SOCei buruz

CCN-k ulertzen du Zibersegurtasun Operazioen Zentroa (COS/SOC) egitura antolakuntza bat dela, eta bertan teknologi, prozesu eta pertsona multzo bat sartzen dela, elkarren arteko harremanaren, lankidetzaren eta koordinazioaren bidez, beren komunitateari zibersegurtasun zerbitzuak eskaintzen dizkiotela.

Bere eginkizuna erkidegoaren beraren zibersegurtasuna babesteko neurri nagusia gisa jardutea da. Komunitate hau mota askotakoa izan daiteke, erakunde publiko zein pribatuetatik, pertsona edo taldeetaraino. Haren instituzionalizazioa sustatzen duen erakundearen erabakia da eta bere aitorpena truke-foro ezberdinetan parte hartzearen bidez lortzen da.

Eman ditzaketen zibersegurtasun zerbitzuak hauek dira:

Prevención
Prebentzio Zerbitzua

Bere ahultasunei buruzko ezagutza zabaltzea, bai teknikoak bai gizakiak, esposizio-azalera murrizteko.

Protección
Babes Zerbitzua

Blokeatzeko neurriak aplikatzea, azpiegituraren puntu ezberdinetan, zibererasoak prebenitzeko edo mugatzeko.

Public entities
Detekzio Zerbitzua

Erakundean gertatzen den guztia behatzeko, dauden mehatxuak bilatzeko.

Respuesta
Erantzun Zerbitzua

Ziber-gertaeren aurka jarduteko, Erakundean eragina gutxitzeko.

Security
Zibersegurtasuna Kudeatzeko Zerbitzua

Gainontzeko zerbitzuen nondik norakoak ezartzea, gobernu zuzena egiteko.

Aipamen berezia merezi dute gobernuko SOCek, zerbitzu hauek herrialde bateko erakunde publiko bati edo batzuei eskaintzen dizkietenak, ziber-gertakariak prebenitzeko, babesteko, detektatzeko, koordinatzeko eta erantzuteko gaitasun nazionalaren oinarrizko osagai gisa jarduten baitute. Kasu horietan, instituzionalizazioa segurtasun nazionalaren gaietan eskumenak dituen erakunde publiko batek sustatu eta babesten du.

Zerbitzuen xehetasunak

Aipatutako zibersegurtasun zerbitzuak azpizerbitzu hauetan banatzen dira:

Prebentzio Zerbitzua:

  • Ahultasunen azterketa: Erakunde baten aktiboen eskaneatzea automatizatzean oinarritzen den zerbitzua, bere informazio eta segurtasun sistemen elementuetan dauden ahultasunak identifikatzeko.
  • Segurtasun ikuskapen teknikoak eta intrusio probak (Hacking Etikoa): Erakunde baten informazio sistemetan eta horiek eusten dituen ekosistema teknologikoan segurtasun akatsak eta ahultasun ustiagarriak identifikatzean oinarritzen den auditoria teknikoa da. Teknika hauek erasotzaile potentzial baten jarduera simulatzen dute eta nola erakundea arriskuan jar dezaketen.
  • Zaintza digitala: Kode irekietan, Interneten eta Web sakonean eta ilunan kanpoko mehatxuak goiz detektatzean oinarritzen den zerbitzua. Esparru honetako adibide batzuk hauek dira: joeren eta ahultasunen abisu goiztiarra, marka legez kanpoko erabilera, phishing, identitate lapurreta, informazio eta/edo kredentzialen ihesa edo lapurreta, ospea, sare sozialak, VIP jarraipena, besteak beste.

Babes Zerbitzua:

  • Zibersegurtasun Operazioa: Erakunde baten segurtasun azpiegitura osatzen duten elementu desberdinen hornidura, ezarpena, administrazioa, operazioa eta/edo mantentze-lanetan oinarritutako zerbitzua, eta sareen eta endpoints segurtasun babesa helburu duena. Zerbitzuaren xede izan daitezkeen tresna edo teknologia batzuk hauek dira: EDR, Firewall, IPS/IDS, Proxy, DNS, AV, CASB, DLP, IRM, NAC, WAF, CMDB, etab. Zerbitzuak teknologia horien funtzionamendu, konfigurazio eta erabilgarritasun zuzena bermatu behar du.

Detektatzeko zerbitzua:

  • Segurtasun Monitorizazioa: Segurtasun-mehatxu potentzialen etengabeko identifikazioan, analisian eta txostenetan oinarritzen den zerbitzua, segurtasun-intzidenteen detekzio proaktibo eta erreaktiboa bermatuz.
  • Threat Hunting (Mehatxuen Ehiza): Segurtasun-mehatxuen ehizan edo bilaketa proaktiboan oinarritzen den zerbitzua, prozesu tradizional edo pasiboek identifikatu ezin dituzten anomaliak eta segurtasun-intzidente potentzialak identifikatzea ahalbidetzen duena.
  • Mehatxuen Adimena: Mehatxu aurreratuei buruzko adimena sortzeko informazioa lortzera bideratutako zerbitzua, zibersegurtasunaren kudeaketan, etengabeko hobekuntzan eta erakundeen erabakiak hartzen laguntzeko moduan.

