Innovación en ElevenPaths: Universidad y empresa «on track»

Desde el 13 al 15 de junio se realizaron las IV Jornadas Nacionales de Investigación en Ciberseguridad en San Sebastián. Este evento, convertido en uno de los principales foros de la comunidad académica en materia de ciberseguridad, reunió al grueso de investigadores y equipos científicos con actividad en este campo. ElevenPaths no faltó a la cita para cubrir la segunda edición del Track de Transferencia, uniendo el mundo académico con el industrial y apostando por una mayor cercanía con el mundo científico.

Acudimos a este evento adoptando diferentes roles. Por un lado, presentamos una de nuestras investigaciones, y por otro, con nuestro compromiso de renovar nuestra participación en el Track de Transferencia, que recordemos es una iniciativa de INCIBE que arrancó el año pasado y que busca la cooperación entre academia e industria, proporcionando un marco de trabajo que permita un acercamiento y transferencia del conocimiento empresa-universidad a través de retos de investigación. La idea es sencilla, proponer ideas surgidas de necesidades de ElevenPaths en forma de retos, y colaborar durante un año con grupos o equipos de investigación que estuviesen dispuestos a aportar su propia solución, con una comunicación fluida y más cercana. 

Fruto de esa propuesta y a raíz de los retadores que propusieron su candidatura hemos realizado el seguimiento a cuatro propuestas de solución, que han dado lugar a cuatro proyectos diferentes. Los presentamos a continuación mostrando los resultados obtenidos y lo que hemos conseguido en materia de transferencia.

Este reto fue abordado por el grupo Cybersecurity and Cyberdefence Research Lab del departamento de Ingeniería de la Información y las Comunicaciones y el Departamento de Arquitectura y Tecnología de Computadores de la Facultad de Informática de la Universidad de Murcia. Este proyecto se plasmó en una estrecha colaboración entre ElevenPaths y dicho departamento, trazando las líneas de investigación y desarrollo de un prototipo en plataformas Android. Esta PoC es capaz de identificar al usuario y autenticarlo de forma continua conforme a su utilización del dispositivo, de forma no intrusiva. Para ello se utilizan una serie de métricas basadas en distintos sensores del dispositivo junto a otros factores relativos al comportamiento de usuario como las aplicaciones que habitualmente se usan y la velocidad a la que se utiliza el dispositivo, utilizando como entrenamiento del machine learning el propio comportamiento cotidiano del usuario. Este software y su funcionalidad fue presentada en el Security Day como caso de éxito de colaboración con la Universidad.

Este desarrollo fue tutelado bajo los requisitos del área de Identidad de ElevenPaths. Esta prueba de concepto demuestra la viabilidad de esta herramienta de cara a una gestión más automatizada y personalizada de la identidad de los usuarios, de forma desapercibida y sin requerir elementos de seguridad adicionales como contraseñas o elementos biométricos, abriendo nuevas oportunidades para establecer la continuidad de este proyecto tanto en este caso de uso como otras aplicaciones relacionadas. Además, este proyecto ha permitido la elaboración de un TFG de dos alumnos y además el premio a la «Mejor solución al reto» en el Track de Transferencia de la edición 2018.

Este reto con una naturaleza más teórica fue abordado por el grupo Seguridad y Mejora de Procesos (SEMEPRO) de la Escuela Técnica
Superior de Ingenieros Informáticos de la Universidad Politécnica de
Madrid (UPM), donde se basaron en sus trabajos previos de evaluación de modelos de madurez existentes, es especial aquellos que abordan la ciberseguridad de forma continua y cuyo ámbito de actuación abarque toda la organización. Con esa experiencia y basándose en diferentes taxonomías y distintas metodologías de gestión de riesgos decidieron abordar el reto estableciendo un nuevo Modelo de Dominio que fuese capaz de recoger y representar las taxonomías de activos de una organización, junto a sus amenazas y vulnerabilidades en ciberseguridad. Con la intención de generar un prototipo de software basado en ese modelo conceptual capaz de validar las relaciones establecidas y las vinculaciones entre activos y riesgos de seguridad. Este paradigma de Gestión de Riesgos plantea muchas mejoras y propuestas de optimización que se fueron gestando y matizando gracias a la colaboración del área de Servicios Gestionados de ElevenPaths y dicho grupo de investigación.

