Sobre la Implantación

Para garantir un nivel de seguridade adecuado nos sistemas é necesario actuar antes de que se produza o incidente ou, polo menos, ser capaz de detectalo nun primeiro momento para reducir o seu impacto e alcance.

A implantación do SOC non é unha tarefa fácil e require dun proceso de mellora continua, é dicir, require de recursos económicos e humanos que non sempre estarán dispoñibles, polo que, en distintas fases, e en función dos recursos dispoñibles en cada momento, deberase ir mellorando a súa implantación. Esta aproximación por iteracións debe ir atendendo as vulnerabilidades máis importantes nunha orde priorizada, aumentando o nivel de madurez da ciberseguridade do organismo progresivamente

Os SOC deben destacar pola súa proactividade, ser capaces de detectar multitude de tipos de ataques, evitar a súa expansión, responder de forma rápida ante o incidente detectado e xerar normas de actuación que eviten futuros incidentes. O almacenamento dun número cada vez maior de eventos proporcionará unha panorámica completa e veraz da situación dos sistemas das administracións públicas españolas, que posibilitará unha acción preventiva fronte ás ameazas que se alzan sobre elas. Deben aplicar exemplos de uso para establecer cales son os rexistros que é necesario almacenar e tratar. Os devanditos rexistros deben axudar e estar en consonancia para levantar alertas de seguridade e ser eficientes. E o máis importante, deben intercambiar a información sobre as ameazas e notificar os seus incidentes, de xeito que a intelixencia colectiva axude a protexer á sociedade no seu conxunto.

Capacidades dun SOC

O SOC proporcionaralle ao Organismo as capacidades de:

Prevención
Prevención

Ampliando o coñecemento respecto das súas vulnerabilidades, tanto técnicas como humanas, para reducir a superficie de exposición.

Protección
Protección

Aplicando medidas de bloqueo, en diferentes puntos da infraestrutura, para impedir ou limitar os ciberataques.

Public entities
Detección

Observando todo o que ocorre na organización, para buscar as ameazas existentes.

Reposta
Reposta

Actuando antes os ciberincidentes, para minimizar o impacto sobre a Organización.

Security
Xestión da seguridade

Establecendo o rumbo do resto de capacidades, para desempeñar unha correcta Gobernanza.

Dende o CCN enténdese que o alcance do SOC dependerá do Organismo ao que presta servizo, puidéndose atopar casos nos cales o SOC só proporciona un subconxunto destas capacidades.

Por outro lado e en función do coñecemento ou experiencia das persoas que forman parte do SOC, as súas actuacións pódense clasificar nos seguintes ámbitos:

Operations
Operacións

Ámbito das OPERACIÓNS:
onde se pon foco nas actuacións que requiren coñecementos respecto da tecnoloxía de seguridade implantada no Organismo, para a súa explotaciónología de seguridad implantada en el Organismo, para su explotación.

Public entities
Incidentes

Ámbito de los INCIDENTES:
onde se pon foco nas actualizacións que requiren coñecementos respecto dos actores e ameazas existentes; as súas tácticas, técnicas e procedementos (TTP), así como no proceso completo da xestión dun incidente.

Public entities
Auditorías

Ámbito das AUDITORÍAS:
onde se pon o foco nas actuación que requiren coñecementos respecto das vulnerabilidades, para a súa análise e posterior mitigación.

Public entities
Transversal

Ámbito TRANSVERSAL:
onde se agrupan aquelas actuacións que non requiren dun coñecemento propio nun ámbito en concreto.

Grafica ilustración
Relación entre os ámbitos de coñecemento que participan en cada capacidade.
Grafica ilustración
Relación entre os ámbitos de coñecemento que participan en cada capacidade.

Estes ámbitos poden axudar, sobre todo ao principio, a estruturar os equipos de traballo do SOC. De modo que se poida comezar con tres equipos de traballo diferenciados (Operacións, Incidentes e Auditorías), aínda que sexa posteriormente e segundo vaia crecendo o SOC iranse estruturando máis por competencias.

Competencias en ciberseguridade

Para acadar as capacidades anteriormente identificadas, o SOC ten que desenvolver unha serie de competencias que, posteriormente e en función do catálogo de servizos do Organismo, poderán formar parte dun servizo específico ou estar agrupadas baixo un servizo de nivel superior.

