Contribution to dynamic risk management automation by an ontology-based framework

  1. Riesco Granadino, Raul
Dirigida por:
  1. Victor Abraham Villagrá González Director/a

Universidad de defensa: Universidad Politécnica de Madrid

Fecha de defensa: 20 de noviembre de 2019

Tribunal:
  1. Julio José Berrocal Colmenarejo Presidente/a
  2. Lourdes López Santidrián Secretario/a
  3. Gregorio Martínez Pérez Vocal
  4. Enrique Belda Esplugues Vocal
  5. Francisco Javier López Muñoz Vocal

Tipo: Tesis

Resumen

One of the most important goals in an organization is to have risks under an acceptance level along the time. All organizations are exposed to real time security threats that could have an impact on their risk exposure levels harming the entire organization, their customers and their reputation. New emerging techniques, tactics and procedures (TTP) which remain undetected, the complexity and decentralization of organization assets, the great number of vulnerabilities proportional to the number of new type of devices (IoT) or still the high number of false positives, are only some examples of real risks for any organization. Risk management frameworks are not integrated and automated with Near Real Time (NRT) risk-related Cybersecurity Threat Intelligence (CTI) information. To enable such a dynamic, NRT and more realistic risk assessment and management processes, we created a new semantic version of STIX™ v2.0 for Cyber Threat Intelligence as it is becoming a de facto standard for Structured Threat Information Exchange. We selected an international leading organization in Cybersecurity to demonstrate new dynamic ways to support decision making at all levels while being under attack. Semantic reasoners could be our ideal partners to fight against threats having risks under control along the time, for that, they need to understand the data. Our proposal uses an unprecedented mix of standards to cover all levels of a DRM and ensure easier adoption by users. At the same time, although cyber threat intelligence (CTI) exchange is a must for any organization due to the fact that no one can fight alone against all threats, the potential participants are often reluctant to share their CTI and prefer to consume only, at least in voluntary based approaches. Such behavior destroys the idea of information exchange. On the other hand, governments are forcing specific entities and operators to report them specific incidents depending on their impact, otherwise there could be sanctions to those operators which are not reporting them on time. Obligations and sanctions are usually discouraging participants to share information voluntarily which will just share and report what is strictly required. We propose a paradigm shift of cybersecurity information exchange by introducing a new way to encourage all participants involved, at all levels, to share relevant information dynamically within our DRM Framework. It will also contribute to the support and deployment of Dynamic Risk Management (DRM) frameworks along all our peers to share advanced intelligence, in the format of algorithms, beyond the exchange of Indicators of Compromise (IoC). Participants will have new and specific incentives to share, invest and consume threat intelligence and risk intelligence information depending on their different roles (producers, consumers, investors, donors and owner). Our proposal leverages from standards like Structured Threat Information Exchange (STIX™ ), as well as W3C semantic web standards to enable a workspace of knowledge related to behavioral threat intelligence patterning to characterize tactics, techniques and procedures (TTP). At the same time, we propose the use of the Ethereum Blockchain to better incentivize the sharing of that knowledge between all parties involved as well as the creation of a standard CTI token as a digital asset with a promising value in the market. An experimentation was also performed to demonstrate its benefits and incentives but also its potential limits with regard to storage and cost of transactions. The contribution of this paper is a Dynamic Risk Assessment and Management (DRA / DRM) framework based on ontologies. It includes an integrated, layered and networked architecture based on the Web Ontology Language (OWL), STIX™, a semantic reasoner, the use of semantic web rule language (SWRL) and the Ethereum Blockchain to approach an all-in-one solution at all levels (operational, tactic and strategic). It implements a hybrid Cyber Threat Intelligence and DRM Ontology as well as behavioral algorithms in the format of SWRL rules to infer new knowledge by the reasoner. As the dynamics is provided by the use of Intelligence Sharing, a paradigm shift based on the Ethereum Blockchain is also provided, to overcome all known issues of information sharing today, included the exchange of algorithms or rules beyond the exchange of Indicators of Compromise (IoC). RESUMEN EN CASTELLANO: Una de las metas más importantes en una organización es mantener el nivel de riesgo en un nivel aceptable y asumible a lo largo del tiempo. Todas las organizaciones están expuestas a amenazas de seguridad en tiempo real que podrían tener un impacto en sus niveles de exposición al riesgo y dañar a la organización, a sus clientes y a su reputación. Las nuevas técnicas, tácticas y procedimientos (TTP, en inglés Techniques, Tactics and Procedures) emergentes que permanecen sin ser detectadas, la complejidad y la descentralización de los activos de la organización, la gran cantidad de vulnerabilidades proporcionales a la cantidad de nuevos tipos de dispositivos conectados (IoT) o la gran cantidad de falsos positivos, son sólo algunos ejemplos de los riesgos reales a los que se expone diariamente cualquier organización. Los sistemas de gestión de la seguridad de la información no están automatizados ni integrados con la información en tiempo real (o NRT – Near Real Time - próximo al tiempo real) de inteligencia de amenazas de ciberseguridad lo cual no permite tener una visión realista y dinámica del nivel de riesgo de nuestra organizacion. Para permitir procesos de gestión y evaluación de riesgos tan dinámicos, NRT y más realistas, se desarrolla en la presente tesis doctoral una nueva ontología o versión semántica del lenguaje STIX™ v2.0 (en inglés, Structure Threat Information Exchange) para