Threat intelligence: using osint and security metrics to enhance siem capabilities

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2017Nos últimos anos, face ao aumento em quantidade e em complexidade de ataques informáticos contra diversas organizações, tem-se verificado um crescimento elevado no investimento em plataformas de segurança informática nas infra-estruturas das organizações. As equipas com a responsabilidade de garantir a cibersegurança necessitam de monitorizar um vasto número de dispositivos, utilizadores, aplicações e, consequentemente, eventos de cibersegurança relacionados com esses elementos. A plataforma mais utilizada para monitorizar os eventos de segurança informática é o sistema de Gestão e Correlação de Eventos de Segurança (SIEM, do inglês Security Information and Event Management). Este sistema agrega toda a informação de segurança proveniente de diversas fontes, normaliza-a, enriquece-a e envia-a para uma consola centralizada de gestão. A eficiência e a eficácia das equipas de resposta a incidentes de segurança dependem em grande medida da capacidade de o sistema produzir uma alarmística detalhada e contextualizada sobre possíveis ameaças. Para melhorar essa capacidade é necessário conjugar indicadores externos relevantes com a informação recolhida na infra-estrutura da organização. Threat Intelligence (TI) é o conhecimento adquirido da conjugação das técnicas de recolha de informação sobre ameaças externas à organização e das técnicas de recolha de informação sobre factores de segurança internos das organizações. É necessário estar atento às fontes públicas de informação de cibersegurança e avaliar a sua qualidade para obter indicadores fidedignos sobre actividades maliciosas. A organização necessita de avaliar o seu nível de cibersegurança para identificar as vulnerabilidades existentes, antes que estas possam ser exploradas por agentes mal intencionados. Somente com o recurso a fontes de informação, internas e externas, é possível ter uma abordagem TI abrangente e aplicar as medidas de cibersegurança adequadas para evitar os ciberataques aos quais a organização possa estar vulnerável. Para uma organização estabelecer correctamente o seu nível de cibersegurança, é necessário realizar uma gestão de risco adequada. A gestão de risco é caracterizada por três etapas, todas interligadas e contínuas: análise do risco, avaliação do risco e controlo do risco. No fim do processo, a organização terá um conhecimento credível sobre o seu risco informático, tendo um bom suporte para as tomadas de decisão no que respeita a reestruturações e investimentos em segurança informática. As métricas de segurança são a ferramenta mais indicada para o processo de gestão de risco. Estas ajudam a determinar o estado de cibersegurança no qual a organização se encontra, o desempenho da equipa do Centro de Operações de Segurança (SOC, do inglês Security Operation Center), e o nível de segurança das infra-estruturas da organização. As entidades governamentais e militares foram as primeiras a utilizar as métricas de segurança. No entanto, recentemente, investigadores de diversos tipos de organizações (públicas, privadas e público-privadas), têm investido recursos para melhorar e implementar estas métricas nas suas organizações. Toda esta atenção dada às métricas de segurança deve-se ao resultado evidente da sua implementação:é possível medir o risco, classificá-lo e, finalmente, tomar as contramedidas adequadas para reduzir o impacto de possíveis ciberataques, aumentando a cibersegurança na organização. Contudo é necessário estabelecer os objectivos e o propósito das métricas de segurança. Muitas equipas de cibersegurança cometem o erro de criar métricas que são complexas, fora do contexto, e expressam resultados com valores irrealistas. O resultado desta má gestão das métricas de segurança é oposto do pretendido, providenciando má informação e, consequentemente, diminuindo a cibersegurançaa de uma organização. A visualização dos resultados das métricas é o último passo da criação de métricas e tem como finalidade fornecer informação de uma forma ilustrativa, com recurso a formatos de fácil leitura e compreensão. As visualizações ajudam a equipa responsável pela cibersegurança de uma organização a visualizar de imediato informações relativas ao nível de