Sobre la Implantación

Para garantizar un nivel de seguridad adecuado en los sistemas, es necesario actuar antes de que se produzca un incidente o, por lo menos, ser capaz de detectarlo en un primer momento para reducir su impacto y alcance.

La implantación del SOC no es una tarea fácil, y requiere de un proceso de mejora continua, es decir, requiere de recursos económicos y humanos que no siempre estarán disponibles, por lo que, en distintas fases, y en función de los recursos disponibles en cada momento, se deberá ir mejorando su implantación. Esta aproximación por iteraciones, debe ir atendiendo las vulnerabilidades más importantes en un orden priorizado, aumentando el nivel de madurez de la ciberseguridad del organismo progresivamente.

Los SOC deben destacar por su proactividad, ser capaces de detectar multitud de tipos de ataques, evitar su expansión, responder de forma rápida ante el incidente detectado y generar normas de actuación que eviten futuros incidentes. El almacenamiento de un número cada vez mayor de eventos proporcionará una panorámica completa y veraz de la situación de los sistemas de las administraciones públicas españolas, que posibilitará una acción preventiva frente a las amenazas que sobre ellas se ciernen. Deben aplicar casos de uso para establecer qué registros son necesarios almacenar y ser tratados. Dichos registros deben ayudar y estar en consonancia para levantar alertas de seguridad y así ser eficientes. Y lo más importante, deben intercambiar la información sobre las amenazas y notificar sus incidentes, de manera que la inteligencia colectiva ayude a proteger a la sociedad en su conjunto.

Capacidades de un SOC

El SOC le proporciona al Organismo las capacidades de:

Prevención
Prevención

Ampliando el conocimiento respecto de sus vulnerabilidades, tanto técnicas como humanas, para reducir la superficie de exposición.

Protección
Protección

Aplicando medidas de bloqueo, en diferentes puntos de la infraestructura, para impedir o limitar los ciberataques.

Public entities
Detección

Observando todo lo que ocurre en la organización, para buscar las amenazas existentes.

Respuesta
Respuesta

Actuando ante los ciberincidentes, para minimizar el impacto sobre la Organización.

Security
Gestión de la seguridad

Estableciendo el rumbo del resto de capacidades, para desempeñar una correcta Gobernanza.

Desde el CCN se entiende que el alcance del SOC dependerá del Organismo al que presta servicio, pudiéndose encontrar casos en los cuáles el SOC sólo proporciona un subconjunto de estas capacidades.

Por otro lado, y en función del conocimiento o experiencia de las personas que forman parte del SOC, sus actuaciones se pueden clasificar en los siguientes ámbitos:

Operations
Operaciones

Ámbito de las OPERACIONES:
en donde se pone foco en las actuaciones que requieren conocimientos respecto de la tecnología de seguridad implantada en el Organismo, para su explotación.

Public entities
Incidentes

Ámbito de los INCIDENTES:
en donde se pone foco en las actuaciones que requieren conocimientos respecto de los actores y amenazas existente; sus tácticas, técnicas y procedimientos (TTP); así como en el proceso completo de la gestión de un incidente.

Public entities
Auditorías

Ámbito de las AUDITORÍAS:
en donde se pone foco en las actuaciones que requieren conocimientos respecto de las vulnerabilidades, para su análisis y posterior mitigación.

Public entities
Transversal

Ámbito TRANSVERSAL:
en donde se agrupan aquellas actuaciones que no requieren de un conocimiento propio en un ámbito en concreto.

Grafica ilustración
Relación entre los ámbitos de conocimiento que participan en cada capacidad.
Grafica ilustración
Relación entre los ámbitos de conocimiento que participan en cada capacidad.

Estos ámbitos pueden ayudar, sobre todo al principio, a estructurar los equipos de trabajo del SOC. De modo que se pueda empezar con tres equipos de trabajo diferenciados (Operaciones, Incidentes y Auditorías), aunque posteriormente y según vaya creciendo el SOC se vayan estructurando más por competencias.

Competencias en ciberseguridad

Para alcanzar las capacidades anteriormente identificadas, el SOC ha de desarrollar una serie de competencias que, posteriormente y en función del catálogo de servicios del Organismo, podrán formar parte un servicio específico o estar agrupadas bajo un servicio de nivel superior.

