Sobre a RNS

O CCN-CERT tradicionalmente ten colaborado e colabora en varios SOC de diferente magnitude, xa sexa a nivel Ministerios, Deputacións/Cabildos ou Entidades Locais, aos que ultimamente se engaden Operadores de Servizos Esenciais. Nesta dinámica xurdiu a necesidade de crear unha ferramenta que interconectara os SOC para que de xeito fulminante se puidese cortar calquera intento sospeitoso de ciberataque, incluso antes de determinar se consistía realmente en tal ou non.

Posteriormente, a finais de 2020, a Comisión Europea lanzou a súa Estratexia de Ciberseguridade para a Década Dixital, na que adquire un papel relevante unha rede europea de SOC baseada nas ferramentas de Intelixencia Artificial. A xustificación da Comisión vén de que Europa sufrira unha pandemia de ransomware e a rede de CSIRT existente a nivel europea non fora capaz de parala. Polo tanto, o obxectivo agora sería a detección nos SOC

Todo isto leva ao CCN-CERT a crear a Rede Nacional de SOC, unha plataforma que integra os SOC de todos os organismos públicos da Administración Española, xunto coas entidades provedoras que prestan os devanditos servizos de SOC e as entidades públicas que se benefician dos mesmos.

O seu obxectivo principal é impulsar a capacidade de Protección dos seus membros mediante o bloqueo case inmediato de calquera indicio de actividade anómala que se estea detectando en calquera punto da Administración.

Entidades participantes

Á Rede Nacional de SOC poderán unirse entidades das seguintes categorías:

Entidades públicas

Á Rede Nacional de SOC poderán unirse entidades das seguintes categorías:

Organismos da Administración Pública Española. Xeralmente os seus servizos de seguridade son prestados por provedores contratados.

Entidades proveedoras

Entidades provedoras

Empresas que, con persoal propio, prestan os seus servizos de ciberseguridade ou de SOC (Implantación, Operación, Mantemento...) a algunha entidade da Administración Pública Española.

Entidades invitadas

Entidades invitadas

Entidades que non cumpren cos requisitos das 2 anteriores categorías, pero ás que se quere permitir o acceso á información intercambiada na RNS.

As entidades públicas e os provedores relaciónanse entre si por medio dos SOC, o que pode levaraos seguintes escenarios:

SOC Privado

pertencente a un Provedor, que presta servizo a unha ou varias AAPP. O seu responsable será, polo tanto, unha persoa da empresa. E o nome estará relacionado coa devandita empresa. Ex. SOC EmpresaA

SOC Público

prestado por un ou varios Provedores (ou incluso con persoal propio) e que cubre a unha ou varias AAPP. O seu responsable será un empregado público. E o nome estará relacionado coa AAPP. Ex. SOC MinisterioB

Ademais, actualmente as entidades provedoras poden ter os seguintes niveis (en base á súa participación):

icono gold Gold

Provedores cun nivel alto de participación. Terán acceso inmediato a toda a información compartida e consolidada na RNS.

icono Informado Informado

Provedores cun nivel de participación normal. Terán acceso á información compartida e consolidada na RNS, pero con certo atraso.

A participación medirase a través da información técnica compartida, que será valorada e puntuada en función da natureza da mesma e a súa relevancia. Dado que se pretende utilizar a RNS como unha ferramenta que mellore a seguridade da información das Administracións Públicas, dende estas mesmas Administracións poderase impulsar progresivamente a adopción desta categorización de “Gold” e “Informado” como valores diferenciadores á hora de avaliar propostas comerciais de provedores que opten a contratos públicos.

