El Sistema de Alerta Temprana (SAT) y la Red Nacional de SOC fueron los protagonistas de la segunda jornada de los Encuentros CCN. Bajo el título de XI Jornada de SAT y II Encuentro de la RNS, varios expertos del Centro Criptológico Nacional explicaron las últimas novedades de algunas de las herramientas con las que cuenta el organismo público, así como la situación presente y futura de la mencionada Red.
Los primeros ponentes en intervenir fueron Carlos Abad, jefe del Área de Sistemas de Alerta y Respuesta a Incidentes del CCN; y Ramón Sáez, jefe del Proyecto del SAT del CCN. Ambos hablaron del servicio SAT que pone a disposición el Centro. En concreto, afirmaron que en SAT-Internet hay 303 sondas desplegadas en 289 organismos; y 33 sondas en 30 organismos en lo relacionado con SAT-ICS. «En los dos casos se está experimentando una tendencia alcista año tras año», completaron al respecto.
En cuanto a los ataques que más detectó el mencionado Sistema de Alerta Temprana en el último año, se encontraron los ataques contra servicios web en diferentes variantes. Y en lo referente al malware, el mayor volumen de incidentes estuvo relacionado con los troyanos, seguidos por otros como spyware, amenazas persistentes avanzadas, etc.
REYES 4.0 y microCLAUDIA
A continuación, Álvaro, coordinador del Equipo de Respuesta a Incidentes del CCN, habló de REYES 4.0. Esta herramienta de intercambio de ciberinteligencia para el análisis y detección de ciberamenazas detectó en el último año 54.000 eventos.
Una de sus principales características, tal y como se destacó en la jornada, son las listas negras. «REYES tiene publicadas 68 listas negras, lo que aporta mucho valor. En ellas hay cerca de cuatro millones de indicadores de compromiso. De hecho, se han producido incidentes relacionados con infraestructuras de cibercriminales que se encontraban en esas listas negras, por lo que se podrían haber evitado», completó el representante del CCN.
En lo relacionado con microCLAUDIA, su responsable de proyecto, Agustín, expuso lo que para él debería ser la seguridad del puesto: «Lo primero que se debería tener es un EDP, aunque es relativamente sencillo para los atacantes saltarlo. Por tanto, habría que contar con una capa de protección adicional a través de un EDR, que da una visibilidad mayor que un antivirus. Así se sube la barrera de la protección, pero para tener una protección adicional se debería disponer de microCLAUDIA», aseguró.
No en vano, el panorama de los ciberataques está cada vez más complicado. Es más, dos de las amenazas en las que más está inmiscuido el CCN están a la orden del día: el ransomware y el ciberespionaje. De dar a conocer cómo actúa este organismo ante determinadas variantes de ambos se encargó Álvaro, coordinador de Respuesta a Incidentes del CCN.
Este profesional expuso, además, una serie de recomendaciones de ciberseguridad. Entre ellas, utilizar las herramientas gratuitas del CCN, realizar una vigilancia continua, tener un equipo dedicado a ello, investigar las alertas e implementar el doble factor de autenticación. «Esta última medida quita muchos dolores de cabeza», abogó al respecto.
Red Nacional de SOC
Otro de los protagonistas de estos Encuentros del CCN fue la ya puesta en marcha Red Nacional de SOC. Carlos Córdoba, jefe del Área de Centros de Operaciones de Ciberseguridad del CCN, fue el primero de los ponentes que habló de ella. «Hasta diciembre veremos las mejoras que deberemos implementar y las cosas que hemos hecho bien. A partir de ahí, tendremos la RNS 2.0«, afirmó.
Córdoba recordó durante su intervención los requisitos para acceder a esta Red: pertenecer al sector público, disponer de servicios de ciberseguridad, aceptar el código ético y utilizar LUCIA para notificar los incidentes al CCN-CERT.
«Un SOC son personas. Son su principal componente. Sin embargo, a día de hoy, en la Administración hay poca gente dedicada a seguridad. Lo que queremos es que se contraten estos servicios», completó el ponente.
No en vano, para Fran, del Área del Centro de Operaciones de Seguridad y miembro responsable de la RNS, «cuanto más seguro esté el sector público, más seguros estaremos todos». De ahí que destacara la palabra ‘colaboración’ como la principal base de la Red, cuyo modelo es federado, como bien explicó el último representante del CCN en intervenir en el panel, Nacho.
Finalmente, Javier Candau, jefe del Departamento de Ciberseguridad del CCN, clausuró el encuentro instando a la inversión que deben hacer las administraciones públicas en materia de ciberseguridad.
Encuentros CCN: Nuevo ENS: un «cambio cultural» para la ciberseguridad de las administraciones
Archivado en:
