Sobre la implantació

Per garantir un nivell de seguretat adequat en els sistemes, cal actuar abans que es produeixi un incident o, si més no, ser capaç de detectar-lo en un primer moment per reduir-ne l'impacte i l'abast.

La implantació del SOC no és una tasca fàcil, i requereix un procés de millora contínua, és a dir, requereix recursos econòmics i humans que no sempre estaran disponibles, per la qual cosa, en diferents fases, i en funció dels recursos disponibles en cada moment, caldrà millorar-ne la implantació. Aquesta aproximació per iteracions ha d'anar atenent les vulnerabilitats més importants en un ordre prioritzat i augmentar el nivell de maduresa de la ciberseguretat de l'organisme progressivament.

Els SOC han de destacar per la proactivitat, ser capaços de detectar un gran nombre de tipus d'atacs, evitar-ne l'expansió, respondre ràpidament davant l'incident detectat i generar normes d'actuació que evitin futurs incidents. L'emmagatzematge d'un nombre cada vegada més gran d'esdeveniments proporcionarà una panoràmica completa i veraç de la situació dels sistemes de les administracions públiques espanyoles, que possibilitarà una acció preventiva davant d’amenaces futures. Han d'aplicar casos d'ús per establir quins registres cal emmagatzemar i tractar. Aquests registres han d’ajudar i estar en consonància per activar alertes de seguretat i, així, ser eficients. I, el més important, han d’intercanviar la informació sobre les amenaces i notificar els incidents, de manera que la intel·ligència col·lectiva ajudi a protegir la societat en conjunt.

Capacitats d’un SOC

El SOC proporciona a l'Organisme les capacitats de:

Prevención
Prevenció

Ampliant el coneixement respecte de les vulnerabilitats, tant tècniques com humanes, per reduir la superfície d'exposició.

Protección
Protecció

Aplicant mesures de bloqueig en diferents punts de la infraestructura per impedir o limitar els ciberatacs.

Public entities
Detecció

Observant tot el que passa a l'organització, per buscar les amenaces existents.

Respuesta
Resposta

Actuant davant dels ciberincidents per minimitzar l’impacte sobre l’Organització.

Security
Gestió de la seguretat

Establint el rumb de la resta de capacitats, per exercir una correcta Governança

Des del CCN s'entén que l'abast del SOC dependrà de l'Organisme al qual presta servei, i es poden trobar casos en què el SOC només proporciona un subconjunt d'aquestes capacitats.

D'altra banda, i en funció del coneixement o experiència de les persones que formen part del SOC, les seves actuacions es poden classificar en els àmbits següents:

Operations
Operaciones

Àmbit de les OPERACIONS:
posa el focus en les actuacions que requereixen coneixements respecte de la tecnologia de seguretat implantada a l'Organisme, per explotar-la.

Public entities
Incidentes

Àmbit dels INCIDENTS:
posa el focus en les actuacions que requereixen coneixements respecte dels actors i amenaces existents, les tàctiques, tècniques i procediments (TTP), així com en el procés complet de gestió d’un incident.

Public entities
Auditorías

Àmbit de les AUDITORIES:
es posa el focus en les actuacions que requereixen coneixements respecte de les vulnerabilitats, per a l’anàlisi i posterior mitigació.

Public entities
Transversal

Àmbit TRANSVERSAL:
s'agrupen aquelles actuacions que no requereixen un coneixement propi en un àmbit concret.

Gràfica il·lustració
Relació entre els àmbits de coneixement que participen en cada capacitat.
Gràfica il·lustració
Relació entre els àmbits de coneixement que participen en cada capacitat.

Estos ámbitos pueden ayudar, sobre todo al principio, a estructurar los equipos de trabajo del SOC. De modo que se pueda empezar con tres equipos de trabajo diferenciados (Operaciones, Incidentes y Auditorías), aunque posteriormente y según vaya creciendo el SOC se vayan estructurando más por competencias.

Competències en ciberseguretat

Per assolir les capacitats identificades anteriorment, el SOC ha de desenvolupar una sèrie de competències que, posteriorment i en funció del catàleg de serveis de l'Organisme, podran formar part d’un servei específic o estar agrupades sota un servei de nivell superior.

