Unified cyber threat intelligence

Detalhes bibliográficos
Autor(a) principal: Félix, Marisa Tomé
Data de Publicação: 2017
Tipo de documento: Dissertação
Idioma: eng
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10451/32642
Resumo: Tese de mestrado, Informática, Universidade de Lisboa, Faculdade de Ciências, 2018
id RCAP_18e09de9fdf2d3850fde8e939967b093
oai_identifier_str oai:repositorio.ul.pt:10451/32642
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling Unified cyber threat intelligenceCiber segurançaCiber inteligênciaEventosIncidentesCiberataquesFontes de InformaçãoTeses de mestrado - 2018Departamento de InformáticaTese de mestrado, Informática, Universidade de Lisboa, Faculdade de Ciências, 2018Ao longo dos anos, a preocupação com a Ciber Seguranc¸a (a proteção de sistemas, redes e de informações num ciber espaço) nas grandes empresas tem vindo a aumentar, isto porque, atualmente a maioria das organizações depende de dados informatizados e partilham grandes quantidades de informação por todo o globo, tornando-se em alvos mais fáceis para muitas formas de ataque. Consequentemente, um ciberataque pode prejudicar o nome e a reputação de uma empresa, resultando na perda de vantagem competitiva, criando um incumprimento legal / regulamentar e causando danos financeiros. De modo a evitar um possível comprometimento nas infraestruturas de uma organização, é necessário tomar medidas de precaução, isto é, fazer uma análise e gestão dos riscos a que uma empresa está exposta e assim delinear uma estratégia, de maneira a minimizar, mitigar e / ou anticipar ataques. A Portugal Telecom, conhecida também por PT Portugal ou Grupo PT, tratando-se da maior operadora de telecomunicações em Portugal, não descura da preocupação com a Ciber Segurança. Como tal, esta possui uma direção dedicada à segurança e privacidade da informação, a Direção de Cyber Security and Privacy (DCY). Para que haja uma proteção ciber resiliente nas infraestruturas / ativos da PT, a DCY divide-se em diferentes operações:_ Cyber Security Governance: respons´avel pela gestão das operações / programas de Ciber Segurança da DCY, incutindo objetivos a cada uma das operações; _ Cyber Security Operations: responsável pela resposta a incidentes; _ Cyber Watch: responsável pela análise proativa de riscos, isto é, identificação dos vários ativos de informação que podem ser afetados por um ciberataque e monitorizar continuamente o ambiente de risco. O projeto ”Unified Cyber Threat Intelligence” encontra-se dentro da operação de CyberWatch da DCY e está a ser desenvolvido na Portugal Telecom, no âmbito da disciplina PEI (Projeto em Engenharia Informática) do Mestrado em Informática (MI) da Faculdade de Ciências da Universidade de Lisboa (FCUL). A Cyber Watch é composta por diferentes áreas, como por exemplo, Cyber Higiene, Cyber Awareness ou Cyber Intelligence, de maneira a que a análise proativa de riscos seja o mais eficaz possível. O foco deste projeto dentro da Cyber Watch insere-se dentro da Cyber Intelligence. A Cyber Intelligence é um tipo de informação que fornece a uma organização suporte nas decisões, levando a uma vantagem estratégica proporcionando aos utilizadores informações constantemente atualizadas sobre possíveis fontes de ataque. No contexto da Portugal Telecom, a Cyber Intelligence decompõe-se em diferentes ramificações, sendo as mais importantes para este projeto as fontes de risco (risky sources), estas referem-se a todos eventos ocorridos na Internet no geral e os alvos comprometidos (compromised targets), tratando-se dos eventos que ocorreram dentro da organização. O objetivo principal deste projeto é a implementação de uma arquitetura escalável para a recolha, análise, remoção de duplicados, classificação, etiquetagem e filtragem de Cyber Intelligence Events, sendo estes aplicados no contexto de organizações, unidades de negócio, infraestruturas, ativos ou atores. Desta forma, será possível realizar uma análise forense aos Cyber Intelligence Events recolhidos, de modo a que haja uma melhor compreensão sobre o tipo de ataques a que as organizações