Aplicaciones de Inteligencia Artificial en escenarios de ciberdelincuencia y ciberseguridad - Ósc...

00:13

[Música]

00:26

[Música]

00:29

pues Buenas tardes a todos Muchas

00:31

gracias por asistir gracias a los que

00:33

nos ven bienvenidos Un año más a estas

00:36

jornadas yo

00:38

soy Óscar Rodríguez cto de riven Loop

00:43

como como os han comentado H est un

00:45

puesto aquí Esto va a ser un poco

00:46

difícil para m me gusta mucho

00:48

andar y os voy a contar un poquito He

00:50

venido a hablar de Inteligencia

00:52

artificial todos los años queremos hacer

00:53

una ponencia un poco didáctica la cual

00:55

cogemos la bw del año no y hablamos un

00:58

poco eh De qué es lo que supone de cómo

01:02

cómo intercala con todo lo que está

01:03

ocurriendo en el panorama de la

01:04

ciberseguridad la ciberinteligencia y

01:06

este año vamos a hablar de Inteligencia

01:08

artificial Pero cómo no a ver al revés

01:11

Ahí está pero cómo no vamos a empezar

01:14

haciendo es resumen para que los que no

01:16

nos han oído nunca sepan Quiénes somos

01:17

bueno Nosotros somos Raven Loop Raven

01:19

Loop es una empresa eh fabricante de

01:22

soluciones de civil inteligencia Y

01:24

ciberseguridad potenciadas por

01:25

Inteligencia artificial y generadas

01:28

desde su concepto desde una perspectiva

01:30

de la defensa los fundadores venimos del

01:33

mundo de la defensa Y tenemos una óptica

01:35

muy particular que aplicamos a la hora

01:37

de desarrollar estas

01:39

soluciones trabajamos con el sector

01:41

público nos conoceréis alguno por ser eh

01:44

los desarrolladores de la plataforma de

01:46

la herramienta Ada del

01:48

ccnc o por dar los cursos de análisis de

01:52

malware y eh intentamos integrar todo lo

01:56

que hacemos dentro de esa estrategia de

01:58

defensa común

02:01

por hacer así un poco de de resumen de

02:03

cómo enfocamos Nosotros todo lo que

02:05

tiene que ver con ciberseguridad y

02:07

ciberinteligencia

02:08

nosotros entendemos que las soluciones

02:11

de seguridad tradicional se enfocan en

02:14

los vectores de ataque desplegando

02:16

medidas de protección y intentando

02:18

Evitar que las amenazas conocidas

02:20

lleguen a nuestros sistemas cuando

02:23

aplicamos ti inteligencia lo que hacemos

02:25

Es extraer esa información de esas

02:27

amenazas para generar inteligencia

02:30

eh alimentar un correlador y utilizar

02:34

sistemas de evaluación para generar

02:36

contramedidas en tiempo

02:38

real ahora lo que vamos a intentar

02:41

explicaros es cómo además podemos

02:43

utilizar Inteligencia artificial para

02:45

automatizar el proceso de aprendizaje de

02:47

toma de decisiones de correlación de

02:49

respuesta Lo que nos va a aportar

02:51

rapidez y

02:53

eficacia Así que tenía que quitarme un

02:56

poco Esto vale vamos a empezar eh

02:58

hablando por fin de la bw del 2023 que

03:01

es la Inteligencia artificial todos los

03:03

años me gusta poner un

03:05

ejemplo para que lo tengamos en la

03:07

cabeza no eh El ejemplo de este año es

03:09

un poco extraño el otro día caí como

03:13

todo el mundo no en la boragina el Black

03:15

Friday tenía que que comprar unas cosas

03:17

para la casa y me hacían falta

03:19

electrodomésticos fui a que me

03:21

recomendaran una lavadora y al final me

03:25

recomendaron una porque era buenísima

03:27

porque tenía Inteligencia

03:28

artificial

03:31

la lavadora entonces claro yo me quedo

03:34

pensando un rato Oye Qué ventaja me

03:37

aporta a mí que una lavadora tenga

03:39

Inteligencia artificial o cómo leches

