CCN-CERT, Soluciones de Ciber Seguridad

FAQ SOC-AGE

I. Alcance

El Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus OO.PP. (SOC de la AGE, por su denominación inglesa “Security Operations Center”) es un servicio de seguridad gestionada compartido que tiene por objeto proporcionar protección a la Administración General del Estado y sus organismos públicos vinculados o dependientes dotándolos de una infraestructura global y única que incluye el equipamiento necesario, así como su configuración, puesta en marcha, mantenimiento, operación, monitorización y gestión de incidentes de ciberseguridad de manera centralizada, para todos los órganos y organismos de la Administración General del Estado adscritos al servicio.

Su finalidad es la prestación de servicios horizontales de ciberseguridad que aumenten la capacidad de vigilancia y detección de amenazas en la operación diaria de los sistemas de información y comunicaciones de la Administración, así como la mejora de su capacidad de respuesta ante cualquier ataque.

Supone la evolución del modelo actual de seguridad hacia un modelo integral que favorezca la coordinación interdepartamental, permitiendo a cada entidad establecer sus propias políticas de seguridad y facilitando el intercambio de información.

  • Operación, monitorización y actualización de dispositivos de defensa perimetrales.
  • Detección, respuesta coordinada, investigación de ciberataques y ciberamenazas y resolución de incidentes de seguridad.
  • Servicio de Alerta Temprana (SAT) de alertas de seguridad en las conexiones a Internet, a redes interadministrativas comunes y, bajo petición, a redes corporativas de las entidades.
  • Análisis de vulnerabilidades de aplicaciones y servicios.
  • Servicios anti-abuso de identidad digital.

Se contempla reforzar los servicios de carácter más nuclear de un SOC con otros servicios complementarios que proporcionan un valor añadido. Además, según la demanda de las entidades y la evolución del escenario de ciberamenazas en el tiempo, se realizará una evolución progresiva del servicio con el objetivo de obtener una mejora continua del nivel de seguridad ofrecido.

El alcance del Centro de Operaciones de Ciberseguridad es la AGE y sus organismos públicos.

El Centro de Operaciones de Ciberseguridad persigue la protección de la seguridad perimetral de la Administración General del Estado y sus Organismos Públicos frente a amenazas externas, mediante la prestación de servicios horizontales de Ciberseguridad.

Se concibe como una infraestructura global y única complementaria al servicio compartido de Telecomunicaciones.

A medio plazo se podrá hacer cargo de la gestión de ciertos elementos de seguridad interna, es decir de dispositivos de seguridad que protegen los servicios internos y segmentan la red de las entidades, como cortafuegos internos; y operará otros elementos de seguridad que puedan tener las entidades en su red interna como por ejemplo sistemas de detección o prevención de intrusiones (excluyendo dispositivos especializados en seguridad de LAN).

No se descarta en fases futuras, una vez establecido el servicio, la posibilidad de gestión de puntos finales (end-points).

El cumplimiento de un subconjunto notable de las medidas de seguridad contempladas en el anexo II del Esquema Nacional de Seguridad puede ser facilitado mediante el uso de los servicios de seguridad que se prestan en el catálogo del Centro de Operaciones de Ciberseguridad.

Se trata, principalmente, de medidas relativas a la protección de las comunicaciones, a la protección de los servicios (navegación por Internet, correo seguro, acceso remoto, etc.), la detección de intrusiones, la gestión de incidentes de seguridad, la continuidad de los servicios, entre otras.

II. Adhesión

Se contempla que la adhesión al Centro de Operaciones de Ciberseguridad se realice mediante una manifestación de interés.

Se trataría de un modelo ya aplicado en el servicio de alerta temprana (SAT) del CCN-CERT sobre la base de una carta o un documento de compromiso firmado.

Inicialmente, se comenzaría con un primer conjunto de entidades voluntarias que expresen su interés por adherirse al servicio.

