Threat Hunting basado en técnicas de Inteligencia Artificial

Aragonés Lozano, Mario

23 May 2024

[ES] Tanto la cantidad como la tipología de los ciberataques va en aumento día a día y la tendencia es que continúen creciendo de forma exponencial en los próximos años. Estos ciberataques afectan a todos los dispositivos, independientemente de si su propietario es un particular (o ciudadano), una empresa privada, un organismo público o una infraestructura crítica y los objetivos de estos ataques son muchos, desde la solicitud de una recompensa económica hasta el robo de información clasificada. Dado este hecho, los individuos, las organizaciones y las corporaciones deben tomar medidas para prevenirlos y, en caso de que en algún momento los reciban, analizarlos y reaccionar en caso de que fuese necesario. Cabe destacar que aquellos ataques que buscan ser más eficientes, son capaces de ocultarse un largo tiempo, incluso después de sus acciones iniciales, por lo que la detección del ataque y el saneamiento del sistema puede llegar a dificultarse a niveles insospechados o, incluso, no tenerse la certeza de que se ha hecho correctamente. Para prevenir, analizar y reaccionar ante los ataques más complejos, normalmente conocidos como ataques de día cero, las organizaciones deben tener ciberespecialistas conocidos como cazadores de amenazas. Éstos son los encargados de monitorizar los dispositivos de la empresa con el objetivo de detectar comportamientos extraños, analizarlos y concluir si se está produciendo un ataque o no con la finalidad de tomar decisiones al respecto. Estos ciberespecialistas deben analizar grandes cantidades de datos (mayormente benignos, repetitivos y con patrones predecibles) en cortos periodos de tiempo para detectar ciberataques, con la sobrecarga cognitiva asociada. El uso de inteligencia artificial, específicamente aprendizaje automático y aprendizaje profundo, puede impactar de forma notable en el análisis en tiempo real de dichos datos. Además, si los ciberespecialistas son capaces de visualizar los datos de forma correcta, éstos pueden ser capaces de obtener una mayor consciencia situacional del problema al que se enfrentan. Este trabajo busca definir una arquitectura que contemple desde la adquisición de datos hasta la visualización de los mismos, pasando por el procesamiento de éstos y la generación de hipótesis acerca de lo que está sucediendo en la infraestructura monitorizada. Además, en la definición de la misma se deberá tener en consideración aspectos tan importantes como la disponibilidad, integridad y confidencialidad de los datos, así como la alta disponibilidad de los distintos componentes que conformen ésta. Una vez definida la arquitectura, este trabajo busca validarla haciendo uso de un prototipo que la implemente en su totalidad. Durante esta fase de evaluación, es importante que quede demostrada la versatilidad de la arquitectura propuesta para trabajar en diferentes casos de uso, así como su capacidad para adaptarse a los cambios que se producen en las distintas técnicas de aprendizaje automático y aprendizaje profundo. / [CA] Tant la quantitat com la tipologia dels ciberatacs va en augment dia a dia i la tendència és que continuen creixent de manera exponencial en els pròxims anys. Aquestos ciberatacs afecten a tots els dispositius, independentment de si el seu propietari és un particular (o ciutadà), una empresa privada, un organisme públic o una infraestructura crítica i els objectius d'aquestos atacs són molts, des de la sol·licitud d'una recompensa econòmica fins al robatori d'informació classificada. Donat aquest fet, els individus, les organitzacions i les corporacions deuen prendre mesures per a previndre'ls i, en cas que en algun moment els reben, analitzar-los i reaccionar en cas que fora necessari. Cal destacar que aquells atacs que busquen ser més eficients, són capaços d'ocultar-se un llarg temps, fins i tot després de les seues accions inicials, per la qual cosa la detecció de l'atac i el sanejament del sistema pot arribar a dificultar-se a nivells insospitats o, fins i tot, no tindre's la certesa que s'ha fet correctament. Per a previndre, analitzar i reaccionar davant els atacs més complexos, normalment coneguts com a atacs de dia zero, les organitzacions han de tindre ciberespecialistes coneguts com caçadors d'amenaces. Aquestos són els encarregats de monitoritzar els dispositius de l'empresa amb l'objectiu de detectar comportaments estranys, analitzar-los