SlideShare una empresa de Scribd logo

Semana de la I+D - Proyecto OPOSSUM

Francisco Javier Barrena
Francisco Javier Barrena

La ética, la #privacidad digital y la #ciberseguridad, están cobrando gran relevancia, y son una de las principales #tendenciastecnológicas de hoy y del futuro, asegurando un entorno confiable para gobiernos, empresas y personas.

Software
1 de 64
Descargar para leer sin conexión
SECTOR CIBERSEGURIDAD Securización de aplicaciones basadas en técnicas Big Data e Inteligencia Artificial
¡Hola! Mi nombre es Francisco Mi trabajo profesional se centra en la investigación de Inteligencia artificial y Big Data en el ámbito de la ciberseguridad.
El problema
El problema
El problema
El problema
El problema
El problema
La botmenaza • Clásicamente las amenazas eran en tiempo humano • Ahora son en tiempo máquina • Existen ”entes” que construyen bots que se dedican a atacar servidores • No se cansan • No se rinden • Sin clemencia • Claramente, un gran porcentaje de esos ataques son detectados • ¿Pero que ocurre con una PYME? • ¿Qué ocurre con los pequeños?
Spear hacking and apts • Por supuesto, siguen existiendo ataques especializados y dirigidos específicamente contra una organización • Estos son de los más peligrosos • También existen acciones de ciberguerra, perpetrados por APTs (Advanced Persistent Threat) • No solo ciberguerra, también otros intereses • Son Avanzadas, Dirigidas, Persistentes y en continuo cambio • Los objetivos de las APTs son • Robar información • Provocar dañor o TERROR • Beneficio económico
Spear hacking and apts • Los grupos de técnicos que forman una APT suelen ser estables, y son reconocibles • De hecho, hay una clasificación de grupos de APTs, por ejemplo: Fancy Bear – APT28 Operativo desde 2007 Vinculados a Rusia
Spear hacking and apts
La cultura de ciberseguridad debe mejorar • Las amenazas son cada vez más frecuentes • Los botines son cada vez más suculentos • Los ataques son cada vez más sofisticados • Y tienen más éxito • ¿Y cómo siguen siendo …
Seguridad en infraestructuras
Gestión de las dependencias
Desarrollo de software
El enfoque
Las fases de un ciberataque • Parte de estos ataques se articulan a través de herramientas OSINT
Aire fresco • Puede parecer que no tenemos mucho tiempo para parar un ataque • Y esto puede ser cierto en algunos casos • Pero en general vamos a tener una ventana de detección y actuación precoz de varios días • Por eso es fundamental invertir esfuerzos en la detección y actuación temprana • Detener un ataque cuando ya se ha llegado a la fase de Install Tools es mucho más complicado • Recordad que, de media, un atacante está 206 días en una organización sin ser detectado
Embrace new technologies • Para conseguir esto tenemos que apoyarnos en nuevas tecnologías • Lo bueno es que ya no son tan nuevas! • Los entornos IT son claramente entornos Big Data • Un servidor recibe miles (quizá millones) de peticiones en pocos segundos • El tráfico de red está constantemente en tránsito • Los usuarios están constantemente realizando acciones sobre las aplicaciones • Pero es que el propio mundo que gira alrededor de un software está en constante cambio • Nuevas vulnerabilidades en SO, dependencias, etc.
Embrace new technologies • Para poder detectar y actuar necesitamos INGERIR la máxima cantidad de REALIDAD posible • Con el objetivo de analizarla para identificar patrones sospechosos y lanzar alertas… • O actuar directamente • También necesitamos integrar con muchos sistemas de diferentes proveedores… lo que nos lleva a…
vendor lock-in vs open-source
interoperability and open source • El mundo de la seguridad está muy acostumbrado a soluciones propietarias • Esto no es malo per-se, si el producto es interoperable y es específico • WAF • Firewall • API Gateway • Etc… • Pero si es un problema si el producto es la base para la INGESTA e integración de otros componentes • Es por eso que un producto Open Source de estas características es muy interesante
Data and cybersecurity • Y es que en realidad tenemos datos de sobra en ciberseguridad • Ya tenemos muchas herramientas ”escupiendo” datos • IDS/IPS • Firewalls • Routers • Antivirus • Host Based Entity Protection • Etc. • Estos sistemas ya escupen datos 24/7 • Lo que nos falta es una visión consistente de todos estos datos • Y ahí es donde entra el Big Data en Ciberseguridad
Data and cybersecurity • Otro problema es la retención de datos • Siendo muy optimistas, de media las empresas guardan esos datos entre 3 y 6 meses • Mientras que el tiempo medio de detección de una brecha de seguridad es de 8 meses • De modo que cuando detectamos que hemos sido comprometidos, los datos que podrían arrojar luz a esa brecha ya están fuera de nuestros sistemas
La hiperconvergencia Firewall Request API Gateway R e q u e s t Request EC2 Instance S3 Buckets Request 1500 VCPUs x1500 > 4000 pods x4000 Edge Node Factory Resource Edge Node Factory Resource AD Node
Mientras que con un sistema big data… Telemetry Event Buffer PROCESS TAG NORMALIZE VALIDATE PARSE ENRICH ANALYZE ALERT ACT!! TRAIN? Security Command Centre
OPOSSUM
Proyecto opossum IMDEEA/2020/64 AppSec DevSecOps InfraSec OPOSSUM
Proyecto opossum IMDEEA/2020/64
Cómo lo hacemos
Apache metron
Apache metron • Streaming Analytics Platform específica para ciberseguridad • Real Time para detección • Potencia de datos para forensics • Ventana de 24 meses! • Buena base de datos para Analytics • Buena base de datos para Inteligencia Artificial • Pluggable • Extensible
