Sobre la RNS
El CCN-CERT tradicionalmente ha colaborado y colabora en varios SOC de diferente magnitud, ya sea a nivel de Ministerios, Diputaciones/Cabildos, o Entidades Locales, a los que se han venido a añadir últimamente Operadores de Servicios Esenciales. En esta dinámica surgió la necesidad de crear una herramienta que interconectara los SOC para que de manera fulminante se pudiera cortar cualquier intento sospechoso de ciberataque, incluso antes de determinar si consistía realmente en tal o no.
Posteriormente, a finales de 2020, la Comisión Europea lanzó su Estrategia de Ciberseguridad para la Década Digital, en la que adquiere un papel relevante una red europea de SOC,s, basada en herramientas de Inteligencia Artificial. La justificación de la Comisión viene de que Europa había sufrido una pandemia de ransomware y la red de CSIRT existente a nivel europeo no había sido capaz de pararla. Por tanto, se quería focalizar ahora la detección en los SOC.
Todo ello lleva al CCN-CERT a crear la Red Nacional de SOC, plataforma que integra los SOC de todos los organismos públicos de la Administración Española, junto con las entidades proveedoras que prestan dichos servicios de SOC y las entidades públicas que se benefician de los mismos.
Su objetivo principal es impulsar la capacidad de Protección de sus miembros mediante el bloqueo casi inmediato de cualquier indicio de actividad anómala que se esté detectando en cualquier punto de la Administración.
Entidades participantes
A la red Nacional de SOC podrán adherirse entidades de las siguientes categorías:
Entidades públicas
Organismos de la Administración Pública Española. Generalmente sus servicios de seguridad son prestados por proveedores contratados.
Entidades proveedoras
Empresas que, con personal propio, prestan sus servicios de ciberseguridad o de SOC (Implementación, Operación, Mantenimiento…) a alguna entidad de la Administración Pública Española.
Entidades invitadas
Entidades que no cumplen los requisitos de las 2 anteriores categorías, pero a las que se quiere permitir el acceso a la información intercambiada en la RNS.
Las entidades públicas y los proveedores se relacionan entre sí por medio de los SOC, pudiéndose dar los siguientes escenarios:
SOC privado, perteneciente a un Proveedor, que presta servicio a una o varias AAPP. Su responsable será, por tanto, una persona de la empresa. Y el nombre estará relacionado con dicha empresa. Ej. SOC EmpresaA
prestado por uno o varios Proveedores (o incluso con personal propio) y que cubre a una o varias AAPP. Su responsable será un empleado público. Y el nombre estará relacionado con la AAPP. Ej SOC MinisterioB.
Además, actualmente las entidades proveedoras pueden tener los siguientes niveles (en base a su participación):

Proveedores con un nivel alto de participación. Tendrán acceso inmediato a toda la información compartida y consolidada en la RNS.

Proveedores con un nivel de participación normal. Tendrán acceso a la información compartida y consolidada en la RNS, pero con cierto retraso.
La participación se medirá a través de la información técnica compartida, que será valorada y puntuada en función de la naturaleza de la misma y su relevancia. Dado que se pretende utilizar la RNS como una herramienta que mejore la seguridad de la información de las Administraciones Públicas, desde estas mismas Administraciones se podrá impulsar progresivamente la adopción de esta categorización de “Gold” e “Informado” como valores diferenciadores a la hora de evaluar propuestas comerciales de proveedores que opten a contratos públicos.
Información a compartir
El principal activo de la Red Nacional de SOC son los indicadores de ataque o compromiso (IOA/IOC) de los incidentes que se puedan estar produciendo en el momento actual en alguna de las entidades miembro. Siempre bajo la premisa de “sólo compartir lo que yo mismo estoy ya bloqueando”. En concreto:
- Direcciones IP de atacantes (o supuestos atacantes)
- Dominios de sitios comprometidos (o supuestamente comprometidos)
- URL específicas con contenido dañino
- Firmas o Hashes de ficheros con contenido dañino
- Direcciones de correo propagadoras de contenido dañino
- Reglas de detección de amenazas, por comportamiento de red (reglas SNORT), por contenido dañino (reglas YARA) o por comportamiento monitorizado en los SIEM (reglas SIGMA).
No es objeto de la Red Nacional de SOC compartir información que pueda contener datos personales o de las víctimas. Ni informes o investigaciones genéricas sobre amenazas en el ciberespacio si éstas no se están materializando en alguno de los miembros. Respecto del primer punto, cada entidad tendrá que preocuparse de filtrar la información que considere oportuna. Y respecto del segundo, es en la solución REYES del CCN-CERT en donde se centraliza toda la información de ciberinteligencia.
Adicionalmente, a medida que se vaya desplegando la infraestructura tecnológica correspondiente, también se podrán compartir:
- Reglas genéricas de detección y casos de uso
- Listas negras con los IOC/IOC compartidos
- Métricas e indicadores a utilizar en un SOC para mejorar su gestión
- Listas blancas con ubicaciones legítimas
- Vulnerabilidades
- Alertas de los SIEM
- ...
Infraestructura tecnológica
La integración de la red se materializa mediante el uso de herramientas colaborativas. En primer lugar, mediante una solución de mensajería instantánea (Element), tanto por parte de las entidades públicas que se benefician de los servicios del SOC, como por parte de las empresas que prestan sus servicios en el mismo. Dicha solución se utiliza tanto para propagar alertas sobre incidentes en curso (o indicios de posibles incidentes), como para compartir otro tipo de información de interés: informes de ciberseguridad, procedimientos operativos de los SOC, procedimientos administrativos o de contratación de servicios…

Otra herramienta colaborativa es la de intercambio de información sobre amenazas (MISP), en donde registrar, centralizar y distribuir tanto Indicadores de Ataques (IOA) como los Indicadores de Compromiso (IOC). En modo lectura, para aquellas entidades públicas menos maduras que únicamente necesiten acceder en determinadas situaciones a los datos técnicos de una amenaza (por ejemplo, ante una alerta notificada a través de la solución de mensajería). O en modo integración, conectando directamente las propias herramientas de los SOC más maduros, de tal manera que se facilite la distribución de los indicadores a bloquear al resto de entidades.

