A medida que la cantidad de datos que las personas y las máquinas crean, recopilan, procesan y almacenan continúa aumentando en tamaño y complejidad, también aumenta la tarea de mantener los sistemas cibernéticos seguros frente a amenazas cibernéticas cada vez más sofisticadas. Un equipo de investigadores del Laboratorio Nacional del Noroeste del Pacífico (PNNL) está desarrollando un nuevo enfoque para explorar la forma de dimensiones superiores de los sistemas cibernéticos para identificar firmas de ataques adversarios.
Los investigadores probaron el enfoque en un conjunto de datos disponible públicamente utilizado para estudiar amenazas persistentes avanzadas, conocidas como APT, que son ciberataques extendidos que, por ejemplo, tienen como objetivo robar datos confidenciales a través de múltiples etapas, como una intrusión a través de un correo electrónico de phishing que amplía el acceso. a los datos de la red a lo largo del tiempo.
Descubrieron que el enfoque descubre patrones en los datos que son «consistentes con la actividad del adversario», señaló Emilie Purvine, científica de datos senior de PNNL y autora principal de un artículo que describe el enfoque en La próxima olala revisión de las tecnologías emergentes de la Agencia de Seguridad Nacional.
«Identificar y encontrar estos patrones más complejos puede ayudarnos a encontrar comportamientos en la red que sean inusuales y eso, a su vez, puede ayudar a los analistas cibernéticos a descubrir por qué suceden, por qué son inusuales», señaló Purvine. «¿Son cosas de qué preocuparse?»
Fuera de la llanura
Purvine y sus colegas comparan el enfoque con la novela Flatland de Edwin Abbot, que cuenta la historia de un cuadrado en el mundo bidimensional que es visitado por una esfera del mundo tridimensional. La esfera aparece como un círculo en Flatland que crece y se reduce de tamaño. La esfera intenta explicarle al cuadrado que existe una tercera dimensión, pero el cuadrado no logra comprender lo que eso significa.
«Entonces, la esfera saca el cuadrado de Flatland y lo muestra desde esta otra perspectiva. De repente, el cuadrado comprende que hay mucho más ahí fuera», explicó Purvine. «La idea a la que nos aferramos es que hay conexiones en los sistemas cibernéticos que simplemente no podemos percibir: hay muchísimos datos».
Para obtener una perspectiva diferente sobre los flujos de datos en los sistemas cibernéticos y así buscar comportamientos que podrían ser maliciosos, Purvine y sus colegas han ideado un marco basado en las teorías matemáticas de los hipergrafos y la topología que les permite explorar datos en las redes cibernéticas en dimensiones superiores a través de las llamadas firmas topológicas.
Firmas topológicas
Los hipergrafos pueden modelar sistemas donde grupos de cosas interactúan o comparten comportamientos o propiedades comunes. Purvine los compara con grupos de proteínas en una célula que actúan juntas para formar una reacción, o redes sociales donde grupos de personas forman clubes y algunos miembros de un club se superponen con miembros de otro club diferente. Los hipergráficos son una abstracción matemática de esta noción de interacción y comportamiento grupal, dijo.
En un sistema cibernético, el comportamiento puede ser un grupo de dispositivos que contactan al mismo dispositivo, o Protocolo de Internet (una etiqueta numérica asignada a un dispositivo conectado a una red, conocida como dirección IP) con el que otro grupo de dispositivos está contactando, agregó. .
«No sabemos si esas comunicaciones fueron las mismas. Sólo sabemos que estos grupos de IP hicieron algo similar», explicó Purvine. «Y cuando empiezas a unir esas piezas, empiezas a tener un panorama de los comportamientos del sistema y cómo interactúan las diferentes IP».
Para comprender este panorama, Purvine y sus colegas, que tienen experiencia en matemáticas abstractas, ciencia de datos, ingeniería de software y ciberseguridad, han recurrido a la topología.
La topología es el estudio matemático de la forma, con la noción flexible de que dos formas pueden ser iguales si pueden deformarse continuamente una en otra mediante estiramiento, flexión y torsión, pero sin romperse, rasgarse ni perforarse. Un ejemplo clásico de esta similitud es que una taza de café se puede deformar hasta darle forma de rosquilla sin romperse, lo que significa que una taza de café y una rosquilla son topológicamente iguales. En los últimos años, los científicos han recurrido a la topología para comprender la forma de los datos.
El equipo de Purvine está explorando técnicas matemáticas para traducir datos hipergráficos sobre redes cibernéticas al lenguaje de la topología para buscar firmas topológicas de comportamiento malicioso, como un ciberataque.
«Cuando sucede algo inusual, debería haber algún tipo de cambio en la estructura», dijo Helen Jenne, investigadora postdoctoral en PNNL que trabaja con Purvine y es la autora principal del artículo que explica la investigación en The Next Wave. «El desafío es que no sabemos lo que estamos buscando, y parte de la razón por la que no sabemos lo que estamos buscando es porque los ataques siempre están cambiando».
Llamado a la acción
Si bien los investigadores descubrieron que su técnica de traducir representaciones hipergráficas de redes cibernéticas en estructuras topológicas descubre patrones en los datos que representan actividad adversaria, también encontraron que los mismos patrones que representaban actividad adversaria también podrían representar actividad benigna. Además, no toda la actividad adversa fue capturada por este método, lo que sugiere que aún queda más exploración por hacer en este campo de investigación.
Jenne señaló que el artículo de The Next Wave que describe el enfoque es un llamado a la acción para centrar los recursos en encontrar construcciones de hipergráficos y métodos topológicos que podrían ser útiles en el esfuerzo continuo para frustrar los ciberataques. De hecho, el artículo representa sólo uno de varios métodos que el grupo de investigación está explorando.
«Hay mucho que estudiar aquí», dijo, «y parece que hay algo útil».
Más información:
Saliendo de Flatland: descubriendo patrones de comportamiento como estructuras topológicas en Cyber Hypergraph, www.govinfo.gov/app/details/GP… /GPO-TNW-25-1-2024-2
Citación: Los investigadores observan las ‘firmas topológicas’ de las amenazas cibernéticas (2024, 28 de octubre) obtenido el 28 de octubre de 2024 de https://techxplore.com/news/2024-10-eye-topological-signatures-cyber-threats.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
GIPHY App Key not set. Please check settings