De prevenció

  • Inspeccions Tècniques de Seguretat: que es podran dur a terme sobre la infraestructura en producció, i/o de manera prèvia integrada al cicle de vida del desenvolupament del programari, i/o en la posada en marxa de noves infraestructures (adquisicions d'impressores, projectors, termòstats...); podran ser de “caixa negra”, “caixa blanca” o “caixa gris”; podran ser de codi font (sense executar) o de codi en execució...
  • Seguiment a la publicació de vulnerabilitats tecnològiques que poguessin afectar l'organisme.
  • Seguimiento a la publicación de vulnerabilidades tecnológicas que pudieran afectar al Organismo.
  • Gestió de vulnerabilitats: que es podrà dur a terme amb eines específiques (p. ex., ANA), i que inclouria tant el registre i el seguiment de les vulnerabilitats identificades com el suport a la remediació d'aquestes vulnerabilitats.
  • Capacitació del personal de l’Organisme en tècniques de seguretat.
  • Conscienciació del personal de l'Organisme respecte dels riscos existents.
  • Cibervigilància o Vigilància Digital, tant a Internet com al web fosc o dark web

De protecció:

  • Protecció del tràfic, ja sigui perimetral o intern, mitjançant la gestió de tallafocs, dels sistemes de detecció i/o prevenció d'intrusions...
  • Protecció de la navegació, mitjançant la gestió dels proxies, sinkholes (DNS),...
  • Protecció del correu, mitjançant la gestió dels sistemes antispam.
  • Protecció de les aplicacions web, mitjançant la gestió del WAF o la inspecció TLS.
  • Protecció de l'accés remot, mitjançant la gestió de les VPN o l'accés als escriptoris virtuals (VDI).
  • Protecció dels llocs de treball i servidors (endpoints), mitjançant la gestió de les solucions antivirus, EPP, EDR...
  • Protecció de la fugida de documentació, mitjançant la gestió de les solucions DLP, IRM...

De detecció:

  • Registre d'esdeveniments o logs, mitjançant servidors centralitzats.
  • Correlació d'esdeveniments mitjançant sistemes SIEM. Amb la possibilitat de generar regles de detecció de manera proactiva.
  • Monitoratge d’alertes, procedents de múltiples orígens com el SAT, SIEM, AntiDDoS de CORA...
  • Investigacions avançades o threat hunting, mitjançant solucions com CARMEN, CLAUDIA, els EDR, etc., i fent ús d'informacions compartides com IoC o TTP (Mitre ATT&CK).

De reposta:

  • Bloqueig centralitzat d’IoC
  • Gestió d'incidents, incloent-hi la gestió d'evidències, l'anàlisi forense, la contenció, la mitigació i la recuperació
  • Anàlisi de programari maliciós o malware, també anomenat reversing, amb laboratoris o solucions com ADA
  • Intercanvi d’informació mitjançant MISP, REYES, RNS...
  • Anàlisi i confirmació de vulnerabilitats sota atac.

De gestió:

  • Assessorament: Tant internament dins del SOC com a la resta de l’Organisme, respecte de diferents aspectes de ciberseguretat: arquitectures de seguretat, com es planifiquen i implementen.
  • Implantació de l’ENS.
  • Desenvolupament normatiu.
  • Anàlisi de riscos.
  • Compliment legal i normatiu
  • Informació de l’Estat de la Seguretat (Quadres de comandament).

Quadre resum:

Cuadro resumen
Cuadro resumen

Posada en marxa d’un SOC

No tots els SOC han de disposar dels mateixos serveis, cobrint totes les capacitats i àmbits, ni tenir totes les competències. Múltiples factors, als quals cal afegir la maduresa i els recursos disponibles, obligaran a prendre una decisió en un sentit o en un altre. La regla d'entitat petita, SOC petit (o, fins i tot, no SOC, en estar cobert per una entitat superior), entitat gran, SOC gran, hauria de ser la norma a seguir.

Els passos per posar en marxa un SOC amb el suport del CCN-CERT serien els següents:

  1. Avaluar els sistemes que cal protegir i l'estat de la seguretat, per determinar la superfície d'exposició de l'organisme. Per a això, és ideal fer una auditoria dels sistemes. Com més completa sigui l'auditoria, més informació es tindrà de les vulnerabilitats i necessitats de l'organisme. En casos excepcionals, l'auditoria pot ser substituïda per entrevistes que proporcionin la informació necessària per a l'avaluació inicial. Els resultats de l'auditoria es reassentaran a l'eina ANA per afavorir el seguiment de les vulnerabilitats detectades i la correcció, a més d’obtenir un inventari de sistemes per agilitar la notificació davant de l'aparició de noves vulnerabilitats. En una altra faceta, la informació obtinguda sobre l'estat de la seguretat de l'organisme es registrarà a l'eina INES per contribuir a la visió general de l'estat de la ciberseguretat en l’àmbit nacional. Fruit d’aquest treball inicial es podrà proporcionar a l’organisme una primera visió de l’estat de la seguretat, una primera aproximació d’anàlisi de riscos i un primer esbós de pla d’adequació a l’ENS.
  2. Definir objectius de vigilància. En funció del resultat de les auditories i entrevistes, es determinarà què cal monitorar i amb quin tipus d'eines.
  3. Definir quin cas d’ús és aplicable a l’entitat i quines alertes poden generar valor.
  4. Disposar de mètriques de la superfície d’exposició de l’organisme. Per a això, s'hauran de desplegar eines específiques. Aquesta informació és molt important per saber quines vulnerabilitats té l’organisme, i per determinar i prioritzar els serveis i equips que requereixen atenció.
  5. Donar suport a l'establiment d'un EDR a tots els equips de l'organització per tenir una base de defensa comuna i font de telemetria per a la resta de serveis del SOC.
  6. Donar formació sobre l’operació d’un SOC
  7. Donar suport a la redacció de plecs per a la contractació de serveis de ciberseguretat

