Arquitectura de Cyber Situational Awareness (CySA) para la protección de infraestructuras críticas

Abstract

[ES] La seguridad en el ciberespacio supone hoy en día un reto fundamental para cualquier organización ante el incesante aumento de ciberataques en todo el mundo. En una realidad tecnológica como la actual, en la que los dominios físico y lógico son cada vez más interdependientes, esta tarea es todavía más imprescindible pues las acciones en cualquiera de estos ámbitos pueden acarrear consecuencias devastadoras en ambos. Esto es si cabe más importante en el caso de infraestructuras críticas (IC), pues de su correcto funcionamiento depende el bienestar de toda una nación y sus ciudadanos.

Se hacen por tanto necesarias nuevas soluciones que permitan afrontar de manera eficiente la defensa de toda clase de IC en este escenario híbrido, en el que las herramientas tradicionales de seguridad (firewall, IDS/IPS e incluso sistemas SIEM) resultan por sí solas insuficientes ante ataques a gran escala y donde alternativas más completas como los sistemas SCADA más recientes siguen orientadas a sectores muy específicos.

La presente tesis doctoral plantea un enfoque innovador de Situational Awareness (SA) para la adecuada protección de IC en el contexto ciber-físico. En concreto, se propone una arquitectura genérica de SA híbrida que proporcione, mediante técnicas avanzadas de representación, la Common Operational Picture conjunta de las dimensiones física y ciber en un espacio único de visualización con el fin de facilitar la toma de decisiones al operador correspondiente.

La arquitectura definida ha sido aplicada en dos soluciones distintas de Cyber Command & Control para la protección de IC: el sistema GESTPIC para la visualización avanzada de la SA ciber-física, y HYBINT como novedosa herramienta para la integración y el análisis de información de inteligencia.

El modelo presentado en esta investigación ha sido validado en entornos de uso tanto simulados como reales, suscitando el interés de potenciales usuarios finales y confirmándose como propuesta pionera en su campo en los foros especializados en los que ha participado.

[CA] La seguretat en el ciberespai suposa hui dia un repte fonamental per a qualsevol organització davant l'incessant augment de ciberatacs a tot el món. En una realitat tecnològica com l'actual, en la qual els dominis físic i lògic són cada vegada més interdependents, aquesta tasca és encara més imprescindible perquè les accions en qualsevol d'aquests àmbits poden implicar conseqüències devastadores en tots dos. Això és si cap més important en el cas d'infraestructures crítiques (IC), perquè del seu correcte funcionament depén el benestar de tota una nació i els seus ciutadans.

Es fan per tant necessàries noves solucions que permeten afrontar de manera eficient la defensa de tota classe d'IC en aquest escenari híbrid, en el qual les eines tradicionals de seguretat (firewall, IDS/IPS i fins i tot sistemes SIEM) resulten per si soles insuficients davant atacs a gran escala i on alternatives més completes com els sistemes SCADA més recents segueixen orientades a sectors molt específics.

La present tesi doctoral planteja un enfocament innovador de Situational Awareness (SA) per a l'adequada protecció d'IC en el context ciber-físic. En concret, es proposa una arquitectura genèrica de SA híbrida que proporcione, mitjançant tècniques avançades de representació, la Common Operational Picture conjunta de les dimensions física i ciber en un espai únic de visualització amb la finalitat de facilitar la presa de decisions a l'operador corresponent.

L'arquitectura definida ha sigut aplicada en dues solucions diferents de Cyber Command & Control per a la protecció d'IC: el sistema GESTPIC per a la visualització avançada de la SA ciber-física, i HYBINT com a nova eina per a la integració i l'anàlisi d'informació d'intel·ligència.

El model presentat en aquesta investigació ha sigut validat en entorns d'ús tant simulats com reals, suscitant l'interés de potencials usuaris finals i confirmant-se com a proposta pionera en el seu camp en els fòrums especialitzats en els quals ha participat.

[EN] Security in cyberspace is today a key challenge for any organization with the continuous growth of cyberattacks worldwide. In the current technological reality, in which physical and cyber domains are increasingly interdependent, this task is still most essential since actions in any of these scopes can lead to devastating consequences on both. This is even more important in case of critical infrastructures (CI), inasmuch as well-being of nations and their citizens depends on their proper functioning.

New solutions are therefore needed in order to efficiently face the defence of all kind of CI in this hybrid scenario, in which traditional security tools (firewall, IDS/IPS and even SIEM systems) are by themselves insufficient against large-scale attacks and where more complete workarounds such as the most recent SCADA systems still remain focused on very specific sectors.

This doctoral thesis introduces an innovative Situational Awareness (SA) approach for the suitable CI protection in the cyber-physical context. In particular, a hybrid SA architecture that provides, through advanced representation techniques, a Common Operational Picture of both physical and cyber dimensions in a unique visualization space is proposed to support operator's decision-making.

The defined architecture has been applied in two different Cyber Command & Control solutions for CI protection: GESTPIC system for cyber-physical SA advanced visualization, and HYBINT as a novel tool for intelligence information integration and analysis.

The model presented in this research has been validated in both simulated and real working environments, awakening the interest of potential end users and being confirmed as a ground-breaking proposal in its field in the specialized forums in which it has participated.