Sobre la Red Nacional de SOC

Sobre la RNS

El CCN-CERT tradicionalment ha col·laborat i col·labora en diversos SOC de diferent magnitud, ja sigui en l’àmbit de Ministeris, Diputacions/Cabildos, o Entitats Locals, als quals s’han afegit darrerament Operadors de Serveis Essencials. En aquesta dinàmica, va sorgir la necessitat de crear una eina que interconnectés els SOC perquè, de manera fulminant, es pogués tallar qualsevol intent sospitós de ciberatac, fins i tot abans de determinar si consistia realment en això o no.

Posteriorment, a finals del 2020, la Comissió Europea va llançar la seva Estratègia de Ciberseguretat per a la Dècada Digital, en què adquireix un paper rellevant una xarxa europea de SOC, basada en eines d'Intel·ligència Artificial. La justificació de la Comissió ve del fet que Europa havia patit una pandèmia de ransomware i la xarxa de CSIRT existent en l’àmbit europeu no havia estat capaç d’aturar-la. Per tant, es volia focalitzar ara la detecció als SOC.

Tot això porta el CCN-CERT a crear la Xarxa Nacional de SOC, plataforma que integra els SOC de tots els organismes públics de l'Administració Espanyola, juntament amb les entitats proveïdores que presten aquests serveis de SOC i les entitats públiques que se'n beneficien.

Té com a objectiu principal impulsar la capacitat de Protecció dels seus membres mitjançant el bloqueig gairebé immediat de qualsevol indici d'activitat anòmala que s'estigui detectant a qualsevol punt de l'Administració.

Entitats participants

Es poden adherir a la Xarxa Nacional de SOC entitats de les categories següents:

Entitats públiques

Organismes de l’Administració Pública Espanyola. Generalment, els serveis de seguretat d’aquests organismes són prestats per proveïdors contractats.

Entitats proveïdores

Empreses que, amb personal propi, presten serveis de ciberseguretat o de SOC (Implementació, Operació, Manteniment...) a alguna entitat de l'Administració Pública Espanyola.

Entitats convidades

Entitats que no compleixen els requisits de les 2 categories anteriors, però a les quals es vol permetre l'accés a la informació intercanviada a la RNS.

Les entitats públiques i els proveïdors es relacionen entre si per mitjà dels SOC, i es poden donar els escenaris següents:

SOC Privat

SOC privado, que pertany a un Proveïdor i presta servei a una o diverses AAPP. En serà responsable, per tant, una persona de l'empresa. I el nom estarà relacionat amb l'empresa. P. ex., SOC EmpresaA.

SOC públic

prestat per un o diversos Proveïdors (o, fins i tot, amb personal propi) i que cobreix una o diverses AAPP. El responsable serà un empleat públic. I el nom estarà relacionat amb l'AAPP. P. ex., SOC MinisteriB.

A més, actualment, les entitats proveïdores poden tenir els nivells següents (d’acord amb la seva participació):

Gold

Proveïdors amb un nivell alt de participació. Tindran accés immediat a tota la informació compartida i consolidada a la RNS.

Informat

Proveïdors amb un nivell de participació normal. Tindran accés a la informació compartida i consolidada a la RNS, però amb cert retard.

La participació es mesurarà a través de la informació tècnica compartida, que es valorarà i puntuarà en funció de la naturalesa i rellevància. Atès que es pretén utilitzar la RNS com una eina que millori la seguretat de la informació de les Administracions Públiques, des d'aquestes mateixes Administracions es podrà impulsar progressivament l'adopció d'aquesta categorització de “Gold” i “Informat” com a valors diferenciadors a l'hora de avaluar propostes comercials de proveïdors que optin a contractes públics.