i concloure si s'està produint un atac o no amb la finalitat de prendre decisions al respecte. Aquestos ciberespecialistes han d'analitzar grans quantitats de dades (majoritàriament benignes, repetitives i amb patrons predictibles) en curts períodes de temps per a detectar els ciberatacs, amb la sobrecàrrega cognitiva associada. L'ús d'intel·ligència artificial, específicament aprenentatge automàtic i aprenentatge profund, pot impactar de manera notable en l'anàlisi en temps real d'aquestes dades. A més, si els ciberespecialistes són capaços de visualitzar les dades de manera correcta, aquestos poden ser capaços d'obtindre una major consciència situacional del problema al qual s'enfronten. Aquest treball busca definir una arquitectura que contemple des de l'adquisició de dades fins a la visualització d'aquestes, passant pel processament de la informació recol·lectada i la generació d'hipòtesis sobre el que està succeint en la infraestructura monitoritzada. A més, en la definició de la mateixa s'haurà de tindre en consideració aspectes tan importants com la disponibilitat, integritat i confidencialitat de les dades, així com la alta disponibilitat dels diferents components que conformen aquesta. Una volta s'hatja definit l'arquitectura, aquest treball busca validar-la fent ús d'un prototip que la implemente íntegrament. Durant aquesta fase d'avaluació, és important que quede demostrada la versatilitat de l'arquitectura proposada per a treballar en diferents casos d'ús, així com la seua capacitat per a adaptar-se als canvis que es produïxen en les diferents tècniques d'aprenentatge automàtic i aprenentatge profund. / [EN] Both the number and type of cyber-attacks are increasing day by day and the trend is that they will continue to grow exponentially in the coming years. These cyber-attacks affect all devices, regardless of whether the owner is an individual (or citizen), a private company, a public entity or a critical infrastructure, and the targets of these attacks are many, ranging from the demand for financial reward to the theft of classified information. Given this fact, individuals, organisations and corporations must take steps to prevent them and, in case they ever receive them, analyse them and react if necessary. It should be noted that those attacks that seek to be more efficient are able to hide for a long time, even after their initial actions, so that the detection of the attack and the remediation of the system can become difficult to unsuspected levels or even uncertain whether it has been done correctly. To prevent, analyse and react to the most complex attacks, usually known as zero-day attacks, organisations must have cyber-specialists known as threat hunters. They are responsible for monitoring the company's devices in order to detect strange behaviours, analyse it and conclude whether or not an attack is taking place in order to make decisions about it. These cyber-specialists must analyse large amounts of data (mostly benign, repetitive and with predictable patterns) in short periods of time to detect cyber-attacks, with the associated cognitive overload. The use of artificial intelligence, specifically machine learning and deep learning, can significantly impact the real-time analysis of such data. Not only that, but if these cyber-specialists are able to visualise the data correctly, they may be able to gain greater situational awareness of the problem they face. This work seeks to define an architecture that contemplates from data acquisition to data visualisation, including data processing and the generation of hypotheses about what is happening in the monitored infrastructure. In addition, the definition of the architecture must take into consideration important aspects such as the availability, integrity and confidentiality of the data, as well as the high availability of the different components that make it up. Once the architecture has been defined, this work seeks to validate it by using a prototype that fully implements it. During this evaluation phase, it is important to demonstrate the versatility of the proposed architecture to work in different use cases, as well as its capacity to adapt to the changes that occur in the different machine learning and deep learning techniques. / Aragonés Lozano, M. (2024). Threat Hunting basado en técnicas de Inteligencia Artificial [Tesis doctoral]. Universitat Politècnica de València. https://doi.org/10.4995/Thesis/10251/204427