cibersegurança dos sistemas e o risco de cada activo. As visualizações permitem à equipa avaliar e responder, de uma forma quantitativa e qualitativa, às perguntas colocadas pela direcção executiva, tais como: qual o nível de segurança, qual o valor de risco na organização, qual o retorno financeiro dos investimentos feitos para melhorar a segurança informática na organização ou mesmo para justificar a permanência, redução ou aumento de equipamentos e equipas de ciberseguranc¸a. Para além do mecanismo de descoberta de informação interna, o Open Source Intelligence (OSINT) é considerado o mecanismo para a captura de informação externa a partir de fontes online. Com um conjunto de técnicas é possível capturar a informação relevante para o conhecimento sobre ciberameaças. Existem comunidades de cibersegurança cujo objectivo é publicar listas com informações sobre novos ciberataques, que normalmente contêm informações sobre anfitriões suspeitos ou conteúdos maliciosos. Estas listas, as listas negras, podem ser públicas, quando qualquer pessoa pode aceder à sua informação, ou privadas, restringindo o uso das listas a um determinado grupo ou comunidade. Apesar de as listas oferecerem uma informação valiosa sobre ciberameaças actuais, estas sem qualquer tipo de pré-processamento, podem gerar um número significativo de falsos positivos, devido à ausência de contextualização e alinhamento com a realidade da organização. Este trabalho é dividido por dois tópicos: métricas de segurança e listas negras confiáveis. Para cada tópico são descritas soluções para melhorar o estado de segurança numa organização, ao integrar o processo TI em tempo-real no SIEM. Esta integração pode ser materializada na utilização de métricas de segurança para análise do estado de segurança na organização e fontes de segurança com informação sobre endereços IP suspeitos de actividades maliciosas com consideração das operações da equipa do SOC sobre incidentes de segurança, com o recurso a métricas. A utilização directa das listas negras, sem qualquer tipo de pré-processamento, resulta num elevado número de falsos positivos, pela ausência de contextualização e alinhamento com a realidade da organização. O trabalho está inserido no projecto DiSIEM e resulta da colaboraçãao de dois dos parceiros do projecto, Faculdade de Ciências da Universidade de Lisboa e EDP – Energias De Portugal, SA. Os objectivos alinham-se com as metas do projecto DISIEM: 1) fornecer informações OSINT para um sistema SIEM, melhorando a sua detecção e prevenção de novas ameac¸as; 2) identificar e desenvolver um conjunto de métricas dedicadas à equipa de cibersegurança para uma melhor gestão e monitorização dos eventos de segurança para aumentar o estado de segurança na organização, consequentemente, reduzindo o risco de actividades maliciosas na organização. A dissertação apresenta e discute um conjunto de métricas com uma estrutura bem definida para serem aplicadas no sistema SIEM. Estas métricas cobrem os sectores de gestão, processos e tecnologia, e estão apropriadas para a realidade da equipa de cibersegurança. É introduzido protótipos para visualização dos resultados das métricas, incluindo dados históricos, possibilitando assim uma avaliação comparativa de eficiência. O trabalho propõe uma solução OSINT para aperfeiçoar a alarmística do sistema SIEM, reduzindo a taxa de falsos positivos, com base na avaliação do nível de confiança em fontes de informação públicas, e dessa forma contribuir para a eficiência das equipas de cibersegurança nas organizações que usam o sistema SIEM. Esta solução usa listas negras que identificam endereços de Protocolo de Internet (IP do inglês Internet Protocol) suspeitos de actividade maliciosa. A informação pode ser sobre sua maliciosidade, o número de denúncias (efectuadas por comunidades ou outras listas negras), número de ataques aos quais o endereço IP esteve associado, a última vez que foi denunciado, entre outros. As listas negras são úteis para serem utilizadas no sistema SIEM, para a monitorização de comunicações entre a organização e um IP suspeito. Assim, quando houver um alarme de uma comunicação suspeita, a equipa do SOC pode actuar de forma imediata e analisar os eventos para identificar a máquina, pedir uma análise local e eliminar a ameaça, caso seja detectada. A solução recolhe