Literatura académica sobre el tema "Ciberataques"

En un contexto cada vez más digital y de iniciativas innovadoras con tecnología de información se desarrolla una economía digital que conecta los diferentes actores de la sociedad, con el fin crear nuevos ecosistemas de negocios en los que es posible concretar oportunidades, utilidades y experiencias inéditas para los diferentes grupos de interés. En este sentido, la inseguridad digital, representada en los ciberataques, se configura como un impuesto progresivo que grava la confianza digital de los consumidores y crea zonas inciertas que afectan la dinámica empresarial y la prosperidad económica de las naciones. En consecuencia, este artículo desarrolla una reflexión conceptual alrededor de este nuevo impuesto progresivo, así como algunas ideas para concretar su elusión en un entorno cada vez más digital y tecnológicamente modificado.

El presente trabajo de investigación, tiene el propósito de determinar los desafíos y blancos críticos actuales y futuros en el ciberespacio del Ecuador, se inicia con el desarrollo de un análisis exploratorio del ciberespacio, ciberataques y ciberdefensa mediante el uso de fuentes primarias y datos estadísticos, se desarrolla un entorno introductorio, el progreso del ciberespacio con su aporte y empleo inadecuado a la sociedad, se define una aproximación a la conceptualización de la ciberdefensa, la traslación de los conflictos al ciberespacio, se identifican estadísticos de incidentes para tratarlos con una metodología cuantitativa, empleando la analítica predictiva mediante herramientas informáticas de aprendizaje automático o machine learning, cuyos resultados darán la identificación actual y futura de recursos críticos en el ciberespacio; los blancos críticos tendrán implicaciones en el entorno de seguridad y defensa del Ecuador.

Este trabajo constituye una investigación documental sobre los ciberataques realizados en América Latina. Un ciberataque definido como un delito cibernético puede tener múltiples consecuencias cuya gravedad dependerá de cada caso y de la intención del delincuente. El objetivo del estudio es determinar el nivel de riesgo y preparación en ciberdefensa que tiene la región de tal forma que se puedan definir lineamientos para combatir futuras amenazas. En última instancia se desea conocer cómo se está preparando América Latina para ataques cibernéticos. Este estudio constituye una investigación cualitativa de tipo documental, no concluyente. Para el desarrollo se realizó una revisión exhaustiva de fuentes secundarias y discusiones en congresos para la comprensión general del tema. Se definieron también los distintos tipos de ataques cibernéticos y su nivel de daño. Como resultado se pudo obtener una descripción general de ataques cibernéticos en la región y el nivel de defensa general de los países que la integran. Como conclusión principal se obtiene las deficiencias que existen en los países de la zona con respecto a mecanismos de defensa contra ataques cibernéticos. Este estudio puede ser utilizado como punto de partida para un análisis específico de cada país y la determinación de objetivos de defensa a implementarse.

Los ciberataques en tiempos de paz – por parte de grupos de hacktivistas, organizaciones criminales transnacionales o bandas terroristas – aumentan cada año más, suponiendo para los Estados la ciberamenaza más frecuente contra sus infraestructuras informáticas. Ante esta realidad, la comunidad internacional no cuenta todavía con una herramienta jurídica eficaz para atribuir la responsabilidad internacional a aquellos Estados desde cuyo territorio dichos actores no estatales lanzan sus ciberataques contra otros países. Por tanto, en el presente artículo se propone la adopción del concepto de “ciberdiligencia debida”. Partiendo de la noción clásica de “diligencia debida” desarrollada en el Derecho internacional del medioambiente, se sugiere que la “ciberdiligencia debida” permitiría identificar con más facilidad al Estado responsable y atribuirle la responsabilidad por no adoptar las medidas preventivas, como las de monitoreo, necesarias para oponerse a las actividades cibernéticas ilícitas de estos grupos privados.

