ZEZ baten ezarpena

Zibersegurtasuneko eragiketa zentro bat ezartzea

Sistemetan segurtasun maila egokia bermatzeko, beharrezkoa da intzidenteren bat gertatu aurretik jardutea; edo, gutxienez, hasiera batean detektatzeko gai izatea, haren inpaktua eta irismena murrizteko.

Zibersegurtasuneko eragiketa zentroa ezartzea ez da lan erraza, eta etengabeko hobekuntza prozesua eskatzen du, hau da, beti eskuragarri egongo ez diren baliabide ekonomikoak eta giza baliabideak behar ditu. Horregatik, hainbat fasetan, eta une bakoitzean eskuragarri dauden baliabideen arabera, haren ezarpena hobetzen joan beharko da. Iterazioen bidezko hurbilketa horretan, kalteberatasun garrantzitsuenak lehenetsi behar dira, erakundeko zibersegurtasunaren heldutasun maila pixkanaka handituz.

Zibersegurtasuneko eragiketa zentroek proaktibotasun nabarmena izan behar dute; eraso mota ugari detektatzeko gai izan behar dute; horien hedapena saihestu; detektatutako intzidentearen aurrean, azkar erantzun; eta etorkizuneko intzidenteak saihestuko dituzten jarduketa arauak sortu. Gero eta gertaera gehiago biltegiratzeak Espainiako Administrazio publikoen sistemen egoeraren ikuspegi osoa eta egiazkoa emango du. Eta, horri esker, haiei buruzko mehatxuen aurrean prebentzio ekintza gauzatu ahal izango da. Erabilera kasuak aplikatu behar dituzte, zer erregistro gorde eta tratatu behar diren ezartzeko. Erregistro horiek lagundu behar dute eta bat etorri behar dute, segurtasun alertak altxatzeko eta, horrela, eraginkorrak izateko. Eta garrantzitsuena: mehatxuei buruzko informazioa trukatu behar dute, eta beren intzidenteak jakinarazi, adimen kolektiboak gizarte osoa babesten lagun dezan.

Zibersegurtasuneko eragiketa zentro baten gaitasunak

Zibersegurtasuneko eragiketa zentroak gaitasun hauek ematen dizkio erakundeari:

Preventizioa

Haien kalteberatasun teknikoen eta giza kalteberatasunen gaineko ezagutza handituta, esposizio azalera murrizteko.

Babesa

Azpiegituraren hainbat puntutan blokeo neurriak aplikatuta, zibererasoak eragozteko edo mugatzeko.

Detekzioa

Erakundean gertatzen den guztia behatuta, dauden mehatxuak bilatzeko.

Erantzuna

Ziberintzidenteen aurrean jardunda, erakundearen gaineko inpaktua minimizatzeko.

Segurtasunaren kudeaketa

Bai eta SEGURTASUNA KUDEATZEKO gaitasuna ere, gainerako gaitasunen norabidea ezarrita, gobernantza egokia gauzatzeko.

CCNk ulertzen du zibersegurtasuneko eragiketa zentroen irismena zerbitzua ematen dion erakundearen araberakoa izango dela, eta kasu batzuetan gertatuko da zibersegurtasuneko eragiketa zentroek gaitasun horien azpimultzo bat baino ez duela ematen.

Bestalde, eta zibersegurtasuneko eragiketa zentroa osatzen duten pertsonen ezagutzaren edo esperientziaren arabera, haren jarduerak honako eremu hauetan sailka daitezke:

Eragiketa

ERAGIKETEN eremua: Arreta jartzen da erakundean ezarritako segurtasun teknologiari buruzko ezagutzak eskatzen dituzten jarduketetan, horiek ustiatzeko

Intzidentziak

INTZIDENTEEN eremua: arreta jartzen da aktoreei eta mehatxuei buruzko ezagutza eskatzen duten jarduketetan; haien taktika, teknika eta prozeduretan (TTP), bai eta intzidente bat kudeatzeko prozesu osoan ere.

Auditorea

AUDITORETZEN eremua:
arreta jartzen da kalteberatasunei buruzko ezagutza eskatzen duten jarduketetan, aztertu eta, ondoren, arintzeko.

Zeharka

ZEHARKAKO eremua:
hemen biltzen dira eremu jakin bateko ezagutza propiorik behar ez duten jarduketak.

Gaitasun bakoitzean parte hartzen duten ezagutza arloen arteko lotura.

