GoHome

Una tendencia al alza

La tendencia de las ciberamenazas en los últimos años ha aumentado exponencialmente y han aparecido muchos desafíos en cuanto a mantener la operatividad, seguridad y disponibilidad de los activos IT.

Para ello, se utilizan plataformas como los SOC (Security Operations Center) para supervisar y administrar la seguridad de una organización a través de herramientas de recogida de datos. El objetivo de un SOC consiste en la anticipación, prevención, detección y reacción ante dichas amenazas, siendo el SIEM su principal herramienta para la correlación de eventos.

¿Por qué un SOC para redes 5G?

El SOC está ligado a un equipo humano formado por analistas y hay distintos retos a los que se enfrentan dichos analistas de seguridad [AGYE19] y las métricas sugeridas por la literatura presente para establecer medidas que identifiquen el rendimiento de los analistas en su labor. También presenta un mapeo entre los retos y métricas de rendimiento ya existentes mostrando cómo puede medirse la efectividad de un analista ante un reto particular. Se identifican retos tales como el volumen de alertas recibidas, falsos positivos, falsos negativos, ataques sofisticados, manejo de incidentes en comparación a la complejidad del mismo, habilidades propias del analista, experiencia del analista, comunicación entre equipos, entre otros. Además de las amenazas que pueden afectar a la confidencialidad e integridad de los datos, tenemos otras que atentan contra la disponibilidad de un activo o servicio. Aquí toma un papel crucial el NOC (Network Operations Center), encargado de monitorear el tráfico de red de una organización y asegurar los requisitos de rendimiento y disponibilidad [SHAH22]. Paralelamente, las redes 5G+ y la prominente llegada de las redes 6G ponen de manifiesto una serie de requisitos de seguridad que hay que cumplimentar, como podría ser un mayor caudal de datos o mayor exposición a riesgos cibernéticos debido a una mayor densidad de antenas y dispositivos conectados, llevando a una mayor superficie de ataque.

Además, dichas redes habilitan nuevas aplicaciones y servicios críticos, como es el caso del V2X (Vehicle to Everything) o la telemedicina. En relación con el SOC y el NOC, el uso del network slicing o el edge computing requieren de una gestión dinámica y adaptativa de los recursos de la red y seguridad [SHAH22]. La integración de NOC y SOC es, por lo tanto, un punto crítico especialmente en el sector del 5G/6G, que obliga a una mayor flexibilidad a la hora de adaptarse rápidamente a un nuevo entorno competitivo [KOKU19].

Machine learning para detección de ciberamenazas en 5G

El uso del machine learning en los SOC es imprescindible para mejorar la eficiencia y la efectividad de los analistas de seguridad, ya no solo ayudando a una mejor correlación de eventos. Con el avance de la tecnología, cada vez hay más fuentes de información, provenientes de sensores, sistemas o usuarios [FENG17]. A nivel de red, la detección de anomalías y patrones en el tráfico en tiempo real tiene una muy difícil detección sin el uso de aprendizaje automático, pues se recogen ingentes cantidades de datos y suelen diferir muy pocos campos, siendo esto especialmente útil para amenazas 0-Day u otras poco comunes. Por otro lado, el machine learning permite clasificar o priorizar incidentes y generar alertas o recomendaciones de manera automática. Además, en los últimos años se han desarrollado, implementado y evaluado técnicas avanzadas como Federated Learning, que permite el entrenamiento de modelos a partir de datos descentralizados, habilitando el despliegue de un sistema IDS descentralizado, escalable y que respeta la privacidad de los datos utilizados [MARMOL2021, RUZAFA2021, PEI2022].

Nuevos enables de monitorización y telemetría

La monitorización y telemetría de sistemas y tráfico de red no está en etapa madura en redes 5G/6G donde las características multi-tenant, multi-dominio y la descentralización introduce nuevos protocolos de red y complejidad en la monitorización no abordada aun convenientemente, además, no hay una metodología clara para aplicar y las organizaciones no están bien protegidas contra este tipo de tráfico malicioso [KECKS21]. Por tanto, es necesario estudio de posibles métodos de telemetría y monitorización, enfocados en RAN y UE relacionados con la captura de paquetes a nivel MAC para trafico multitenant, multi-domain y multioperador, decodificación de protocolos RAN y correlación de eventos entre distintas capas para la detección de anomalías.

Necesidad de privatización de la información de ciberinteligencia

En cuanto a la compartición de eventos y ciberamenazas, se hace uso de Cyber Threat Intelligence (CTI), que es considerada cualquier información que ayude a una entidad a identificar, evaluar, monitorizar o responder a ciberataques. Compartir información de ciberinteligencia es una parte importante en la prevención y detección de ciberataques ya que permite construir múltiples capas de automatización y defensa efectiva que analice continuamente la cantidad de información heterogénea relacionada con atacantes, técnicas-tácticas-procedimientos (TTP), indicadores activos de incidentes, etc. El concepto de interoperabilidad en CTI hace referencia a la facilidad de diseminación y a la necesidad de establecer estándares que definan como se debe estructurar la información relacionada a las amenazas. El intercambio seguro de CTI en escenarios 6G multi-dominio, multi-tenant y multioperador en todo el continuo (IoTEdge-Fog-Core-Cloud) requiere de nuevas técnicas que automaticen en intercambio en los SOCs y que permitan al mismo tiempo la confidencialidad de los datos intercambiados.