Apache metron
Tha powah • Con esta infraestructura tenemos: • Una plataforma Open Source, libre de vendor lock-in • Si necesitas integrar con algo que no esté integrado, solo tienes que ponerte manos a la obra… • Volumen para hacer analítica de datos • Volumen para entrenar modelos de Machine Learning • Infraestructura de la cual pueden beber otros sistemas de seguridad • Un conjunto nada despreciable de analíticas/integraciones ya predefinidas • MÁS INFORMACIÓN. No solo la request que nos llega, si no todo lo que podamos enriquecer • Pero lo más importante es que tenemos una herramienta que nos da una oportunidad para luchar contra los atacantes
Procesamiento y entrenamiento • Se publican los datos en un sistema Pub/Sub altamente escalable • La tecnología escogida ha sido Kafka • Si los datos ya están enriquecidos por Apache Metron, simplemente se pasan a la siguiente fase • Si no, se aprovecha y se enriquecen con alguna fuente externa • Cuando los datos están listos, se envían a otro topic de Kafka, en el que están observando los procesos de construcción de modelos de Inteligencia Artificial • Utilizando técnicas de Adaptive Learning, entrenamos los modelos de forma incremental • Esto significa que no tengo que reentrenar el modelo con todos los datos cada vez, reduciendo el tiempo necesario para su puesta en producción
Feature engineering API request 1 API request 2 API request N API request n . . . . . . Var01 Var02 …. IP …. DNS? …. pay.jsp?mode=insert&price=2672&B1=credit+card Host (AbuseIPDB) Domain …. 2. Parse payload 1. Treat as a sequence mode price …. B1 Time Week day Month Hour …. Location
Users clustering (I) Request 1 – User 1 Request 2 – User 1 Request R – User U . . . Request 3 – User 2 Request 4 – User 1 Request r – User u . . . Data stream clustering
Procesamiento y entrenamiento • También significa que los algoritmos de IA son ADAPTABLES a los cambios de comportamiento de los usuarios • Técnicas empleadas: • Hidden Markov Models • Principal Component Analisys (PCA) • Random Forest • Una vez el modelo está listo, se envuelve en una API REST estándar y se empaqueta en un contenedor Docker • Si se configura adecuadamente un ciclo de CI/CD, se puede desplegar directamente a producción
Unified approach Request r r: request Id (1,…,R) u: user Id (1,…,U) t: time stamp (1,…,T) f: feature (1,…,F) o: observarion (1,…,Nu) feature engineering User u time t Feat 1 … Feat F Observation 11 Observation 12 Observation 21 User 1 . . . Observation 1N1 User 2 User u User U-1 User U Observation 22 . . . Observation 2N2 Observation 1 Observation 2 . . . Observation uNu … … Observation 1 Observation 2 . . . Obs. (U-1)U(N-1) Observation 1 Observation 2 . . . Observation UNU Clustering+Anomaly detection across users Anomaly detection across time (individual user) “observation”
Procesamiento y entrenamiento • Una vez el modelo está listo, se envuelve en una API REST estándar y se empaqueta en un contenedor Docker • Si se configura adecuadamente un ciclo de CI/CD, se puede desplegar directamente a producción • Es entonces cuando el WAAP entra en acción…
El WAAP
El WAAP
El waap • Extensible a través de plugins • Configurable Out-of-the-box • No requiere de ningún cambio en el código fuente • Securiza aplicaciones inicialmente inseguras • Cloud Native • Integración con Kubernetes a través de Ingress • Modelo de memoria seguro (Rust) • Evita condiciones de carrera y problemas de seguridad relacionados con memoria gracias al concepto de ownership
• Seguridad en memoria GARANTIZADA • Hilos sin dataraces • Abstracciones a CERO COSTE • Traits • Type inference • Immutable by default • Macros • No existe null (ni undefined, ni nil, ni LECHES) à Elegante! • Eficiente en memoria sin Garbage Collector, pero sin tener que reservar y liberar memoria manualmente como en C… qué tiene rust de especial
out-of-the-box
out-of-the-box
Pero sobre todo… • ES • TERRIBLEMENTE • EFICIENTE
opossum vs nginx
opossum vs nginx
opossum vs nginx
nginx apache
opossum
Y ahora qué?
estado actual y perspectivas de futuro • OPOSSUM está en desarrollo y validación de prototipo • Necesita de más trabajo para que sea una opción production- ready • Ahora mismo estamos implementando los plugins de protección básica (SQLi, XSS, CQRS, etc.) • E investigando más acerca de las técnicas de Inteligencia Artificial • Tenemos un roadmap definido para los próximos 4 años, en los cuales se irán introduciendo nuevas funcionalidades y, sobretodo, se irán añadiendo capas de administración y configuración más amigables • El objetivo es que se convierta en un punto de securización y administración global para APIs
Empresas beneficiarias • Potencialmente… cualquier empresa que tenga una API que proteger o gestionar • Pero evidentemente, las empresas TIC y de desarrollo de software son las que más se pueden beneficiar de utilizar una solución como OPOSSUM • También empresas que tengan productos digitales que quieran securizar • OPOSSUM es una solución transversal que puede aplicar a múltiples sectores
transferencia • Todavía es pronto para plantearnos opciones concretas • Algunas de las opciones que tenemos en mente son: • Licenciamiento • SaaS • Spin-off • Partnership con otros vendors… • Pero son ideas que seguimos estudiando ;)
“ Albert Einstein No todo lo que se puede contar cuenta, y no todo lo que cuenta puede ser contado.
GRACIAS!