Aportació del CCN

Les sol·licituds de col·laboració amb el CCN per al desplegament d'un SOC per part d'un organisme públic es poden fer per correu electrònic, al compte Aquesta adreça de correu-e està protegida dels robots de spam.Necessites Javascript habilitat per veure-la., o des de l'apartat de contacte d'aquest web. Si fos necessari per a l'organisme sol·licitant, es podria arribar a signar un conveni de col·laboració. Això no obstant, tenint en compte la multitud d'organismes públics existents, aquesta opció quedarà restringida a casos excepcionals.

Contactar
Contactar

Addicionalment, el CCN-CERT pot proporcionar un subconjunt del total d'eines més utilitzades en ciberseguretat.

  • Eines de monitoratge: són eines de diferent nivell de complexitat que serveixen perquè personal especialitzat pugui identificar esdeveniments i alertes que requereixen atenció.
    • Eines d’administració d’equips de seguretat. Entren en aquest grup les eines d'administració centralitzada de tallafocs (firewall), servidors intermediaris, passarel·les, antispam, etc. Poden estar a qualsevol nivell de SOC, però es desitjable que estiguin en el més baix possible.
    • Antivirus (EPP) o Endpoint Detection and Response (EDR): és la primera línia de defensa i s'instal·la a tots els dispositius de l'organisme (ordinadors, servidors, telèfons mòbils, etc.). Ha de ser atesa pel SOC de nivell més baix. A més, és molt recomanable la instal·lació de l'eina antiransomware del CCN-CERT, microCLAUDIA.
    • o Sistema de detecció d’intrusions (Intrusion Detection system o IDS) yi Sistemes de Prevenció d’Intrusions (Intrusion Prevention System-IPS). Són sistemes que s’empren per detectar o prevenir intrusions. Normalment, van associats a un sistema SIEM. Pel seu cost i complexitat, només està justificat el desplegament en accessos a Internet d'un elevat nombre d'usuaris i sistemes, per la qual cosa s'haurà de desplegar en SOC de nivell mitjà-alt. Exemple: Sonda SAT-INET.
    • Sistema de gestió d'esdeveniments i informació de seguretat (SIEM-Security Information Event Management). Són sistemes complexos d'instal·lar, gestionar i operar, que requereixen personal tècnic molt especialitzat i qualificat. Per optimització de recursos, s'ha de tendir a fer-los servir en SOC de nivell alt-mitjà centralitzant els esdeveniments de SOC de nivell baix on no sigui viable el desplegament per economia de recursos. No té sentit escalar els esdeveniments a diversos SIEM, ja que es duplicaria la feina. EL SIEM pot donar servei a diversos organismes si s'agrupen així en un SOC comú. Finalment, és molt important tenir en compte que es corre el perill de desbordament de logs d'aquest SIEM, per la qual cosa és molt important l'emmagatzematge basat en casos d'ús. Exemples: MONICA, GLORIA o qualsevol SIEM inclòs en el catàleg CPSTIC 105.
    • o Sistemes per a la detecció d’amenaces persistents avançades (APT-Advanced Persistent Thread): són eines molt sofisticades que requereixen personal especialitzat i que s'han d'instal·lar en sistemes amb informació sensible. Només són recomanables en entitats molt grans, susceptibles de patir atacs esponsoritzats per estats. Exemple CARMEN.
  • Eines d'auditoria: serveixen per analitzar les vulnerabilitats dels equips i els sistemes i ser conscients de la superfície d'exposició. Davant de qualsevol nova amenaça es pot saber quins sistemes i serveis es poden veure afectats. Tots els organismes haurien de fer auditories en el període previ a la implantació del SOC. Exemple: ANA com a repositori de resultats d’auditories.
  • Eina pròpia de gestió del SOC: eina de tiquet per a les incidències dels sistemes de seguretat del dia a dia.
  • - Eines per a la comunicació d'incidents de seguretat. LUCIA per a la comunicació i l'escalat d'incidents de ciberseguretat. S'emprarà en tots els nivells. En última instància, el CCN-CERT podrà intervenir en la resolució de l'incident.
  • Eines de ciberintel·ligència i anàlisi d'amenaces, com REYES
  • Eines específiques de participació a la RNS: segons es detallen a l'apartat d'Infraestructura tecnològica Infraestructura tecnològica.