Identificación de riesgos de ciberseguridad en redes de servidores mediante la detección no supervisada de anomalías

Abstract

Esta investigación evalúa la eficacia de modelos de aprendizaje no supervisados, en particular Isolation Forest, al identificar casos de riesgo medio y alto en datos de detecciones de nodos de una red interna de un operador de telecomunicaciones en Chile, con el propósito de generar una mayor distinción entre casos de riesgo normal y casos de características similares a aquellos de riesgo alto. El modelo fue aplicado en conjunto con factores de riesgo relacionados al lado defensivo para crear una distinción entre casos de alto y bajo riesgo para casos de detecciones de vulnerabilidades individuales y vistas generales de activos. Se descubrió que el problema más frecuente de seguridad es aquel donde se detectan servicios con localizador de recursos uniformes (URLs) sospechosos, sucediendo en un 44% de los casos detectados. En contraste, la configuración errónea de contraseñas tiene solo una ocurrencia del 15% de los casos, pero es considerado uno de los casos más riesgosos. Si bien la herramienta obtuvo resultados favorables cuando se aplicó a datos de detecciones de red individuales, su desempeño fue menos preciso en el caso donde se evaluó el riesgo por activo de la red.