CCN-CERT, Soluciones de Ciber Seguridad

FAQ SOC-AGE

I. Alcance

O Centro de Operacións de Ciberseguridade da Administración Xeral do Estado e as súas OO.PP. (SOC da AGE, pola súa denominación inglesa Security Operations Center) é un servizo de seguri-dade xestionada compartido que ten por obxecto proporcionar protección á Administración Xeral do Estado e aos seus organismos públicos vinculados ou dependentes dotándoos dunha infraestru-tura global e única que inclúe o equipamento necesario, así como a súa configuración, posta en marcha, mantemento, operación, monitoraxe e xestión de incidentes de ciberseguridade de ma-neira centralizada, para todos os órganos e organismos da Administración Xeral do Estado adscri-tos ao servizo.

A súa finalidade é a prestación de servizos horizontais de ciberseguridade que aumenten a capaci-dade de vixilancia e detección de ameazas na operación diaria dos sistemas de información e comunicacións da Administración, así como a mellora da súa capacidade de resposta ante cal- quera ataque.

Supón a evolución do modelo actual de seguridade cara a un modelo integral que favoreza a coordinación interdepartamental, permitindo a cada entidade establecer as súas propias políticas de seguridade e facilitando o intercambio de información.

  • Operación, seguimento e actualización de dispositivos de defensa perimetrais.
  • Detección, resposta coordinada, investigación de ciberataques e ciberameazas e resolución de incidentes de seguridade.
  • Servizo de Alerta Temperá (SAT) de alertas de seguridade nas conexións a Internet, a redes inte-radministrativas comúns e, baixo petición, a redes corporativas das entidades.
  • Análise de vulnerabilidade de aplicacións e servizos.
  • Servizos antiabuso de identidade dixital.

Contémplase reforzar os servizos de carácter máis nuclear dun SOC con outros servizos com- plementarios que proporcionan un valor engadido. Ademais, segundo a demanda das entidades e a evolución do escenario de ciberameazas no tempo, realizarase unha evolución progresiva do servizo co obxectivo de obter unha mellora continua do nivel de seguridade ofrecido.

O alcance do Centro de Operacións de Ciberseguridade é a AGE e os seus organismos públicos.

O Centro de Operacións de Ciberseguridade persegue a protección da seguridade perimetral da Administración Xeral do Estado e os seus Organismos Públicos fronte a ameazas externas, mediante a prestación de servizos horizontais de ciberseguridade.

Concíbese como una infraestrutura global e única complementaria ao servizo compartido de Telecomunicacións.

A medio prazo poderá facerse cargo da xestión de certos elementos de seguridade interna, é dicir, de dispositivos de seguridade que protexen os servizos internos e segmentan a rede das entidades, como cortalumes internos; e operará outros elementos de seguridade que poidan ter as entidades na súa rede interna como, por exemplo, sistemas de detección o prevención de intrusións (excluíndo dispositivos especializados en seguridade de LAN).

Non se descarta en fases futuras, unha vez establecido o servizo, a posibilidade de xestión de puntos finais (end-points).

O cumprimento dun subconxunto notable das medidas de seguridade contempladas no anexo II do Esquema Nacional de Seguridade pode ser facilitado mediante o uso dos servizos de segu-ridade que se prestan no catálogo do Centro de Operacións de Ciberseguridade.

Trátase, principalmente, de medidas relativas á protección das comunicacións, á protección dos servizos (navegación por Internet, correo seguro, acceso remoto, etc.), á detección de intrusións, á xestión de incidentes de seguridade e á continuidade dos servizos, entre outras.

II. Adhesión

Contémplase que a adhesión ao Centro de Operacións de Ciberseguridade se realice mediante unha manifestación de interese..

Trataríase dun modelo xa aplicado no servizo de alerta temperá (SAT) do CCN- CERT sobre a base dunha carta ou un documento de compromiso asinado.

Inicialmente, comezaríase cun primeiro conxunto de entidades voluntarias que expresen o seu interese por adherirse ao servizo.

A seguridade perimetral aplícase en bloque.

A parte de seguridade interna é opcional, pero se se elixe aplicaríase de forma incremental.

Sí, é necesario estar adscrito ao lote 3 do concurso centralizado de comunicacións, é dicir, á saída centralizada a Internet da AGE.

En efecto, o servizo de acceso a Internet debe ser provisto polo Lote 3 do contrato de Servizos consolidados de telecomunicacións da Administración Xeral da Estado Fase 1 (expediente 05/14) e as futuras evolucións deste.

En primeiro lugar, hai que dicir que os servizos se proporcionarán desde unha perspectiva multi-cliente..

