Sare Nazionalari Buruz

CCN-CERTek, tradizionalki, hainbat tamainatako zibersegurtasuneko eragiketa zentro batzuetan lagundu eta kolaboratu izan du, ministerioetan, aldundietan, kabildoetan edo toki erakundeetan. Eta, azkenaldian, funtsezko zerbitzuen operadoreak gehitu izan zaizkie horiei. Dinamika horretan, zibersegurtasuneko eragiketa zentroak elkarrekin konektatuko zituen tresna bat sortzeko beharra agertu zen, zibererasoaren susmagarri den edozein saiakera berehala eten ahal izateko, benetan halako erasoa zen ala ez zehaztu aurretik ere:

Gero, 2020. urtearen amaieran, Europako Batzordeak Hamarkada Digitalerako Zibersegurtasuneko Estrategia abiarazi zuen. Estrategia horretan, rol garrantzitsua hartzen du adimen artifizialeko tresnetan oinarritutako zibersegurtasuneko eragiketa zentroen Europako sare batek. Batzordearen justifikazioa da Europak ransomware pandemia bat jasan zuela eta Europan zegoen CSIRT sarea ez zela hura geldiarazteko gai izan. Beraz, zibersegurtasuneko eragiketa zentroetan fokalizatu nahi zen orain detekzioa.

Horrek guztiak CCN-CERT SOC Sare Nazionala sortzera eramaten du, lurralde nazionaleko SOC guztiak, publikoak zein pribatuak, integratzen dituen plataforma bat.

Haren helburu nagusia da bere kideen babes ahalmena sustatzea, Administrazioaren edozein puntutan detektatzen ari den jarduera anomaloaren edozein zantzu ia berehala blokeatzeko.

Erakunde parte-hartzaileak

Zibersegurtasuneko Eragiketa Zentroen Sare Nazionalari kategoria hauetako erakundeak atxiki ahal izango zaizkio:

Erakunde publikoak

Erakunde publikoak

Espainiako Administrazio publikoaren organismoak. Oro har, kontratatutako hornitzaileek ematen dituzte haien segurtasun zerbitzuak.

Erakunde hornitzaileak

Erakunde hornitzaileak

Espainiako ondasunak babesten dituzten beste erakunde batzuetan, publiko zein pribatuetan, SOC zerbitzuak eskaintzen dituzten sektore pribatuko enpresak.

Erakunde pribatuak

Erakunde pribatuak

Sektore pribatuko enpresek, beren SOC propioak beren Espainiako aktiboak babesten dituztenak, SOC zerbitzu horiek beste erakunde batzuei eman gabe.

Entitate hauek SOC baten babespean egon behar dute, barne zein kanpoko:

Kanpoko SOC

Erakunde hornitzaile bateko SOC, erakunde publiko zein pribatu bat edo batzuk babesten dituena. Erantzulea, beraz, entitate hornitzaileko pertsona bat izango da. Eta izena hornitzaile horri lotuta egongo da (adibidez, SOC HornitzaileaA).

SOC propioa

Erakunde publiko edo pribatuari berari dagozkion SOC, langile propioarekin edo azpikontratatuta (entitate hornitzaile bati edo batzuei). Erantzulea, beraz, erakunde publiko edo pribatu horretako pertsona bat izango da (baina ez erakunde hornitzailekoa, hala badagokio). Eta izena entitate horrekin erlazionatuta egongo da (adibidez, SOC EnpresaA edo SOC MinisterioB).

Gainera, gaur egun entitate eta hornitzaile pribatuek maila hauek izan ditzakete (partehartzearen arabera):

Gold ikonoa Urrea

Parte-hartze maila handia duten entitate pribatuei eta hornitzaileei esleitutako maila.

Informatua ikonoa Zilarra

Parte-hartze maila normala duten entitate pribatuei eta hornitzaileei esleitutako maila.

icono Inhabilitado Desgaituta

Informazioa partekatzean parte hartzeari utzi dioten entitate pribatuei eta hornitzaileei esleitutako maila.

Parte-hartzea neurtzeko, partekatutako informazio teknikoa hartuko da aintzat: informazio hori baloratu eta puntuatuko da, informazio horren izaeraren eta garrantziaren arabera.

Sare Nazionala Administrazio publikoen informazioaren segurtasuna hobetzeko tresnatzat erabili nahi denez, Administrazio horiek pixkanaka bultzatu ahal izango dute balio bereizle gisa har dadila kategorizazio hori "Urrea" eta "zilarra", kontratu publikoetara aurkezten diren hornitzaileen merkataritza proposamenak ebaluatzeko garaian.

