Resumen de Sistema nacional para el intercambio y gestión de información de ciberamenazas

Dennis Barrera Pérez, Yailin Sánchez Borrell

• español

  En los últimos años se ha evidenciado un notable incremento de los ciberataques a nivel mundial. Los ciberdelincuentes emplean técnicas, que van desde el uso de Inteligencia Artificial (IA) para la creación de malware, hasta la introducción de códigos maliciosos en los sitios web para minar criptomonedas. Uno de los métodos novedosos para enfrentar la naturaleza hostil de los ciberataques constituye el intercambio de información de ciberamenazas. Su objetivo es establecer un procedimiento que permita la recopilación, almacenamiento y distribución de la información necesaria para actuar de forma homogénea, rápida y eficaz, generando un conocimiento común y compartido. En el trabajo se presenta un sistema para el intercambio y gestión de información de ciberamenazas capaz de elevar los niveles de seguridad en las infraestructuras tecnológicas del país. El sistema permitirá que las entidades involucradas puedan compartir información sobre patrones de ataques y amenazas de una manera segura y automatizada mediante el empleo de estándares internacionales como Structured Threat Information Expression (STIX) y Trusted Automated Exchange of IndicatorInformation (TAXII). La información podrá ser importada y exportada en formatos como OpenIOC, CSV y STIX. Para la detección de ataques y reglas de correlación se emplea el sistema SIEM Open Source Security Information Management (OSSIM). Se considera que la solución propuesta contribuirá a mejorar la detección de ciberataques, mitigación de vulnerabilidades, así como un aumento en la detección y respuesta ante incidentes. Los experimentos realizados en la Universidad de las Ciencias Informáticas validan la implementación de esta propuesta a nivel nacional.

• English

  In recent years, there has been a notable increase in cyber-attacks worldwide. Cybercriminals employ techniques, ranging from the use of Artificial Intelligence (AI) for the creation of malware, to the introduction of malicious codes in websitesto mine cryptocurrencies. One of the novel methods to confront the hostile nature of cyber-attacks is the exchange of cyberthreats information. Its objective is to establish a procedure that allows the collection, storage and distribution of the necessary information to act in a homogeneous, fast and efficient way, generating a common and shared knowledge. The paper presents a system for the exchange and management of information on cyberthreats capable of raising the levels of security in the technological infrastructures of the country. The system will allow entities involved to share information about attack patterns and threats in a secure and automated way by using international standards such as Structured Threat Information Expression (STIX) and Trusted Automated Exchange of Indicator Information (TAXII). The information can be imported and exported in formats such as OpenIOC, CSV and STIX. The SIEM Open Source Security Information Management system (OSSIM) is used to detect attacks and correlation rules. It is considered that the proposed solution will contribute to improve the detection of cyber-attacks, vulnerability mitigation, as well as an increase in the detection and response to incidents. The experiments carried out at the University of Computer Sciences validate the implementation of this proposal at the national level.