Cada Entidade poderá prescribir as súas propias políticas de seguridade, que serán implementadas e xestionadas por persoal especializado do Centro de Operacións de Ciberseguridade da AGE e as súas OO.PP. Con todo, existirán unhas políticas de seguridade base para os servizos, definidas polo SOC, que establecerán uns requisitos mínimos de seguridade comúns.

Haberá un catálogo con servizos estandarizados que permita economías de escala. Se se actualiza con novos servizos, estarán dispoñibles para os usuarios.

Estes servizos implantaranse de maneira progresiva, ampliándose gradualmente o alcance do servizo ofrecido, de acordo co seu proxecto de desenvolvemento.

Ademais, segundo a demanda das entidades e a evolución do escenario de ciberameazas no tempo, realizarase unha evolución progresiva do servizo durante a súa fase de explotación, co obxectivo de obter unha mellora continua do nivel de seguridade ofrecido.

Se se solicita algo novo adicional estudarase. Tratarase dun catálogo vivo e actualizarase, aínda que en principio haberá que concentrarse nas funcionalidades máis concretas.

Tratarase de ofrecer servizos adaptados ás necesidades específicas das distintas Entidades que se adhiran ao servizo.

Pola súa natureza centralizada, o Centro de Operacións de Ciberseguridade facilitará tanto a im-plantación das ferramentas e/ou tecnoloxías máis adecuadas en cada momento, como a adop- ción das medidas oportunas para unha defensa eficiente.

A contorna de preprodución continuará pertencendo ao organismo. Desde o Centro de Opera- cións de Ciberseguridade poderanse vixiar as conexións ás contornas de preprodución expostos en Internet.

Se se ten o CPD en hosting tamén se pode ter o servizo do Centro de Operacións de Ci- berseguridade, sempre que a Entidade estea adscrita ao Lote 3, e a saída a Internet correspon-dente a esa Entidade desde o citado hosting se faga a través da infraestrutura centralizada provista por ese lote..

1Q/2 Q 2018: Fase previa á implantación

  • Selección de entidades piloto.

2Q/3 Q 2018: Implantación do servizo

  • Modificacións na arquitectura de comunicacións (lote 3).
  • Adquisición e implantación de dispositivos de seguridade SOC-AGE.
  • Deseño detallado do modelo de xestión do servizo.
  • Deseño detallado do procedemento de migración das entidades piloto.

4Q 2018: Proxectos piloto

  • Inicio de pilotos con entidades seleccionadas.

2019 e sucesivos: Extensión e consolidación do servizo

  • Incorporación progresiva de entidades adscritas ao lote 3 de comunicacións.
  • Evolución e ampliación dos servizos de seguridade ofrecidos

III. Interlocución

Ofrecerase dentro do soporte un punto de contacto, un enderezo de correo electrónico ao cal diri-xirse para solicitar a adhesión ou máis información (Mail SOC-AGE)

Inicialmente, a interlocución co SOC realizarase a través do punto de contacto ou enderezo de correo electrónico Mail SOC-AGE

Posteriormente, durante a fase de implantación do servizo definiranse as canles de comunicación concretas para os Responsables de Seguridade e o persoal técnico das entidades.

IV. Responsabilidade

A responsabilidade sobre o Centro de Operacións de Ciberseguridade corresponde á Secretaría Xeral de Administración Dixital (SGAD), en desenvolvemento das competencias atribuídas polo artigo 14.2.a) do Real Decreto 769/2017, do 28 de xullo, polo que se desenvolve a estrutura orgánica básica do Ministerio de Facenda e Función Pública, que exercerá a dirección estratéxica do Centro de Operacións de Ciberseguridade a través da División de Planificación e Coordinación de Ciberseguridade.

A operación do servizo do Centro de Operacións de Ciberseguridade correrá a cargo do CCN-CERT, segundo as competencias atribuídas polo Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Adminias seguintes funcións: las siguientes funciones:

  • Definición do marco estratéxico de actuación, que incluirá entre outras actuacións: definición do servizo (parámetros, procesos asociados, etc.), do marco de relacións coas entidades usuarias, das canles de comunicación e informativas, etc.
  • Dirección técnica do proxecto de implantación, dos proxectos de evolución do servizo e dos proxectos de integración de entidades.
  • Seguimento e xestión do servizo, incluíndo a coordinación cos Responsables de Seguri-dade das entidades e outros actores involucrados, e a xestión das incorporacións de novas entidades ao servizo.
  • Coordinación técnica dos proxectos de integración coas infraestruturas técnicas de terceiros, tanto as das entidades que se adhiren ao servizo, como as infraestruturas compartidas e transversais que ofrece a SGAD ao resto da AGE.
  • Coordinación da resposta ante incidentes de seguridade entre os diferentes axentes afectados, e dos posteriores labores de apoio ás entidades que padeceron un incidente.
  • Difusión e promoción do servizo.

