Busca avançada
Ano de início
Entree

Serviço de threat intelligence em cibersegurança

Processo: 17/15289-7
Linha de fomento:Auxílio à Pesquisa - Pesquisa Inovativa em Pequenas Empresas - PIPE
Vigência: 01 de julho de 2018 - 31 de março de 2019
Área do conhecimento:Ciências Exatas e da Terra - Ciência da Computação - Sistemas de Computação
Pesquisador responsável:Eduardo Bernuy Lopes
Beneficiário:Eduardo Bernuy Lopes
Empresa:Redbelt-Security Sistemas e Soluções de Segurança Digital Ltda
CNAE: Outras atividades de prestação de serviços de informação não especificadas anteriormente
Município: São Paulo
Pesq. associados:Hermes Senger
Assunto(s):Segurança da informação  Cibernética  Computação forense  Ataques a computadores  Serviços de inteligência 

Resumo

Identificar, tratar e prevenir ataques e incidentes de segurança em sistemas computacionais e informações tem se tornado cada vez mais importante e desafiador. O aumento exponencial da quantidade de informações digitais e dos serviços eletrônicos aumenta também as chances de invasão, danos e destruição de informações e serviços. Os ataques podem ser dos mais variados, incluindo fraude financeira, sabotagem, roubo de informações sensíveis, corrupção de dados, violações de privacidade, exposições públicas de informações sigilosas, acesso a sistemas, ataques de negação de serviço, roubo de identidade, vírus, sequestro de dados (ransomware, espionagem industrial ou até mesmo violações na segurança nacional. Os objetivos dessas ações são diversos, desde a simples curiosidade, até mesmo intenções criminosas para obter ganhos financeiros ou políticos. Com o armazenamento sistemático das informações, é possível recuperar informações importantes que ajudam a responder questões importantes como "Quem", "O que", "Como", "Onde" e "Por que". Mais que isso, é possível sistematizar a extração de conhecimento empregando técnicas de mineração de dados e aprendizagem de máquina, identificando padrões emergentes, correlações e fatos úteis que possam identificar, mitigar e prevenir incidentes de segurança. O objetivo deste projeto é investigar o uso de algoritmos de mineração de dados e aprendizado de máquina e sua aplicação no desenvolvimento de um serviço de inteligência em segurança computacional (ThIaaS - Threat Intelligence as a Service) que possa ajudar empresas e instituições clientes a identificar, mitigar prevenir ataques, incidentes de segurança e outras vulnerabilidades com muito mais rapidez e eficiência. A hipótese de pesquisa a ser investigada é se o resultado da colaboração entre a inteligência humana (do especialista em segurança), algoritmos de mineração de dados e plataformas de BigData podem efetivamente melhorar e agilizar o trabalho humano no tratamento de quantidades massivas de dados sobre incidentes de segurança. A empresa possui bases de dados que são alimentadas continuamente, algumas com dados estruturados, como é o caso dos registros de incidentes de segurança (RIS) nos quais a empresa atuou. A base de dados do SIEM possui dados não estruturados, incluindo logs de eventos gerados por diversas aplicações de segurança (firewalls, proxies, servidores de aplicação, sistemas de prevenção a intrusão-IPS e antivírus), que podem ser analisados para extrair informações que auxiliem na rápida identificação de respostas a incidentes. Durante a Fase 1 serão executadas as atividades de pesquisa que constituem a base de todo este projeto. Esta fase tem início com a coleta e preparação dos dados fornecidos pelos sistemas RIS e SIEM. Em seguida, vem a etapa de mineração dos dados. Esta etapa envolve exaustivos testes dos métodos de mineração de dados, a escolha dos algoritmos, a escolha das características a serem utilizadas, ajustes de parâmetros dos algoritmos, adaptações ou e até mesmo o desenvolvimento de novos algoritmos. Tudo isso feito em conjunto com os especialistas em cibersegurança. Os objetivos da pesquisa proposta são: (i) desenvolver métodos de extração de conhecimento (a partir dos dados) que possa ser disponibilizado aos analistas de segurança como ferramenta de treinamento e atualização contínua dos seus conhecimentos; (ii) investigar a aplicação dos métodos de mineração de dados na automatização dos processos que atualmente são feitos manualmente de forma repetitiva pelos especialistas (de forma lenta e sujeita a erros); (iii) investigar se o conhecimento descoberto a partir dos dados poderá ser formatado por especialistas em segurança, para então ser disseminado por meio de um serviço customizável e altamente escalável que ajude a melhorar a capacidade de proteção e segurança de um grande número de organizações; (iv) buscar novos conhecimentos e a prática de pesquisa na empresa. (AU)

Matéria(s) publicada(s) na Agência FAPESP sobre o auxílio:
Treinamento técnico em Computação com bolsa da FAPESP 
Mapa da distribuição dos acessos desta página
Para ver o sumário de acessos desta página, clique aqui.