<< Volver atrás

Tesis:

Contribuciones a la gestión de incidentes de ciberseguridad y preparación forense en redes definidas por software

  • Autor: JIMÉNEZ AMOROSO, María Belén

  • Título: Contribuciones a la gestión de incidentes de ciberseguridad y preparación forense en redes definidas por software

  • Fecha: 2024

  • Materia:

  • Escuela: E.T.S. DE INGENIEROS DE TELECOMUNICACION

  • Departamentos: INGENIERIA DE SISTEMAS TELEMATICOS

  • Acceso electrónico: https://oa.upm.es/82685/

  • Director/a 1º: FERNÁNDEZ CAMBRONERO, David

  • Resumen: This doctoral thesis addresses challenges related to cybersecurity management in SDN environments, considering forensic readiness processes and incident response. In order to comprehend the evolution of cybersecurity in this paradigm, the first contribution details the SDN architecture, identifying its cybersecurity issues and analyzing solutions using the STRIDE methodology. The vulnerability of SDN deployments to malicious actions is highlighted, emphasizing the urgent need for adopting a holistic cybersecurity management approach that considers both technical and organizational aspects, as a cybersecurity incident can transcend the technical realm to affect other environments, including the legal one. Given this, there is a significant research opportunity in cybersecurity incident management with a forensic focus. Exploring the realm of forensic and incident response, key terms are introduced, and related works on SDN are analyzed. Unaddressed challenges are highlighted, acknowledging the lack of synergy between forensic processes and incident response, with significant implications for organizations. It is recognized that inadequate management of these concepts could affect the finding of the root cause of a cybercrime, impacting everything from service quality to organizational reputation. Therefore, the need for frameworks or models that integrate cybersecurity incident management and forensic preparation processes is emphasized. In this regard, the next contribution of this doctoral thesis is the proposal of a framework for managing cybersecurity in SDN environments, integrating incident management and forensic readiness processes. Additionally, an architecture supporting the applicability of the framework is proposed, detailing event information sources, functional components, and interactions in forensic and incident response processes. The following contributions are framed within two key models focused on data filtering, acquisition, and treatment, and the preservation of information integrity regarding a cybersecurity event in SDN environments. For the first model, artificial intelligence is explored with various techniques and algorithms, completing data extraction, transformation, and loading (ETL) processes of network traffic. As for the second model, private or permissioned distributed ledger technologies are chosen to provide a secure and transparent environment for recording and auditing transactions, ensuring information integrity, and enabling controlled and authorized access. The validation of the proposals is carried out in controlled environments, where test scenarios are designed, and weaknesses exploited in terms of cybersecurity are highlighted. Subsequently, the proposals are evaluated on virtualization platforms, presenting the results obtained regarding the performance of each model, according to their respective evaluation parameters. Finally, the conclusions of the doctoral thesis are presented, summarizing the contributions and providing a comprehensive analysis of the research's relevance. Recommendations for future research and improvement actions based on the findings are also included. Additionally, the dissemination of the research is detailed, listing specialized journals and academic conferences where the results have been presented. RESUMEN Esta tesis doctoral aborda desafíos relacionados con la gestión de la ciberseguridad en entornos SDN considerando los procesos de preparación forense y de respuesta a incidentes. A fin de comprender la evolución de ciberseguridad en este paradigma, como primera contribución se detalla la arquitectura SDN, identificando sus problemas de ciberseguridad y analizando soluciones con la metodología STRIDE. Se destaca la vulnerabilidad de los despliegues SDN ante acciones maliciosas, por lo que urge la adopción de una visión holística de gestión de ciberseguridad que considere aspectos técnicos y organizacionales, puesto que un incidente de ciberseguridad puede trascender el ámbito técnico para afectar otros entornos, incluido el jurídico. Visto esto, se observa una gran oportunidad de investigación en el manejo de incidentes de ciberseguridad con un enfoque forense. Profundizando en el mundo forense y de respuesta a incidentes, se introducen los términos clave y se analizan los trabajos relacionados con las SDN. Se destacan desafíos no abordados, reconociendo la falta de sinergia entre procesos forenses y de respuesta a incidentes, con implicaciones significativas para las organizaciones. Se reconoce que una gestión inadecuada de estos conceptos podría afectar el hallazgo de la causa raíz de un cibercrimen, impactando desde la calidad de los servicios hasta la reputación organizacional. Por lo que, se enfatiza la necesidad de frameworks o modelos que integren la gestión de incidentes de ciberseguridad y los procesos de preparación forense. En este sentido, la siguiente contribución de esta tesis doctoral es la propuesta de un framework para gestionar la ciberseguridad en entornos SDN, integrando la gestión de incidentes y los procesos de preparación forense. Además, se propone una arquitectura que respalda la aplicabilidad del framework, detallando las fuentes de información de eventos, los componentes funcionales y las interacciones en los procesos forenses y de respuesta a incidentes. Las siguientes contribuciones se enmarcan en dos modelos clave centrados en el filtrado, adquisición y tratamiento de datos; y la preservación de la integridad de la información relativa a un evento de ciberseguridad en entornos SDN. Para el primer modelo, se explora la inteligencia artificial con diversas técnicas y algoritmos, completando procesos de extracción, transformación y carga de datos (ETL) del tráfico de red. En cuanto al segundo modelo, se opta por tecnologías de ledger distribuidos privados o permisionados, que proporcionan un entorno seguro y transparente para registrar y auditar transacciones, garantizando la integridad de la información y permitiendo un acceso controlado y autorizado. La validación de las propuestas se lleva a cabo en ambientes controlados, donde se esquematizan los escenarios de prueba y se destacan las debilidades explotadas en términos de ciberseguridad. Posteriormente, se procede a evaluar las propuestas en plataformas de virtualización, presentando los resultados obtenidos en cuanto al rendimiento de cada modelo, de acuerdo con sus respectivos parámetros de evaluación. Finalmente, se presentan las conclusiones de la tesis doctoral, resumiendo las contribuciones y ofreciendo un análisis global sobre la relevancia de la investigación. También se incluyen recomendaciones para futuras investigaciones y acciones de mejora basadas en los hallazgos obtenidos. Además, se detalla la diseminación de la investigación, enumerando las revistas especializadas y las conferencias académicas donde se han presentado los resultados.