VERITAS: Visualización de Eventos en Red Inteligente para el Tratamiento y Análisis de la Seguridad

En la actualidad, la ciber-seguridad ha adoptado un papel prioritario tanto para corporaciones privadas como para organizaciones gubernamentales. De acuerdo al informe ‘2013 Cyber Security Intelligence Index’ de IBM, en 2013 se contabilizaron 1400 ataques a organizaciones privadas o públicas por semana y organización. Entre las principales motivaciones de dichos ataques, un 23% se corresponde con terrorismo, crimen organizado y espionaje industrial, ataques cuyo perfil es de alta sofisticación. En 2014, se estima que el gasto mundial asociado al software malicioso ascenderá a 491 miles de millones de dólares, de acuerdo a un estudio de la consultora IDC y la Universidad Nacional de Singapur financiado por Microsoft.

Los sistemas de Gestión de la Información de Seguridad y Eventos en red (SIEM, del inglés Security Information & Event Management) tienen como finalidad la agregación y análisis de los datos procedentes de los diversos mecanismos desplegados en el entorno de red, a fin de seleccionar, priorizar y validar los incidentes de seguridad detectados. Entre los retos que deben afrontar los SIEM actuales podemos destacar el manejo de grandes volúmenes de datos registrados a altas velocidades y que integran información de múltiples fuentes de gran heterogeneidad (p.e., trazas de cortafuegos, tráfico en red, alertas de IDS, etc.) Estas características hacen del problema de la detección de eventos en red un problema Big Data, donde el procesamiento paralelo, el análisis de datos y los métodos de visualización interactiva son herramientas que van de la mano.

Investigaciones recientes del equipo investigador revelan que en este contexto las técnicas de análisis estadístico multivariante resultan extremadamente útiles. El análisis multivariante para la detección de anomalías y exploración de datos permite obtener un alto rendimiento en la detección, reducir el número de falsos positivos y mejorar la interpretación de los eventos detectados. No obstante, la aplicación de dichas técnicas a problemas Big Data en general, y a los SIEM en particular, ha sido muy limitada. En este proyecto se propone la evaluación de una metodología jerárquica de análisis multivariante para su integración en un SIEM. La arquitectura jerárquica se diseñará para que la comunicación entre capas se haga con información comprimida a través del análisis multivariante. Dicha compresión tiene la particularidad de que no afecta a la detección de anomalías. La arquitectura jerárquica dota al SIEM de importantes ventajas, más allá de las propias del análisis multivariante. Dicha metodología, al usar compresión, será capaz de manejar de forma efectiva mayores cantidades de datos, incluyendo información de antivirus, aplicaciones o SO de los dispositivos de usuario, algo impensable hasta la fecha en un SIEM. Alternativamente, dicha estrategia puede utilizarse para reducir la carga de la red asociada al envío de información de seguridad, lo que permite una mejora competitiva para su aplicación como servicio SIEM en redes de dispositivos móviles o la nube. Finalmente, la estrategia jerárquica multivariante establece la protección implícita de la privacidad, lo que permite integrar información de bajo nivel, incluso dispositivos finales, sin vulnerar la privacidad de los mismos. Las implicaciones de las ventajas listadas en distintos modelos de negocio futuribles, incluyendo redes móviles y servicios en la nube, son detalladas en el documento.

 

Inicio: Enero 2015
Fin: Diciembre 2018
Financiado por: MINECO (Ministerio de Economía y Competitividad)
Código del proyecto: TIN2014-60346-R
Cuantía asignada: 88.814 €