La seguridad perimetral se aplica en bloque.

La parte de seguridad interna es opcional, pero si se elige se aplicaría de forma incremental.

Sí, es necesario estar adscrito al lote 3 del concurso centralizado de comunicaciones, es decir, a la salida centralizada a Internet de la AGE.

En efecto, el servicio de acceso a Internet debe ser provisto por el Lote 3 del contrato de Servicios consolidados de telecomunicaciones de la Administración General del Estado Fase 1 (expediente 05/14) y las futuras evoluciones de éste.

En primer lugar, hay que decir que los servicios se proporcionarán desde una perspectiva multi-cliente.

Cada Entidad podrá prescribir sus propias políticas de seguridad, que serán implementadas y gestionadas por personal especializado del Centro de Operaciones de Ciberseguridad de la AGE y sus OO.PP. No obstante, existirán unas políticas de seguridad base para los servicios, definidas por el SOC, que establecerán unos requisitos mínimos de seguridad comunes.

Habrá un catálogo con servicios estandarizados que permita economías de escala. Si se actualiza con nuevos servicios, estarán disponibles para los usuarios.

Estos servicios se implantarán de manera progresiva, ampliándose gradualmente el alcance del servicio ofrecido, de acuerdo con su proyecto de desarrollo.

Además, según la demanda de las entidades y la evolución del escenario de Ciberamenazas en el tiempo, se realizará una evolución progresiva del servicio durante su fase de explotación, con el objetivo de obtener una mejora continua del nivel de seguridad ofrecido.

Si se solicita algo nuevo adicional se estudiará. Se tratará de un catálogo vivo y se actualizará, aunque en principio habrá que concentrarse en las funcionalidades más concretas.

Se tratará de ofrecer servicios adaptados a las necesidades específicas de las distintas Entidades que se adhieran al servicio.

Por su naturaleza centralizada, el Centro de Operaciones de Ciberseguridad facilitará tanto la implantación de las herramientas y/o tecnologías más adecuadas en cada momento, como la adopción de las medidas oportunas para una defensa eficiente.

, está previsto. El Centro de Operaciones de Ciberseguridad tendrá entornos de preproducción.

El entorno de preproducción continuará perteneciendo al organismo. Desde el Centro de Operaciones de Ciberseguridad se podrán monitorizar las conexiones a los entornos de preproducción expuestos en Internet.

Si se tiene el CPD en hosting también se puede tener el servicio del Centro de Operaciones de Ciberseguridad, siempre que la Entidad esté adscrita al Lote 3, y la salida a Internet correspondiente a esa Entidad desde el citado hosting se curse a través de la infraestructura centralizada provista por ese lote..

1Q/2Q 2018: Fase previa a la implantación

  • Selección de entidades piloto.

2Q/3Q 2018: Implantación del servicio

  • Modificaciones en la arquitectura de comunicaciones (lote 3).
  • Adquisición e implantación de dispositivos de seguridad SOC-AGE.
  • Diseño detallado del modelo de gestión del servicio.
  • Diseño detallado del procedimiento de migración de las entidades piloto.

4Q 2018: Proyectos piloto

  • Inicio de pilotos con entidades seleccionadas.

2019 y sucesivos: Extensión y consolidación del servicio

  • Incorporación progresiva de entidades adscritas al lote 3 de comunicaciones.
  • Evolución y ampliación de los servicios de seguridad ofrecidos.

III. Interlocución

Se ofrecerá dentro del soporte un punto de contacto, un buzón al cual dirigirse para solicitar la adhesión o más información (Mail SOC-AGE)

Inicialmente, la interlocución con el SOC se realizará a través del punto de contacto o buzón Mail SOC-AGE

Posteriormente, durante la fase de implantación del servicio se definirán los canales de comunicación concretos para los Responsables de Seguridad y el personal técnico de las entidades.

