Análisis de Riesgos Dinámico aplicado a Sistemas de Respuesta Automática frente a Intrusiones

Transcripción

1 RECSI 2014, Alicante, 2-5 septiembre 2014 Análisis de Riesgos Dinámico aplicado a Sistemas de Respuesta Automática frente a Intrusiones Diego Ray diego.raysan@alumnos.upm.es Victor A. Villagrá villagra@dit.upm.es Verónica Mateos vmateos@dit.upm.es Pilar Holgado pilarholgado@dit.upm.es Resumen Los Sistemas de Respuesta Automática frente a Intrusiones plantean un objetivo de interés en el campo de la Seguridad en la Información, pero desde el momento en que su fin último es asumir responsabilidades del usuario administrador, las diferentes propuestas acaban proliferando en multitud de alternativas y complejas metodologías. Las principales soluciones proponen inferir respuestas en base al estado y sucesos de red. Un administrador experto tomaría sus decisiones a raíz de estos mismos criterios, pero viéndose fuertemente influenciado por el resto de eventualidades de su entorno, tanto técnicas como corporativas, aspectos que actualmente no se contemplan o se contemplan de forma insuficiente. Apoyarse en el campo del Análisis de Riesgos como técnica madura, probada y bien regulada conduciría a estos sistemas a una mayor capacidad de respuesta y evaluación de sus acciones. Palabras clave Análisis de Riesgos Dinámicos (Dynamic Risk Assessment), Ontologías (Ontologies), Sistemas de Respuestas Automáticos ante Intrusiones (Automatic Intrusion Response Systems). I. INTRODUCCIÓN Los Sistemas de Respuesta Automática frente a Intrusiones (AIRS) son dispositivos de protección. Su fin último es asistir a un administrador y asumir parte de sus actuaciones, recopilando la información de su entorno y dando respuesta a anomalías y ataques. Surgen de la rama de los equipos de seguridad en redes, como cortafuegos e IDSs, destacándose por su capacidad de respuesta automática sin asistencia del administrador. El Análisis de Riesgos (AARR) en los sistemas de información es un estudio preventivo de lo negativo que puede llegar a ocurrir. Es un estudio extenso que proporciona las guías de actuación y buenas prácticas para la protección de la información y servicios. Es un análisis a todos los niveles, y no sólo desde el punto de vista de los sistemas informáticos pero sí dirigido a ellos. Referente a este proceso integrador se resalta el apartado séptimo de la política de seguridad en la información del Ministerio de Defensa [1]: personas, documentos, SI y telecomunicaciones e instalaciones. El alcance del artículo es dar una primera aproximación al problema y un estudio de su relevancia, estando en vías de investigación dar soluciones para un futuro prototipo. Con este fin hacer uso del estudio extenso y metodológico del riesgo para mejorar las respuestas de los AIRS. En la sección II se introducirán los conceptos de AIRS y de Análisis de Riegos Dinámicos (DRA). Se analizará el estado del arte en la aplicación del AARR en sistemas de información (SI) en general, y en los AIRS en particular. En la sección III se expondrán los principales problemas encontrados para su integración. En la sección IV los autores reflejarán su propuesta, finalizando con las conclusiones. II. EL ANÁLISIS DE RIESGOS EN SISTEMAS DE RESPUESTA FRENTE A INTRUSIONES Los AIRS se enmarcan dentro de los sistemas de defensa perimetral, servicios y tecnologías de control de acceso lógico a las redes de telecomunicación [2]. Son uno de sus elementos más recientes y se hallan actualmente en evolución. Esta familia abarca desde las implementaciones de seguridad de los IOS (Internetwork Operating System) de routers y switches, hasta llegar a soluciones integradas de cortafuegos, IPSs y VPNs (series ASA-5500 de CISCO). Se describen en [3] como elementos de seguridad que seleccionan y ejecutan respuestas ante las intrusiones detectadas por un IDS, proporcionando junto a [4] una posible taxonomía. De esta clasificación se extraen como características deseables: la capacidad de adaptabilidad, proactividad, sensibilidad de coste con modelo de evaluación dinámico y coherencia semántica, esta última de [5]. El AARR [6] es un área afianzada, regulada, de aplicación genérica y definida como el proceso de identificar, analizar y evaluar los riesgos [7]. Se define identificar como encontrar, reconocer y describir el riesgo, analizar como comprender y determinar su nivel de amenaza, y evaluar como determinar en que nivel es tolerable. El tratamiento específico del AARR en la seguridad en la información se encuentra regulado en normas como [8], describiéndolo como el proceso que estudia toda eventualidad que pueda afectar al activo información. El Análisis de Riesgos Dinámicos (DRA) es el propio AARR pero aplicado de forma continua, todo lo que varíe y pueda afectar a la seguridad debe de tenerse en consideración para recalcular el riesgo. La Gestión del Riesgo (GR) consiste en analizar y tratar el riesgo [9]. El AARR identifica, analiza y evalúa activos, amenazas y salvaguardas, con los que estima el impacto (lo que podría pasar) y el riesgo (lo que probablemente pase). El tratamiento consiste fundamentalmente en aplicar las ISBN:

2 134 D. Ray, V.A. Villagrá, V. Mateos, P. Holgado salvaguardas para afrontar el riesgo. Derivado de lo anterior la gestión de riesgos dinámica (DMR) es consecuencia del DRA. Los AIRS se pueden asemejar a herramientas de gestión del riesgo. Tratan el riesgo que llega al sistema y evalúan su acción de respuesta. La diferencia fundamental es que los AIRS realizan todo el proceso de forma automática, mientras que en la gestión de riesgos es el administrador el que decide las salvaguardas a aplicar. El interés de este trabajo se centra en la aplicación de métodos de GR. Se seguirá como guía a MAGERITv3 Libro I- Método [9], que describe la gestión del riesgo como una actividad compleja, exhaustiva, en continua revisión y que requiere de una metodología probada. Partiendo de esta premisa se proponen los condicionantes para considerar la aplicación de un método de AARR en AIRS. C1. Tratar todo activo, amenaza y salvaguarda que pueda influir en la información y servicios.... el análisis de riesgo proporciona un modelo del sistema en términos de activos, amenazas y salvaguardas, y es la piedra angular para controlar todas las actividades con fundamento... [9]. Hay que establecer una relación entre los elementos del AIRS y los activos, amenazas y salvaguardas [7] del AARR. De importancia es el concepto de activo, que siguiendo la definición de [10] y priorizados según MAGERIT, se estructuran en información y servicios, como activos esenciales y que dirigen los requisitos de seguridad, y en datos, software, hardware, comunicaciones, recursos administrativos, recursos físicos y recursos humanos como activos relevantes. Atendiendo a la naturaleza de las salvaguardas los activos se clasifican en especies, encontrando en [11] una completa taxonomía por tipo de activo. C2. Uso del riesgo y riesgo residual como producto del AARR.... en coordinación con los objetivos, estrategia y política de la organización, las actividades de tratamiento de los riesgos permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que acepta la dirección. Al conjunto de estas actividades se le denomina Proceso de Gestión de Riesgos... [9]. Se considera esta frase como fundamental, conteniendo implícitamente la finalidad de los AIRS, elementos que mantienen un nivel de seguridad dentro de un entorno. El término esencial es nivel de riesgo aceptado, entendido como el resultado final del proceso de cálculo del riesgo ponderado con la madurez de las salvaguardas. C3. El DRA en SI no es sólo el estudio de los cambios de red y sistemas. A lo largo del tiempo las condiciones de un entorno varían, pudiendo invalidar el análisis de riesgos vigente, punto de [9]. Estas variaciones pueden deberse a nuevas amenazas, vulnerabilidades sobrevenidas, incidentes de seguridad, cambios en la utilización del sistema. De todos los expuestos los que principalmente detectan los IDSs, y sensores en general, son los incidentes de seguridad a nivel de red y sistema. Esto último separa de inmediato el significado de dynamic risk assessment respecto al de online risk assessment [12] [13] y real time risk assessment [14] [15], términos que en determinados contextos podrían llegar a difuminarse como se indica en [16]. C4. Integración Online/Offline. De la condición anterior se propone la separación entre un componente offline que represente a una metodología probada de AARR en el sentido de [9], y otro online que represente la aplicación del AARR en el nivel de los AIRS. Este último debe: monitorizar las incidencias de seguridad, determinar la bondad de las respuestas aplicadas y realimentar al análisis offline en el apartado de incidencias de seguridad. Los elementos online coincidirán con los que en [12] y [15] se denominan online o real-time risk assessment. Por lo tanto el resultado del proceso offline es el riesgo y riesgo residual, del que