Logotip	Nom	Categoría	Nivell
	Accenture	Proveïdor	Informat
	Administración de la Comunidad de Castilla y León	Públic
	Agència de Ciberseguretat de Catalunya	Públic
	Agencia Estatal de Administración Tributaria	Públic
	Aiuken Cybersecurity	Proveïdor	Gold
	Ajuntament d'Alcoi	Públic
	Ajuntament de Lleida	Públic
	Ajuntament de Paterna	Públic
	Ajuntament de València	Públic
	Ajuntament de Vila-real	Públic
	AndalucíaCERT, centro de seguridad TIC de la Junta de Andalucía	Públic
	Ayuntamiento de A Coruña	Públic
	Ayuntamiento de Albacete	Públic
	Ayuntamiento de Alcorcón	Públic
	Ayuntamiento de Alicante	Públic
	Ayuntamiento de Almería	Públic
	Ayuntamiento de Burgos	Públic
	Ayuntamiento de Cáceres	Públic
	Ayuntamiento de Córdoba	Públic
	Ayuntamiento de Gandía	Públic
	Ayuntamiento de Getafe	Públic
	Ayuntamiento de Granada	Públic
	Ayuntamiento de Huelva	Públic
	Ayuntamiento de Ibiza / Ajuntament d'Eivissa	Públic
	Ayuntamiento de Icod de los Vinos	Públic
	Ayuntamiento de Jaén	Públic
	Ayuntamiento de Logroño	Públic
	Ayuntamiento de Málaga	Públic
	Ayuntamiento de Molina de Segura	Públic
	Ayuntamiento de Murcia	Públic
	Ayuntamiento de Palencia	Públic
	Ayuntamiento de Plasencia	Públic
	Ayuntamiento de Santa Cruz de Tenerife	Públic
	Ayuntamiento de San Vicente del Raspeig	Públic
	Ayuntamiento de Valladolid	Públic
	Ayuntamiento de Vigo	Públic
	Ayuntamiento de Vitoria-Gasteiz / Vitoria-Gasteizko Udala	Públic
	Banco de España	Públic
	BE:SEC	Proveïdor	Gold
	BeDisruptive	Proveïdor	Informat
	Bullhost	Proveïdor	Gold
	Cabildo de Tenerife	Públic
	Casa de su Majestad el Rey	Públic
	Cellnex	Proveïdor	Gold
	Centro Ciberseguridad Ayuntamiento de Madrid (CCMAD)	Públic
	Cipher a Prosegur company	Proveïdor	Informat
	Ciudad Autónoma de Ceuta	Públic
	Comisión Nacional de los Mercados y la Competencia (CNMC)	Públic
	CSA	Proveïdor	Gold
	Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-CV)	Públic
	Concello de Ourense	Públic
	CSIRT-SATEC	Proveïdor	Gold
	Concello de Ponteareas	Públic
	Deloitte	Proveïdor	Gold
	Deputación de Lugo	Públic
	Diputación de Albacete	Públic
	Diputación de Alicante	Públic
	Diputación de Almería	Públic
	Diputación de Badajoz	Públic
	Diputación de Castellón	Públic
	Diputación de Granada	Públic
	Diputación de Jaén	Públic
	Diputación de Valladolid	Públic
	Diputación Provincial de A Coruña	Públic
	Diputación Provincial de Burgos	Públic
	Diputación Provincial de Cádiz	Públic
	Diputación Provincial de Huesca	Públic
	Diputación Provincial de Málaga	Públic
	Diputación Provincial de Palencia	Públic
	Diputación Provincial de Segovia	Públic
	Diputación de Valencia	Públic
	Donostiako Udala / Ayuntamiento de San Sebastián	Públic
	EJIE – Sociedad Informática del Gobierno Vasco	Públic
	Enaire	Públic
	Entelgy Innotec Security	Proveïdor	Informat