Es indudable que los ciberataques y el cibercrimen (disrupciones con motivación económica o de intereses nacionales extranjeros) son una realidad diaria patente y en auge también en España y en el mundo. Dentro de los ciberataques se pueden encontrar casos referidos a ciberterrorismo, es decir, la unión del terrorismo y el ciberespacio (o la tecnología), con la finalidad de generar miedo o intimidar a una sociedad dirigiéndola hacia una meta ideológica. Tras el análisis de la amenaza, la pregunta que nos hacemos es si las capacidades preventivas (prospectivas y de defensa) de los Estados, tras el análisis concreto de España, estarían preparadas para hacer frente a una amenaza de estas características. Aquí hemos podido comprobar las diferentes capacidades existentes en España y conocer su grado de coordinación y colaboración para llegar a una serie de conclusiones sobre su idoneidad en la lucha de este fenómeno en plena expansión.

Este artículo presenta repuesta a los retos de ciberseguridad enfrentados para la centralización del control de generación de energía eléctrica en la segunda empresa de este tipo en Colombia. Así mismo, se describen las principales prácticas de ciberseguridad que se investigaron, analizaron e implementaron para establecer y mantener un entorno seguro de operaciones, que permita solucionar los riesgos de ciberataques a este servicio esencial para la sociedad; así como las metodologías y medidas técnicas que debieron tenerse en cuenta en las diferentes etapas del proyecto para evitar que los ciberataques sean efectivos, para identificarlos oportunamente y para lograr la resiliencia de los sistemas de supervisión y control que fueron empleados y probados en este entorno. También, muestra cómo estos resultados fueron usados para aportar a la evolución de la normatividad nacional en la materia y como podrán servir de base para mejoras a la regulación y la ciberseguridad de otros agentes del sector eléctrico en el país y la región.

A lo largo de la historia, Cuba ha sido víctima constantemente de todo tipo de atentados en contra de la seguridad nacional. Entre ellos, es importante mencionar los ciberataques, los cuales han puesto en riesgo a innumerables entidades cubanas. Uno de los sectores más vulnerables en cuestión de ciberseguridad es el sector del turismo, esto es debido a que, dentro del mismo, la conectividad y los datos personales o confidenciales juegan un papel crucial en procesos como: reservas, compras, alojamientos, recopilación de información de clientes, etc. Por todo lo anterior, el presente trabajo tiene como objetivo principal el estudio de técnicas que permitan elevar los niveles de ciberseguridad en el sector turístico cubano a través del método de investigación lógico-deductivo. Como resultados se relacionan una serie de prácticas que contribuirán a que Cuba tenga un sistema de acción ante las ciber amenazas, basadas en la evaluación de riesgos, que permiten mitigar los ciberataques en las empresas del sector turístico.

Este documento intenta delinear y definir la noción de ciberataque en el contexto del Derecho internacional. En este sentido, queremos enfatizar la falta de un marco legal claro para regular esta noción. Finalmente, abordamos el tema de la ciberguerra en el Derecho internacional humanitario

Um poderoso ciberataque desferido contra corporações em 2017 atingiu 99 países, Brasil incluído. Para liberar os sistemas afetados, o vírus gerou uma nota de resgate contendo instruções para pagamento aos cibercriminosos em Bitcoin, moeda digital cujo possuidor não pode ser rastreado. Investigações policiais para descobrir a autoria do crime foram frustradas. O artigo busca compreender, mediante uso da hermenêutica jurídica e da técnica de pesquisa bibliográfica de cunho exploratório com abordagem qualitativa, como o direito penal reagir a essa nova forma de criminalidade, respeitando os fundamentos constitucionais do poder punitivo.