IV. Responsabilidad

La responsabilidad sobre el Centro de Operaciones de Ciberseguridad corresponde a la Secretaría General de Administración Digital (SGAD), en desarrollo de las competencias atribuidas por el artículo 14.2.a) del Real Decreto 769/2017, de 28 de julio, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda y Función Pública*, que ejercerá la dirección estratégica del Centro de Operaciones de Ciberseguridad a través de la División de Planificación y Coordinación de Ciberseguridad.

La operación del servicio del Centro de Operaciones de Ciberseguridad correrá a cargo del CCN-CERT, según las competencias atribuidas por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Corresponden a la Secretaría General de Administración Digital las siguientes funciones:

  • Definición del marco estratégico de actuación, que incluirá entre otras actuaciones: definición del servicio (parámetros, procesos asociados, etc.), del marco de relaciones con las entidades usuarias, de los canales de comunicación e informativos, etc.
  • Dirección técnica del proyecto de implantación, de los proyectos de evolución del servicio y de los proyectos de integración de entidades.
  • Seguimiento y gestión del servicio, incluyendo la coordinación con los Responsables de Seguridad de las entidades y otros actores involucrados, y la gestión de las incorporaciones de nuevas entidades al servicio.
  • Coordinación técnica de los proyectos de integración con las infraestructuras técnicas de terceros, tanto las de las entidades que se adhieren al servicio, como las infraestructuras compartidas y transversales que ofrece la SGAD al resto de la AGE.
  • Coordinación de la respuesta ante incidentes de seguridad entre los diferentes agentes afectados, y de las posteriores labores de apoyo a las entidades que han padecido un incidente.
  • Difusión y promoción del servicio.

Corresponde al Centro Criptológico Nacional (CCN) adscrito al Centro Nacional de Inteligencia, en coordinación con la Secretaría General de Administración Digital y en el marco de la estrategia de acción definida, las funciones de operaciones e inteligencia de Ciberseguridad, que incluirán las siguientes:

  • Implantación de la infraestructura técnica y servicios de seguridad.
  • Definición de procedimientos de operación de Ciberseguridad.
  • Operación de Ciberseguridad, incluida la operación, monitorización y actualización de dispositivos de defensa perimetrales.
  • Detección, respuesta coordinada y soporte a la resolución de incidentes de seguridad.
  • Soporte a la investigación de ciberataques y ciberamenazas.
  • Análisis de vulnerabilidades de aplicaciones y servicios.
  • Servicios anti-abuso de identidad digital

* …y se modifica el Real Decreto 424/2016, de 11 de noviembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales

La entidad a través de su responsable de seguridad mantiene su responsabilidad en cuanto a la protección de la información y servicios a su cargo.

Cada Entidad podrá prescribir sus propias políticas de seguridad, que serán implementadas y gestionadas por personal especializado del Centro de Operaciones de Ciberseguridad de la AGE y sus OO.PP. No obstante, existirán unas políticas de seguridad base para los servicios, definidas por el SOC, que establecerán unos requisitos mínimos de seguridad comunes

El Centro de Operaciones de Ciberseguridad aplicará las medidas previstas en el servicio, que incluye la detección, respuesta coordinada, investigación de ciberataques y ciberamenazas y resolución de incidentes de seguridad.

Por tanto, el SOC contará con la capacidad de detectar incidentes de seguridad que afecten a las entidades, lo que no exime a la entidad de su responsabilidad de notificación de incidentes de seguridad que le afecten y que ella misma haya detectado.

El Centro de Operaciones de Ciberseguridad contará con la capacidad de detectar incidentes de seguridad que afecten a las entidades, lo que no exime a la entidad de su responsabilidad de notificación de incidentes de seguridad que le afecten y que ella misma haya detectado.

El personal del Centro de Operaciones de Ciberseguridad podrá encargarse de la gestión de los incidentes de seguridad de las Entidades, incluyendo los diversos niveles.

