Sobre la Red Nacional de SOC

Sobre la RNS

El CCN-CERT tradicionalmente ha colaborado y colabora en varios SOC de diferente magnitud, ya sea a nivel de Ministerios, Diputaciones/Cabildos, o Entidades Locales, a los que se han venido a añadir últimamente Operadores de Servicios Esenciales. En esta dinámica surgió la necesidad de crear una herramienta que interconectara los SOC para que de manera fulminante se pudiera cortar cualquier intento sospechoso de ciberataque, incluso antes de determinar si consistía realmente en tal o no.

Posteriormente, a finales de 2020, la Comisión Europea lanzó su Estrategia de Ciberseguridad para la Década Digital, en la que adquiere un papel relevante una red europea de SOC,s, basada en herramientas de Inteligencia Artificial. La justificación de la Comisión viene de que Europa había sufrido una pandemia de ransomware y la red de CSIRT existente a nivel europeo no había sido capaz de pararla. Por tanto, se quería focalizar ahora la detección en los SOC.

Todo ello lleva al CCN-CERT a crear la Red Nacional de SOC, plataforma que integra los SOC de todos los organismos públicos de la Administración Española, junto con las entidades proveedoras que prestan dichos servicios de SOC y las entidades públicas que se benefician de los mismos.

Su objetivo principal es impulsar la capacidad de Protección de sus miembros mediante el bloqueo casi inmediato de cualquier indicio de actividad anómala que se esté detectando en cualquier punto de la Administración.

Entidades participantes

A la red Nacional de SOC podrán adherirse entidades de las siguientes categorías:

Entidades públicas

Organismos de la Administración Pública Española. Generalmente sus servicios de seguridad son prestados por proveedores contratados.

Entidades proveedoras

Empresas que, con personal propio, prestan sus servicios de ciberseguridad o de SOC (Implementación, Operación, Mantenimiento…) a alguna entidad de la Administración Pública Española.

Entidades invitadas

Entidades que no cumplen los requisitos de las 2 anteriores categorías, pero a las que se quiere permitir el acceso a la información intercambiada en la RNS.

Las entidades públicas y los proveedores se relacionan entre sí por medio de los SOC, pudiéndose dar los siguientes escenarios:

SOC Privado

SOC privado, perteneciente a un Proveedor, que presta servicio a una o varias AAPP. Su responsable será, por tanto, una persona de la empresa. Y el nombre estará relacionado con dicha empresa. Ej. SOC EmpresaA

SOC Público

prestado por uno o varios Proveedores (o incluso con personal propio) y que cubre a una o varias AAPP. Su responsable será un empleado público. Y el nombre estará relacionado con la AAPP. Ej SOC MinisterioB.

Además, actualmente las entidades proveedoras pueden tener los siguientes niveles (en base a su participación):

Gold

Proveedores con un nivel alto de participación. Tendrán acceso inmediato a toda la información compartida y consolidada en la RNS.

Informado

Proveedores con un nivel de participación normal. Tendrán acceso a la información compartida y consolidada en la RNS, pero con cierto retraso.

La participación se medirá a través de la información técnica compartida, que será valorada y puntuada en función de la naturaleza de la misma y su relevancia. Dado que se pretende utilizar la RNS como una herramienta que mejore la seguridad de la información de las Administraciones Públicas, desde estas mismas Administraciones se podrá impulsar progresivamente la adopción de esta categorización de “Gold” e “Informado” como valores diferenciadores a la hora de evaluar propuestas comerciales de proveedores que opten a contratos públicos.