hará uso el elemento online del AIRS. Como conclusión se proponen las siguientes actuaciones: que se considere todo activo, amenaza y salvaguarda que afecte a los SI, que las métricas contengan al riesgo y/o riesgo residual como producto final del AARR, y que los AIRS separen sus procesos de AARR en offline y online. II-A. DRA en Sistemas de Información La GR en SI ya fue tratada en esta reunión por David López Cuenca y Oscar Pastor [16], por lo que esta sección se centra en su estudio desde el punto de vista del presente trabajo. El artículo se inicia con una relación de los principales organismos nacionales e internacionales que tratan el AARR y con un glosario de la terminología del campo [8]: activos, amenazas, salvaguardas, vulnerabilidades, impacto, riesgo y riesgo residual. Continua ampliando el estudio al DRA, presentándolo como un proceso que debe de ser continuo y automático, y no aplicado a intervalos discretos como se propone en [17]. Analiza los principales trabajos sobre AARR aplicado a TI, de los que destaca [18] por contemplar el ciclo natural de un DRA. Este ciclo contiene una valoración inicial del riesgo procedente de metodologías de análisis, una realimentación proveniente de la detección de incidentes de seguridad, y por último la evaluación de las acciones tomadas con el apoyo de estas metodologías. Prosigue presentando los principales enfoques del DRA para SI: Alimentación desde BBDD [19]. Enumera formatos estandarizados como CVE y repositorios como la National Vulnerability Database del NIST. Grafos y árboles de ataque [20]. Resalta el uso de redes bayesianas para el cálculo del riesgo [20] [21]. Monitorización del estado del sistema. Ejemplo IDSs. En el trabajo se señala que, ocasionalmente se tratan los términos de real-time y online risk assessment como sinónimos de dynamic risk assessment. Desde el punto de vista de este artículo estos términos no podrían ser sinónimos, por lo que [12] [13] [14] deberían clasificarse como métodos online, ya que si bien abarcan el estudio del AARR desde una faceta dinámica, únicamente lo hacen desde el enfoque de los incidentes de seguridad. Derivado de ese mismo motivo, se propone que en la Fig.2 de su estudio, extraída de [18], se marque al estado AARR Inicial como proceso offline, y los estados AARR

3 Análisis de Riesgos Dinámicos aplicado a Sistemas de Respuesta Automática frente a Intrusiones 135 Actualizado y AARR Evaluar Acciones Seleccionadas como online, cuyas métricas harían uso del estudio offline. El enfoque que sugiere para el DRA, como actividad continua y actualizable en tiempo real, podría aplicarse únicamente al tratamiento online de los incidentes de seguridad, pero probablemente no al total de elementos que modifican el riesgo y que representan el DRA (offline). Por lo anterior se considera que se debe recurrir a ciclos discretos de revisión (PDCA [22]), o a ciclos continuos en su revisión online, cuyos resultados no se podrían reflejar instantáneamente en el cálculo del riesgo debido al complejo estudio que conllevan. Como parte final del artículo se presenta a los AIRS como elementos de gestión y tratamiento del riesgo. II-B. DRA en Sistemas de Respuesta ante Intrusiones Las métricas son la herramienta usada por los AIRS para determinar y evaluar las respuestas. Es en estas métricas donde se incluyen los resultados del análisis de riesgos. En la tesis doctoral de Mateos Lanchas [23], se proporciona una extensa comparativa entre las distintas métricas existentes, viéndose que en la mayoría de los casos, y a excepción de IDAM-IRS, no se hace uso del AARR para su cálculo. Si bien IDAM-IRS aplica términos claramente relacionados con el AARR, como risk index (RI) (que en términos de AARR representa el riesgo), y risk index host (RIH)/risk index network (RIN) (que en AARR representa el riesgo residual), no sigue metodologías formales para su cálculo. En el trabajo de Mateos se enuncia el uso de MAGERIT para el cálculo de métricas, pero no se destacan trabajos que lo usen. Continuando en la línea de las recientes tesis sobre AIRS, se encuentra el trabajo de Shameli-Sendi [24]. Esfuerzo estructurado en forma de cuatro artículos que representan algunos de los principales retos que rodean a los AIRS: carácter predictivo, análisis de costos y aplicación de AARR. El primero [15] propone un marco de trabajo para la predicción de ataques multipaso, usando Hidden Markov Models (HMM) y lo que denomina Alert Severity Modulation. El segundo, ORCEF: Online