Sobre la RNS

El CCN-CERT tradicionalmente ha colaborado y colabora en varios SOC de diferente magnitud, ya sea a nivel de Ministerios, Diputaciones/Cabildos, o Entidades Locales, a los que se han venido a añadir últimamente Operadores de Servicios Esenciales. En esta dinámica surgió la necesidad de crear una herramienta que interconectara los SOC para que de manera fulminante se pudiera cortar cualquier intento sospechoso de ciberataque, incluso antes de determinar si consistía realmente en tal o no.

Posteriormente, a finales de 2020, la Comisión Europea lanzó su Estrategia de Ciberseguridad para la Década Digital, en la que adquiere un papel relevante una red europea de SOC,s, basada en herramientas de Inteligencia Artificial. La justificación de la Comisión viene de que Europa había sufrido una pandemia de ransomware y la red de CSIRT existente a nivel europeo no había sido capaz de pararla. Por tanto, se quería focalizar ahora la detección en los SOC.

Todo ello lleva al CCN-CERT a crear la Red Nacional de SOC, plataforma que integra los SOC de todos los organismos públicos de la Administración Española, junto con las entidades proveedoras que prestan dichos servicios de SOC y las entidades públicas que se benefician de los mismos.

Su objetivo principal es impulsar la capacidad de Protección de sus miembros mediante el bloqueo casi inmediato de cualquier indicio de actividad anómala que se esté detectando en cualquier punto de la Administración.

Entidades participantes

A la red Nacional de SOC podrán adherirse entidades de las siguientes categorías:

Entidades públicas

Entidades públicas

Organismos de la Administración Pública Española. Generalmente sus servicios de seguridad son prestados por proveedores contratados.

Entidades proveedoras

Entidades proveedoras

Empresas que, con personal propio, prestan sus servicios de ciberseguridad o de SOC (Implementación, Operación, Mantenimiento…) a alguna entidad de la Administración Pública Española.

Entidades invitadas

Entidades invitadas

Entidades que no cumplen los requisitos de las 2 anteriores categorías, pero a las que se quiere permitir el acceso a la información intercambiada en la RNS.

Las entidades públicas y los proveedores se relacionan entre sí por medio de los SOC, pudiéndose dar los siguientes escenarios:

SOC Privado

SOC privado, perteneciente a un Proveedor, que presta servicio a una o varias AAPP. Su responsable será, por tanto, una persona de la empresa. Y el nombre estará relacionado con dicha empresa. Ej. SOC EmpresaA

SOC Público

prestado por uno o varios Proveedores (o incluso con personal propio) y que cubre a una o varias AAPP. Su responsable será un empleado público. Y el nombre estará relacionado con la AAPP. Ej SOC MinisterioB.

Además, actualmente las entidades proveedoras pueden tener los siguientes niveles (en base a su participación):

icono gold Gold

Proveedores con un nivel alto de participación. Tendrán acceso inmediato a toda la información compartida y consolidada en la RNS.

icono Informado Informado

Proveedores con un nivel de participación normal. Tendrán acceso a la información compartida y consolidada en la RNS, pero con cierto retraso.

La participación se medirá a través de la información técnica compartida, que será valorada y puntuada en función de la naturaleza de la misma y su relevancia. Dado que se pretende utilizar la RNS como una herramienta que mejore la seguridad de la información de las Administraciones Públicas, desde estas mismas Administraciones se podrá impulsar progresivamente la adopción de esta categorización de “Gold” e “Informado” como valores diferenciadores a la hora de evaluar propuestas comerciales de proveedores que opten a contratos públicos.