Aurreko hiru kategoriei (erakunde publikoak, hornitzaileak eta pribatuak) bi kategoria berezi gehitzen zaizkie:

Iturburu-entitateak

Iturburu-entitateak

SOC batekin zerikusirik ez duten entitateak, baina RNSri ekarpena egiteko prest daudenak zibermehatxuei buruzko informazioa emanez bere kide guztiekin partekatzeko parteka daitekeen. Enpresa teknologiko handiak kategoria honetan sar litezke. Haien atxikipena CCNren esku dago.

Lotu entitateak

Lotu entitateak

RNS-k truke-lotura izan ditzaketen Komunitate nazionalak edo nazioartekoak. ENSOC, LATAM, CERT-EUrekin egindako trukeak kategoria honetan sar litezke... Haien atxikipena CCNren esku dago.

Logotipo Erakunde Mota Parte hartze-maila Berritzea

Partekatu beharreko informazioa

Zibersegurtasuneko Eragiketa Zentroen Sare Nazionalaren aktibo nagusia dira gaur egun erakunde kideren batean gertatzen ari litezkeen eraso- edo konpromiso-adierazleak (IOA/IOC). Betiere, premisa hau hartuta: "ni neu dagoeneko blokeatzen ari naizena soilik partekatzea". Zehazki:

  • Gaur egun erakunde kideren batean gertatzen ari diren
  • Konprometitutako (edo ustez konprometitutako) guneen domeinuak
  • Edo eduki kaltegarria duten URL espezifikoak
  • Eduki kaltegarria duten fitxategien sinadurak edo hashak
  • Eduki kaltegarria hedatzen duten posta helbideak
  • Mehatxuak detektatzeko arauak, kontuan hartzen dutenak sare portaera (SNORT arauak), eduki kaltegarria (YARA arauak).
  • Nabigazio-goiburu zehatzak, hala nola "user-agent" eta beste batzuk.

Zibersegurtasuneko Eragiketa Zentroen Sare Nazionalak ez du xedetzat datu pertsonalak edo biktimen datuak izan ditzakeen informazioa partekatzea. Ez eta ziberespazioko mehatxuei buruzko txosten edo ikerketa orokorrik ere, baldin mehatxu horiek ez badira gauzatzen ari kideetakoren batean. Lehenengo puntuari dagokionez, erakunde bakoitzak egoki jotzen duen informazioa iragazi beharko du. Eta bigarrenari dagokionez, CCN-CERTeko REYES soluzioan zentralizatzen da ziberinteligentziako informazio guztia.

Gainera, sarean ere partekatzen ari da:

  • Detektatzeko arau orokorrak eta erabilera kasuak
  • Zibersegurtasun txostenak
  • SOC baten funtzionamendu-prozedurak
  • Administrazio edo zerbitzuak kontratatzeko prozedurak

Eta laster ere partekatu ahal izango dira:

  • SOC batean erabiltzeko neurketak eta adierazleak bere kudeaketa hobetzeko
  • Kokapen legitimoak dituzten zerrenda zuriak
  • Ahultasuna
  • SIEM alertak
  • ...

Azpiegitura teknologikoa

ElementSarearen integrazioa lankidetza tresnak erabiliz gauzatzen da. Lehenik eta behin, berehalako mezularitzako soluzio bat erabiliz (Element). Soluzio hori uneko intzidenteei edo intzidente posibleen zantzuei buruzko alertak zabaltzeko erabiltzen da, bai eta beste informazio interesgarri batzuk partekatzeko ere: zibersegurtasun txostenak, zibersegurtasuneko eragiketa zentroen prozedura operatiboak, administrazio prozedurak, zerbitzuak kontratatzeko prozedurak

Element

MispElkarlanerako beste tresna bat mehatxuen informazioa trukatzeko (MISP) da, non erregistratu, zentralizatu eta bana ditzakezu bai Erasoen Adierazleak (IOA) bai Erasoen Adierazleak. b>.Konpromisoa (IOC). IOC/IOA horren erregistroa MISPn egin daiteke mezularitza tresnaren bidez edo webgune honetatik. Edo integrazio moduan, SOC helduenen tresnak zuzenean konektatuz, blokeatu beharreko adierazleen banaketa gainerako entitateetara erraztuko den moduan.

