La ética, la #privacidad digital y la #ciberseguridad, están cobrando gran relevancia, y son una de las principales #tendenciastecnológicas de hoy y del futuro, asegurando un entorno confiable para gobiernos, empresas y personas.
2. ¡Hola!
Mi nombre es
Francisco
Mi trabajo profesional se centra en la
investigación de Inteligencia artificial y Big
Data en el ámbito de la ciberseguridad.
9. La botmenaza
• Clásicamente las amenazas eran en tiempo
humano
• Ahora son en tiempo máquina
• Existen ”entes” que construyen bots que se
dedican a atacar servidores
• No se cansan
• No se rinden
• Sin clemencia
• Claramente, un gran porcentaje de esos
ataques son detectados
• ¿Pero que ocurre con una PYME?
• ¿Qué ocurre con los pequeños?
10. Spear hacking and apts
• Por supuesto, siguen existiendo ataques especializados y dirigidos
específicamente contra una organización
• Estos son de los más peligrosos
• También existen acciones de ciberguerra, perpetrados por APTs
(Advanced Persistent Threat)
• No solo ciberguerra, también otros intereses
• Son Avanzadas, Dirigidas, Persistentes y en continuo cambio
• Los objetivos de las APTs son
• Robar información
• Provocar dañor o TERROR
• Beneficio económico
11. Spear hacking and apts
• Los grupos de técnicos que forman una APT suelen ser estables, y
son reconocibles
• De hecho, hay una clasificación de grupos de APTs, por ejemplo:
Fancy Bear – APT28
Operativo desde 2007
Vinculados a Rusia
13. La cultura de ciberseguridad debe mejorar
• Las amenazas son cada vez más frecuentes
• Los botines son cada vez más suculentos
• Los ataques son cada vez más sofisticados
• Y tienen más éxito
• ¿Y cómo siguen siendo …
18. Las fases de un ciberataque
• Parte de estos ataques se articulan a través de herramientas
OSINT
19. Aire fresco
• Puede parecer que no tenemos mucho tiempo para parar un
ataque
• Y esto puede ser cierto en algunos casos
• Pero en general vamos a tener una ventana de detección y
actuación precoz de varios días
• Por eso es fundamental invertir esfuerzos en la detección y
actuación temprana
• Detener un ataque cuando ya se ha llegado a la fase de Install
Tools es mucho más complicado
• Recordad que, de media, un atacante está 206 días en una
organización sin ser detectado
20. Embrace new technologies
• Para conseguir esto tenemos que apoyarnos en nuevas
tecnologías
• Lo bueno es que ya no son tan nuevas!
• Los entornos IT son claramente entornos Big Data
• Un servidor recibe miles (quizá millones) de peticiones en pocos segundos
• El tráfico de red está constantemente en tránsito
• Los usuarios están constantemente realizando acciones sobre las
aplicaciones
• Pero es que el propio mundo que gira alrededor de un software
está en constante cambio
• Nuevas vulnerabilidades en SO, dependencias, etc.
21. Embrace new technologies
• Para poder detectar y actuar necesitamos INGERIR la máxima
cantidad de REALIDAD posible
• Con el objetivo de analizarla para identificar patrones sospechosos
y lanzar alertas…
• O actuar directamente
• También necesitamos integrar con muchos sistemas de diferentes
proveedores… lo que nos lleva a…
23. interoperability and open source
• El mundo de la seguridad está muy acostumbrado a soluciones
propietarias
• Esto no es malo per-se, si el producto es interoperable y es
específico
• WAF
• Firewall
• API Gateway
• Etc…
• Pero si es un problema si el producto es la base para la INGESTA e
integración de otros componentes
• Es por eso que un producto Open Source de estas características es muy
interesante
24. Data and cybersecurity
• Y es que en realidad tenemos datos de sobra en ciberseguridad
• Ya tenemos muchas herramientas ”escupiendo” datos
• IDS/IPS
• Firewalls
• Routers
• Antivirus
• Host Based Entity Protection
• Etc.
• Estos sistemas ya escupen datos 24/7
• Lo que nos falta es una visión consistente de todos estos datos
• Y ahí es donde entra el Big Data en Ciberseguridad
25. Data and cybersecurity
• Otro problema es la retención de datos
• Siendo muy optimistas, de media las
empresas guardan esos datos entre 3 y 6
meses
• Mientras que el tiempo medio de
detección de una brecha de seguridad
es de 8 meses
• De modo que cuando detectamos que
hemos sido comprometidos, los datos
que podrían arrojar luz a esa brecha ya
están fuera de nuestros sistemas
27. Mientras que con un sistema big data…
Telemetry
Event
Buffer
PROCESS
TAG
NORMALIZE
VALIDATE
PARSE
ENRICH ANALYZE
ALERT
ACT!!
TRAIN?
Security
Command
Centre
36. Apache metron
• Streaming Analytics Platform específica para ciberseguridad
• Real Time para detección
• Potencia de datos para forensics
• Ventana de 24 meses!
