GT-EWS: Projeto

O projeto teve início em novembro de 2014 e segue o desenvolvimento apoiado pela Rede Nacional de Pesquisa (RNP). Atualmente o projeto encontra-se na Fase 3 que pretende acompanhar a implantação da versão final do EWS no CAIS da RNP além de possibilitar a personalização do mesmo para utilização em outras instituições. Nosso principal parceiro é o Centro de Atendimento de Incidentes de Segurança (CAIS) da RNP.

Na Fase 1 (novembro/2014 - outubro/2015), foi avaliada a viabilidade do projeto e o desenvolvimento de um protótipo de um Sistema de Alerta Antecipado (EWS – Early Warning System) que antecipa eventos e incidentes de segurança contra a rede e contra os sistemas computacionais da RNP. A antecipação é realizada por meio de um sistema Web, coletores de mensagens em redes sociais e sensores de rede. Mesmo durante a fase de protótipo a ferramenta auxiliou o CAIS na detecção e resposta a alguns incidentes de segurança envolvendo instituições clientes da RNP. Observou-se que nosso EWS fornece uma detecção mais rápida, se comparado a outros serviços de notificações já existentes. Na Fase 1 confirmou-se que o Twitter e o Facebook são fontes relevantes de informações para um EWS antecipar alertas de vazamentos de dados, orquestrações de ataques e desfigurações de páginas Web no escopo da RNP. Outros objetivos secundários alcançados foram a confirmação da viabilidade de realizar correlação entre as várias fontes de dados utilizadas e a confirmação da viabilidade de utilizar firewall, logs, honeypots e informações de redes definidas por software como fontes de dados.

Na Fase 2 (novembro/2015 - dezembro/2016), pretende-se desenvolver uma arquitetura flexível (Figura 1), possibilitar a adição de módulos acopláveis (plugins) para viabilizar novos coletores, filtros e classificadores, e desenvolver novas técnicas para aprimorar a qualidade dos alertas. Atualmente o sistema tem gerado uma quantidade moderada de falsos positivos, por isso pretendemos adaptar algoritmos de recuperação de informação, processamento de linguagem natural e algumas heurísticas para alcançar melhores resultados ao processar dados de fontes de dados não estruturados. Também pretendemos aprimorar a interface Web para apoiar o processo de tomada de decisão a respeito das informações coletadas nas redes sociais e de outros sistemas de informação relacionados. Além disso, será desenvolvido um módulo específico para integração e envio de notificações ao Sistema de Gestão de Incidentes de Segurança (SGIS) do CAIS.

A Figura 1 apresenta uma visão geral dos módulos da arquitetura do EWS:

Figura 1: Visão geral da arquitetura do EWS.

A arquitetura do EWS é composta por fontes de dados (Sources), coletores de dados (Collectors), preprocessadores (Preprocessors), módulo central (EWS Core), base de alertas (Events) e interface Web (Web Interface). Os coletores monitoram e coletam dados de redes sociais e sensores de redes tracionais. Na Fase 2, o foco é coletar dados de fontes abertas, ou seja, que os dados estejam disponíveis publicamente. Os preprocessadores são responsáveis por preparar e transformar os dados para o sistema. Os normalizadores (Normalizers) expandem e convertem os dados para um formato padrão. Os filtros (Filters) removem dados indesejados e selecionam as informações mais relevantes. Os agrupadores (Clustering) agregam as mensagens similares em uma única estrutura. Por sua vez, o módulo central analisa (EWS Core), correlaciona e classifica as mensagens como alertas. Os alertas são enviados para a base de alertas e acessados via serviços Web pela interface. Além de exibir as informações para os usuários, a interface Web possibilita configurar os diferentes módulos, como por exemplo, especificar palavras-chaves e perfis a serem monitorados em redes sociais, alterar parâmetros de configuração dos módulos, visualizar e filtrar eventos, entre outros.

Na Fase 3 (janeiro/2017 - julho/2017), pretende-se acompanhar a implantação da versão final do EWS no CAIS da RNP além de possibilitar a personalização do mesmo para utilização em outras instituições.