response cost evaluation framework for IRS (estudio reflejado en la tesis pero aún no publicado como trabajo independiente), propone un IRS sensible al coste, evaluando las respuestas según dependencias entre recursos, las necesidades de QoS de los usuarios online, el daño del ataque y la confianza de la alerta. Algunas de las métricas seguidas fueron ya presentadas en el apartado 2.4 de [23]. El tercero, ARITO [25], propone la mejora de ORCEF integrando el AARR dentro de la inferencia de respuestas. En ARITO se introducen los términos online y offline, adoptados a lo largo del presente trabajo, pero con fuertes matices diferenciados. En el proceso offline de ARITO se determina el valor del activo y lo vulnerable que es, y en el online se calcula el impacto de la alerta recibida. El proceso offline utiliza la técnica Fuzzy Multi-Criteria Decision-Making (FMCDM) [26], descrita en otro trabajo de los mismos autores. Para ello se determinan las propiedades de seguridad a analizar (CIA: confidencialidad, integridad y autenticidad), se identifican y clasifican los recursos, se valoran los activos según el juicio de expertos y finalmente se estudian sus vulnerabilidades. A pesar de que ARITO parece adaptarse a nuestros requisitos, y separa entre elementos offline y online, no cumple con todos los condicionantes de la sección II. En él se propone una metodología propia para el AARR (FMCDM), que no sigue ninguna normativa o metodología, y que no deja abierta la posibilidad del uso de otros enfoques. Sin embargo, su esquema es fácilmente ampliable a otras propuestas, ya que el cálculo final lo realiza el componente online. No parece que se considere el estudio de activos más allá de la electrónica de red y sistemas, pero de nuevo esta faceta podría ampliarse incluso a través de su apuesta por FMCDM. Otro aspecto que plantea dudas es la extensión de su AARR a DRA, ya que en la fase offline necesitaría algún tipo de realimentación que influyese en la revisión del riesgo. El mayor de los inconvenientes de ARITO es que el resultado final de su fase offline no es el riesgo, sino el valor del activo y las posibles vulnerabilidades, por lo que no se puede considerar que realiza un análisis del riesgo sino solamente una de sus etapas previas. Sin duda los trabajos de [15] y [25] están fuertemente influenciados por DIPS (Distributed Intrusion Prevention System) [13]. Donde se propone un modelo distribuido activado mediante predicciones realizadas con HMM, y un análisis de riesgos realizado mediante lógica difusa (fuzzy logic), donde un grupo de expertos estiman el riesgo en base a una serie de variables dependientes. Si bien DIPS es la referencia que mejor se ajusta a nuestro modelo, presenta una serie de problemas con respecto a [6] [7] y [9], que van a permitir resaltar la importancia de las condiciones propuestas en II. En DIPS el riesgo se computa a través de reglas fuzzy del tipo if-then. Los parámetros del cálculo son el valor del activo, su vulnerabilidad y el nivel de amenaza. Sin embargo, en AARR el riesgo se deriva del impacto, siendo éste la degradación del valor de un activo debido a una amenaza, y de la frecuencia/probabilidad de dicha amenaza. A continuación se analizan los inconvenientes de los parámetros usados en el cálculo del riesgo en DIPS. 1. Nivel de amenaza. Se define en DIPS como la frecuencia o probabilidad, por lo que, salvando la confusión de términos [7], es un parámetro correcto en el computo del riesgo. 2. Valor del activo. En el cálculo del riesgo se debe evaluar la degradación del valor del activo (impacto). Usar únicamente el valor del activo permite determinar su importancia, pero no las consecuencias de la amenaza sobre su valor. La degradación no aparece en el cálculo con la consiguiente perdida de información en el análisis. 3. Vulnerabilidad. El riesgo residual resulta del riesgo remanente tras la aplicación de las salvaguardas. Una vulnerabilidad se define en [9] como aquello que resulta de la incapacidad de las salvaguardas, bien por su inexistencia o bien por su falta de madurez, y que impide mantener el riesgo residual aceptado. Es decir, una vulnerabilidad es algo no controlado, que si se llegase a controlar derivaría, en el peor

4 136 D. Ray, V.A. Villagrá, V. Mateos, P. Holgado de los casos, en riesgo residual conocido y aceptado. Por lo que, usando estrictamente la terminología, no parece que vulnerabilidad deba formar parte del cálculo del riesgo, ya que es consecuencia de la imperfección del propio análisis, bien en la fase de identificación o bien en el modelado de las salvaguardas. Obviamente en DIPS vulnerabilidad toma otro significado, probablemente referido a la degradación sufrida en el valor del activo. 4. Activo. En DIPS se define como todo dato, equipo u otro componente que soporte a la información de la actividad. No se proporciona una clasificación formal de activos como la presentada en [10] y [9], dificultando un estudio metódico y estructurado. Con el razonamiento anterior sobre DIPS quiere ponerse de manifiesto que, si bien la solución aportada es de las más destacadas, al no hacer uso de metodologías que se adapten a las normativas y recomendaciones vigentes, ni de una terminología regulada, se introducen conceptos ambiguos desde el punto de vista del AARR. Estas mismas ambigüedades reducen la posibilidad de adaptar los procesos online y offline que proviniesen de distintos trabajos. III. EL PROBLEMA DIMENSIONAL ENTRE EL DRA Y LOS AIRS El título del apartado pretende resaltar la distancia existente entre el campo del DRA y el de los AIRS. A continuación se presentan los principales retos que hacen que su interrelación resulte compleja pero conveniente. 1. Carácter Preventivo frente a Reactivo. El análisis de riesgos es un estudio preventivo que sugiere qué hacer en caso de que algo negativo ocurra. Su fin no es responder a las amenazas, sino proponer soluciones y estimar riesgos. Por el contrario, los AIRS tienen como fin actuar, y aunque necesiten analizar ciertos factores que aseguren la calidad de las respuestas, no realizan un estudio exhaustivo o integral del entorno. Como se verá, el nexo entre lo preventivo del AARR y lo reactivo de los AIRS es el concepto de nivel de confianza. 2. Actividad a Medio-Largo Plazo frente a Tiempo Real. Una de las propiedades deseables de los AIRS es su rapidez de respuesta, mientras que el análisis de riesgos es una actividad ardua, continua y cíclica, en la que prima más el buen análisis a medio-largo plazo que un reajuste rápido de la situación. Por ello el AIRS hace uso de resultados previamente calculados por los elementos offline del AARR, reajustando y orientando sus respuestas, pero asumiendo que la dinámica de trabajo del AARR es lenta. 3. Estudio Exhaustivo frente a Especializado. El análisis de riesgos es un estudio extenso, a todos los niveles, que contempla tanto factores tecnológicos, como sociales, políticos, legales y de cualquier otra índole. Por el contrario, los sistemas de respuesta generalmente realizan un estudio muy dirigido, centrándose casi en exclusiva en las eventualidades de red y sistemas. Incluso cuando se introduce el concepto de usuario, se hace desde el punto de vista de persona que usa el sistema, y no como persona que puede causar un daño, daño que no tiene que ser técnico, pero que sí puede repercutir gravemente en la información y los servicios. Figura 1. Identificación de Activos La identificación de activos, amenazas y salvaguardas es la primera fase del AARR. En la figura 1 se presenta la determinación de estos activos, los ejes de dominios y capas corresponden con lo recomendado en [9], y nivel organizativo es una dimensión añadida en este trabajo. A continuación se detallan. Capas. Atendiendo al tipo de activo y sus dependencia jerárquicas. Se suele dividir en subcapas, la capa equipos informáticos contiene a las subcapas hw, sw y comunicaciones. Dominios. Por agrupación de amenazas y salvaguardas que afectan al activo. Como ejemplo se seleccionan los dominios de seguridad física, red corporativa, y situación geopolítica. Nivel organizativo. Permite analizar el activo de una determinada capa-dominio desde diferentes niveles de decisión. En este caso se contemplan los niveles administración, gestión y gerencia. La intención de la figura 1 es resaltar la información que se omite en el caso de no aplicar el AARR como metodología. De todas las dimensiones (capa/dominio/nivel) reflejadas en la figura 1, los únicos activos generalmente analizados por los AIRS son los de la capa de equipos informáticos, y únicamente en el nivel de administración de red y dentro del dominio de la red corporativa (cubo resaltado) IV. ENFOQUE PARA LA INTEGRACIÓN DEL ANÁLISIS DE RIESGOS En este apartado se presentan las bases de una propuesta temprana. Se explican sus principales conceptos y se propone el AIRS que servirá de base para la integración. Bases de la Propuesta Se propone un marco de actuación basado en el conocimiento, con el objetivo de mantener un nivel de confianza dentro de un dominio de control, dado un estado de alerta, en beneficio