En los sistemas industriales SCADA (Supervisory Control And Data Acquisition), conocer el estado de cada dispositivo permite obtener información de su comportamiento. De esta forma se pueden deducir acciones y conformar estrategias diferentes que ayuden a reducir el riesgo cibernético. En este artículo de investigación aplicada, se presenta un modelo de predicción de posibles ciberataques en un sistema SCADA. Dicha predicción se hace con un filtro Kalman. Un filtro Kalman procesa los eventos de ciberseguridad capturados a través de un sistema de detección de intrusos (aplicado en un sistema de simulación de SCADA) y genera una proyección futura de la probabilidad de que se consolide un ataque. Con esta información, los administradores de sistemas podrán tomar alguna decisión sobre cómo actuar frente a inminentes ataques informáticos. Se realizó una instalación de diferentes componentes tecnológicos y se ejecutaron 3 ataques informáticos al SCADA: (i) posibles escaneos, (ii) robo de información y (iii) sobrescritura de comandos y datos generando Denial of Service o DoS. los eventos de seguridad fueron detectados por un sistema de detección de intrusos y enviados a un software configurado con las características del filtro Kalmanpara entregar como salida las posibles predicciones de ataques. Como resultado, se puede ver cómo a partir de las entradas es posible conocer la probabilidad de que un ataque informático sea exitoso con base en los eventos históricos y las fórmulas aplicadas del filtro.

La creciente competitividad del mercado, genera una dificultad cada vez mayor en las organizaciones para alcanzar el éxito en sus proyectos. Tal hecho busca priorizar criterios económicos, tiempo, costo, calidad y alcance, ocasionando falta de controles que resultan en brechas de seguridad en la compañía. De esa forma se deja en segundo plano procedimientos de seguridad como por ejemplo el testeo de aplicaciones web. Estas poseen vulnerabilidades que podrían proporcionar los medios para que usuarios finales maliciosos violen mecanismos de protección de un sistema y obtengan acceso a información privada o recursos de la empresa. Los pronósticos referentes a la violación de datos indican que la industria de salud será el blanco más buscado para los ataques cibernéticos en 2017 ya que el alto valor de los registros de salud electrónicos (EHRs) llama cada vez más la atención de los cibercriminales. Dichos registros representan una fuente de ganancias mayor a la que si se accediera a información de tarjetas o cuentas bancarias. El presente proyecto propone un modelo de madurez de seguridad de aplicaciones web ante ciberataques para clínicas de nivel 2 bajo la norma técnica del MINSA, orientada a mostrar las debilidades de las aplicaciones web y las mejoras que se puedan realizar en aspectos de seguridad. El proyecto permitió la implementación de mejoras por parte de las empresas clientes en sus plataformas web mediante la recomendación propuesta por la guía de mejora luego de haber realizado el pentesting propuesto.<br>Bearing in mind that the projections made for the area of information security point to an increase in attacks on the health sector, added to the lack or little diffusion of security maturity models that allow organizations to know the status of their website in terms of security and that the existing models lack a post-evaluation monitoring, it is necessary to propose a model of security maturity of web applications against cyber-attacks, oriented to the health sector, which is simple to apply. The maturity model proposes to offer the user a portfolio of tools that asks them to apply tests and obtain their results, interpret them and place them at a level of maturity before cyberattacks, then proposing controls to improve the security of the web. This model will be based on the International Professional Practice Framework methodology and will include the main vulnerabilities published by the Open Web Application Security Project to propose attacks that identify the weakness of the evaluated web system, so that the client company has the possibility to reinforce its weaknesses. Guides will also be proposed to select strategies to improve critical points from a security perspective. Because of the validation, it was found that, of the 14 tests applied, five were approved, positioning the web at level 3 of maturity, which means that there are validations in the structure of the web; however, they are partial or inefficient.<br>Tesis

