La ciberseguridad pretende proteger activos frente a amenazas. Los controles de seguridad que protegen estos activos suelen actuar de forma demasiado rígida o demasiado laxa a la hora de proteger dominios complejos, heterogéneos o que operan con gran incertidumbre. Por ello, el equipo Cybersecurity Cluster de la URJC ha propuesto un modelo denominado RiAS (Risk-based Adaptive Security) basado en la adaptación de los controles de seguridad que aplica una organización al riesgo real que se tiene en cada momento.

Con el uso de esta solución las protecciones se irán adaptando al riesgo que se corre o que se desea correr a tiempo real. Según la investigadora Marta Beltrán, “la idea es tener protecciones o contramedidas dinámicas, que puedan reconfigurarse dinámicamente si el contexto cambia y si el propio control o el activo que protege varían”. También incluso en función del riesgo que la propia organización quiera asumir.

Arquitectura de tres capas

Para lograr este tipo de adaptación se propone una solución en tres capas. La primera capa es la de medida, que recoge datos sobre el contexto del control, así como sobre el control en sí mismo y el activo que protege. La segunda capa, por su parte, es la de decisión. Se basa en todos estos datos para decidir si es necesario realizar una adaptación del control o si, por el contrario, debe quedarse como está. Para tomar estas decisiones, los administradores de seguridad expresan con una semántica sencilla sus requisitos y objetivos mediante Reglas y Políticas. De esta forma, las decisiones se automatizan sin que apenas sea necesaria la intervención de operadores humanos.

Por último, la tercera capa es la de adaptación, que permite modificar el control si se ha decidido que es necesario realizar una adaptación. Esta modificación puede implicar un cambio en la ubicación del control, en su configuración, en su uso, etc.

El modelo RiAS se ha validado en un caso de uso en el que se adapta de manera automática la configuración de un filtro de contenido web (WAF) que está protegiendo una aplicación de transmisión de vídeo, aunque los resultados obtenidos, publicados en la revista científica de alto impacto Computers & Security, apuntan, según la propia investigadora, a que la solución propuesta “se puede utilizar prácticamente con cualquier control y en cualquier tipo de contexto, ya que está definido de manera general y no para un tipo de control concreto”.