5 Análisis de Riesgos Dinámicos aplicado a Sistemas de Respuesta Automática frente a Intrusiones 137 de una entidad objetivo y centrado en sus tecnologías de la información, pero atendiendo a toda eventualidad. El núcleo del marco lo conforma el concepto de sistema de respuesta automática ante intrusiones, como elemento de respuesta, evaluación y análisis de riesgos integral. Conceptos Principales Basado en el Conocimiento. Se entenderá esta propiedad como la capacidad del sistema de razonar conforme a conceptos y no sobre sintaxis. Término equivalente a la propiedad de coherencia semántica del AIRS ontológico de Mateos Lanchas [27]. Las definiciones necesarias para la integración se realizarán mediante ontologías en OWL2 [28], reglas SWRL [29] y razonadores como Pellet [30]. Mantener un Nivel de Confianza. Es el núcleo de la propuesta, y el elemento que pretende conferir al sistema un carácter convergente hacia un estado deseado. En [9] se define seguridad como la capacidad de resistir, manteniendo un determinado nivel de confianza. Este nivel se medirá en diferentes dimensiones de seguridad: confidencialidad, integridad, autenticidad, trazabilidad y disponibilidad, y para cada activo, amenaza y dimensión. El elemento de AARR que se usará como métrica del nivel de confianza es el riesgo residual o riesgo aceptado, como producto final de las metodologías de análisis de riesgos. C2 sección II. A continuación se justifica la elección del riesgo residual. El fin del AARR es calcular el riesgo, computado a partir del impacto que una amenaza tiene sobre la degradación del valor de los activos y ponderado por su probabilidad o frecuencia. El riesgo residual es el riesgo aceptado y conocido, residuo remanente una vez aplicadas las salvaguardas, y que determina el rango de riesgo que una organización está dispuesta o condicionada a admitir. Por lo anterior, el riesgo residual es el término que contiene la totalidad de la información del proceso de AARR, tanto de la valoración del riesgo, como de la eficacia de las salvaguardas. Como nota final, y aunque implícito en el propio cálculo del riesgo, se introduce el término de riesgo residual dimensional, consistente en el riesgo residual medido en cada una de las dimensiones de seguridad seleccionadas. El nivel de confianza debe de representarse tanto en los componentes offline como en los online, C3/4 de IV, para ello se introducen los siguientes conceptos: Nivel de Confianza Objetivo. Representa el resultado del proceso de AARR offline, caracterizado por el riesgo residual. El AIRS debe converger a este nivel de confianza, utilizando sus valores en el cálculo de las métricas. Un cambio en el nivel de confianza conlleva un cambio en las respuestas seleccionadas, y en ocasiones el modelado de nuevas salvaguardas/respuestas. Nivel de Confianza Actual. Representa el resultado del proceso de AARR online, caracterizado por el riesgo residual evaluado online, término introducido en este estudio y no propio del análisis de riesgos. Este riesgo evaluado debe de medirse en toda dimensión de todo activo afectado por un ataque (amenaza llevada a cabo), para poder compararlo con el nivel de confianza objetivo de la fase offline. Tras la aplicación de las salvaguardas en forma de repuestas, el riesgo residual evaluado debe de estar en los márgenes definidos por el riesgo residual objetivo. De no ser así, las salvaguardas han sido insuficientes, debiendo el componente online realimentar al offline con esta información y replantearse un nuevo ciclo de AARR en su faceta dinámica. Como se explicó, la realimentación del componente online afectaría principalmente a las incidencias de seguridad dentro del DRA. Estado de Alerta. Si mantener el nivel de confianza provoca la convergencia hacia una situación estable, el estado de alerta juega el papel de elemento regulador. El estado de alerta se valora, en términos de análisis de riesgos, según el grado de impacto con que las amenazas afectan a la organización. Un determinado problema puede tener mayores o menores consecuencias dependiendo de la situación, y esto debe de reflejarse en el estado de alerta e influir en las respuestas del AIRS. El estado de alerta podrá: imponerse por el administrador, derivarse de históricos que relacionen situaciones anteriores y/o derivarse de la tendencia del impacto a lo largo de un periodo. El estado de alerta medido