Recomendados

Ramón Pinuaga - Authenticode para malotes [rooted2017]
Ramón Pinuaga - Authenticode para malotes [rooted2017]Ramón Pinuaga - Authenticode para malotes [rooted2017]
Ramón Pinuaga - Authenticode para malotes [rooted2017]RootedCON
 
Webinar Codemotion 2020 - Piratas del Cloud
Webinar Codemotion 2020 - Piratas del CloudWebinar Codemotion 2020 - Piratas del Cloud
Webinar Codemotion 2020 - Piratas del CloudFrancisco Javier Barrena
 
Empleos con futuro. Perfil de un ingeniero de datos
Empleos con futuro. Perfil de un ingeniero de datosEmpleos con futuro. Perfil de un ingeniero de datos
Empleos con futuro. Perfil de un ingeniero de datosAntonio Santos Ramos
 
Ataques de denegacion de servicio
Ataques de denegacion de servicioAtaques de denegacion de servicio
Ataques de denegacion de servicioCamilo Fernandez
 
Tecnologías de hoy y del futuro
Tecnologías de hoy y del futuroTecnologías de hoy y del futuro
Tecnologías de hoy y del futuroFernando Parra
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaCSA Argentina
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaLorena Arroyo
 

Recomendados

Ramón Pinuaga - Authenticode para malotes [rooted2017]
Ramón Pinuaga - Authenticode para malotes [rooted2017]Ramón Pinuaga - Authenticode para malotes [rooted2017]
Ramón Pinuaga - Authenticode para malotes [rooted2017]RootedCON
 