Eremu horiek, batez ere hasieran, zibersegurtasuneko eragiketa zentroaren lantaldeak egituratzen lagun dezakete. Hartara, hiru lantalde bereizirekin hasi ahal izango da (Eragiketak, Intzidenteak eta Auditoretzak), nahiz eta, ondoren, eta zibersegurtasuneko eragiketa zentroa hazten doan heinean, gehiago egituratuko diren, gaitasunen arabera.

Zibersegurtasuneko gaitasunak

Lehen identifikatutako gaitasunak lortzeko, zibersegurtasuneko eragiketa zentroak zenbait eskumen garatu behar ditu, eta, ondoren, erakundearen zerbitzu katalogoaren arabera, zerbitzu espezifiko batean parte hartu ahal izango du, edo goragoko mailako zerbitzu baten barruan egon.

Prebentziokoak

Segurtasun ikuskapen teknikoak: lanean diharduen azpiegituraren gainean egin ahal izango dira; eta/edo aldez aurretik, softwarearen garapenaren bizi zikloan integratuta; eta/edo azpiegitura berriak abian jartzean (inprimagailuak, proiektagailuak, termostatoak erostea). «Kutxa beltzekoak», «kutxa zurikoak» edo «kutxa grisekoak» izan daitezke. Iturburu kodekoak (egikaritu gabe) edo egikaritzen ari den kodekoak izan daitezke. Eta abar...
Kalteberatasun azterketa automatizatuak.
Erakundeari eragin diezaioketen kalteberatasun teknologikoen argitalpenaren jarraipena egitea.
Kalteberatasunen kudeaketa: tresna espezifikoak (adibidez, ANA) erabiliz egin ahalko da, eta identifikatutako kalteberatasunen erregistroa eta segimendua barne hartuko lituzke, bai eta kalteberatasun horiek konpontzen laguntzea ere.
Erakundeko langileak segurtasun tekniketan trebatzea.
Erakundeko langileak dauden arriskuez kontzientziatzea.
Ziberzaintza edo zaintza digitala, hala Interneten, nola darkwebean.

Babesekoak:

Trafikoa —perimetrala nahiz barnekoa— babestea, honako hauek kudeatuz: suebakiak, intrusioak detektatzeko eta/edo prebenitzeko sistemak...
Nabigazioa babestea, honako hauek kudeatuz: proxyak, sinkholeak (DNS)...
Posta babestea, spamaren aurkako sistemak kudeatuz.
Web aplikazioak babestea, WAF tresna edo TLS ikuskapena kudeatuz.
Urruneko sarbideetatik babestea, VPNak edo mahaigain birtualetarako sarbidea (VDI) kudeatuz.
Lanpostuak eta zerbitzariak (endpoints) babestea, birusen kontrako soluzioak, EPP, EDR... kudeatuz.
Dokumentazio ihesetik babestea, DLP, IRM... soluzioak kudeatuz.

Detekziokoak:

Gertaerak edo logak erregistratzea, zerbitzari zentralizatuen bidez.
Gertaeren korrelazioa, SIEM sistemen bidez. Modu proaktiboan detekzio arauak sortzeko aukerarekin
Jatorri askotatik —hala nola SAT, SIEM, CORAren AntiDDoS...— datozen alertak monitorizatzea
Ikerketa aurreratuak edo threat hunting, hainbat soluzio —hala nola CARMEN, CLAUDIA, EDR...— baliatuz, eta partekatutako informazioak —hala nola IoC edo TTP (Mitre ATT & CK)— erabiliz

Erantzunekoak:

IoC blokeo zentralizatua
Intzidenteak kudeatzea, barne hartuta ebidentzien kudeaketa, auzitegi analisia, euspena, arintzea eta berreskuraketa
Kode kaltegarria (malware) analizatzea —reversing ere deitua—, laborategiak edo soluzioak (hala nola ADA) baliatuz
Informazioa trukatzea, MISP, REYES, RNS, RNS... bidez
Erasopeko kalteberatasunak aztertzea eta berrestea.

