Sobre la RNS

El CCN-CERT tradicionalment ha col·laborat i col·labora en diversos SOC de diferent magnitud, ja sigui en l’àmbit de Ministeris, Diputacions/Cabildos, o Entitats Locals, als quals s’han afegit darrerament Operadors de Serveis Essencials. En aquesta dinàmica, va sorgir la necessitat de crear una eina que interconnectés els SOC perquè, de manera fulminant, es pogués tallar qualsevol intent sospitós de ciberatac, fins i tot abans de determinar si consistia realment en això o no.

Posteriorment, a finals del 2020, la Comissió Europea va llançar la seva Estratègia de Ciberseguretat per a la Dècada Digital, en què adquireix un paper rellevant una xarxa europea de SOC, basada en eines d'Intel·ligència Artificial. La justificació de la Comissió ve del fet que Europa havia patit una pandèmia de ransomware i la xarxa de CSIRT existent en l’àmbit europeu no havia estat capaç d’aturar-la. Per tant, es volia focalitzar ara la detecció als SOC.

Tot això porta el CCN-CERT a crear la Xarxa Nacional de SOC, plataforma que integra els SOC de tots els organismes públics de l'Administració Espanyola, juntament amb les entitats proveïdores que presten aquests serveis de SOC i les entitats públiques que se'n beneficien.

Té com a objectiu principal impulsar la capacitat de Protecció dels seus membres mitjançant el bloqueig gairebé immediat de qualsevol indici d'activitat anòmala que s'estigui detectant a qualsevol punt de l'Administració.

Entitats participants

Es poden adherir a la Xarxa Nacional de SOC entitats de les categories següents:

Entidades públicas

Entitats públiques

Organismes de l’Administració Pública Espanyola. Generalment, els serveis de seguretat d’aquests organismes són prestats per proveïdors contractats.

Entidades proveedoras

Entitats proveïdores

Empreses que, amb personal propi, presten serveis de ciberseguretat o de SOC (Implementació, Operació, Manteniment...) a alguna entitat de l'Administració Pública Espanyola.

Entidades invitadas

Entitats convidades

Entitats que no compleixen els requisits de les 2 categories anteriors, però a les quals es vol permetre l'accés a la informació intercanviada a la RNS.

Les entitats públiques i els proveïdors es relacionen entre si per mitjà dels SOC, i es poden donar els escenaris següents:

SOC Privat

SOC privado, que pertany a un Proveïdor i presta servei a una o diverses AAPP. En serà responsable, per tant, una persona de l'empresa. I el nom estarà relacionat amb l'empresa. P. ex., SOC EmpresaA.

SOC públic

prestat per un o diversos Proveïdors (o, fins i tot, amb personal propi) i que cobreix una o diverses AAPP. El responsable serà un empleat públic. I el nom estarà relacionat amb l'AAPP. P. ex., SOC MinisteriB.

A més, actualment, les entitats proveïdores poden tenir els nivells següents (d’acord amb la seva participació):

icono gold Gold

Proveïdors amb un nivell alt de participació. Tindran accés immediat a tota la informació compartida i consolidada a la RNS.

icono Informado Informat

Proveïdors amb un nivell de participació normal. Tindran accés a la informació compartida i consolidada a la RNS, però amb cert retard.

La participació es mesurarà a través de la informació tècnica compartida, que es valorarà i puntuarà en funció de la naturalesa i rellevància. Atès que es pretén utilitzar la RNS com una eina que millori la seguretat de la informació de les Administracions Públiques, des d'aquestes mateixes Administracions es podrà impulsar progressivament l'adopció d'aquesta categorització de “Gold” i “Informat” com a valors diferenciadors a l'hora de avaluar propostes comercials de proveïdors que optin a contractes públics.

