Universidad y empresa: el talento está ahí fuera (II)

Área de Innovación y Laboratorio de ElevenPaths    25 noviembre, 2019
Universidad y empresa: el talento está ahí fuera (II)

Desde el Área de Innovación y Laboratorio seguimos colaborando con estudiantes en Másteres y Grados de ciberseguridad, que culminan sus estudios universitarios o profesionales, con el objetivo de reconducir la investigación, el desarrollo y el esfuerzo realizando proyectos de alta calidad alineados con necesidades del mercado, o bien, que aporten un valor innovador. Nuestra misión en ElevenPaths es la tutorización y mentorización de dichos proyectos, ofreciendo nuestra ayuda y visión.

Continuamos con otros dos proyectos tutorizados del Máster en Ciberseguridad por la UCAM (Universidad Católica San Antonio de Murcia). Son dos proyectos muy diferentes, cuya naturaleza heterogénea demuestra la gran amplitud de disciplinas, ideas y campos tecnológicos que tienen cabida en el sector de la ciberseguridad. El primero es una propuesta de Interfaz de Datos Personales (IDP) para el tratamiento de datos personales en medios online, a cargo de Miguel Seisdedos Cardo mientras que el segundo trata sobre CICLES, un clasificador y analizador inteligente de correos electrónicos realizado por Carolina Soto-Aranaz González. La descripción de sus TFMs corre a cargo de los alumnos.

Interfaz de Datos Personales (IDP)

La gestión de nuestros datos personales en tiempo real requiere la resolución de una serie de cuestiones: quién tiene nuestros datos, qué datos tiene, para qué los tiene y decidir hasta cuándo los tendrá.

Estas cuestiones, que a priori parecen sencillas de responder, en el ámbito de Internet se complican hasta el punto de llegar a perder el control de nuestros datos personales. El proyecto IDP presenta un nuevo canal para portabilizar nuestros datos personales utilizando las mejores prácticas en la Gestión de Servicios de la Información (ITIL), un canal de distribución seguro y distribuido (blockchain) y la conformidad automática de la regulación vigente (RGPD).

El nuevo servicio modelado por IDP soportado por la tecnología blockchain permite:

  • Trazabilidad del origen y de la finalidad de los datos personales.
  • Transparencia y monitorización en tiempo real en el tratamiento de los datos.
  • Cumplimiento normativo.
  • Resolución de conflictos.

El modelo de servicio IDP se puede interpretar en términos de cómo se relacionan los distintos actores entre sí y estaría compuesto por:

  • Servicio IDP-core: como el medio en el que se entrega el valor a distribuir o lo que es lo mismo, se distribuyen los datos personales del consumidor del servicio (SCO) a los clientes (SCL) facilitándoles los resultados sin tener que asumir los costes o riesgos de la propiedad del valor.
  • Servicios IDP-enabling: como los servicios proporcionados por un proveedor de servicios TI, combinando tecnologías de la información, personas y procesos. Estos servicios dan soporte a los procesos de negocio de los clientes y el nivel de servicio acordado para la entrega del IDP-core.

A diferencia del modelo tradicional donde es el consumidor quien solicita un servicio a un distribuidor, el servicio IDP invierte los roles: es el Cliente (SCL) o distribuidor quien solicita al Consumidor (SCL) un servicio (a través de la interfaz IDP) para poder tratar los datos personales.

Pirámide de niveles del servicio IDP

Un Modelo del dominio denominado IDPOn y representado computacionalmente como una ontología, nos permite normalizar y compartir las estructuras de datos en la blockchain para facilitar la interoperabilidad entre los procesos, reutilizar el conocimiento del dominio y separar dicho conocimiento del modelo del proceso. Expresada mediante notación otorga un lenguaje común, en el sentido de un conjunto de vocabularios comunes que describen los detalles de los procesos del Servicio IDP, capturando las mejores prácticas en Gestión de Seguridad de la Información (ITIL) en el dominio de los datos personales, implementando el modelo semántico del RGPD.

El Modelo del proceso, responde a los objetivos del servicio, es decir, siguiendo ITIL, una de las necesidades y objetivos del servicio es la Generación y mantenimiento de una política de seguridad, en este caso del servicio, que tendrá que asumir además la distribución de dicha política en una instancia del servicio IDP y finalmente garantizar la ejecución de dicha política en una transacción blockchain.

La Política de Seguridad del servicio IDP (IDPPolicy) es la piedra angular del modelo como parte fundamental del proceso de Gestión de la Seguridad de la Información.