Estudios como [WAGN2019], explican las principales vías de desarrollo en el campo de la ciberinteligencia, casos de uso y principales estándares que han sido adoptados en la industria, las plataformas más usadas y una comparación entre ellas. Como resultado, muestra que los estándares de CTI más usados son STIX (Structured Threat Information Expression), como estándar de estructuración de los datos y TAXII (Trusted Automated Exchange of Indicator Information), como protocolo de intercambio de la información. Sin embargo, menciona otros estándares también ampliamente usados actualmente como CyBox, OpenTPX, MAEC, IODEF, VERIS o plataformas como Malware Information Sharing Platform (MISP), NC4 CTX/Soltra Edge, ThreatConnect, AlienVault, IBM X-Force Exchange, Anomali, ThreatExchange, CrowdStrike, ThreatQuotient, entre otras.

La importancia de la confianza

De acuerdo a [WAGN2019], en ocasiones este tipo de información contiene información que debe ser sólo transmitida a destinatarios confiables, cómo pueden ser atributos relacionados con un individuo específico o Personally Identifiable Information (PII). En las manos equivocadas, esta información puede ocasionar un ataque hacia el individuo al que lo relaciona o dañar la reputación de la organización que la comparte. Por lo tanto, es necesaria la implementación de mecanismos de confidencialidad, privacidad y confianza que protejan los atributos sensibles presentes en este tipo de información, de forma previa al intercambio con el resto de las organizaciones de un ecosistema de compartición.

GoHome

[AGYE19] Agyepong, Enoch & CHERDANTSEVA, YULIA & Reinecke, Philipp & Burnap, Pete. (2019). Challenges and performance metrics for security operations center analysts: a systematic review. Journal of Cyber Security Technology. 4. 1-28. 10.1080/23742917.2019.1698178. - JUANFRAN
[SHAH22] D. Shahjee and N.Ware, "Integrated Network and Security Operation Center: A Systematic Analysis," in IEEE Access, vol. 10, pp. 27881-27898, 2022, doi: 10.1109/ACCESS.2022.3157738.
[KOKU19] Kokulu, Faris & Soneji, Ananta & Bao, Tiffany & Shoshitaishvili, Yan & Zhao, Ziming & Doupé, Adam & Ahn, Gail-Joon. (2019). Matched and Mismatched SOCs: A Qualitative Study on Security Operations Center Issues. 1955-1970. 10.1145/3319535.3354239.
[FENG17] C. Feng, S. Wu and N. Liu, "A user-centric machine learning framework for cyber security operations center," 2017 IEEE International Conference on Intelligence and Security Informatics (ISI), Beijing, China, 2017, pp. 173-175, doi: 10.1109/ISI.2017.8004902.
[Marmol et al.] Enrique Mármol Campos, Pablo Fernández Saura, Aurora González-Vidal, José L. Hernández-Ramos, Jorge Bernal Bernabe, Gianframework Baldini, Antonio Skarmeta, Evaluating Federated Learning for intrusion detection in Internet of Things: Review and challenges, Computer Networks, 2021, 108661. JCR, Q1, IF:4.47. DOI
[RUZAFA2021] Ruzafa, P., Campos, E.M., Saura, P.F., González-Vidal, A., Hernandez- Ramos, J.L., Bernabé, J.B., & Skarmeta, A. (2021) Intrusion Detection based on Privacypreserving Federated Learning for the Industrial IoT. IEEE Transactions on Industrial Informatics.
[PEI2022] Pei, J., Zhong, K., Jan, M. A., \& Li, J. (2022). Personalized federated learning framework for network traffic anomaly detection. Computer Networks, 209, 108906. doi:10.1016/j.comnet.2022.108906
[KECS21] M. V. Kecskés, M. Orsós, E. Kail and A. Bánáti, "Monitoring 5G networks in Security Operation Center," 2021 IEEE 21st International Symposium on Computational Intelligence and Informatics (CINTI), Budapest, Hungary, 2021, pp. 000223-000228, doi: 10.1109/CINTI53070.2021.9668469.
[WAGN2019] Wagner, T.D., Mahbub, K., Palomar, E., Abdallah, A.E.: Cyber threat intelligence sharing: Survey and research directions. Computers Security 87, 101589 (2019). https://doi.org/https://doi.org/10.1016/j.cose.2019.101589, https://www.sciencedirect.com/science/article/pii/S016740481830467X

About