Logotipo Entidad Tipo Nivel de participación
Accenture Proveedor icono informado Informado
Administración de la Comunidad de Castilla y León Público
Agència de Ciberseguretat de Catalunya Público
Agencia Estatal de Administración Tributaria Público
Aiuken Cybersecurity Proveedor icono Gold Gold
Ajuntament d'Alcoi Público
Ajuntament de Lleida Público
Ajuntament de Paterna Público
Ajuntament de València Público
Ajuntament de Vila-real Público
AndalucíaCERT, centro de seguridad TIC de la Junta de Andalucía Público
Ayuntamiento de A Coruña Público
Ayuntamiento de Albacete Público
Ayuntamiento de Alcorcón Público
Ayuntamiento de Alicante Público
Ayuntamiento de Almería Público
Ayuntamiento de Burgos Público
Ayuntamiento de Cáceres Público
Ayuntamiento de Córdoba Público
Ayuntamiento de Gandía Público
Ayuntamiento de Getafe Público
Ayuntamiento de Granada Público
Ayuntamiento de Huelva Público
Ayuntamiento de Ibiza / Ajuntament d'Eivissa Público
Ayuntamiento de Icod de los Vinos Público
Ayuntamiento de Jaén Público
Ayuntamiento de Logroño Público
Ayuntamiento de Málaga Público
Ayuntamiento de Molina de Segura Público
Ayuntamiento de Murcia Público
Ayuntamiento de Palencia Público
Ayuntamiento de Plasencia Público
Ayuntamiento de Santa Cruz de Tenerife Público
Ayuntamiento de San Vicente del Raspeig Público
Ayuntamiento de Valladolid Público
Ayuntamiento de Vigo Público
Ayuntamiento de Vitoria-Gasteiz / Vitoria-Gasteizko Udala Público
Banco de España Público
BE:SEC Proveedor icono Gold Gold
BeDisruptive Proveedor icono Informado Informado
Bullhost Proveedor icono Gold Gold
Cabildo de Tenerife Público
Casa de su Majestad el Rey Público
Cellnex Proveedor icono Gold Gold
Centro Ciberseguridad Ayuntamiento de Madrid (CCMAD) Público
Cipher a Prosegur company Proveedor icono Informado Informado
Ciudad Autónoma de Ceuta Público
Comisión Nacional de los Mercados y la Competencia (CNMC) Público
CSA Proveedor icono Gold Gold
Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-CV) Público
Concello de Ourense Público
CSIRT-SATEC Proveedor icono Gold Gold
Concello de Ponteareas Público
Deloitte Proveedor icono Gold Gold
Deputación de Lugo Público
Diputación de Albacete Público
Diputación de Alicante Público
Diputación de Almería Público
Diputación de Badajoz Público
Diputación de Castellón Público
Diputación de Granada Público
Diputación de Jaén Público
Diputación de Valladolid Público
Diputación Provincial de A Coruña Público
Diputación Provincial de Burgos Público
Diputación Provincial de Cádiz Público
Diputación Provincial de Huesca Público
Diputación Provincial de Málaga Público
Diputación Provincial de Palencia Público
Diputación Provincial de Segovia Público
Diputación de Valencia Público
Donostiako Udala / Ayuntamiento de San Sebastián Público
EJIE – Sociedad Informática del Gobierno Vasco Público
Enaire Público
Entelgy Innotec Security Proveedor icono Informado Informado
EDNON ENOC-CSIRT Proveedor icono informado Informado
ENUSA Industrias Avanzadas Público
ESPDEF-CERT – Mando Conjunto del Ciberespacio Público
esPublico Servicios para la Administración S.A. Proveedor icono Gold Gold
Evolutio Cloud Enabler S.A.U. Proveedor icono Gold Gold
EY Transforma Servicios de Consultoría Proveedor icono Informado Informado
Excmo. Ayuntamiento de Castro Urdiales Público
Excmo. Ayuntamiento de Fuenlabrada Público
Excmo. Ayuntamiento de Rivas Vaciamadrid Público
Excmo. Ayuntamiento de Utrera Público
Fábrica Nacional de Moneda y Timbre - Real Casa de la Moneda Público
FEGA, Fondo Español de Garantía Agraria Público
Fujitsu Technology Solutions S.A. Proveedor icono Informado Informado
Getronics Proveedor icono Informado Informado
Global Technology – CSIRT Proveedor icono Informado Informado
GMV Proveedor icono Gold Gold
Gobierno de Aragón Público
Gobierno de La Rioja Público
Google Cloud Proveedor icono Informado Informado
Grupo CIES Proveedor icono Gold Gold
Grupo ICA Sistemas y Seguridad Proveedor icono Gold Gold
Grupo Oesía Proveedor icono Gold Gold
Grupo S21Sec Gestión, S.A.U. Proveedor icono informado Informado
Hispasec Proveedor icono Gold Gold
Inetum España SA Proveedor icono Gold Gold
Ingenia – Babel Cybersecurity Proveedor icono Gold Gold
Innovaciones Tecnológicas del Sur, S.L. (INNOVASUR) Proveedor icono Gold Gold
Intec Proveedor icono informado Informado
Investigación y consulting, S.A. Proveedor icono informado Informado
IThinkUPC Proveedor icono Gold Gold
ITS by Ibermática Proveedor icono Informado Informado
Kyndryl España S.A. Proveedor icono Gold Gold
Light Eyes Proveedor icono Informado Informado
Madrid Digital Público
MAPFRE S.A. Proveedor icono Gold Gold
MNEMO Evolution & Integration Services, S.A. Proveedor icono Gold Gold
NTT DATA Spain Proveedor icono Gold Gold
OneCyber Proveedor icono Informado Informado
OneseQ Proveedor icono Gold Gold
PERSEUS Proveedor icono Gold Gold
Principado de Asturias Público
Redes System Proveedor icono Gold Gold
Región de Murcia Público
Renfe Operadora Público
RTVE Público
S2 Grupo Proveedor icono Gold Gold
Secretaria General de Administración Digital Público
Secure&IT Proveedor icono Informado Informado
SEGIPSA. Sociedad Mercantil Estatal de Gestión Inmobiliaria de Patrimonio, M.P.S.A. Público
SEIDOR-CSIRT Proveedor icono InformadoInformado
SERESCO Proveedor icono Informado Informado
Servicio de Salud de las Illes Balears Público
SIA, an Indra company Proveedor icono informado Informado
Sigma Gestión Universitaria, A.I.E (M.P) Público
SILME - Servei d'Informàtica Local de Menorca Público
Sirt Proveedor icono Informado Informado
SOC corporativo del Gobierno de Canarias Público
Sothis Proveedor icono Gold Gold
T-Systems Iberia Proveedor icono Gold Gold
Telefónica Tech Cyber Security & Cloud Proveedor icono Gold Gold
Transports Metropolitans de Barcelona (TMB) Público
Unitel Sistema de Comunicaciones de Castilla-La Mancha SLU Proveedor icono Gold Gold
Universidad Miguel Hernández Público
Universitat Politècnica de Catalunya Público
Versia Cyber Shield Proveedor icono Informado Informado
Wise Security Global Proveedor icono Gold Gold
Xunta de Galicia - Centro de respuesta a incidentes de seguridad de la información (CSIRT.gal) Público