informação sobre endereços IP de um conjunto de listas públicas. Os endereços IP e as listas são avaliadas quanto à sua veracidade, com base na correlação da informação recolhida a partir das listas e com base em métricas sobre o resultado dos incidentes associados a comunicações suspeitas entre a organização e endereços IP das listas. Esta avaliação é realizada de forma constante, sempre que exista uma alteração nas listas públicas ou nos incidentes, para que os seus valores sejam os mais actualizados e precisos. Foi desenvolvida uma aplicação para administrar as listas negras utilizadas, os endereços IP, os casos da organização e endereços públicos da organização. São apresentadas regras do SIEM que seleccionam os endereços IP recolhidos das listas negras com base na reputação dada pela avaliação da sua veracidade, para a monitorização de comunicações entre a organização e os endereços IP suspeitos. Os resultados mostram que há um aumento de detecção de casos positivos com a utilização da solução proposta. Este aumento deve-se ao uso de informação interna dos incidentes, tratados pela equipa do SOC, como parâmetros de avaliação da confiabilidade das listas negras e dos endereços IP. Dois componentes que se destacam como parâmetros de avaliação da confiabilidade é o componente da precisão e o componente da persistência. O componente da precisão tem em conta os resultados da organização e aumenta a confiabilidade de um endereço IP ou de uma lista caso o número de resultados positivos dos casos de incidentes relacionados com o IP seja superior ou número de resultados falsos positivos. A persistência tem em conta a precisão e a denúncia de um endereço IP por parte das listas, para o guardar na nossa lista durante três meses. A avaliação da lista negra e do seu conteúdo considerando o ambiente da organização é uma solução que não foi apresentada por nenhum outro trabalho, e o mais semelhante é o uso de métricas ou recolha de informação com o uso do conceito OSINT, sem avaliação do conteúdo com base na informação da organização. Sendo um trabalho inovador, este ainda se encontra na sua fase primordial. Os resultados do nosso estudo servirão como base para melhorias e comparação de resultados de estudos posteriores para melhoria na avaliação da confiabilidade das listas públicas e da maliciosidade do seu conteúdo.Threat Intelligence (TI) is a cyber defence process that combines the use of internal and external information discovery mechanisms. The Security Information and Event Management (SIEM) system is the tool typically used to aggregate data from multiple sources, normalize, enrich and send it to a centralized management console, later used by the security operation team (SOC). However, it is necessary to use Security Metrics (SM) to summarize, calculate and provide valuable information to the SOC team from the large datasets collected in the SIEM. Although the SM provide valuable information, its erroneous creation or use could lead to the opposite goal and decreasing the security level, by generating false positives. Regarding the external information discovery, the information from blacklists is commonly used to monitor and/or to block external cyberthreats. The blacklists provide intelligence about suspicious Internet Protocol (IP) addresses, reported by communities and security organizations. Although the use of blacklists is commonly used to detect suspicious communications, it generates a high rate of false positives. We introduce a set of security metrics, well-structured and properly defined to be used with a SIEM system. We develop a solution with Open-Source Intelligence (OSINT) mechanism to discover and collect suspicious IP from public blacklists, a process to assess the reputation of the suspicious IP addresses and blacklists, considering the persistence of the IP and the organization’s incidents of communications with suspicious IP addresses. The IP are inserted in the SIEM with rules to monitor and aiming at reducing the number of false positives. The preliminary study in a real environment shows that the proposed solution improves the security effectiveness of the SIEM’s alerts due the innovations idea of assessing the IP and blacklists by using the persistence and precision components, and considering the organization’s incidents status