03:41

aplica una lavadora a la Inteligencia

03:43

artificial no Bueno vamos yo yo llego no

03:45

ahí en el en el centro comercial me

03:48

pongo a hacer una pequeña investigación

03:50

y digo vamos a ver vamos a ver primero

03:51

vamos si tenemos Claro que es la

03:53

Inteligencia artificial bueno según IBM

03:55

que son una empresa de renombre en en

03:59

esto que se refiere a la investigación y

04:01

las medidas punteras de Inteligencia

04:02

artificial Ellos dicen que la

04:05

Inteligencia artificial es el uso de la

04:07

informática la computación y conjuntos

04:09

de datos para resolver problemas es

04:12

decir ellos hacen dicen que es una

04:15

forma una una una operación que nos

04:17

permite realizar predicciones o

04:19

clasificaciones basadas en los datos que

04:20

nosotros le vamos a meter vamos igual

04:23

Qué hace una persona no la alimentas con

04:26

una inteligencia con una información y

04:28

esta persona va a tomar una serie de

04:29

decisiones claro yo Esto me lo llevo a

04:31

lavadora y digo y Qué se supone que que

04:34

va a hacer la lavadora o sea va a

04:36

clasificar la ropa de los niños que meto

04:38

o o o si estoy mezclando colores o bueno

04:42

Total que resulta que la Inteligencia

04:44

artificial tiene dos Campos principales

04:47

que son el aprendizaje profundo el Deep

04:49

learning y el aprendizaje automático que

04:51

es el Machine learning siendo el Deep

04:53

learning una versión avanzada del

04:55

Machine learning vale la única

04:57

diferencia es que el Deep learning son

05:00

redes neuronales de al menos eh tres

05:04

capas hasta ahí nosotros

05:07

entendemos esos esos dos factores

05:10

principales y explicamos un poquito más

05:13

el aprendizaje profundo este Deep

05:14

learning no va a ser un poco más

05:16

automático va a facilitarnos el proceso

05:18

de extracción de características ese

05:20

tagado esa generación del del dataset

05:23

esa interpretación y el Machine learning

05:25

va a ser un poco eh menos preciso menos

05:28

específico menos fácil

05:30

pero también tiene sus sus

05:33

aplicaciones yo llegados a este punto

05:36

sigo con la misma duda no O sea Qué es

05:38

qué es lo que va de qué sirve aplicar

05:40

Inteligencia artificial a algo que

05:42

Aparentemente no la va a necesitar eso

05:44

una pegatina que voy a poner es algo que

05:46

yo le voy a decir a cualquier cosa Ahora

05:48

en 2024 para que para intentar rescar

05:50

unas ventas no a nosotros eso lo

05:53

teníamos muy claro y dijimos No si vamos

05:56

a aplicar Inteligencia artificial tiene

05:59

que de tener un sentido tiene que ser

06:01

porque Hemos llegado a un nivel de

06:02

madurez en el desarrollo de nuestras

06:04

soluciones que requiere un paso más y

06:06

que requiere más eficacia o que nos va a

06:09

permitir

06:09

eh llegar a a a a nuevos lugares no

06:13

Bueno pues nosotros empezamos a aplicar

06:15

eh Inteligencia artificial por ejemplo

06:18

en nuestra solución de análisis de

06:20

ficheros ravenside que es el motor de la

06:23

herramienta Ada hemos empezado a aplicar

06:25

técnicas de eh Inteligencia artificial

06:28

en este caso la que veis en la imagen de

06:30

Deep learning para utilizar estas redes

06:32

neuronales para el análisis de ficheros

06:35

multimedia por ejemplo aplicándolo a

06:37

vídeos extrayendo las imágenes

06:39

detectando objetos eh extrayendo audio

06:42

eh haciendo traducciones

06:45

simultáneas a veces obviamente no es

06:47

necesario ir al Deep learning podemos

06:49

quedarnos en el Machine learning por

