SIEMs con IA para proporcionar seguridad de las ciudades inteligentes

SIEMs con IA para proporcionar seguridad de las ciudades inteligentes

Tiempo de lectura estimado: 8 minutos


Esta conferencia magistral pertenece al Módulo 13 "Smart cities" de C1b3rWall Academy 2021/2022. El objetivo de la misma es conocer la plataforma DeepSIEM, una infraestructura que facilita la construcción de sistemas informáticos seguros.

¿Qué es un sistema SIEM (información sobre seguridad y gestión de eventos)

Los sistemas de control de las ciudades inteligentes requieren herramientas y datos capaces de identificar posibles ataques informáticos, especialmente relevantes en la actualidad. Un elemento básico para proteger las ciudades es utilizar un SIEM, una solución que permite gestionar todos los eventos de seguridad que tienen lugar en una smart city. Para ello, hay que seguir una serie de procesos:

  • Centralizar los logs o registros de las organizaciones monitorizadas.
  • Correlacionar y analizar los registros en tiempo real en busca de las ciberamenazas.
  • Mitigar automáticamente las amenazas mediante la intervención de expertos.
  • Gestionar de forma adecuada las funcionalidades y datos que circulen por las redes de las ciudades inteligentes.

Entornos industriales

Los sensores y sistemas ICS y SCADA permiten la adquisición de datos e información en tiempo real. Esto facilita que se produzcan ataques en entornos conectados y el SIEM garantiza el análisis de todo el tráfico de datos para identificar factores inadecuados.  

Centros de Operaciones de Seguridad (SOC)

Son sistemas centralizados dentro de una organización que emplean personas, procesos y tecnologías que hay que supervisar para resolver incidentes de seguridad que surjan en cualquier organización. Un SOC tiene como elementos básicos:

  • SIEM: analiza el comportamiento de los usuarios a través de la gestión de información y los eventos de seguridad.
  • NDR (Network detection and response).
  • EDR (Endpoint detection and response). 

Intervención de la inteligencia artificial

Debido a la enorme cantidad de ciberamenazas, el papel humano no es suficiente para combatirlas y se necesitan herramientas para clasificar y hacer frente a las amenazas peligrosas. La inteligencia artificial, en este sentido, puede detectar amenazas nuevas y conocidas, mejorar la gestión de vulnerabilidades y combatir bots, entre otros factores.

DeepSIEM analiza el tráfico de la red, los logs y los datos de una organización, utilizando algoritmos como Isolation Forest para identificar elementos dentro del tráfico que no son habituales y posibles anomalías relacionadas con problemas de ciberseguridad

En la ponencia se muestran casos de uso de la herramienta, por lo que se recomienda su visionado para comprender mejor la temática tratada.

Tecnología utilizada en DeepSIEM

La plataforma funciona en cloud computing y se está preparando para poder integrarla en los sistemas de seguridad de las organizaciones.

Arquitectura de DeepSIEM

DeepSIEM está formada por un sistema de ingesta de datos y análisis en tiempo real de la información para dar respuesta cuanto antes a los posibles problemas. La arquitectura pasa por la ingesta de datos, correlación y análisis, visualización y reporte. El sistema incluye soporte para Linux, Windows, Mac, fuentes como modbus, IDS, EDR, NDR y tecnologías de big data como Apache NiFi, Apache Kafka, Elasticsearch, MongoDB, etc.

En la ponencia y como recurso anexo a ella, se expone el funcionamiento de DeepSIEM y DeepIntelligence. A continuación se muestran imágenes de esta última herramienta:


¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Smart Cities & Intelligent Buildings o ver la oferta de másteres desde aquí.


Ponente: Juan Manuel Corchado

Juan Manuel es catedrático en el Área de Ciencias de la Computación e Inteligencia Artificial de la Universidad de Salamanca. Dirige el Grupo de Investigación Reconocido BISITE (Bioinformática, Sistemas Inteligentes y Tecnología Educativa), creado en el año 2000. Además, es Director del  IOT Digital Innovation Hub, presidente del AIR Institute yprofesor visitante en el Instituto Tecnológico de Osaka, en la Universiti Malaysia Kelantan y en la Universiti Teknologi Malaysia. Desarrolla principalmente trabajos en proyectos relacionados con inteligencia artificial, machine learning, blockchain, IoT, fog computing, edge computing, smart cities, smart grids y análisis de sentimiento.