Se diseñará una plataforma SOC cognitiva, federada y gobernada por IA, capaz de gestionar automáticamente la seguridad de servicios y operaciones entre segmentos heterogéneos de varios dominios y redes B5G/6G, mejorando nuestro trabajo previo en este campo [Molina et al.], incrementando las capacidades cognitivas descentralizadas y federadas. Este framework se basará en mecanismos basados por IA que permitan una gestión de seguridad del ciclo de vida de servicios y dispositivos y la detección de anomalías. Reforzará la seguridad, la confianza y la privacidad en las operaciones a través de bucles SOAR (Respuesta de Automatización de Orquestación de Seguridad) [soar] cognitivos y zero-touch. El framework también hará uso de una gestión de recursos inteligente y flexible y chaining dinámico de servicios para automatizar, reaccionar y adaptar componentes en tiempo de ejecución y mitigar anomalías.
Además, el framework realiza un análisis en tiempo real de información contextual, topológica, de telemetría para conciencia situacional en la toma de decisiones de orquestación de la seguridad y detección de amenazas.
El proyecto ofrecerá herramientas fáciles de usar por el usuario de código abierto y nuevos modelos de seguridad y privacidad. Durante la fase operativa, el framework seguirá un enfoque ‘human-centric’, donde las políticas de alto nivel generadas durante la toma de decisiones se traducirán en políticas de alto nivel entendibles por los usuarios para permitir la gestión de la privacidad y seguridad por parte de los usuarios en tiempo real si fuera necesario.
El proyecto generará políticas formales de seguridad y especificaciones de configuraciones para hacer cumplir las propiedades de privacidad y confianza de seguridad requeridas e identificadas durante todo el ciclo de vida, tanto en la fase de diseño y durante la fase de operación, y para ser aplicadas tanto en dispositivos (por ejemplo, IoT o UE), como en los diferentes segmentos de red de infraestructura (IoT-edge-Core-Cloud) y capa verticales (infraestructura plataforma y servicios).
El proyecto desarrollará un sistema jerárquico de conocimiento topológico de red en todo el continuo 6G, tanto elementos físicos como virtuales. Se definirán modelos y se desarrollarán agentes correspondientes que permitan capturar:
Además, proporcionará una evaluación del impacto del dominio, es decir, la infraestructura y los modelos están vinculados para establecer un mapeo de dependencia bidireccional que identificará a la vez los activos críticos (de arriba a abajo) y las posibles amenazas a los servicios 6G).
El proyecto también desarrollará un marco de evaluación situacional para estimar el estado actual de riesgo de la red, así como para predecir/pronosticar la evolución de la situación a corto plazo.
Se definirán mecanismos de agregación para recopilar, agregar y normalizar datos y eventos de múltiples fuentes heterogéneas, incluidos registros, IDS, fuentes de red, modelos de IA, etc. Se definirán mecanismos de filtrado, fusión, registro, almacenamiento y reenvío de datos/eventos (incluido el tráfico de red B5G). La correlación de eventos con soporte para la generación de alarmas. Estos elementos de monitorización y agregación se pueden ubicar en el Continuo 6G donde sea necesario (Edge, fog, core, cloud), normalmente cerca de las entidades que se administran.
Se pretende conseguir que los procesos de despliegue y orquestación de servicios, dispositivos y componentes estén apoyados en IA y definidos en base a políticas interoperables, al tiempo que se realicen dinámicamente, de acuerdo con el contexto y las evaluaciones de confianza proporcionadas por los componentes dotados de análisis de seguridad. Este dinamismo brindará nuevos esquemas de autorrecuperación tanto para infraestructuras como para servicios, para mitigar el impacto de los incidentes. Mejorará la resiliencia de las etapas de implementación y operaciones contra los ciberdesastres en infraestructuras, datos y servicios, reduciendo considerablemente el tiempo de inactividad tradicional asociado a los ciberdesastres (con la reducción asociada tanto en pérdidas de capital como operativas, lo que permite el control de ciberataques), reduciendo los riesgos y permitiendo así nuevos modelos de negocio.
Además, la integración del enfoque basado en políticas, enriquecidas semánticamente, para la gestión del ciclo de vida operacional de servicios y redes, garantizará una gestión avanzada de la seguridad del sistema con capacidades de detección de conflictos entre políticas o intentos proactivos, reactivos y desplegados en ese momento. En este sentido, se introducirán nuevos mecanismos para la gestión, por ejemplo, el acceso no autorizado y la escalada de privilegios.