Ciberseguridad

Arquitectura de aplicación

Caza de amenazas

Inteligencia artificial

Aprendizaje automático

Aprendizaje profundo

Deep learning

Machine learning

Artificial Intelligence

Threat hunting

Application architecture

Cybersecurity

INGENIERÍA TELEMÁTICA

A Framework for Conceptual Characterization of Ontologies and its Application in the Cybersecurity Domain

Franco Martins Souza, Beatriz

17 May 2024

[ES] Las ontologías son artefactos computacionales con una amplia gama de aplicaciones. Estos artefactos representan el conocimiento con la mayor precisión posible y brindan a los humanos un marco para representar y aclarar el conocimiento. Además, las ontologías se pueden implementar y procesar agregando semántica a los datos que deben intercambiarse entre sistemas. En los sistemas, los datos transportan información y deben seguir los Principios FAIR para cumplir su propósito. Sin embargo, los dominios del conocimiento pueden ser vastos, complejos y sensibles, lo que hace que la interoperabilidad sea un desafío. Además, el diseño y desarrollo de ontologías no es una tarea sencilla, y debe seguir metodologías y estándares, además de cumplir una serie de requisitos. De hecho, las ontologías se han utilizado para producir FAIRness de datos debido a sus características, aplicaciones y competencias semánticas. Con la creciente necesidad de interoperar datos surgió la necesidad de interoperar ontologías para garantizar la correcta transmisión e intercambio de información. Para satisfacer esta demanda de ontologías interoperativas y, al mismo tiempo, conceptualizar dominios amplios y complejos, surgieron las Redes de Ontologías. Además, las ontologías comenzaron a presentar conceptualizaciones a través de la fragmentación del conocimiento de diferentes maneras, dependiendo de requisitos como el alcance de la ontología, su propósito, si es procesable o para uso humano, su contexto, entre otros aspectos formales, haciendo que la Ingeniería Ontológica sea también un dominio complejo. El problema es que en el Proceso de Ingeniería de Ontologías, las personas responsables toman diferentes perspectivas sobre las conceptualizaciones, provocando que las ontologías tengan sesgos a veces más ontológicos y otras más relacionados con el dominio. Estos problemas dan como resultado ontologías que carecen de fundamento o bien implementaciones de ontologías sin un modelo de referencia previo. Proponemos una (meta)ontología basada en la Ontología Fundacional Unicada (UFO, del inglés, Unified Foundational Ontology) y respaldada por estándares de clasificación ontológica reconocidos, guías y principios FAIR para resolver este problema de falta de consenso en las conceptualizaciones. La Ontología para el Análisis Ontológico (O4OA, del inglés, Ontology for Ontological Analysis) considera perspectivas, conocimientos, características y compromisos, que son necesarios para que la ontología y el dominio faciliten el proceso de Análisis Ontológico, incluyendo el análisis de las ontologías que conforman una red de ontologías. Utilizando O4OA, proponemos el Marco para la Caracterización Ontológica (F4OC, del inglés, Framework for Ontology Characterization) para proporcionar pautas y mejores prácticas a los responsables, a la luz de O4OA. F4OC proporciona un entorno estable y homogéneo para facilitar el análisis ontológico, abordando simultáneamente las perspectivas ontológicas y de dominio de los involucrados. Además, aplicamos O4OA y F4OC a varios estudios de casos en el Dominio de Ciberseguridad, el cual es complejo, extremadamente regulado y sensible, y propenso a dañar a personas y organizaciones. El principal objetivo de esta tesis doctoral es proporcionar un entorno sistemático y reproducible para ingenieros en ontologías y expertos en dominios, responsables de garantizar ontologías desarrolladas de acuerdo con los Principios FAIR. Aspiramos a que O4OA y F4OC sean contribuciones valiosas para la comunidad de modelado conceptual, así como resultados adicionales para la comunidad de ciberseguridad a través del análisis ontológico de nuestros estudios de caso. / [CA] Les ontologies són artefactes computacionals amb una àmplia gamma d'aplicacions. Aquests artefactes representen el coneixement amb la major precisió possible i brinden als humans un marc per a representar i aclarir el coneixement. A més, les ontologies es poden implementar i processar agregant semàntica a les dades que han d'intercanviar-se entre sistemes. En els sistemes, les dades transporten informació i han de seguir els Principis FAIR per a complir el seu propòsit. No obstant això, els dominis del coneixement poden ser vastos, complexos i sensibles, la qual cosa fa que la interoperabilitat siga un desafiament. A més, el disseny i desenvolupament d'ontologies no és una tasca senzilla, i ha de seguir metodologies i estàndards, a més de complir una sèrie de requisits. De fet, les ontologies s'han utilitzat per a produir FAIRness de dades a causa de les seues característiques, aplicacions i competències semàntiques. Amb la creixent necessitat de inter operar dades va sorgir la necessitat de inter operar ontologies per a garantir la correcta transmissió i intercanvi d'informació. Per a satisfer aquesta demanda d'ontologies inter operatives i, al mateix temps, conceptualitzar dominis amplis i complexos, van sorgir Xarxes d'Ontologies. A més, les ontologies van començar a presentar conceptualitzacions a través de la fragmentació del coneixement de diferents maneres, depenent de requisits com l'abast de l'ontologia, el seu propòsit, si és procesable o per a ús humà, el seu