Inteligencia de amenazas cibernéticas y capacidades operacionales cibernéticas mejoradas (EDF-2021-CYBER-R)

Título:

Inteligencia de amenazas cibernéticas y capacidades operacionales cibernéticas mejoradas (EDF-2021-CYBER-R)

Categoría temática:

Todos los tenas

Programa:

FONDO EUROPEO DE DEFENSA - EDF

Descripción y objetivos:

Objetivo :La Comisión prestará especial atención a las demás iniciativas en curso de I+D y de doble uso a nivel de la Unión para evitar duplicaciones innecesarias.La capacidad de detectar y responder a incidentes de seguridad enfrenta varios desafíos, que incluyen: la cantidad cada vez mayor de datos que deben analizarse para detectar y comprender completamente los incidentes de seguridad; el número de falsas alarmas generadas que dan como resultado, por ejemplo, una priorización errónea y fatiga de alarmas entre los operadores y analistas; falta de recursos (humanos) para analizar suficientemente toda actividad potencialmente maliciosa; la disminución de la eficacia de las medidas de defensa tradicionales basadas en un conjunto conocido de reglas (por ejemplo, firmas conocidas a priori y/o perfiles de tráfico de red) debido al aumento del tráfico de red cifrado y su inadecuación frente a amenazas persistentes avanzadas y ataques de día cero (incluido el malware que explota vulnerabilidades desconocidas, ataques de phishing dirigidos, exfiltración de datos de baja tasa, comportamiento anormal del usuario, etc.); elegir las medidas apropiadas en respuesta a los ataques de manera oportuna, cuando el alcance es incierto y la situación se desarrolla más rápido de lo que un ser humano puede seguir sin el apoyo de una toma de decisiones avanzada, y mientras el compromiso potencialmente se ha extendido o se extenderá durante semanas, meses o años .El uso de la Inteligencia Artificial (IA) [1] parece prometedor para abordar muchos de estos desafíos, y la IA ha mostrado recientemente excelentes resultados en áreas como juegos estratégicos y análisis de texto.Esta convocatoria busca propuestas que ayuden a incrementar el nivel de automatización en la gestión de incidentes y actividades de ciberdefensa a través del uso de IA. En este entorno, se debe utilizar la participación de métodos de IA de última generación para automatizar la gestión de incidentes y las actividades de ciberdefensa, incluida la detección y respuesta a incidentes, llevadas a cabo por los centros de operaciones de seguridad (SOC) y los equipos de ciberdefensa (o entidades similares) cuando detectan y analizan eventos y determinan qué acciones tomar. Los SOC modernos a veces están equipados con capacidades de orquestación, automatización y respuesta de seguridad (SOAR) que permiten a los operadores humanos responder a los ataques con "libros de jugadas" predefinidos diseñados para mitigar los ataques en curso, por ejemplo, deshabilitando las cuentas de usuario o reconfigurando los firewalls, donde las soluciones basadas en IA parecen aplicable.La IA se puede utilizar, por ejemplo, para complementar los métodos de detección basados ​​en reglas (por ejemplo, a través del aprendizaje profundo), para mejorar las alarmas de los sistemas de detección utilizando fuentes de inteligencia de amenazas, extraer inteligencia procesable de la enorme cantidad de datos y eventos de monitoreo, correlacionar alarmas con otros información para identificar patrones de ataque, responder automáticamente a eventos basados ​​en el análisis y recomendar acciones a operadores humanos. Estudios recientes revelan que más de dos tercios de las organizaciones incluidas en los estudios reconocen que no pueden responder a amenazas críticas sin IA.Desafío específicoLa creación de una solución basada en IA que automatice partes más importantes de la gestión de incidentes y los procesos de defensa cibernética implica varios desafíos técnicos. Estos incluyen (entre otros): la selección y el procesamiento previo de fuentes de datos apropiadas; crear y aplicar modelos y técnicas para analizar la salida de sensores para evaluar si puede estar ocurriendo un ataque, incluida la selección y ajuste de algoritmos y parámetros; mapeo de ataques en curso a amenazas conocidas (por ejemplo, usando inteligencia de amenazas); evaluar si las consecuencias de implementar una respuesta en particular superan los riesgos asociados con no hacerlo; y creación/selección de conjuntos de datos apropiados para entrenar y probar los modelos. Además, la transparencia y la configurabilidad son requisitos clave, especialmente en el ámbito militar,Si bien es posible que se requieran soluciones basadas en IA para abordar estos desafíos en este ecosistema, la incorporación de IA también presenta un nuevo conjunto de desafíos técnicos y no técnicos. Preguntas que abordan desafíos técnicos: ¿En qué momento se debe activar una alarma y cuándo se debe elevar? ¿Cómo puede AI razonar sobre la confianza con respecto al uso de información externa (por ejemplo, inteligencia de amenazas)? ¿Cómo se pueden evaluar las posibles consecuencias de un ciberataque y las consecuencias de implementar diferentes medios de mitigación antes y durante la respuesta, tanto en tiempo real como en tiempo real? ¿casi en