Los sistemas de control industrial son objetivos recurrentes de ciberataques con el fin de alterar procesos, detenerlos o secuestro de información. Existen distintas soluciones para contrarrestar estas actividades ilícitas, tales como los sistemas de detección de intrusos. Sin embargo, este tipo de soluciones no contemplan escenarios de trabajo específicos como plantas de procesamiento de minerales. El presente trabajo muestra un esquema a seguir para utilizar un modelo tecnológico capaz de utilizar tecnologías como machine learning y sistemas de detección de intrusos enfocados a plantas mineras.<br>Industrial control systems are recurring targets of cyberattacks in order to alter processes, stop them or hijack information. There are different solutions to counter these illegal activities, such as intrusion detection systems. However, these types of solutions do not contemplate specific work scenarios such as mineral processing plants. This work shows a scheme to follow to use a technological model capable of using technologies such as machine learning and intrusion detection systems focused on mining plants.<br>Trabajo de investigación

The development of fundamental human rights contained in the texts of the Universal Declarations and the Constitutions of democratic states requires that information systems that support its exercise are permanently operational. However, this need is constantly violated by many cyberattacks that, in the heart of the matter, seek to undermine the free exercise of such rights. It is in this environment where public cybersecurity, understood as the set of legal regulations, methods, procedures and tools, finds its reason for being and is configured as the only appropriate means of ensuring social coexistence in accordance with the principles of the Rule of Law.

Desde o final do século passado, as novas tecnologias da informação e comunicação têm apresentado uma evolução célere, originando uma mudança radical na forma como as pessoas se relacionam. O mundo transformou-se numa complexa teia de redes, cujos nós se encontram interligados. A sociedade em rede assume-se como uma realidade profícua em inovação e desenvolvimento, contudo, é também promotora de novos perigos e desafios, entre eles o cibercrime. A insegurança no ciberespaço, demonstrada pelo aumento de ciberataques, torna premente o estudo de ciberameaças, como o hacktivismo. As entidades governamentais, as Forças de Segurança e as grandes empresas são constantemente alvo de ciberataques, sendo que em Portugal têm vindo a ser recorrentes casos de instituições portuguesas que são vítimas de ataques desta índole. Neste estudo, procuramos perceber se o fenómeno hacktivista representa uma ameaça para as Forças de Segurança portuguesas. Assim, abordamos concetualmente o fenómeno do hacktivismo, analisando em concreto o fenómeno em Portugal. Para alcançar as respostas pretendidas recorremos ao método qualitativo, realizando entrevistas a especialistas e a responsáveis pela área da cibersegurança e fazendo uma análise a recortes de imprensa nacionais. Depois de submetidos a análise de conteúdo, os instrumentos permitem-nos perceber os contornos do fenómeno hacktivista nacional, bem como perceber a ameaça representada pelo hacktivismo para as Forças de Segurança.<br>Since the end of last century, the new information and communication technologies have been on a speedy development, leading to a radical change in the way people relate themselves. The world has become a complex web of networks, whose nodes are interconnected. The network society is assumed as a useful reality in innovation and development, however it is also a promoter of new dangers and challenges, including cyber crime. Insecurity in cyberspace, shown by the increase of cyber attacks, makes urgent the study of cyber threats, as hacktivism. Government entities, the Security Forces and large companies are constantly cyberattacks target and, in Portugal, have been recurrent cases of Portuguese institutions who are victims of this kind of attacks. In this study, we try to see whether hacktivist phenomenon poses a threat to the Portuguese security forces. Thus, conceptually approach the phenomenon of hacktivism, analyzing in particular the phenomenon in Portugal. To achieve the desired answers we use the qualitative method by conducting interviews with experts and responsible for the area of cyber security and the analysis the national press clippings. After undergoing the content analysis, the instruments allow us to understand the contours of phenomenon in Portugal as well as realize the threat posed by hacktivism to the Security Forces.