según la tendencia del impacto abre la posibilidad de realizar un estudio preventivo de incidencias futuras. Los AIRS pueden hacer uso de esta característica en su faceta proactiva en el caso de implementarla. Se propone el uso del gradiente para el cálculo de esta tendencia, donde los vectores unitarios i,j,k... representan a las dimensiones de seguridad, y el valor de cada eje la tendencia del impacto. Elección del AIRS Los primeros estudios se realizarán en base al AIRS ontológico propuesto en [27] y exhaustivamente descrito en [23]. Para ello se prevé como mínimo: Módulo de Análisis de Riesgos Dinámicos. Será parte del modelo online y realizará la función de adaptar los resultados del AARR offline a nuestro sistema. Mantendrá los mismos criterios de coherencia semántica que para la recepción de alertas del AIRS ontológico. Ampliación del Módulo de Evaluaciones. Determinará el nivel de confianza actual, por lo que sus resultados, en términos de evaluación de riesgo residual, marcarán la capacidad de convergencia al nivel de confianza objetivo. Entre los elementos previstos se encuentra la especificación de un toolkit de evaluaciones, similar y en estrecha relación con en toolkit de respuestas ya existente en [27]. V. CONCLUSIÓN Los AIRS se plantean como una potente herramienta en la administración de la seguridad en redes y sistemas. La calidad de sus respuestas depende de un gran número de factores, pero principalmente de la fiabilidad de los eventos recibidos, de las métricas que los analizan e infieren las respuesta, y de los mecanismos de evaluación de las acciones tomadas. La búsqueda de nuevas propiedades como la proactividad [31], y

6 138 D. Ray, V.A. Villagrá, V. Mateos, P. Holgado la mejora de los criterios de respuesta mediante el AARR son algunos de los retos actuales dentro del campo. Ajustándose a los términos que este artículo propone, se puede clasificar a los AIRS como herramientas de apoyo a la gestión del riesgo, que reciben información del proceso de AARR para la inferencia de sus respuestas y proporcionan información a los procesos de DRA para el reajuste del riesgo. Como aportaciones del trabajo se propone desambiguar el término dynamic risk assessment con respecto a online o real time risk assessment. Se propone una distinción y separación entre los componentes offline y online, el primero como AARR propiamente y el segundo como proceso que hace uso de los resultado del offline y lo realimenta. Se presentan las principales diferencias entre la naturaleza del AARR y AIRS: preventivo/reactivo, medio-plazo/tiempo-real, estudio-extenso/especializado. Finalmente se dan las líneas de un posible mecanismo para la aplicación del AARR en los AIRS, con base en el AIRS ontológico de [27]. La integración propuesta se presenta en forma de ideas fuerza que derivan en conceptos que relacionan e intentan salvar las diferencias existentes entre el DRA y los AIRS. Se propone al riesgo residual como elemento que defina el nivel de confianza de una organización, identificándolo como el producto final del AARR y el contenedor de mayor información. El riesgo y el riesgo residual serían el resultado del componente offline. Los procesos online harán uso de este riesgo calculado en sus respuestas y evaluarán el riesgo residual provocado por las incidencias de seguridad, siendo éste el nivel de confianza existente en un momento dado. Con este riesgo online se realimentará a los procesos offline en su faceta dinámica. REFERENCIAS [1] M. de Defensa, Om-76/2006, política de seguridad en la información del ministerio de defensa, p. Séptimo. Áreas de la seguridad de la información, [2] V. A. Villagrá, Seguridad en Redes de Telecomunicación. Fundación Rogelio Segovia para el Desarrollo de las Telecomunicaciones, [3] N. Stakhanova, S. Basu, and J. Wong, A taxonomy of intrusion response systems, Int.J.Inf.Comput.Secur., vol. 1, no. 1/2, pp , jan [4] A. Shameli-Sendi, N. Ezzati-Jivan, M. Jabbarifar, and M. Dagenais, Intrusion response systems: survey and taxonomy, Internacional Journal of Computer Science and Network Security (IJCSNS), vol. 12, no. 1, pp. 1 14, [5] V. Mateos, V. A. Villagrá, F. R. Bueno, and J. Berrocal, Definition of response metrics for an ontology-based automated intrusion response systems, Computers & Electrical Engineering, vol. 38, no. 5, pp , [6] ISO-31000:2009, Risk management - Principles and guidelines. International Organization for Standardization, ISO, [7] ISO-Guide-73:2009, Risk management and