SOTER: Detección de anomalías de ciberseguridad en la Smart Grid

Sistema no intrusivo de detección de anomalías de ciberseguridad y operaciones para la Smart Grid mediante la monitorización integral de las comunicaciones. Instalado en una subestación o un subconjunto de la Smart Grid de una Utility permite la detección de cualquier patrón, suceso, incidente o evento anómalo que pueda tener como consecuencia el compromiso de la continuidad del negocio.

Se ha construido una plataforma basada en Elasticsearch y EspCap.

  • Elasticsearch es un Servidor de Búsqueda que permite indexar grandes volúmenes de datos para poder hacer consultas por cualquier criterio.
  • EspCap es un producto que permite capturar paquetes de la red e indexarlos con ElasticSearch.

Se han creado reglas basadas en los tipos de reglas básicas de Elastalert, un software que se integra con Elasticsearch y que permite aplicar diferentes reglas para consultar el contenido indexado por Elasticsearch y generar alertas en función del resultado. Elastalert permite una gran flexibilidad y extensibilidad a la hora de crear reglas.

Algunas de las reglas que se han diseñado en el contexto de SOTER son las siguientes:

  • Detección de nueva dirección IP de origen.
  • Whitelist de direcciones IP.
  • Frecuencia de Ping requests del mismo origen al mismo destino.
  • Pico de tráfico para un mismo protocolo del mismo origen al mismo destino.
  • Cambio de la dirección MAC de origen en datagramas con de la misma dirección IP de origen.
  • Comprobación del envío de mensajes de cierto tipo en un determinado periodo.

Además de la generación automática de alertas, SOTER ofrece un interfaz visual basado en KIBANA a través del cual se pueden consultar todas las incidencias detectadas en el sistema de forma gráfica.

    ¡Forma parte del ecosistema!

    No dejes escapar oportunidades de negocio que te interesan. Envíanos tus datos y empieza a formar parte de nuestro vibrante ecosistema emprendedor.