	EDNON ENOC-CSIRT	Proveïdor	Informat
	ENUSA Industrias Avanzadas	Públic
	ESPDEF-CERT – Mando Conjunto del Ciberespacio	Públic
	esPublico Servicios para la Administración S.A.	Proveïdor	Gold
	Evolutio Cloud Enabler S.A.U.	Proveïdor	Gold
	EY Transforma Servicios de Consultoría	Proveïdor	Informat
	Excmo. Ayuntamiento de Castro Urdiales	Públic
	Excmo. Ayuntamiento de Fuenlabrada	Públic
	Excmo. Ayuntamiento de Rivas Vaciamadrid	Públic
	Excmo. Ayuntamiento de Utrera	Públic
	Fábrica Nacional de Moneda y Timbre - Real Casa de la Moneda	Públic
	FEGA, Fondo Español de Garantía Agraria	Públic
	Fujitsu Technology Solutions S.A.	Proveïdor	Informat
	Getronics	Proveïdor	Informed
	Global Technology – CSIRT	Proveïdor	Informat
	GMV	Proveïdor	Gold
	Gobierno de Aragón	Públic
	Gobierno de La Rioja	Públic
	Google Cloud	Proveïdor	Informat
	Grupo CIES	Proveïdor	Gold
	Grupo ICA Sistemas y Seguridad	Proveïdor	Gold
	Grupo Oesía	Proveïdor	Gold
	Grupo S21Sec Gestión, S.A.U.	Proveïdor	Informat
	Hispasec	Proveïdor	gold
	Inetum España SA	Proveïdor	Gold
	Ingenia – Babel Cybersecurity	Proveïdor	Gold
	Innovaciones Tecnológicas del Sur, S.L. (INNOVASUR)	Proveïdor	Gold
	Intec	Proveïdor	Informat
	Investigación y consulting, S.A.	Proveïdor	Informat
	IThinkUPC	Proveïdor	Gold
	ITS by Ibermática	Proveïdor	Informat
	Kyndryl España S.A.	Proveïdor	Gold
	Light Eyes	Proveïdor	Informat
	Madrid Digital	Públic
	MAPFRE S.A.	Proveïdor	Gold
	MNEMO Evolution & Integration Services, S.A.	Proveïdor	Gold
	NTT DATA Spain	Proveïdor	Gold
	OneCyber	Proveïdor	Informat
	OneseQ	Proveïdor	Gold
	PERSEUS	Proveïdor	Gold
	Principado de Asturias	Públic
	Redes System	Proveïdor	Gold
	Región de Murcia	Públic
	Renfe Operadora	Públic
	RTVE	Públic
	S2 Grupo	Proveïdor	Gold
	Secretaria General de Administración Digital	Públic
	Secure&IT	Proveïdor	Informat
	SEGIPSA. Sociedad Mercantil Estatal de Gestión Inmobiliaria de Patrimonio, M.P.S.A.	Públic
	SEIDOR-CSIRT	Proveïdor	Informado
	SERESCO	Proveïdor	Informat
	Servicio de Salud de las Illes Balears	Públic
	SIA, an Indra company	Proveïdor	Informat
	Sigma Gestión Universitaria, A.I.E (M.P)	Públic
	SILME - Servei d'Informàtica Local de Menorca	Públic
	Sirt	Proveïdor	Informat
	SOC corporativo del Gobierno de Canarias	Públic
	Sothis	Proveïdor	Gold
	T-Systems Iberia	Proveïdor	Gold
	Telefónica Tech Cyber Security & Cloud	Proveïdor	Gold
	Transports Metropolitans de Barcelona (TMB)	Públic
	Unitel Sistema de Comunicaciones de Castilla-La Mancha SLU	Proveïdor	Gold
	Universidad Miguel Hernández	Públic
	Universitat Politècnica de Catalunya	Públic
	Versia Cyber Shield	Proveïdor	Informat
	Wise Security Global	Proveïdor	Gold
	Xunta de Galicia - Centro de respuesta a incidentes de seguridad de la información (CSIRT.gal)	Públic