Misp

Gainera, ziber-gertakariak jakinarazteko LUCIA tresnaren inplementazio federatua RNS-n integratuta dago. Horrela, zibersegurtasuneko eragiketa zentroak gainerako kideekin duen konpromisoaren eta Estatuko lurraldeko ziberintzidenteen bilakaeraren adierazletzat erabili ahal izango da

Eta, epe ertainean, beste soluzio batzuk txertatuko dira Sare Nazionalean:IRIS, Sare Nazionalean zibersegurtasunaren egoera denbora errealean bistaratzeko; ANA, kalteberatasunak argitaratzean Sare Nazionaletik abisatzeko sistema bat sortu ahal izateko; SIEMak, zibersegurtasuneko eragiketa zentroek sortutako alerta kritikoak biltzeko, baldin datu iturri gisa erabil badaitezke intzidenteak ikuspegi globaletik erlazionatzearren

Hori guztia webgune honetan zentralizatuta dago. Hemen, eremu pribatutik, erakundearen beraren informazioa ez ezik, partekatutako informazio guztia ere eskuratu ahal izango da. Era berean, erakundeek informazio interesgarria partekatu ahal izango dute gainerakoekin, hala nola: erabilera kasuak, pleguen adibideak, zibersegurtasuneko eragiketa zentroetarako zerbitzu-adierazleak, prozedurak

Parte hartzearen onurak

Entitate guztientzat, abantaila nagusia RNSn partekatutako IOC/IOA guztietarako sarbidea da hasieratik. Beraz, beren SOC-tik, mehatxu horien aurkako babesa jaso dezaten ia berehala. Baita partekatutako beste informazio batzuk ere: erabilera kasuak, neurketak...

Gainera, eta "Urrezko" mailaz gozatzen duten sektore pribatuko entitate horientzat, hornitzaileak edo pribatuak izan, posizionamendu hobeago bat kontratazio prozesuen en aldean, zeinetan eskakizun gisa zehaztu den maila horretako SOC Sare Nazionalean egotea.

Azkenik, eta entitate publikoentzat soilik, partekatzeko foro rako sarbidea, non SOCaren kudeaketa eta zuzendaritza ri buruzko gomendioak trukatuko dituzten. Hala nola, kontratazio ereduak, hornitzaileei buruzko gomendioak, zerbitzuak neurtzeko adierazleen definizioa...

Atxikitzea eta iraunkortasun baldintzak

Entitate batek SOC Sare Nazionalean sartzeko baldintzak, RNSren etika eta jokabide profesional kodea onartzeaz gain, hauek dira:

Erakunde publiko gisa

  • Espainiako Sektore Publikokoa
  • Gertakari handiak, oso altuak eta kritikoak erregistratu LUCIA-n
  • SOC batek babestua (edo prozesuan), berea edo kanpokoa izan

Entitate hornitzaile gisa

  • Ez izan Espainian Sektore Publikokoa
  • Eman SOC zerbitzua beste entitateei
  • Zure SOC izan (edo prozesuan) Espainiako aktiboak babesten

Entitate pribatua gisa

  • Ez izan Espainian Sektore Publikokoa
  • Ez eman SOC zerbitzurik beste entitateei
  • Zure SOC izan (edo prozesuan) Espainiako aktiboak babesten

SOC Sare Nazionalean SOC hori erregistratu ahal izateko, hauek egin beharko dituzte:

  • Hau MISP instantzia bat (edo prozesuan) Interneterako sarbidea duen
  • SOC gisa ziurtagiria izatea (araua argitaratzen denean)

Arestian aipatutako betekizunak betetzen badira, atxikitze prozesua honetan datza

  • Erakundeak egindako eskaera: Sare Nazionalaren webgunean dagoen atxikitze inprimakia betez (enganchearen formularioa)
  • Sare Nazionalak hornitu ditzala eskura dauden tresnak. Eta dagozkion kredentzialak erakundeari jakinaraztea
  • Atxikitzea berrestea eta kidetza webgunean argitaratzea

Zibersegurtasuneko Eragiketa Zentroen Sare Nazionalari atxiki ondoren, erakundeek iraunkortasun baldintza hauek bete behar dituzte (baldintza hauek hiru hilean behin berrikusiko dira):

  • Atxikitzeko betekizunak betetzen jarraitzea
  • Sare Nazionalaren eskura dauden tresnak erabiltzea: mezularitza soluziora etengabe sartzea, eta trukatutako informazioaren berri izatea; truke soluziora puntualki sartzea, trukatutako informazio teknikoa deskargatzeko gaitasuna izatearren; eta abar
  • Gainera, entitate hornitzaile eta pribatuentzat (baita iturri entitateentzat), partekatu berri eta garrantzitsua den informazio teknikoa

Iraunkortasun baldintzak betetzen ez badira, Sare Nazionaletik kanporatzea baloratuko da.