Ciberseguridad adaptativa para amenazas emergentes: un enfoque integral de protección basado en la Cyber Kill Chain

Abstract

[ES] Las ciberamenazas contemporáneas están en constante evolución, impulsadas por actores de amenaza cada vez más sofisticados y metodologías de ataque dinámicas que desafían los sistemas tradicionales de la ciberseguridad. Ante este panorama, surge la necesidad de enfoques avanzados capaces de identificar y contrarrestar amenazas en tiempo real durante todas las fases de la Cyber Kill Chain. Esta tesis propone un nuevo framework basado en algoritmos de aprendizaje automático que permite caracterizar y abstraer patrones de comportamiento de amenazas emergentes en cada fase de la Cyber Kill Chain, desde la fase de reconocimiento inicial hasta la ejecución final del ataque. Mediante el uso de algoritmos de aprendizaje automático, el framework permite capturar los eventos generados por los distintos sistemas de monitorización y enrutar cada uno a la fase correspondiente. Allí, un modelo se encarga de evaluar si el evento representa una ciberamenaza, permitiendo así una respuesta proactiva frente a incidentes de seguridad. La integración con sistemas SIEM (en inglés, Security Information and Event Management) asegura que cada avance detectado del actor malicioso sea automáticamente reportado y gestionado, optimizando la capacidad de reacción de los equipos de seguridad. Los resultados experimentales validan que esta aproximación no solo mejora significativamente la detección temprana de ciberamenazas, sino que también facilita la interpretación y seguimiento del comportamiento adversario en escenarios complejos y dinámicos, fortaleciendo así la postura de ciberdefensa de las organizaciones.

[EN] Contemporary cyber threats are constantly evolving, driven by increasingly sophisticated threat actors and dynamic attack methodologies that challenge traditional cybersecurity systems. Against this backdrop, the need arises for advanced approaches capable of identifying and countering threats in real time during all phases of the Cyber Kill Chain. This thesis proposes a new framework based on machine learning algorithms that allows characterizing and abstracting behavioral patterns of emerging threats in each phase of the Cyber Kill Chain, from the initial recognition phase to the final execution of the attack. Through the use of machine learning algorithms, the framework allows capturing events from each of the monitoring systems, routing them to the corresponding phase so that a model can evaluate whether the event corresponds to a cyber threat, providing a proactive response to security incidents. Integration with SIEM (Security Information and Event Management) systems ensures that each detected advance of the malicious actor is automatically reported and managed, optimizing the reaction capacity of security teams. Experimental results validate that this approach not only significantly improves the early detection of cyberthreats, but also facilitates the interpretation and management of the malicious actor.