Acerca dos SOC

O CCN entende que un Centro de Operacións de Ciberseguridade (COS/SOC) é unha estrutura organizativa que inclúe un conxunto de tecnoloxías, procesos e persoas que, a través da súa interrelación, cooperación e coordinación, ofrecen servizos de ciberseguridade á súa comunidade.

A súa misión é actuar como a principal medida de protección da ciberseguridade da propia comunidade. Esta comunidade pode ser de varios tipos, dende organizacións públicas e privadas, ata persoas ou colectivos. A súa institucionalización é decisión da organización que a promove e o seu recoñecemento obtense mediante a participación en diferentes foros de intercambio.

Os servizos de ciberseguridade que poden proporcionar son:

Prevención
Servizo de Prevención

Ampliar o coñecemento sobre as súas vulnerabilidades, tanto técnicas como humanas, para reducir a superficie de exposición.

Protección
Servizo de Protección

Para aplicar medidas de bloqueo, en distintos puntos da infraestrutura, para previr ou limitar os ciberataques.

Public entities
Servizo de Detección

Observar todo o que acontece na organización, buscar ameazas existentes.

Respuesta
Servizo de Resposta

Para actuar contra incidentes cibernéticos, para minimizar o impacto na Organización.

Security
Servizo de Xestión da Ciberseguridade

Para establecer a dirección do resto dos servizos, para levar a cabo un goberno correcto.

Mención especial merecen os SOC gobernamentais, que prestan estes servizos a unha ou varias institucións públicas dun país, actuando como compoñente fundamental da capacidade nacional de prevención, protección, detección, coordinación e resposta ante incidentes cibernéticos. Nestes casos, a institucionalización está promovida e patrocinada por unha institución pública con competencias en materia de seguridade nacional.

Detalles dos servizos

Os servizos de ciberseguridade mencionados anteriormente divídense nos seguintes subservizos:

Servizo de prevención:

  • Análise de vulnerabilidades: Un servizo centrado na dixitalización automatizada dos activos dunha organización para identificar as vulnerabilidades existentes nos elementos constitutivos dos seus sistemas de información e seguridade.
  • Inspeccións técnicas de seguridade e probas de intrusión (Ethical Hacking): Trátase dunha auditoría técnica centrada na identificación de fallos de seguridade e vulnerabilidades explotables nos sistemas de información dunha organización e no ecosistema tecnolóxico que os soporta. Estas técnicas tenden a simular a actividade dun posible atacante e como poderían acabar comprometendo a organización.
  • Vixilancia dixital: Un servizo centrado na detección temperá de ameazas externas en código aberto, Internet e a Deep Web e Dark Web. Algúns exemplos deste alcance inclúen: alerta temperá de tendencias e vulnerabilidades, uso ilícito de marcas, phishing, roubo de identidade, filtración ou roubo de información e/ou credenciais, reputación, redes sociais, seguimento de VIP, entre outros.

Servizo de protección:

  • Operación de ciberseguridade: Un servizo centrado no subministro, implementación, administración, operación e/ou mantemento dos diversos elementos que conforman a infraestrutura de seguridade dunha organización, co obxectivo de proporcionar protección de seguridade para redes e endpoints. Algunhas das ferramentas ou tecnoloxías que pode estar cubertas polo servizo inclúen: EDR, Firewall, IPS/IDS, Proxy, DNS, AV, CASB, DLP, IRM, NAC, WAF, CMDB, etc. O servizo debe garantir o correcto funcionamento, configuración e dispoñibilidade destas tecnoloxías.

Servizo de detección:

  • Monitorización da seguridade: Un servizo centrado na identificación, análise e notificación continuas de posibles ameazas de seguridade, garantindo a detección proactiva e reactiva de incidentes de seguridade.
  • Threat Hunting (Caza de ameazas): Un servizo centrado na caza de ameazas ou na busca proactiva de ameazas de seguridade, que permite a identificación de anomalías e posibles incidentes de seguridade que os procesos tradicionais ou pasivos non poden identificar.
  • Intelixencia de ameazas: Un servizo centrado na obtención de información para xerar intelixencia sobre ameazas avanzadas dun xeito que axude na xestión da ciberseguridade, na mellora continua e na toma de decisións para as organizacións.

