Una solución de BI para identificar

vulnerabilidades y detectar ciberataques en

tiempo real para un CSIRT académico
Darío Tipan, Victor Hugo Tercero, Enrique Chóez Mendieta
Maestría en Gerencia de Sistemas
Universidad de las Fuerzas Armadas ESPE
Quito Ecuador
tipish44@hotmail.com, victorhugo-77@hotmail.com, cchoez@ecotec.edu.ec

Resumen—El presente estudio da una solución de embargo, utilizaron varios feeds de Internet, mientras que la
seguridad informática ante ataques cibernéticos a través solución correspondiente carecía de estar en tiempo real.
del equipo A-CSIRT. Se utiliza dos criterios de evaluación
cualitativo y cuantivos, asi la metodología Ralph Kimball Respecto de cómo la seguridad de la información puede
es usado para recolección de datos, procesos OLAP para estar alineada con los objetivos comerciales, estudios
construir BI y la aplicación web utilizando la metodología recientes como [23] han utilizado amenazas de inteligencia
Scrum. como una solución técnica que incluye una seguridad
Términos claves—Vulnerabilidades de DataMart sobre proactiva, mientras que en [24] presentó una guía para la
ciberseguridad de CSIRT, Inteligencia de negocios Ralph implementación de detección de hilos y recuperación de
Kimball. incidentes para SOCs y CSIRTs
En [30] los autores presentaron un fondo sobre Detección
I. INTRODUCCIÓN de intrusiones y algunas implicaciones de grandes datos y
desafío. En [31] presentó una investigación centrada en la
Según el NIST en su publicación especial 800-61 Revisión-
aplicación de las técnicas de Big Data Analytics a la
2 [1], Mencionó que “los ataques relacionados con la
ciberseguridad. En [32] presentó un responsabilidad
ciberseguridad se han vuelto diversos pero también más
preventiva, detectiva y correctiva, así como gestión de riesgos
dañinos y disruptivo”. Por lo tanto, el CERT / CSIRT en su
de datos, basado en el uso de políticas de control y una
capacidad de respuesta a incidentes, necesitan desarrollar
ingeniería basada en modelos.
procedimientos, que conducen al análisis de vulnerabilidades En [37], este autor introdujo la centralizada agrupación de
e informes de incidentes. La comunidad científica conforme bandidos.
avanzan los ataques de ciberseguridad crean nuevas III. DISEÑO DE LA INVESTIGACIÓN
herramientas para responder y mitigar dichos ataques como:
eliminar vulnerabilidades con enfoque predictivo y bajo nivel, En el marco conceptual de la Fig. 1, se muestra el proyecto
técnica de minería de datos, ciberseguridad basada en una donde se aprovecha las fases de la metodología de Kimball.
adecuada gestión del conocimiento, gobernanza y A través de la planificación se ha podido desarrollar una
organización, manejo adecuado de los gerentes de la aplicación web que conecta los cuadros de mando dinámicos
información a través de protección de sistemas y arquitectura con la herramienta Pentaho BI, donde un A-CSIRT ha podido
de información. mejorar sus servicios reactivos y proactivos.
Los servicios proactivos y preventivos de A-CSIRT [8],
detecta ataques en tiempo real y automatizan el proceso de
reporte de incidentes. Así, los miembros de un A-CSIRT han
sido capaz de verificar y priorizar eventos maliciosos que
surgen en su red. Para asegurar esto, se ha realizado una
comparación de dos herramientas de análisis de tráfico, como
el IDS Snort y el PVS, que se ha utilizado para iniciar sesión
en el A-CSIRT.
Los resultados obtenidos son registrados utilizando técnicas
de extracción, transporte y carga (ETL) que posteriormente
son almacenados en una base de datos MySQL.