context i diversos altres aspectes formals, fent que el Enginyeria Ontològica també és un domini complex. El problema és que en Procés d'Enginyeria d'Ontologies, les persones responsables prenen diferents perspectives sobre les conceptualitzacions, provocant que les ontologies tinguen biaixos a vegades més ontològics i altres més relacionats amb el domini. Aquests problemes donen com a resultat ontologies que manquen de fonament i implementacions d'ontologies sense un model de referència previ. Proposem una (meta)ontologia basada en la Ontologia Fundacional Unificada (UFO, de le inglés, Unified Foundational Ontology) i recolzada per coneguts estàndard de classificació ontològica, guies i principis FAIR per a resoldre aquest problema de falta de consens en les conceptualitzacions. La Ontologia per a l'Anàlisi Ontològica (O4OA, de le inglés, Ontology for Ontological Analysis) considera perspectives, coneixements, característiques i compromisos, que són necessaris perquè l'ontologia i el domini faciliten el procés de Anàlisi Ontològica, incloent-hi l'anàlisi de les ontologies que conformen una xarxa d'ontologies. Utilitzant O4OA, proposem el Marco per a la Caracterització Ontològica (F4OC, de le inglés, Framework for Ontology Characterization) per a proporcionar pautes i millors pràctiques als responsables, a la llum d'O4OA. F4OC proporciona un entorn estable i homogeni per a facilitar l'anàlisi ontològica, abordant simultàniament les perspectives ontològiques i de domini dels involucrades. A més, apliquem O4OA i F4OC a diversos estudis de casos en el Domini de Seguretat Cibernètica, que és complex, extremadament regulat i sensible, i propens a danyar a persones i organitzacions. L'objectiu principal d'aquesta tesi és proporcionar un entorn sistemàtic, reproduïble i escalable per a engineers en ontologies i experts in dominis encarregats de garantir les ontologies desenvolupades d'acord amb els Principis FAIR. Aspirem a fer que O4OA i F4OC aportin valuoses contribucions a la comunitat de modelització conceptual, així com resultats addicionals per a la comunitat de ciberseguretat mitjançant l'anàlisi ontològica dels nostres estudis de cas. / [EN] Ontologies are computational artifacts with a wide range of applications. They represent knowledge as accurately as possible and provide humans with a framework for knowledge representation and clarification. Additionally, ontologies can be implemented and processed by adding semantics to data that needs to be exchanged between systems. In systems, data is the carrier of information and needs to comply with the FAIR Principles to fulfill its purpose. However, knowledge domains can be vast, complex, and sensitive, making interoperability challenging. Moreover, ontology design and development are not easy tasks; they must follow methodologies and standards and comply with a set of requirements. Indeed, ontologies have been used to provide data FAIRness due to their characteristics, applications, and semantic competencies. With the growing need to interoperate data came the need to interoperate ontologies to guarantee the correct transmission and exchange of information. To meet the need to interoperate ontologies and at the same time conceptualize complex and vast domains, Ontology Networks emerged. Moreover, ontologies began to carry out conceptualizations, fragmenting knowledge in different ways depending on requirements, such as the ontology scope, purpose, whether it is processable or for human use, its context, and several other formal aspects, making Ontology Engineering also a complex domain. The problem is that in the Ontology Engineering Process, stakeholders take different perspectives of the conceptualizations, and this causes ontologies to have biases that are sometimes more ontological and sometimes more related to the domain. These problems result in ontologies that lack grounding and ontology implementations without a previous reference model. We propose a (meta)ontology grounded over the Unified Foundational Ontology (UFO) and supported by well-known ontological classification standards, guides, and FAIR Principles to address this problem of lack of consensual conceptualization. The Ontology for Ontological Analysis (O4OA) considers ontological-related and domain-related perspectives, knowledge, characteristics, and commitment that are needed to facilitate the process of Ontological Analysis, including the analysis of ontologies composing an ontology network. Using O4OA we propose the Framework for Ontology Characterization (F4OC) to provide guidelines and best practices in the light of O4OA for stakeholders. The F4OC fosters a stable and uniform environment for ontological analysis, integrating stakeholder perspectives. Moreover, we applied O4OA and F4OC to several case studies in the Cybersecurity Domain, which is intricate, highly regulated, and sensitive to causing harm to people and organizations. The main objective of this doctoral thesis is to provide a systematic and reproducible environment for ontology engineers and domain specialists responsible for ensuring ontologies developed according to the FAIR Principles. We aspire that O4OA and F4OC be valuable contributions to the conceptual modeling community as well as the additional outcomes for the cybersecurity community through the ontological analysis in our case studies. / Franco Martins Souza, B. (2024). A Framework for Conceptual Characterization of Ontologies and its Application in the Cybersecurity Domain [Tesis doctoral]. Universitat Politècnica de València. https://doi.org/10.4995/Thesis/10251/204584