Servizos de resposta:

  • Incident Response Team (IRT): consiste nun servizo experto que se activa tras a confirmación dun incidente de seguridade, o que permite a análise forense, a contención, a mitigación, a recuperación e as leccións aprendidas ou posteriores ao incidente. Deben estar dispoñibles procedementos de resposta a incidentes e *manuais de estratexia* para a acción relacionada con diferentes tipos de ameazas e personalizados para a entidade ou organización que recibe o servizo.

Servizo de xestión da ciberseguridade:

  • Coordinación e estratexia de ciberseguridade: Isto implica a xestión, a supervisión e o asesoramento sobre varios aspectos da ciberseguridade, incluíndo a estratexia de ciberseguridade a curto, medio e longo prazo, a xestión e a supervisión dos servizos prestados ou externalizados, as arquitecturas de seguridade e a súa implementación, a documentación e os procedementos asociados, o mantemento, así como a súa planificación e implementación.
  • Cumprimento legal e regulamentario: Isto implica a adaptación ás normativas vixentes en materia de ciberseguridade.
  • Paneles de control: Debe haber un panel de control que centralice a información xerada polos SSG para proporcionar unha visión completa do estado de seguridade de cada entidade.

Implementación

Ao implementar un Centro de Operacións de Seguridade (SOC) nunha organización, é esencial comezar por establecer o Servizo de Xestión de Ciberseguridade, que actúa como unha capa estratéxica e interfuncional. Este servizo permite definir a estratexia de ciberseguridade, os obxectivos, o modelo de gobernanza, así como os mecanismos para xestionar, monitorizar e mellorar continuamente o SOC.

Unha vez establecida esta base, recoméndase implementar o Servizo de Detección, que constitúe o núcleo operativo do SOC: a identificación, análise e notificación de ameazas e incidentes de seguridade. Para este fin, recóllese información relevante de múltiples fontes, que logo se analiza para detectar usos non autorizados ou comportamentos anómalos. Este servizo está estruturado verticalmente nos subservizos definidos no CCN-STIC 896 (enumerados anteriormente) e horizontalmente segundo os niveis estratéxico, operativo e táctico(1).

Para a súa correcta implementación, pódense seguir os seguintes pasos(2):

  1. Planificación: Identificación de información relevante, definición de fontes, planificación do procesamento, xeración de alertas e creación dun modelo de resposta.
  2. Adquisición: Configuración priorizada das fontes de información (principalmente perímetro e endpoint).
  3. Procesamento: Normalización e almacenamento de datos en plataformas SIEM/XDR segundo as políticas establecidas.
  4. Análise: Análise automatizada e manual, incluíndo actividades de Threat Hunting, que poden xerar novas alertas ou casos de uso.
  5. Xestión de alertas: Rexistro e seguimento de actividades sospeitosas mediante ferramentas de ticketing.
  6. Resposta: Execución de procedementos automatizados ou manuais baseados na natureza e a criticidade da alerta.
  7. Comentarios: Incorporación das leccións aprendidas para a mellora continua do ciclo.

These steps must be accompanied by the deployment of the appropriate tools and technologies, both for data collection and correlation (SIEM, EDR/XDR, traffic sensors), and for the management of alerts, assets, and cyber intelligence (ticketing, CMDB, TIP, intelligence feeds). It is also essential to define team organization, shifts, operating procedures, and escalation models.

With the implementation of the Cybersecurity Management Service and the Detection Service, a Basic SOC is available. The progressive incorporation of Prevention and Response services will allow evolution towards an Advanced SOC, and the additional inclusion of the Protection Service will result in a Complete SOC, in accordance with the maturity levels defined in the CCN-STIC 896 guide.

(1) Os conceptos de nivel "estratéxico" (definición da estratexia e os obxectivos pola capa de xestión), nivel "operacional" (planificación e execución de tácticas e técnicas) e nivel "táctico" (uso de tecnoloxía e ferramentas) pódense atopar amplamente en internet.

(2) https://www.isaca.org/resources/isaca-journal/issues/2026/volume-1/this-is-how-they-tell-me-a-soc-works

Certificado

Para garantir que os servizos prestados mencionados anteriormente sexan de calidade, un SOC debe ser capaz de demostrar as súas capacidades operativas, así como as súas competencias técnicas no campo da ciberseguridade.

Máis información