Las entidades de la Red Nacional de SOC intercambian más de 30 alertas diarias sobre ciberamenazas
- TECNOLOGÍAS
El principal objetivo de la Red Nacional de SOC es notificar de forma inmediata cualquier indicio de ciberataque para que sus integrantes puedan mejorar su capacidad de protección, implementando las medidas preventivas necesarias.
Hace ahora dos años, en octubre de 2021, el Centro Criptológico Nacional del Centro Nacional de Inteligencia ponía en marcha la Red Nacional de Centros de Operaciones de Ciberseguridad (RNS). Desde entonces, son ya 141 las entidades adheridas, entre SOC públicos y los pertenecientes a las empresas que les prestan servicios, mediante la que se comparten de media diaria más de 30 alertas sobre ciberamenazas activas.
El principal activo de la RNS es precisamente la información que se comparte sobre indicadores de ataque (IOA) y de compromiso (IOC), que permite su bloqueo inmediato en las entidades: direcciones IP de atacantes, localizaciones y ficheros con contenidos dañinos, reglas de detección de amenazas, entre otros.
Es importante destacar que a través de la Red Nacional de SOC no se comparte información que pueda contener datos de víctimas de posibles ataques. Tampoco se intercambian informes o investigaciones genéricas sobre amenazas en el ciberespacio si éstas no se están materializando o no han sido detectadas por los miembros de la RNS.
¿Quién forma parte de la RNS?
Para que un organismo público pueda formar parte de la Red Nacional de SOC como entidad pública debe cumplir, entre otros, los siguientes requisitos:
- Pertenecer al sector público español.
- Disponer de servicios de ciberseguridad o de SOC
- Tener instalada y utilizar la herramienta LUCIA (o en proceso de instalación)
Por su parte, las empresas que desean adherirse a la RNS deberán cumplir, entre otros, los siguientes:
- Prestar servicios de ciberseguridad o de SOC al sector público
- Utilizar LUCIA para notificar incidentes al CCN-CERT en nombre de alguno de sus clientes (o estar en proceso de implantación)
Con el objetivo de fomentar la participación y el intercambio, la RNS dispone de un mecanismo, dirigido exclusivamente a las entidades proveedoras, que puntúa la colaboración y posiciona a los miembros en dos niveles en función de su actividad dentro de la Red ("Gold" e "Informado").
Próximas mejoras de la RNS
La Red Nacional integrará no solo a los SOC de los organismos de la Administración Pública española, sino a todos aquellos que operan en España. La participación en la Red se hará extensiva también a otras comunidades y foros de intercambio de información nacionales, como CSIRT.es, o internacionales, como la Red Europea de SOC (ENSOC).
Asimismo, se están definiendo pautas concretas para enriquecer la información compartida. A su vez, se está trabajando en el establecimiento de nuevos criterios de puntuación, que midan y evalúen la naturaleza del incidente compartido y que penalicen los falsos positivos.