tiempo real/a corto plazo o como parte de una estrategia defensiva a medio o largo plazo? Muchos incidentes (en algún nivel) requerirán la interacción humana y la toma de decisiones humanas: ¿cómo comunica un sistema basado en IA los resultados y la explicación y el razonamiento subyacentes que conducen al resultado? Los desafíos no técnicos incluyen: ¿Qué derechos y procesos de decisión pueden y deben delegarse a un sistema basado en IA y cuáles deben seguir siendo manuales? ¿Cómo se debe utilizar la IA a nivel estratégico, táctico y más técnico? ¿Cuál es la diferencia entre la comunicación a nivel técnico, táctico, operativo y estratégico/político? ¿Cómo pueden los humanos trabajar juntos con sistemas basados ​​en IA en los diferentes niveles? Los sistemas militares utilizan cada vez más, y dependen de, el sector privado y la infraestructura civil: ¿cómo difiere la respuesta a incidentes entre los sectores militar y civil y cuáles son los desafíos en un entorno militar/civil combinado? ¿Cuáles son las implicaciones para la IA?Alcance :Abordar los desafíos identificados requerirá enfoques interdisciplinarios y multidisciplinarios, en los que los equipos realicen trabajos tanto de naturaleza técnica como no técnica. Se requieren análisis de consideraciones técnicas, tácticas, operativas, estratégicas y políticas. A nivel técnico, las propuestas deben proporcionar soluciones de prueba de concepto para la gestión de incidentes y la ciberdefensa basados ​​en IA, incluida la detección, la mitigación y la respuesta. Los sistemas capaces de detección de intrusos (IDS) podrían constituir un punto de partida para las propuestas. Sin embargo, las propuestas no deben buscar promover las capacidades de análisis de IDS solo, sino en el contexto de un sistema automatizado o semiautomático para el manejo de incidentes.Además de las soluciones puramente técnicas, es posible que sea necesario mapear, modelar y comprender los procesos y actores de las empresas seleccionadas para garantizar soluciones adecuadas para el propósito y responder preguntas de naturaleza más conceptual. Además, se espera que las propuestas consideren la interacción entre los operadores humanos, los analistas y los tomadores de decisiones y el sistema de respuesta y gestión de incidentes automatizado o semiautomatizado.Se espera una metodología adecuada para desarrollar la comprensión contextual a través de estudios de casos de procesos seleccionados, incidentes y ataques cibernéticos de empresas seleccionadas, y estudios de casos de enfoques de detección exitosos e historias de éxito orientadas a la resiliencia donde los desafíos técnicos y no técnicos pueden estudiarse y abordarse en niveles diferentes. Para el desarrollo de prototipos técnicos de prueba de concepto, se debe aprovechar un enfoque de desarrollo adecuado, que incluya la participación de los usuarios y las partes interesadas.Actividades dirigidasLas propuestas deberán cubrir las siguientes actividades a las que se refiere el artículo 10.3 del Reglamento del FED:- Actividades destinadas a crear, sustentar y mejorar conocimientos, productos y tecnologías, incluidas las tecnologías disruptivas, que pueden lograr efectos significativos en el ámbito de la defensa;- Actividades destinadas a aumentar la interoperabilidad y la resiliencia, incluida la producción y el intercambio seguros de datos, para dominar tecnologías críticas de defensa, para fortalecer la seguridad del suministro o para permitir la explotación efectiva de resultados para productos y tecnologías de defensa;- Estudios, como estudios de viabilidad para explorar la viabilidad de tecnologías, productos, procesos, servicios y soluciones nuevos o mejorados- Diseño de productos de defensa, componente o tecnología tangible o intangible, así como la definición de las especificaciones técnicas sobre las que se ha desarrollado dicho diseño, que pueden incluir ensayos parciales para la reducción de riesgos en un entorno industrial o representativo.Todas las actividades propuestas respaldan en última instancia la creación de prototipos de prueba de concepto adecuados para el propósito de un sistema automatizado o semiautomático de gestión de incidentes y defensa cibernética, para fases seleccionadas en el ciclo de gestión de incidentes, incluida la detección y respuesta. Los prototipos pueden apoyar a operadores humanos, analistas y tomadores de decisiones en todos los niveles (técnico, táctico, operativo, estratégico y político) y se espera que contribuyan a mejorar la conciencia situacional cibernética, aumentar la resiliencia de la infraestructura militar y mejorar la protección contra amenazas cibernéticas avanzadas.Las actividades se clasifican en tres tipos de tareas:1. Mejorar el conocimiento contextual de las empresas, los procesos y la toma de decisiones donde se debe utilizar la IA2. Desarrollar técnicas basadas en IA que respalden tareas específicas de operadores/analistas humanos3. Explorar y desarrollar la IA como responsable de la toma de decisiones con autoridad limitada en la gestión de incidentes y la ciberdefensaSe deben utilizar estudios de factibilidad basados ​​en escenarios del mundo real para garantizar que las pruebas