Universidad y empresa: El talento está ahí fuera (I)

martes, 22 de enero de 2019

En ElevenPaths perseguimos el talento. La innovación, en cualquiera de sus formas, se debe nutrir de nuevas ideas, ingenio y originalidad, sin ignorar que todo ese espíritu debe ser enfocado y plasmado en elementos prácticos para el mundo real. No son las grandes ocurrencias las que nos permitirán avanzar en ciberseguridad, sino su ejecución. Por eso es importante participar en programas de formación como Másteres, Cursos de Expertos, Grados y otras iniciativas similares donde el contacto con las ideas y propuestas de los estudiantes aportan un valor diferenciador al sector. ElevenPaths tutoriza y mentoriza muchos de estos proyectos, de forma que los estudiantes realicen desarrollos demandados por el mercado. A su vez, estas actividades son una gran oportunidad para mejorar nuestras capacidades y renovar nuestra visión tecnológica, así como ese espíritu innovador que nos define.

Comenzamos una serie donde destacaremos los proyectos más relevantes sacados de estas colaboraciones con universidades.

Universidad y empresa: El talento está ahí fuera (I) imagen

Comenzamos con dos proyectos tutorizados del Máster en Ciberseguridad por la UCAM (Unversidad Católica San Antonio de Murcia). El primero es una propuesta de Diodo de Datos y el segundo trata sobre la obtención y análisis de IOCs inteligente. Los autores (José Luis Domínguez, y José Luis Sánchez, respectivamente) describen sus proyectos a continuación.

Diodo de Datos: Caronte (si no pagas, no pasas)
Según la mitología griega, Caronte es el barquero encargado de transportar las almas de los muertos a través de la laguna Estigia hasta el reino del inframundo. Entendemos por industria 4.0 la completa digitalización de las cadenas de valor a través de la integración de tecnologías de procesamiento de datos, software inteligente y sensores. Desde los proveedores hasta los clientes. Esto permite predecir, controlar, planificar y producir de forma inteligente, generando mayor valor a toda la cadena, mejorando la competitividad y la eficiencia. Y esto exige un alto grado de automatización de las fábricas.

Recurriendo a Internet y a los sistemas ciber-físicos, o sea, recurriendo a redes virtuales con posibilidades de controlar objetos físicos, se pueden ir modernizando las plantas de fabricación hasta transformarlas en fábricas inteligentes caracterizadas por una intercomunicación continua e instantánea entre las diferentes estaciones de trabajo que componen las propias cadenas de producción, aprovisionamiento, y de empaquetado y entrega. La utilización de captores aporta a las máquinas y herramientas de la planta, una capacidad de autodiagnóstico de situación que permite un control a distancia, asegurando su eventual retirada de servicio, así como su mejor integración en el sistema de producción global. Esa transformación impone la necesidad de interconectar el mundo tradicionalmente aislado de OT (Operational Tecnology) con los procesos de negocio en tiempo real en los sistemas de información de negocio del IT.

Un diodo de datos es un dispositivo de comunicaciones de red unidireccional que permite que los datos viajen en una (y exclusivamente en una sola) dirección. Los usuarios pueden encontrarlos más comúnmente en entornos de alta seguridad, como defensa, donde sirven como conexiones entre dos o más redes de diferentes clasificaciones de seguridad. Esta tecnología actualmente se puede encontrar a nivel de control industrial para instalaciones como plantas de energía nuclear y generación de energía eléctrica entre otras.

La arquitectura física de los diodos de datos solo permite que los datos pasen de un lado de la conexión de red a otro y no al revés. Los beneficios para los usuarios de la red de mayor criticidad (lado alto), como un segmento ICS, incluyen la capacidad de compartir datos con una red de menor criticidad (lado bajo), como un servidor en una DMZ en el mundo IT, mientras se impide el acceso a las comunicaciones desde la red del lado bajo de la red ICS. Tradicionalmente, cuando la red empresarial proporciona acceso a un servidor DMZ para un usuario autorizado, los datos son vulnerables a las intrusiones de la red de la empresa. Sin embargo, con una red unidireccional que separa un lado alto con datos sensibles y un lado bajo con conectividad comercial y de Internet, se puede lograr lo mejor de ambos mundos, permitiendo la conectividad requerida y garantizando la seguridad. Esto es válido incluso si la red baja y la red alta están en peligro, porque el control del flujo de tráfico es de naturaleza física.

