En este artículo se propone la aplicación de agentes inteligentes como un medio para facilitar la gestión de incidentes de seguridad informática. Los agentes inteligentes propuestos tendrían funciones específicas de búsqueda y selección de incidentes según especificaciones previamente establecidas por la organización. Se toman como base las investigaciones realizadas sobre la aplicación de algoritmos de inteligencia artificial colectiva.
Incidentes de seguridad
Los diferentes ataques que sufren los sistemas conectados a Internet son conocidos como incidentes de seguridad informática. Éstos amenazan el buen funcionamiento de cualquier organización y violan implícita o explícitamente las políticas de seguridad [1]. Al aceptar Internet como medio de interconexión global, gran cantidad de transacciones de negocios se realizan de esta forma, por lo que se requieren mecanismos de respuestas rápidas a incidentes de seguridad para evitar que la organización se exponga a pérdidas irreversibles. Se le denomina un incidente de seguridad informática a cualquier evento que sea considerado una amenaza para la seguridad de un sistema.
Existen diversos tipos de amenazas y seguirán apareciendo cada vez más. Entre las más conocidas tenemos:
- Instalación de software malicioso
- Acceso sin autorización al sistema o a sus datos
Interrupciones indeseadas- Denegación de servicios
- Uso desautorizado de las bases de datos
- Cambio en el hardware, firmware o software del sistema
Es posible clasificar los incidentes de seguridad en dos tipos [2]:
- Incidentes automáticos
- Incidentes manuales
Se denominan incidentes automáticos a los incidentes producidos por programas de cómputo tales como virus, gusanos y troyanos. Los incidentes manuales son aquellos incidentes en los que de manera intencional se ataca un sistema utilizando, por ejemplo, escaneo de vulnerabilidades, inyección SQL o ingeniería social, aunque bajo ciertas circunstancias, también se pueden realizar de forma automática.
Agentes inteligentes como gestores de incidentes de seguridad informática
Podemos definir a un agente inteligente como un programa de cómputo que actúa con autonomía en nombre de una persona o una entidad [3]. La característica de autonomía se le otorga debido a que actúan sin intervención humana o de otros sistemas externos.
Existen muchas clasificaciones de agentes, pueden catalogarse por autonomía (capacidad de actuar solos), reactividad (capacidad de ejecutar acciones en forma inmediata) y proactividad (metas u objetivos específicos a cumplir) entre otros [4].
Suponga un grupo de agentes inteligentes que colaboren con un CERT o Equipo de Respuesta a Incidentes de Seguridad Informática (Computer Emergency Response Team por sus siglas en inglés), ayudando a determinar qué tipo de incidente está ocurriendo en un sistema que esté bajo ataque, con base en los síntomas que éste presenta. Los agentes proporcionarían alertas, soluciones inmediatas y medidas en forma automática para controlar dicho incidente.
El grupo de agentes estaría formado por agentes buscadores de tipo autónomo y seleccionadores del tipo proactivos. Los agentes buscadores trabajan en forma independiente y con recorridos al azar en la red, localizando información sobre incidentes en la red mediante algoritmos de inteligencia artificial, y almacenándolos en una base de datos.
El comportamiento de estos agentes, es similar al de una colonia de hormigas que realizan búsquedas para llevar comida a sus hormigueros. La base de datos sería entonces la bodega de alimentos de los hormigueros, la información almacenada es definida por la organización, pero en forma general deberá registrarse por ejemplo el nombre y tipo de incidente, la fecha en que ocurrió y la plataforma informática o tecnológica en donde se presentó.
Los agentes seleccionadores por su parte, tienen la tarea de escoger aquellos incidentes que se adapten más a los criterios definidos por la organización, e informar mediante alertas la aparición de un incidente de seguridad para que se tomen las medidas respectivas.
La propuesta de utilizar los agentes inteligentes en los CERTS u otras organizaciones, facilitaría la gestión de incidentes de seguridad en tanto sus algoritmos, especificaciones de búsqueda y selección garanticen de forma razonable su eficacia y eficiencia.
La información que es almacenada estaría a disposición de otras organizaciones interesadas, ayudando así en la divulgación de incidentes y protección de información.
Si los incidentes de seguridad se realizan con tecnologías, entonces debemos aplicar tecnologías para su prevención y corrección.
Referencias
[1] ISO27001 Sistema de Gestión de Seguridad de la Información ISO - International Organization for Standardization
[2] NIST 800-61 Computer Security Incident Handling Guide: National Institute of Standards and Tecnology. U.S. Departament of Commerce
[3] Using Intelligent Agents”, Lecture Notes in Artificial Intelligence, Springer-Verlag, Vol. 4496, pp. 82-91
[4] Juan L. Dinos-Rojas. Arquitectura de un sistema basado en agentes para la recuperación de metadatos rdf con base en una ontología de documentos. Departamento de Ingeniería Eléctrica y Computadoras, 2004.
