Sobre els SOC

El CCN entén que un Centre d'Operacions de Ciberseguretat (COS/SOC) és una estructura organitzativa que inclou un conjunt de tecnologies, processos i persones que a través de la seva interrelació, cooperació i coordinació brinden de serveis de ciberseguretat a la seva comunitat.

La seva missió és actuar com a mesura principal per a la protecció de la ciberseguretat de la pròpia comunitat. Podent ser aquesta comunitat de diversa índole, des d'organismes tant públics com privats, fins a individuals o col·lectius. La seva institucionalització és decisió de l'organisme que el promou i el reconeixement s'obté per la participació en diferents fòrums d'intercanvi.

Els serveis de ciberseguretat que poden prestar són:

Prevención
Servei de Prevenció

Per ampliar el coneixement respecte de les seves vulnerabilitats, tant tècniques com humanes, per reduir la superfície dexposició.

Protección
Servei de Protecció

Per aplicar mesures de bloqueig, en diferents punts de la infraestructura, per impedir o limitar els ciberatacs.

Public entities
Servei de Detecció

Per observar tot el que passa a l'organització, per buscar les amenaces existents.

Respuesta
Servei de Resposta

Per actuar davant dels ciberincidents, per minimitzar l'impacte sobre l'Organització.

Security
Servei de Gestió de la Ciberseguretat

Per establir el rumb de la resta de serveis, per exercir una correcta governança.

Una menció especial mereixen els SOC governamentals, que presten aquests serveis a una o diverses institucions públiques d'un país, actuant com a component fonamental de la capacitat nacional de prevenció, protecció, detecció, coordinació i resposta davant de ciberincidents. En aquests casos la institucionalització és impulsada i patrocinada per una institució pública amb competències en matèria de seguretat nacional.

Detall dels serveis

Els serveis de ciberseguretat anteriorment esmentats es divideixen en els subserveis següents:

Servei de Prevenció:

  • Anàlisi de vulnerabilitats: Servei enfocat a l'escanejat automatitzat d'actius de l'organització, per a la identificació de vulnerabilitats existents en els elements constituents dels seus sistemes d'informació i seguretat.
  • Inspeccions tècniques de seguretat i test d'intrusió (Hacking ètic): Es tracta d'una auditoria tècnica enfocada a identificar falles de seguretat i vulnerabilitats explotables en els sistemes d'informació i l'ecosistema tecnològic que suporta un organisme. Aquestes tècniques tendeixen a simular l'activitat d'un potencial atacant i com podria acabar comprometent l'organisme.
  • Vigilància digital: Servei enfocat a la detecció primerenca d'amenaces externes en fonts obertes, Internet, Deep i Dark Web. Alguns exemples són: alerta primerenca de tendències i vulnerabilitats, ús il·lícit de marca, phishing, suplantació d'identitat, fuita o robatori d'informació i/o credencials, reputació, xarxes socials, seguiment de VIPs, entre d'altres.

Servei de Protecció:

  • Operació de ciberseguretat: Servei enfocat al subministrament, implantació, administració, operació i/o manteniment dels diferents elements que conformen la infraestructura de seguretat d'una organització, l'objectiu de la qual és la protecció de seguretat per a xarxes i endpoints. Algunes de les eines o tecnologies que poden ser objecte del servei són: EDR, Firewall, IPS/IDS, servidor intermediari, DNS, AV, CASB, DLP, IRM, NAC, WAF, CMDB, etc. El servei ha de vetllar pel funcionament correcte, la configuració i la disponibilitat d'aquestes tecnologies.

Servei de Detecció:

  • Monitorització de seguretat: Servei enfocat a la identificació, anàlisi i notificació de forma contínua de possibles amenaces de seguretat, vetllant per la detecció proactiva i reactiva davant incidents de seguretat.
  • Threat Hunting (caça d'amenaces): Servei enfocat a la caça d'amenaces o cerca proactiva d'amenaces de seguretat, permetent la identificació d'anomalies i possibles incidents de seguretat que els processos tradicionals o passius no són capaços d'identificar.
  • Intel·ligència d'amenaces: Servei enfocat a l'obtenció d'informació per generar intel·ligència sobre amenaces avançades de manera que ajudi a la gestió de la ciberseguretat, la millora contínua i la presa de decisions de les organitzacions.

