Menu responsive
Home 9 Caso práctico 1

Demostrador 1: generación e intercambio de información sobre amenazas entre autoridades locales

 

Socios: En este demostrador participan dos autoridades locales, una de la región aragonesa de España y otra de la región italiana del Véneto. El desarrollo técnico cuenta con el apoyo de S2 Grupo, empresa tecnológica española especializada en Ciberseguridad.

Descripción del problema: Se implementará un escenario de intercambio de inteligencia sobre amenazas entre dos regiones europeas colaboradoras (Aragón y Véneto). Las administraciones públicas son uno de los principales objetivos de los ciberdelincuentes y están expuestas a grandes riesgos, ya que prestan importantes servicios, como sanidad, educación y servicios sociales. Para luchar contra estos riesgos, ambas regiones disponen de conjuntos de datos relevantes significativamente grandes que pueden explotarse de forma colaborativa utilizando técnicas de Aprendizaje Automático para la Preservación de la Privacidad (PPML, por sus siglas en inglés).

Uno de los factores clave en la lucha contra la ciberdelincuencia ha sido siempre el intercambio de información entre distintas organizaciones, ya sean públicas o privadas. Tradicionalmente, compartir información sobre las nuevas técnicas, tendencias y objetivos de los ciberdelincuentes o incluso sobre las campañas en curso ha sido una práctica habitual para prevenir ataques o, al menos, detectarlos en una fase temprana o mitigar sus efectos. Más recientemente, la aplicación del aprendizaje automático, como los algoritmos de aprendizaje profundo, en la ciberseguridad ha ganado una popularidad significativa debido a su flexibilidad y capacidad para hacer frente, no solo a las amenazas conocidas, sino también a las desconocidas (como las amenazas de día cero). Dado que estos algoritmos requieren grandes cantidades de datos para su entrenamiento, su creciente popularidad ha acentuado aún más la necesidad de compartir datos.

Sin embargo, compartir grandes cantidades de datos relacionados con la ciberseguridad entre distintas entidades suele ser complicado, no sólo por la complejidad y heterogeneidad de los datos, sino también por su potencial sensibilidad. Por ejemplo, se podría entrenar una red neuronal para detectar campañas de phishing en una empresa inspeccionando los correos electrónicos de los empleados y calculando el grado de similitud con las campañas de phishing existentes. Sin embargo, eso requeriría que la empresa (y sus empleados) dieran permiso para inspeccionar estos correos electrónicos, que pueden contener información privada y sensible. Además, las empresas y los particulares son reacios a compartir datos sobre las formas en que han sido atacados, especialmente cuando los ataques han tenido éxito, porque no quieren que su imagen pública se vea dañada.

En este demostrador, las dos organizaciones participantes (los gobiernos locales de Aragón y Véneto) se beneficiarán de los mecanismos avanzados de intercambio de datos que ofrece el marco HARPOCRATES, que les permite compartir información privada y sensible sin dañar su imagen pública ni infringir ninguna ley de privacidad. Este mecanismo ayudará a recopilar e intercambiar nuevos indicadores de compromiso e inteligencia sobre amenazas, potenciando la ciberseguridad hasta un punto en el que pueda hacer frente al mencionado aumento del grado de inteligencia y sofisticación de la ciberdelincuencia.

Aplicación demostradora prevista: El demostrador se aplicará de la siguiente manera:

    1. Construcción del conjunto de datos: incluyendo (1) selección del subconjunto de usuarios/hosts de cada organización que formarán parte del conjunto de datos; (2) recuperación de datos durante la actividad normal de cada organización y anonimización básica para permitir la publicación de los conjuntos de datos al resto del consorcio; (3) inyección de registros maliciosos para experimentos de detección y compartición de amenazas.
    2. Diseño y arquitectura de la plataforma de inteligencia de amenazas: incluyendo (1) diseño del demostrador
      plataforma, utilizando los servicios de HARPOCRATES, a través de la cual se anonimizará y compartirá la inteligencia sobre amenazas; (2) diseño de modelos de amenazas.
    3. Entrenamiento ML utilizando datos anónimos, aprovechando los servicios PPML desarrollados por HARPOCRATES.
    4. Puesta en marcha y evaluación del demostrador. La evaluación incluirá (1) el análisis del panorama de amenazas antes de HARPOCRATES; (2) la caracterización de las amenazas y los datos necesarios para prevenirlas; (3) la comparación de las amenazas prevenibles con y sin los servicios de HARPOCRATES.