la Inteligencia de Ciber-amenazas, ya que STIX™ se está convirtiendo en un estándar de facto para el intercambio de información de amenazas estructuradas aunque carece de la semántica necesaria en su versión actual. Se ha seleccionado el sistema de gestión de seguridad de la información de una organización líder internacional en Ciberseguridad para demostrar cómo esta nueva aproximación permitirá dinámicamente una mejor toma de decisiones informadas a todos los niveles, como por ejemplo, en situaciones bajo un ciber-ataque complejo. Se propone además el uso de un razonador semántico, como socio ideal o aliado para luchar contra las amenazas dinámicamente, para ello, el razonador necesitará comprender los datos, cuestión que se garantiza mediante el uso de ontologías. La propuesta de la presente tesis doctoral utiliza una combinación de estándares para cubrir todos los niveles de un Sistema de Gestión Dinámica de Riesgos (en inglés, DRM – Dynamic Risk Management) de tal manera que ello facilite la adopción por parte de los usuarios respecto de sistemas no estándares o propietarios. Al mismo tiempo, el intercambio de inteligencia sobre amenazas (CTI) se considera imprescindible para cualquier organización debido al hecho de que nadie puede luchar solo contra todas las amenazas, a pesar de ello, los participantes a menudo son reacios a compartir su inteligencia y prefieren ser únicamente consumidores de la información. Tal comportamiento destruye la idea y esencia del intercambio voluntario de información. Por otro lado, los gobiernos están obligando a entidades y operadores específicos a reportar incidentes concretos dependiendo de su impacto, de lo contrario, podría haber sanciones para aquellos operadores que no informen a tiempo. Las obligaciones y sanciones generalmente desalientan a los participantes a compartir información voluntariamente, con lo cual se presume que acabarán compartiendo únicamente aquello que sea estrictamente necesario. Proponemos un cambio de paradigma en el intercambio de información de inteligencia de amenazas mediante la introducción de una nueva forma de incentivar a todos los participantes involucrados, a todos los niveles, a compartir información relevante dinámicamente dentro de nuestro marco o modelo de referencia en Gestión Dinámica de Riesgos (en inglés, DRM Framework). Este nuevo modelo de incentivos contribuirá al despliegue de este modelo de Gestión de Riesgos Dinámicos a lo largo de la comunidad de compartición de inteligencia, cuya información podría evolucionar al concepto de inteligencia avanzada, esto es, a intercambiar conocimiento real en forma de algoritmos (e.j. algoritmo de detección de comportamiento TTP) más allá del intercambio de indicadores de compromiso (IoC). Los participantes del sistema tendrán nuevos incentivos específicos para compartir, invertir y consumir información de inteligencia de amenazas e inteligencia de riesgos dependiendo de sus diferentes roles (productores, consumidores, inversores, donantes y propietarios). La propuesta, aprovecha una variedad de estándares como el intercambio de información de amenazas estructuradas (STIX™), así como los estándares de la web semántica del W3C para evolucionar a un espacio de conocimiento relacionado con la definición de conceptos más complejos y que requieren de mayor expresividad en la actualidad, como los patrones de inteligencia de amenazas y de comportamiento. Al mismo tiempo, se propone el uso de la cadena de bloques de Ethereum (en inglés, Ethereum Blockchain), ya que ésta provee de funcionalidades que permiten aportar este nuevo modelo de incentivos de manera garantizada y sin intervención humana. Por ejemplo mediante el uso de un nuevo token CTI estándar, que representará un nuevo activo digital cuyo valor será equivalente al valor que la información de inteligencia tenga en el mercado en cada momento. El valor de esta información se considera en crecimiento por la importancia que cada vez más, ésta información tiene para las organizaciones, sobre todo si llega a tiempo para evitar la materialización de determinados riesgos. Asimismo, la presente tesis doctoral incluye la realización de experimentos tanto para demostrar los beneficios de este nuevo modelo de intercambio, como sus carencias, especialmente con respecto al almacenamiento y el coste. La contribución principal de esta tesis doctoral es un marco de Evaluación y Gestión de Riesgos Dinámicos (DRA / DRM) basado en ontologías. Incluye una arquitectura integrada, en capas y en red basada en el lenguaje de ontologías web (OWL), STIX ™, un razonador semántico, el uso de lenguaje de reglas de la web semántica (SWRL) y la cadena de bloques de Ethereum para abordar una solución completa a los problemas principales y a todos los niveles (técnico, táctico y estratégico). Implementa una ontología híbrida de riesgos (DRM) y amenazas (CTI), así como algoritmos de comportamiento en formato de reglas SWRL para inferir nuevos conocimientos avanzados o inteligencia por parte del razonador. Como el dinamismo es proporcionado principalmente por el intercambio de información de inteligencia, se proporciona un nuevo modelo de intercambio basado en la cadena de bloques de Ethereum, ya que de no ser así, muchos de los problemas principales conocidos hoy en día seguirían sin ser resueltos, especialmente el problema del bajo nivel de incentivos para contar con mayor número de entidades que comparten información. El modelo propuesto incluye además como contribución, la posibilidad de intercambiar conocimiento en formato de algoritmos o reglas más allá del intercambio de Indicadores de Compromiso (IoC). De esta manera los receptores de la información podrán detectar por sí mismos estos comportamientos y no esperar a recibir únicamente los IoC detectados por terceros. Las reglas pueden incluso ser reglas de inferencia en gestión de riesgos o reglas de enriquecimiento de la información, entre muchas otras. Palabras clave- Ciberseguridad, Evaluación dinámica de riesgos, Gestión dinámica de riesgos, Inteligencia de ciber-amenazas, Inteligencia de riesgo, Web semántica, Ontologías, OWL, SWRL, Contramedidas, Salvaguardas, Intercambio de inteligencia, Amenazas, Vulnerabilidades, STIX™, TAXII ™, Internet de todo, Internet de las cosas, Indicadores de compromiso, Cadena de bloques de Ethereum, Contrato inteligente, Tokens.