Sobre a RNS
O CCN-CERT tradicionalmente ten colaborado e colabora en varios SOC de diferente magnitude, xa sexa a nivel Ministerios, Deputacións/Cabildos ou Entidades Locais, aos que ultimamente se engaden Operadores de Servizos Esenciais. Nesta dinámica xurdiu a necesidade de crear unha ferramenta que interconectara os SOC para que de xeito fulminante se puidese cortar calquera intento sospeitoso de ciberataque, incluso antes de determinar se consistía realmente en tal ou non.
Posteriormente, a finais de 2020, a Comisión Europea lanzou a súa Estratexia de Ciberseguridade para a Década Dixital, na que adquire un papel relevante unha rede europea de SOC baseada nas ferramentas de Intelixencia Artificial. A xustificación da Comisión vén de que Europa sufrira unha pandemia de ransomware e a rede de CSIRT existente a nivel europea non fora capaz de parala. Polo tanto, o obxectivo agora sería a detección nos SOC
Todo isto leva a CCN-CERT a crear a Rede Nacional de SOC, unha plataforma que integra todos os SOC do territorio nacional, sexan públicos ou privados.
O seu obxectivo principal é impulsar a capacidade de Protección dos seus membros mediante o bloqueo case inmediato de calquera indicio de actividade anómala que se estea detectando en calquera punto da Administración.
Entidades participantes
Á Rede Nacional de SOC poderán unirse entidades das seguintes categorías:
Entidades públicas
Organismos da Administración Pública Española. Xeralmente os seus servizos de seguridade son prestados por provedores contratados.
Entidades provedoras
Empresas do sector privado que prestan servizos SOC noutras entidades, sexan públicas ou privadas, protexendo o patrimonio español.
Entidades privadas
Empresas do sector privado, con SOC propio protexendo os seus activos españois, sen prestar os devanditos servizos SOC a outras entidades.
Estas entidades deben estar baixo a protección dun SOC, xa sexa interno ou externo:
SOC pertencente a unha entidade subministradora, protexendo a unha ou varias entidades, tanto públicas como privadas. O responsable será, polo tanto, unha persoa da entidade subministradora. E o nome estará relacionado co devandito provedor (por exemplo, SOC SupplierA).
SOC pertencente á propia entidade pública ou privada, xa sexa con persoal propio ou subcontratado (a unha ou varias entidades subministradoras). O responsable será, polo tanto, unha persoa da devandita entidade pública ou privada (pero non da entidade subministradora, se é o caso). E o nome estará relacionado con dita entidade (por exemplo, SOC CompanyA ou SOC MinistryB).
Ademais, actualmente as entidades privadas e provedores poden ter os seguintes niveis (en función da súa participación)::
Ouro
Nivel asignado a entidades privadas e provedores cun alto nivel de participación.
Prata
Nivel asignado a entidades privadas e provedores cun nivel normal de participación.
Desactivado
Nivel asignado a entidades privadas e provedores que deixaron de participar no intercambio de información.
A participación medirase a través da información técnica compartida, que será valorada e puntuada en función da natureza da mesma e a súa relevancia.
Dado que se pretende utilizar a RNS como unha ferramenta que mellore a seguridade da información das Administracións Públicas, dende estas mesmas Administracións poderase impulsar progresivamente a adopción desta categorización de "Ouro" e "Prata" como valores diferenciadores á hora de avaliar propostas comerciais de provedores que opten a contratos públicos.
Ás tres categorías anteriores (entidades públicas, provedoras e privadas) engádense dúas categorías especiais:
Entidades fonte
Entidades non relacionadas cun SOC, pero que están dispostas a contribuír ao RNS proporcionando información sobre ameazas cibernéticas compartibles con todos os seus membros. As grandes empresas tecnolóxicas poderían entrar nesta categoría. A súa adhesión queda a criterio do CCN.
Enlazar entidades
Comunidades nacionais ou internacionais coas que o RNS pode ter ligazóns de intercambio. Os intercambios con ENSOC, LATAM, CERT-EU poderían entrar nesta categoría... A súa adhesión queda a criterio do CCN.
| Logo | Entidade | Tipo | Nivel de participación | Renovación |
|---|
Información a compartir
O principal activo da Rede Nacional de SOC son os indicadores de ataque ou compromiso (IOA/IOC) dos incidentes que se poidan estar a producir no momento actual nalgunha das entidades membro. Sempre coa premisa de "só compartir o que eu xa estou a bloquear". En concreto:
- Enderezos IP de atacantes (ou supostos atacantes)
- Dominios de sitios comprometidos (ou supostamente comprometidos)
- Ou URL específicas con contido prexudicial
- Sinaturas o Hashes de ficheiros con contido prexudicial
- Enderezos de correo propagadores de contido prexudicial
- Regras de detección de ameazas, por comportamento de rede (regras SNORT), por contido prexudicial (regras YARA).
- Encabezados de navegación específicos, como "user-agent" e outros.
Non é obxecto da Rede Nacional de SOC compartir información que poida conter datos persoais ou das vítimas. Nin informes ou investigacións xenéricas sobre ameazas no ciberespazo se estas non se están materializando en algún dos membros. A respecto do primeiro punto, cada entidade terá que preocuparse de filtrar a información que considere oportuna. E con respecto do segundo, é na solución REYES do CCN-CERT onde se centraliza toda a información de ciberintelixencia.