Logotipo	Entidad	Tipo	Nivel de participación
	Accenture	Privado	Gold
	Administración de la Comunidad de Castilla y León	Público
	Agència de Ciberseguretat de Catalunya	Público
	Agencia Estatal de Administración Tributaria	Público
	Aiuken Cybersecurity	Privado	Informado
	Ajuntament d'Alcoi	Público
	Ajuntament de Lleida	Público
	Ajuntament de Paterna	Público
	Ajuntament de València	Público
	Ajuntament de Vila-real	Público
	AndalucíaCERT, centro de seguridad TIC de la Junta de Andalucía	Público
	Ayuntamiento de A Coruña	Público
	Ayuntamiento de Albacete	Público
	Ayuntamiento de Alicante	Público
	Ayuntamiento de Almería	Público
	Ayuntamiento de Burgos	Público
	Ayuntamiento de Cáceres	Público
	Ayuntamiento de Córdoba	Público
	Ayuntamiento de Gandía	Público
	Ayuntamiento de Getafe	Público
	Ayuntamiento de Granada	Público
	Ayuntamiento de Huelva	Público
	Ayuntamiento de Ibiza / Ajuntament d'Eivissa	Público
	Ayuntamiento de Icod de los Vinos	Público
	Ayuntamiento de Jaén	Público
	Ayuntamiento de Logroño	Público
	Ayuntamiento de Málaga	Público
	Ayuntamiento de Molina de Segura	Público
	Ayuntamiento de Murcia	Público
	Ayuntamiento de Palencia	Público
	Ayuntamiento de Plasencia	Público
	Ayuntamiento de Santa Cruz de Tenerife	Público
	Ayuntamiento de San Vicente del Raspeig	Público
	Ayuntamiento de Valladolid	Público
	Ayuntamiento de Vitoria-Gasteiz / Vitoria-Gasteizko Udala	Público
	Banco de España	Público
	BE:SEC	Privado	Gold
	BeDisruptive	Privado	Informado
	Bullhost	Privado	Gold
	Cabildo de Tenerife	Público
	Casa de su Majestad el Rey	Público
	Cellnex	Privado	Gold
	Centro Ciberseguridad Ayuntamiento de Madrid (CCMAD)	Público
	Cipher a Prosegur company	Privado	Informado
	Ciudad Autónoma de Ceuta	Público
	Comisión Nacional de los Mercados y la Competencia (CNMC)	Público
	CSA	Privado	Gold
	Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-CV)	Público
	Concello de Ourense	Público
	CSIRT-SATEC	Privado	Informado
	Concello de Ponteareas	Público
	Deloitte	Privado	Informado
	Deputación de Lugo	Público
	Diputación de Albacete	Público
	Diputación de Alicante	Público
	Diputación de Almería	Público
	Diputación de Badajoz	Público
	Diputación de Castellón	Público
	Diputación de Granada	Público
	Diputación de Jaén	Público
	Diputación de Valladolid	Público
	Diputación Provincial de A Coruña	Público
	Diputación Provincial de Burgos	Público
	Diputación Provincial de Cádiz	Público
	Diputación Provincial de Huesca	Público
	Diputación Provincial de Málaga	Público
	Diputación Provincial de Palencia	Público
	Diputación Provincial de Segovia	Público
	Diputación de Valencia	Público
	Donostiako Udala / Ayuntamiento de San Sebastián	Público
	EJIE – Sociedad Informática del Gobierno Vasco	Público
	Entelgy Innotec Security	Privado	Gold
	EDNON ENOC-CSIRT	Privado	Gold
	ENUSA Industrias Avanzadas	Público
	ESPDEF-CERT – Mando Conjunto del Ciberespacio	Público
	esPublico Servicios para la Administración S.A.	Privado	Gold
	Evolutio Cloud Enabler S.A.U.	Privado	Informado
	EY Transforma Servicios de Consultoría	Privado	Informado
	Excmo. Ayuntamiento de Castro Urdiales	Público
	Excmo. Ayuntamiento de Rivas Vaciamadrid	Público
	Excmo. Ayuntamiento de Utrera	Público
	Fábrica Nacional de Moneda y Timbre - Real Casa de la Moneda	Público
	FEGA, Fondo Español de Garantía Agraria	Público
	Global Technology – CSIRT	Privado	Gold
	GMV	Privado	Gold
	Gobierno de Aragón	Público
	Gobierno de La Rioja	Público
	Google Cloud	Privado	Informado
	Grupo CIES	Privado	Gold
	Grupo ICA Sistemas y Seguridad	Privado	Gold
	Grupo Oesía	Privado	Gold
	Grupo S21Sec Gestión, S.A.U.	Privado	Informado
	Hispasec	Privado	Informado
	Inetum España SA	Privado	Gold
	Ingenia – Babel Cybersecurity	Privado	Gold
	Innovaciones Tecnológicas del Sur, S.L. (INNOVASUR)	Privado	Gold
	Intec	Privado	Informado
	Investigación y consulting, S.A.	Privado	Gold
	IThinkUPC	Privado	Informado
	ITS by Ibermática	Privado	Gold
	Kyndryl España S.A.	Privado	Informado
	Madrid Digital	Público
	MAPFRE S.A.	Privado	Gold
	MNEMO Evolution & Integration Services, S.A.	Privado	Gold
	NTT DATA Spain	Privado	Gold
	OneCyber	Privado	Gold
	OneseQ	Privado	Gold
	PERSEUS	Privado	Gold
	Principado de Asturias	Público
	Redes System	Privado	Informado
	Región de Murcia	Público
	Renfe Operadora	Público
	RTVE	Público
	S2 Grupo	Privado	Gold
	Secretaria General de Administración Digital	Público
	Secure&IT	Privado	Informado
	SEGIPSA. Sociedad Mercantil Estatal de Gestión Inmobiliaria de Patrimonio, M.P.S.A.	Público
	SEIDOR-CSIRT	Privado	Gold
	SERESCO	Privado	Gold
	Servicio de Salud de las Illes Balears	Público
	SIA, an Indra company	Privado	Informado
	Sigma Gestión Universitaria, A.I.E (M.P)	Público
	SILME - Servei d'Informàtica Local de Menorca	Público
	SOC corporativo del Gobierno de Canarias	Público
	Sothis	Privado	Gold
	T-Systems Iberia	Privado	Gold
	Telefónica Tech Cyber Security & Cloud	Privado	Gold
	Transports Metropolitans de Barcelona (TMB)	Público
	Unitel Sistema de Comunicaciones de Castilla-La Mancha SLU	Privado	Informado
	Universidad Miguel Hernández	Público
	Universitat Politècnica de Catalunya	Público
	Versia Cyber Shield	Privado	Informado
	Wise Security Global	Privado	Gold
	Xunta de Galicia - Centro de respuesta a incidentes de seguridad de la información (CSIRT.gal)	Público