2H-Azirines as electrophiles

2H-Azirines have shown an unusual potential to synthesise aziridines and other types of compounds. Many functionalized aziridines can be produced by addition of O-, S-,N-, C-nucleophiles and hydride to 2H-azirines. This review is designed to give an overview of the reactivity of 2H-azirines as electrophiles along the years and their usefulness in the synthesisof important families of compounds

Conceptual metaphor and literariness: the concept of “Hour” in Fernando Pessoa

A análise que apresentamos insere-se no domínio da Linguística Cognitiva e resulta da aplicação dos instrumentos de análise da metáfora poética, propostos por Lakoff e Turner (1989) no âmbito da Teoria da Metáfora Concetual, postulada por Lakoff e Johnson (1980 e 1999) e por Lakoff e Feldman (2006), à metaforização de “hora”, nos poemas ortónimos de Fernando Pessoa (1888-1935), escritos entre 1910 e 1935. Neste texto, apenas iremos utilizar um pequeno corpus do total, constituído por seis excertos de poemas ortónimos nos quais o item lexical “hora” designa metonimicamente a categoria superordenada Tempo, através da metonímia concetual HORA POR TEMPO As metáforas de “hora” são complexas, o que significa que resultam da combinação hierarquizada de metáforas convencionais de nível específico e genérico que constituem o background sociocultural que constrange a criatividade do poeta e do qual emerge a metaforização de “hora”, realizada com base nos quatro mecanismos concetuais em que assenta a construção da metáfora poética: extensão, elaboração, questionamento e combinação.The analysis hereby presented is inserted in the dominium of Cognitive Linguistics and aims at applying the instruments of poetic metaphor analysis, as proposed by Lakoff and Turner (1989) within the ambit of The Conceptual Metaphor Theory, postulated by Lakoff and Johnson (1980 and 1989) and by Lakoff and Feldman (2006), to the metaphor of “hour”, in the orthonymous poems of Fernando Pessoa (1888-1935), written between 1910 and 1935. In order to achieve such purpose, we started from a corpus constituted by six excerpts of poems in which the lexical item “hour” designates metonymically the superordinate category TIME, trough the conceptual metonymy HOUR FOR TIME. The metaphors of “hour” are complex, which means that they are the result of the hierarchical combination of conventional metaphors of a specific and general level which constitute the social background that restrains the poet’s creativity and out of which the process of creating the metaphor of “hour” emerges, based on the four conceptual mechanisms in which the construction of the poetic metaphor lies: extension, elaboration, questioning and combination.Fundação para a Ciência e Tecnologia (FCT

A hardware tool for explained power electronics control of induction motors

This paper presents a digital controller suitable for an instructional laboratory in electric drives. A prototype has been designed specifically to meet the requirements of low cost and motivating education tool, and it contains all of the active functions required to implement the open loop control of induction motors. This approach develops the concept of “grey box” module where the details are built for convenience, but not hidden inside as a “black box”. Introductory laboratory experiments are presented to demonstrate how this hardware can be integrated in laboratory classes to present the most important concepts as regards adjustable speed drives

A low cost induction motor controller for light electric vehicles in local areas

This paper is concerned with design considerations and tradeoffs involved in the power electronics development for light electric vehicles. A review of propulsion system design, power conversion structure and control is presented. A three-phase squirrel-cage induction motor is used as propulsion system for an electric scooter. The motor is controlled at different operating conditions by means of a simple scalar control using a low cost controller board developed for light electric vehicles used in local areas. Experimental results show that the proposed digital controller is able to follow the reference speed with a suitable dynamics for the electric scooter

A generic converter for experimentation based power electronics learning

This paper presents a low cost, modular, configurable and fully protected education tool based on a generic electronic converter to be used by students, providing them with skills regarding power electronics and converters, and enabling them to learn from experience the most important issues concerning DC and AC electric drives