A corto plazo se integrará en la RNS el despliegue federado existente de la herramienta de notificación de ciberincidentes LUCIA. De modo que se pueda utilizar como un indicador más tanto del compromiso del SOC con el resto de miembros como de la evolución de los ciberincidentes en el territorio nacional.
Y a medio plazo se irán integrando en la RNS otras soluciones: IRIS para la visualización en tiempo real del estado de la ciberseguridad en la RNS; ANA para poder generar desde la RNS un sistema de aviso ante la publicación de vulnerabilidades; los SIEM, para recopilar aquellas alertas críticas generadas por los SOC y que puedan servir de fuente de datos para correlar incidentes desde una perspectiva global.
Todo ello centralizado en esta página web, en donde desde el área privada se tendrá acceso no sólo a la información de pertenencia de la propia entidad sino a toda la información compartida. Así como las entidades también podrán compartir con el resto información interesante como: casos de uso, ejemplos de pliegos, indicadores de servicio para SOC, procedimientos…
Ejemplo de uso de dicha infraestructura:
Incidente crítico en Entidad con MISP: la entidad implicada comparte los IOA/IOC correspondientes en Element, anticipando lo que posteriormente estará en el MISP. En el caso de tener el evento ya en MISP podrá reflejar en el mensaje de Element el ID, para que la gente acceda al MISP a obtener la información.
Entidades sin MISP: reciben la información por Element y pueden actuar bloqueando. En caso de haberse compartido el ID de MISP, tendrán que acceder vía web al MISP para descargarse la información y bloquearla.
Entidades con MISP: reciben la información por Element, para estar en preaviso (y poder adelantar los bloqueos), pero pueden esperar a que la información se sincronice con su MISP.
Incidente no crítico en Entidad con MISP: la entidad dará de alta el incidente en el MISP, con su procedimiento habitual, sin necesidad de alertar por Element.
Entidades sin MISP: si no entran al MISP, no serán conscientes.
Entidades con MISP: su entidad se sincronizará y podrán actuar como habitualmente.
Incidente en Entidad sin MISP: la entidad podrá subir la información al MISP de la RNS a través de Element. Si dicha información pasa el proceso de valoración será compartida, a través de Element, con el resto de entidades así como a través del MISP.
Beneficios de participar
Para los proveedores con nivel “Gold”, el principal beneficio es el acceso a todos los IOC/IOA compartidos en la RNS desde un inicio. De modo que pueda trasladar la protección ante dichas amenazas a sus clientes de manera casi inmediata. E, indirectamente, un mejor posicionamiento frente a los procesos de contratación en los que se haya especificado como requisito pertenecer a la Red Nacional de SOC con dicho nivel.
Para el resto de proveedores, los beneficios son los mismos aunque demorados ligeramente en el tiempo.
Y para las entidades públicas, no sólo el acceso a los indicadores anteriormente mencionados, sino a un foro de compartición en donde pondrán intercambiar recomendaciones respecto a la gestión y dirección de los SOC. Como pudieran ser modelos de contratación, recomendaciones sobre proveedores, definición de indicadores para la medición de los servicios…
Adhesión y permanencia
Los requisitos para que un organismo pueda adherirse a la Red Nacional de SOC como entidad pública son:
- Pertenecer al Sector Público en España
- Disponer de servicios de ciberseguridad o de SOC
- Aceptar el código ético y de conducta profesional de la RNS
- Tener instalado y utilizar LUCIA (o estar en proceso de instalación)
Por su parte, los requisitos que han de cumplir las empresas para adherirse como Proveedores son:
- Ser empresa (pública o privada)
- Prestar servicios de ciberseguridad o de SOC al Sector Público
- Aceptar el código ético y de conducta profesional de la RNS
- Utilizar LUCIA para notificar incidentes al CCN-CERT en alguno de sus clientes (o estar en proceso de implantación)
Si se cumplen los requisitos enumerados anteriormente, el proceso de adhesión consiste en:
- Solicitud por parte de la entidad: Rellenando el formulario de adhesión que se encuentra en la página web de la RNS, indicando si se es entidad pública o proveedor
- Aprovisionamiento, por parte de la RNS, en las herramientas disponibles. Y notificación a la entidad de las credenciales correspondientes.
- Confirmación de la adhesión y publicación de la membresía en la web
Una vez adheridas a la Red Nacional de SOC, las entidades han de cumplir las siguientes condiciones de permanencia, que serán revisadas de manera trimestral:
- Seguir cumpliendo los requisitos de adhesión
- Utilizar las herramientas a disposición de la RNS: acceder de manera continua a la solución de mensajería y estar al corriente de la información intercambiada; acceder puntualmente a la solución de intercambio para tener la capacidad de descargar la información técnica intercambiada; …
- Adicionalmente, para las entidades proveedoras, compartir información técnica que sea novedosa y relevante. Por medio de las herramientas a disposición de la RNS, para que dicha información pueda ser valorada y puntuada correctamente.
Si las condiciones de permanencia no se cumplen se valorará la expulsión de la RNS.