Erantzun Zerbitzuak:

  • Incident Response Team (IRT): Segurtasun-intzidente bat baieztatzean aktibatzen den zerbitzu aditu bat da, analisi forentsea, edukitzea, arintzea, berreskuratzea eta intzidentearen ondorengo edo ikasitako lezioak ahalbidetzen dituena. Intzidenteen Erantzun Prozedurak eta Jokabide-liburuak eskuragarri egon behar dira mehatxu mota desberdinekin lotutako ekintzetarako, zerbitzua jasotzen duen erakunde edo erakundearentzat pertsonalizatuta.

Zibersegurtasuna Kudeatzeko Zerbitzua:

  • Zibersegurtasunaren koordinazioa eta estrategia: Zibersegurtasunaren hainbat alderdi kudeatzea, monitorizatzea eta aholkatzea dakar, besteak beste, epe labur, ertain eta luzeko zibersegurtasun estrategia, emandako edo azpikontratatutako zerbitzuen kudeaketa eta monitorizazioa, segurtasun arkitekturak eta ezarpena, lotutako dokumentazioa eta prozedurak, mantentzea, baita horien plangintza eta ezarpena ere.
  • Lege eta araudi betetzea: Zibersegurtasun araudietara egokitzea dakar.
  • Arbelak: SSGek sortutako informazioa zentralizatzen duen aginte-panel bat egon behar da, erakunde bakoitzaren segurtasun egoeraren ikuspegi osoa emateko.

Inplementazioa

Erakunde batean Segurtasun Operazioen Zentro (SOC) bat ezartzerakoan, ezinbestekoa da Zibersegurtasun Kudeaketa Zerbitzua ezartzea, geruza estrategiko eta funtzio anitzeko gisa jokatzen duena. Zerbitzu honek zibersegurtasun estrategia, helburuak, gobernantza eredua eta SOC kudeatzeko, monitorizatzeko eta etengabe hobetzeko mekanismoak definitzea ahalbidetzen du.

Oinarri hau ezarri ondoren, Detekzio Zerbitzua ezartzea gomendatzen da, SOC-aren funtzionamendu-nukleoa osatzen duena: segurtasun mehatxuen eta gertaeren identifikazioa, azterketa eta jakinarazpena. Horretarako, informazio garrantzitsua biltzen da hainbat iturritatik, eta ondoren aztertzen da baimenik gabeko erabilera edo portaera anomaloa detektatzeko. Zerbitzu hau bertikalki egituratuta dago CCN-STIC 896-n definitutako azpizerbitzuetan (goian zerrendatuta), eta horizontalki maila estrategiko, operatibo eta taktikoen arabera(1).

Bere ezarpen zuzena lortzeko, urrats hauek jarrai daitezke(2):

  1. Plangintza: Informazio garrantzitsua identifikatzea, iturriak definitzea, prozesamendua planifikatzea, alertak sortzea eta erantzun-eredu bat sortzea.
  2. Eskuratzea: Informazio-iturrien konfigurazio lehenetsia (batez ere perimetroa eta endpoint).
  3. Prozesamendua: Datuak SIEM/XDR plataformetan normalizatzea eta gordetzea, ezarritako politiken arabera.
  4. Analisia: Analisi automatikoa eta eskuzkoa, Threat Hunting jarduerak barne, eta horien emaitzak alerta edo erabilera kasu berriak sor ditzake.
  5. Alerta Kudeaketa: Jarduera susmagarriak grabatzea eta jarraitzea ticketing tresnak erabiliz.
  6. Erantzuna: Prozedura automatizatuak edo eskuzkoak gauzatzea alertaren izaeraren eta kritikotasunaren arabera.
  7. Feedback-a: Ikasitako lezioak txertatzea zikloaren etengabeko hobekuntzarako.

Urrats hauekin batera, tresna eta teknologia egokiak zabaldu behar dira, bai datuak biltzeko eta korrelatzeko (SIEM, EDR/XDR, trafiko sentsoreak), bai alertak, aktiboak eta ziberenganako adimena kudeatzeko (ticketing, CMDB, TIP, inteligentzia feeds). Ezinbestekoa da, halaber, taldeen antolaketa, txandak, funtzionamendu prozedurak eta eskalatze ereduak definitzea.

Zibersegurtasun Kudeaketa Zerbitzua eta Detekzio Zerbitzua ezartzearekin batera, Oinarrizko SOC bat eskuragarri dago. Prebentzio eta Erantzun zerbitzuen pixkanakako sartzeak SOC Aurreratu baterantz eboluzionatzea ahalbidetuko du, eta Babes Zerbitzua gehitzeak SOC Osoa ekarriko du, CCN-STIC 896 gidan definitutako heldutasun mailen arabera.

(1) "Estrategiko" maila (kudeaketa-geruzak estrategia eta helburuen definizioa), "operazio" maila (taktiken eta tekniken plangintza eta gauzatzea) eta "taktiko" maila (teknologiaren eta tresnen erabilera) kontzeptuak oso ezagunak dira Interneten.

(2) https://www.isaca.org/resources/isaca-journal/issues/2026/volume-1/this-is-how-they-tell-me-a-soc-works

Ziurtapena

Aipatutako eskaintzen diren zerbitzuak kalitatezkoak direla bermatzeko, SOC batek bere gaitasun operatiboak eta zibersegurtasunaren arloko gaitasun teknikoak frogatu ahal izan behar ditu.

Informazio gehiago