Que servizos ofrece CSIRT.gal?

Para cooperar na prestación dos seus servizos á sociedade galega, en cada caso dentro das condicións que se establecen para os distintos colectivos destinatarios, constituíuse unha oficina técnica cuxas funcións principais son:

  • Soporte e apoio ao goberno e xestión da seguridade da información
  • Apoio no cumprimento normativo
  • Xestión de ferramentas de seguridade
  • Difusión das políticas, normas e procedementos de seguridade establecidos

A continuación descríbense os principais servizos que se prestan desde CSIRT.gal:

1. SERVIZOS E FERRAMENTAS DE MONITORIZACIÓN

Monitorización do nivel de ciberseguridade de Galicia e Entidades Galegas

Este servizo obtén a información de fontes públicas dispoñibles en Internet (whois, rexistros DNS, RIPE, ...) e de elementos de análises non invasivas, sen comprometer en ningún momento o perímetro das organizacións monitorizadas.

Grazas a esta monitorización, a nivel rexional pódese medir o risco de ciberseguridade media e comparalo co nivel de ciberseguridade global do resto de territorios de España, identificar os sectores produtivos con maior risco cibernético e supervisar a evolución dos índices de ciberseguridade tanto en cada un deses sectores como en media no territorio. 

Para as entidades públicas galegas, obtéñense e proporciónanselles datos sobre os riscos informáticos que as ameazan desde Internet en función da observación do seu tráfico e da configuración dos servizos aos que se pode acceder en todas as direccións IP que lles están asignadas (isto coñécese como superficie de exposición da entidade), contribuíndo á remediación dos problemas atopados e obtendo polo tanto redes e servizos máis seguros.

Imaxe
Monitorización ciberseguridad

Monitorización continua da superficie de exposición

A análise continua de vulnerabilidades permite detectar todos os servizos de rede ofrecidos en direccións IP seleccionadas de entre as pertencentes ás entidades supervisadas, proporcionando información detallada sobre eses servizos, os sistemas nos que se están executando e as versións de software que teñen instaladas, o que permite proporcionar recomendacións sólidas para a asignación de recursos de supervisión e mellora.

Con esta información pódese comprobar se as aplicacións instaladas teñen a versión apropiada en función do tipo de sistema e que todos os elementos se atopen libres de vulnerabilidades coñecidas, así como comprobar que se aplicaron os parches e actualizacións requiridos. Deste xeito pódese avaliar o risco que supoñen as configuracións analizadas e a necesidade de proceder a actualizalas.

Imaxe
Pantalla ciberseguridad

Servizo de pentesting persistente

O pentesting ou test de penetración ten como obxectivo detectar as vulnerabilidades existentes nos dominios analizados. Este servizo incorpora e automatiza as últimas técnicas e ferramentas dos atacantes, e permite replicar o modelo de ataque en tres pasos que utilizan os cibercriminais:

  • Colleitar información
  • Analizar activos
  • Explotar vulnerabilidades

Ao simular ataques da maneira que o faría un cibercriminal detéctanse debilidades e vulnerabilidades que deben ser corrixidas. Os datos obtidos son analizados por un equipo de seguridade cualificado que avalía os activos e descarta os falsos positivos para, finalmente, proporcionar solucións a configuracións inseguras de sistemas, ficheiros potencialmente explotables e calquera outro tipo de vulnerabilidade que se detecte. A repetición periódica destas operacións permite verificar a corrección dos problemas achados e incorporar novas probas segundo se van coñecendo novas vulnerabilidades.

Imaxe
Grupo de servidores informáticos

2. Servizos de Vixilancia Dixital

O servizo de Vixilancia Dixital é unha solución integral dirixida á detección e prevención de posibles ameazas de seguridade para evitar que se convertan nun problema real.