Logo Entidade Tipo Nivel de participación Renovación

Información a compartir

O principal activo da Rede Nacional de SOC son os indicadores de ataque ou compromiso (IOA/IOC) dos incidentes que se poidan estar a producir no momento actual nalgunha das entidades membro. Sempre coa premisa de “só compartir o que eu xa estou a bloquear”. En concreto:

  • Enderezos IP de atacantes (ou supostos atacantes)
  • Dominios de sitios comprometidos (ou supostamente comprometidos)
  • ou URL específicas con contido prexudicial
  • Sinaturas o Hashes de ficheiros con contido prexudicial
  • Enderezos de correo propagadores de contido prexudicial
  • Regras de detección de ameazas, por comportamento de rede (regras SNORT), por contido prexudicial (regras YARA) ou por comportamento controlado nos SIEM (regras SIGMA).

Non é obxecto da Rede Nacional de SOC compartir información que poida conter datos persoais ou das vítimas. Nin informes ou investigacións xenéricas sobre ameazas no ciberespazo se estas non se están materializando en algún dos membros. A respecto do primeiro punto, cada entidade terá que preocuparse de filtrar a información que considere oportuna. E con respecto do segundo, é na solución REYES do CCN-CERT onde se centraliza toda a información de ciberintelixencia.

Ademais, a medida que se vaia despregando a infraestrutura tecnolóxica correspondente, tamén se poderán compartir:

  • Regras xenéricas de detección e casos de uso
  • Listas negras cos IOC/IOC compartidos
  • Métricas e indicadores a utilizar nun SOC para mellorar a súa xestión
  • Listas brancas con localizacións lexítimas
  • Vulnerabilidades
  • Alertas dos SIEM
  • ...

Infraestrutura tecnolóxica

ElementA integración da rede materialízase mediante o uso de ferramentas colaborativas. En primeiro lugar, mediante unha solución de mensaxería instantánea (Element) , tanto por parte das entidades públicas que se benefician dos servizos do SOC, como por parte das empresas que prestan os seus servizos no mesmo. A devandita solución utilízase tanto para propagar alertas sobre incidentes en curso (ou sinais de posibles incidentes), como para compartir outro tipo de información de interese: informes de ciberseguridade, procedementos operativos dos SOC, procedementos administrativos ou de contratación de servizos...

Element

MispOutra ferramenta colaborativa é a de intercambio de información sobre ameazas (MISP), onde rexistrar, centralizar e distribuír tanto Indicadores de Ataques (IOA) como os Indicadores de Compromiso (IOC)

. En modo lectura, para aquelas entidades públicas menos maduras que unicamente precisen acceder en determinadas situacións aos datos técnicos dunha ameaza (por exemplo, ante unha alerta notificada a través da solución de mensaxería). Ou en modo integración, conectando directamente as propias ferramentas dos SOC máis maduros, de tal xeito que se facilite a distribución dos indicadores a bloquear ao resto de entidades.

Misp

A curto prazo integrarase na RNS o despregue da ferramenta de notificación de ciberincidentes LUCIA. Para que así se poida utilizar como un indicador máis tanto do compromiso do SOC co resto de membros como da evolución dos ciberincidentes no territorio nacional.

A medio prazo iranse integrando na RNS outras solucións: IRIS para a visualización en tempo real do estado da ciberseguridade na RNS; ANA para poder xerar dende a RNS un sistema de aviso ante a publicación de vulnerabilidades; os SIEM, para recompilar aquelas alertas críticas xeradas polos SOC e que poidan servir de fonte de datos para relacionar incidentes dende unha perspectiva global.

Todo isto centralizado nesta páxina web, onde dende a área privada terase acceso non só á información de pertenza da propia entidade senón a toda a información compartida. Así como as entidades tamén poderán compartir co resto información interesante como: casos de uso, exemplos de pregos, indicadores de servizo para SOC, procedementos...

Exemplos de uso da devandita infraestrutura:

Incidente crítico en Entidade con MISP: a entidade implicada comparte os IOA/IOC correspondentes en Element, anticipando o que posteriormente estará no MISP. No caso de ter o evento xa en MISP poderá reflectir na mensaxe de Element ou ID, para que a xente acceda ao MISP a obter a información.