Logotip Entitat Tipus Nivell de participació Data de renovació

Informació a compartir

El principal actiu de la Xarxa Nacional de SOC són els indicadors d’atac o compromís (IOA/IOC) dels incidents que es puguin estar produint en el moment actual en algunes de les entitats membres. Sempre sota la premissa de “només compartir el que jo mateix/a ja estic bloquejant”. En concret:

  • Adreces IP d’atacants (o suposats atacants)
  • Dominis de sitios comprometidos (o supuestamente comprometidos)
  • URL específiques amb contingut nociu
  • Firmes o hash de fitxers amb contingut nociu
  • Adreces de correu propagadores de contingut nociu
  • Regles de detecció d'amenaces, per comportament de xarxa (regles SNORT), per contingut nociu (regles YARA) o per comportament monitorat als SIEM (regles SIGMA).

No és objecte de la Xarxa Nacional de SOC compartir informació que pugui contenir dades personals o de les víctimes. Ni informes o investigacions genèriques sobre amenaces al ciberespai si no s'estan materialitzant en algun dels membres. Pel que fa al primer punt, cada entitat haurà de preocupar-se de filtrar la informació que consideri oportuna. I, respecte del segon, és en la solució REYES del CCN-CERT on se centralitza tota la informació de ciberintel·ligència.

Addicionalment, a mesura que es vagi desplegant la infraestructura tecnològica corresponent, també es podran compartir:

  • Regles genèriques de detecció i casos d'ús
  • Llistes negres amb els IOC/IOC compartits
  • Mètriques i indicadors que cal utilitzar en un SOC per millorar-ne la gestió
  • Llistes blanques amb ubicacions legítimes
  • Vulnerabilitats
  • Alertes dels SIEM
  • ...

Infraestructura tecnològica

ElementLa integració de la xarxa es materialitza mitjançant l’ús d’eines col·laboratives. En primer lloc, mitjançant una solució de missatgeria instantània (Element), tant per part de les entitats públiques que es beneficien dels serveis del SOC, com per part de les empreses que hi presten serveis. Aquesta solució es fa servir tant per propagar alertes sobre incidents en curs (o indicis de possibles incidents), com per compartir altres tipus d'informació d'interès: informes de ciberseguretat, procediments operatius dels SOC, procediments administratius o de contractació de serveis...

Element

MispUna altra eina col·laborativa és la d’intercanvi d’informació sobre amenaces (MISP), on registrar, centralitzar i distribuir tant Indicadors d’Atacs (IOA) com els Indicadors de Compromís (IOC). En mode de lectura, per a aquelles entitats públiques menys madures que únicament necessitin accedir en determinades situacions a les dades tècniques d'una amenaça (per exemple, davant d'una alerta notificada a través de la solució de missatgeria). O en mode integració, connectant directament les eines dels SOC més madurs, de manera que es faciliti la distribució dels indicadors que cal bloquejar a la resta d'entitats.

Misp

A curt termini s'integrarà a la RNS el desplegament federat existent de l'eina de notificació de ciberincidents LUCIAciberincidents LUCIA. De manera que es pugui utilitzar com un indicador més tant del compromís del SOC amb la resta de membres com de l'evolució dels ciberincidents al territori nacional.

I, a mitjà termini, s'aniran integrant a la RNS altres solucions: IRIS per a la visualització en temps real de l’estat de la ciberseguretat a la RNS; ANA per poder generar des de la RNS un sistema d’avís davant de la publicació de vulnerabilitats; els SIEM, per recopilar les alertes crítiques generades pels SOC i que puguin servir de font de dades per correlacionar incidents des d’una perspectiva global.

Tot això centralitzat en aquesta pàgina web, on, des de l’àrea privadal’àrea privada, es tindrà accés no només a la informació de pertinença de la pròpia entitat, sinó a tota la informació compartida. Les entitats també podran compartir amb la resta informació interessant com: casos d’ús, exemples de plecs, indicadors de servei per a SOC, procediments...

Exemples d’ús d'aquesta infraestructura:

Incident crític en Entitat amb MISP: l'entitat implicada comparteix els IOA/IOC corresponents a Element, anticipant el que posteriorment es trobarà al MISP. En cas de tenir l'esdeveniment ja a MISP, podreu reflectir l'ID al missatge d'Element, perquè la gent accedeixi al MISP a obtenir la informació.