Informació a compartir

El principal actiu de la Xarxa Nacional de SOC és la informació compartida relativa als indicadors d’atacs o compromisos (IOA/IOC) que es puguin estar produint en el moment actual en alguna de les entitats membres. De manera que es puguin bloquejar. En concret:

Adreces IP d’atacants (o suposats atacants)
Dominis de sitios comprometidos (o supuestamente comprometidos)
URL específiques amb contingut nociu
Firmes o hash de fitxers amb contingut nociu
Adreces de correu propagadores de contingut nociu
Regles de detecció d'amenaces, per comportament de xarxa (regles SNORT), per contingut nociu (regles YARA) o per comportament monitorat als SIEM (regles SIGMA).

No és objecte de la Xarxa Nacional de SOC compartir informació que pugui contenir dades personals o de les víctimes. Ni informes o investigacions genèriques sobre amenaces al ciberespai si no s'estan materialitzant en algun dels membres. Pel que fa al primer punt, cada entitat haurà de preocupar-se de filtrar la informació que consideri oportuna. I, respecte del segon, és en la solució REYES del CCN-CERT on se centralitza tota la informació de ciberintel·ligència.

Addicionalment, a mesura que es vagi desplegant la infraestructura tecnològica corresponent, també es podran compartir:

Regles genèriques de detecció i casos d'ús
Llistes negres amb els IOC/IOC compartits
Mètriques i indicadors que cal utilitzar en un SOC per millorar-ne la gestió
Llistes blanques amb ubicacions legítimes
Vulnerabilitats
Alertes dels SIEM
...

Infraestructura tecnològica

La integració de la xarxa es materialitza mitjançant l’ús d’eines col·laboratives. En primer lloc, mitjançant una solució de missatgeria instantània (Element), tant per part de les entitats públiques que es beneficien dels serveis del SOC, com per part de les empreses que hi presten serveis. Aquesta solució es fa servir tant per propagar alertes sobre incidents en curs (o indicis de possibles incidents), com per compartir altres tipus d'informació d'interès: informes de ciberseguretat, procediments operatius dels SOC, procediments administratius o de contractació de serveis…

Una altra eina col·laborativa és la d’intercanvi d’informació sobre amenaces (MISP), on registrar, centralitzar i distribuir tant Indicadors d’Atacs (IOA) com els Indicadors de Compromís (IOC). En mode de lectura, per a aquelles entitats públiques menys madures que únicament necessitin accedir en determinades situacions a les dades tècniques d'una amenaça (per exemple, davant d'una alerta notificada a través de la solució de missatgeria). O en mode integració, connectant directament les eines dels SOC més madurs, de manera que es faciliti la distribució dels indicadors que cal bloquejar a la resta d'entitats.

A curt termini s'integrarà a la RNS el desplegament federat existent de l'eina de notificació de ciberincidents LUCIAciberincidents LUCIA. De manera que es pugui utilitzar com un indicador més tant del compromís del SOC amb la resta de membres com de l'evolució dels ciberincidents al territori nacional.

I, a mitjà termini, s'aniran integrant a la RNS altres solucions: IRIS per a la visualització en temps real de l’estat de la ciberseguretat a la RNS; ANA per poder generar des de la RNS un sistema d’avís davant de la publicació de vulnerabilitats; els SIEM, per recopilar les alertes crítiques generades pels SOC i que puguin servir de font de dades per correlacionar incidents des d’una perspectiva global.

Tot això centralitzat en aquesta pàgina web, on, des de l’àrea privadal’àrea privada, es tindrà accés no només a la informació de pertinença de la pròpia entitat, sinó a tota la informació compartida. Les entitats també podran compartir amb la resta informació interessant com: casos d’ús, exemples de plecs, indicadors de servei per a SOC, procediments…

Exemples d’ús d'aquesta infraestructura:

Incident crític en Entitat amb MISP: l'entitat implicada comparteix els IOA/IOC corresponents a Element, anticipant el que posteriorment es trobarà al MISP. En cas de tenir l'esdeveniment ja a MISP, podreu reflectir l'ID al missatge d'Element, perquè la gent accedeixi al MISP a obtenir la informació.