Apesar de todos os benefícios da informatização à sociedade, atualmente observam-se cada vez mais desafios e medos relacionados à vulnerabilidade dos sistemas informáticos e de armazenamento de dados. Os crimes informáticos e ataques a esses sistemas (ciberataques) têm sido cada vez mais registados pelas autoridades. A presente dissertação é um estudo qualitativo, em que foram feitas entrevistas com 20 profissionais que trabalham diretamente com as Tecnologias da Informação e Comunicação (TICs). Os dados coletados nas entrevistas foram analisados utilizando o método de Análise Temática. O principal objetivo da investigação foi estudar os efeitos de um ciberataque enquanto fator estressor para os trabalhadores de TICs. Como objetivos específicos, buscámos identificar os recursos e exigências relatados pelos participantes numa situação de ciberataque, além de perceber quais as estratégias usadas por eles para enfrentar o stress ocupacional que vão para além do recurso ao capital psicológico e considerando igualmente o capital social. Os resultados mostram que, apesar de cada participante descrever a experiência de um ciberataque de forma distinta, eles relatam essa ocorrência como uma situação de distress, que têm consequências negativas para si. Por outro lado, os participantes conseguem reconhecer os recursos disponíveis para lidar com as exigências impostas durante essa ocorrência, enfatizando a importância do capital psicológico e, principalmente, do capital social. Assim, eles reportaram adotar estratégias de coping adaptativas e funcionais para responder ao ciberataque enquanto fator estressor.<br>Despite all the benefits of computerization to society, today there are more and more challenges and fears related to the vulnerability of computer systems and data storage. Cybercrimes and attacks on these systems (cyberattacks) have been increasingly reported by the authorities. This dissertation is a qualitative study, in which were conduced interviews with 20 professionals who work directly with Information and Communication Technologies (ICTs). The data collected in the interviews were analyzed using the Thematic Analysis method. The main goal of the investigation was to study the effects of a cyberattack as a stressor for ICT workers. As specific goals, we seek to identify the resources and demands reported by the participants in a situation of cyberattack, in addition to observe which strategies they use to face occupational stress that go beyond the use of psychological capital and considering social capital as well. The results show that, although each participant describes the experience of a cyberattack differently, they report this occurrence as a distress situation, which has negative consequences for themselves. On the other hand, participants can to recognize the resources available to deal with the demands imposed during this occurrence, emphasizing the importance of psychological capital and, mainly, social capital. This way, they reported adopting adaptive and functional coping strategies to respond to the cyberattack as a stressor.

Dissertação de Mestrado em Engenharia Informática apresentada à Faculdade de Ciências e Tecnologia<br>A presente dissertação constitui um relatório de estágio que teve a sua realização na empresa Dognædis durante o primeiro e segundo semestres do Mestrado em Engenharia Informática, na Universidade de Coimbra. A Dognædis é uma empresa que realiza o seu trabalho nas áreas da Cibersegurança e Segurança de Informação, disponibilizando serviços de consultoria e auditoria nas áreas de segurança. Com o tema proposto, "Social Media Honeypot", a empresa pretende enriquecer a informação presente nas suas plataformas de Cybersecurity Intelligence, adquirindo nova informação acerca de ataques atuais, que poderá auxiliar mecanismos de defesa automáticos já existentes e tomadas de decisão táticas face a novas ameaças.Assim, este projeto pretende explorar ataques que se dirigem diretamente aos utilizadores, que se encontram frequentemente fora de defesas organizacionais, extraindo continuamente informação relevante a partir de diferentes canais de comunicação tais como e-mail e redes sociais, que são usados como meios de ataque.A abordagem proposta consiste na utilização de honeypots, que são representados por contas de e-mail e redes sociais devidamente supervisionadas e que podem atrair atacantes, permitindo, consequentemente, a extração de informação relevante. Este trabalho foca-se na exploração dos ataques, interagindo com os atacantes em busca de indicadores de compromisso. Esta dissertação detalha a pesquisa feita em relação a soluções existentes e trabalho relacionado assim como ferramentas e tecnologias que foram usadas para desenvolver a solução proposta. Adicionalmente, neste relatório encontram-se detalhes sobre a solução, sob a forma de especificação de requisitos e diagramas arquiteturais, assim como a metodologia de desenvolvimento que foi seguida.<br>The present document reports the work developed in an internship hosted by Dognædis during the first and second semesters, in the context of the Masters Degree in Informatics Engineering in the University of Coimbra.Dognædis is a company that operates on the fields of Information Security and Cybersecurity, providing auditing and consulting services in the security and software assurance areas. With the proposed theme, "Social Media Honeypot", the company seeks to enrich their already existing Cybersecurity Intelligence platforms, acquiring new information about current attacks which might support already existing automated defense mechanisms and tactical decision making towards new threats.Thus, this project sought to explore attacks that specifically target the end user, which is often unprotected from organizational defenses, and continuously extract relevant information from various communication channels such as e-mail and online social networks, which are being increasingly used as attack vectors.The proposed approach consists on the deployment of honeypots, which are represented by controlled e-mail and social network accounts that may attract attackers and consequently allow for the extraction of relevant information. This work largely focuses on the exploration of the attacks, interacting with the attackers in search of indicators of compromise.This dissertation details the performed research in regards to existing solutions and background work as well as tools and technologies that were used to develop the proposed solution. Additionally, details on the solution are present in this document, in the form of requirements specification and architectural diagrams, as well as the development methodology that was followed.