Ademais, tamén se está a compartir na rede:
- Regras xenéricas de detección e casos de uso
- Informes de ciberseguridade
- Procedementos operativos dun SOC
- Procedementos administrativos ou de contratación de servizos
E en breve tamén se poderán compartir:
- Métricas e indicadores para usar nun SOC para mellorar a súa xestión
- Listas brancas con localizacións lexítimas
- Vulnerabilidades
- Alertas SIEM
- ...
Infraestrutura tecnolóxica
A integración da rede materialízase mediante o uso de ferramentas colaborativas. En primeiro lugar, mediante unha solución de mensaxería instantánea (Element). A devandita solución utilízase tanto para propagar alertas sobre incidentes en curso (ou sinais de posibles incidentes), como para compartir outro tipo de información de interese: informes de ciberseguridade, procedementos operativos dos SOC, procedementos administrativos ou de contratación de servizos...
Outra ferramenta colaborativa é o intercambio de información sobre ameazas (MISP), onde pode rexistrarse, centralizar e distribuír tanto Indicadores de Ataques (IOA) como Indicadores de Ataques b>. Compromiso (COI). O rexistro do devandito IOC/IOA no MISP pódese facer a través da ferramenta de mensaxería ou desde esta páxina web. Ou en modo de integración, conectando directamente as ferramentas dos SOC máis maduros, de tal xeito que se facilite a distribución dos indicadores a bloquear ao resto de entidades.
Ademais, a implantación federada existente da ferramenta de notificación de incidentes cibernéticos LUCIA está integrada no RNS. Para que así se poida utilizar como un indicador máis tanto do compromiso do SOC co resto de membros como da evolución dos ciberincidentes no territorio nacional.
A medio prazo iranse integrando na RNS outras solucións: IRIS para a visualización en tempo real do estado da ciberseguridade na RNS; ANA para poder xerar dende a RNS un sistema de aviso ante a publicación de vulnerabilidades; os SIEM, para recompilar aquelas alertas críticas xeradas polos SOC e que poidan servir de fonte de datos para relacionar incidentes dende unha perspectiva global.
Todo isto centralizado nesta páxina web, onde dende a área privada terase acceso non só á información de pertenza da propia entidade senón a toda a información compartida. Así como as entidades tamén poderán compartir co resto información interesante como: casos de uso, exemplos de pregos, indicadores de servizo para SOC, procedementos...
Beneficios de participar
Para todas as entidades, o principal beneficio é o acceso a todos os IOC/IOA compartidos no RNS desde o principio. Para que poidan recibir, do seu SOC, protección contra estas ameazas case inmediatamente. Así como outra información compartida: casos de uso, métricas...
Ademais, e para aquelas entidades do sector privado, sexan provedores ou privados, que gozan do nivel "Ouro", un mellor posicionamento en relación a procesos de contratación nos que se especificou como requisito a pertenza á Rede Nacional SOC con dito nivel.
Por último, e só para entidades públicas, acceder a un foro de intercambio onde intercambiarán recomendacións relativas á xestión e dirección do SOC. Como modelos de contratación, recomendacións sobre provedores, definición de indicadores para medir servizos...
Adhesión e permanencia
Os requisitos para que unha entidade se una á Rede Nacional SOC, ademais de aceptar o código de ética e conduta profesional da RNS, son:
Como entidade pública
- Pertencente ao Sector Público en España
- Rexistros de incidencias altas, moi altas e críticas en LUCIA
- Estar protexido por un SOC (ou en proceso), xa sexa propio ou externo
Como entidade provedora
- Non pertencer ao Sector Público en España
- Proporcionar servizo SOC a outras entidades
- Tes o teu propio SOC (ou en proceso) protexendo os activos españois
Como entidade privada
- Non pertencer ao Sector Público en España
- Non proporcionar servizos SOC a outras entidades
- Tes o teu propio SOC (ou en proceso) protexendo os activos españois
Para poder rexistrar dito SOC na Rede Nacional de SOC, deben:
- Ten unha instancia de MISP (ou en proceso) con acceso a Internet
- Estar certificado como SOC (cando se publique o estándar)
Se se cumpren os requisitos enumerados anteriormente, o proceso de adhesión consiste en:
- Solicitude por parte da entidade: Cubrindo o formulario de adhesión que se atopa na páxina web da RNS formulario de adhesión
- Aprovisionamento, por parte da RNS, nas ferramentas dispoñibles E notificación á entidade das credenciais correspondentes
- Confirmación da adhesión e publicación da pertenza na web
Unha vez adheridas á Rede Nacional de SOC, as entidades teñen que cumprir as seguintes condicións de permanencia, que serán revisadas de xeito trimestral:
- Seguir cumprindo os requisitos de adhesión
- Utilizar as ferramentas a disposición da RNS: acceder de xeito continuo á solución de mensaxería e estar ao corrente da información intercambiada; acceder puntualmente á solución de intercambio para ter a capacidade de descargar a información técnica intercambiada;...
- Ademais, para as entidades provedoras e privadas (así como as entidades fonte), comparta información técnica novedosa e relevante
Se as condicións de permanencia non se cumpren, valorarase a expulsión da RNS.