Corresponde ao Centro Criptolóxico Nacional (CCN) adscrito ao Centro Nacional de Intelixencia, en coordinación coa Secretaría Xeral de Administración Dixital e no marco da estratexia de acción definida, as funcións de operacións e intelixencia de ciberseguridade, que incluirán as seguintes:

  • Implantación da infraestrutura técnica e servizos de seguridade.
  • Definición de procedementos de operación de Ciberseguridade.
  • Operación de ciberseguridade, incluída a operación, seguimento e actualización de dis-positivos de defensa perimetrais.
  • Detección, resposta coordinada e asistencia na resolución de incidentes de seguridade.
  • Apoio á investigación de ciberataques e ciberameazas.
  • Análise de vulnerabilidade de aplicacións e servizos.
  • Servizos antiabuso de identidade dixital.

A entidade a través do seu responsable de seguridade mantén a súa responsabilidade en can-to á protección da información e servizos ao seu cargo.

Cada entidade poderá prescribir as súas propias políticas de seguridade, que serán implementadas e xestionadas por persoal especializado do Centro de Operacións de Ciberseguridade da AGE e as súas OO.PP. Con todo, existirán unhas políticas de seguridade base para os servizos, definidas polo SOC, que establecerán uns requisitos mínimos de seguridade común.

O Centro de Operacións de Ciberseguridade aplicará as medidas previstas no servizo, que inclúen a detección, resposta coordinada, investigación de ciberataques e ciberameazas e resolución de incidentes de seguridade.

Por tanto, o SOC contará coa capacidade de detectar incidentes de seguridade que afecten ás entidades, o que non exime á entidade da súa responsabilidade de notificación de incidentes de seguridade que lle afecten e que ela mesma teña detectado.

O Centro de Operacións de Ciberseguridade contará coa capacidade de detectar incidentes de seguridade que afecten ás entidades, o que non exime á entidade da súa responsabilidade de notificación de incidentes de seguridade que lle afecten e que ela mesma teña detectado.

O persoal do Centro de Operacións de Ciberseguridade poderá encargarse da xestión dos incidentes de seguridade das entidades, incluíndo os diversos niveis.

Haberá unha matriz de escalado, e cada entidade decidirá que tipos de actuación dentro da xes- tión do incidente delega e cales non, o cal quedará reflectido no acordo de prestación do servizo.

Ante situacións de emerxencia, por exemplo, ataques de seguridade graves que estean afectando de maneira xeneralizada ás entidades adscritas ao servizo, o SOC poderá realizar actuacións de mitigación de carácter urxente, que comunicará coa maior celeridade posible aos responsables de seguridade das entidades para o seu coñecemento.

Definiranse uns acordos de nivel de servizo (ANS) para garantir a calidade dos servizos ofrecidos.

Contémplase a existencia de indicadores do servizo que se compartirán coas entidades usuarias.

Definiranse ANS para poder garantir un servizo áxil na resolución das necesidades das entidades, considerando os distintos niveis de perigo e priorización de actuación que poida ter cada incidencia/incidente.

Estableceranse canles áxiles de comunicación para as consideradas moi urxentes.

Certificarase o cumprimento do ENS do servizo prestado polo SOC.

Dispoñerase de ferramentas automáticas de análises de vulnerabilidade en diversos sistemas ope-rativos que analizarán entre outras cousas, portos, servizos e que tentarán a explotación das vul-nerabilidades atopadas, realizando un informe que será remitido ás Entidades.

Pero non se contempla o apoio á corrección de vulnerabilidades detectadas en aplicativos.

Cada entidade poderá prescribir as súas propias políticas de seguridade, que serán implementadas e xestionadas por persoal especializado do Centro de Operacións de Ciberseguridade da AGE e as súas OO.PP.

Con todo, existirán unhas políticas de seguridade básicas para os servizos, definidas polo SOC, que establecerán uns requisitos mínimos de seguridade común.

Cada entidade decide sobre os permisos de acceso aos datos.

En calquera caso, existirán acordos de confidencialidade que deberá asinar o persoal con acceso a datos das entidades.

O SOC achegará evidencias e colaboración para investigacións sempre que exista unha orde xudi- cial.

Os rexistros de eventos (logs) referentes a unha entidade que custodie o Centro de Operacións de Ciberseguridade son propiedade da entidade.

Poñerase tamén a disposición das entidades a posibilidade de realización, previa xustificación da petición, de análises forenses e actividades de resposta a incidentes naqueles casos que vaian requirir actuación xudicial..

A compra dos soportes informáticos para ser entregados ao xulgado ou a unha das partes implacadas no proceso, así como a custodia dos mesmos por un terceiro, será por conta da entidade.

V. Orzamento e contratación

Os servizos centralizados non dan lugar a que se detraia do orzamento.