Vocabulary. International Organization for Standardization, ISO, [8] ISO/IEC-27005:2011, Information technology, security techniques, Information security risk management. International Organization for Standardization, ISOIEC, [9] M. A. Amutio, J. Candau, and J. A. Mañas, MAGERITv3, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I - Método. Ministerio de Hacienda y Administraciones Públicas, [10] UNE-71504:2008, Metodología de análisis de riesgos para los sistemas de información. AENOR, [11] M. A. Amutio, J. Candau, and J. A. Mañas, MAGERITv3, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro II - Catálogo de Elementos. Ministerio de Hacienda y Administraciones Públicas, [12] C. P. Mu, X. J. Li, H. K. Huang, and S. F. Tian, Online risk assessment of intrusion scenarios using d-s evidence theory, in European Symposium on Research in Computer Security (ESORICS), 2008, pp [13] K. Haslum, A. Abraham, and S. J. Knapskog, Dips: A framework for distributed intrusion prediction and prevention using hidden markov models and online fuzzy risk assessment, in Third International Information Assurance and Security Symposium (IAS), 2007, pp [14] Z.-H. Hu, Y.-S. Ding, and J.-W. Huang, Knowledge-based framework for real-time risk assessment of information security inspired by danger model, in Proceedings of the 2008 International Symposium on Intelligent Information Technology Application Workshops (IITAW 08), ser. IITAW 08, 2008, pp [15] A. Shameli-Sendi, M. Dagenais, M. Jabbarifar, and M. Couture, Real time intrusion prediction based on optimized alerts with hidden markov model, Journal of Networks (JNW), vol. 7, no. 2, pp , [16] D. L. Cuenca, O. Pastor, and L. J. Villalba, Concepto y enfoques sobre el análisis y la gestión dinámica del riesgo en sistemas de información, in Reunión Española sobre Criptología y Seguridad de la Información (RECSI), [17] W. Qi, X. Liu, J. Zhang, and W. Yuan, Dynamic assessment and varbased quantification of information security risk, in 2nd International e-business and Information System Security Conference (EBISS),, 2010, pp [18] P. Lagadec, Visualization et analyse de risque dynamique pour la cyberdéfense, in Symposium sur la sécurité des technologies de l?information et des communications (SSTIC), [19] W. Jones, S. Aud, J. Hudepohl, M. flournory, W. Snipes, and E. Schutz, Method and system for dynamic risk assessment of software, [20] J. A. Mañas and C. Belso, Gestión dinámica de riesgos: Seguridad de la red de servicios, in XI jornadas sobre tecnologías de la información para la modernización de las administraciones públicas, [21] N. Poolsappasit, R. Dewri, and I. Ray, Dynamic security risk management using bayesian attack graphs, Dependable and Secure Computing, IEEE Transactions on, vol. 9, no. 1, pp , [22] ISO/IEC-27001:2013, Information technology, security techniques, Information security managament systems, Requirements. International Organization for Standardization, ISOIEC, [23] V. Mateos, Contribución a la automatización de sistemas de respuesta frente a intrusiones mediante ontologías, [Online]. Available: doct/ist/tesisleidas.html [24] A. Shameli-Sendi, System health monitoring and proactive response activation, [Online]. Available: /1/2013 AlirezaShameliSendi.pdf [25] A. Shameli-Sendi and M. Dagenais, Arito: Cyber-attack response system using accurate risk impact tolerance, International Journal of Information Security, pp. 1 24, [26] A. Shameli-Sendi, M. Shajari, M. Hassanabadi, M. Jabbarifar, and M. Dagenais, Fuzzy multi-criteria decision-making for information security risk assessment, The Open Cybernetics and Systemics Journal, vol. 6, pp , [27] V. Mateos, V. A. Villagrá, and F. Romeo, Ontologies-based automated intrusion response system, in Proceedings of the 3rd international conference on computational intelligence in security for information systems (CISIS), 2010, pp [28] D. L. Michael K. Smith, Chris Welty, OWL 2 Web Ontology Language Document Overview, 2nd ed., December [Online]. Available: [29] P. F. P.-S. Ian Horrocks, SWRL: A Semantic Web Rule Language Combining OWL and RuleML, May [Online]. Available: [30] E. Sirin, B. Parsia, B. C. Grau, A. Kalyanpur, and Y. Katz, Pellet: A practical owl-dl reasoner, Web Semant., vol. 5, no. 2, pp , jun [31] N. Stakhanova, S. Basu, and J. Wong, A cost-sensitive model for preemptive intrusion response systems. in Proceedings of the 21st international conference on advanced networking and applications AINA 07. IEEE Computer Society, 2007, pp