Dynamic reaction framework against cyber attacks

Abstract

Los ciberataques dirigidos a las infraestructuras de red actuales son cada vez más frecuentes y disruptivos, con entidades malintencionadas que intentan manipular la confidencialidad, integridad y disponibilidad de los datos y servicios relacionados. En un escenario tan alarmante, la ciberseguridad se convierte en algo esencial para proteger los activos del sistema y asegurar su correcto funcionamiento. En concreto, la estrategia de reacción ante posibles amenazas es crucial para erradicarlas del sistema y devolver a éste a un estado seguro. El objetivo principal de esta tesis doctoral es estudiar, analizar y abordar las principales limitaciones de los sistemas de reacción del estado del arte, con el fin de implementar un sistema innovador y robusto de selección de contramedidas.

Para lograr un objetivo tan ambicioso, el primer hito fue estudiar y analizar en profundidad los sistemas de reacción del estado del arte. En particular, el candidato investigó 24 de los artículos más notables sobre estrategias de reacción durante un período de 5 años (es decir, de 2012 a 2016), comparándolos en base a siete criterios comunes. Sobre la base de este análisis, se enumeran los desafíos abiertos de este campo, junto con las posibles direcciones futuras para abordarlos.

Partiendo de los retos señalados, el segundo logro de la tesis doctoral fue la propuesta de una representación estándar de una contramedida, detallando con granularidad fina los campos que la componen. La representación propuesta tiene en cuenta las características específicas de las contramedidas (por ejemplo, la eficacia, el impacto, el coste, los posibles parámetros), pero también aprovecha los conocimientos de seguridad externos preexistentes y ya maduros. Dicha representación sirve como punto de partida hacia la estandarización de las contramedidas dentro de los ecosistemas de reacción, permitiendo compartir el conocimiento de reacción entre los equipos de seguridad de todo el mundo para construir planes de seguridad robustos.

A su vez, otro logro del doctorado consistió en diseñar e implementar una metodología novedosa y escalable para seleccionar el conjunto óptimo de contramedidas atómicas para actuar frente a la ocurrencia de ciberamenazas. Dicha propuesta aprovecha las capacidades de los Sistemas Inmunes Artificiales (SIA), una técnica bioinspirada que puede calcular resultados óptimos en un tiempo más que aceptable gracias a las constantes fases de clonación y mutación de los individuos dentro del espacio de soluciones.

Cada uno de los resultados alcanzados fue publicado en una revista de primer nivel, lo que dio lugar a una gran difusión en el ámbito de la investigación. En efecto, los trabajos propuestos en el marco de esta tesis doctoral representan un avance significativo con respecto al estado del arte en lo que se refiere a los sistemas de reacción. No obstante, aún quedan algunos retos por resolver que darán lugar a más aportaciones en el futuro. Concretamente, es destacable la falta de un sistema de evaluación de contramedidas comúnmente utilizado y compartido. La creación de un sistema de este tipo sería muy beneficiosa para cada sistema de respuesta, ya que sus resultados podrían compararse con los de otros de forma equitativa. Por otra parte, la metodología de reacción SIA propuesta ha sido probada mediante la simulación tanto del entorno (es decir, de los activos y las contramedidas) como de las amenazas. En este sentido, sería interesante aplicar el marco diseñado en un escenario de uso real con tráfico de red real, desde la detección de la amenaza hasta la aplicación de la respuesta sugerida, supervisada por el administrador de seguridad en cualquier momento. Posiblemente, un entorno que abarque desde la detección a la reacción tan completo requerirá los esfuerzos conjuntos de varias instituciones, lo que dará lugar a una posible propuesta de proyecto de investigación. Por último, pero no por ello menos importante, otra vía de investigación interesante contempla el estudio de contramedidas ofensivas para enriquecer las estrategias de reacción.

Cyberattacks targeting modern network infrastructures are becoming every day more frequent and disruptive, with ill-motivated entities trying to manipulate the confidentiality, integrity, and availability of the related data and services. In such an alarming scenario, cybersecurity becomes essential to protect system assets and ensure correct operations. Specifically, the reaction strategy against potential threats is crucial to eradicate them from the system and bring it back to a safe state. The main objective of this PhD thesis is to study, analyze and address the principal limitations of the state-of-the-art reaction frameworks, heading to the implementation of an innovative and robust countermeasures selection system.

To achieve such an ambitious goal, the first milestone was to profoundly study and analyze the state-of-the-art reaction systems. Notably, the candidate investigated 24 of the most remarkable articles dealing with reaction strategies over a period of 5 years (i.e., from 2012 to 2016), comparing them based on seven common criteria. Based on this side-by-side analysis, the open challenges of the field are listed together with possible future directions to address them.

Starting from the challenges highlighted, the second achievement of the PhD Thesis was the proposal of a standard representation of a countermeasure, detailing with fine granularity the necessary fields. The proposed representation considers specific characteristics of the countermeasures (e.g., effectiveness, impact, cost, possible parameters), but it also leverages already mature external security knowledge. Such a representation serves as a starting point toward the standardization of countermeasures within reaction ecosystems, enabling reaction knowledge sharing among worldwide security teams to build robust security plans.

In turn, another accomplishment of the PhD dissertation consisted of designing and implementing a novel and scalable methodology to select the optimal set of atomic countermeasures to fire against the occurrence of cyber threats. Such a proposal leverages the capabilities of the Artificial Immune Systems (AIS), a bio-inspired technique that can calculate optimal outcomes in a more than acceptable time thanks to the constant cloning and mutation phases of the individuals within the solution space.

Each of the achieved results was published in a top-tier journal, leading to a great dissemination within the research field. Indeed, the works proposed in the context of this PhD Thesis represent a significant advance of the state-of-the-art regarding the reaction frameworks. Nevertheless, some challenges are still unsolved and will lead to more contributions in the future. Concretely, there is a noticeable lack of a commonly used and shared countermeasures assessment system. The creation of such a system would be highly beneficial for each response framework since its results could be fairly compared with other approaches. Moreover, the proposed AIS-reaction methodology has been tested by simulating both the environment (i.e., targeted assets and countermeasures) and the threats. In this sense, it would be exciting to apply the designed framework in a real use-case scenario with real network traffic, from the detection of the threat to the enforcement of the suggested response, supervised by the security administrator at any time. Possibly, such a full-fledged detection-to-reaction framework will require the joint efforts of several institutions, leading to a potential research project proposal. Last but not least, another interesting research path contemplates the study of offensive countermeasures to enrich the reaction strategies.