Tese de mestrado, Informática, Universidade de Lisboa, Faculdade de Ciências, 2018<br>Ao longo dos anos, a preocupação com a Ciber Seguranc¸a (a proteção de sistemas, redes e de informações num ciber espaço) nas grandes empresas tem vindo a aumentar, isto porque, atualmente a maioria das organizações depende de dados informatizados e partilham grandes quantidades de informação por todo o globo, tornando-se em alvos mais fáceis para muitas formas de ataque. Consequentemente, um ciberataque pode prejudicar o nome e a reputação de uma empresa, resultando na perda de vantagem competitiva, criando um incumprimento legal / regulamentar e causando danos financeiros. De modo a evitar um possível comprometimento nas infraestruturas de uma organização, é necessário tomar medidas de precaução, isto é, fazer uma análise e gestão dos riscos a que uma empresa está exposta e assim delinear uma estratégia, de maneira a minimizar, mitigar e / ou anticipar ataques. A Portugal Telecom, conhecida também por PT Portugal ou Grupo PT, tratando-se da maior operadora de telecomunicações em Portugal, não descura da preocupação com a Ciber Segurança. Como tal, esta possui uma direção dedicada à segurança e privacidade da informação, a Direção de Cyber Security and Privacy (DCY). Para que haja uma proteção ciber resiliente nas infraestruturas / ativos da PT, a DCY divide-se em diferentes operações:_ Cyber Security Governance: respons´avel pela gestão das operações / programas de Ciber Segurança da DCY, incutindo objetivos a cada uma das operações; _ Cyber Security Operations: responsável pela resposta a incidentes; _ Cyber Watch: responsável pela análise proativa de riscos, isto é, identificação dos vários ativos de informação que podem ser afetados por um ciberataque e monitorizar continuamente o ambiente de risco. O projeto ”Unified Cyber Threat Intelligence” encontra-se dentro da operação de CyberWatch da DCY e está a ser desenvolvido na Portugal Telecom, no âmbito da disciplina PEI (Projeto em Engenharia Informática) do Mestrado em Informática (MI) da Faculdade de Ciências da Universidade de Lisboa (FCUL). A Cyber Watch é composta por diferentes áreas, como por exemplo, Cyber Higiene, Cyber Awareness ou Cyber Intelligence, de maneira a que a análise proativa de riscos seja o mais eficaz possível. O foco deste projeto dentro da Cyber Watch insere-se dentro da Cyber Intelligence. A Cyber Intelligence é um tipo de informação que fornece a uma organização suporte nas decisões, levando a uma vantagem estratégica proporcionando aos utilizadores informações constantemente atualizadas sobre possíveis fontes de ataque. No contexto da Portugal Telecom, a Cyber Intelligence decompõe-se em diferentes ramificações, sendo as mais importantes para este projeto as fontes de risco (risky sources), estas referem-se a todos eventos ocorridos na Internet no geral e os alvos comprometidos (compromised targets), tratando-se dos eventos que ocorreram dentro da organização. O objetivo principal deste projeto é a implementação de uma arquitetura escalável para a recolha, análise, remoção de duplicados, classificação, etiquetagem e filtragem de Cyber Intelligence Events, sendo estes aplicados no contexto de organizações, unidades de negócio, infraestruturas, ativos ou atores. Desta forma, será possível realizar uma análise forense aos Cyber Intelligence Events recolhidos, de modo a que haja uma melhor compreensão sobre o tipo de ataques a que as organizações estão expostas. Um evento, no contexto da CyberWatch da Portugal Telecom, trata-se de um facto ou ocorrência observável na Internet pública (envolvendo endereços IP e / ou Fully Qualified Domain Names (FQDNs)), onde