A raíz de los distintos estudios que componen este proyecto, se han elaborado algunas publicaciones tangenciales que no inciden directamente en el reto de transferencia, sin embargo, toda la base científica y todo el conocimiento adquirido se está utilizando para proporcionar contenido a una Tesis Doctoral cuyo principal tema de investigación es la Madurez en la Identificación y Evaluación de Riesgos en Ciberseguridad. Además, el ciclo de avance y feedback establecido entre ElevenPaths y la universidad ha permitido trasladar posibles cambios mejoras que podrían ser de interés para productos como Sandas GRC. Este grupo de investigación se haya en labores de culminar una PoC de una herramienta acorde este enfoque y Modelo de Dominio, por lo que la colaboración y continuidad del proyecto sigue en marcha para poder evaluar dicho software y su aplicabilidad.

Este reto fue abordado por dos entidades diferentes, la primera de ellas fue el Grupo de Investigación TIFyC (Tecnologías de la Información para la Formación y el Conocimiento) de la Universidad de Alcalá. ElevenPaths posee un manifiesto interés en todo tipo de actividades que puedan facilitar las labores de detección de aplicaciones maliciosas o que potencialmente puedan serlo, de ahí que este reto ofrecía a los candidatos una licencia de uso de Tacyt gratuita, de forma que puedan consumir nuestra plataforma de recolección de aplicaciones en markets de aplicaciones sin restricciones, aprovechando todo el potencial de la infraestructura para realizar su experimentación. El equipo científico utilizó esto para proponer la creación de un dataset y un motor de entrenamiento posterior que permita discernir si una aplicación, conforme a un conjunto de parámetros analizados, es fraudulenta o no.

Gracias al dataset y a las capacidades de indexación de Tacyt, con más de 250 mil aplicaciones se pudo generar un dataset, seleccionado en base a aplicaciones retiradas de Play Store y proporcionando un enfoque diferente al habitual basado en detecciones de Antivirus. De esta forma se entrenaron modelos de aprendizaje supervisado, lo que ha permitido generar un modelo de detección de aplicaciones no deseadas por Google, que es capaz de predecir, con un 95% de precisión, si una aplicación será retirada antes de un mes de la Play Store. Mientras que el grupo TIFyC producirá algunas publicaciones relacionadas con este trabajo, ElevenPaths podrá nutrirse de este estudio, ya que las conclusiones permitirán proporcionar información y feedback a varios productos y servicios destinados a la detección de amenazas y vulnerabilidades en dispositivos con Android.

La otra entidad que optó al reto fue el grupo IMDEA Software donde propusieron la exploración de técnicas avanzadas mediante correlación de datos para la detección de anomalías en aplicaciones móviles, usando para ello el cambio en el comportamiento de dichas aplicaciones basándose en el tráfico de red, cambios sensiblemente diferentes en los flujos de información de las aplicaciones y en lista de librerías que usan en los componentes. Esta serie de modificaciones podrían alertar de cambios no legítimos en sentido publicitario o malicioso. Sin ignorar otro tipo de aspectos más comunes como cambios en los permisos necesarios o en el interfaz de usuario. Para ello Tacyt proporcionaba un dataset adecuado para la obtención de aplicaciones y sus distintas versiones para realizar la experimentación.

Actualmente, IMDEA Software prepara dos publicaciones cuyo dataset de Tacyt ha proporcionado el input necesario para realizarlos. La primera de ellas es un estudio empírico basándose en la concesión de permisos automáticos y el indicativo sospechoso que esto puede suponer a lo largo de sus respectivas versiones. Y por otro lado Tacyt se convierte en un input de aplicaciones para una de sus herramientas en fase de desarrollo llamada Chabada, una herramienta capaz de separar flujos funcionales en las aplicaciones de las cuales se pueden detectar o correlar actividades sospechosas. Así, en el marco de la propuesta de solución al reto, se pueden comparar dichos flujos a lo largo de las distintas versiones de las aplicaciones, pudiendo detectar anomalías producidas si existen cambios evidentes. El interés de ElevenPaths por estas técnicas permitirá establecer mayores nexos de trabajo y colaboración con IMDEA Software.