Documentos de Académico
Documentos de Profesional
Documentos de Cultura
desarrollando
la Red Nacional
de SOC
OCTUBRE 2021
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
2
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
ÍNDICE
1. CERT/CSIRT vs SOC 04
2. ¿Por qué un SOC ahora? 08
3. Ejes y funciones de un SOC 10
3.1 Operación. Prevención 11
3.2 Vigilancia. Prevención 12
3.3 Incidentes. Detección y repuesta 14
3.4 Cumplimiento normativo. Esquema Nacional 16
de Seguridad
4. Tipologías de SOC 17
4.1 COCS Administración General del Estado (AGE) 17
4.2 SOC ministeriales 19
4.3 CERT / SOC autonómicos 20
4.4 SOC de Entidades Locales 21
4.5 SOC Sectoriales 23
4.6 SOC Privados 24
5. ¿Cómo implementar un SOC con el CCN-CERT? 25
6. Red Nacional de SOC 27
7. Plataforma nacional de notificación de 29
ciberincidentes
Anexo I. Herramientas de intercambio 31
7.1 Lucía. Intercambio de ciberincidentes 31
7.2 Reyes. Intercambio de ciberamenazas 33
Anexo II. Gobernanza de CERT y SOC en España 34
2.5.4.13=Qualified Certificate: AAPP-SEP-
M-SW-KPSC, ou=sello electrónico,
serialNumber=S2800155J, o=CENTRO
CRIPTOLOGICO NACIONAL, c=ES
2021.12.17 09:32:38 +01'00' 3
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
1. CERT/CSIRT VS SOC
Los términos CERT1 o CSIRT2 son acrónimos Sin olvidarse, por supuesto, de las actividades
del inglés que se emplean indistintamente para posteriores al incidente y diseñadas para prevenir
definir a los Equipos de Respuesta a Incidentes y mitigar futuros ataques.
de Seguridad de la Información.
Al abordar un incidente, el CERT/CSIRT tiene
Estos equipos están enfocados desde sus una visión global del mismo y puede buscar
orígenes en 19883 a la gestión de incidentes ataques basados en Indicadores de Compromiso
y tienen la responsabilidad de coordinar y (IOC), reglas definidas y con análisis del tráfico
respaldar la respuesta ante cualquier evento de exterior; investigar las tácticas, técnicas y
estas características que sufra la Comunidad a procedimientos del atacante (TTP) llegando a
la que da servicio. Son entidades organizativas su origen e, incluso, aportar vacunas genéricas.
situadas, en la mayoría de los casos, de forma Todo ello, abstrayéndose de las particularidades
externa a la propia organización y tienen un de cada organización.
carácter transversal, puesto que abordan toda
la problemática de un incidente, incluyendo los
aspectos legales y normativos, su relación con
otros equipos y organizaciones (coordinación),
así como su implicación en la ciberseguridad
general.
1. Guía CCN-STIC 401. CERT. Computer Emergency Response Team. Organización especializada en responder inmediatamente a
incidentes relacionados con la seguridad de las redes o los equipos. También publica alertas sobre amenazas y vulnerabilidades
de los sistemas. En general tiene como misiones elevar la seguridad de los sistemas de los usuarios y atender a los incidentes que
se produzcan.
2. CSIRT Computer Security Incident Response Team. Una organización que coordina y apoya la respuesta a los incidentes de
seguridad que involucran a sitios dentro de una circunscripción definida”. [R2350] (Véase: CERT, FIRST, incidente de seguridad).
[RFC4949:2007]
3. En 1988, y ante lo que se consideró el primer gran ciberataque de la historia (gusano Morris), el Departamento de Defensa de
Estados Unidos encargó a la Universidad Carnegie Mellon, en Pittsburgh, la creación de un equipo capaz de hacer frente a este
nuevo tipo de amenazas. El resultado fue la constitución del primer CERT de la Historia y el registro de la marca. En la actualidad,
solo las empresas instaladas en Estados Unidos necesitan un acuerdo con esta entidad para el uso de este acrónimo (https://www.
sei.cmu.edu/our-work/cybersecurity-center-development/authorized-users/).
4
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
Estos CERT/CSIRT son instrumentos útiles para Dicho de otro modo, los SOC vienen a ser un centro
la coordinación nacional e internacional de mando para los equipos de ciberseguridad
y como último recurso ante emergencias IT de una organización. Son responsables de
o crisis apoyando a las organizaciones con supervisar y proteger la tecnología, la red,
personal experto y herramientas específicas, servidores, aplicaciones y hardware.
pero no pueden resolver la gestión diaria de la
ciberseguridad en las organizaciones. Los esfuerzos de monitorización de un SOC se
extienden más allá de la respuesta a un incidente.
Por su parte, el Centro de Operaciones de
Seguridad, COS, aunque más conocido, por Deben vigilar y analizar de forma constante las
sus iniciales en inglés, SOC4, tiene un ámbito de redes y los sistemas para detectar intrusiones
actuación más amplio dentro de una organización y anomalías en tiempo real, parametrizar al
y está centrado en su funcionamiento diario. atacante (mediante IOCs) e implantar medidas
concretas para su mitigación. Todo ello
En este caso, sí son equipos internos y entre compartiéndolo con su CERT/CSIRT de referencia
sus funciones, además de incluir la respuesta para evitar la propagación a otras entidades
al incidente, se encuentran la prevención, similares a la suya.
detección, respuesta y recuperación de los
sistemas tras un ciberataque.