estão expostas. Um evento, no contexto da CyberWatch da Portugal Telecom, trata-se de um facto ou ocorrência observável na Internet pública (envolvendo endereços IP e / ou Fully Qualified Domain Names (FQDNs)), onde este aconteceu num certo período de tempo. Para o processamento deste tipo de eventos utilizar-se-á o IntelMQ. Este trata-se de uma plataforma para recolher e processar feeds de seguranc¸a, isto é, correntes de informação composta por factos e evidências de que um certo evento aconteceu, como por exemplo, endereços IP ou domínios que estão envolvidos em atividades maliciosas. O IntelMQ tem como objetivo principal ajudar analistas de ciber segurança a recolher e processar Cyber Intelligence Events permitindo o redirecionamento / envio da informação tratada para outros sistemas. Para que um evento IntelMQ seja válido são necessários certos requisitos para que este façaa sentido. Para tal, os requisitos mínimos são: _ O nome da Feed de Segurança onde o IntelMQ foi coletar o evento; _ O tipo de evento que foi encontrado, por exemplo, spam ou malware; _ A taxonomia do evento, por exemplo, Conteúdo Abusivo (poderá estar associado a spam) ou Código Malicioso (poderá estar associado a malware); _ O tempo de origem, a hora e data reportados por uma fonte de informação (feed);_ O tempo de observação, a hora e data em que o IntelMQ processou o evento. Adicionalmente, um evento IntelMQ deverá conter pelo menos um dos seguintes campos: _ IP de origem, o endereço IP observado que iniciou uma ligação; _ FQDN de origem, o nome DNS relacionado a um host de onde originou a ligação; _ URL de origem, refere-se a um recurso mal-intencionado onde a sua interpretação é definida pelo tipo de abuso, por exemplo, um URL em que o abuso seja do tipo phishing refere-se a um recurso de phishing; _ Conta de origem, nome de uma conta ou um enderec¸o de e-mail relacionado com a origem de um evento. A recolha e filtragem de Cyber Intelligence Events ser´a direcionada a entidades-alvo e será obtida através de diferentes fontes de informação, como por exemplo, open-source / paid intelligence feeds. Para este projeto foram utilizadas mais de trinta fontes de informação. Segue-se um pequeno exemplo de fontes já existentes no IntelMQ: _ Abuse.ch Ransomware Tracker: fornece listas de FQDNs, URLs e endereços IP que foram utilizados por diversas famílias de ransomware; _ PhishTank: fornece informações relacionadas com tentativas de phishing; _ VXVault: fornece listas de endereços IP e de FQDNs que estão envolvidos em atividades maliciosas. As fontes de informação irão sustentar o IntelMQ e este, por sua vez, fará a remoção de eventos duplicados (deduplication), classificação, etiquetagem e filtragem de todos os dados recebidos. Para a recolha de informação direcionada às entidades-alvo foi necessário, primeiramente, observar e mapear (scouting / mapping) estas entidades, de modo a obter os atributos / campos mais relevantes de cada entidade, tal como, endereços IP públicos (IPv4 e IPv6), FQDNs, entre outros. Após a identificação destes campos, foi possível direccionar a filtragem de informação utilizando o IntelMQ. Para o scouting e mapping de cada entidade-alvo será utilizado o Maltego. Este tratase de um sistema interativo de data mining, que constrói gráficos direcionados para a análise de correlação de dados (link analysis). O Maltego é utilizado para investigações online para encontrar relações entre diferentes pedaços de informação de diversas fontes localizadas na Internet. Com o Maltego é possível criar ”case-files” através de uma representação gráfica de cada entidade-alvo com os atributos mais relevantes de cada uma. Estas representações gráficas contêm agregações e relações de informação relativas a eventos direcionados à entidade-alvo. Após o scouting e mapping e após a definição dos atributos mais relevantes de cada entidade-alvo, foi possível direcionar a recolha de Cyber Intelligence Events no IntelMQ. Este foi configurado através de um programa Ruby (desenvolvido ao longo deste projeto), denominado ”intelmq configurations generator.rb”. O