Securing systems with Chaos Engineering and Artificial Intelligence

By Daniel Díaz-López

Elevator Pitch

Imagine que puede especificar una serie de historias de usuario y a partir de ellas usar IA para identificar estrategias de ataque, las cuales son validadas a través de experimentos de Ingeniería del Caos para Ciberseguridad (SCE). En esta charla te contamos como es posible hacerlo y sus beneficios

Description

En esta charla se mostrará la forma como la Ingeniería del Caos para Ciberseguridad (SCE, Security Chaos Engineering) y el Procesamiento de Lenguaje Natural (NLP, Natural Language Processing) pueden integrarse para construir un sistema de detección de vulnerabilidades en las aplicaciones.

Primero, se mostrará la forma como SCE aporta a la identificación de estrategias de ataque contra un sistema de información. Se mostrarán los fundamentos de esta novedosa técnica de ordenamiento de técnicas, tácticas y procedimientos (TTP) que viene siendo usada a nivel mundial por diferentes compañías en el mundo como Gremlin y Verica para ofrecer un servicio de ciberseguridad diferencial. Se aclarará que SCE no compite con las técnicas tradicionales de pentesting sino que las complementa, aportando una dinámica liderada por el mismo equipo de seguridad de las organizaciones. En esta charla también se mostrará cómo se implementa SCE a partir del método científico, árboles de ataque y el principio de observabilidad.

Segundo, se mostrará como el Procesamiento de Lenguaje Natural, que es una de las ramas de la Inteligencia Artificial, puede ser utilizado para identificar amenazas en las historias de usuario de una solución de software, con el objetivo de detectar de manera temprana vulnerabilidades en el desarrollo y proponer controles de seguridad.

Finalmente se presentará una propuesta de solución que permite a través de un modelo NLP reconocer las estrategias de ataque que se pueden aplicar a través de SCE. En conjunto, estos dos componentes serán capaces de ofrecer a un analista de ciberseguridad información accionable sobre las estrategias que un atacante podría usar para explotar una aplicación y lo orientará en la priorización de las medidas correctivas a implementar.

Esta charla contempla un total de 3 demos sobre: aplicación de la herramienta de SCE ChaosXploit en un escenario real usando árboles de ataque, identificación de amenazas en una historia de usuario utilizando un modelo de NLP, e integración de SCE y NLP como parte de un ejercicio de aseguramiento de un proyecto de software.

El código usado para estos demos también se hará disponible para la comunidad.

Notes

Los speakers de esta charla son talento colombiano, autores de varios de artículos de investigación sobre Security Chaos Engineering y Natural Lenguaje Processing, que se han presentado en diferentes conferencias de ciberseguridad y revistas científicas, por ejemplo:

  • Palacios Chavarro, S.; Nespoli, P.; Díaz-López, D.; Niño Roa, Y. On the Way to Automatic Exploitation of Vulnerabilities and Validation of Systems Security through Security Chaos Engineering. Big Data Cogn. Comput. 2023, 7, 1. Link to download
  • Zapata A., Díaz-López D.l, Pastor-Galindo J., Gómez Mármol F., FCTNLP: An architecture to fight cyberterrorism with natural language processing. VII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC), Bilbao, 2022. Link to download

De manera particular los speaker concibieron la herramienta open source de SCE llamada ChaosXploit que fue presentada en las VII Jornadas Nacionales de Investigación en Ciberseguridad (JNIC) en Bilbao, España en el 2022. Más información: Link to download - Pag 130

Los speakers de esta charla tienen el siguiente perfil:

  • Martin Bedoya es Lider del Area de Desarrollo Seguro en NTT Data, ingeniero de sistemas con experiencia en desarrollo de software, hacking ético y seguridad en el ciclo de vida del software. Es estudiante de la maestría en Matemáticas Aplicadas y Ciencias de la Computación de la Universidad del Rosario.
  • Sara Palacios es Ingeniera de Ciberseguridad en NTT Data, profesional en Matemáticas Aplicadas y Ciencias de la Computación. Apoya a equipos de desarrollo de diferentes organizaciones para mejorar sus prácticas de codificación segura a través de talleres. Colabora con la definición y creación de políticas, estándares y procedimientos de seguridad. Mente abierta y polivalente para trabajar en diferentes áreas de ciberseguridad como red team, blue team, gobernanza y arquitectura. LinkedIn Profile
  • Daniel Díaz es profesor de carrera de la Universidad del Rosario para el programa de pregrado y maestría en Matemáticas Aplicadas y Ciencias de la Computación. Doctor en Informática en el área de ciberseguridad, investigador con diferentes publicaciones en revistas y congresos sobre técnicas de inteligencia de ciberamenazas, mecanismos de preservación de la privacidad, ciclo de vida de desarrollo de software seguro, técnicas de hacking ético y seguridad para Internet de las Cosas (IoT). LinkedIn Profile