Desarrollo de una ontología para las amenazas de infraestructura de la ciudad inteligente, el delito cibernético y la investigación digital

Con los avances tecnológicos y una creciente conciencia sobre los Objetivos de Desarrollo Sostenible de las Naciones Unidas (ONU) (ODS), los sistemas interconectados dentro de las ciudades que capturan los indicadores de datos en tiempo real que reflejan los ODS elegidos son un camino a seguir. Conocido como Infraestructura de Ciudad Smart (SCI), estos sistemas son vitales para las naciones para evaluar su alineación con los ODS de la ONU. A medida que el papel de la infraestructura de la ciudad inteligente se hace evidente, inevitablemente se convierte en un objetivo principal para los adversarios y los ciberdelincuentes.

«Los investigadores forenses digitales han tenido el extremo corto del palo durante demasiado tiempo. A menudo luchan con plazos estrictos y grandes cantidades de datos durante las investigaciones. Además, si se requiere colaboración en plataformas poco comunes, como la LME, los investigadores deben establecer un término común de referencia para la investigación. También deben identificar las amenazas, las fuentes de evidencia digital correspondientes y las actividades que se pueden realizar. Ching, miembro de la investigación del Grupo de Investigación Automated Systems Security (Asset) en la Universidad de Tecnología y Diseño de Singapur (SUTD).

Para ayudar a los investigadores forenses digitales y a las agencias de aplicación de la ley que realizan investigaciones sobre SCI en el futuro, el Dr. Tok, junto con el estudiante del Instituto de Tecnología de Singapur, Davis Yang Zheng y el Profesor Asociado de Sutd, Sudipta Chattopadhyay, desarrollaron una ontología [Smart City Ontological Paradigm Expression (SCOPE)] para amenazas de SCI, cibercrimen e investigación digital. Su papel, titulado «Una ontología de infraestructura de la ciudad inteligente para amenazas, delito cibernético e investigación forense digital«fue publicado en Forensic Science International: investigación digital.

Las ontologías son representaciones, definiciones y relaciones de conceptos y datos dentro de un dominio específico. Mediante el uso de ontologías, los dominios complejos se pueden entender más fácilmente a través de una representación consistente y estructurada del conocimiento. Se imaginó que el alcance era una ayuda atractiva para los investigadores forenses digitales y se adhiere a los estándares de estandarización internacional. El alcance también tiene un enfoque agnóstico tecnológico para tener en cuenta la amplia gama de infraestructura de ciudades inteligentes en varios sectores, como energía, hogar, petróleo y gas, etc.

Mientras realizaba la investigación, el grupo de activos analizó las ontologías actuales, como la ontología cibernética unificada (UCO) y la expresión estándar de análisis de análisis cibernético (CASE). Después de una cuidadosa consideración y una investigación exhaustiva, el grupo concluyó que tales ontologías actuales carecen de representación de SCI, y extenderlas de manera ad hoc es ineficiente e ineficaz para los investigadores. Esto condujo al diseño y desarrollo del alcance.

Sobre la base del trabajo anterior de Asset Group, que también involucró al Dr. Toke como el contribuyente clave, los investigadores del grupo de activos y su colaborador de SIT integraron su trabajo anterior sobre amenazas de SCI, cibercrimen y fuentes de evidencia en el alcance. También se contabilizó otra información crítica, como técnicas de ataque y clasificaciones de patrones de MITER. Con el alcance, los usuarios pueden adoptarlo para una amplia gama de casos de uso, como incidentes de delitos cibernéticos de ciencia ficción, intercambio de pruebas o incluso emulación adversaria.

Si bien el diseño del alcance fue un desafío, su idoneidad para un escenario de delito cibernético de la vida real debía investigarse a fondo. Con este fin, el Dr. Tok y sus colegas evaluaron la usabilidad del alcance a través de algunos escenarios cuidadosamente elaborados basados ​​en la actividad del mundo real por amenazas persistentes avanzadas (APT). La evaluación consistió en i) representación ontológica del escenario, ii) investigación y las tácticas, técnicas y procedimientos (TTP) utilizados por la contención y recuperación APT y III) utilizando indicadores identificados de compromiso (COI). En pocas palabras, esta evaluación fue necesaria para comprender cómo los usuarios finales del alcance aplicarán el alcance de los escenarios realistas y realizarán las tareas cruciales en caso de que tenga lugar un delito cibernético en Sci.

Los resultados de la evaluación mostraron que, a través del uso del alcance, los investigadores podrían agregar más detalles granulares durante su investigación, como las áreas afectadas de infección y daño de software malicioso. El contexto adicional permitió una mayor eficiencia y remediación rápida. Los investigadores también se benefician de detalles técnicos complejos de fácil acceso, como el tipo de amenaza y los sistemas afectados.

Asset Research Group ha puesto el alcance disponible públicamente para que la comunidad forense digital lo use y ayude en futuras investigaciones de SCI. En el futuro, el Grupo de Investigación de Activos agregará más soporte para herramientas para usar la ontología de alcance y realizará un estudio de usuario con profesionales forenses digitales de los sectores público y privado. Esto determinará cómo el alcance podría mejorarse aún más para el uso de la industria. El grupo también espera que los futuros investigadores puedan explorar la integración del alcance en las herramientas forenses digitales para capacitar a los investigadores forenses digitales en sus futuros flujos de trabajo.