Descripción del proyecto
LOS SISTEMAS DE MONITORIZACION DE LA SEGURIDAD EN RED (NSM) SE ENCUENTRAN HOY EN DIA ENTRE LOS COMPONENTES MAS RELEVANTES PARA LA DETECCION Y RESPUESTA A LOS CIBERATAQUES, SIN EMBARGO, SUS CAPACIDADES DE DETECCION SE LIMITAN EN SU MAYORIA A ATAQUES CONOCIDOS Y TIENDEN A GENERAR UNA GRAN CANTIDAD DE ALERTAS, MUCHAS DE LAS CUALES SON FALSOS POSITIVOS, ASI, LOS OPERADORES DE CIBERSEGURIDAD (CSO) DEBEN SUPERVISAR UNA GRAN CANTIDAD DE ALERTAS PARA DETERMINAR LA OCURRENCIA REAL DE INCIDENTES, MIENTRAS QUE ALGUNOS DE ELLOS PERMANECEN SIN SER DETECTADOS, ESTE PROYECTO TIENE COMO OBJETIVO DESARROLLAR NUEVAS TECNICAS PARA MEJORAR LAS CAPACIDADES DE DETECCION MEDIANTE LA ADICION DE NUEVOS METODOS BASADOS EN ANOMALIAS COMBINADOS CON LA CORRELACION Y PRIORIZACION DE ALERTAS INCORPORANDO INFORMACION CONTEXTUAL DE LA RED, ESTO MEJORARA LA CALIDAD DE LAS ALERTAS Y REDUCIRA LA TASA DE FALSOS POSITIVOS,EN ESTA PROPUESTA SE PLANTEA EL DESARROLLO DE UN NSM ESPECIFICO PARA PLANTAS INDUSTRIALES CON ELEMENTOS DEL INTERNET OF THINGS (IOT) Y, MAS CONCRETAMENTE EN UNO DE SUS USOS VERTICALES: LAS SMARTCITY, LAS INSTALACIONES QUE PUEDEN BENEFICIARSE DE LA SOLUCION OBJETO DE ESTE PROYECTO SON AQUELLAS QUE PERMITEN EL CONTROL Y MONITORIZACION DE PARQUES DE DISPOSITIVOS INTELIGENTES (IOT, SMARTCITY), DESDE UNA APLICACION O SERVICIO WEB QUE SE UTILIZA COMO INTERFAZ DE USUARIO PARA LA GESTION DE SERVICIOS INTELIGENTES, LA ELECCION DEL ESCENARIO TIENE UNA TRIPLE MOTIVACION, PRIMERO, POR LA GRAN RELEVANCIA Y EXPANSION DE ESTE TIPO DE REDES EN LA ACTUALIDAD, SEGUNDO, EL ESCENARIO PLANTEA UNA SERIE DIFICULTADES Y REQUISITOS ESPECIFICOS QUE NO HAN SIDO CONVENIENTEMENTE ABORDADOS EN LOS SIEM ACTUALES, Y TERCERO, LA SELECCION DEL ESCENARIO PERMITE ACOTAR EL CONTEXTO, LO QUE POSIBILITA UN ABORDAJE ADECUADO DE LA INCORPORACION DE INFORMACION CONTEXTUAL, EL SISTEMA A DESARROLLAR INCORPORARA MULTIPLES DETECTORES, INCLUYENDO LOS USADOS HABITUALMENTE, CONSIDERANDO NUEVOS DETECTORES ESPECIFICOS PARA EL ESCENARIO QUE ESTAN ORIENTADOS A LAS DIVERSAS AMENAZAS EXISTENTES, ASI, SE DESARROLLARAN DETECTORES BASADOS EN ANOMALIAS A NIVEL DEL TRAFICO OBSERVADO (FLUJOS), A NIVEL DE APLICACION (SENSORIZACION) Y A NIVEL DE LOS SERVICIOS WEB USADOS PARA LA OPERACION REMOTA, ADICIONALMENTE, SE HARA USO DE TECNICAS DE INTELIGENCIA ARTIFICIAL PARA LA CORRELACION Y PRIORIZACION DE LAS ALERTAS INCORPORANDO INFORMACION RELATIVA AL ESTADO E HISTORIA PREVIA DE LA RED, ESTO PERMITIRA IDENTIFICAR FALSOS POSITIVOS, REDUCIR EL NUMERO DE ALERTAS FINALMENTE ENVIADAS AL CSO Y MEJORAR LA INFORMACION EN LAS MISMAS,UN ELEMENTO RELEVANTE Y NOVEDOSO ES EL USO DE UNA MATRIZ DE TRAFICO GENERADA A PARTIR DE FLUJOS EN DIFERENTES ESCALAS DE TIEMPO, ESTA MATRIZ CONTIENE INFORMACION SOBRE LAS CONEXIONES DE RED QUE PUEDEN EXPLOTARSE PARA MULTIPLES USOS, ASI, SE PUEDEN ESTABLECER ALGUNOS INDICADORES DE COMPROMISO PARA IDENTIFICAR ATAQUES, TAMBIEN SE PUEDE UTILIZAR PARA APLICAR VARIOS TIPOS DE ANALISIS DE MINERIA DE DATOS, COMO LA BUSQUEDA DE PATRONES COMUNES ENTRE FLUJOS, REALIZAR PERFILES DE TRAFICO DE SERVICIOS, EVALUAR LA IMPORTANCIA Y ENCONTRAR RELACIONES ENTRE ACTIVOS, LA INFORMACION EXTRAIDA DE ESTA MATRIZ SE UTILIZARA COMO INFORMACION CONTEXTUAL EN LA CORRELACION Y PRIORIZACION DE ALERTAS,FINALMENTE, LA ARQUITECTURA PROPUESTA INCLUYE REALIMENTACION A PARTIR DE LAS ACCIONES DEL CSO, LO QUE PERMITE EVALUAR LA CALIDAD DE DETECCION Y PRIORIZACION Y AJUSTAR EL RENDIMIENTO DEL SISTEMA, CIBERSEGURIDAD\DETECCION DE ATAQUES\MINERIA DE DATOS\MONITORIZACION DE REDES\DETECCION DE ANOMALIAS\IOT\INDUSTRIA CONECTADA