Otros productos de investigación

URI permanente para esta colección

https://repository.urosario.edu.co/handle/10336/45216

Examinar

Examinando Otros productos de investigación por Autor "Palacios Chavarro, Sara"

Mostrando1 - 1 de 1
  • Miniatura
    Ítem
    Acceso Abierto
    Securing systems with Chaos Engineering and Artificial Intelligence
    (2023-04-22) Díaz López, Daniel Orlando; Bedoya, Martín; Palacios Chavarro, Sara
    En esta presentación se muestra la forma como la Ingeniería del Caos para Ciberseguridad (SCE, Security Chaos Engineering) y el Procesamiento de Lenguaje Natural (NLP, Natural Language Processing) pueden integrarse para construir un sistema de detección de vulnerabilidades en las aplicaciones. Primero, se muestra la forma como SCE aporta a la identificación de estrategias de ataque contra un sistema de información. Se muestran los fundamentos de esta novedosa técnica de ordenamiento de técnicas, tácticas y procedimientos (TTP) que viene siendo usada a nivel mundial por diferentes compañías en el mundo como Gremlin y Verica para ofrecer un servicio de ciberseguridad diferencial. Se aclarará que SCE no compite con las técnicas tradicionales de pentesting sino que las complementa, aportando una dinámica liderada por el mismo equipo de seguridad de las organizaciones. En esta presentación también se muestra cómo se implementa SCE a partir del método científico, árboles de ataque y el principio de observabilidad. Segundo, se muestra como el Procesamiento de Lenguaje Natural, que es una de las ramas de la Inteligencia Artificial, puede ser utilizado para identificar amenazas en las historias de usuario de una solución de software, con el objetivo de detectar de manera temprana vulnerabilidades en el desarrollo y proponer controles de seguridad. Finalmente se presentará una propuesta de solución que permite a través de un modelo NLP reconocer las estrategias de ataque que se pueden aplicar a través de SCE. En conjunto, estos dos componentes serán capaces de ofrecer a un analista de ciberseguridad información accionable sobre las estrategias que un atacante podría usar para explotar una aplicación y lo orientará en la priorización de las medidas correctivas a implementar. Presentación realizada en la conferencia de ciberseguridad BSIDES 2023, el 22 de abril del 2023, en Bogotá, Colombia