Proporciona protección adicional fronte a outros tipos de riscos e ameazas que se detectan en Internet, como a existencia de dominios sospeitosos (que poidan ser utilizados en esquemas de phishing), exposición de información confidencial e roubo de credenciais. As características principais sobre as que se cimenta este servizo son:

  • Detección proactiva de abusos que atenten contra a marca e a reputación da entidade
  • Anticipación ante abusos cuxa finalidade sexa a disrupción no negocio
  • Detección de actividades susceptibles de converterse en accións fraudulentas
  • Xestión e redución do volume de ameazas dixitais
Imaxe
Hacker informático

3. Servizos de xestión de eventos e información de seguridade

Implementouse un servizo SIEM (xestión de eventos e información de seguridade) que permite colleitar, correlacionar e analizar de forma automatizada os eventos, notificacións de alarma e arquivos de rexistro proporcionados a partir de fontes de datos de sistemas e equipos de seguridade, co obxectivo de visibilizar canto antes os ataques ou as tendencias de ataque en tempo real.

Este servizo ofrece unha capa de valor adicional sobre a seguridade que achegan os equipos perimetrais:

  • Monitorizando de forma centralizada todas as ameazas
  • Diferenciando ameazas reais de falsos positivos
  • Achegando coñecemento experto aos eventos
  • Detectando tendencias e patróns, obtendo así un alto grao de proactividade
Imaxe
Servizos de xestión de eventos e información de seguridade

4. Servizos de auditoría técnica

Realízanse revisións técnicas sobre diferentes contornas para a mellora da ciberseguridade:

  • Redes e sistemas:
    • Posto de traballo
    • Dispositivos móbiles
    • Redes WIFI
  • Aplicacións:
    • Aplicacións web
    • Aplicacións móbiles
    • Análise estática e dinámica
  • Probas de intrusión
  • Servizos de Red Team*

* En ciberseguridade chámase ‘Equipo Vermello’ (Red Team) a un grupo de expertos que pon en práctica contra a rede propia as técnicas de ataque utilizadas polos cibercriminais, co obxectivo de identificar e eliminar as súas vulnerabilidades. Como complemento, o ‘Equipo Azul’ (Blue Team) necesita ser consciente desa mesma información, pero desde o punto de vista de organizar a mellor defensa posible dos activos de información da rede.

Imaxe
Servizos de auditoría técnica

5. Servizos de auditoría normativa

Realízanse revisións normativas para a mellora da seguridade da información e a protección de datos persoais. Principalmente en tres ámbitos concretos:

  • Esquema nacional de seguridade (ENS) e tarefas de adecuación ao mesmo
  • Protección de datos persoais (RXPD/LOPDGDD)
  • Normas ISO 27000
Imaxe
Servizos de auditoría normativa

6. Formación, concienciación e talento

As persoas usuarias adoitan ser o elo máis débil da cadea de seguridade e por iso é esencial contar con programas de formación e concienciación que as doten dos coñecementos e recursos necesarios para poderen exercer de verdadeiras ‘devasas humanas’.

Un dos principais obxectivos do CSIRT.gal é a formación e concienciación das persoas usuarias, tanto principiantes como expertas, e da cidadanía en xeral. Para iso desenvólvense campañas de concienciación e actividades formativas dirixidas aos distintos colectivos mediante diferentes recursos, tales como:

  • Charlas de formación sobre ciberseguridade e protección de datos
  • Pílulas informativas, infografías e informes
  • Servizo de avisos e alertas de seguridade
  • Artigos especializados
  • Vídeos formativos

Algúns destes materiais dispoñen canles diferenciadas para a súa distribución, pero todos eles están dispoñibles para calquera persoa ou entidade interesada a través deste Portal de Ciberseguridade de Galicia. 

Todo este esforzo busca o desenvolvemento das capacidades necesarias que axuden ás entidades e persoas usuarias a faceren fronte ás ameazas inherentes ao uso das Tecnoloxías da Información, nunha contorna de aprendizaxe constante. O obxectivo final é que diminúan os incidentes de seguridade e fugas de información entre a cidadanía, nas organizacións e nas entidades galegas.

Imaxe
Persona en videollamada tomando apuntes