A finales de 2021, el Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI) puso en marcha la Red Nacional de SOC (RNS) para disponer a nivel nacional de una plataforma que permitiese el intercambio de alertas sobre ciberamenazas en tiempo real. Con 169 organismos y entidades adscritos, la Red Nacional de SOC comienza ahora una nueva etapa ampliando su alcance e integrando en esta iniciativa pionera en España y en Europa a los centros de ciberseguridad del sector privado.
Liderada y coordinada por el CCN y adscrito al CNI, a través de la RNS, actualmente, se intercambian entre el sector público y privado una media de 56 alertas diarias sobre ciberamenazas detectadas en el panorama nacional.
Se trata de una información que, hasta día de hoy, se compartía con los Centros de Operaciones de Ciberseguridad (SOC) de organismos públicos y con los proveedores que prestan este servicio al sector público.
Estrategia pionera
Sin embargo, la utilidad de esta información y las capacidades de alerta temprana desarrolladas en esta plataforma han llevado a la RNS a ampliar su alcance, consolidando el modelo de intercambio de información técnica sobre ciberamenazas.
Con la participación de los SOC del sector privado se extiende a todo el territorio nacional el conocimiento sobre amenazas, y contribuye así a fomentar el desarrollo de un ciberescudo para España.
De este modo, esta estrategia de colaboración público-privada permite que todos los SOC de los organismos, entidades y empresas adscritas a la RNS puedan tener acceso inmediato a alertas de seguridad en tiempo real y bloquear cualquier indicio de actividad anómala detectada.
La incorporación del sector privado a esta iniciativa conlleva también una mejora en la organización de los SOC adheridos a esta plataforma por contribuir a la protección de activos españoles.
Anteriormente, los SOC se clasificaban en nivel “Gold” e “Informado” en función de su nivel de participación. Pero, desde ahora, los niveles serán “Oro” y “Plata” en función de la información que compartan, y se incorpora también el nivel “Inhabilitado” para aquellos SOC sin actividad de intercambio dentro de la plataforma.
Próximamente se exigirá a cada centro adscrito a la RNS un certificado para operar como SOC
Base de la RNS
El principal activo de la RNS es la información compartida sobre indicadores de ataque (IoA) o de compromiso (IoC) que alertan sobre anomalías que se puedan estar produciendo en tiempo real en alguna de las entidades adheridas a la Red. Por ejemplo, al mes se comparten a través de la RNS más de 1.700 eventos de seguridad, y de dicha información compartida, desde la RNS se hace un filtrado para contrastar los eventos intercambiados y compartir únicamente aquella información validada y categorizada como amenaza.
Esta información se comparte de inmediato y se traduce en el bloqueo de direcciones IP de atacantes, de hashes de ficheros con contenido dañino, de URL específicas con contenido dañino, de dominios de sitios comprometidos o bajo sospecha de estarlo, de direcciones de correo maliciosas o de reglas de detección de amenazas.
El almacenamiento de un número cada vez mayor de eventos proporciona una panorámica completa y veraz de ciberamenazas activas en España que posibilita una acción preventiva. Para ello, es necesario aplicar casos de uso que permitan establecer qué registros son necesarios almacenar y ser tratados.
Otras mejoras
En este sentido, el CCN ha trazado las líneas principales de mejora y las medidas a implementar para aumentar la efectividad de la RNS. Como punto de partida, próximamente se exigirá a cada centro adscrito a la RNS un certificado para operar como SOC en base al Esquema Nacional de Seguridad.
Entre otros objetivos, también se ampliará, de manera procedimental, la tipología de información compartida más allá de los actuales IoC/IoA, añadiendo casos de uso para detección, métricas de SOC, buenas prácticas de gestión, etc. También se centralizarán todas las alertas y vulnerabilidades en la solución “Iris” para una mejor visibilidad de las ciberamenazas.
Por ello, el CCN permitirá a los miembros de la RNS la descarga directa de las listas negras de la solución “Reyes” y ofrecerá un servicio de evaluación de la superficie de exposición y auditorías a sus miembros.
En definitiva, el CCN continúa trabajando en la mejora de este proyecto para consolidar su funcionamiento a nivel nacional y su implantación a nivel europeo.
