarna komt onze groep tot rust. Het onderwerp van vandaag is technical en eigenlijk vind ik dat best spannend. Omdat ik geen technische achtergrond heb hoop ik dat het goed bij te houden is.

In technical wordt gekeken naar verschillende types aanvallen. Hoe werkt een DDoS-aanval, wat moet je met een botnet en waar halen cybercriminelen hun scripts vandaan? Met een mooi filmpje over hoe je in een maand een ton kunt verdienen met cybercrime. Een fake filmpje wat wel mooi illustreert hoe boeven denken. Er komen wel wat technische termen voorbij maar je hoeft niet vloeiend te kunnen programmeren om hierover mee te praten.

De laatste dag eindigt met het uitwisselen en verifiëren van PGP-sleutels en het uitreiken van certificaten. Tijdens de borrel na afloop blijkt dat meerdere mensen zich al opgegeven hebben voor TRANSITS II, de vervolgcursus die dieper ingaat op bepaalde technieken. Daarvoor is het wel handig om basic prompt in Linux te kennen, vertelt een van de trainers mij. Ik ga er over nadenken, want mijn Linux kennis is zeer beperkt. De TRANSITS I-training heeft me in elk geval genoeg inspiratie opgeleverd om op mijn werk dingen anders aan te pakken.

Heb jij interesse in TRANSITS I of TRANSITS II? SURF organiseert deze trainingen regelmatig in Utrecht. Op deze pagina vind je het actuele overzicht.