06:51

ejemplo la detección de anomalías porque

06:53

la mayor parte de algoritmos de

06:55

detección de anomalías eh No son no no

06:58

tienen mucha justificación utilizar

07:00

redes neuronales o redes neuronales

07:02

convolucionales para para para este

07:05

menester entonces nos quedamos en ese

07:07

Machine learning más más básico y nos

07:09

permite por ejemplo detectar anomalías

07:10

en tráfico nosotros eh tenemos unas

07:14

ondas 5g que nos permiten detectar

07:16

anomalías de tráfico en cores

07:21

5g si combinamos ese trabajo combinamos

07:24

lo que hace nuestra parte de Deep

07:26

learning nuestra parte de Machine

07:28

learning podemos obtener

07:30

resultados y podemos hacer aplicaciones

07:32

increíbles Como por ejemplo detección de

07:35

armamento detección de características

07:37

personales que ha aplicado el cliente a

07:40

a sus datasets a sus vídeos extracción

07:43

de de audio en este caso por ejemplo en

07:46

urdu de un vídeo con traducción

07:47

simultánea con identificación de de

07:50

patrones y bueno Esto nos lleva a

07:54

también tener que poner los pies en la

07:56

tierra y decir los sistemas de

07:58

Inteligencia artificial son no

07:59

deterministas es decir son sistemas que

08:02

no te van a dar siempre el mismo

08:03

resultado y que para que te den los

08:05

resultados que esté en el umbral que a

08:07

ti te interesan tienes que trabajarlos y

08:10

tienes que trabajar con ellos por eso es

08:12

normal que a veces estos sistemas fallen

08:15

No pasa nada Tienes que tener un buen

08:16

pipeline de reentrenamiento de

08:18

reevaluación para que hagan exactamente

08:20

lo que tú quieres y eso requiere

08:22

muchísimo

08:23

trabajo Claro llegados a este punto sigo

08:27

yo preguntándome Y entonces

08:29

Qué se supone Qué se supone que han

08:31

integrado en en esa lavadora porque vale

08:36

tenemos Claro que que que para trabajar

08:39

con esto vamos a neitar unos conjuntos

08:40

de datos y aplicarles un algoritmo Pues

08:44

yo todavía no lo tengo muy claro pero sí

08:46

lo tengo muy claro en lo que hacemos

08:48

nosotros Nosotros hemos entendido que de

08:51

la misma forma que un humano va a

08:53

necesitar información para tomar una

08:55

decisión eh estos sistemas la

08:57

Inteligencia artificial también la va a

08:59

necesitar y para ello teníamos que crear

09:01

el sistema heterogéneo más grande

09:04

posible lo que hicimos fue todos

09:06

nuestros módulos y herramientas aunar la

09:09

información que recopilaba y crear un

09:11

dat Lake y este datalake se convierte en

09:14

esa pieza

09:16

fundamental este datalake lo que va a

09:18

hacer es guardar toda esa información

09:21

normalizada estandarizada y ponerla de

09:24

forma rápida y accesible al resto de

09:26

módulos y pipelines de nuestras

09:27

soluciones para que puedan aplicarse

09:29

esos

09:31

algoritmos lo que vamos a es si

09:33

por ejemplo nos llegan ficheros nos

09:35

llegan vídeos nos llegan correos hacemos

09:37

una auditoría de un sistema sacamos

09:39

tráfico una sonda 5g lo vamos a

09:41

normalizar es decir le vamos a poner en

09:44

un formato un albarán estándar que

09:46

nosotros podamos entender para su

09:48

recuperación lo vamos a procesar lo

09:51

vamos a normalizar lo vamos a convertir

09:54

en algo que podamos interpretar y lo

09:56

vamos a guardar en el datalake dónde van

09:59

a poder beber todos estos

10:03

algoritmos para nosotros llegados a este

10:06

punto y Ya dejamos de lado El ejemplo de

10:10

la de la lavadora lo que vamos a lo que

10:14