Entitats sense MISP: reben la informació per Element i poden actuar bloquejant. En el cas que s'hagi compartit l'ID de MISP, hauran d'accedir via web al MISP per descarregar-se la informació i bloquejar-la.

Entitats amb MISP: reben la informació per Element, per estar en preavís (i poder avançar els bloquejos), però poden esperar que la informació se sincronitzi amb el seu MISP.

Incident no crític en Entitat amb MISP: l'entitat donarà d'alta l'incident al MISP, amb el procediment habitual, sense necessitat d'alertar per Element.

Entitats sense MISP: si no entran al MISP, no serán conscientes.

Entitats amb MISP: la seva entitat se sincronitzarà i podran actuar com habitualment.

Incident en Entitat sense MISP: l’entitat podrà pujar la informació al MISP de la RNS a través d’Element (funcionalitat disponible en breu). Si la informació esmentada passa el procés de valoració, es compartirà, a través d'Element, amb la resta d'entitats, així com a través del MISP.

Beneficis de participar

Per als proveïdors amb nivell “Gold”, el benefici principal és l’accés a tots els IOC/IOA compartits a la RNS des de l’inici. De manera que pugui traslladar la protecció davant d'aquestes amenaces als seus clients de forma gairebé immediata. I, indirectament, un millor posicionament davant dels processos de contractació en què s'hagi especificat com a requisit pertànyer a la Xarxa Nacional de SOC amb aquest nivell.

Per a la resta de proveïdors, els beneficis són els mateixos encara que demorats lleugerament en el temps.

I, per a les entitats públiques, no només l’accés als indicadors esmentats anteriorment, sinó a un fòrum de compartició on podran intercanviar recomanacions respecte de la gestió i direcció dels SOC. Com poden ser models de contractació, recomanacions sobre proveïdors, definició d’indicadors per al mesurament dels serveis…

Adhesió y permanència

Els requisits perquè un organisme pugui adherir-se a la Xarxa Nacional de SOC com a entitat pública són:

Pertànyer al Sector Públic (a Espanya).
Disposar de serveis de ciberseguretat o de SOC
Acceptar el codi ètic i de conducta professional de la RNS
• Tenir instal·lat i utilitzar LUCIA (o estar en procés d’instal·lació)

D’altra banda, els requisits que han de complir les empreses per adherir-se com a Proveïdors són:

Ser empresa (pública o privada)
Prestar serveis de ciberseguretat o de SOC al Sector Públic (a Espanya).
Acceptar el codi ètic i de conducta professional de la RNS
Utilitzar LUCIA per notificar incidents al CCN-CERT en algun dels clients (o estar en procés d'implantació)

Si es compleixen els requisits enumerats anteriorment, el procés d’adhesió consisteix en el següent:

Sol·licitud per part de l’entitat: emplenant el formulari d'adhesió que es troba a la pàgina web de la RNS, indicant si s’és entitat pública o proveïdor.
Aprovisionament, per part de la RNS, en les eines disponibles. I notificació a l’entitat de les credencials corresponents.
Confirmació de l’adhesió i publicació de l’afiliació al lloc web.

Un cop adherides a la Xarxa Nacional de SOC, les entitats han de complir les condicions de permanència següents, que es revisaran trimestralment:

Seguir complint els requisits d’adhesió
Utilitzar les eines a disposició de la RNS: accedir de manera contínua a la solució de missatgeria i estar al corrent de la informació intercanviada; accedir puntualment a la solució d’intercanvi per tenir la capacitat de descarregar la informació tècnica intercanviada…
Addicionalment, per a les entitats proveïdores, compartir informació tècnica que sigui nova i rellevant. Per mitjà de les eines a disposició de la RNS perquè aquesta informació es pugui valorar i puntuar correctament.

Si les condicions de permanència no es compleixen, es valorarà l’expulsió de la RNS.