4. CCN-STIC 401. SOC. Security Operation Center. Un Centro de Operaciones de Seguridad (COS) es una central de seguridad infor-
mática que previene, monitorea y controla la seguridad en las redes y en Internet. Los servicios que presta van desde el diagnóstico
de vulnerabilidades hasta la recuperación de desastres, pasando por la respuesta a incidentes, neutralización de ataques, progra-
mas de prevención, administración de riesgos y alertas de antivirus informáticos.
5
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
Principales características
CERT/CSIRT SOC
6
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
Alertas y amenazas.
Análisis forense.
Vigilancia tecnológica.
CSIRT
SOC Configuración y mantenimiento
de herramientas,
Monitorización en
tiempo real,
Auditoría o evaluación
aplicaciones e infraestructura. notificación, mapa de red,
continua frente a los
escaneo de vulnerabilidades,
estándares
Detección de intrusiones. test de penetración,
Investigación de
Análisis de riesgos. amenazas internas
Planificación.
Consultoría de seguridad.
Formación y sensibilización.
7
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
La proliferación de vulnerabilidades5
desconocidas para el fabricante (Día 0) o recién
publicadas (Día 1)6 y la sistematización de su
explotación por grupos organizados, no deja
más opción que desarrollar estos SOC en las
organizaciones.
Tras esta, posteriormente, en 2016, con la Tras dos años de funcionamiento de las
publicación de la Directiva NIS en (2016/1148) se transposiciones nacionales de la directiva NIS y
insta a los gobiernos a mejorar las capacidades de lo establecido en la estrategia de 2013, la UE
nacionales de ciberseguridad impulsando los está trabajando en una evolución de la citada
CSIRT nacionales, a incrementar la cooperación Directiva, conocida como NIS 2.0.
5. Vulnerabilidad: CCN-STIC 401. Defecto o debilidad en el diseño, implementación u operación de un sistema que habilita o facilita
la materialización de una amenaza.
6. Vulnerabilidad DIA 1. Vulnerabilidades cuya resolución acaba de publicar el fabricante pero que tienen posibilidad de explota-
ción inmediata por parte de un atacante con resultado de elevación de privilegios, denegación de servicio o explotación de código
en remoto entre otros impactos. La actualización de la tecnología se debe hacer de forma inmediata.
8
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
Finalmente, en diciembre de 2020 se publicó Por este motivo, la Comisión propone crear una
la nueva Estrategia de Ciberseguridad para le red de centros de operaciones de seguridad
Década Digital de la UE7 donde señala que las redes en toda la UE, que coordinados adecuadamente
y los sistemas informáticos requieren una vigilancia con la red de CERT/CSIRT contribuirá a apoyar
y un análisis constantes para detectar intrusiones y la mejora de los centros existentes y el
anomalías en tiempo real. El texto continúa: este establecimiento de otros nuevos, así como la
tipo de centros son vitales para recopilar registros y formación y el desarrollo de capacidades del
aislar los acontecimientos sospechosos que ocurren personal que trabaja en estos centros. El órgano
en las redes de comunicación que vigilan. ejecutivo europeo dotará de financiación a este
tipo de proyectos.
7. https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=JOIN:2020:18:FIN
9
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
Operación
Recuperación Prevención
Cumplimiento /
Formación
SOC Vigilancia
Respuesta Detección
Incidentes
10
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
3.1 OPERACIÓN.
Prevención
Corresponde a la gestión diaria de aquellos operaciones y su personal con conocimientos
elementos TIC que proporcionan seguridad a la de seguridad será una garantía para la mejor
organización: cortafuegos, WAF8, IPS/IDS9, correo administración de las redes y sistemas.
electrónico, acceso remoto (VPN10), seguridad del
Endpoint11, navegación segura, prevención de Todo ello dependerá de la entidad y madurez de
fuga de datos, etc. la organización y de si se recurre a una empresa
externa para proporcionar seguridad. En este
Aunque en numerosas ocasiones la gestión caso es muy frecuente que sean profesionales
rutinaria de todos estos aspectos lo realiza el con conocimiento de seguridad quienes
equipo TIC de la organización, ajeno al SOC, su gestionen los elementos TIC.