Modelado conceptual

Ontologías

Ingeniería ontológica

Inteligencia Artificial

Ciberseguridad

FAIR Principles

Ontology Networks

Conceptual Modeling

Ontologies

Ontology Engineering

Artificial Intelligence

Cybersecurity

LENGUAJES Y SISTEMAS INFORMATICOS

Modelo de referencia para identificar el nivel de madurez de ciberinteligencia de amenazas en la dark web

Aguilar Gallardo, Anthony Josue, Meléndez Santos, Ricardo Alfonso

31 October 2020

La web oscura es una zona propicia para actividades ilegales de todo tipo. En los últimos tiempos los cibercriminales están cambiando su enfoque hacia el tráfico de informacion (personal o corporativa) porque los riesgos son mucho más bajos en comparación con otros tipos de delito. Hay una gran cantidad de información alojada aquí, pero pocas compañías saben cómo acceder a estos datos, evaluarlos y minimizar el daño que puedan causar. El presente trabajo propone un modelo de referencia para identificar el nivel de madurez del proceso de Ciber Inteligencia de Amenazas. Esta propuesta considera la información comprometida en la web oscura, originando un riesgo latente que las organizaciones no consideran en sus estrategias de ciberseguridad. El modelo propuesto tiene como objetivo aumentar el nivel de madurez del proceso mediante un conjunto de controles propuestos de acuerdo a los hallazgos encontrados en la web oscura. El modelo consta de 3 fases:1. Identificación de los activos de información mediante herramientas de Ciber inteligencia de amenazas. 2. Diagnóstico de la exposición de los activos de información. 3. Propuesta de controles según las categorías y criterios propuestos. La validación de la propuesta se realizó en una institución de seguros en Lima, Perú con datos obtenidos por la institución. Los resultados preliminares mostraron 196 correos electrónicos y contraseñas expuestos en la web oscura de los cuales 1 correspondía al Gerente de Tecnología. Con esta identificación, se diagnosticó que la institución se encontraba en un nivel de madurez “Normal”, y a partir de la implementación de los controles propuestos se llegó al nivel “Avanzado”. / The dark web is an area conducive to illegal activities of all kinds. In recent times, cybercriminals are changing their approach towards information trafficking (personal or corporate) because the risks are much lower compared to other types of crime. There is a wealth of information hosted here, but few companies know how to access this data, evaluate it, and minimize the damage it can cause. In this work, we propose a reference model to identify the maturity level of the Cyber ​​Intelligence Threat process. This proposal considers the dark web as an important source of cyber threats causing a latent risk that organizations do not consider in their cybersecurity strategies. The proposed model aims to increase the maturity level of the process through a set of proposed controls according to the information found on the dark web. The model consists of 3 phases: 1. Identification of information assets using cyber threat intelligence tools. 2. Diagnosis of the exposure of information assets. 3. Proposal of controls according to the proposed categories and criteria. The validation of the proposal was carried out in an insurance institution in Lima, Peru with data obtained by the institution. Preliminary results showed 196 emails and passwords exposed on the dark web of which 1 corresponded to the Technology Manager of the company under evaluation. With this identification, it was diagnosed that the institution was at a “Normal” maturity level, and from the implementation of the proposed controls the “Advanced” level was reached. / Tesis

Ciberseguridad

Ciber inteligencia de amenazas

Modelo de madurez

Web oscura

Cybersecurity

Cyber threat intelligence

Maturity model

Dark Web