Sobre la RNS

El CCN-CERT tradicionalmente ha colaborado y colabora en varios SOC de diferente magnitud, ya sea a nivel de Ministerios, Diputaciones/Cabildos, o Entidades Locales, a los que se han venido a añadir últimamente Operadores de Servicios Esenciales. En esta dinámica surgió la necesidad de crear una herramienta que interconectara los SOC para que de manera fulminante se pudiera cortar cualquier intento sospechoso de ciberataque, incluso antes de determinar si consistía realmente en tal o no.

Posteriormente, a finales de 2020, la Comisión Europea lanzó su Estrategia de Ciberseguridad para la Década Digital, en la que adquiere un papel relevante una red europea de SOC,s, basada en herramientas de Inteligencia Artificial. La justificación de la Comisión viene de que Europa había sufrido una pandemia de ransomware y la red de CSIRT existente a nivel europeo no había sido capaz de pararla. Por tanto, se quería focalizar ahora la detección en los SOC.

Todo ello lleva al CCN-CERT a crear la Red Nacional de SOC, plataforma que integra a todos los SOC del territorio nacional, ya sean públicos o privados.

Su objetivo principal es impulsar la capacidad de Protección de sus miembros mediante el bloqueo casi inmediato de cualquier indicio de actividad anómala que se esté detectando en cualquier punto de la Administración.

Entidades participantes

A la red Nacional de SOC podrán adherirse entidades de las siguientes categorías:

Entidades públicas

Entidades públicas

Organismos de la Administración Pública Española. Generalmente sus servicios de seguridad son prestados por proveedores contratados.

Entidades proveedoras

Entidades proveedoras

Empresas del sector privado que prestan servicios de SOC en otras entidades, ya sean públicas o privadas, protegiendo activos españoles.

Entidades privadas

Entidades privadas

Empresas del sector privado, con un SOC propio protegiendo sus activos españoles, sin prestar dichos servicios de SOC a otras entidades.

Dichas entidades han de estar bajo la protección de un SOC, ya sea propio o externo:

SOC externo

SOC perteneciente a una entidad proveedora, protegiendo a una o varias entidades tanto públicas como privadas. Su responsable será, por tanto, una persona de la entidad proveedora. Y el nombre estará relacionado con dicho proveedor (e.g. SOC ProveedorA).

SOC propio

SOC perteneciente a la propia entidad pública o privada, ya sea con personal propio o subcontratado (a una o varias entidades proveedoras). Su responsable será, por tanto, una persona de dicha entidad pública o privada (pero no de la entidad proveedora, en su caso). Y el nombre estará relacionado con dicha entidad (e.g. SOC EmpresaA o SOC MinisterioB).

Además, actualmente las entidades privadas y las proveedoras pueden tener los siguientes niveles (en base a su participación):

icono Oro Oro

Nivel asignado a las entidades privadas y proveedoras con un nivel alto de participación.

icono Plata Plata

Nivel asignado a las entidades privadas y proveedoras con un nivel de participación normal.

icono Inhabilitado Inhabilitado

Nivel asignado a las entidades privadas y proveedoras que han dejado de participar en la compartición de información.

La participación se medirá a través de la información técnica compartida, que será valorada y puntuada en función de la naturaleza de la misma y su relevancia.

Dado que se pretende utilizar la RNS como una herramienta que mejore la seguridad de la información de las Administraciones Públicas, desde estas mismas Administraciones se podrá impulsar progresivamente la adopción de esta categorización de "Oro" y "Plata" como valores diferenciadores a la hora de evaluar propuestas comerciales de proveedores que opten a contratos públicos.

A las tres categorías anteriores (entidades públicas, proveedoras y privadas) se les suman dos categorías especiales:

Entidades fuente

Entidades fuente

Entidades no relacionadas con un SOC, pero que están dispuestas a contribuir con la RNS aportando información de ciberamenazas compartible con todos sus miembros. En esta categoría podrían caer las grandes empresas de tecnología. Su adhesión queda a criterio del CCN.

Entidades de enlace

Entidades de enlace

Comunidades nacionales o internacionales con las que la RNS pueda tener vínculos de intercambio. En esta categoría podrían caer los intercambios con ENSOC, LATAM, CERT-EU… Su adhesión queda a criterio del CCN.

Logotipo Entidad Tipo Nivel de participación Renovación

Información a compartir

El principal activo de la Red Nacional de SOC son los indicadores de ataque o compromiso (IOA/IOC) de los incidentes que se puedan estar produciendo en el momento actual en alguna de las entidades miembro. Siempre bajo la premisa de “sólo compartir lo que yo mismo estoy ya bloqueando”. En concreto:

  • Direcciones IP de atacantes (o supuestos atacantes)
  • Dominios de sitios comprometidos (o supuestamente comprometidos)
  • URL específicas con contenido dañino
  • Firmas o Hashes de ficheros con contenido dañino
  • Direcciones de correo propagadoras de contenido dañino
  • Reglas de detección de amenazas, por comportamiento de red (reglas SNORT), por contenido dañino (reglas YARA).
  • Cabeceras específicas de navegación, como "user-agent" y otros.

No es objeto de la Red Nacional de SOC compartir información que pueda contener datos personales o de las víctimas. Ni informes o investigaciones genéricas sobre amenazas en el ciberespacio si éstas no se están materializando en alguno de los miembros. Respecto del primer punto, cada entidad tendrá que preocuparse de filtrar la información que considere oportuna. Y respecto del segundo, es en la solución REYES del CCN-CERT en donde se centraliza toda la información de ciberinteligencia.