Información a compartir

El principal activo de la Red Nacional de SOC son los indicadores de ataque o compromiso (IOA/IOC) de los incidentes que se puedan estar produciendo en el momento actual en alguna de las entidades miembro. Siempre bajo la premisa de “sólo compartir lo que yo mismo estoy ya bloqueando”. En concreto:

  • Direcciones IP de atacantes (o supuestos atacantes)
  • Dominios de sitios comprometidos (o supuestamente comprometidos)
  • URL específicas con contenido dañino
  • Firmas o Hashes de ficheros con contenido dañino
  • Direcciones de correo propagadoras de contenido dañino
  • Reglas de detección de amenazas, por comportamiento de red (reglas SNORT), por contenido dañino (reglas YARA) o por comportamiento monitorizado en los SIEM (reglas SIGMA).

No es objeto de la Red Nacional de SOC compartir información que pueda contener datos personales o de las víctimas. Ni informes o investigaciones genéricas sobre amenazas en el ciberespacio si éstas no se están materializando en alguno de los miembros. Respecto del primer punto, cada entidad tendrá que preocuparse de filtrar la información que considere oportuna. Y respecto del segundo, es en la solución REYES del CCN-CERT en donde se centraliza toda la información de ciberinteligencia.

Adicionalmente, a medida que se vaya desplegando la infraestructura tecnológica correspondiente, también se podrán compartir:

  • Reglas genéricas de detección y casos de uso
  • Listas negras con los IOC/IOC compartidos
  • Métricas e indicadores a utilizar en un SOC para mejorar su gestión
  • Listas blancas con ubicaciones legítimas
  • Vulnerabilidades
  • Alertas de los SIEM
  • ...

Infraestructura tecnológica

ElementLa integración de la red se materializa mediante el uso de herramientas colaborativas. En primer lugar, mediante una solución de mensajería instantánea (Element), tanto por parte de las entidades públicas que se benefician de los servicios del SOC, como por parte de las empresas que prestan sus servicios en el mismo. Dicha solución se utiliza tanto para propagar alertas sobre incidentes en curso (o indicios de posibles incidentes), como para compartir otro tipo de información de interés: informes de ciberseguridad, procedimientos operativos de los SOC, procedimientos administrativos o de contratación de servicios…

Element

MispOtra herramienta colaborativa es la de intercambio de información sobre amenazas (MISP), en donde registrar, centralizar y distribuir tanto Indicadores de Ataques (IOA) como los Indicadores de Compromiso (IOC). En modo lectura, para aquellas entidades públicas menos maduras que únicamente necesiten acceder en determinadas situaciones a los datos técnicos de una amenaza (por ejemplo, ante una alerta notificada a través de la solución de mensajería). O en modo integración, conectando directamente las propias herramientas de los SOC más maduros, de tal manera que se facilite la distribución de los indicadores a bloquear al resto de entidades.

Misp

A corto plazo se integrará en la RNS el despliegue federado existente de la herramienta de notificación de ciberincidentes LUCIA. De modo que se pueda utilizar como un indicador más tanto del compromiso del SOC con el resto de miembros como de la evolución de los ciberincidentes en el territorio nacional.