de concepto y las técnicas desarrolladas sean adecuadas para el propósito. También puede ser necesario crear sistemas de referencia y casos de prueba apropiados para generar datos de entrenamiento y evaluar la eficacia de diferentes soluciones, con y sin operadores humanos interactuando con el sistema.Las propuestas [2] deben incluir al menos una actividad de la tarea 1 y una actividad de la tarea 2 y deben ser coherentes con el alcance definido como se describe anteriormente.1. Mejorar el conocimiento contextual de las empresas, los procesos y la toma de decisiones donde se debe utilizar la IA1.1. Construcción de conocimiento a través del análisis de situaciones de la vida real, casos de uso e incidentes, para comprender y modelar suficientemente los procesos empresariales y los procesos de toma de decisiones con los que interactuarán los sistemas de ciberdefensa y gestión de incidentes basados ​​en IA. Esto incluye comprender a los actores relevantes, sus empresas y negocios/misiones, y el entorno de amenazas en el que operan.Las propuestas pueden incluir procesos y flujos de trabajo que involucren a operadores humanos, analistas y tomadores de decisiones en todos los niveles. Las propuestas también pueden cubrir elementos como los requisitos de información, el manejo de la incertidumbre, los objetivos estratégicos, los objetivos de la misión, el papel de las TIC, el análisis de riesgos, el apetito por el riesgo, la comunicación de incidentes y crisis a las diferentes partes interesadas, etc.1.2. Explorando los límites de la respuesta autónoma o semiautónoma basada en IA. Los libros de jugadas de muchos SOC y entidades similares describen cómo responder a ataques determinados. Sin embargo, es necesaria una comprensión profunda del contexto más amplio para evitar medidas inapropiadas. Para tener en cuenta el contexto más amplio a fin de evitar medidas inapropiadas, al menos se pueden abordar las siguientes preguntas: ¿Se pueden automatizar dichos libros de jugadas y las capacidades de razonamiento de la IA pueden automatizar dicha intuición, experiencia y comprensión contextual? Cuando la mayoría de los algoritmos de aprendizaje automático y aprendizaje profundo requieren una gran cantidad de datos para aprender, que no estarán disponibles para la respuesta a incidentes, ¿puede el aprendizaje de un solo intento o algunos intentos (p. ej. aprendizaje de estilo humano) se utilizará en este entorno para aprender cómo responden los operadores a los incidentes? ¿Pueden los enfoques simbólicos funcionar junto con el aprendizaje automático (p. ej., IA neurosimbólica) para automatizar libros de jugadas?2. Desarrollar técnicas basadas en IA que respalden tareas específicas de operadores/analistas humanos2.1. Creación de técnicas basadas en IA para detectar y comprender la actividad adversaria. Esto puede incluir el análisis y la clasificación de alarmas, la realización de análisis forenses, el uso de información externa con diferentes niveles de confianza (por ejemplo, inteligencia de amenazas), el aprovechamiento del análisis de comportamiento, la detección y el análisis de cadenas letales, la evaluación de las posibles intenciones de los atacantes, el seguimiento de aplicaciones y actividades de comunicación, el análisis de malware. , etc. Las técnicas pueden estar destinadas a la detección y el análisis en tiempo real y no en tiempo real, involucrar enfoques multidisciplinarios, usar datos de puntos finales, redes y la nube, y aprovechar la computación distribuida y el procesamiento de datos en tiempo real. escalabilidad2.2. Creación de técnicas basadas en IA para la construcción de conocimiento sobre los propios sistemas TIC protegidos (p. ej., un “ciberregistro” con información actual e histórica). Esto debe incluir recopilar, vincular y fusionar diferentes tipos de información sobre el hardware y el software del sistema y la relación entre ellos. La información que se puede recopilar es, por ejemplo, datos de arquitectura y configuración, ubicación y especificaciones del hardware, aplicaciones instaladas, información de red, servicios, protocolos en uso, dispositivos periféricos conectados, etc. Se puede aprovechar una variedad de fuentes para adquirir información, incluido el hardware. y se pueden utilizar sistemas de gestión de configuración de software, documentación, escáneres de vulnerabilidades, SIEM, herramientas de descubrimiento de activos, etc., y técnicas como la ingeniería inversa.2.3. Creación de técnicas basadas en IA para analizar sistemas empresariales para evaluar el valor de los activos y las posibles consecuencias de diferentes respuestas (por ejemplo, cambios de configuración). Esto debe incluir tanto valores estáticos asignados manualmente o derivados de factores fijos, como valores dinámicos que deben verse en relación con operaciones comerciales en curso o cambiantes o misiones militares.2.4. Creación de técnicas explicables basadas en IA. Muchos de los sistemas de aprendizaje automático más prometedores no se consideran "inteligibles" o "explicables", lo que ha dado lugar a un subcampo denominado IA explicable (XAI). Esta tarea debe abordar cómo se puede utilizar XAI para explicar la detección, el