El proyecto DICYME, una colaboración entre la Universidad Rey Juan Carlos (URJC) y DeNexus, ha desarrollado una innovadora aplicación web diseñada para facilitar la evaluación de riesgos de ciberseguridad. Esta plataforma interactiva integra análisis avanzados de datos e inteligencia artificial en una interfaz visual intuitiva. Se estructura en tres módulos principales, guiando a los usuarios de manera fluida desde la exploración de los datos hasta la cuantificación del riesgo, permitiendo una comprensión completa de los riesgos y desafíos en ciberseguridad.
Módulo de Datos
El módulo Data permite examinar fuentes de datos propias del proyecto. Se divide en tres conjuntos clave:
-
Cyber Incidents, que recopila información de seis bases de datos de incidentes públicas: específicas de OT como TI Safe e ICS Strive, y bases de datos generales como KonBriefing, CISSM, Hackmageddon y EuRepoC.
-
Victim Profile, que describe a una víctima en términos de firmografía (país, industria, tamaño...), reputación en línea y exposición o propensión a ataques.
-
IDS, que presenta indicadores de agregación anonimizados generados a partir de una muestra de datos obtenidos de Nozomi Networks Guardian para un cliente DeNexus.
Módulo de Indicadores
El módulo Indicators utiliza diversas fuentes de datos para generar puntuaciones e indicadores propios:
-
Threat Actors, que ofrece un indicador para actores de amenazas basado en información de la Electronic Transactions Development Agency (ETDA), evaluando su capacidad, objetivos, actividad, etc. El usuario puede generar el indicador dinámicamente a partir de las entidades recogidas en el dataset de Victim Profile, comparando varias empresas diferentes, o a partir de los inputs necesarios para el indicador.
-
Attractiveness, una puntuación generada con aprendizaje automático (Machine Learning, ML) sobre el dataset de Victim Profile para determinar qué tan propensa es una empresa a sufrir un incidente de ciberseguridad. De nuevo, la aplicación permite ejecutar el modelo para las entidades del dataset o para una organización ficticia.
-
CVE2TTs, un modelo de ML que relaciona CVEs con técnicas de MITRE ATT&CK y, por consecuente, también a las tácticas.
Módulo Models CRQ
El módulo Models CRQ implementa modelos avanzados de simulación para cuantificar el ciberriesgo de una organización, utilizando los datos e indicadores previamente analizados. La unidad de análisis puede ser las empresas recogidas en el dataset de Victim Profile, o una ficticia definida a partir de los inputs necesarios para cada modelo.
Otras características y trabajo futuro
La estructura de la app sigue un flujo lógico: los usuarios comienzan explorando los datos, generan indicadores y finalmente aplican estos en Models CRQ para evaluar el riesgo de manera integral. Esta disposición permite un análisis claro y eficiente para profesionales de la ciberseguridad.
Asimismo, la app incorpora modelos LLM que explican de forma intuitiva los gráficos y datos visualizados en cada página, lo cual será abordado en un próximo post.
Las líneas de trabajo actual se centran en el módulo de CRQ, añadiendo simulaciones que emplean los datos e indicadores previamente definidos. Además, se está trabajando en la generación de informes personalizados para las empresas analizadas, con los datos, información y explicación personalizada por la inteligencia artificial.