Retos


about img

CfP en formato A3 y A4

Fechas importantes:

Investigación y Formación:

  • Recepción de trabajos: 6-16.marzo.2016

  • Notificación autores: 17 22_abril_2016

    • Retos Industria:

  • Propuestas solución: 1_mayo_2016

  • Notificación autores: 15_mayo_2016

    • Inscripción jornadas:

  • Estándar: hasta 23_mayo_2016

  • Con recargo: posterior 23 mayo 2016

    • Celebración: 15-17_junio_2016

    Retos de Industria en Ciberseguridad

    Como una fórmula interesante de necesaria relación entre los distintos actores involucrados en un campo tecnológico concreto, en este caso el de la ciberseguridad, la actividad Retos de industria planteada en JNIC 2016 persigue los siguientes tres objetivos secuenciados, el último de los cuales supone un fin en sí mismo de cara a la promoción decidida de la ciberseguridad a nivel nacional:

    1. Apuntar líneas de especial interés desde el punto de vista del mercado nacional en el sector.

    2. Contribuir al aporte de ideas y propuestas en dichas temáticas desde los centros y grupos de investigación.

    3. Colaboración directa de cara a la concreción y desarrollo de ulteriores soluciones que suponen avances significativos en las temáticas de actuación planteadas.

    En la presente edición de JNIC se proponen dos retos relativos a un mismo contexto general de actuación, como sigue. Para contribuir a cualquiera de ellos, los autores habrán de presentar una contribución describiendo adecuadamente su propuesta siguiendo las normas y formatos dispuestos al efecto en la parte de Envío de trabajos de la web de JNIC 2016: http://ucys.ugr.es/jnic2016.

    Incentivos:

    Es importante mencionar en este punto los siguientes incentivos por parte de la empresa proponente a los grupos ganadores de los retos:

    • Cada una de las soluciones ganadoras podrá desarrollarse de acuerdo al punto 3) anterior en base a la subvención de hasta 3 becas a dedicación completa, a razón de 900 euros/mensuales cada una.

    • La infraestructura y equipamiento de desarrollo correría a cargo del grupo ganador.

    • Inicialmente, la duración del trabajo se prevé de 6 meses, si bien esta podrá extenderse si así se estima oportuno.

    • Si bien el desarrollo será coordinado por el grupo ganador, este estará supervisado por la empresa.

    • La propiedad intelectual está sujeta a discusión en función del alcance y naturaleza de la solución conseguida.


    Contexto general de actuación en los retos JNIC 2016

    Los dispositivos conectados de forma autónoma a Internet son cada vez más comunes y frecuentes en nuestro día a día. Desde lectores de medidas de luz, gas o agua, hasta elementos urbanos como medidores de contaminación, alumbrado o señalización, pasando por elementos que pueden interactuar más con las personas, como automóviles o dispositivos biométricos (marcapasos, glucómetros, básculas, …). Este nuevo escenario, altamente beneficioso para la sociedad, también ha generado la aparición de nuevas formas de fraude y abuso.


    RETO 1 (Eleven Paths):


    Título:

                   IoT: Securización de la identidad de los elementos de red


    Descripción:

    Los elementos autónomos citados en el contexto general anterior contienen en ocasiones información susceptible de ser protegida por leyes de protección de datos (datos de salud) o de carácter crítico (por ejemplo, infraestructuras SCADA o de señalización para automóviles o tráfico). Por todo ello, es necesario asegurar la identidad de los elementos autónomos de infraestructura, verificando que no son intervenidos o inclusos sustituidos, física o virtualmente por otros no genuinos, de forma que:

    1. Se pueda asegurar el origen legítimo de los datos enviados.

    2. Se asegure que solo elementos autorizados e identificados consumen la información que necesitan.

    3. No se afecte a la provisión de los posibles servicios asociados a los datos enviados o consumidos.


    Requisitos:

    El requisito principal, y en suma el objetivo del presente reto, es que la solución de validación de la identidad propuesta sea:

    1. Transparente al comportamiento del servicio y, evidentemente, al usuario que pueda estar por detrás del mismo.

    2. Compatible con tiempo real, persistente y ligada a la conectividad entre dispositivos, es decir, no basta con verificar la identidad en el momento inicial de establecimiento de sesión sino de forma continua, cada vez que se produzca una comunicación entre un dispositivo y su plataforma de referencia u otro dispositivo asociado.

    3. Debe de ir más allá de soluciones basadas en intercambio de certificados. Aunque es previsible que la evolución de los dispositivos permita solucionar los problemas que a día de hoy determina su rendimiento, la potencia de cómputo y las restricciones de energía actuales hacen necesario el diseño de soluciones robustas que no supongan la sobrecarga típicamente asociada a una PKI.


    RETO 2 (Eleven Paths):


    Título:

                   Pentest 2.0: Fase de Discovery de activos en entornos “no tradicionales”


    Descripción:

    Otro de los retos que se plantean en el nuevo contexto inicial es poder llegar a un modelo de escaneo lo más automatizado posible de estas nuevas infraestructuras, que van más allá del tradicional modelo cliente-servidor o servicio web. Este escaneo no solo debe ser lo más automatizado posible, sino que además debe facilitar, en la medida de lo posible, una monitorización continua. Es lo que se denomina un pentest persistente. Esta persistencia en la realización del escaneo sobre los sistemas permite reducir los tiempos de respuesta desde que surge una nueva amenaza hasta que se diagnostica.

    Este reto resulta de suma importancia dada la magnitud prevista de las redes autogestionadas de sensores y dispositivos, que pueden hacer inviables en ocasiones escenarios de pentest manual tradicional. Un ejemplo es el automóvil conectado, en el que, efectivamente se dispone de una plataforma general y centralizada de gestión de la información procedente o enviada de/a los vehículos, pero a su vez existen elementos intermedios, como es el propio vehículo, quien gestiona en una primera instancia, los distintos dispositivos de a bordo: infotaintment, diagnóstico, elementos eléctricos, etc. Otro ejemplo es el caso de plataformas de e-health, en el que, los dispositivos biométricos (glucómetros, marcapasos, bombas subcutáneas, dispositivos intrabucales, etc.) se suelen conectar a un terminal móvil, utilizado como pasarela para enviar sus datos a plataformas de gestión remota de pacientes crónicos.


    Requisitos:

    El requisito principal de cara a la evaluación de propuesta y desarrollo de soluciones viables en el marco planteado consiste en la realización de servicios de pentest persistente que incluyan el discovery de activos en dichos entornos “no-tradicionales”.

    Aunque el verdadero reto será abordar este tipo de análisis sobre redes abiertas, por acotar el ámbito del presente reto, en este caso se va a restringir a redes privadas de dispositivos (por ejemplo, en un entorno empresarial o doméstico, donde el discovery viene complementado con información específica de los elementos que pueden llegar a estar activos en dicha red; aunque estos, en un momento determinado, puedan entrar en un modo latente o de escucha.


    Página del Ministerio de Infustria, Energía y Turismo
    Página del Instituto Nacional de Ciberseguridad
    Universidad de Granda
    Grupo de Ciberseguridad de la UGR

    (cc) ucys, 2015