El objetivo de este proyecto es construir una herramienta de Threat Hunting distribuida basada en CARMEN, que permite el intercambio de ciberinteligencia y la integración automatizada de fuentes externas de inteligencia.
La Ciberseguridad y la Ciberdefensa han pasado a ser consideradas materias fundamentales, no solo por parte de los diferentes sectores económicos, sino también por parte de los gobiernos, quienes son responsables del bienestar de los ciudadanos, su economía, entorno y ecosistema. En este sentido, merece la pena destacar, a nivel internacional, la fuerte implicación en temas de ciberseguridad en entornos de control por parte de entidades como ENISA (European Union Agency for Network and Information Security – https://www.enisa.europa.eu), así como de otras instituciones de relevancia.
Mientras en el pasado el impacto de incidentes de ciberseguridad se limitaba a daños económicos y de desglose de información, en la actualidad se han añadido preocupaciones en la protección de sistemas control industrial y de infraestructuras críticas.
Así que, hoy en día, cualquier empresa, organismo público u operador de infraestructuras tiene que implementar medidas de monitorización y de ciberdefensa. Esas medidas tradicionalmente incluyen barreras perimetrales como firewalls y sistemas de monitorización como los sistemas de detección de intrusos (IDS) y detectores de malware.
Sin embargo, los ciberataques cada vez se presentan más sofisticados y los atacantes cuentan con recursos importantes. Las Amenazas Avanzadas Persistentes (APTs) son ataques complejos, organizados, de larga duración y con recursos substanciales. Este tipo de ataques son difícilmente detectables con sistemas de monitorización tradicionales.
La mayoría de las técnicas tradicionales se basan en reglas o en la detección de firmas (patrones) estáticas de ataques observados anteriormente en el tráfico red de una organización. Sin embargo, ataques modernos del estilo APT suelen ser individuales y a medida, por lo cual no suelen detectarse por firmas existentes de forma automática.
El resultado de este proyecto será una herramienta de Threat Hunting distribuida, es decir, con comunicación y sincronización entre distintas instancias de la herramienta, creando así una red de inteligencia compartida entre distintas instalaciones en una organización concreta, entre organizaciones gestionadas por el mismo proveedor de seguridad gestionada u otras organizaciones que desean colaborar.
Una integración con herramientas para compartir inteligencia, como la plataforma MISP mencionado anteriormente, permitirá incluso participar en redes de inteligencia al nivel global.
Para mostrar la viabilidad del concepto, se construirá un prototipo de prueba de concepto basado en la herramienta de Threat Hunting existente CARMEN.
Programa de I+D de PYME
Número Expediente: IMIDTA-2017-6