De prevención

  • Inspeccións Técnicas de Seguridade: as cales poderán levarse a cabo sobre a infraestrutura en produción, e/ou de xeito previo integrado no ciclo de vida do desenvolvemento do software, e/ou na posta en marcha de novas infraestruturas (adquisicións de impresoras, proxectores, termóstatos...); poderán ser de “caixa negra”, “caixa branca” ou “caixa gris”, poderán ser de código fonte (sen executar) ou de código en execución,...
  • Análise de vulnerabilidades automatizadas.
  • Seguimento á publicación de vulnerabilidades tecnolóxicas que puidesen afectar ao Organismo.
  • Xestión de vulnerabilidades: que poderá ser levado a cabo con ferramentas específicas (ex: ANA) e que incluiría tanto o rexistro e seguimento das vulnerabilidades identificadas como o apoio á solución das devanditas vulnerabilidades.
  • Capacitación, do persoal do Organismo, en técnicas de seguridade.
  • Concienciación, do persoal do Organismo, respecto dos riscos existentes.
  • Cibervixilancia ou Vixilancia Dixital, tanto en Internet como na darkweb.

De protección:

  • Protección do tráfico, xa sexa perimetral ou interno, mediante a xestión da devasa, dos sistemas de detección e/ou prevención de intrusos...
  • Protección da navegación mediante a xestión dos “proxies”, “sinkholes” (DNS),...
  • Protección do correo, mediante a xestión dos sistemas “antispam”.
  • Protección das aplicacións web, mediante a xestión do WAF ou a inspección TLS.
  • Protección do acceso remoto, mediante a xestión das VPN ou do acceso aos escritorios virtuais (VDI).
  • Protección dos postos de traballo e servidores (“endpoints”), mediante a xestión de solucións antivirus, EPP, EDR...
  • Protección da fuga de documentación, mediante a xestión das solucións DLP, IRM...

De detección:

  • Rexistro de eventos ou “logs”, mediante servidores centralizados.
  • Correlación de eventos, mediante sistemas SIEM. Coa posibilidade de xerar regras de detección de xeito proactivo.
  • Control de alertas, procedentes de múltiples orixes como o SAT, SIEM, AntiDDoS de CORA...
  • Investigacións avanzadas ou “Threat hunting”, mediante solucións como CARMEN, CLAUDIA, os EDR... E facendo uso das informacións compartidas como IoC ou TTP (Mitre ATT&CK).

De reposta:

  • Bloqueo centralizado de IoC.
  • Xestión de incidentes, o que inclúe a xestión de evidencias, a análise forense, a contención, mitigación e recuperación.
  • Análise de código daniño ou “malware”, tamén denominado “reversing”, cos laboratorios ou solucións como ADA.
  • Intercambio de información mediante MISP, REYES, RNS...
  • Análise e confirmación de vulnerabilidades baixo ataque.

De xestión:

  • Asesoramiento: Tanto internamente dentro do SOC como ao resto do Organismo, no que concirne a diferentes aspectos de ciberseguridade: arquitecturas de seguridade, planificación e implantación das mesmas.
  • Implantación do ENS.
  • Desenvolvemento normativo.
  • Análise de Riscos.
  • Cumprimento legal e normativo.
  • Información do Estado da Seguridade (Cadros de mando).

Cuadro resumo:

Cuadro resumen
Cuadro resumen

Posta en marcha dun SOC

Non todos os SOC teñen que dispoñer dos mesmos servizos, cubrir todas as capacidades e ámbitos, nin ter todas as competencias. Múltiples factores, aos que hai que engadir a madurez e os recursos dispoñibles que obrigarán a tomar unha decisión nun ou noutro sentido. A regra da entidade pequena, SOC pequeno (ou incluso no SOC, ao estar cuberto por unha entidade superior), entidade grande, SOC grande, debería se a norma a seguir.

Os pasos a dar para pór en marcha un SOC co apoio do CCN-CERT serían os seguintes:

  1. Avaliar os sistemas a protexer e estado da seguridade, para determinar a superficie de exposición do organismo. Para iso o ideal é facer unha auditoría dos sistemas. Canto máis completa sexa a auditoría, máis información se terá das vulnerabilidades e necesidades do organismo. En casos excepcionais, a auditoría poderá ser substituída por entrevistas que proporcionen a información necesaria para a avaliación inicial. Os resultados da auditoría asentaranse na ferramenta ANA para favorecer o seguimento das vulnerabilidades detectadas e a súa corrección, ademais de obter un inventario de sistemas para axilizar a notificación ante a aparición de novas vulnerabilidades. Noutra faceta, a información obtida sobre o estado da seguridade do organismo rexistrarase na ferramenta INES para contribuír á visión xeral do estado da ciberseguridade a nivel nacional. Froito dese traballo inicial, poderase proporcionar ao organismo unha primeira visión do estado da seguridade do organismo, unha primeira aproximación da análise de riscos e un primeiro bosquexo do plan de adecuación ao ENS.
  2. Definir obxectivos de vixilancia. En función do resultado das auditorías e entrevistas determinarase que se debe monitorizar e con que tipo de ferramentas.
  3. Definir que caso de uso aplica a entidade e que alertas de valor se poden xerar
  4. Dispoñer de métricas da superficie de exposición do organismo. Para iso deberanse despregar ferramentas específicas. Esta información é moi importante para saber que vulnerabilidades ten o organismo, podendo determinar e priorizar os servizos e equipos que requiren de atención.
  5. Apoiar o establecemento dun EDR en todos os equipos da organización para ter unha base defensa común e fonte de telemetría para o resto de servizos do SOC
  6. Dar formación sobre a operación dun SOC.
  7. Apoiar na redacción de pregos para a contratación de servizos de ciberseguridade.

