Évaluation Dynamique de Risque et Calcul de Réponses Basés sur des Modèles d'Attaques Bayésiens
François-Xavier Aguessy, thèse de doctorat
Directeurs de thèse: Hervé Debar, Vania Conan
Résumé :
Les systèmes d’information sont d’une valeur inestimable, car ils rassemblent l’intégralité des systèmes utilisés pour le stockage et le traitement des données d’une organisation. Ils représentent donc une cible de plus en plus attractive pour les attaquants. Les opérateurs de sécurité doivent se concentrer sur les attaques les plus importantes pour sélectionner les mesures de sécurité les plus efficaces. Cependant, ils n’arrivent pas à se protéger de toutes les vulnérabilités, notamment à cause de la menace des attaques multi étapes. Il n’est pas suffisant de déployer des sondes de détection pour surveiller l’exploitation de ces vulnérabilités résiduelles et les opérateurs de sécurité ont besoin de nouveaux outils pour évaluer le risque associé aux événements remontés par ces sondes.
Dans cette thèse de doctorat, nous construisons une méthodologie complète d’analyse statique et dynamique de risque prenant en compte la connaissance à priori d’un système avec les événements dynamiques, afin de proposer des réponses permettant d’empêcher les attaques futures.
Tout d’abord, nous étudions comment corriger les attaques potentielles qui peuvent arriver dans un système, en s’appuyant sur les graphes d’attaque logique. Nous proposons une méthodologie de remédiation qui consiste à corriger les chemins d’attaque les plus significatifs extraits du graphe d’attaque logique. Les remédiations candidates sont classées en fonction de leur coût opérationnel et leur impact sur le système. Cette méthodologie est mise en œuvre à partir des graphes d’attaque générés par MulVAL et en s’appuyant sur des sources ouvertes de données.
Bien que les graphes d’attaques permettent de représenter précisément les attaques multi étapes connues qui peuvent se produire dans un système d’information, ils ne peuvent pas être directement utilisés pour supporter l’évaluation dynamique de risque. Plusieurs extensions de ces modèles statiques ont été proposées dans l’état de l’art, mais celles-ci possèdent des limitations, par exemple la gestion des cycles. Nous présentons donc, tout d’abord, comment les modèles statiques d’analyse de risque peuvent être généralisés dans un modèle d’attaque générique. Nous pouvons alors étendre ce modèle pour construire deux modèles d’analyse dynamique de risque. Le premier modèle, le modèle d’attaque bayésien, est une extension du modèle d’attaque générique basé sur des réseaux bayésiens, mais capable de gérer les cycles et donc applicable à n’importe quel système. Le deuxième modèle, le modèle hybride d’évaluation de risque en est une extension. Celui-ci est divisé en deux modèles complémentaires : (1) les modèles de corrélation de risque, qui corrèlent un ensemble d’alertes avec la connaissance sur le système pour analyser les attaques en cours et fournir les probabilités de compromission des états du système. (2) les modèles d’évaluation du risque futur, qui prennent en compte les vulnérabilités existantes et l’état courant des attaques, pour évaluer les attaques futures les plus probables. La sensibilité des paramètres probabilistes et des paramètres du modèle d’attaque générique pris en entrée est évaluée sur les deux modèles. Enfin, nous validons l’exactitude des résultats et l’utilisation de ces deux modèles d’évaluation dynamique de risque en les construisant à partir de graphes d’attaque topologiques.