Sobre los SOC

El CCN entiende que un Centro de Operaciones de Ciberseguridad (COS/SOC) es una estructura organizativa que incluye un conjunto de tecnologías, procesos y personas que a través de su interrelación, cooperación y coordinación brindan de servicios de ciberseguridad a su comunidad.

Su misión es actuar como medida principal para la protección de la ciberseguridad de la propia comunidad. Pudiendo ser dicha comunidad de diversa índole, desde organismos tanto públicos como privados, hasta individuales o colectivos. Su institucionalización es decisión del organismo que lo promueve y su reconocimiento se obtiene por la participación en diferentes foros de intercambio.

Los servicios de ciberseguridad que pueden prestar son:

Prevención
Servicio de Prevención

Para ampliar el conocimiento respecto de sus vulnerabilidades, tanto técnicas como humanas, para reducir la superficie de exposición.

Protección
Servicio de Protección

Para aplicar medidas de bloqueo, en diferentes puntos de la infraestructura, para impedir o limitar los ciberataques.

Public entities
Servicio de Detección

Para observar todo lo que ocurre en la organización, para buscar las amenazas existentes.

Respuesta
Servicio de Respuesta

Para actuar ante los ciberincidentes, para minimizar el impacto sobre la Organización.

Security
Servicio de Gestión de la Ciberseguridad

Para establecer el rumbo del resto de servicios, para desempeñar una correcta gobernanza.

Una mención especial merecen los SOC gubernamentales, que prestan estos servicios a una o varias instituciones públicas de un país, actuando como componente fundamental de la capacidad nacional de prevención, protección, detección, coordinación y respuesta ante ciberincidentes. En estos casos la institucionalización viene impulsada y patrocinada por una institución pública con competencias en materia de seguridad nacional.

Detalle de los servicios

Los servicios de ciberseguridad anteriormente mencionados se dividen en los siguientes subservicios:

Servicio de Prevención:

  • Análisis de vulnerabilidades: Servicio enfocado en el escaneado automatizado de activos de la organización, para la identificación de vulnerabilidades existentes en los elementos constituyentes de sus sistemas de información y seguridad.
  • Inspecciones técnicas de seguridad y test de intrusión (Hacking ético): Se trata de una auditoría técnica enfocada en identificar fallas de seguridad y vulnerabilidades explotables en los sistemas de información y el ecosistema tecnológico que lo soporta de un organismo. Estas técnicas tienden a simular la actividad de un potencial atacante y cómo este podría terminar comprometiendo al organismo.
  • Vigilancia digital: Servicio enfocado en la detección temprana de amenazas externas en fuentes abiertas, Internet, Deep y Dark Web. Algunos ejemplos de alcance son: alerta temprana de tendencias y vulnerabilidades, uso ilícito de marca, phishing, suplantación de identidad, fuga o robo de información y/o credenciales, reputación, redes sociales, seguimiento de VIPs, entre otros.

Servicio de Protección:

  • Operación de ciberseguridad: Servicio enfocado en el suministro, implantación, administración, operación y/o mantenimiento de los distintos elementos que conforman la infraestructura de seguridad de una organización, cuyo objetivo es la protección de seguridad para redes y endpoints. Algunas de las herramientas o tecnologías que pueden ser objeto del servicio son: EDR, Firewall, IPS/IDS, Proxy, DNS, AV, CASB, DLP, IRM, NAC, WAF, CMDB, etc. El servicio debe velar por el correcto funcionamiento, configuración y disponibilidad de dichas tecnologías.

Servicio de Detección:

  • Monitorización de seguridad: Servicio enfocado en la identificación, análisis y notificación de forma continua de posibles amenazas de seguridad, velando por la detección proactiva y reactiva ante incidentes de seguridad.
  • Threat Hunting (caza de amenazas): Servicio enfocado en la caza de amenazas o búsqueda proactiva de amenazas de seguridad, permitiendo la identificación de anomalías y posibles incidentes de seguridad que los procesos tradicionales o pasivos no son capaces de identificar.
  • Inteligencia de amenazas: Servicio enfocado en la obtención de información para generar inteligencia sobre amenazas avanzadas de tal forma que ayude a la gestión de la ciberseguridad, la mejora continua y la toma de decisiones de las organizaciones.