Habrá una matriz de escalado, y cada entidad decidirá qué tipos de actuaciones dentro de la gestión del incidente delega y cuáles no, lo cual quedará reflejado en el acuerdo de prestación del servicio.

Ante situaciones de emergencia, como por ejemplo ataques de seguridad graves que estén afectando de manera generalizada a las Entidades adscritas al servicio, el SOC podrá realizar actuaciones de mitigación de carácter urgente, que comunicará con la mayor celeridad posible a los Responsables de Seguridad de las Entidades para su conocimiento.

Se definirán unos acuerdos de nivel de servicio (ANS) para garantizar la calidad de los servicios ofrecidos.

Se contempla la existencia de indicadores del servicio que se compartirán con las entidades usuarias.

Se definirán ANS para poder garantizar un servicio ágil en la resolución de las necesidades de las Entidades, considerando los distintos niveles de peligrosidad y priorización de actuación que pueda tener cada incidencia/incidente.

Se establecerán canales ágiles de comunicación para las consideradas muy urgentes.

Se certificará el cumplimiento del ENS del servicio prestado por el SOC.

Se dispondrá de herramientas automáticas de análisis de vulnerabilidades en diversos sistemas operativos que analizarán entre otras cosas, puertos, servicios y que intentarán la explotación de las vulnerabilidades encontradas, realizando un informe que será remitido a las Entidades.

Pero no se contempla el apoyo a la corrección de vulnerabilidades detectadas en aplicativos.

Cada Entidad podrá prescribir sus propias políticas de seguridad, que serán implementadas y gestionadas por personal especializado del Centro de Operaciones de Ciberseguridad de la AGE y sus OO.PP.

No obstante, existirán unas políticas de seguridad base para los servicios, definidas por el SOC, que establecerán unos requisitos mínimos de seguridad comunes.

Cada entidad decide sobre los permisos de acceso a los datos.

En cualquier caso, existirán acuerdos de confidencialidad que deberá firmar el personal con acceso a datos de las Entidades.

El SOC aportará evidencias y colaboración para investigaciones siempre que exista una orden judicial.

Los registros de eventos (logs) referentes a una Entidad que custodie el Centro de Operaciones de Ciberseguridad son propiedad de la Entidad.

Se pondrá también a disposición de las Entidades la posibilidad de realización, previa justificación de la petición, de análisis forenses y actividades de respuesta a incidentes en aquellos casos que vayan a requerir actuación judicial.

La compra de los soportes informáticos para ser entregados al juzgado o a una de las partes implicadas en el proceso, así como la custodia de los mismos por un tercero, correrá a cuenta de la Entidad.

V. Presupuesto y contratación

Los servicios centralizados no dan lugar a que se detraiga del presupuesto.

Si se asumen ciertos aspectos de seguridad interna, como la adquisición de equipamiento no contemplado entre el soportado por el Centro de Operaciones de Ciberseguridad correría a cargo de la entidad (tú lo adquieres yo lo opero).

Sí, de manera general, ya que se persigue la utilización de herramientas y recursos necesarios para proveer la mejor solución de seguridad disponible al posibilitar una mayor interoperabilidad entre diferentes elementos y servicios de seguridad.

VI. Otras cuestiones

Como parte de los servicios de seguridad perimetral ofrecidos por el Centro de Operaciones de Ciberseguridad, el análisis del correo electrónico proveniente de Internet se realizará para los organismos de modo transparente. Si el organismo se adscribe al Servicio de Correo Electrónico Unificado de la AGE, que contempla la gestión completa del servicio electrónico, se le podrá realizar un mayor grado de análisis.

La arquitectura planteada es multitenant en todos sus elementos, también en los sistemas de protección del correo, por lo que, si fuera necesario, podrían aplicarse distintas configuraciones para cada entidad, siempre que respeten las políticas de seguridad mínimas definidas para el servicio.

