RNS 2.0 - Red Nacional de SOC

Ceci est le deuxième article que j'écris sur le RNS espagnol sur mon blog personnel. J'ai écrit sur SOC-RNS Balance 2023 del CCN la semaine dernière où je vous ai raconté l'évolution de ce service public depuis sa naissance jusqu'à aujourd'hui. Cependant, j'ai regardé ces jours-ci une nouvelle vidéo sur le RNS dans laquelle CCN-CERT nous parlait d'un PoC qu'ils ont déployé chez certains membres pour améliorer le RNS. Ils l'ont appelé le RNS 2.0. On y va !

Depuis 2021, date du premier lancement du RNS, et tout au long de 2022, des travaux ont été menés pour jeter les bases de la communauté RNS où un canal de communication sécurisé a été mis à la disposition de tous les membres via Element, l'échange MISP et un portail web privé. En 2023, le CCN-CERT a réfléchi à la manière d'améliorer le RNS et il a été décidé d'enrichir les outils IRIS, ANA et MONICA. A cet effet, courant 2023, un pilote a été organisé avec certaines organisations.

La première partie du projet pilote consistait à évaluer la surface d'exposition. A cet effet, des audits externes et internes ont été réalisés afin de remonter tous les résultats dans l'outil ANA. L'objectif principal de cette phase a été de pouvoir identifier les vulnérabilités dont disposent les organismes pour profiter de ces informations contextuelles afin de pouvoir alerter de nouvelles vulnérabilités qui pourraient affecter le reste des organismes.

Dans la deuxième partie du projet pilote, on souhaitait pouvoir recevoir des événements générés par les systèmes MONICA et GLORIA des organisations. Pour ce faire, il a été demandé aux organisations d'envoyer des événements et des alertes à un MONICA central. L'objectif principal était d'intégrer ces alertes dans l'outil IRIS afin d'analyser la volumétrie, la typologie des alertes et événements, les types d'incidents, etc. De plus, le SIEM central de MONICA, agissant comme centralisateur d'alertes, applique le renseignement et, grâce à des règles de corrélation, peut être alerté de nouveaux incidents pouvant affecter le reste des membres du RNS.

 

MONICA

Courant 2024, le CCN-CERT souhaite lancer un service d'évaluation des surfaces d'exposition à destination de tout membre du RNS afin qu'il puisse avoir une première vision de l'état de sa sécurité et de ses vulnérabilités. Deuxièmement, le CCN-CERT souhaite lancer un service d'envoi d'alertes sur d'éventuels incidents de sécurité qui pourraient affecter les membres du RNS. Enfin, on souhaitait profiter des informations rapportées par IRIS, ANA et MONICA pour les intégrer dans le portail privé du site.

Je pense que ce PoC est vraiment intéressant pour les améliorations du RNS. Ce PoC m'a rappelé comment Alienvault fonctionnait lorsque je l'utilisais il y a dix ans. Il y avait un outil d'évaluation de la vulnérabilité (OpenVAS) intégré au SIEM. Il semble désormais que le CCN-CERT veuille faire de même pour tous ses membres. Bravo !

Passe une bonne journée !!