este aconteceu num certo período de tempo. Para o processamento deste tipo de eventos utilizar-se-á o IntelMQ. Este trata-se de uma plataforma para recolher e processar feeds de seguranc¸a, isto é, correntes de informação composta por factos e evidências de que um certo evento aconteceu, como por exemplo, endereços IP ou domínios que estão envolvidos em atividades maliciosas. O IntelMQ tem como objetivo principal ajudar analistas de ciber segurança a recolher e processar Cyber Intelligence Events permitindo o redirecionamento / envio da informação tratada para outros sistemas. Para que um evento IntelMQ seja válido são necessários certos requisitos para que este façaa sentido. Para tal, os requisitos mínimos são: _ O nome da Feed de Segurança onde o IntelMQ foi coletar o evento; _ O tipo de evento que foi encontrado, por exemplo, spam ou malware; _ A taxonomia do evento, por exemplo, Conteúdo Abusivo (poderá estar associado a spam) ou Código Malicioso (poderá estar associado a malware); _ O tempo de origem, a hora e data reportados por uma fonte de informação (feed);_ O tempo de observação, a hora e data em que o IntelMQ processou o evento. Adicionalmente, um evento IntelMQ deverá conter pelo menos um dos seguintes campos: _ IP de origem, o endereço IP observado que iniciou uma ligação; _ FQDN de origem, o nome DNS relacionado a um host de onde originou a ligação; _ URL de origem, refere-se a um recurso mal-intencionado onde a sua interpretação é definida pelo tipo de abuso, por exemplo, um URL em que o abuso seja do tipo phishing refere-se a um recurso de phishing; _ Conta de origem, nome de uma conta ou um enderec¸o de e-mail relacionado com a origem de um evento. A recolha e filtragem de Cyber Intelligence Events ser´a direcionada a entidades-alvo e será obtida através de diferentes fontes de informação, como por exemplo, open-source / paid intelligence feeds. Para este projeto foram utilizadas mais de trinta fontes de informação. Segue-se um pequeno exemplo de fontes já existentes no IntelMQ: _ Abuse.ch Ransomware Tracker: fornece listas de FQDNs, URLs e endereços IP que foram utilizados por diversas famílias de ransomware; _ PhishTank: fornece informações relacionadas com tentativas de phishing; _ VXVault: fornece listas de endereços IP e de FQDNs que estão envolvidos em atividades maliciosas. As fontes de informação irão sustentar o IntelMQ e este, por sua vez, fará a remoção de eventos duplicados (deduplication), classificação, etiquetagem e filtragem de todos os dados recebidos. Para a recolha de informação direcionada às entidades-alvo foi necessário, primeiramente, observar e mapear (scouting / mapping) estas entidades, de modo a obter os atributos / campos mais relevantes de cada entidade, tal como, endereços IP públicos (IPv4 e IPv6), FQDNs, entre outros. Após a identificação destes campos, foi possível direccionar a filtragem de informação utilizando o IntelMQ. Para o scouting e mapping de cada entidade-alvo será utilizado o Maltego. Este tratase de um sistema interativo de data mining, que constrói gráficos direcionados para a análise de correlação de dados (link analysis). O Maltego é utilizado para investigações online para encontrar relações entre diferentes pedaços de informação de diversas fontes localizadas na Internet. Com o Maltego é possível criar ”case-files” através de uma representação gráfica de cada entidade-alvo com os atributos mais relevantes de cada uma. Estas representações gráficas contêm agregações e relações de informação relativas a eventos direcionados à entidade-alvo. Após o scouting e mapping e após a definição dos atributos mais relevantes de cada entidade-alvo, foi possível