Achega do CCN

As solicitudes de colaboración co CCN para o despregue dun SOC por parte dun organismo público pódense realizar por correo electrónico, na conta Este enderezo de correo electrónico está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo., ou dende o apartado de contacto desta web. Se fose necesario para o organismo solicitante, poderíase chegar a asinar un convenio de colaboración. Porén, tendo en conta a multitude de organismos públicos existentes, esta opción quedará restrinxida a casos excepcionais.

Contactar
Contactar

Adicionalmente, o CCN-CERT pode proporcionar un subconxunto do total de ferramentas máis utilizadas en ciberseguridade.

  • Ferramentas de control: Neste grupo entran as ferramentas de administración centralizada de devasas (firewall), proxys, pasarelas, antispam, etc. Poden estar a calquera nivel de SOC, o desexable é o nivel máis baixo posible.
    • Ferramentas de administración de equipos de seguridade. Entran en este grupo las herramientas de administración centralizada de cortafuegos (firewall), proxys, pasarelas, antispam, etc. Pueden estar a cualquier nivel de SOC,s, deseable al más bajo posible.
    • Antivirus (EPP) ou Endpoint Detection and Response (EDR): Na primeira liña de defensa e instálase en todos os dispositivos do organismo (ordenadores, servidores, teléfonos móbiles, etc.). Debe ser atendida polo SOC de nivel máis baixo. Ademais, é moi recomendable a instalación da ferramenta anti-ransomware do CCN-CERT, microCLAUDIA.
    • Sistema de detección de intrusións (Intrusion Detection system-IDS) e Sistemas de Prevención de Intrusións (Intrusion Prevention System-IPS). Son sistemas que se van utilizar para detectar ou previr intrusións. Normalmente van asociados a un sistema SIEM. Polo seu custo e complexidade só está xustificado o seu despregue en accesos a Internet dun elevado número de usuarios e sistemas, polo que se deberá despregar en SOC de nivel medio-alto. Exemplo: Sonda SAT-INET.
    • Sistema de xestión de eventos e información de seguridade (SIEM-Security Information Event Management). Son sistemas complexos de instalar, xestionar e operar, que requiren de persoal técnico moi especializado e cualificado. Por optimización de recursos a tendencia debe ser utilizalos en SOC de nivel medio-alto centralizando os eventos de SOCs de nivel baixo, onde o seu despregue non sexa viable por economía de recursos. Non ten sentido escalar os eventos a varios SIEM xa que se duplicaría o traballo. O SIEM pode dar servizo a diversos organismos se así se agrupan nun SOC común. Finalmente, é moi importante ter en conta que se corre o perigo de desbordamento de logs dese SIEM polo que é moi importante o almacenamento en base a casos de uso. Exemplos: MONICA, GLORIA o calquera SIEM incluído no catálogo CPSTIC 105.
    • Sistemas para a detección de ameazas persistentes avanzadas (APT-Advanced Persistent Thread): Son ferramentas moi sofisticadas que requiren de persoal especializado e que se deben instalar en sistemas con información sensible. Só son recomendables en entidades moi grandes, susceptibles de sufrir ataques patrocinados por estados. Exemplo CARMEN
  • Herramientas de auditoría: sirven para analizar las vulnerabilidades de los equipos y sistemas y ser consciente de la superficie de exposición. Ante cualquier nueva amenaza se puede saber qué sistemas y servicios se pueden ver afectados. Todos los organismos deberían realizar auditorías en el periodo previo a la implantación del SOC. Ejemplo: ANA como repositorio de resultados de auditorías.
  • Ferramenta propia de xestión do SOC: ferramenta de ticketing para as incidencias dos sistemas de seguridade do día a día.
  • Ferramentas para a comunicación de Incidentes de Seguridade. LUCIA para a comunicación e escalado de incidentes de ciberseguridade. Empregarase a todos os niveis. En última instancia, o CCN-CERT poderá intervir na resolución do incidente.
  • Ferramentas de Ciberintelixencia e análise de ameazas, como REYES.
  • Ferramentas específicas de participación na RNS: Segundo se detallan no apartado de Infraestrutura tecnolóxica