<< Volver atrás

Tesis:

Propuesta de un modelo de caracterización de ciberataques para entornos de conciencia cibersituacional

  • Autor: SÁNCHEZ ZAS, Carmen

  • Título: Propuesta de un modelo de caracterización de ciberataques para entornos de conciencia cibersituacional

  • Fecha: 2024

  • Materia:

  • Escuela: E.T.S. DE INGENIEROS DE TELECOMUNICACION

  • Departamentos: INGENIERIA DE SISTEMAS TELEMATICOS

  • Acceso electrónico: https://oa.upm.es/82218/

  • Director/a 1º: VILLAGRÁ GONZÁLEZ, Victor Abraham
  • Director/a 2º: LARRIVA NOVO, Xavier A.

  • Resumen: Today, the constant development of artificial intelligence has a major impact on system security. New challenges are continuously arising and are being met by research currently focused on the concept of cyber situational awareness, which provides a global view of the security of a system. Current cyber-attack trends show that are becoming more frequent and complex, using advanced techniques and zero-day attacks that make them considerably more difficult to detect. This raises the issue of the lack of knowledge about these cyber-attacks and their characterisation, making it possible to adapt responses to incidents and to consider the ability to automate them so that the associated risks can be mitigated in real time. This is the main motivation behind the proposal of this Doctoral Thesis, a model for characterising cyber-attacks in cyber-situational awareness environments. To this end, first, an intrusion detection system based on heterogeneous data sources, such as physical and logical communication sensors, is proposed. In addition, a method for identifying MITRE ATT&CK techniques in traffic logs is presented, which allows extracting information such as attack patterns or possible recommended mitigations and favours the subsequent risk management and automatic recommendation of responses to the detected incidents. Based on the analysis of the state of the art and the literature, the modules that compose the cybersituational awareness environment and enable this characterisation are proposed. Firstly, an intrusion detection system, composed of unsupervised machine learning models trained to learn the normal behaviour within the data generated by heterogeneous devices, and to generate alerts when the system detects anomalous behaviour according to the characteristics of the information or according to the timestamp in which they are received. The operation of this module allows the identification of possible threats to the protected system carried out not only through the network but also using technologies such as Wi-Fi, Bluetooth, radio frequency, mobile networks or user behaviour. In addition to considering other sources, the most common cyber-attacks are carried out through networks, whether internal or external. Therefore, in the cyber-situational awareness environment, a module focused on the characterisation of this type of attack is needed. Using decision tree models, it identifies in traffic logs a set of MITRE ATT&CK techniques. This not only allows distinguishing the type of cyber-attack being carried out from the tactic but also allows deducing vital information for the characterisation, such as the possible attack patterns of the adversary, in which step they are and recommended countermeasures to mitigate the effect of cyber-attacks on a given system. To complete the proposed environment, the information from the incident detection module and the characterisation of techniques in traffic records are collected in an ontology for dynamic risk management. This also has the capacity to be interoperable, transferring the results of other methodologies to a common standard, ITSRM, so that results can be compared or information can be exchanged regarding responses in previous situations. From this knowledge model, a set of recommendations against cyber-attacks is extracted through decision support. In summary, this Doctoral Thesis presents the characterisation of cyber-attacks as a contribution to the security of an organisation's systems and assets. The different proposals introduced address this objective from different approaches, to obtain as a result a global vision and a more complete protection. RESUMEN En la actualidad, el desarrollo constante de la inteligencia artificial tiene un gran impacto en la seguridad de los sistemas. Continuamente surgen nuevos desafíos que se responden con investigaciones centradas en la actualidad en el concepto de conciencia cibersituacional, que permite tener una visión global de la seguridad de un sistema. Las tendencias actuales sobre ciberataques muestran que cada vez son más frecuentes y complejos, utilizando técnicas avanzadas y ataques de día cero que los hacen considerablemente más difíciles de detectar. A partir de ahí, surge la problemática sobre la falta de conocimiento referente a estos ciberataques, su caracterización. Esto permitirá adaptar las respuestas a los incidentes y plantear la capacidad de automatizarlas para que en tiempo real se puedan mitigar los riesgos asociados. Esta es la motivación principal de la propuesta de esta Tesis Doctoral, un modelo de caracterización de ciberataques en entornos de conciencia cibersituacional. Para ello, se plantea en primer lugar un sistema de identificación de intrusiones a partir de fuentes de datos heterogéneas, como pueden ser sensores de comunicaciones físicos y lógicos. Además, se propone un método de identificación de técnicas MITRE ATT&CK en registros de tráfico, que permiten extraer información como patrones de ataque o posibles mitigaciones recomendadas y que favorecen la posterior gestión de riesgos y recomendación automática de respuestas frente a los incidentes detectados. A partir del análisis del estado del arte y la literatura, se plantean los módulos que componen el entorno de conciencia cibersituacional y permiten esta caracterización. En primer lugar se propone un sistema de detección de intrusiones compuesto por modelos de aprendizaje automático no supervisado entrenados para conocer el comportamiento normal dentro de los datos generados por dispositivos heterogéneos, y generar alertas cuando el sistema detecte comportamiento anómalo según las características de la información o según el sello temporal en el que se reciben. El funcionamiento de este módulo permite identificar posibles amenazas al sistema protegido que se lleven a cabo no solo a través de la red sino utilizando tecnologías Wi-Fi, Bluetooth, radio frecuencia, redes móviles o comportamiento de usuario. Además de considerar otras fuentes, los ciberataques más comunes se llevan a cabo mediante las redes, ya sean internas o externas. Por ello, en el entorno de conciencia cibersituacional se propone un módulo centrado en la caracterización de este tipo de ataques. Mediante modelos de árbol de decisión, identifica en registros de tráfico un conjunto de técnicas de MITRE ATT&CK. Esto no sólo permite distinguir el tipo de ciberataque que se está llevando a cabo a partir de la táctica sino que se puede deducir información vital para la caracterización, como los posibles patrones de ataque del adversario, en qué paso se encuentran y contramedidas recomendadas para poder mitigar el efecto de los ciberataques sobre un determinado sistema. Para completar el entorno propuesto, la información de módulo de detección de incidentes y la caracterización de técnicas en registros de tráfico se recoge en una ontología para la gestión dinámica de riesgos. Ésta además tiene la capacidad de ser interoperable, trasladando los resultados de otras metodologías a un estándar común, ITSRM, de forma que puedan compararse los resultados o intercambiar información referente a las respuestas en situaciones anteriores. De este modelo de conocimiento se extrae un conjunto de recomendaciones frente a los ciberataques mediante el soporte a la toma de decisiones. En resumen, en esta Tesis Doctoral se presenta la caracterización de ciberataques como contribución a la seguridad de los sistemas y activos de una organización. Las distintas propuestas introducidas abordan este objetivo desde distintos enfoques, para obtener como resultado una visión global y una protección más completa.