direcionar a recolha de Cyber Intelligence Events no IntelMQ. Este foi configurado através de um programa Ruby (desenvolvido ao longo deste projeto), denominado ”intelmq configurations generator.rb”. O programa utiliza os metadados recolhidos durante a fase de scouting, de modo a, reescrever os ficheiros de configuração do IntelMQ e gerando regras de filtragem, consoante a gama de enderec¸os IP e / ou FQDNs do conjunto de entidades-alvo. Os eventos são filtrados de acordo com as características de cada entidade-alvo, e são enviados em tempo-real para ficheiros que representam o universo de eventos de cada entidade, assim como para a plataforma Hidra, que permite a análise forense dos eventos filtrados.<br>Over the years to the present day, the concern around Cyber Security in organisations has increased substantially, because, most of the organisations rely on digitized information and share large amounts of data across the globe, becoming easier targets for many forms of attack. A cyber attack can damage an organisation’s name and reputation, and can also result in loss of competitive advantage, create legal / regulatory noncompliance and cause steep financial damage. In order to avoid a possible attack in an organisation’s infrastructure is necessary to develop a strategy for the collection, analysis and correlation of information. In this way, it will be possible to better understand the type of attacks that an organisation might be exposed to, and in the future predict these attacks. The main goal of this project was the development of a scalable architecture to collect, deduplicate, classificate, tag, filter and analyse Cyber Intelligence Events and applying them into the context of organisations, business units, infrastructures, assets and actors. It was necessary to collect and process security feeds, which are streams of information consisting of facts and evidences that a certain event occurred, such as IP addresses or domains that were involved in malicious activities - Cyber Intelligence Events. The Cyber Intelligence Events were filtered, according to a group of attributes composed by IP addresses, URLs and FQDNs of seven target-entities. The events were sent to an analysis platform, allowing to forensically analyse them, to better understand what, how and who performed the attack.

Hasta hace unos años, los sistemas de control complejos como los subsistemas del sistema eléctrico o los Sistemas de Control y Automatización Industrial (Industrial Automation and Control Systems, IACS) estaban en gran medida aislados o conectados a través de conexiones restringidas, normalmente con tecnologías propietarias, lo cual facilitaba su seguridad frente a ciberataques. Sin embargo, en los últimos años este panorama ha ido cambiando debido a la generalización de la conectividad, a la adopción de las tecnologías de comunicación modernas (Internet, comunicaciones inalámbricas, etc.), así como al uso de dispositivos electrónicos genéricos. Por ejemplo, tanto en el ámbito de las Smart Grids como en los IACS se han detectado evidencias significativas de ciberataques que explotan las vulnerabilidades que ofrecen dichos sistemas de control. Esta nueva situación requiere que los nuevos subsistemas de control implanten medidas de ciberseguridad para minimizar las consecuencias de estos potenciales ataques. Dado que tanto los IACS como las Smart Grids comparten muchas características, en este artículo se realiza una comparativa y se analizan algunas de sus vulnerabilidades más habituales. El artículo pretende servir como punto de partida para adentrarse en el complejo mundo de la ciberseguridad de este tipo de sistemas críticos.