Entidades sen MISP>: reciben a información por Element e poden actuar mediante o bloqueo. No caso de compartir anteriormente o ID de MISP, terán que acceder vía web ao MISP para descargarse a información e bloqueala.

Entidades con MISP: reciben a información por Element, para estar en preaviso (e poder adiantar os bloqueos), pero poden agardar a que a información se sincronice co seu MISP.

Incidente non crítico en Entidade con MISP: a entidade dará de alta o incidente no MISP, co seu procedemento habitual sen necesidade de alertar por Element.

Entidades sin MISP: si no entran al MISP, no serán conscientes.

Entidades con MISP: su entidad se sincronizará y podrán actuar como habitualmente.

Incidente en Entidade sen MISP: a entidade poderá subir a información ao MISP da RNS a través de Element (funcionalidade dispoñible proximamente) Se a devandita información pasa o proceso de valoración será compartida a través de Element co resto de entidades así como a través do MISP.

Beneficios de participar

Para os provedores con nivel “Gold”, o principal beneficio é o acceso a todo os IOC/IOA compartidos na RNS dende un inicio. Así, poderase trasladar a protección perante as devanditas ameazas aos seus clientes de xeito case inmediato. E, indirectamente, terá un mellor posicionamento fronte aos procesos de contratación nos que se especificara como requisito pertencer á Rede Nacional de SOC co devandito nivel.

Para o resto de provedores, os beneficios son os mesmos aínda que demorados lixeiramente no tempo.

E para as entidades públicas, non só o acceso aos indicadores anteriormente mencionados, senón a un foro de intercambio onde se poderán intercambiar recomendacións con respecto á xestión e dirección dos SOC. Como poderían ser os modelos de contratación, recomendacións sobre provedores, definición de indicadores para a medición de servizos...

Adhesión e permanencia

Os requisitos para que un organismo poida adherirse á Rede Nacional de SOC como entidade pública son:

  • Pertencer ao Sector Público (en España)
  • Dispoñer de servizos de ciberseguridade ou de SOC
  • Aceptar o código ético e de conducta profesional da RNS
  • Ter instalado e utilizar LUCIA (ou estar en proceso de instalación)

Pola súa parte, os requisitos que teñen que cumprir as empresas para adherirse como Provedores son:

  • Ser empresa (pública ou privada)
  • Prestar servizos de ciberseguridade ou de SOC ao Sector Público (en España).
  • Aceptar o código ético e de conduta profesional da RNS
  • Utilizar LUCIA para notificar incidentes ao CCN-CERT nalgún dos seus clientes (ou estar en proceso de implantación)

Se se cumpren os requisitos enumerados anteriormente, o proceso de adhesión consiste en:

  • Solicitude por parte da entidade: Cubrindo o formulario de adhesión que se atopa na páxina web da RNS formulario de adhesión, indicando se é entidade pública ou provedor
  • Aprovisionamento, por parte da RNS, nas ferramentas dispoñibles E notificación á entidade das credenciais correspondentes
  • Confirmación da adhesión e publicación da pertenza na web

Unha vez adheridas á Rede Nacional de SOC, as entidades teñen que cumprir as seguintes condicións de permanencia, que serán revisadas de xeito trimestral:

  • Seguir cumprindo os requisitos de adhesión
  • Utilizar as ferramentas a disposición da RNS: acceder de xeito continuo á solución de mensaxería e estar ao corrente da información intercambiada; acceder puntualmente á solución de intercambio para ter a capacidade de descargar a información técnica intercambiada;...
  • Adicionalmente, para as entidades provedoras, compartir información técnica que sexa novidosa e relevante. Por medio das ferramentas a disposición da RNS, para que a devandita información poida ser valorada e puntuada correctamente.

Se as condicións de permanencia non se cumpren, valorarase a expulsión da RNS.