Saltar a contenido

Investigación asociada

Dentro del proyecto del SOC educativo y de innovación, hemos abierto una línea de investigación centrada en la implementación de un tutor impulsado con inteligencia artificial (IA) dentro de la plataforma Security Onion. Este proyecto, denominado CyberMaster, está siendo llevado a cabo por dos alumnos del Curso de Especialización en Inteligencia Artificial y Big Data.

CyberMaster: tutor inteligente para SOC

Descripción del proyecto

El objetivo principal de CyberMaster es proporcionar a los alumnos un tutor virtual que los guíe en la resolución de casos dentro del SOC. Este tutor, impulsado por IA, interactuará con los alumnos cuando aparezca una nueva alerta de caso en el SOC, ayudándolos a través de preguntas y sugerencias a resolver el caso de manera correcta.

Funcionalidades de CyberMaster

  • Asistencia en tiempo real: Cuando se genere una nueva alerta en el SOC, el tutor virtual se activará para guiar al alumno en la resolución del caso. Utilizando técnicas de aprendizaje automático y procesamiento del lenguaje natural, el tutor hará preguntas relevantes y proporcionará sugerencias basadas en las mejores prácticas de ciberseguridad.

  • Protección de datos: Para garantizar la privacidad y la seguridad de los datos, se utilizará Presidio, una herramienta de Microsoft para la anonimización y la detección de información sensible. Presidio permitirá ocultar datos personales de los alumnos y las evidencias del caso, como direcciones IP, antes de que la información se envíe al modelo de lenguaje en la nube.

  • Automatización de casos de nivel 1: Además de servir como tutor, CyberMaster también podrá automatizar la resolución de casos de nivel 1 de manera transparente y verificable. Esto permitirá a los analistas de seguridad centrarse en incidentes más complejos, aumentando la eficiencia operativa del SOC.

Relación con el proyecto

CyberMaster se integra perfectamente en el marco del proyecto del SOC educativo, añadiendo un componente de IA avanzada que enriquece la experiencia de aprendizaje de los alumnos. Al proporcionar un tutor inteligente, se facilita el proceso de aprendizaje activo y se fomenta una comprensión más profunda de los conceptos de ciberseguridad a través de la práctica guiada.

La incorporación de CyberMaster en el SOC educativo cumple con varios de los objetivos específicos del proyecto:

  • Mejora de la inserción laboral: Al dotar a los alumnos de herramientas avanzadas y experiencias prácticas guiadas, se incrementan sus competencias y preparación para el mercado laboral en el sector de la ciberseguridad.
  • Innovación pedagógica: El uso de un tutor de IA representa una innovación pedagógica significativa, aplicando tecnologías emergentes a casos reales.
  • Valor a la comunidad: Al desarrollar y documentar este proyecto, se crea un recurso valioso que puede ser replicado en otros centros educativos o entidades, aportando valor a la comunidad educativa y profesional.

Conceptos clave

Security Onion

Security Onion es una plataforma de código abierto diseñada para la detección de intrusiones, la gestión de eventos de seguridad (SIEM) y el análisis de redes. Proporciona herramientas como Elastic, Logstash, Kibana, Suricata y Zeek, que son esenciales para la supervisión y respuesta a amenazas en tiempo real.

Inteligencia artificial (IA)

La IA es un campo de la informática que se centra en crear sistemas capaces de realizar tareas que normalmente requieren inteligencia humana. Esto incluye el aprendizaje automático, donde los sistemas aprenden y mejoran a partir de la experiencia, y el procesamiento del lenguaje natural, que permite a las máquinas entender y responder a las interacciones humanas en lenguaje natural.

Presidio

Presidio es una herramienta de Microsoft para la anonimización y la detección de información sensible. Utiliza técnicas avanzadas de procesamiento de texto para identificar y ocultar datos personales y sensibles, garantizando la privacidad y la seguridad en el manejo de datos.

Implementación técnica

La implementación de CyberMaster implica varias etapas:

  1. Integración de Security Onion: Configuración y despliegue de Security Onion en el servidor del SOC.
  2. Desarrollo del tutor de IA: Entrenamiento del modelo de IA utilizando datos simulados y escenarios reales para guiar a los alumnos en la resolución de casos.
  3. Anonimización de datos con Presidio: Implementación de Presidio para ocultar datos sensibles antes de la interacción con el modelo de IA en la nube.
  4. Automatización de casos de nivel 1: Desarrollo de scripts y algoritmos de flow engineering para la resolución automática de incidentes de nivel 1, con mecanismos de auditoría y verificación.