Información a compartir

El principal activo de la Red Nacional de SOC es la información compartida relativa a los indicadores de ataques o compromisos (IOA/IOC) que se puedan estar produciendo en el momento actual en alguna de las entidades miembro. De manera que se puedan bloquear. En concreto:

Direcciones IP de atacantes (o supuestos atacantes)
Dominios de sitios comprometidos (o supuestamente comprometidos)
URL específicas con contenido dañino
Firmas o Hashes de ficheros con contenido dañino
Direcciones de correo propagadoras de contenido dañino
Reglas de detección de amenazas, por comportamiento de red (reglas SNORT), por contenido dañino (reglas YARA) o por comportamiento monitorizado en los SIEM (reglas SIGMA).

No es objeto de la Red Nacional de SOC compartir información que pueda contener datos personales o de las víctimas. Ni informes o investigaciones genéricas sobre amenazas en el ciberespacio si éstas no se están materializando en alguno de los miembros. Respecto del primer punto, cada entidad tendrá que preocuparse de filtrar la información que considere oportuna. Y respecto del segundo, es en la solución REYES del CCN-CERT en donde se centraliza toda la información de ciberinteligencia.

Adicionalmente, a medida que se vaya desplegando la infraestructura tecnológica correspondiente, también se podrán compartir:

Reglas genéricas de detección y casos de uso
Listas negras con los IOC/IOC compartidos
Métricas e indicadores a utilizar en un SOC para mejorar su gestión
Listas blancas con ubicaciones legítimas
Vulnerabilidades
Alertas de los SIEM
...

Infraestructura tecnológica

La integración de la red se materializa mediante el uso de herramientas colaborativas. En primer lugar, mediante una solución de mensajería instantánea (Element), tanto por parte de las entidades públicas que se benefician de los servicios del SOC, como por parte de las empresas que prestan sus servicios en el mismo. Dicha solución se utiliza tanto para propagar alertas sobre incidentes en curso (o indicios de posibles incidentes), como para compartir otro tipo de información de interés: informes de ciberseguridad, procedimientos operativos de los SOC, procedimientos administrativos o de contratación de servicios…

Otra herramienta colaborativa es la de intercambio de información sobre amenazas (MISP), en donde registrar, centralizar y distribuir tanto Indicadores de Ataques (IOA) como los Indicadores de Compromiso (IOC). En modo lectura, para aquellas entidades públicas menos maduras que únicamente necesiten acceder en determinadas situaciones a los datos técnicos de una amenaza (por ejemplo, ante una alerta notificada a través de la solución de mensajería). O en modo integración, conectando directamente las propias herramientas de los SOC más maduros, de tal manera que se facilite la distribución de los indicadores a bloquear al resto de entidades.

A corto plazo se integrará en la RNS el despliegue federado existente de la herramienta de notificación de ciberincidentes LUCIA. De modo que se pueda utilizar como un indicador más tanto del compromiso del SOC con el resto de miembros como de la evolución de los ciberincidentes en el territorio nacional.