Y a medio plazo se irán integrando en la RNS otras soluciones: IRIS para la visualización en tiempo real del estado de la ciberseguridad en la RNS; ANA para poder generar desde la RNS un sistema de aviso ante la publicación de vulnerabilidades; los SIEM, para recopilar aquellas alertas críticas generadas por los SOC y que puedan servir de fuente de datos para correlar incidentes desde una perspectiva global.

Todo ello centralizado en esta página web, en donde desde el área privada se tendrá acceso no sólo a la información de pertenencia de la propia entidad sino a toda la información compartida. Así como las entidades también podrán compartir con el resto información interesante como: casos de uso, ejemplos de pliegos, indicadores de servicio para SOC, procedimientos…

Ejemplo de uso de dicha infraestructura:

Incidente crítico en Entidad con MISP: la entidad implicada comparte los IOA/IOC correspondientes en Element, anticipando lo que posteriormente estará en el MISP. En el caso de tener el evento ya en MISP podrá reflejar en el mensaje de Element el ID, para que la gente acceda al MISP a obtener la información.

Entidades sin MISP: reciben la información por Element y pueden actuar bloqueando. En caso de haberse compartido el ID de MISP, tendrán que acceder vía web al MISP para descargarse la información y bloquearla.

Entidades con MISP: reciben la información por Element, para estar en preaviso (y poder adelantar los bloqueos), pero pueden esperar a que la información se sincronice con su MISP.

Incidente no crítico en Entidad con MISP: la entidad dará de alta el incidente en el MISP, con su procedimiento habitual, sin necesidad de alertar por Element.

Entidades sin MISP: si no entran al MISP, no serán conscientes.

Entidades con MISP: su entidad se sincronizará y podrán actuar como habitualmente.

Incidente en Entidad sin MISP: la entidad podrá subir la información al MISP de la RNS a través de Element. Si dicha información pasa el proceso de valoración será compartida, a través de Element, con el resto de entidades así como a través del MISP.

Beneficios de participar

Para los proveedores con nivel “Gold”, el principal beneficio es el acceso a todos los IOC/IOA compartidos en la RNS desde un inicio. De modo que pueda trasladar la protección ante dichas amenazas a sus clientes de manera casi inmediata. E, indirectamente, un mejor posicionamiento frente a los procesos de contratación en los que se haya especificado como requisito pertenecer a la Red Nacional de SOC con dicho nivel.

Para el resto de proveedores, los beneficios son los mismos aunque demorados ligeramente en el tiempo.

Y para las entidades públicas, no sólo el acceso a los indicadores anteriormente mencionados, sino a un foro de compartición en donde pondrán intercambiar recomendaciones respecto a la gestión y dirección de los SOC. Como pudieran ser modelos de contratación, recomendaciones sobre proveedores, definición de indicadores para la medición de los servicios…

Adhesión y permanencia

Los requisitos para que un organismo pueda adherirse a la Red Nacional de SOC como entidad pública son:

  • Pertenecer al Sector Público en España
  • Disponer de servicios de ciberseguridad o de SOC
  • Aceptar el código ético y de conducta profesional de la RNS
  • Tener instalado y utilizar LUCIA (o estar en proceso de instalación)

Por su parte, los requisitos que han de cumplir las empresas para adherirse como Proveedores son:

  • Ser empresa (pública o privada)
  • Prestar servicios de ciberseguridad o de SOC al Sector Público
  • Aceptar el código ético y de conducta profesional de la RNS
  • Utilizar LUCIA para notificar incidentes al CCN-CERT en alguno de sus clientes (o estar en proceso de implantación)

Si se cumplen los requisitos enumerados anteriormente, el proceso de adhesión consiste en:

  • Solicitud por parte de la entidad: Rellenando el formulario de adhesión que se encuentra en la página web de la RNS, indicando si se es entidad pública o proveedor
  • Aprovisionamiento, por parte de la RNS, en las herramientas disponibles. Y notificación a la entidad de las credenciales correspondientes.
  • Confirmación de la adhesión y publicación de la membresía en la web

Una vez adheridas a la Red Nacional de SOC, las entidades han de cumplir las siguientes condiciones de permanencia, que serán revisadas de manera trimestral:

  • Seguir cumpliendo los requisitos de adhesión
  • Utilizar las herramientas a disposición de la RNS: acceder de manera continua a la solución de mensajería y estar al corriente de la información intercambiada; acceder puntualmente a la solución de intercambio para tener la capacidad de descargar la información técnica intercambiada; …
  • Adicionalmente, para las entidades proveedoras, compartir información técnica que sea novedosa y relevante. Por medio de las herramientas a disposición de la RNS, para que dicha información pueda ser valorada y puntuada correctamente.

Si las condiciones de permanencia no se cumplen se valorará la expulsión de la RNS.