Kudeaketakoak:

Aholkularitza: Bai zibersegurtasuneko eragiketa zentroaren barruan, bai erakundearen gainerakoan, zibersegurtasunaren hainbat alderdiri dagokienez: segurtasun arkitekturak, horien plangintza eta horien ezarpena.
Segurtasun Eskema Nazionala ezartzea
Arau garapena
Arriskuen analisia
Legeak eta arauak betetzea
Segurtasun egoerari buruzko informazioa (aginte taulak)

Laburpen taula:

Zibersegurtasuneko eragiketa zentro bat abian jartzea

Ez da beharrezkoa zibersegurtasuneko eragiketa zentro guztiek berberak izatea, gaitasun eta eremu guztiak betez; eta ez da beharrezkoa eskumen guztiak izatea. Hainbat faktorek (eta horiei heldutasuna eta eskura dauden baliabideak gehitu behar zaizkie) behartuta, erabaki bat edo bestea hartu beharko da. «Erakunde txikia, zibersegurtasuneko eragiketa zentro txikia» (edo zibersegurtasuneko eragiketa zentrorik ez izatea ere, goragoko erakunde baten estaldura izaki) eta «erakunde handia, zibersegurtasuneko eragiketa zentro handia» dira jarraitu beharreko arauak.

CCN-CERTen laguntzarekin zibersegurtasuneko eragiketa zentro bat abian jartzeko egin beharreko urratsak honako hauek dira:

Babestu beharreko sistemak eta segurtasun egoera ebaluatzea, erakundearen esposizio azalera zehazteko. Horretarako, egokiena da sistemen auditoretza egitea. Auditoretza zenbat eta osatuagoa izan, orduan eta informazio gehiago izango da erakundearen kalteberatasunei eta beharrei buruz. Salbuespenezko kasuetan, auditoretzaren ordez elkarrizketak egin ahal izango dira, hasierako ebaluaziorako beharrezkoa den informazioa biltzeko. Ikuskapenaren emaitzak ANA tresnan birfinkatuko dira, hautemandako kalteberatasunen segimendua eta zuzenketa errazteko. Horrez gain, sistemen inbentarioa egingo da, kalteberatasun berririk agertuz gero jakinaraztea arintzeko. Beste alde batetik, erakundearen segurtasun egoerari buruz lortutako informazioa INES tresnan erregistratuko da, estatuaren eremuan zibersegurtasunaren egoerari buruzko ikuspegi orokorra ematen laguntzeko. Hasierako lan horren ondorioz, organismoari erakundearen segurtasun egoerari buruzko lehen ikuspegi bat eman ahal izango zaio, bai eta arriskuen analisiari buruzko lehen hurbilketa bat eta Segurtasun Eskema Nazionalera egokitzeko planaren lehen zirriborro bat ere.
Zaintza helburuak zehaztea. Auditoretzen eta elkarrizketen emaitzaren arabera zehaztuko da zer monitorizatu behar den, eta zer tresna motarekin.
Zehaztu ea zer erabilera kasu aplikatzen zaion erakundeari, eta ea zer alertek sor dezaketen balioa
Erakundearen esposizio azaleraren metrikak izatea. Horretarako, tresna espezifikoak zabaldu beharko dira. Informazio hori oso garrantzitsua da erakundeak zer kalteberatasun dituen jakiteko, eta arreta behar duten zerbitzuak eta ekipoak zehaztu eta lehenetsi ditzake
Erakundeko talde guztietan EDR bat ezartzen laguntzea, zibersegurtasuneko eragiketa zentroko gainerako zerbitzuetarako defentsa oinarri komun bat eta telemetria iturri bat izateko
Zibersegurtasuneko eragiketa zentro baten operazioari buruzko prestakuntza ematea
Zibersegurtasun zerbitzuak kontratatzeko baldintza agiriak idazten laguntzea.

CCNren ekarpena

Erakunde publiko batek zibersegurtasuneko eragiketa zentro bat hedatzearren CCNrekin lankidetzan aritzeko eskaerak posta elektronikoz egin daitezke Spam bot-en kontrako babesa ematen ari da. JavaScript aktibatuta egon behar du adreza elektronikoa ikusteko. helbidera idatzita, edo web honetako harremanetarako ataletik. Erakunde eskatzailearentzat beharrezkoa bada, lankidetza hitzarmen bat sina daiteke. Hala ere, hainbeste erakunde publiko daudenez, aukera hori salbuespenezko kasuetara mugatuko da.

Harremanetarako

Horrez gain, CCN-CERT zentroak zibersegurtasunean gehien erabiltzen diren tresna guztien azpimultzo bat eman dezake.