Y a medio plazo se irán integrando en la RNS otras soluciones: IRIS para la visualización en tiempo real del estado de la ciberseguridad en la RNS; ANA para poder generar desde la RNS un sistema de aviso ante la publicación de vulnerabilidades; los SIEM, para recopilar aquellas alertas críticas generadas por los SOC y que puedan servir de fuente de datos para correlar incidentes desde una perspectiva global.

Todo ello centralizado en esta página web, en donde desde el área privada se tendrá acceso no sólo a la información de pertenencia de la propia entidad sino a toda la información compartida. Así como las entidades también podrán compartir con el resto información interesante como: casos de uso, ejemplos de pliegos, indicadores de servicio para SOC, procedimientos…

Ejemplo de uso de dicha infraestructura:

Incidente crítico en Entidad con MISP: la entidad implicada comparte los IOA/IOC correspondientes en Element, anticipando lo que posteriormente estará en el MISP. En el caso de tener el evento ya en MISP podrá reflejar en el mensaje de Element el ID, para que la gente acceda al MISP a obtener la información.

Entidades sin MISP: reciben la información por Element y pueden actuar bloqueando. En caso de haberse compartido el ID de MISP, tendrán que acceder vía web al MISP para descargarse la información y bloquearla.

Entidades con MISP: reciben la información por Element, para estar en preaviso (y poder adelantar los bloqueos), pero pueden esperar a que la información se sincronice con su MISP.

Incidente no crítico en Entidad con MISP: la entidad dará de alta el incidente en el MISP, con su procedimiento habitual, sin necesidad de alertar por Element.

Entidades sin MISP: si no entran al MISP, no serán conscientes.

Entidades con MISP: su entidad se sincronizará y podrán actuar como habitualmente.

Incidente en Entidad sin MISP: la entidad podrá subir la información al MISP de la RNS a través de Element. Si dicha información pasa el proceso de valoración será compartida, a través de Element, con el resto de entidades así como a través del MISP.

Beneficios de participar

Para los proveedores con nivel “Gold”, el principal beneficio es el acceso a todos los IOC/IOA compartidos en la RNS desde un inicio. De modo que pueda trasladar la protección ante dichas amenazas a sus clientes de manera casi inmediata. E, indirectamente, un mejor posicionamiento frente a los procesos de contratación en los que se haya especificado como requisito pertenecer a la Red Nacional de SOC con dicho nivel.

Para el resto de proveedores, los beneficios son los mismos aunque demorados ligeramente en el tiempo.

Y para las entidades públicas, no sólo el acceso a los indicadores anteriormente mencionados, sino a un foro de compartición en donde pondrán intercambiar recomendaciones respecto a la gestión y dirección de los SOC. Como pudieran ser modelos de contratación, recomendaciones sobre proveedores, definición de indicadores para la medición de los servicios…

Adhesión y permanencia

Los requisitos para que un organismo pueda adherirse a la Red Nacional de SOC como entidad pública son:

Pertenecer al Sector Público en España
Disponer de servicios de ciberseguridad o de SOC
Aceptar el código ético y de conducta profesional de la RNS
Tener instalado y utilizar LUCIA (o estar en proceso de instalación)

Por su parte, los requisitos que han de cumplir las empresas para adherirse como Proveedores son:

Ser empresa (pública o privada)
Prestar servicios de ciberseguridad o de SOC al Sector Público
Aceptar el código ético y de conducta profesional de la RNS
Utilizar LUCIA para notificar incidentes al CCN-CERT en alguno de sus clientes (o estar en proceso de implantación)

Si se cumplen los requisitos enumerados anteriormente, el proceso de adhesión consiste en:

Solicitud por parte de la entidad: Rellenando el formulario de adhesión que se encuentra en la página web de la RNS, indicando si se es entidad pública o proveedor
Aprovisionamiento, por parte de la RNS, en las herramientas disponibles. Y notificación a la entidad de las credenciales correspondientes.
Confirmación de la adhesión y publicación de la membresía en la web

Una vez adheridas a la Red Nacional de SOC, las entidades han de cumplir las siguientes condiciones de permanencia, que serán revisadas de manera trimestral:

Seguir cumpliendo los requisitos de adhesión
Utilizar las herramientas a disposición de la RNS: acceder de manera continua a la solución de mensajería y estar al corriente de la información intercambiada; acceder puntualmente a la solución de intercambio para tener la capacidad de descargar la información técnica intercambiada; …
Adicionalmente, para las entidades proveedoras, compartir información técnica que sea novedosa y relevante. Por medio de las herramientas a disposición de la RNS, para que dicha información pueda ser valorada y puntuada correctamente.

Si las condiciones de permanencia no se cumplen se valorará la expulsión de la RNS.