Webinar Codemotion 2020 - Piratas del Cloud
Webinar Codemotion 2020 - Piratas del CloudWebinar Codemotion 2020 - Piratas del Cloud
Webinar Codemotion 2020 - Piratas del CloudFrancisco Javier Barrena
 
Empleos con futuro. Perfil de un ingeniero de datos
Empleos con futuro. Perfil de un ingeniero de datosEmpleos con futuro. Perfil de un ingeniero de datos
Empleos con futuro. Perfil de un ingeniero de datosAntonio Santos Ramos
 
Ataques de denegacion de servicio
Ataques de denegacion de servicioAtaques de denegacion de servicio
Ataques de denegacion de servicioCamilo Fernandez
 
Tecnologías de hoy y del futuro
Tecnologías de hoy y del futuroTecnologías de hoy y del futuro
Tecnologías de hoy y del futuroFernando Parra
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaCSA Argentina
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaLorena Arroyo
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras Universidad Cenfotec
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuJosé Moreno
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaIng. Inf. Karina Bajana Mendoza
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Conferencia MySQL, NoSQL & Cloud: Construyendo una infraestructura de big dat...
Conferencia MySQL, NoSQL & Cloud: Construyendo una infraestructura de big dat...Conferencia MySQL, NoSQL & Cloud: Construyendo una infraestructura de big dat...
Conferencia MySQL, NoSQL & Cloud: Construyendo una infraestructura de big dat...Socialmetrix
 
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOpsMeetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOpsavanttic Consultoría Tecnológica
 
Inteligencia artificial in house con servicios cognitivos y docker
Inteligencia artificial in house con servicios cognitivos y dockerInteligencia artificial in house con servicios cognitivos y docker
Inteligencia artificial in house con servicios cognitivos y dockerLuis Beltran
 
computación en la nube
computación en la nubecomputación en la nube
computación en la nubeEstefanny Martinez Soto
 
Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Cristián Rojas, MSc., CSSLP
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSRansomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSAmazon Web Services LATAM
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophosCSA Argentina
 
Azure cognitive services using containers
Azure cognitive services using containersAzure cognitive services using containers
Azure cognitive services using containersLuis Beltran
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingJaime Andrés Bello Vieda
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Francisco Javier Barrena
 
Seguridad en la nube para industrias reguladas
Seguridad en la nube para industrias reguladasSeguridad en la nube para industrias reguladas
Seguridad en la nube para industrias reguladasAmazon Web Services LATAM
 
adAS Fed: Open Identity Technologies
adAS Fed: Open Identity TechnologiesadAS Fed: Open Identity Technologies
adAS Fed: Open Identity TechnologiesCSUC - Consorci de Serveis Universitaris de Catalunya
 
Herramientas para la Transformación Digital
Herramientas para la Transformación DigitalHerramientas para la Transformación Digital
Herramientas para la Transformación DigitalIntoTheLeader
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu softwareFrancisco Javier Barrena
 
Codemotion 2022 - API Security Workshop.pdf
Codemotion 2022 - API Security Workshop.pdfCodemotion 2022 - API Security Workshop.pdf
Codemotion 2022 - API Security Workshop.pdfFrancisco Javier Barrena
 

Más contenido relacionado

Similar a Semana de la I+D - Proyecto OPOSSUM

Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuJosé Moreno
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Conferencia MySQL, NoSQL & Cloud: Construyendo una infraestructura de big dat...
Conferencia MySQL, NoSQL & Cloud: Construyendo una infraestructura de big dat...Conferencia MySQL, NoSQL & Cloud: Construyendo una infraestructura de big dat...
Conferencia MySQL, NoSQL & Cloud: Construyendo una infraestructura de big dat...Socialmetrix
 
Inteligencia artificial in house con servicios cognitivos y docker
Inteligencia artificial in house con servicios cognitivos y dockerInteligencia artificial in house con servicios cognitivos y docker
Inteligencia artificial in house con servicios cognitivos y dockerLuis Beltran
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSRansomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSAmazon Web Services LATAM
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophosCSA Argentina
 
Azure cognitive services using containers
Azure cognitive services using containersAzure cognitive services using containers
Azure cognitive services using containersLuis Beltran
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingJaime Andrés Bello Vieda
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Francisco Javier Barrena
 
