Sobre la RNS

El CCN-CERT tradicionalment ha col·laborat i col·labora en diversos SOC de diferent magnitud, ja sigui en l’àmbit de Ministeris, Diputacions/Cabildos, o Entitats Locals, als quals s’han afegit darrerament Operadors de Serveis Essencials. En aquesta dinàmica, va sorgir la necessitat de crear una eina que interconnectés els SOC perquè, de manera fulminant, es pogués tallar qualsevol intent sospitós de ciberatac, fins i tot abans de determinar si consistia realment en això o no.

Posteriorment, a finals del 2020, la Comissió Europea va llançar la seva Estratègia de Ciberseguretat per a la Dècada Digital, en què adquireix un paper rellevant una xarxa europea de SOC, basada en eines d'Intel·ligència Artificial. La justificació de la Comissió ve del fet que Europa havia patit una pandèmia de ransomware i la xarxa de CSIRT existent en l’àmbit europeu no havia estat capaç d’aturar-la. Per tant, es volia focalitzar ara la detecció als SOC.

Tot això porta el CCN-CERT a crear la Xarxa Nacional de SOC, plataforma que integra tots els SOC del territori nacional, ja siguin públics o privats.

Té com a objectiu principal impulsar la capacitat de Protecció dels seus membres mitjançant el bloqueig gairebé immediat de qualsevol indici d'activitat anòmala que s'estigui detectant a qualsevol punt de l'Administració.

Entitats participants

Es poden adherir a la Xarxa Nacional de SOC entitats de les categories següents:

Entidades públicas

Entitats públiques

Organismes de l’Administració Pública Espanyola. Generalment, els serveis de seguretat d’aquests organismes són prestats per proveïdors contractats.

Entidades proveedoras

Entitats proveïdores

Empreses del sector privat que presten serveis de SOC a altres entitats, ja siguin públiques o privades, protegint actius espanyols.

Entitats privades

Entitats privades

Empreses del sector privat, amb un SOC propi protegint els seus actius espanyols, sense prestar aquests serveis de SOC a altres entitats.

Aquestes entitats han d'estar sota la protecció d'un SOC, ja sigui propi o extern:

SOC extern

SOC pertanyent a una entitat proveïdora, protegint una o diverses entitats tant públiques com privades. El responsable serà, per tant, una persona de l'entitat proveïdora. I el nom estarà relacionat amb aquest proveïdor (e.g. SOC Proveïdora).

SOC propi

SOC pertanyent a la pròpia entitat pública o privada, ja sigui amb personal propi o subcontractat (a una o diverses entitats proveïdores). El responsable serà, per tant, una persona d'aquesta entitat pública o privada (però no de l'entitat proveïdora, si escau). I el nom estarà relacionat amb aquesta entitat (e.g. SOC EmpresaA o SOC MinisterioB).

A més, actualment les entitats privades i les proveïdores poden tenir els nivells següents (en base a la seva participació):

icono gold Or

Nivell assignat a les entitats privades i proveïdores amb un nivell alt de participació.

icono Informado Plata

Nivell assignat a les entitats privades i proveïdores amb un nivell de participació normal.

icono Inhabilitado Inhabilitat

Nivell assignat a les entitats privades i proveïdores que han deixat de participar a la compartició d'informació.

La participació es mesurarà a través de la informació tècnica compartida, que es valorarà i puntuarà en funció de la naturalesa i rellevància.

Atès que es pretén utilitzar la RNS com una eina que millori la seguretat de la informació de les Administracions Públiques, des d'aquestes mateixes Administracions es podrà impulsar progressivament l'adopció d'aquesta categorització de "Or" i "Plata" com a valors diferenciadors a l'hora de avaluar propostes comercials de proveïdors que optin a contractes públics.

A les tres categories anteriors (entitats públiques, proveïdores i privades) se'ls sumen dues categories especials:

Entitats font

Entitats font

Entitats no relacionades amb un SOC, però que estan disposades a contribuir amb la RNS aportant informació de ciberamenaces compartible amb tots els seus membres. En aquesta categoria podrien caure les grans empreses de tecnologia. La seva adhesió queda a criteri del CCN.

Entitats d'enllaç

Entitats d'enllaç

Comunitats nacionals o internacionals amb què la RNS pugui tenir enllaços d'intercanvi. En aquesta categoria podrien caure els intercanvis amb l'ENSOC, LATAM, CERT-EU… La seva adhesió queda a criteri del CCN.

Logotip Entitat Tipus Nivell de participació Data de renovació

Informació a compartir

El principal actiu de la Xarxa Nacional de SOC són els indicadors d’atac o compromís (IOA/IOC) dels incidents que es puguin estar produint en el moment actual en algunes de les entitats membres. Sempre sota la premissa de "només compartir el que jo mateix/a ja estic bloquejant". En concret:

  • Adreces IP d’atacants (o suposats atacants)
  • Dominis de sitios comprometidos (o supuestamente comprometidos)
  • URL específiques amb contingut nociu
  • Firmes o hash de fitxers amb contingut nociu
  • Adreces de correu propagadores de contingut nociu
  • Regles de detecció d'amenaces, per comportament de xarxa (regles SNORT), per contingut nociu (regles YARA).
  • Capçaleres específiques de navegació, com "user-agent" i altres.

No és objecte de la Xarxa Nacional de SOC compartir informació que pugui contenir dades personals o de les víctimes. Ni informes o investigacions genèriques sobre amenaces al ciberespai si no s'estan materialitzant en algun dels membres. Pel que fa al primer punt, cada entitat haurà de preocupar-se de filtrar la informació que consideri oportuna. I, respecte del segon, és en la solució REYES del CCN-CERT on se centralitza tota la informació de ciberintel·ligència.

