SOTER: Detección de anomalías de ciberseguridad en la Smart Grid
Sistema no intrusivo de detección de anomalías de ciberseguridad y operaciones para la Smart Grid mediante la monitorización integral de las comunicaciones. Instalado en una subestación o un subconjunto de la Smart Grid de una Utility permite la detección de cualquier patrón, suceso, incidente o evento anómalo que pueda tener como consecuencia el compromiso de la continuidad del negocio.
Se ha construido una plataforma basada en Elasticsearch y EspCap.
- Elasticsearch es un Servidor de Búsqueda que permite indexar grandes volúmenes de datos para poder hacer consultas por cualquier criterio.
- EspCap es un producto que permite capturar paquetes de la red e indexarlos con ElasticSearch.
Se han creado reglas basadas en los tipos de reglas básicas de Elastalert, un software que se integra con Elasticsearch y que permite aplicar diferentes reglas para consultar el contenido indexado por Elasticsearch y generar alertas en función del resultado. Elastalert permite una gran flexibilidad y extensibilidad a la hora de crear reglas.
Algunas de las reglas que se han diseñado en el contexto de SOTER son las siguientes:
- Detección de nueva dirección IP de origen.
- Whitelist de direcciones IP.
- Frecuencia de Ping requests del mismo origen al mismo destino.
- Pico de tráfico para un mismo protocolo del mismo origen al mismo destino.
- Cambio de la dirección MAC de origen en datagramas con de la misma dirección IP de origen.
- Comprobación del envío de mensajes de cierto tipo en un determinado periodo.
Además de la generación automática de alertas, SOTER ofrece un interfaz visual basado en KIBANA a través del cual se pueden consultar todas las incidencias detectadas en el sistema de forma gráfica.