Entitats sense MISP: reben la informació per Element i poden actuar bloquejant. En el cas que s'hagi compartit l'ID de MISP, hauran d'accedir via web al MISP per descarregar-se la informació i bloquejar-la.

Entitats amb MISP: reben la informació per Element, per estar en preavís (i poder avançar els bloquejos), però poden esperar que la informació se sincronitzi amb el seu MISP.

Incident no crític en Entitat amb MISP: l'entitat donarà d'alta l'incident al MISP, amb el procediment habitual, sense necessitat d'alertar per Element.

Entitats sense MISP: si no entran al MISP, no serán conscientes.

Entitats amb MISP: la seva entitat se sincronitzarà i podran actuar com habitualment.

Incident en Entitat sense MISP: l’entitat podrà pujar la informació al MISP de la RNS a través d’Element (funcionalitat disponible en breu). Si la informació esmentada passa el procés de valoració, es compartirà, a través d'Element, amb la resta d'entitats, així com a través del MISP.

Beneficis de participar

Per als proveïdors amb nivell “Gold”, el benefici principal és l’accés a tots els IOC/IOA compartits a la RNS des de l’inici. De manera que pugui traslladar la protecció davant d'aquestes amenaces als seus clients de forma gairebé immediata. I, indirectament, un millor posicionament davant dels processos de contractació en què s'hagi especificat com a requisit pertànyer a la Xarxa Nacional de SOC amb aquest nivell.

Per a la resta de proveïdors, els beneficis són els mateixos encara que demorats lleugerament en el temps.

I, per a les entitats públiques, no només l’accés als indicadors esmentats anteriorment, sinó a un fòrum de compartició on podran intercanviar recomanacions respecte de la gestió i direcció dels SOC. Com poden ser models de contractació, recomanacions sobre proveïdors, definició d’indicadors per al mesurament dels serveis...

Adhesió y permanència

Els requisits perquè un organisme pugui adherir-se a la Xarxa Nacional de SOC com a entitat pública són:

  • Pertànyer al Sector Públic (a Espanya).
  • Disposar de serveis de ciberseguretat o de SOC
  • Acceptar el codi ètic i de conducta professional de la RNS
  • Tenir instal·lat i utilitzar LUCIA (o estar en procés d’instal·lació)

D’altra banda, els requisits que han de complir les empreses per adherir-se com a Proveïdors són:

  • Ser empresa (pública o privada)
  • Prestar serveis de ciberseguretat o de SOC al Sector Públic (a Espanya).
  • Acceptar el codi ètic i de conducta professional de la RNS
  • Utilitzar LUCIA per notificar incidents al CCN-CERT en algun dels clients (o estar en procés d'implantació)

Si es compleixen els requisits enumerats anteriorment, el procés d’adhesió consisteix en el següent:

  • Sol·licitud per part de l’entitat: emplenant el formulari d'adhesió que es troba a la pàgina web de la RNS, indicant si s’és entitat pública o proveïdor.
  • Aprovisionament, per part de la RNS, en les eines disponibles. I notificació a l’entitat de les credencials corresponents.
  • Confirmació de l’adhesió i publicació de l’afiliació al lloc web.

Un cop adherides a la Xarxa Nacional de SOC, les entitats han de complir les condicions de permanència següents, que es revisaran trimestralment:

  • Seguir complint els requisits d’adhesió
  • Utilitzar les eines a disposició de la RNS: accedir de manera contínua a la solució de missatgeria i estar al corrent de la informació intercanviada; accedir puntualment a la solució d’intercanvi per tenir la capacitat de descarregar la informació tècnica intercanviada...
  • Addicionalment, per a les entitats proveïdores, compartir informació tècnica que sigui nova i rellevant. Per mitjà de les eines a disposició de la RNS perquè aquesta informació es pugui valorar i puntuar correctament.

Si les condicions de permanència no es compleixen, es valorarà l’expulsió de la RNS.