Seguridad en la nube para industrias reguladas
Seguridad en la nube para industrias reguladasSeguridad en la nube para industrias reguladas
Seguridad en la nube para industrias reguladasAmazon Web Services LATAM
 
Herramientas para la Transformación Digital
Herramientas para la Transformación DigitalHerramientas para la Transformación Digital
Herramientas para la Transformación DigitalIntoTheLeader
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 

Similar a Semana de la I+D - Proyecto OPOSSUM (20)

Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de Ubuntu
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
Conferencia MySQL, NoSQL & Cloud: Construyendo una infraestructura de big dat...
Conferencia MySQL, NoSQL & Cloud: Construyendo una infraestructura de big dat...Conferencia MySQL, NoSQL & Cloud: Construyendo una infraestructura de big dat...
Conferencia MySQL, NoSQL & Cloud: Construyendo una infraestructura de big dat...
 
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOpsMeetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
 
Inteligencia artificial in house con servicios cognitivos y docker
Inteligencia artificial in house con servicios cognitivos y dockerInteligencia artificial in house con servicios cognitivos y docker
Inteligencia artificial in house con servicios cognitivos y docker
 
computación en la nube
computación en la nubecomputación en la nube
computación en la nube
 
Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSRansomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWS
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophos
 
Azure cognitive services using containers
Azure cognitive services using containersAzure cognitive services using containers
Azure cognitive services using containers
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
 
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...
 
Seguridad en la nube para industrias reguladas
Seguridad en la nube para industrias reguladasSeguridad en la nube para industrias reguladas
Seguridad en la nube para industrias reguladas
 
adAS Fed: Open Identity Technologies
adAS Fed: Open Identity TechnologiesadAS Fed: Open Identity Technologies
adAS Fed: Open Identity Technologies
 
Herramientas para la Transformación Digital
Herramientas para la Transformación DigitalHerramientas para la Transformación Digital
Herramientas para la Transformación Digital
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 

Más de Francisco Javier Barrena

¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu softwareFrancisco Javier Barrena
 
Codemotion 2022 - API Security Workshop.pdf
Codemotion 2022 - API Security Workshop.pdfCodemotion 2022 - API Security Workshop.pdf
Codemotion 2022 - API Security Workshop.pdfFrancisco Javier Barrena
 
VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...
VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...
VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...Francisco Javier Barrena
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesFrancisco Javier Barrena
 
Codemotion 2021 - The Rustalorian: Este es el camino
Codemotion 2021 - The Rustalorian: Este es el caminoCodemotion 2021 - The Rustalorian: Este es el camino
Codemotion 2021 - The Rustalorian: Este es el caminoFrancisco Javier Barrena
 
Deja de ser el rival más débil con DevSecOps
Deja de ser el rival más débil con DevSecOpsDeja de ser el rival más débil con DevSecOps
Deja de ser el rival más débil con DevSecOpsFrancisco Javier Barrena
 
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoFrancisco Javier Barrena
 
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?Francisco Javier Barrena
 
NestJS: Backends en Node para Javeros y Puntoneteros
NestJS: Backends en Node para Javeros y PuntoneterosNestJS: Backends en Node para Javeros y Puntoneteros
NestJS: Backends en Node para Javeros y PuntoneterosFrancisco Javier Barrena
 
Angular 6 + Angular Elements: Write once, run anywhere
Angular 6 + Angular Elements: Write once, run anywhereAngular 6 + Angular Elements: Write once, run anywhere
Angular 6 + Angular Elements: Write once, run anywhereFrancisco Javier Barrena
 
Machine Learning ¿A TODO GAS? con GraalVM
Machine Learning ¿A TODO GAS? con GraalVMMachine Learning ¿A TODO GAS? con GraalVM
Machine Learning ¿A TODO GAS? con GraalVMFrancisco Javier Barrena
 
Aplicaciones Absurdamente Rápidas con Quarkus.io
Aplicaciones Absurdamente Rápidas con Quarkus.ioAplicaciones Absurdamente Rápidas con Quarkus.io
Aplicaciones Absurdamente Rápidas con Quarkus.ioFrancisco Javier Barrena
 

Más de Francisco Javier Barrena (13)

¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
¡Cookiegeddon! Bye a las cookies de terceros y cómo afectará a tu software
 