traspaso y supervisión por parte del centro de
Cortafuegos
Navegación Técnicas
WAF
segura
Vigilancia
Gestión
permanente
continua
superficie de
de TIC
Endpoint IPS/IDS exposición
Legislativa
normativas
VPN Correo
electrónico
Operación
11
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
3.2 VIGILANCIA.
Prevención
La evaluación y vigilancia permanente de todos los recursos que
tenemos expuestos o con posibilidad de ser atacados (superficie
de exposición y estado de la seguridad) es una actividad crítica en
cualquier organización. Por ello, es preciso tratar las deficiencias de
seguridad que pueden ser:
12
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
Vigilancia
permanente
superficie de
IPS/IDS exposición
Legislativa Procedimentales
normativas
Correo
electrónico
Vigilancia
13
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
3.3 INCIDENTES.
Detección y repuesta
La comunicación de los
incidentes a través de la
herramienta LUCIA del
CCN-CERT que permite
comunicar los incidentes
La gestión de incidentes pasa por una detección directamente a los actores
y respuesta eficiente. Para ello es preciso el
análisis de los registros y evidencias generadas
involucrados y a los órganos
por las diferentes fuentes que, en el caso de los administrativos que, por
SOC, al estar desplegados in situ pueden actuar ley, es preciso notificar.
sobre los sistemas comprometidos de forma
mucho más rápida.
• Gestión de incidentes y análisis forense. Una mejor detección y respuesta pasa por
• Búsqueda de amenazas ocultas (Threat la automatización de procesos, el uso de
Hunting). Gestión de alertas, incluidas las herramientas (véase Anexo I) y el intercambio de
AntiDDoS. información con otros SOC.
14
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
Estudio de anomalías
(red y equipos) Monitorización (SIEM)
Análisis de
código Reglas de
dañino detección
'HWHFFLµQ\5HVSXHVWD
Gestión Gestión de
de alertas incidentes
15
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
12. Esquema Nacional de Seguridad. Conjunto de 6 principios básicos, 15 requisitos mínimos y 75 medidas de seguridad de ob-
ligada aplicación en el sector público español con tres niveles de aplicación (BASICO, MEDIO y ALTO) que proporciona la medida
del nivel de seguridad de un organismo. La CCN-STIC 825 establece su relación con el estándar internacional SO/IEC 27001 e ISO/
IEC 27002. https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/2148-ccn-stic-825-ens-
-national-security-framework-27001-certifications/file.html
16
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
4. TIPOLOGÍAS DE SOC
Por lo expuesto hasta el momento, el CCN-CERT considera necesario
el desarrollo de servicios horizontales de seguridad gestionados
a través de SOC en diferentes ámbitos: Administración General
del Estado (AGE), comunidades autónomas, entidades locales y
sectoriales.
COCS Administración
SOC Privados General del Estado
(AGE)
17
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
18
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
15. https://www.ccn-cert.cni.es/soluciones-seguridad.html
19
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
20
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
16. https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-1192
21
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
22
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
23
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
24
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
5. ¿CÓMO IMPLEMENTAR
UN SOC CON EL CCN-CERT?
Todo aquel organismo del sector público que Como ya se ha comentado con anterioridad,
desee implementar un SOC puede contar con la este tipo de proyectos contarán con financiación
asistencia del CCN-CERT. europea y deberán ajustarse a las características
de cada entidad. En función de los requerimientos
Para ello, tal y como ya se ha hecho con de cada una, el CCN-CERT aportará unos u
otros organismos, se firma un convenio de otros servicios, aunque existen algunos que se
colaboración entre todas las partes implicadas consideran indispensables:
(organismo, CCN y empresa) y se detallen las
responsabilidades de cada una, al tiempo que
se analizan las acciones previas al despliegue del
SOC:
25
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
1. Acuerdo
CCN-CERT/AAPP/Empresa 3. Definición de
objetivos de vigilancia 5. Consultoría formación
y operación SOC
2. 4. 6.
Evaluación de sistemas Ayuda en redacción
Métricas de superficie
a proteger y estado de pliego de
de exposición
la seguridad prescripciones técnicas
Integración con
Financiación europea Adicionalmente
herramientas CCN-CERT
26
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
27
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
Todos los SOC se integran con el CCN-CERT Una vez establecido el SOC, se trataría de establecer
mediante las herramientas LUCIA y REYES que un modelo colaborativo en el que en base a unos
constituirán la base la Plataforma Nacional de incentivos se facilite el intercambio de información.
Notificación y Seguimiento de Ciberincidentes17. Los datos más susceptibles de intercambiar serían
El funcionamiento de dicha Plataforma se entre otros:
describe más adelante.
Reglas de detección
IOA para
investigaciones Listas blancas
conjuntas
17. CCN-CERT, INCIBE-CERT y Mando Conjunto del Ciberespacio, tal y como recoge el Real Decreto-Ley 12/2018, de 7 de septiembre.
28
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
29
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
Intercambio de
información Registro y Intercambio
sobre notificación de masivo
ciberamenazas vulnerabilidades de datos
30
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
31
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
Arquitectura modular
Gestión eficaz de
incidentes y notificación
Adecuación a la taxonomía
de incidentes (Guía 817)
20. LUCIA Demo (http://ccn-cert.net/luciademo). Disponible para descarga con todos los servicios necesarios autocontenidos.
32
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
Funcionalidades REYES
Funcionalidades REYES
Detección Comunicación
APT Incidentes
33
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
34
Aproximación del CCN-CERT: desarrollando la Red Nacional de SOC
35
WWW.CCN-CERT.CNI.ES
WWW.CCN.CNI.ES
OC.CCN.CNI.ES