Caronte vino para dar una respuesta a los grupos populares de la antigua Grecia con un guía que les condujera al otro mundo frente a otros guías que existían para las altas clases y la aristocracia como Hypnos y Thantos. Nuestro diodo de datos, busca ofrecer una respuesta que permita acceder a una buena solución sin necesidad de desembolsar unas cifras elevadas y disponer de un conjunto de funcionalidades inigualables.

En el diseño final de nuestro diodo de datos hemos contemplado múltiples funcionalidades integradas, que permiten asegurar el entorno industrial al máximo nivel y ofrecen capacidades para la operativa eficiente del diodo de datos y su contexto. En el lado OT del diodo, se han implementado funcionalidad como la consola de administración, DLP, TAP, IDS y Desktop replicator, siendo funcionalidades que nunca estarán accesibles desde el lado IT. Por otro lado, se han incorporado funcionalidades Antimalware y Sandbox, en el lado IT, por la necesidad de acceder a ciertos recursos de internet para una plena operativa.

Módulos y funcionalidades imagen

Finalmente existe una funcionalidad muy específica, Secure Sidestep, que en determinadas ocasiones excepcionales (como sería la operación en remoto en desastres naturales o acciones criticas de máxima urgencia) el diodo contará con la capacidad de pasar del mundo IT a OT, para la realización de tareas especiales. En conjunto el sistema está preparado para proporcionar la operativa unidireccional de forma segura, proporcionando una solución simple pero efectiva a un escenario de alto riesgo y que normalmente requiere consideraciones de seguridad crítica.

Obtención y análisis de IOCs inteligente
Este proyecto de CyberThreatIntelligence persigue la generación de un repositorio de IoCs contextualizados, permitiendo su enriquecimiento e identificando relaciones entre los actores implicados. La solución está desarrollada en dos entornos diferentes para poder enfatizar temas de seguridad y de rendimiento. El primero trata de una máquina donde se almacena la base de datos MongoDB noSQL, elegida para tolerar el almacenaje de gran cantidad de información, coexistiendo con ElasticSearch, cuya tiene como función principal indexar todos los documentos para realizar consultas mucho más óptimas y rápidas. El segundo entorno, concentra toda la lógica de negocio mediante scripts desarrollados en Python que introducen indicadores de compromiso dentro de nuestra base de datos, todos ellos de fuentes públicas.
El proceso de generación y enriquecimiento de IoCs se basa en dos fases principalmente:
  1. Obtención: A través de diferentes fuentes públicas que comparten las amenazas, extrayendo los indicadores de compromiso y otra información que pudiese ser interesante para introducir.
  2. Análisis: Se realiza un análisis posterior de los indicadores de compromiso para obtener más información sobre ellos y poder darles contexto.
La complejidad de este enfoque radica en que para cada fuente de introducción de IoCs se necesita generar un conector específico y se debe incorporar en la implementación los campos necesarios a tratar en el análisis. La propuesta de valor de nuestro proyecto introduce una capa intermedia de automatización permitiendo añadir feeds de información mediante ficheros de configuración, quedando la siguiente arquitectura:

cyber threat intelligence imagen

Esta propuesta establece el uso de un fichero de configuración por cada fuente que se desee introducir permite utilizar el mismo conector. El aporte de valor de estos ficheros de configuración JSON, permiten la compatibilidad con cualquier fuente de información estructurada, permitiendo además incorporar nuevos campos de información para adaptarse si fuese necesario.

Tras la estructuración de la información, nuestra propuesta ejecuta el análisis y procesado del IoCs ejecutando una serie de scripts para generar los metadatos. Obtenemos así, entre otra información, campos relativos al whois, registros DNS, geoposicionamiento, emails, subdominios, etc. Tras ese enriquecimiento tenemos la opción de exportar a SDO (STIX Data Object) de tipo Indicator, un formato bien conocido que permite integrarse con otras plataformas y compartir información de ciberseguridad entre plataformas.

Innovación y laboratorio
www.elevenpaths.com

No hay comentarios:

Publicar un comentario