queremos transmitir es que esta

10:15

descripción de Inteligencia artificial

10:17

se nos queda un poco corta porque la

10:19

aplicación de algoritmos de Deep

10:20

learning y Machine learning hoy en día

10:23

no esan lejos no son difíciles de

10:26

aplicar para ninguna empresa Pero lo que

10:28

queremos entendernos nosotros por

10:29

Inteligencia artificial es la

10:31

Inteligencia artificial completa La

10:33

Inteligencia artificial Autónoma y para

10:34

eso necesitamos un mecanismo capaz de

10:37

tomar decisiones por nosotros y darnos

10:39

esa rapidez y eficacia de la que

10:41

hablábamos al principio Entonces tenemos

10:42

un ejemplo por aquí de pipeline de caso

10:44

de uso normal de un sistema de

10:47

ciberseguridad en la que un atacante

10:48

Envía un correo malicioso Se recibe por

10:50

un correo cliente una solución cm o una

10:53

solución eh de análisis de correo va a

10:55

saltar una alerta que va a ir a ese

10:57

colector de alertas con ese millón de

10:59

alertas que va a llegar al técnico de

11:01

soporte que va a ser el que vaya a tener

11:03

que pasar eso al ips ids y por lo tanto

11:06

eh levantar esa mitigación ese proceso

11:08

se lleva muchísimo tiempo y muchas veces

11:11

por el volumen de alerta no llegamos des

11:13

Ahí es donde nos ayuda una solución de

11:16

Inteligencia artificial completa o

11:17

Autónoma que sí que haga ese trabajo por

11:20

nosotros Nosotros cogemos desplegamos la

11:23

solución completa y hacemos un forense

11:26

de ese correo tenemos todos esos datos

11:28

lo llevamos al datalake cogemos la

11:30

conexión que se ha producido hacemos una

11:33

detección de anomalías tenemos una

11:35

auditoría completa de esos equipos para

11:37

poder ver si era una amenaza dirigida

11:39

cogemos el fichero lo analizamos hacemos

11:41

esa comprobación y correlación Y por

11:43

último con todos los datos extraídos más

11:45

los datos de origen de ese correo

11:47

podemos hacer una atribución una una

11:50

atribución de autoría de lo que de lo

11:52

que ha ocurrido todo esto va a estar

11:54

normalizado lo vamos a convertir en

11:55

observables lo vamos a llevar al

11:57

datalake y y Desde allí el técnico de

12:00

soporte no va a haber un millón de

12:01

alertas va a haber tres va a haber dos

12:04

va a haber cinco va a haber algo que

12:06

pueda solucionar en horas no en días

12:10

todo esto va a volver otra vez a esos

12:13

pipelines va a ir un sistema procesado

12:16

con esta Inteligencia artificial

12:17

Autónoma que va a ser la que va a tomar

12:19

la decisión integrada con los sistemas

12:21

de seguridad que ya tiene el cliente

12:23

para

12:25

generar contramedidas en tiempo real o

12:27

para activar reglas de nación

12:30

predefinidas este por ejemplo es el

12:32

pipeline de Ren wire la solución que

12:35

maneja estas sondas 5g y aquí lo que

12:37

veis es lo que comentaba recopilamos ese

12:39

tráfico recopilamos los logs se hace la

12:41

normalización se hace un parseo se pasa

12:44

por esa parte de Inteligencia artificial

12:46

y de procesado de ahí se lleva a un

12:49

motor de reglas y sacamos esos reportes

12:52

o sacamos esas eh alertas o

12:54

notificaciones vamos a poner un caso de

12:56

uso para hacerlo más sencillo en el que

12:59

intervienen todos los elementos de

13:01

nuestra

13:02

plataforma vamos a imaginar lo que

13:04

decíamos antes no nos lleva un correo

13:06

nosotros lo analizamos en riven Boss la

13:08

interfaz eh A lo mejor os suena a los

13:11

que habéis utilizado la herramienta Ada

13:12

por lo que decía riven site es el motor