De prevención

  • Inspecciones Técnicas de Seguridad: las cuales podrán llevarse a cabo sobre la infraestructura en producción, y/o de manera previa integrada en el ciclo de vida del desarrollo del software, y/o en la puesta en marcha de nuevas infraestructuras (adquisiciones de impresoras, proyectores, termostatos...); podrán ser de “caja negra”, “caja blanca” o “caja gris”; podrán ser de código fuente (sin ejecutar) o de código en ejecución; ...
  • Análisis de vulnerabilidades automatizados.
  • Seguimiento a la publicación de vulnerabilidades tecnológicas que pudieran afectar al Organismo.
  • Gestión de vulnerabilidades: que podrá ser llevado a cabo con herramientas específicas (e.g. ANA), y que incluiría tanto el registro y seguimiento de las vulnerabilidades identificadas como el apoyo a la remediación de dichas vulnerabilidades.
  • Capacitación, del personal del Organismo, en técnicas de seguridad.
  • Concienciación, del personal del Organismo, respecto de los riesgos existentes.
  • Cibervigilancia o Vigilancia Digital, tanto en Internet como en la darkweb

De protección:

  • Protección del tráfico, ya sea perimetral o interno, mediante la gestión de cortafuegos, de los sistemas de detección y/o prevención de intrusiones...
  • Protección de la navegación, mediante la gestión de los “proxies”, “sinkholes” (DNS),...
  • Protección del correo, mediante la gestión de los sistemas “antispam”.
  • Protección de las aplicaciones web, mediante la gestión del WAF o la inspección TLS.
  • Protección del acceso remoto, mediante la gestión de las VPN o del acceso a los escritorios virtuales (VDI).
  • Protección de los puestos de trabajo y servidores (“endpoints”), mediante la gestión de las soluciones antivirus, EPP, EDR...
  • Protección de la fuga de documentación, mediante la gestión de las soluciones DLP, IRM...

De detección:

  • Registro de eventos o “logs”, mediante servidores centralizados.
  • Correlación de eventos, mediante sistemas SIEM. Con la posibilidad de generar reglas de detección de manera proactiva.
  • Monitorización de alertas, procedentes de múltiples orígenes como el SAT, SIEM, AntiDDoS de CORA...
  • Investigaciones avanzadas o “Threat hunting”, mediante soluciones como CARMEN, CLAUDIA, los EDR... y haciendo uso de informaciones compartidas como IoC o TTP (Mitre ATT&CK).

De respuesta:

  • Bloqueo centralizado de IoC.
  • Gestión de incidentes, incluyendo la gestión de evidencias, el análisis forense, la contención, mitigación y recuperación.
  • Análisis de código dañino o “malware”, también denominado “reversing”, con laboratorios o soluciones como ADA.
  • Intercambio de información mediante MISP, REYES, RNS...
  • Análisis y confirmación de vulnerabilidades bajo ataque.

De gestión:

  • Asesoramiento: Tanto a nivel interno dentro del SOC como en relación al resto del Organismo, en lo que respecta a diversos aspectos de ciberseguridad, incluyendo arquitecturas de seguridad, planificación e implementación de las mismas...
  • Implantación del ENS.
  • Desarrollo normativo.
  • Análisis de Riesgos.
  • Cumplimiento legal y normativo.
  • Información del Estado de la Seguridad (Cuadros de mando).

Cuadro resumen:

Cuadro resumen
Cuadro resumen

Puesta en marcha de un SOC

No todos los SOC tienen que disponer de los mismos servicios, cubriendo todas las capacidades y ámbitos, ni tener todas las competencias. Múltiples factores, a los que hay que añadir la madurez y los recursos disponibles obligarán a tomar una decisión en uno u otro sentido. La regla de entidad pequeña, SOC pequeño (o incluso no SOC, al estar cubierto por una entidad superior), entidad grande, SOC grande, debería ser la norma a seguir.

Los pasos a dar para poner en marcha un SOC con el apoyo del CCN-CERT serían los siguientes:

  1. Evaluar los sistemas a proteger y estado de la seguridad, para determinar la superficie de exposición del organismo. Para ello lo ideal es hacer una auditoria de los sistemas. Cuanto más completa sea la auditoría más información se tendrá de las vulnerabilidades y necesidades del organismo. En casos excepcionales, la auditoría podrá ser sustituida por entrevistas que proporcionen la información necesaria para la evaluación inicial. Los resultados de la auditoria se reasentarán en la herramienta ANA para favorecer el seguimiento de las vulnerabilidades detectadas y su corrección, además de obtener un inventario de sistemas para agilizar la notificación ante la aparición de nuevas vulnerabilidades. En otra faceta, la información obtenida sobre el estado de la seguridad del organismo se registrará en la herramienta INES para contribuir a la visión general del estado de la ciberseguridad a nivel nacional. Fruto de este trabajo inicial se podrá proporcionar al organismo una primera visión del estado de la seguridad del organismo, una primera aproximación de análisis de riesgos y un primer esbozo de plan de adecuación al ENS.
  2. Definir objetivos de vigilancia. En función del resultado de las auditorias y entrevistas se determinará qué se debe monitorizar y con qué tipo de herramientas.
  3. Definir qué caso de uso aplica a la entidad y que alertas pueden generar de valor
  4. Disponer de métricas de la superficie de exposición del organismo. Para ello se deberán desplegar herramientas específicas. Esta información es muy importante para saber qué vulnerabilidades tiene el organismo, pudiendo determinar y priorizar los servicios y equipos que requieren de atención.
  5. Apoyar el establecimiento de un EDR en todos los equipos de la organización para tener una base defensa común y fuente de telemetría para el resto de servicios del SOC
  6. Dar formación sobre la operación de un SOC.
  7. Apoyar en la redacción de pliegos para la contratación de servicios de ciberseguridad.