Lo que se alcanza finalmente es un modelo capaz de representar el conocimiento del RGPD, listo para ser utilizado en blockchain, permitiendo y automatizando la gestión de la seguridad siguiendo ITIL. Y dentro del abanico de posibilidades a realizar, el presente TFM se ha centrado en el modelado e implementación de la Gestión de una Política de Seguridad del servicio IDP, dejando el resto de las prácticas como líneas futuras del presente TFM.

Clasificador Inteligente de Correo y Localizador de Elementos Sospechosos (CICLES)

El spam se relaciona con información, en ocasiones masiva, que nos ofrece contenido que nosotros no hemos solicitado. El spam no es sólo molesto por lo comentado anteriormente, sino porque puede provocar efectos secundarios como causar caídas de servidores, fraude e incluso puede tener integrado malware. Frente a esto se han planteado varias técnicas para poder clasificar los emails y analizar su contenido para comprobar si es malicioso o no. Sin embargo, el objetivo de este enfoque no sólo reside en la detección de los emails spam, si no en categorizarlos. Esto nos permite saber si constan de contenido privado, URLs maliciosas o si sus documentos adjuntos contienen malware.  Algunos casos son simplemente publicitarios, pero en otros más graves es conveniente anticiparse y realizar una monitorización inteligente del spam recibido.

Se presenta en este contexto una herramienta fácil de moldear e integrar con el objetivo de reforzar la seguridad. Uno de los principales objetivos de la herramienta desarrollada, consiste en proporcionar una capa extra de análisis de emails para detectar si el contenido es malicioso y si el filtro antispam no ha sido capaz de detectarlo, de esa manera, por medio de predicción de contenido podemos clasificarlo como spam, y a su vez, aplicar un análisis adicional a sus documentos adjuntos o URLs que pudieran incluir. Esta clasificación se basa en probabilidad aplicada, implementando los modelos Bag of Words y TF-IDF (Term Frequency-Inverse Document Frequency), accediendo a una base de datos RT (Real time) con los correos, o directamente a un listado en CSV o bien directamente desde el correo utilizando las credenciales y la configuración del proveedor. Este enfoque permitiría incluso detectar ataques 0-day en ciernes o desconocidos por los antivirus que revisan los correos electrónicos.

En este punto hemos discriminado entre emails de tipo spam o no, y se procede a analizar el contenido del spam recibido, para ello el estudio se centra en tres pilares principales:

  • Comprobación de URLs: en este caso se utiliza la API de VirusTotal, aprovechando su elevada base de conocimiento.
  • Comprobación de documentos adjuntos: se ha optado por un chequeo en dos APIs diferentes, una de ellas de nuevo VirusTotal y DIARIO, de ElevenPaths, que analiza los documentos con plenas garantías relativas a la privacidad obteniendo una respuesta del análisis, ya sea positivo o falso dependiendo de si contiene indicadores malicioso o sospechoso.
  • Comprobación de contenido privado: esta sección es bastante flexible, ya que se necesita establecer expresiones regulares que se ajusten al contenido deseado de búsqueda. Por ejemplo, se han incluido parámetros de búsqueda relacionados con DNIs, cuentas bancarias, nombres propios, divisas…

Tras varias ejecuciones en nuestro conjunto de pruebas formado por 1446 correos (de los cuales 201 han sido identificados como spam) se comprueba que los filtros antispam del servidor de correo han dejado pasar mails con adjuntos sospechosos (malware, URLs sin analizar, etc.) no detectados, y con contenido privado, por lo que la integración de esta herramienta ofrece un refuerzo en la seguridad además de las estadísticas relativas a la clasificación realizada sobre los correos.

Del dataset analizado se obtiene la siguiente predicción, donde podemos ver el par entre la valoración del filtro antispam (ham o spam) y la de nuestra herramienta (Ham o Spam):

De los cuales hemos obtenido los siguientes resultados respecto al análisis de correos de tipo spam según la información, URL y contenido privado:

Se puede ver que gran parte de los correos spam contienen datos privados, que en este caso corresponde a características económicas debido a que hemos usado un patrón de búsquedas que filtra términos relacionados con las divisas, comprobándose que los emails seleccionados contienen ofertas para ganar dinero por ejemplo, o premios si se pulsa en una URL. Los resultados mostraron documentos maliciosos no bloqueados por el servidor, lo que demuestra la viabilidad de esta capa de protección adicional.

Como conclusión hay que resaltar que es una buena idea tener una herramienta que sea flexible y que pueda hacer una clasificación del spam, para poder valorar el grado de agresividad e índole de sus intenciones. La herramienta desarrollada es capaz de centrarse en el contenido privado, URL y documentación, de manera que permite además medir la cantidad de spam propagado a lo largo del tiempo y así anticipar ataques.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *