Évaluation Dynamique de Risque et Calcul de Réponses Basés sur des Modèles d'Attaques Bayésiens

Les systèmes d’information sont d’une valeur inestimable, car ils rassemblent l’intégralité des systèmes utilisés pour le stockage et le traitement des données d’une organisation. Ils représentent donc une cible de plus en plus attractive pour les attaquants. Les opérateurs de sécurité doivent se concentrer sur les attaques les plus importantes pour sélectionner les mesures de sécurité les plus efficaces. Cependant, ils n’arrivent pas à se protéger de toutes les vulnérabilités, notamment à cause de la menace des attaques multi étapes. Il n’est pas suffisant de déployer des sondes de détection pour surveiller l’exploitation de ces vulnérabilités résiduelles et les opérateurs de sécurité ont besoin de nouveaux outils pour évaluer le risque associé aux événements remontés par ces sondes.

Dans cette thèse de doctorat, nous construisons une méthodologie complète d’analyse statique et dynamique de risque prenant en compte la connaissance à priori d’un système avec les événements dynamiques, afin de proposer des réponses permettant d’empêcher les attaques futures.

Voir les commentaires .

Lire la suite

Hybrid Risk Assessment Model based on Bayesian Networks

Il est difficile pour les opérateurs de sécurité de couvrir toutes les vulnérabilités en déployant des contre-mesures, notamment à cause de la menace des attaques multiétapes. 
Il n'est pas suffisant de déployer des sondes de détection qui surveillent l'exploitation des vulnérabilités résiduelles du système.
 Par conséquent, de nouveaux outils sont nécessaires, pour pouvoir évaluer le risque associé aux événements de sécurité générés par ces sondes.



Dans cet article, nous présentons le modèle hybride d'évaluation de risque HRAM, une extension des graphes d'attaque topologiques basée sur des réseaux bayésiens. 
Ce modèle est capable de prendre en compte les cycles topologiques et peut donc s'appliquer à n'importe quel système d'information.
 Le modèle hybride est composé de deux modèles complémentaires: (1) les modèles de corrélation dynamique de risque DRCM, qui corrèlent une chaine d'alerte avec la connaissance sur le système, pour analyser les attaques en cours et déterminer les probabilités de compromission des machines, (2) les modèles d'évaluation du risque futur FRAM, qui prennent en compte les vulnérabilités existantes et l'état des attaques en cours, pour évaluer les attaques futures les plus probables.
 Nous validons la performance et la précision des résultats de ce modèle sur des topologies réseau simulées sur lesquelles s'appliquent des scénarios d'attaque de taille réaliste.

Voir les commentaires .

Lire la suite