Adicionalment, també s'està compartint a la xarxa:

  • Regles genèriques de detecció i casos d'ús
  • Informes de ciberseguretat
  • Procediments operatius d'un SOC
  • Procediments administratius o de contractació de serveis

I properament també es podran compartir:

  • Mètriques i indicadors a utilitzar en un SOC per millorar-ne la gestió
  • Llistes blanques amb ubicacions legítimes
  • Vulnerabilitats
  • Alertes dels SIEM
  • ...

Infraestructura tecnològica

ElementLa integració de la xarxa es materialitza mitjançant l’ús d’eines col·laboratives. En primer lloc, mitjançant una solució de missatgeria instantània (Element). Aquesta solució es fa servir tant per propagar alertes sobre incidents en curs (o indicis de possibles incidents), com per compartir altres tipus d'informació d'interès: informes de ciberseguretat, procediments operatius dels SOC, procediments administratius o de contractació de serveis...

Element

MispUna altra eina col·laborativa és la d'intercanvi d'informació sobre amenaces (MISP), on registrar, centralitzar i distribuir tant Indicadors d'Atacs (IOA) com els Indicadors de Compromís (IOC). El registre d'aquests IOC/IOA al MISP es pot fer a través de l'eina de missatgeria o des d'aquest mateix web. O en mode integració, connectant directament les pròpies eines dels SOC més madurs, de manera que es faciliti la distribució dels indicadors a bloquejar a la resta d'entitats.

Misp

Addicionalment, està integrat a la RNS el desplegament federat existent de l'eina de notificació de ciberincidents LUCIA. De manera que es pugui utilitzar com un indicador més tant del compromís del SOC amb la resta de membres com de l'evolució dels ciberincidents al territori nacional.

I, a mitjà termini, s'aniran integrant a la RNS altres solucions: IRIS per a la visualització en temps real de l’estat de la ciberseguretat a la RNS; ANA per poder generar des de la RNS un sistema d’avís davant de la publicació de vulnerabilitats; els SIEM, per recopilar les alertes crítiques generades pels SOC i que puguin servir de font de dades per correlacionar incidents des d’una perspectiva global.

Tot això centralitzat en aquesta pàgina web, on, des de l’àrea privadal’àrea privada, es tindrà accés no només a la informació de pertinença de la pròpia entitat, sinó a tota la informació compartida. Les entitats també podran compartir amb la resta informació interessant com: casos d’ús, exemples de plecs, indicadors de servei per a SOC, procediments...

Beneficis de participar

Per a totes les entitats, el principal benefici és l'accés a tots els IOC/IOA compartits a la RNS des d'un inici. De manera que puguin rebre, per part dels seus SOC, la protecció davant aquestes amenaces de manera gairebé immediata. Així com una altra informació compartida: casos dús, mètriques...

Adicionalment, i per a aquelles entitats del sector privat, ja siguin proveïdores o privades, que gaudeixin del nivell "Or", un millor posicionament davant els processos de contractació en què s'hagi especificat com a requisit pertànyer a la Xarxa Nacional de SOC amb aquest nivell.

Per últim, i només per a les entitats públiques, l'accés a un fòrum de compartició on posaran intercanviar recomanacions respecte a la gestió i direcció dels SOC. Com poden ser models de contractació, recomanacions sobre proveïdors, definició dindicadors per al mesurament dels serveis...

Adhesió y permanència

Els requisits per a que una entitat pugui adherir-se a la Xarxa Nacional de SOC, a banda d'acceptar el codi ètic i de conducta professional de la RNS, són:

Com a entitat pública

  • Pertànyer al Sector Públic a Espanya
  • Registrar a LUCIA els incidents alts, molt alts i crítics
  • Estar protegit per un SOC (o en procés), ja sigui propi o extern

Com a entitat proveïdora

  • No pertànyer al Sector Públic a Espanya
  • Prestar servei de SOC a altres entitats
  • Disposar d'un SOC propi (o en procés) protegint actius espanyols

Com a entitat privada

  • No pertànyer al Sector Públic a Espanya
  • No prestar servei de SOC a altres entitats
  • Disposar d'un SOC propi (o en procés) protegint actius espanyols

Per poder donar d'alta dits SOC a la Xarxa Nacional de SOC aquests han de:

  • Disposar d'una instància de MISP (o en procés) amb sortida cap a Internet
  • Estar certificat com a SOC (quan es publiqui la norma)

Si es compleixen els requisits enumerats anteriorment, el procés d’adhesió consisteix en el següent:

  • Sol·licitud per part de l’entitat: emplenant el formulari d'adhesió que es troba a la pàgina web de la RNS
  • Aprovisionament, per part de la RNS, en les eines disponibles. I notificació a l’entitat de les credencials corresponents
  • Confirmació de l’adhesió i publicació de l’afiliació al lloc web

Un cop adherides a la Xarxa Nacional de SOC, les entitats han de complir les condicions de permanència següents, que es revisaran trimestralment:

  • Seguir complint els requisits d’adhesió
  • Utilitzar les eines a disposició de la RNS: accedir de manera contínua a la solució de missatgeria i estar al corrent de la informació intercanviada; accedir puntualment a la solució d’intercanvi per tenir la capacitat de descarregar la informació tècnica intercanviada...
  • Addicionalment, per a les entitats proveïdores i privades (així com per a les entitats font), compartir informació tècnica que sigui nova i rellevant

Si les condicions de permanència no es compleixen, es valorarà l’expulsió de la RNS.