II. TRABAJO RELACIONADO.

En relación con estudios similares, [10] tuvo como objetivo

sistematizar el apoyo a la ciberseguridad otorgado por un Figura 1. Descripción General Esquemática E Ilustrada De
CSIRT con la prestación de servicios de alerta temprana. Sin La Investigación Actual.
Elaborado por: Tercero V, Tipan Darío, Choez Enrique

A. Definición de los requisitos
CSIRT Academic tiene como objetivo ayudar a sus
miembros a implementar sistemas reactivos y proactivos.
El CSIRT necesita mejorar las capacidades de respuesta a
incidentes de TI, ofrecer soluciones para la detección de
vulnerabilidades y fortalecer los sistemas de detección de
intrusos [9].
B. Evaluación de herramientas de análisis pasivo de tráfico
Se ha realizado una comparación entre las herramientas
Snort y PVS. En condiciones similares, el consumo de
recursos computacionales ha sido comparado, así como el
tráfico HTTP y FTP detectado. De esta manera, el PVS se
centra en detección de vulnerabilidades y detección de
eventos de la red, mientras que Snort ha sido un sistema capaz
de analizar todo el tráfico que circula por la red.
Además se ha determinado el uso de conjuntos de datos,
con lo que ha sido posible generar un estrés de tráfico
malicioso.
PVS apoya en la identificación de vulnerabilidades, lo que
ha permitido fortalecer el equipo contra ataques informáticos.
Simultáneamente, Snort realiza un escaneo en red, obteniendo
alertas de las reglas especificadas, que permiten una reacción
rápida ante eventos potencialmente invasivos en la red.
C. Diseño e Implementación de Algoritmos ETL para
generar BI.
El desarrollo del proyecto se ha basado en la
metodología de Ralph Kimball. [41], quien ha sido
considerado como el inventor del modelo dimensional y
pionero en Data Warehouse (W) así como Business
Intelligence. La figura 2 especifica el ciclo de vida. Para ser
realizado en proyectos enfocados en Business Intelligence:
Figura 2. El ciclo de vida de la metodología de Ralph
Kimball. Adaptado de [41].
Elaborado por: Tercero V, Tipan Darío, Choez Enrique
. el filtrado de datos se ha realizado.
Los Procesos para Recolección y Filtración de Datos (ETL)
tienen como objetivo principal obtener una alta calidad de
datos.
Para el presente proyecto se ha generado ETLs
específicamente para la extracción y filtración de datos de
cada sistema, para evitar una sobrecarga de la base de datos
con registros, que pueden ser irrelevantes para el usuario.
Además, se ha aplicado un filtro que elimina los datos no
deseados, que pueden ser almacenados en el archivo,
generando posteriormente una comparación con todo lo
almacenado en el archivo, base de datos. En caso de cualquier
problema en el ETL, una notificación será enviada por correo
electrónico.
Figura 3. El algoritmo de transformación ilustrado para un
evento en tiempo real.
Elaborado por: Tercero V, Tipan Darío, Choez Enrique
Para las vulnerabilidades (ver Fig. 4), la transformación se
inicia con la extracción de datos del archivo XML. Para lograr
tal fin, la selección de los datos han sido programados de tal
manera que los nodos y los atributos serán identificados.
Figura 4. Algoritmo de trabajo para un evento en tiempo
real
Elaborado por: Tercero V, Tipan Darío, Choez Enrique
Con la implementación de estos algoritmos ETL, las
siguientes listas han sido obtenidos (ver Figs. 5 y 6), que
representan bases de datos planas, que contienen información
sobre vulnerabilidades y tráfico de red en tiempo real.
Para Snort, se ha configurado el sistema PulledPork, que ha
sido responsable para actualizar las reglas de IDS.
Simultáneamente, se ha utilizado el sistema Banyard2, que
transporta la información obtenida a una base de datos que se
ha configurado con el fin de generar BI (fig. 7). Además, se
ha generado un algoritmo ETL (Fig. 8), que realiza el filtrado
de la información, permitiendo el almacenamiento de los
datos, generando sólo información relevante. Este algoritmo
ha sido notable por la manipulación de Metadatos, ya que,
desde la fecha de modificación del archivo de configuración,