análisis y las respuestas en diferentes niveles a diferentes actores. ¿Se puede, por ejemplo, combinar el aprendizaje automático (por ejemplo, el aprendizaje profundo) con la IA simbólica más tradicional para que el análisis sea transparente?3. Explorar y desarrollar la IA como facilitador de decisiones con autoridad limitada en la gestión de incidentes y la ciberdefensa3.1. Creación de sistemas de recopilación y almacenamiento de información basados ​​en IA que adaptan dinámicamente su estrategia de recopilación y almacenamiento a la situación analizada y percibida continuamente por el sistema. Esto incluye qué se recopila, dónde se recopila y la granularidad (p. ej., aumentar el nivel de detalle de la información recopilada, como la captura de paquetes completos, después de detectar un compromiso inicial). Como no es factible recopilar todo y en todas partes, estos sistemas de lago de datos y análisis dinámicos de big data podrían ayudar a solucionar el problema de la insuficiencia de datos debido a la recopilación limitada de datos.3.2. Creación de sistemas de decisión basados ​​en IA que sean conscientes del riesgo y el impacto. Deben poder analizar y comprender el impacto de los incidentes de seguridad en el desempeño deseado de la misión, identificar los riesgos asociados, generar diferentes opciones de respuesta para mantener la resiliencia cibernética requerida y la garantía de la misión, y potencialmente seleccionar y ejecutar una opción de respuesta si está permitido. El análisis de impacto, riesgos, diferentes opciones de respuesta y ejecución potencial debe ser explicable.Requerimientos funcionalesLa propuesta debe abordar:- Al menos un marco para la ciberdefensa y la respuesta a incidentes mixtos de inteligencia artificial humana adecuada para contextos militares o civiles, o ambos.- Al menos un prototipo de prueba de concepto de un sistema de gestión de incidentes automatizado o semiautomático, para fases seleccionadas en el ciclo de gestión de incidentes, incluida la detección y respuesta.Los requisitos se establecen en las siguientes categorías:- Arquitectura y Diseño- Integración con sistemas existentes- Utilización de AI/ML para ciertas tareas- Razonamiento, aprendizaje y validaciónArquitectura y Diseño- La propuesta debe incluir una arquitectura abierta, modular, escalable, resiliente y de alta disponibilidad.- La propuesta podría incluir interfaces gráficas y programables para comunicarse tanto con operadores como con otros programas.- La propuesta podría incluir formación cooperativa segura y el intercambio de modelos entre diferentes unidades organizativas y naciones, por ejemplo, a través del aprendizaje federado.Integración con sistemas existentes- Los prototipos de prueba de concepto deben poder recopilar telemetrías o datos sin procesar de fuentes existentes (p. ej., sistemas de sensores), incluida información como métricas y registros de terminales, información de tráfico de red (p. ej., Netflow) y eventos y registros de seguridad dispositivos y servidores de aplicaciones.- Es deseable que los prototipos de prueba de concepto interactúen y aprovechen las soluciones de clasificación y detección basadas en reglas existentes para la utilización coordinada de técnicas de IA y no IA.Utilización de AI/ML para ciertas tareas- Los prototipos de prueba de concepto deben involucrar AI/ML para mejorar las tasas de detección de incidentes (por ejemplo, precisión y recuperación), en comparación con las soluciones basadas en reglas existentes.- Los prototipos de prueba de concepto deben involucrar AI/ML para proponer automáticamente y potencialmente efectuar acciones de mitigación.Razonamiento, aprendizaje y validación.- Los prototipos de prueba de concepto deben poder explicar su razonamiento y toma de decisiones a los operadores humanos. Es deseable que los algoritmos y modelos sean transparentes, documentados y configurables por el usuario.- Los prototipos de prueba de concepto deben ser posibles de entrenar y configurar con información que esté fácilmente disponible o que sea fácil de producir en las empresas contemporáneas.- Los prototipos de prueba de concepto deben validarse en un entorno relevante (por ejemplo, un sistema de referencia) cuando se exponen a casos de prueba relevantes (por ejemplo, ataques de red contemporáneos).Impacto esperado :- Conocimiento de los casos de uso de los sistemas de respuesta a incidentes automatizados y semiautomáticos, incluida su viabilidad práctica y utilidad, limitaciones, integración en procesos manuales e interacción con operadores humanos.- Prueba de concepto de capacidades basadas en IA para detección de incidentes, análisis y respuesta de ataques y escenarios seleccionados.- Preparación avanzada de los operadores de ciberdefensa y mejora de la capacidad operativa cibernética, lo que contribuye a la postura de ciberdefensa de la UE.[1] por ejemplo, aprendizaje automático, aprendizaje profundo, árboles de decisión, valores atípicos estadísticos, redes probabilísticas, algoritmos genéticos, aprendizaje por refuerzo, cálculo de situación, ontologías, razonamiento simbólico, etc.[2] No se espera que las propuestas incluyan todas las tareas enumeradas