Codemotion 2022 - API Security Workshop.pdf
Codemotion 2022 - API Security Workshop.pdfCodemotion 2022 - API Security Workshop.pdf
Codemotion 2022 - API Security Workshop.pdf
 
VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...
VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...
VLCSofting 2021 - HARD AS A POD 落. HARDENING DE DESPLIEGUES EN KUBERNETES CON...
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
 
Codemotion 2021 - The Rustalorian: Este es el camino
Codemotion 2021 - The Rustalorian: Este es el caminoCodemotion 2021 - The Rustalorian: Este es el camino
Codemotion 2021 - The Rustalorian: Este es el camino
 
Deja de ser el rival más débil con DevSecOps
Deja de ser el rival más débil con DevSecOpsDeja de ser el rival más débil con DevSecOps
Deja de ser el rival más débil con DevSecOps
 
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
 
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
 
NestJS: Backends en Node para Javeros y Puntoneteros
NestJS: Backends en Node para Javeros y PuntoneterosNestJS: Backends en Node para Javeros y Puntoneteros
NestJS: Backends en Node para Javeros y Puntoneteros
 
Angular 6 + Angular Elements: Write once, run anywhere
Angular 6 + Angular Elements: Write once, run anywhereAngular 6 + Angular Elements: Write once, run anywhere
Angular 6 + Angular Elements: Write once, run anywhere
 
Kubernetes - The Cloud King
Kubernetes - The Cloud KingKubernetes - The Cloud King
Kubernetes - The Cloud King
 
Machine Learning ¿A TODO GAS? con GraalVM
Machine Learning ¿A TODO GAS? con GraalVMMachine Learning ¿A TODO GAS? con GraalVM
Machine Learning ¿A TODO GAS? con GraalVM
 
Aplicaciones Absurdamente Rápidas con Quarkus.io
Aplicaciones Absurdamente Rápidas con Quarkus.ioAplicaciones Absurdamente Rápidas con Quarkus.io
Aplicaciones Absurdamente Rápidas con Quarkus.io
 

