BSIEM-IoT: un SIEM basado en blockchain y distribuido para el Internet de las cosas

A. Pardo, F. Ardila, D. Díaz López, y F. Gómez Mármol.
17 ° Conferencia internacional sobre criptografía aplicada y seguridad de redes (ACNS). 1er Taller internacional sobre inteligencia de aplicaciones y seguridad de cadena de bloques (AIBlock). Bogotá, Colombia. 2019

1. Facultad de Ciencias de la Computación, Escuela Colombiana de Ingeniería Julio Garavito, Bogotá, Colombia.

2. Departamento de Ingeniería de la Información y la Comunicación, Universidad de Murcia, España.

*The articles published in this section are academic publications whose property belongs to their authors and do not imply the cession of the author’s economic rights in favor of the CAP4CITY Project, its members or third parties.

Resumen- “Este documento en cuestión propone BSIEM-IoT, una solución de gestión de información y eventos de seguridad (SIEM) para el Internet de las cosas (IoT) que se basa en blockchain para almacenar y acceder a eventos de seguridad. Los eventos de seguridad incluidos en la cadena de bloques son aportados por una serie de centinelas de IoT a cargo de proteger un grupo de dispositivos. Una característica clave aquí es que la cadena de bloques garantiza un registro seguro de eventos. Además, la propuesta permite que los componentes funcionales de SIEM se asignen a los distintos servidores de mineros que componen un SIEM resistente y distribuido. Nuestra propuesta se implementa utilizando Ethereum y se valida a través de diferentes casos de uso y experimento.”

El Internet de las cosas (IoT) ha traído innumerables beneficios en varios entornos diversos y relevantes. Sin embargo, uno de sus principales inconvenientes actuales radica en la falta de soluciones de seguridad para proteger estos sistemas contra los ataques cibernéticos. Un enfoque en este sentido es procesar los eventos de seguridad que provienen de dicho ecosistema y usarlos para prevenir, detectar y mitigar incidentes de seguridad. Los eventos de seguridad, provenientes de dispositivos IoT o de componentes de seguridad intermedios, se recopilan y envían al servidor centralizado de Gestión de Eventos e Información (Security Management and Event Management, SIEM) para detectar dichos incidentes utilizando uno de sus módulos disponibles (reglas de correlación, políticas, modelos estadísticos). En este sentido, la integridad de los eventos de seguridad es crítica, ya que una alteración de estos datos podría generar falsas alarmas. Del mismo modo, la disponibilidad es otro requisito de seguridad para esos eventos de seguridad: todos los eventos de seguridad deben estar disponibles para los módulos SIEM de manera oportuna, así como resistentes frente a los ataques de denegación. Además, la trazabilidad también es un requisito clave aquí. Se debe mantener y mantener un registro completo de todas las operaciones de eventos para respaldar la auditoría efectiva en caso de una posible violación de seguridad.

Finalmente, una arquitectura centralizada para detectar intrusiones en los ecosistemas de IoT constituye un punto único de ataque y un cuello de botella que, en caso de falla, tendría un impacto adverso en todas las funciones de seguridad relacionadas, principalmente en la contención y la recuperación. Por lo tanto, la resistencia se convierte en otro requisito para la infraestructura de seguridad, por lo que las funciones de seguridad no pueden interrumpirse.

 

En este documento, presentamos BSIEM-IoT, un SIEM basado en blockchain y distribuido para detectar ataques contra dispositivos IoT. Esta propuesta se construye sobre una arquitectura de blockchain, lo que permite la interoperabilidad entre los componentes del ecosistema de IoT que contribuyen con información relacionada con los eventos de seguridad. Cada evento de seguridad está efectivamente protegido en términos de integridad y no repudio debido a las características intrínsecas de la cadena de bloques. Además, los contratos inteligentes (SC) en la cadena de bloques garantizan un comportamiento consistente del sistema, incluida la autorización de acciones sobre los eventos de seguridad. BSIEM-IoT puede consumir inteligencia local sobre amenazas, lo que permite la detección de ataques distribuidos que solo pueden descubrirse mediante la correlación de eventos de seguridad provenientes de diferentes fuentes. Además, nuestra propuesta se conecta a diferentes fuentes externas para obtener inteligencia de amenazas actualizada y mejorar el análisis de los eventos de seguridad dentro de la cadena de bloques.

 

Los principales aportes de este trabajo son:

 

– Una propuesta de SIEM distribuida para escenarios de IoT que aprovechan los beneficios de una cadena de bloques (operaciones sin servidor, integridad, no repudio y resiliencia).

– Desarrollo de métodos en un contrato inteligente para manejar bloques de eventos de seguridad y detectar ataques de los eventos de seguridad disponibles en la cadena de bloques.

– Integración de la Inteligencia de amenazas externa e interna de theBSIEMIoT para realizar validaciones locales originadas en contratos inteligentes.

– La evaluación de la propuesta y sus características a través de experimentos exhaustivos, que a su vez demostraron la viabilidad de la solución para las organizaciones.

 

 

Lea el artículo completo: