Herramienta de Threat Intelligence para Sistemas de Control Industrial (SCI)

Abstract

En las últimas décadas, los sistemas de control industrial (SCI) se han convertido en objetivos de ciberataques debido a su papel crítico en sectores estratégicos como el energético. A medida que estos ataques se vuelven más sofisticados y con mayor carga geopolítica, se hace imprescindible contar con herramientas capaces de contextualizar, priorizar y anticipar amenazas en tiempo real. Este proyecto nace con la intención de desarrollar una solución de ciberinteligencia adaptada a las particularidades de los entornos OT, donde los activos industriales requieren una protección especializada frente a amenazas de ciberseguridad complejas. El objetivo principal de este trabajo es diseñar y construir una herramienta llamada O.C.A.S. (OT Cyberrisk Assessment System) que permita evaluar el riesgo de ciberataques en entornos industriales del sector energético. El sistema combina datos técnicos sobre amenazas en tiempo real (como IoCs, CVEs, actores implicados) con información contextual (como el estado geopolítico o las técnicas utilizadas por los atacantes). Para ello, se ha planteado un flujo dual que extrae información tanto de noticias generales como de vulnerabilidades concretas, procesando los datos mediante scraping, normalización con modelos LLM, enriquecimiento técnico y contextual, y finalmente evaluación del riesgo con un modelo de machine learning entrenado sobre un histórico de más de 14.000 ciberataques. Esto se combina con la extracción de inteligencia de ciberseguridad OT a partir de fuentes OSINT. La herramienta se compone de varios módulos interconectados. El modelo de ML se entrena con un conjunto de datos procedentes de distintas fuentes (ciberataques históricos, contexto geopolítico e información de adversario), con el impacto potencial o “riesgo pasado” como variable objetivo. Otro módulo se encarga de la ingesta en tiempo real de noticias de ciberataques generales y de otros asociados a vulnerabilidades o CVEs. Estas se procesan mediante web scraping y se normalizan mediante un LLM. La información se enriquece con contexto geopolítico, con información de técnicas y adversarios basada en MITRE, y con indicadores de compromiso (IoCs) usando diferentes fuentes como GreyNoise o Shodan. Toda esta información se pasa al modelo de regresión entrenado (con un R² de 0.9111) que predice el riesgo del ataque. Los resultados se publican en una API que se puede consultar fácilmente, y se almacenan en una base de datos de Elastic para su visualización mediante un dashboard de Kibana.

In recent decades, industrial control systems (ICS) have become frequent targets of cyberattacks due to their critical role in strategic sectors such as energy. As these attacks grow more sophisticated and geopolitically charged, the need for tools capable of contextualizing, prioritizing, and anticipating threats in real time becomes increasingly urgent. This project aims to develop a cyber intelligence solution tailored to the unique characteristics of OT environments, where industrial assets require specialized protection against complex cybersecurity threats. The main objective of this work is to design and build a tool called O.C.A.S. (OT Cyberrisk Assessment System) that can assess the risk of cyberattacks in industrial environments within the energy sector. The system combines technical data on real-time threats (such as IoCs, CVEs, and threat actors) with contextual information (such as geopolitical conditions or attacker techniques). A dual pipeline has been designed to extract information from both general news and specific vulnerabilities, processing the data through scraping, normalization using LLMs, technical and contextual enrichment, and finally risk evaluation using a machine learning model trained on a historical dataset of over 14,000 cyberattacks. This is complemented by OSINT-based OT cyber threat intelligence extraction. The tool is composed of several interconnected modules. The ML model is trained on a dataset from various sources (historical cyberattacks, geopolitical context, adversary information), with the potential impact or “past risk” as the target variable. Another module handles real-time ingestion of general cyberattack news and events linked to vulnerabilities or CVEs. These are processed through web scraping and normalized via an LLM. The data is enriched with geopolitical context, MITRE-based technique and adversary information, and IoCs from sources like GreyNoise and Shodan. All this information is passed to a trained regression model (with an R² of 0.9111) that predicts the attack risk. The results are published through an easily accessible API and stored in an Elastic database for visualization via a Kibana dashboard.