Wat brengt de toekomst voor CERT’s?

De afgelopen weken schreven we over de CERT’s van vandaag. Wat is een CERT, welke types onderscheiden we, hoe werken ze samen. Maar wat brengt de toekomst ?

De CERT wereld is thans 26 jaar oud. Qua volwassenheid zitten we in het 18e levensjaar, schatten we. Inderdaad een spannende fase, met allerlei veranderingen. Professionalisering is één van de trends – CERT’s worden “mainstream” en willen hun processen goed onderbouwen en inrichten – goed geschoold personeel hebben – kwaliteit nastreven en deze ook kunnen aantonen – enzovoorts.

Daarmee komen we bij een tweede trend – accreditatie en certificering. Hebben we al sinds 2000 in Europa de TF-CSIRT “Trusted Introducer” CERT accreditatie, sinds 2011 is daar een certificering bijgekomen. Deze certificering vindt plaats op basis van het SIM3 maturity model voor CERT’s: een beoordeling op circa 50 parameters, ingedeeld in 4 categorieën: organisatie, personeel, tools en processen. De certificering wordt nagestreefd voor zowel interne (kwaliteits)redenen, als voor externe doeleinden. Daarbij moet je niet alleen denken aan marketing, maar ook aan het gebruik als “vertrouwensbasis” tussen CERT’s onderling – bijvoorbeeld ten behoeve van vertrouwelijke informatie uitwisseling. Het is te verwachten dat ook nationale overheden dergelijk eisen gaan stellen aan belangrijke CERT’s, als voorwaarde voor publiek-private samenwerking.

De menselijke factor.

Er zijn er nog maar weinig goede opleidingen voor CERT leden. En al helemaal niet op universiteit of hogeschool. Er wordt gewerkt aan verbetering van dit traject. Meer erkende cursussen, inbedding in bestaande curricula, functie eisen, eisen voor opleidingen, enzovoorts. Van de bestaande cursussen is TRANSITS de meest bekende in Europa. Daarnaast geven SANS en CERT/CC ook zulke cursussen, maar zelden in Nederland.

SOC en SIEM.

Maar ik heb toch een SOC, en we doen SIEM – dan hebben we toch geen CERT meer nodig? Allereerst, er is niets nieuws onder de zon. Een SOC is het security aspect uit het NOC gelicht. En SIEM is syslog+: meer geavanceerd naar je security logs en alerts kijken. Feit blijft dat je op incidenten moet reageren. Dat noemen we CERT. Of je dat separaat doet of in een NOC of een SOC, Is een kwestie van organisatie. Binnen een grotere SOC of IT-afdeling zie je altijd, dat een kernteam van mensen de meer ingewikkelde incidenten behandelt. Dit wordt in veel gevallen als de CERT kern gezien. In elk geval is het nodig om de CERT functie naar buiten toe uit te dragen, omdat wereldwijd CERT nu eenmaal de gangbare naam is voor het team dat security incidenten afhandelt!

Dit was voorlopig de laatste van vier blogs die gingen over CERT’s. Heeft u input, of vragen naar aanleiding van deze blogs over CERT’s, dan kunt u altijd contact met ons opnemen.