Red Seguridad 104

84 red seguridad primer trimestre 2024 respuesta a incidentes Dominios de sitios comprometidos (o supuestamente comprometidos). URL específicas con contenido da- ñino. Firmas o hashes de ficheros con con- tenido dañino. Direcciones de correo propagadoras de contenido dañino. Reglas de detección de amenazas, por comportamiento de red (reglas SNORT) y por contenido dañino (re- glas YARA). Cabeceras específicas de navega- ción, como “ user-agent ” y otros. Adicionalmente, también se compar- ten reglas genéricas de detección y ca- sos de uso, informes de ciberseguridad, procedimientos operativos de un SOC y procedimientos administrativos o de con- tratación de servicios. En esa evolución constante que expe- rimenta la Red Nacional de SOC desde su creación, las entidades participantes también podrán compartir “próxima- mente” otra información como métricas e indicadores a utilizar en un SOC para mejorar su gestión, listas blancas con ubicaciones legítimas, vulnerabilidades y alertas de los SIEM. No obstante, el CCN aclara que la in- formación que se intercambia a través de la Red Nacional de SOC no incluye informes ni investigaciones genéricas sobre amenazas en el ciberespacio si éstas no se están materializando en al- guno de los miembros. En este sentido, las propias entidades tienen que filtrar la información que trasladan. Herramientas colaborativas La Red Nacional de SOC emplea varias soluciones tecnológicas para el inter- cambio de la información, desde el co- rreo electrónico hasta la inteligencia de amenazas. Estas herramientas de cola- boración son: Element: Es una solución de mensaje- ría instantánea que se utiliza tanto para propagar alertas sobre incidentes en curso (o indicios de posibles incidentes), como para compartir otro tipo de infor- mación de interés: informes de ciberse- guridad, procedimientos operativos de los SOC, procedimientos administrativos o de contratación de servicios... MISP: Se trata de una solución para el intercambio de información sobre ame- nazas en la que registrar, centralizar y dis- tribuir tanto indicadores de ataques como de compromiso. El registro de esos indi- cadores en el MISP se puede hacer a tra- vés de la herramienta de mensajería, des- deestamismaweboenmodo integración, conectando directamente las propias he- rramientas de los SOC más maduros. LUCIA: Esta herramienta de notificación de ciberincidentes está integrada en la Red Nacional de SOC de modo que pueda utilizarse como un indicador más tanto del compromiso del SOC con el resto de miembros como de la evolu- ción de los ciberincidentes en el territo- rio nacional. REYES: Esta solución del CCN-CERT cen- traliza toda la información de ciberinteli- gencia que se produce por parte de los SOC. Según explica el CCN, a medio plazo irán integrándose en la Red Nacional de SOC otras soluciones como: IRIS, para la visualización en tiempo real del estado de la ciberseguridad en la RNS; ANA, para poder generar desde la RNS un sis- tema de aviso ante la publicación de vul- nerabilidades; y los SIEM, para recopilar aquellas alertas críticas generadas por los SOC y que puedan servir de fuente de datos para correlar incidentes desde una perspectiva global. Aquellas entidades que quieran adhe- rirse a la Red Nacional de SOC pueden solicitarlo a través de la web creada a tal efecto: https://rns.ccn-cert.cni.es/

RkJQdWJsaXNoZXIy MTI4MzQz