13:14

de la herramienta Ada este va a ser con

13:17

un poco de suerte la nueva aspecto el

13:19

nuevo aspecto de la interfaz para ahora

13:21

2024 así que pues Primicia si no se ha

13:25

puesto Ya que creo que ya se ha puesto

13:26

en alguna presentación y eh os voy a

13:29

contar un poco más bueno la Sonda de

13:31

correo de riven Po vale ha detectado un

13:34

posible correo malicioso tenemos una una

13:37

sonda de correo que está unido a un

13:39

Gateway de correo y que es el que ha

13:40

hecho esta detección y ha aparecido como

13:43

malicioso Por qué pues como veis porque

13:45

tenía bueno porque se ha enviado desde

13:47

un servidor de no confianza porque ha

13:49

fallado el récord sbf la firma de kim y

13:53

porque tenía un fichero potencialmente

13:56

malicioso lo analizamos en ravenside y

14:00

vemos Que Efectivamente es malicioso y

14:02

enviamos es evidencias al datalake pero

14:05

ya tenemos una amenaza detectada ya

14:06

podíamos empezar aquí desde este punto a

14:10

aplicar contramedidas vamos a ese

14:12

fichero lo vamos a convertir en imágenes

14:14

lo vamos a procesar para poder utilizar

14:17

redes neuronales convolucionales para

14:19

hacer comparativas y encontrar elementos

14:21

dentro del binario en un dataset de

14:24

binarios que tenemos para ver si son si

14:27

es un malware hecho a trozos si podemos

14:29

dar alguna etiqueta de familia o similar

14:31

Es decir para poder identificar ese

14:34

malware el análisis si lo revisamos o lo

14:38

revisa nuestro

14:40

asistente de generativo lo que sería una

14:44

suerte de chat gpt vale nos va a decir

14:47

nos va a explicar que nos encontramos

14:49

ante un malware de tipo filtrador que

14:52

utiliza técnicas y herramientas en

14:54

bebidas y técnicas living of Lan para

14:57

extraer información inform ación es

14:59

decir ya tenemos una identificación de

15:01

lo que hace una identificación de su

15:03

comportamiento y por lo tanto lo podemos

15:05

clasificar como

15:06

amenaza todas estas evidencias se van a

15:09

enviar a este datalake que es un poco el

15:12

interfaz que tenéis aquí donde lo vamos

15:14

a clasificar todo imágenes vídeos eh

15:18

información personal identidades países

15:22

direcciones IP absolutamente todo va a

15:25

quedar clasificados donde se va a poder

15:27

consultar se van a hacer procesos de

15:29

correlación en segundo plano y vamos a

15:31

poder unir análisis de correo con

15:33

detecciones que se han producido en el

15:35

perímetro con auditorías que hemos

15:37

realizado a nuestros

15:39

dispositivos como es un ex filtrador por

15:41

lo tanto hemos hecho una correlación y

15:43

hemos detectado que hay una conexión a

15:44

su centro de control que es lo que ha

15:47

aparecido dentro de nuestro sistema de

15:48

correlación y búsqueda de

15:50

anomalías vamos a contrastar esto con

15:53

fits de

15:54

inteligencia ya sean los que proveemos

15:56

nosotros ya sean los que puede proveer

15:59

el

15:59

cliente para comprobar si existen

16:01

indicios previos de maliciosa Es decir

16:03

para ver si podemos identificar todavía

16:06

más ese foco de amenaza y ponerle nombre

16:09

Bueno pues efectivamente aparece esta

16:12

dirección IP en uno de esos feits Se va

16:14

taguear se va a correl con la

16:17

información que ya tenemos Y por último

16:19

Y esta es la parte interesante una vez

16:21

que ya hemos aplicado todos esos

16:23

procesos esos procesos de eh seguridad

16:26

de inteligencia de Inteligencia

16:27

artificial es donde vamos a encontrar

16:31