Se se asumen certos aspectos de seguridade interna, como a adquisición de equipamento non cotemplado entre o soportado polo Centro de Operacións de Ciberseguridade correría a cargo da entidade (ti adquírelo, eu opéroo).

De maneira xeral, si, xa que se persegue a utilización de ferramentas e recursos necesarios para prover a mellor solución de seguridade dispoñible ao posibilitar unha maior interoperabilidade entre diferentes elementos e servizos de seguridade.

VI. Outras cuestións

Como parte dos servizos de seguridade perimetral ofrecidos polo Centro de Operacións de Ciberseguridade, a análise do correo electrónico proveniente da Internet realizarase para os organismos de modo transparente. Se o organismo se adscribe ao Servizo de Correo Electrónico Unificado da AGE, que contempla a xestión completa do servizo electrónico, poderáselle realizar un maior grao de análise.

A arquitectura exposta é multitenant en todos os seus elementos, tamén nos sistemas de pro- tección do correo, polo que, se fose necesario, poderían aplicarse distintas configuracións para cada entidade, sempre que respecten as políticas de seguridade mínimas definidas para o servizo.

O descifrado realizarase para analizar o tráfico SSL e, por tanto, dar protección aos servizos que os organismos adscritos ao programa expoñen en Internet. Poderase por tanto interceptar o tráfico con código daniño ou malware que vai cifrado sobre o protocolo SSL. Exceptuaranse categorías de información que se poidan considerar sensibles, como, por exemplo, as relativas a datos financei-ros ou de saúde.

Os certificados de organismos adscritos atoparanse nos almacéns de certificados do Centro de Operacións de Ciberseguridade da AGE.

Serán os dispositivos de seguridade os que fagan o tratamento do tráfico en claro, para aplicar as proteccións que están configuradas.

Loxicamente, os administradores de seguridade do Centro de Operacións de Ciberseguridade de-berán ter tamén acceso a ese tráfico para solucionar problemas ou optimizar configuracións, así como o teñen agora os técnicos de seguridade das entidades que se unen, aos que o persoal do Centro de Operacións de Ciberseguridade substitúe.

Por suposto, a todo o persoal do Centro de Operacións de Ciberseguridade se lle esixe absoluta confidencialidade, e terán asinado os acordos correspondentes. Os administradores utilizarán usuarios que se identifiquen completamente e activaranse mecanismos xerais de auditoría de ac-ceso aos logs dos dispositivos de seguridade.

Será necesario que o elemento da arquitectura que realice o descifrado do acceso SSL ás aplica-cións das entidades que así o queiran, teña instalados os certificados de todas as aplicacións das entidades ás que protexe, por suposto, custodiados coas suficientes garantías.

En canto ao descifrado de tráfico de navegación das entidades, será necesario distribuír un certifi-cado raíz de confianza emitido polo Centro de Operaciones de Ciberseguridade a todos os clientes de cada entidade.

En calquera caso, o alcance do servizo de análise de tráfico cifrado analizarase xunto ás entidades de maneira previa á súa migración.

Os sistemas de respaldo van ser xemelgos en canto a medidas de seguridade, sempre que a saída a Internet dos citados centros de respaldo se faga a través do Lote 3, de igual maneira que a do sistema principal.

Quérese que o proxecto sexa o máis xenérico posible e á vez conte coas capacidades para cinguirse ás especificacións de cada organismo adscrito. O traballo actual enfócase a ter unha dimensión de tráfico e tecnoloxías do maior número de organismos. Por exemplo, se ten en conta que os aceleradores de SSL poden traballar con novas especificacións criptográficas.

A idea é que o Centro de Operacións de Ciberseguridade poida evolucionar para seguir ofrecendo sempre as que se consideren as mellores proteccións dispoñibles no mercado.

Certamente é un dos elementos máis difíciles de configurar para evitar que afecte as aplicacións das entidades. Por iso, deberase contar coa colaboración de persoal das entidades afectadas, incluíndo responsables de aplicacións.

Será unha interlocución tanto na primeira implantación como cando se evolucionen as aplicacións. As ferramentas de xestión de incidencias permitirán que esa comunicación sexa fluída.

O que se ofrece con este servizo é unha nova plataforma DNS adicional, que exercerá como proxy naquelas peticións DNS realizadas en navegación de usuarios. Desta maneira, poderanse habilitar proteccións adicionais que permitan impedir conexións con servidores de Command and Control coñecidos e permitirá ademais dispoñer dunha fonte de información na detección de ataques e de código daniño nas entidades para o seu posterior tratamento.

Non se trata por tanto dos DNS externos dos organismos, entendendo como tales os que al-bergan os dominios publicados en Internet, xa que esta xestión se realiza desde o Lote 3 do con-curso de comunicacións centralizado.

Non, o equipamento sitúase na zona de protección perimetral do acceso centralizado a Internet da AGE.