Aportación del CCN

Las solicitudes de colaboración con el CCN para el despliegue de un SOC por parte de un organismo público se pueden realizar por correo electrónico, a la cuenta Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo., o desde el apartado de contacto de esta web. Si fuese necesario para el organismo solicitante, se podría llegar a firmar un convenio de colaboración. No obstante, teniendo en cuenta la multitud de organismos públicos existentes, esta opción quedará restringida a casos excepcionales.

Contactar
Contactar

Adicionalmente, el CCN-CERT puede proporcionar un subconjunto del total de herramientas más comúnmente usadas en ciberseguridad.

  • Herramientas de Monitorización: son herramientas de distinto nivel de complejidad que sirven para que personal especializado pueda identificar eventos y alertas que requieren de atención.
    • Herramientas de administración de equipos de seguridad. Entran en este grupo las herramientas de administración centralizada de cortafuegos (firewall), proxys, pasarelas, antispam, etc. Pueden estar a cualquier nivel de SOC,s, deseable al más bajo posible.
    • Antivirus (EPP) o Endpoint Detection and Response (EDR): Es la primera línea de defensa y se instala en todos los dispositivos del organismo (ordenadores, servidores, teléfonos móviles, etc.). Debe ser atendida por el SOC de más bajo nivel. Además, es muy recomendable la instalación de la herramienta anti-ransomware del CCN-CERT, microCLAUDIA.
    • Sistema de detección de intrusiones (Intrusion Detection system-IDS) y Sistemas de Prevención de Intrusiones (Intrusion Prevention System-IPS). Son sistemas que se usan para detectar o prevenir intrusiones. Normalmente van asociados a un sistema SIEM. Por su coste y complejidad solo está justificado su despliegue en accesos a internet de un elevado número de usuarios y sistemas, por lo que se deberá desplegar en SOC,s de nivel medio-Alto. Ejemplo: Sonda SAT-INET.
    • Sistema de gestión de eventos e información de seguridad (SIEM-Security Information Event Management). Son sistemas complejos de instalar, gestionar y operar, que requieren de personal técnico muy especializado y cualificado. Por optimización de recursos se debe tender a usar en SOC,s de nivel alto-medio centralizando los eventos de SOC,s de nivel bajo, donde no sea viable por economía de recursos su despliegue. No tiene sentido escalar los eventos a varios SIEM ya que se duplicaría el trabajo. EL SIEM puede dar servicio a diversos organismos si así se agrupan en un SOC común. Finalmente, muy importante tener en cuenta que se corre el peligro de desbordamiento de logs de ese SIEM por lo que es muy importante el almacenamiento en base a casos de uso. Ejemplos: Cualquier SIEM incluido en el catálogo CPSTIC 105.
    • Sistemas para la detección de amenazas persistentes avanzadas (APT-Advanced Persistent Thread): Son herramientas muy sofisticadas que requieren de personal especializado y que se deben instalar en sistemas con información sensible. Solo son recomendables en entidades muy grandes, susceptibles de sufrir ataques esponsorizados por estados. Ejemplo CARMEN.
  • Herramientas de auditoría: sirven para analizar las vulnerabilidades de los equipos y sistemas y ser consciente de la superficie de exposición. Ante cualquier nueva amenaza se puede saber qué sistemas y servicios se pueden ver afectados. Todos los organismos deberían realizar auditorías en el periodo previo a la implantación del SOC. Ejemplo: ANA como repositorio de resultados de auditorías.
  • Herramienta propia de gestión del SOC: herramienta de ticketing para las incidencias de los sistemas de seguridad del día a día.
  • Herramientas para la comunicación de Incidentes de Seguridad. LUCIA para la comunicación y escalado de incidentes de ciberseguridad. Se empleará a todos los niveles. En última instancia el CCN-CERT podrá intervenir en la resolución del incidente.
  • Herramientas de Ciberinteligencia y análisis de amenazas, como REYES
  • Herramientas específicas de participación en la RNS: Según se detallan en el apartado de Infraestructura tecnológica