La orquestación de seguridad basada en IA mejorará nuestro trabajo previo de orquestación [Zarca et al.], tendrá en cuenta las capacidades y restricciones y estado actual de los componentes de red, dispositivos y servicios con el fin de ofrecer el nivel de seguridad dinámico oportuno en el sistema. Para ello se diseñará y entregará una solución SOAR destinada a realizar la detección automática de ciberataques y unir dicha detección con un proceso de automatización completo donde se realizarán reacciones autónomas en la red para realizar la mitigación distribuida de dichos ciberataques en diferentes puntos de la red. El sistema hará uso de tecnologías de slicing como mecanismo de proactivo de seguridad y reactivo de mitigación para aislar nodos sospechosos o comprometidos.
Además, se desarrollarán agentes y controladores de seguridad para redes B5G/6G que permitan aplicar la operativa de seguridad en dominios IoT y B5G, desplegados como VNFs e.j. ‘trust-agents’, y la orquestación de silbes extremo a extremo expandidos a través de múltiples dominios y segmentos de red.
6G-SOC explorará técnicas computacionales de aprendizaje federado (FL) [McMahan et al.], entre diferentes dominios heterogéneos, incluyendo dominios IoT [Marmol et al.] , para detectar anomalías y determinar acciones de respuesta para lograr resultados de mitigación optimizados. Dicho autoaprendizaje, realizado en tiempo real, en base a datos de monitorización y eventos del sistema, se espera que acelere significativamente la recuperación de los principales incidentes de ciberseguridad. En este sentido, el 6G-SOC aprovechará agentes de monitorización para realizar correlación en entornos ciber-físicos para la detección de anomalías y desarrollará técnicas para el despliegue automático y distribuido de agentes de FL, y de agentes de monitorización, que permitan la detección de ataques en diferentes segmentos de red, capa de Edge, y dispositivos IoT finales conectados que interactúan en el edge de la red, y orquestados por el Orquestador de seguridad.
El framework detectará no solo las amenazas conocidas, sino también las vulnerabilidades desconocidas (Zero days) que se produzcan entre capas verticales, inter-dominio e inter-segmento de red, gracias a la aplicación de técnicas de aprendizaje computacional no supervisado.
Finalmente, para aumentar la resiliencia de los modelos ML incorporados en el proceso FL, el 6G-SOC diseñará y creará nuevos modelos de aprendizaje federado donde los datos intercambios se privaticen, para minimizar ataques adversariales contra los modelos IA, mejorando nuestro trabajo previo en [Ruzafa et al.] extendiéndolo a despliegues reales B5G/6G.
Además, se diseñarán procedimientos, algoritmos y herramientas de mitigación para la toma de decisiones basados en IA, implementados sobre SIEM y capaces de priorizar amenazas y elaborar un plan de mitigación.
Se diseñarán nuevos mecanismos de intercambio de información de inteligencia contra amenazas cibernéticas (CTI), entre operadores de red B5G, que permitan mejorar las capacidades de detección y que preserven la privacidad de los datos de CTI intercambiados durante la notificación de incidentes, siguiendo nuestro trabajo previo [Preuveneers et al.].
El sistema CTI desarrollado se basará en estándares Cybox, STIX, TaXII, MISP y permitirá el control total de los datos intercambiados, aplicando técnicas de ofuscación y cifrado de la información. El intercambio CTI se apoyará en DLT para incrementar la confianza y auditabilidad en el sistema. Se adaptarán las taxonomías y modelos CTI intercambiados adaptándolos a redes B5G/6G.
Con el fin de validar la utilidad, viabilidad y el rendimiento, tanto del framework en su conjunto, como de los enablers, las soluciones computacionales y los componentes asociados, el proyecto evaluará el desempeño de dichos resultados en un testbed real de B5G disponible en la Universidad de Murcia. Para ello se lanzarán varios escenarios donde se ejecutarán diferentes anomalías y ataques, que el framework deberá de detectar y mitigar automáticamente. Como contramedidas ante ataques, se pretende aplicar diversas estrategias de mitigación para contrarrestar los ciberataques en el punto de red más cercano donde se produzcan, especialmente mitigación de los ataques de denegación de servicio (DDoS).