Monitorizazio tresnak: hainbat konplexutasun mailatako tresnak dira, eta langile espezializatuek arreta behar duten gertaerak eta alertak identifikatu ahal izateko balio dute.
- Segurtasun tresneria administratzeko tresnak. Talde honetan sartzen dira suebakiak, proxyak, pasabideak, antispamak eta abar modu zentralizatuan administratzeko tresnak. Zibersegurtasuneko eragiketa zentroen edozein mailatan egon daitezke; aukeran, ahalik eta baxuenean
- Antibirusa (EPP) edo Endpoint Detection and Response (EDR): lehen defentsa lerroa da, eta erakundearen gailu guztietan (ordenagailuak, zerbitzariak, telefono mugikorrak, etab.) instalatzen da. Maila baxueneko zibersegurtasuneko eragiketa zentroak artatu behar du. Gainera, oso gomendagarria da CCN-CERTeko ransomwarearen aurkako tresna, microCLAUDIA, instalatzea.
- Intrusioak detektatzeko sistema (Intrusion Detection System, IDS) eta intrusioak prebenitzeko sistema (Intrusion Prevention System, IPS). ntrusioak detektatzeko edo prebenitzeko erabiltzen diren sistemak dira. Eskuarki, SIEM sistema bati lotuta egoten dira. Garestiak eta konplexuak direnez, erabiltzaile eta sistema asko Interneterako sarbideetan hedatzea baino ez dago justifikatuta; beraz, maila ertain-altuko zibersegurtasuneko eragiketa zentroetan hedatu beharko da. Adibidez: SAT-INET zunda.
- Segurtasuneko gertaerak eta informazioa kudeatzeko sistema (SIEM, Security Information Event Management). Instalatzeko, kudeatzeko eta jarduteko sistema konplexuak dira, eta langile tekniko oso espezializatuak eta kualifikatuak behar dituzte. Baliabideak optimizatzearren, maila altu-ertaineko zibersegurtasuneko eragiketa zentroetan erabili behar da, eta maila baxuko zibersegurtasuneko eragiketa zentroen gertaerak zentralizatu behar dira baliabideen ekonomiagatik haien hedapena bideragarria ez den lekuetan. Ez du zentzurik gertaerak hainbat SIEMetara eskatzeak, lana bikoiztuko litzatekeelako. SIEMek hainbat erakunderi eman diezaieke zerbitzua, horrela zibersegurtasuneko eragiketa zentro komun batean biltzen badira. Azkenik, oso garrantzitsua da kontuan hartzea SIEM horren log-ek gainezka egiteko arriskua dagoela; horregatik, oso garrantzitsua da erabilera kasuetan oinarrituta biltegiratzea. Adibideak: MONICA, GLORIA edo CPSTIC 105 katalogoan sartutako edozein SIEM.
- Mehatxu iraunkor aurreratuak (APT, Advanced Persistent Thread) detektatzeko sistemak: oso tresna sofistikatuak dira, langile espezializatuak behar dituzte, eta kontuz erabiltzeko informazioa duten sistemetan instalatu behar dira. Estatuek esponsorizatutako erasoak jasan ditzaketen oso erakunde handietan baino ez dira gomendagarriak. Adibidez: CARMEN.
Auditoretza tresnak: ekipoen eta sistemen kalteberatasunak aztertzeko eta esposizio azaleraz jabetzeko balio dute. Edozein mehatxu berriren aurrean, jakin daiteke zein sistema eta zerbitzuri eragin diezaiokeen. Erakunde guztiek auditoretzak egin beharko lituzkete, zibersegurtasuneko eragiketa zentroa ezarri aurreko aldian. Adibidez: ANA, auditoretzen emaitzen gordailutzat
Zibersegurtasuneko eragiketa zentroa kudeatzeko tresna propioa: eguneroko segurtasun sistemen intzidentzietarako ticketing tresna
Segurtasun intzidenteak jakinarazteko tresnak. LUCIA, zibersegurtasun intzidenteak komunikatzeko eta eskalatzeko. Maila guztietan erabiliko da. Azken batean, CCN-CERTek esku hartu ahal izango du intzidentea ebazteko
Ziberinteligentziako eta mehatxuak aztertzeko tresnak, hala nola REYES
Sare Nazionalean parte hartzeko tresna espezifikoak: azpiegitura teknologikoaren atalean zehazten diren eran Teknologia-infraestruktura.