Figura 5. Lista de una base de datos de eventos en tiempo
real
Elaborado por: Tercero V, Tipan Darío, Choez Enrique
Figura 6. Lista de una base de datos de análisis de
vulnerabilidad.
Elaborado por: Tercero V, Tipan Darío, Choez Enrique
Figura 7. La base de datos de snort.
Elaborado por: Tercero V, Tipan Darío, Choez Enrique
Figura 8. Ilustración esquemática sobre el algoritmo de
filtrado para Snort..
Elaborado por: Tercero V, Tipan Darío, Choez Enrique
En la Fig. 9, el diseño de la aplicación se ha ilustrado,
demostrando dos usuarios modos, de los cuales el primero
ha sido un administrador, que ha podido registrar nuevos
usuarios. Además, ha podido ingresar a Pentaho con todos
los permisos, obteniendo la capacidad de editar y
configurar los contenidos de Dashboard, así como la
base de datos.
Figura 9. El diagrama del sistema BI usado.
Elaborado por: Tercero V, Tipan Darío, Choez Enrique
IV. CONCLUSIONES
Este estudio se ha centrado en el diseño e
implementación de un Business Intelligence sistema que
proporciona servicios reactivos y proactivos en un CSIRT,
con el fin de alertar y reducir cualquier actividad
sospechosa o maliciosa en los sistemas de información y
datos.
Analiza la detección de ataques y el escaneo de puertos,
obtenidos de sensores como Snort y Passive Vulnerability
Scanner, que se han almacenado en un Base de datos,
donde los registros han sido generados por los sistemas.
Se ha Utilizado las fases de la metodología de Ralph
Kimball, ETL y los procesos OLAP, para construir el
sistema de BI. Además, se ha implementado una
aplicación web utilizando SCRUM. metodología, que ha
permitido vincular los registros obtenidos al sistema de BI
para visualización en cuadros de mando dinámicos, con el
fin de generar alertas tempranas y construir consultas
complejas utilizando la interfaz de usuario a través de
estructuras de objetos.
I. REFERENCIAS.
[1] Cichonski, P., Millar, T., Grance, T., Scarfone, K.:
Computer security incident handling guide. NIST Spec.
Publ. 800, 61 (2012).
[9] The Forum of Incident Response and Security Teams
(FIRST): FIRST CSIRT Framework, May 2017
[23] Elmellas, J.: Knowledge is power: the evolution of
threat intelligence. Comput. Fraud. Secur. 2016(7), 5–9
(2016).
[24] Grobler, M., Jacobs, P., van Niekerk, B.: Cyber
security centres for threat detection and mitigation. In:
Threat Mitigation and Detection of Cyber Warfare and
Terrorism Activities.
 [30] Zuech, R., Khoshgoftaar, T.M., Wald, R.: Intrusion
detection and big heterogeneous data: a survey. J. Big Data 2(1),
3 (2015)

[31] Mahmood, T., Afzal, U.: Security analytics: big data

analytics for cybersecurity: a review of trends, techniques
and tools. In: Information Assurance (ncia), pp. 129–134.
IEEE, December 2013.

[32] Jaramillo, E., Munier, M., Aniorté, P.: Information

security in business intelligence based on cloud: a survey of key
issues and the premises of a proposal. In: WOSIS (2013).

[37] Korda, N., Szörényi, B., Shuai, L.: Distributed clusterin of

linear bandits in peer to peer networks. In: Journal of Machine
Learning Research Workshop and Conference Proceedings, vol.
48, pp. 1301–1309. International Machine Learning Societ
(2016).

[41] Kimball, R.: The Data Warehouse Toolkit: The Definitive

Guide to Dimensional Modeling
E-Books (2013)