• Buena base de datos para Analytics
• Buena base de datos para Inteligencia Artificial
• Pluggable
• Extensible
38. Tha powah
• Con esta infraestructura tenemos:
• Una plataforma Open Source, libre de vendor lock-in
• Si necesitas integrar con algo que no esté integrado, solo tienes que
ponerte manos a la obra…
• Volumen para hacer analítica de datos
• Volumen para entrenar modelos de Machine Learning
• Infraestructura de la cual pueden beber otros sistemas de seguridad
• Un conjunto nada despreciable de analíticas/integraciones ya
predefinidas
• MÁS INFORMACIÓN. No solo la request que nos llega, si no todo lo que
podamos enriquecer
• Pero lo más importante es que tenemos una herramienta que nos
da una oportunidad para luchar contra los atacantes
39. Procesamiento y entrenamiento
• Se publican los datos en un sistema Pub/Sub altamente escalable
• La tecnología escogida ha sido Kafka
• Si los datos ya están enriquecidos por Apache Metron,
simplemente se pasan a la siguiente fase
• Si no, se aprovecha y se enriquecen con alguna fuente externa
• Cuando los datos están listos, se envían a otro topic de Kafka, en el
que están observando los procesos de construcción de modelos
de Inteligencia Artificial
• Utilizando técnicas de Adaptive Learning, entrenamos los modelos
de forma incremental
• Esto significa que no tengo que reentrenar el modelo con todos los datos
cada vez, reduciendo el tiempo necesario para su puesta en producción
40. Feature engineering
API request 1
API request 2
API request N
API request n
.
.
.
.
.
.
Var01 Var02
….
IP
….
DNS?
….
pay.jsp?mode=insert&price=2672&B1=credit+card
Host
(AbuseIPDB)
Domain
….
2. Parse payload
1. Treat as a sequence
mode price ….
B1
Time
Week day
Month Hour
….
Location
41. Users clustering (I)
Request 1 – User 1
Request 2 – User 1
Request R – User U
.
.
.
Request 3 – User 2
Request 4 – User 1
Request r – User u
.
.
.
Data stream clustering
42. Procesamiento y entrenamiento
• También significa que los algoritmos de IA son ADAPTABLES a los
cambios de comportamiento de los usuarios
• Técnicas empleadas:
• Hidden Markov Models
• Principal Component Analisys (PCA)
• Random Forest
• Una vez el modelo está listo, se envuelve en una API REST
estándar y se empaqueta en un contenedor Docker
• Si se configura adecuadamente un ciclo de CI/CD, se puede desplegar
directamente a producción
43. Unified approach Request r
r: request Id (1,…,R)
u: user Id (1,…,U)
t: time stamp (1,…,T)
f: feature (1,…,F)
o: observarion (1,…,Nu)
feature
engineering
User u time t Feat 1 … Feat F
Observation 11
Observation 12
Observation 21
User 1
.
.
.
Observation 1N1
User 2 User u User U-1 User U
Observation 22
.
.
.
Observation 2N2
Observation 1
Observation 2
.
.
.
Observation uNu
… …
Observation 1
Observation 2
.
.
.
Obs. (U-1)U(N-1)
Observation 1
Observation 2
.
.
.
Observation UNU
Clustering+Anomaly detection across users
Anomaly
detection
across time
(individual user)
“observation”
44.
45.
46. Procesamiento y entrenamiento
• Una vez el modelo está listo, se envuelve en una API REST
estándar y se empaqueta en un contenedor Docker
• Si se configura adecuadamente un ciclo de CI/CD, se puede desplegar
directamente a producción
• Es entonces cuando el WAAP entra en acción…
49. El waap
• Extensible a través de plugins
• Configurable Out-of-the-box
• No requiere de ningún cambio en el
código fuente
• Securiza aplicaciones inicialmente
inseguras
• Cloud Native
• Integración con Kubernetes a través de
Ingress
• Modelo de memoria seguro (Rust)
• Evita condiciones de carrera y problemas de
seguridad relacionados con memoria gracias
al concepto de ownership
50. • Seguridad en memoria GARANTIZADA
• Hilos sin dataraces
• Abstracciones a CERO COSTE
• Traits
• Type inference
• Immutable by default
• Macros
• No existe null (ni undefined, ni nil, ni LECHES) à Elegante!
• Eficiente en memoria sin Garbage Collector, pero sin tener que reservar y liberar memoria
manualmente como en C…
qué tiene rust de especial
60. estado actual y perspectivas de futuro
• OPOSSUM está en desarrollo y validación de prototipo
• Necesita de más trabajo para que sea una opción production-
ready
• Ahora mismo estamos implementando los plugins de protección
básica (SQLi, XSS, CQRS, etc.)
• E investigando más acerca de las técnicas de Inteligencia Artificial
• Tenemos un roadmap definido para los próximos 4 años, en los
cuales se irán introduciendo nuevas funcionalidades y, sobretodo,
se irán añadiendo capas de administración y configuración más
amigables
• El objetivo es que se convierta en un punto de securización y
administración global para APIs
61. Empresas beneficiarias
• Potencialmente… cualquier empresa que tenga una API que
proteger o gestionar
• Pero evidentemente, las empresas TIC y de desarrollo de software
son las que más se pueden beneficiar de utilizar una solución
como OPOSSUM
• También empresas que tengan productos digitales que quieran
securizar
• OPOSSUM es una solución transversal que puede aplicar a
múltiples sectores
62. transferencia
• Todavía es pronto para plantearnos opciones concretas
• Algunas de las opciones que tenemos en mente son:
• Licenciamiento
• SaaS
• Spin-off
• Partnership con otros vendors…
• Pero son ideas que seguimos estudiando ;)