El descifrado se realizará para analizar el tráfico SSL y, por tanto, dar protección a los servicios que los organismos adscritos al programa exponen en Internet. Se podrá por tanto interceptar el tráfico con código dañino o malware que va cifrado sobre el protocolo SSL. Se exceptuarán categorías de información que se puedan considerar sensibles, como, por ejemplo, las relativas a datos financieros o de salud.

Los certificados de los organismos adscritos se encontrarán en los almacenes de certificados del Centro de Operaciones de Ciberseguridad de la AGE.

Serán los dispositivos de seguridad los que hagan el tratamiento de tráfico en claro, para aplicar las protecciones que tengan configuradas.

Lógicamente, los administradores de seguridad del Centro de Operaciones de Ciberseguridad deberán tener también acceso a ese tráfico para poder resolver problemas u optimizar configuraciones, de igual manera que lo tienen en la actualidad los técnicos de seguridad de las Entidades que se adscriban, a los que el personal del Centro de Operaciones de Ciberseguridad reemplaza.

Por supuesto, a todo el personal del Centro de Operaciones de Ciberseguridad se le exige absoluta confidencialidad, y habrán firmado los consiguientes acuerdos para ello. Los administradores utilizarán usuarios que los identifiquen plenamente y se activarán en general mecanismos de auditoría de acceso a los logs de los dispositivos de seguridad.

Será necesario que el elemento de la arquitectura que realice el descifrado del acceso SSL a las aplicaciones de aquellas Entidades que así lo quieran, tenga instalados los certificados de todas las aplicaciones de las Entidades a las que protege, por supuesto, custodiados con las suficientes garantías.

En cuanto al descifrado del tráfico de navegación de las Entidades, será necesario distribuir un certificado raíz de confianza emitido por el Centro de Operaciones de Ciberseguridad a todos los clientes de cada Entidad.

En cualquier caso, el alcance del servicio de análisis de tráfico cifrado se analizará junto a las Entidades de manera previa a su migración.

Los sistemas de respaldo van a ser gemelos en cuanto a medidas de seguridad, siempre que la salida a Internet de los citados centros de respaldo se curse a través del Lote 3, de igual manera que la del sistema principal.

Se quiere que el proyecto sea lo más genérico posible y a la vez cuente con las capacidades para ceñirse a las especificaciones de cada organismo adscrito. El trabajo actual se enfoca a tener un dimensionamiento de tráfico y tecnologías del mayor número de organismos. Por ejemplo, se tiene en cuenta que los aceleradores de SSL pueden trabajar con nuevas especificaciones criptográficas.

La idea es que el Centro de Operaciones de Ciberseguridad pueda evolucionar para seguir ofreciendo siempre las que se consideren mejores protecciones disponibles en el mercado.

Ciertamente es uno de los elementos más difíciles de configurar para evitar que afecte a las aplicaciones de las Entidades. Por ello, se deberá contar con la colaboración de personal de las Entidades afectadas, incluyendo responsables de aplicaciones.

Será una interlocución tanto en la primera implantación como cuando se evolucionen las aplicaciones. Las herramientas de gestión de incidencias permitirán esa comunicación fluida.

Lo que se ofrece con este servicio es una nueva plataforma DNS adicional, que ejercerá como proxy en aquellas peticiones DNS realizadas en navegación de usuarios. De esta manera, se podrán habilitar protecciones adicionales que permitan impedir conexiones con servidores de "Command and Control" conocidos y permitirá además disponer de una fuente de información en la detección de ataques y de código dañino en las Entidades para su posterior tratamiento.

No se trata por tanto de los DNS externos de los organismos, entendiendo como tales los que albergan los dominios publicados en Internet, ya que esta gestión se realiza desde el Lote 3 del concurso de comunicaciones centralizado.

No, el equipamiento se ubica en la zona de protección perimetral del acceso centralizado a Internet de la AGE.

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información consultando nuestra Política de Cookies.