Segurança psicológica e riscos psicossociais dos enfermeiros perioperatórios

ENQUADRAMENTO: A criação de locais de trabalho saudáveis é um desafio, com potencial impacto na saúde física e mental dos colaboradores, como na segurança do cliente perioperatório. Neste contexto a Segurança Psicológica é um elemento vital em organizações dinâmicas e colaborativas e, em equipas de alto desempenho. O comportamento de silêncio ou dar voz aos profissionais de saúde impacta o sucesso das organizações. Por outro lado, os fatores de riscos psicossociais (FRPs) afirmam-se igualmente como uma variável chave na qualidade e dinâmica organizacional, sendo crítica a sua avaliação. OBJECTIVO: Avaliar a Segurança Psicológica e os FRPs dos enfermeiros perioperatórios e a sua relação com a segurança do cliente. METODOLOGIA: Estudo quantitativo, descritivo-correlacional, corte transversal. A Segurança Psicológica é avaliada com o questionário Team Psychological Safety (Edmondson, 1999); os riscos psicossociais são avaliados pela versão média do Copenhagen Psychological Questionnaire III (Cotrim et al., 2022) e a avaliação da Segurança do Cliente pelo Hospital Survey on Patient Safety Culture (Eiras et al., 2014). RESULTADOS: Participaram neste estudo 192 enfermeiros perioperatórios os quais percecionam níveis moderados de Segurança Psicológica (M= 4.12, DP= 0.65); 41.70% dos enfermeiros perioperatórios referem a perceção que se cometerem um erro, este poder ser utilizado contra eles e, 43.70% a referir que por vezes, as pessoas da sua equipa são rejeitadas por serem diferentes; os resultados sugerem níveis intermédios e de risco na maioria das dimensões dos FRPs do COPSOQIII. Destacam-se as exigências cognitivas, emocionais e o burnout, nos quais mais de 50% dos participantes reportam valores de exposição de risco para a saúde. A Segurança Psicológica correlaciona-se positivamente com todos os FRPs incluídos nas dimensões de: Organização de trabalho e conteúdo; Relações sociais e liderança; Interação trabalho indivíduo, Capital social e Personalidade (autoeficácia). A segurança do cliente correlaciona-se com todas dimensões de FRPs e apresenta uma correlação positiva com a Segurança Psicológica (r= -.376, ρ≤ 0.01). CONCLUSÃO: A Segurança Psicológica e a sua relação positiva com a segurança do cliente sugerem para a importância da sua promoção no perioperatório. Por outro lado, o investimento em locais de trabalho saudáveis é premente, pois a sua promoção tem benefícios para os colaboradores e instituição, como para a segurança do cliente.N/

