CRITIS'07

Como ya se mencionó en un post anterior S21sec ha estado durante los días 3-5 de octubre en Benalmádena-Costa en el segundo congreso internacional en la seguridad de infraestructuras críticas.

Las infraestructuras críticas son todos aquellos recursos y activos que son esenciales para el funcionamiento de la sociedad. Éstas incluyen las instalaciones de generación y distribución de electricidad, telecomunicaciones, las redes de abastecimiento de agua, los sistemas de transporte, los servicios financieros, etc. Todas ellas tienen una base tecnológica común y de la que en la mayoría de ocasiones podemos destacar una red de control y supervisión tipo SCADA.

Al congreso se presentaron 75 papers de los cuales 29 fueron seleccionados para ser presentados. La Universidad de Navarra y S21sec presentaron “Modeling and Simulating Information Security Management”, un artículo en el que se explica cómo modelar la seguridad de la información en cualquier empresa utilizando para ello la Dinámica de Sistemas.

El congreso se estructuró en 9 sesiones que fundamentalmente se centraron en los siguientes temas: Evaluación y gestión del riesgo, modelado y representación de estos sistemas y sus dependencias, intercambio y compartición de información, continuidad de servicios ante situaciones imprevistas/previstas, seguridad técnica en SCADAs y modelado de amenazas y ataques. Además de los ponentes que defendían sus artículos hubo cuatro charlas invitadas (Adrian Gheorghe – Old Dominion University, US; Paulo Veríssimo – Universidade de Lisboa, Portugal; Donald Dudenhoeffer – Idaho National Labs, US; Jacques Bus – European Commission, INFSO Unit “Security”) que dieron interesantes puntos de vista sobre la importancia de la seguridad y la gestión del riesgo en las infraestructuras críticas así como de las actuales iniciativas a nivel europeo en esta materia.

De entre los artículos más interesantes destacamos:

1. “Managing Critical Infrastructures through Virtual Network Communities” que básicamente propone una arquitectura virtualizada para compartir de manera segura una infraestructura tipo ICT (Information and Communication Technology) entre distintas comunidades de usuarios, cada una con sus propias aplicaciones y requisitos de seguridad. La particularización a las infraestructuras críticas implica la definición de tres comunidades que comparten la infraestructura: comunidad software, comunidad SCADA y una comunidad de base de datos.
2. “Securing Agents against Malicious Host in an Intrusion Detection System” propone aplicar el concepto de marca de agua al proceso de ejecución de un proceso de manera que se identifique un funcionamiento anormal del mismo.
3. “LoRDAS: A Low-Rate DoS Atack against Application Servers” que identifica una técnica que permite realizar ataques de DoS con requisitos de tasas de ataque muy inferiores a las tradicionales redes de zombies. Esta técnica combina técnicas estadísticas de teoría de colas con el conocimiento de mecanismos de timing característicos de los servidores
4. “Designing critical infrastructure cyber security segmentation architecture by balancing secuirty with reliability and availability” que propone cómo segmentar una infraestructura crítica para maximizar la seguridad y minimizar la pérdida de disponibilidad y fiabilidad.

Elyoenai Egozcue
S21sec Labs

La dinámica de sistemas en los modelos de la seguridad de la información

La dinámica de sistemas es una disciplina que tiene su origen en el MIT hacia finales de los años 50. Su fundador, Jay W. Forrester, trató de aglutinar en ella todo el conocimiento adquirido acerca de la teoría de sistemas mientras trabajaba como ingeniero eléctrico. La principal novedad de esta teoría es la posibilidad de hacer un modelado de sistemas complejos basado en bucles de realimentación, retardos entre variables y dependencias no lineales entre ellas. Resulta particularmente apropiada para obtener una visión de la estructura que define el comportamiento de un sistema y así saber cómo alterar ésta para obtener los cambios deseados en este comportamiento.

Hay dos razones principales por las cuales la dinámica de sistemas resulta especialmente apropiada para el análisis de la gestión de la seguridad. Por un lado, la gestión de la seguridad debe tratar con variables que evolucionan rápidamente con el tiempo en combinación con otras que lo hacen lentamente. Por otro, también se trata con variables que no tienen unas unidades de medida definidas, como por ejemplo el nivel de concienciación de la dirección de una empresa sobre una cuestión concreta.

S21sec y la escuela de ingenieros de la Universidad de Navarra (TECNUN) han colaborado estrechamente para desarrollar modelos de simulación en el ámbito de la seguridad digital. Fruto de esta colaboración han surgido varios papers que pueden ser consultados en la sección de proyectos de este blog (pincha aquí).

El último paper será presentado en CRITICS’07, el segundo congreso internacional en la seguridad de infraestructuras críticas en el ámbito de la tecnología de la información, que se celebra en Benalmadena-Costa (Málaga) durante los días 3,4 y 5 de octubre. Podemos adelantar que en este paper se presenta una metodología para el desarrollo de modelos de simulación de los sistemas de seguridad de la información basándose en dinámica de sistemas.

Para obtener más información basta visitar la página del congreso: http://critis07.lcc.uma.es/index.html.

¡Esperamos veros por allí!