Serveis de Resposta:

  • Incident Response Team (IRT): Consisteix en un servei expert que és activat davant la confirmació de la materialització d'un incident de seguretat, permetent la seva anàlisi forense, contenció, mitigació, recuperació i postincident o lliçons apreses. S'han de disposar de Procediments de Resposta davant d'Incidents i Playbooks d'actuació relatius a diferents tipologies d'amenaces i personalitzats a l'entitat o organisme que rep el servei.

Servei de Gestió de la ciberseguretat:

  • Coordinació i estratègia de ciberseguretat: Consisteix a gestionar, fer seguiment i assessorar pel que fa a diversos aspectes de ciberseguretat, incloent estratègia de ciberseguretat a curt, mitjà i llarg termini, gestió i seguiment dels serveis proveïts o subcontractats, arquitectures de seguretat i implantació, la documentació i procediments associats.
  • Compliment legal i normatiu: Consisteix en l'adaptació a normativa vigent en ciberseguretat.
  • Quadres de comandament: Hi ha d'haver un quadre de comandament que centralitzi la informació que els SSG generen, per donar una visió completa de l'estat de la seguretat de cada entitat.

Implantació

A l'hora d'implantar un Centre d'Operacions de Seguretat (SOC) en una organització, és fonamental començar establint el Servei de Gestió de la Ciberseguretat, que actua com a capa estratègica i transversal. Aquest servei permet definir l'estratègia de ciberseguretat, els objectius, el model de govern i els mecanismes de gestió, seguiment i millora contínua del SOC.

Una vegada establerta aquesta base, es recomana implantar el Servei de Detecció, que constitueix l'essència operativa del SOC: la identificació, l'anàlisi i la notificació d'amenaces i incidents de seguretat. Per això, es recopila informació rellevant de múltiples fonts, que posteriorment és analitzada per tal de detectar usos no autoritzats o comportaments anòmals. Aquest servei s'estructura de forma vertical als subserveis definits a la CCN-STIC 896 (enumerats més amunt), i de forma horitzontal atenent els nivells estratègic, operacional i tàctic(1).

Per a la seva correcta implantació, es poden seguir els passos següents(2):

  1. Planificació: identificació de la informació rellevant, definició de fonts, processament previst, alertes a generar i model de resposta.
  2. Adquisició: configuració prioritzada de les fonts d'informació (principalment perímetre i endpoint).
  3. Processament: normalització i emmagatzematge de les dades en plataformes SIEM/XDR d'acord amb les polítiques establertes.
  4. Anàlisi: anàlisi automàtica i manual, incloent activitats de Threat Hunting, el resultat de les quals podrà generar noves alertes o casos d'ús.
  5. Gestió d'alertes: registre i seguiment d'activitats sospitoses mitjançant eines de ticketing.
  6. Resposta: execució de procediments automàtics o manuals en funció de la naturalesa i criticitat de l'alerta.
  7. Retroalimentació: incorporació de lliçons apreses per a la millora contínua del cicle.

Aquests passos han d'anar acompanyats del desplegament de les eines i tecnologies adequades, tant per a la captació i correlació de dades (SIEM, EDR/XDR, sensors de trànsit), com per a la gestió d'alertes, actius i ciberintel·ligència (ticketing, CMDB, TIP, feeds d'intel·ligència). Així mateix, cal definir l'organització dels equips, els torns, els procediments operatius i els models d'escalat.

Amb la implantació del Servei de Gestió de la Ciberseguretat i el Servei de Detecció, es disposa d'un SOC Bàsic. La incorporació progressiva dels serveis de Prevenció i Resposta permetrà evolucionar cap a un SOC Avançat, i la inclusió addicional del Servei de Protecció donarà lloc a un SOC Complet, d'acord amb els nivells de maduresa definits a la guia CCN-STIC 896.

(1) Els conceptes de nivell "estratègic" (definició de l'estratègia i objectius, per la capa directiva), nivell "operacional" (planificació i execució de les tàctiques i tècniques) i nivell "tàctic" (ús de la tecnologia i les eines) poden ser àmpliament trobats a internet.

(2) https://www.isaca.org/resources/isaca-journal/issues/2026/volume-1/this-is-how-they-tell-me-a-soc-works

Certificació

Per garantir que els esmentats serveis prestats són de qualitat, un SOC ha de poder evidenciar les seves capacitats operatives, així com les seves competències tècniques en l'àmbit de la ciberseguretat.

Més informació