Hidrogeomorfologia e sustentabilidade de recursos hídricos subterrâneos

Doutoramento em GeociênciasA água subterrânea de rochas duras é uma fonte importante para fins domésticos, industriais e agrícolas e mesmo para o consumo humano. A geologia, a tectónica, a geomorfologia e as características hidrológicas controlam o fluxo, ocorrência e armazenamento das águas subterrâneas. A disponibilidade da água subterrânea no meio geológico está totalmente dependente das áreas de recarga e de descarga numa determinada bacia. A precipitação é a principal fonte de recarga em aquíferos descontínuos, enquanto que a descarga depende dos declives do terreno e dos gradientes do nível hidrostático e ainda das condições hidrogeológicas do solo. A hidrogeomorfologia é um domínio interdisciplinar emergente, que estuda as relações entre as unidades geomorfológicas e o regime das águas superficiais e subterrâneas de uma determinada área. A compreensão do papel da geomorfologia é essencial para avaliar de forma rigorosa os sistemas hidrogeológicos e os recursos hídricos. Os dados de detecção remota providenciam uma informação espacial valiosa e actualizada da superfície terrestre e dos recursos naturais. Os recentes avanços tecnológicos colocaram as técnicas de detecção remota e os sistemas de informação geográfica (SIG) numa posição cimeira como ferramentas de gestão metodológica. Foi criada, em ambiente SIG, uma base de geo-dados, essencialmente derivada da detecção remota, da cartografia e do trabalho de campo. Esta base de dados, organizada em diferentes níveis de informação, inclui uma avaliação principalmente focalizada no uso do solo, climatologia, declives, geologia, geomorfologia e hidrogeologia. No presente estudo foram cruzados diversos níveis de informação, com a geração de múltiplos mapas temáticos para atingir um quadro integrado dos diversos sectores no Norte e Centro de Portugal. Os sectores em estudo (Caldas da Cavaca, Termas de Entre-os-Rios, Águas de Arouca e Águas do Alardo) estão localizados em sistemas hidrogeológicos predominantemente constituídos por rochas graníticas, por vezes intersectadas por filões de quartzo, aplito-pegmatíticos e doleríticos. Para apoiar a elaboração dos mapas hidrogeomorfológicos foi criada uma base SIG, contendo diversa informação, nomeadamente topografia, hidrografia, litologia, tectónica, morfoestrutura, hidrogeologia, geofísica e uso do solo. Além disso, foram realizadas várias campanhas de campo, as quais permitiram: o estabelecimento dum mapeamento geológico, geomorfológico e hidrogeológico; a caracterização in situ do grau de alteração, resistência e grau de fracturação dos maciços rochosos; o desenvolvimento de um inventário hidrogeológico em conjunto com alguns ensaios expeditos in situ. A interligação entre os parâmetros geomorfológicos, hidrológicos e hidrogeológicos dos sistemas de água subterrânea “normal” e hidromineral destaca a importância de uma cartografia e duma modelação conceptual hidrogeomorfológica. Além disso, contribuirá para um melhor apoio à decisão na gestão sustentável dos recursos hídricos.Groundwater of hard rocks is an important source for domestic, industrial and agricultural purposes and even for public supply. Geology, tectonics, geomorphology and hydrological properties control groundwater movement, occurrence and storage. Availability of groundwater that takes place in a geological medium is totally dependent on recharge and discharge areas in a given groundwater catchment. Rainfall is the main source of recharge to existing discontinuous aquifers, while discharge depends on terrain slopes and water table gradients and also on ground hydrogeologic conditions. Hidrogeomorphology is an emergent interdisciplinary field, which studies the relationships between geomorphology and surface water and groundwater in a given area. Understanding the role of geomorphology is essential to accurately assess hydrogeological systems and groundwater resources. Remotely sensed data provides valuable and up-to-date spatial information on physical terrain and natural resources. Recent technological advances have brought remote sensing and geographic information system (GIS) techniques to the forefront as tools for recommending management methods. In a GIS environment, a geodatabase was created, chiefly derived from remote sensing, mapping and fieldwork. This geo-database, organised in different layers, includes an evaluation mainly focused on present land use, climatology, slope, geology, geomorphology and hydrogeology. In the present study, different layers were overlaid, generating several thematic maps to arrive at an integrated framework of the several key-sectors in North and Central Portugal. The study areas (namely, Caldas da Cavaca, Termas de Entre-os-Rios, Águas de Arouca and Águas do Alardo) are located in hydrogeological systems predominantly constituted by hard granitic rocks, sometimes interrupted by quartz veins, pegmatitic-aplite veins and doleritic dykes. To support the creation of hydrogeomorphologic maps, a GIS base was created, containing several information like topography, hydrography, lithology, tectonics, morphostructure, hydrogeology, geophysics and land cover. Also, a number of field campaigns were performed, which permitted: the establishment of geological, geomorphological and hydrogeological mapping; the in situ characterization of weathering and strenght grades and fracturing degree of the rock masses; the development of a hydrogeological inventory along with some in situ field tests. The connection between geomorphologic, hydrologic and hydrogeological parameters of groundwater and hydromineral systems highlights the importance for the hydrogeomorphological conceptual modelling and mapping. In addition, this will contribute to a better decision-making of water resources management and sustainability