Semana de la I+D - Proyecto OPOSSUM

  • 1. SECTOR CIBERSEGURIDAD Securización de aplicaciones basadas en técnicas Big Data e Inteligencia Artificial
  • 2. ¡Hola! Mi nombre es Francisco Mi trabajo profesional se centra en la investigación de Inteligencia artificial y Big Data en el ámbito de la ciberseguridad.
  • 9. La botmenaza • Clásicamente las amenazas eran en tiempo humano • Ahora son en tiempo máquina • Existen ”entes” que construyen bots que se dedican a atacar servidores • No se cansan • No se rinden • Sin clemencia • Claramente, un gran porcentaje de esos ataques son detectados • ¿Pero que ocurre con una PYME? • ¿Qué ocurre con los pequeños?
  • 10. Spear hacking and apts • Por supuesto, siguen existiendo ataques especializados y dirigidos específicamente contra una organización • Estos son de los más peligrosos • También existen acciones de ciberguerra, perpetrados por APTs (Advanced Persistent Threat) • No solo ciberguerra, también otros intereses • Son Avanzadas, Dirigidas, Persistentes y en continuo cambio • Los objetivos de las APTs son • Robar información • Provocar dañor o TERROR • Beneficio económico
  • 11. Spear hacking and apts • Los grupos de técnicos que forman una APT suelen ser estables, y son reconocibles • De hecho, hay una clasificación de grupos de APTs, por ejemplo: Fancy Bear – APT28 Operativo desde 2007 Vinculados a Rusia
  • 13. La cultura de ciberseguridad debe mejorar • Las amenazas son cada vez más frecuentes • Los botines son cada vez más suculentos • Los ataques son cada vez más sofisticados • Y tienen más éxito • ¿Y cómo siguen siendo …
  • 15. Gestión de las dependencias
  • 18. Las fases de un ciberataque • Parte de estos ataques se articulan a través de herramientas OSINT
  • 19. Aire fresco • Puede parecer que no tenemos mucho tiempo para parar un ataque • Y esto puede ser cierto en algunos casos • Pero en general vamos a tener una ventana de detección y actuación precoz de varios días • Por eso es fundamental invertir esfuerzos en la detección y actuación temprana • Detener un ataque cuando ya se ha llegado a la fase de Install Tools es mucho más complicado • Recordad que, de media, un atacante está 206 días en una organización sin ser detectado
  • 20. Embrace new technologies • Para conseguir esto tenemos que apoyarnos en nuevas tecnologías • Lo bueno es que ya no son tan nuevas! • Los entornos IT son claramente entornos Big Data • Un servidor recibe miles (quizá millones) de peticiones en pocos segundos • El tráfico de red está constantemente en tránsito • Los usuarios están constantemente realizando acciones sobre las aplicaciones • Pero es que el propio mundo que gira alrededor de un software está en constante cambio • Nuevas vulnerabilidades en SO, dependencias, etc.
  • 21. Embrace new technologies • Para poder detectar y actuar necesitamos INGERIR la máxima cantidad de REALIDAD posible • Con el objetivo de analizarla para identificar patrones sospechosos y lanzar alertas… • O actuar directamente • También necesitamos integrar con muchos sistemas de diferentes proveedores… lo que nos lleva a…
  • 22. vendor lock-in vs open-source
  • 23. interoperability and open source • El mundo de la seguridad está muy acostumbrado a soluciones propietarias • Esto no es malo per-se, si el producto es interoperable y es específico • WAF • Firewall • API Gateway • Etc… • Pero si es un problema si el producto es la base para la INGESTA e integración de otros componentes • Es por eso que un producto Open Source de estas características es muy interesante
  • 24. Data and cybersecurity • Y es que en realidad tenemos datos de sobra en ciberseguridad • Ya tenemos muchas herramientas ”escupiendo” datos • IDS/IPS • Firewalls • Routers • Antivirus • Host Based Entity Protection • Etc. • Estos sistemas ya escupen datos 24/7 • Lo que nos falta es una visión consistente de todos estos datos • Y ahí es donde entra el Big Data en Ciberseguridad
  • 25. Data and cybersecurity • Otro problema es la retención de datos • Siendo muy optimistas, de media las empresas guardan esos datos entre 3 y 6 meses • Mientras que el tiempo medio de detección de una brecha de seguridad es de 8 meses • De modo que cuando detectamos que hemos sido comprometidos, los datos que podrían arrojar luz a esa brecha ya están fuera de nuestros sistemas
  • 26. La hiperconvergencia Firewall Request API Gateway R e q u e s t Request EC2 Instance S3 Buckets Request 1500 VCPUs x1500 > 4000 pods x4000 Edge Node Factory Resource Edge Node Factory Resource AD Node
  • 27. Mientras que con un sistema big data… Telemetry Event Buffer PROCESS TAG NORMALIZE VALIDATE PARSE ENRICH ANALYZE ALERT ACT!! TRAIN? Security Command Centre
  • 28.
  • 32.
  • 33.
  • 36. Apache metron • Streaming Analytics Platform específica para ciberseguridad • Real Time para detección • Potencia de datos para forensics • Ventana de 24 meses! • Buena base de datos para Analytics • Buena base de datos para Inteligencia Artificial • Pluggable • Extensible