Acciones previstas:

Esta convocatoria cubre los siguientes temas:

Organizaciones que pueden participar:

Abierto para entidades legalmente constituidas y localizadas en alguna de las zonas de actuación de cualquiera de los siguientes tipos:

• Cualquier tipo de organización

Zonas de actuacion:

• Las entidades u organizaciones que participen deberán disponer de su sede social en el ámbito geográfico siguiente:
  • Unión Europea (UE)
  • Asociación Europea de Libre Comercio (AELC)

Financiacion comunitaria:

La previsión de financiación comunitaria disponible para la convocatoria de propuestas es:

• Presupuesto global: 13.500.000,00 €

Fechas a tener en cuenta:

• jueves, 09 de diciembre de 2021 a las 18:00 horas

Dirección general responsable:

• Dirección General de Relaciones Exteriores: Rue de la Loi , 56, 1049 - Bruxelles
• Dirección General de Relaciones Exteriores: Rue de la Loi, 170, 1040 - Bruxelles

convocatoria:

Para más información visita la página web de la convocatoria

Convocatorias Relacionadas:

• Acciones de desarrollo a través de subvenciones de costes reales tras la convocatoria de propuestas (EDF-2022-DA)
• Convocatoria de propuestas para un acuerdo marco de asociación (EDF-2022-FPA)
• Acciones de investigación (dedicadas a PYME y organizaciones de investigación) a través de subvenciones a tanto alzado tras la convocatoria de propuestas (EDF-2022-LS-RA-SMERO)
• Acciones de desarrollo (dedicadas a las PYME) a ​​través de subvenciones a tanto alzado tras la convocatoria de propuestas (EDF-2022-LS-DA-SME)
• Acciones de investigación (dedicadas a tecnologías disruptivas para la defensa) a través de subvenciones a tanto alzado tras la convocatoria de propuestas (EDF-2022-LS-RA-DIS)
• Convocatoria de propuestas de acción de coordinación y apoyo a la red de Puntos Focales Nacionales (NFP) (EDF-2022-CSA-NFP)
• Acciones de investigación (desafío tecnológico) a través de subvenciones a tanto alzado siguiendo la convocatoria de propuestas (EDF-2022-LS-RA-CHALLENGE)
• Acciones de investigación a través de subvenciones de costes reales tras la convocatoria de propuestas (EDF-2022-RA)
• ISR y comunicaciones avanzadas (EDF-2021-C4ISR-D)
• Aviónica y combate aéreo avanzado (EDF-2021-AIR-D)