que es una amenaza tenemos ya un montón

16:33

de pasos en los que hemos determinado

16:35

que es una amenaza esto ya es ind

16:36

discutible y por lo tanto vamos a

16:39

y como tenemos integrados los sistemas

16:41

de seguridad perimetrales vamos

16:43

automáticamente a generar Esa

16:45

contramedida esa regla que nos permite

16:47

cortarla de golpe esto es un sistema que

16:51

necesita que se establezca una normal

16:54

que necesita ir regulando unos

16:56

hiperparámetros para que no para no

16:58

ponerlo el día uno y cortar todas las

17:00

comunicaciones obviamente pero que en

17:02

muy poco tiempo va a quitar muchísimo

17:04

trabajo

17:06

al muchísima carga de trabajo al

17:09

personal de ese centro de respuesta y

17:11

nos va a

17:12

permitir utilizar de verdad un sistema

17:15

de seguridad autónomo que nos protege al

17:17

menos de esa mayor parte de amenazas que

17:20

sufre nuestra organización por lo tanto

17:23

lo que tenemos aquí es una tabla

17:25

comparativa entre el sistema de

17:27

seguridad el basado en aprendizaje

17:29

automático y lo que Nosotros llamamos el

17:31

sistema de Inteligencia artificial

17:33

completa y lo más interesante que podéis

17:35

ver es eso es la reducción de los

17:37

tiempos de respuesta que es al final de

17:40

lo que se queja todo el mundo en los en

17:42

los centros de respuesta an incidentes y

17:45

vamos a empezar por fin a utilizar todos

17:48

estos mecanismos generativos que

17:50

actualmente pues se están utilizando en

17:52

otros Campos para generar contramedidas

17:55

que podemos quedarnos que podemos

17:57

incorporar a nuestro pipeline de

17:59

seguridad y que van a ser de nuestra

18:01

propiedad o sea de la propiedad del

18:04

cliente os pongo el ejemplo de ravenside

18:07

ravenside era nuestra plataforma de

18:09

referencia de análisis de software y

18:11

motor de Ada y ahora pasa a ser nuestra

18:14

plataforma principal en la que se van a

18:16

incorporar todos los módulos módulo

18:18

análisis de identidades el módulo de

18:20

auditoría pen testing y brid Attack

18:22

simulation el módulo análisis de correo

18:25

el módulo de análisis de tráfico logs y

18:26

tráfico 5g y eh Y el módulo de eh ML

18:32

idl y para que os hagáis una idea un

18:35

poco de lo que hacen nuestras soluciones

18:37

os La explico un poco esta plataforma

18:39

este motor principal provee de un

18:41

sistema de análisis forense de malware

18:43

de extracción de indicadores de

18:45

generación de inteligencia esto es común

18:47

a todas nuestras plataformas todas

18:49

nuestras plataformas estan indicadores

18:51

genera inteligencia popul el dataset y

18:54

se integran con todos los sistemas de

18:56

seguridad de threed intelligent eh con

18:59

los cem con Los sistemas sofware que

19:01

tenga el

19:02

cliente lo que vamos a intentar

19:04

conseguir es generar una serie exp

19:06

portables generar una baseline común

19:08

generar unos sistemas que sean muy

19:10

fáciles de interpretar muy fáciles de

19:12

seguir muy fáciles eh que nos permitan

19:15

justificar las decisiones de seguridad

19:17

que estamos tomando Y que ahora se

19:20

incorpora todo esta eh todo este

19:22

pipeline de análisis automático con

19:24

Inteligencia artificial que nos permite

19:26

añadirlo a lo que ya teníamos análisis

19:28

en Dark web de eh análisis profundo de

19:32

análisis de tráfico de análisis de

19:35

sitios etcétera Y esto es un poco lo que

19:38

Veníamos a contar yo me quedo con mi

19:40

duda de la lavadora pero es lo

19:46

[Aplausos]

19:57

que

20:15

bu