programa utiliza os metadados recolhidos durante a fase de scouting, de modo a, reescrever os ficheiros de configuração do IntelMQ e gerando regras de filtragem, consoante a gama de enderec¸os IP e / ou FQDNs do conjunto de entidades-alvo. Os eventos são filtrados de acordo com as características de cada entidade-alvo, e são enviados em tempo-real para ficheiros que representam o universo de eventos de cada entidade, assim como para a plataforma Hidra, que permite a análise forense dos eventos filtrados.Over the years to the present day, the concern around Cyber Security in organisations has increased substantially, because, most of the organisations rely on digitized information and share large amounts of data across the globe, becoming easier targets for many forms of attack. A cyber attack can damage an organisation’s name and reputation, and can also result in loss of competitive advantage, create legal / regulatory noncompliance and cause steep financial damage. In order to avoid a possible attack in an organisation’s infrastructure is necessary to develop a strategy for the collection, analysis and correlation of information. In this way, it will be possible to better understand the type of attacks that an organisation might be exposed to, and in the future predict these attacks. The main goal of this project was the development of a scalable architecture to collect, deduplicate, classificate, tag, filter and analyse Cyber Intelligence Events and applying them into the context of organisations, business units, infrastructures, assets and actors. It was necessary to collect and process security feeds, which are streams of information consisting of facts and evidences that a certain event occurred, such as IP addresses or domains that were involved in malicious activities - Cyber Intelligence Events. The Cyber Intelligence Events were filtered, according to a group of attributes composed by IP addresses, URLs and FQDNs of seven target-entities. The events were sent to an analysis platform, allowing to forensically analyse them, to better understand what, how and who performed the attack.Costa, António Casimiro Ferreira da, 1968-Alegria, JoséRepositório da Universidade de LisboaFélix, Marisa Tomé2018-04-06T13:43:14Z201820172018-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/32642TID:201923084enginfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T16:27:01Zoai:repositorio.ul.pt:10451/32642Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:47:52.983416Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv Unified cyber threat intelligence
title Unified cyber threat intelligence
spellingShingle Unified cyber threat intelligence
Félix, Marisa Tomé
Ciber segurança
Ciber inteligência
Eventos
Incidentes
Ciberataques
Fontes de Informação
Teses de mestrado - 2018
Departamento de Informática
title_short Unified cyber threat intelligence
title_full Unified cyber threat intelligence
title_fullStr Unified cyber threat intelligence
title_full_unstemmed Unified cyber threat intelligence
title_sort Unified cyber threat intelligence
author Félix, Marisa Tomé
author_facet Félix, Marisa Tomé
author_role author
dc.contributor.none.fl_str_mv Costa, António Casimiro Ferreira da, 1968-
Alegria, José
Repositório da Universidade de Lisboa
dc.contributor.author.fl_str_mv Félix, Marisa Tomé
dc.subject.por.fl_str_mv Ciber segurança
Ciber inteligência
Eventos
Incidentes
Ciberataques
Fontes de Informação
Teses de mestrado - 2018
Departamento de Informática
topic Ciber segurança
Ciber inteligência
Eventos
Incidentes
Ciberataques
Fontes de Informação
Teses de mestrado - 2018
Departamento de Informática
description Tese de mestrado, Informática, Universidade de Lisboa, Faculdade de Ciências, 2018
publishDate 2017
dc.date.none.fl_str_mv 2017
2018-04-06T13:43:14Z
2018
2018-01-01T00:00:00Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10451/32642
TID:201923084
url http://hdl.handle.net/10451/32642
identifier_str_mv TID:201923084
dc.language.iso.fl_str_mv eng
language eng
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799134406794805248