Adicionalmente, también se está compartiendo en la red:

  • Reglas genéricas de detección y casos de uso
  • Informes de ciberseguridad
  • Procedimientos operativos de un SOC
  • Procedimientos administrativos o de contratación de servicios

Y próximamente también se podrán compartir:

  • Métricas e indicadores a utilizar en un SOC para mejorar su gestión
  • Listas blancas con ubicaciones legítimas
  • Vulnerabilidades
  • Alertas de los SIEM
  • ...

Infraestructura tecnológica

ElementLa integración de la red se materializa mediante el uso de herramientas colaborativas. En primer lugar, mediante una solución de mensajería instantánea (Element). Dicha solución se utiliza tanto para propagar alertas sobre incidentes en curso (o indicios de posibles incidentes), como para compartir otro tipo de información de interés: informes de ciberseguridad, procedimientos operativos de los SOC, procedimientos administrativos o de contratación de servicios...

Element

MispOtra herramienta colaborativa es la de intercambio de información sobre amenazas (MISP), en donde registrar, centralizar y distribuir tanto Indicadores de Ataques (IOA) como los Indicadores de Compromiso (IOC). El registro de dichos IOC/IOA en el MISP se puede hacer a través de la herramienta de mensajería o desde esta misma web. O en modo integración, conectando directamente las propias herramientas de los SOC más maduros, de tal manera que se facilite la distribución de los indicadores a bloquear al resto de entidades.

Misp

Adicionalmente, está integrado en la RNS el despliegue federado existente de la herramienta de notificación de ciberincidentes LUCIA. De modo que se pueda utilizar como un indicador más tanto del compromiso del SOC con el resto de miembros como de la evolución de los ciberincidentes en el territorio nacional.

Y a medio plazo se irán integrando en la RNS otras soluciones: IRIS para la visualización en tiempo real del estado de la ciberseguridad en la RNS; ANA para poder generar desde la RNS un sistema de aviso ante la publicación de vulnerabilidades; los SIEM, para recopilar aquellas alertas críticas generadas por los SOC y que puedan servir de fuente de datos para correlar incidentes desde una perspectiva global.

Todo ello centralizado en esta página web, en donde desde el área privada se tendrá acceso no sólo a la información de pertenencia de la propia entidad sino a toda la información compartida. Así como las entidades también podrán compartir con el resto información interesante como: casos de uso, ejemplos de pliegos, indicadores de servicio para SOC, procedimientos...

Beneficios de participar

Para todas las entidades, el principal beneficio es el acceso a todos los IOC/IOA compartidos en la RNS desde un inicio. De modo que puedan recibir, por parte de sus SOC, la protección ante dichas amenazas de manera casi inmediata. Así como otra información compartida: casos de uso, métricas...

Adicionalmente, y para aquellas entidades del sector privado, ya sean proveedoras o privadas, que gocen del nivel "Oro", un mejor posicionamiento frente a los procesos de contratación en los que se haya especificado como requisito pertenecer a la Red Nacional de SOC con dicho nivel.

Por último, y sólo para las entidades públicas, el acceso a un foro de compartición en donde pondrán intercambiar recomendaciones respecto a la gestión y dirección de los SOC. Como pudieran ser modelos de contratación, recomendaciones sobre proveedores, definición de indicadores para la medición de los servicios...

Adhesión y permanencia

Los requisitos para que una entidad pueda adherirse a la Red Nacional de SOC, aparte de aceptar el código ético y de conducta profesional de la RNS, son:

Como entidad pública

  • Pertenecer al Sector Público en España
  • Registrar en LUCIA los incidentes altos, muy altos y críticos
  • Estar protegido por un SOC (o en proceso), ya sea propio o externo

Como entidad proveedora

  • No pertenecer al Sector Público en España
  • Prestar servicio de SOC a otras entidades
  • Disponer de un SOC propio (o en proceso) protegiendo activos españoles

Como entidad privada

  • No pertenecer al Sector Público en España
  • No prestar servicio de SOC a otras entidades
  • Disponer de un SOC propio (o en proceso) protegiendo activos españoles

Para poder dar de alta dichos SOC en la Red Nacional de SOC éstos han de:

  • Disponer de una instancia de MISP (o en proceso) con salida hacia Internet
  • Estar certificado como SOC (cuando se publique la norma)

Si se cumplen los requisitos enumerados anteriormente, el proceso de adhesión consiste en:

  • Solicitud por parte de la entidad: Rellenando el formulario de adhesión que se encuentra en la página web de la RNS
  • Aprovisionamiento, por parte de la RNS, en las herramientas disponibles. Y notificación a la entidad de las credenciales correspondientes.
  • Confirmación de la adhesión y publicación de la membresía en la web

Una vez adheridas a la Red Nacional de SOC, las entidades han de cumplir las siguientes condiciones de permanencia, que serán revisadas de manera trimestral:

  • Seguir cumpliendo los requisitos de adhesión
  • Utilizar las herramientas a disposición de la RNS: acceder de manera continua a la solución de mensajería y estar al corriente de la información intercambiada; acceder puntualmente a la solución de intercambio para tener la capacidad de descargar la información técnica intercambiada; ...
  • Adicionalmente, para las entidades proveedoras y privadas (así como para las entidades fuente), compartir información técnica que sea novedosa y relevante

Si las condiciones de permanencia no se cumplen se valorará la expulsión de la RNS.