Servicio de Respuesta:

  • Incident Response Team (IRT): Consiste en un servicio experto que es activado ante la confirmación de la materialización de un incidente de seguridad, permitiendo su análisis forense, contención, mitigación, recuperación y post-incidente o lecciones aprendidas. Debe disponerse de Procedimientos de Respuesta ante Incidentes y Playbooks de actuación relativos a distintas tipologías de amenazas y personalizados a la entidad u organismo que recibe el servicio.

Servicio de Gestión de la ciberseguridad:

  • Coordinación y estrategia de ciberseguridad: Consiste en gestionar, hacer seguimiento y asesorar en lo que respecta a diversos aspectos de ciberseguridad, incluyendo estrategia de ciberseguridad a corto, medio y largo plazo, gestión y seguimiento de los servicios provistos o subcontratados, arquitecturas de seguridad e implantación, documentación y procedimientos asociados, mantenimientos, así como la planificación e implementación de la misma.
  • Cumplimiento legal y normativo: Consiste en la adaptación a normativa vigente en ciberseguridad.
  • Cuadros de mando: Debe existir un cuadro de mando que centralice la información que los SSG generan, para dar una visión completa del estado de la seguridad de cada entidad.

Implantación

A la hora de implantar un Centro de Operaciones de Seguridad (SOC) en una organización, es fundamental comenzar estableciendo el Servicio de Gestión de la Ciberseguridad, que actúa como capa estratégica y transversal. Este servicio permite definir la estrategia de ciberseguridad, los objetivos, el modelo de gobierno, así como los mecanismos de gestión, seguimiento y mejora continua del SOC.

Una vez establecida esta base, se recomienda implantar el Servicio de Detección, que constituye la esencia operativa del SOC: la identificación, análisis y notificación de amenazas e incidentes de seguridad. Para ello, se recopila información relevante de múltiples fuentes, que posteriormente es analizada con el fin de detectar usos no autorizados o comportamientos anómalos. Este servicio se estructura de forma vertical en los subservicios definidos en la CCN-STIC 896 (enumerados más arriba), y de forma horizontal atendiendo a los niveles estratégico, operacional y táctico(1).

Para su correcta implantación, pueden seguirse los siguientes pasos(2):

  1. Planificación: identificación de la información relevante, definición de fuentes, procesamiento previsto, alertas a generar y modelo de respuesta.
  2. Adquisición: configuración priorizada de las fuentes de información (principalmente perímetro y endpoint).
  3. Procesamiento: normalización y almacenamiento de los datos en plataformas SIEM/XDR conforme a las políticas establecidas.
  4. Análisis: análisis automático y manual, incluyendo actividades de Threat Hunting, cuyo resultado podrá generar nuevas alertas o casos de uso.
  5. Gestión de alertas: registro y seguimiento de actividades sospechosas mediante herramientas de ticketing.
  6. Respuesta: ejecución de procedimientos automáticos o manuales en función de la naturaleza y criticidad de la alerta.
  7. Retroalimentación: incorporación de lecciones aprendidas para la mejora continua del ciclo.

Estos pasos deben ir acompañados del despliegue de las herramientas y tecnologías adecuadas, tanto para la captación y correlación de datos (SIEM, EDR/XDR, sensores de tráfico), como para la gestión de alertas, activos y ciberinteligencia (ticketing, CMDB, TIP, feeds de inteligencia). Asimismo, es imprescindible definir la organización de los equipos, los turnos, los procedimientos operativos y los modelos de escalado.

Con la implantación del Servicio de Gestión de la Ciberseguridad y el Servicio de Detección, se dispone de un SOC Básico. La incorporación progresiva de los servicios de Prevención y Respuesta permitirá evolucionar hacia un SOC Avanzado, y la inclusión adicional del Servicio de Protección dará lugar a un SOC Completo, conforme a los niveles de madurez definidos en la guía CCN-STIC 896.

(1) Los conceptos de nivel "estratégico" (definición de la estrategia y objetivos, por la capa directiva), nivel "operacional" (planificación y ejecución de las tácticas y técnicas) y nivel "táctico" (uso de la tecnología y las herramientas) pueden ser ampliamente encontrados en internet.

(2) https://www.isaca.org/resources/isaca-journal/issues/2026/volume-1/this-is-how-they-tell-me-a-soc-works

Certificación

Para garantizar que los mencionados servicios prestados son de calidad, un SOC debe poder evidenciar sus capacidades operativas, así como sus competencias técnicas en el ámbito de la ciberseguridad.

Más información