Resumen

A medida que las Amenazas Persistentes Avanzadas (APT) se hacen cada vez ms frecuentes en todo el mundo, los expertos en seguridad empiezan a estudiar cmo observar, predecir y mitigar los daos de los ataques APT. Mientras tanto, los dispositivos del Internet de las cosas tambin son arriesgados y estn muy expuestos a Internet, lo que hace que las organizaciones de hackers los utilicen ms fcilmente para lanzar ataques APT. Un atacante excelente puede derribar millones de dispositivos del Internet de las cosas en poco tiempo. Una vez construida la red de bots IoT, los atacantes pueden utilizarla para lanzar ataques complejos que podran daar la infraestructura de Internet y provocar la desconexin de la red. Este artculo propone GroupTracer, un marco para observar y predecir los ataques al Internet de las cosas. GroupTracer est diseado para extraer automticamente los perfiles TTP (es decir, tcticas, tcnicas y procedimientos) que pueden describir el comportamiento de los atacantes a travs de sus tcticas, tcnicas y procedimientos y desenterrar los posibles grupos de atacantes que estn detrs de ataques complejos. En primer lugar, captura los ataques mediante honeypots IoT y extrae los campos relevantes de los registros. A continuacin, los comportamientos de ataque se asignan automticamente al marco ATT&CK para lograr la extraccin automtica de perfiles TTP. A continuacin, GroupTracer presenta cuatro grupos de caractersticas, que incluyen perfiles TTP, caractersticas de tiempo, IP y URL, un total de 18 caractersticas, extrae posibles grupos de ataques mediante un algoritmo de agrupacin jerrquica y compara los resultados de la agrupacin con dos algoritmos de referencia. Dado que se desconocen las etiquetas reales, aplicamos tres ndices de validacin interna para evaluar la cantidad de grupos. Los resultados experimentales mostraron que el marco propuesto ha logrado un excelente rendimiento en la explotacin de grupos potenciales, ya que el ndice CalinskiHarabasz alcanza 3416,93. Finalmente, se generan rboles de ataque para cada cluster donde los nodos indican comandos de ataque y las aristas representan secuencias de comandos. Estos rboles de ataque podran ayudar a comprender mejor las acciones y tcnicas de cada grupo de ataque.

• Materias:Seguridad informática Comunicación inalámbrica Internet de las cosas Ataques de denegación distribuida de servicio
• Subjects:Computer security Wireless communication Internet of things Distributed denial of service attacks
• Palabras claves:Amenaza persistente avanzada; Internet de las cosas; Ataques; Grouptracer; Perfiles ttp; Framework
• Keywords:Advanced persistent threat; Internet of things; Attacks; Grouptracer; Ttp profiles; Framework