  • 38. Tha powah • Con esta infraestructura tenemos: • Una plataforma Open Source, libre de vendor lock-in • Si necesitas integrar con algo que no esté integrado, solo tienes que ponerte manos a la obra… • Volumen para hacer analítica de datos • Volumen para entrenar modelos de Machine Learning • Infraestructura de la cual pueden beber otros sistemas de seguridad • Un conjunto nada despreciable de analíticas/integraciones ya predefinidas • MÁS INFORMACIÓN. No solo la request que nos llega, si no todo lo que podamos enriquecer • Pero lo más importante es que tenemos una herramienta que nos da una oportunidad para luchar contra los atacantes
  • 39. Procesamiento y entrenamiento • Se publican los datos en un sistema Pub/Sub altamente escalable • La tecnología escogida ha sido Kafka • Si los datos ya están enriquecidos por Apache Metron, simplemente se pasan a la siguiente fase • Si no, se aprovecha y se enriquecen con alguna fuente externa • Cuando los datos están listos, se envían a otro topic de Kafka, en el que están observando los procesos de construcción de modelos de Inteligencia Artificial • Utilizando técnicas de Adaptive Learning, entrenamos los modelos de forma incremental • Esto significa que no tengo que reentrenar el modelo con todos los datos cada vez, reduciendo el tiempo necesario para su puesta en producción
  • 40. Feature engineering API request 1 API request 2 API request N API request n . . . . . . Var01 Var02 …. IP …. DNS? …. pay.jsp?mode=insert&price=2672&B1=credit+card Host (AbuseIPDB) Domain …. 2. Parse payload 1. Treat as a sequence mode price …. B1 Time Week day Month Hour …. Location
  • 41. Users clustering (I) Request 1 – User 1 Request 2 – User 1 Request R – User U . . . Request 3 – User 2 Request 4 – User 1 Request r – User u . . . Data stream clustering
  • 42. Procesamiento y entrenamiento • También significa que los algoritmos de IA son ADAPTABLES a los cambios de comportamiento de los usuarios • Técnicas empleadas: • Hidden Markov Models • Principal Component Analisys (PCA) • Random Forest • Una vez el modelo está listo, se envuelve en una API REST estándar y se empaqueta en un contenedor Docker • Si se configura adecuadamente un ciclo de CI/CD, se puede desplegar directamente a producción
  • 43. Unified approach Request r r: request Id (1,…,R) u: user Id (1,…,U) t: time stamp (1,…,T) f: feature (1,…,F) o: observarion (1,…,Nu) feature engineering User u time t Feat 1 … Feat F Observation 11 Observation 12 Observation 21 User 1 . . . Observation 1N1 User 2 User u User U-1 User U Observation 22 . . . Observation 2N2 Observation 1 Observation 2 . . . Observation uNu … … Observation 1 Observation 2 . . . Obs. (U-1)U(N-1) Observation 1 Observation 2 . . . Observation UNU Clustering+Anomaly detection across users Anomaly detection across time (individual user) “observation”
  • 44.
  • 45.
  • 46. Procesamiento y entrenamiento • Una vez el modelo está listo, se envuelve en una API REST estándar y se empaqueta en un contenedor Docker • Si se configura adecuadamente un ciclo de CI/CD, se puede desplegar directamente a producción • Es entonces cuando el WAAP entra en acción…
  • 49. El waap • Extensible a través de plugins • Configurable Out-of-the-box • No requiere de ningún cambio en el código fuente • Securiza aplicaciones inicialmente inseguras • Cloud Native • Integración con Kubernetes a través de Ingress • Modelo de memoria seguro (Rust) • Evita condiciones de carrera y problemas de seguridad relacionados con memoria gracias al concepto de ownership
  • 50. • Seguridad en memoria GARANTIZADA • Hilos sin dataraces • Abstracciones a CERO COSTE • Traits • Type inference • Immutable by default • Macros • No existe null (ni undefined, ni nil, ni LECHES) à Elegante! • Eficiente en memoria sin Garbage Collector, pero sin tener que reservar y liberar memoria manualmente como en C… qué tiene rust de especial
  • 53. Pero sobre todo… • ES • TERRIBLEMENTE • EFICIENTE
  • 60. estado actual y perspectivas de futuro • OPOSSUM está en desarrollo y validación de prototipo • Necesita de más trabajo para que sea una opción production- ready • Ahora mismo estamos implementando los plugins de protección básica (SQLi, XSS, CQRS, etc.) • E investigando más acerca de las técnicas de Inteligencia Artificial • Tenemos un roadmap definido para los próximos 4 años, en los cuales se irán introduciendo nuevas funcionalidades y, sobretodo, se irán añadiendo capas de administración y configuración más amigables • El objetivo es que se convierta en un punto de securización y administración global para APIs
  • 61. Empresas beneficiarias • Potencialmente… cualquier empresa que tenga una API que proteger o gestionar • Pero evidentemente, las empresas TIC y de desarrollo de software son las que más se pueden beneficiar de utilizar una solución como OPOSSUM • También empresas que tengan productos digitales que quieran securizar • OPOSSUM es una solución transversal que puede aplicar a múltiples sectores
  • 62. transferencia • Todavía es pronto para plantearnos opciones concretas • Algunas de las opciones que tenemos en mente son: • Licenciamiento • SaaS • Spin-off • Partnership con otros vendors… • Pero son ideas que seguimos estudiando ;)
  • 63. “ Albert Einstein No todo lo que se puede contar cuenta, y no todo lo que cuenta puede ser contado.