Detecting the most vulnerable nodes in the AND-OR graph using MITRE ATT&CK

Sadeghian, Ali

13 February 2024

Titre de l'écran-titre (visionné le 12 février 2024) / Dans le paysage numérique actuel, la prévention des cyberattaques est devenue extrêmement cruciale. Cela est particulièrement vrai pour les systèmes critiques pour la sécurité, où la protection contre ces menaces est d'une importance primordiale. Pour répondre à cette préoccupation, MITRE Corporation a développé ATT&CK, un vaste cadre comprenant des matrices de données. Ce cadre a pour but d'évaluer l'état de préparation d'une entreprise en matière de sécurité et d'identifier les vulnérabilités qui peuvent exister au sein de son infrastructure. En tirant parti des capacités de MITRE ATT&CK, y compris ses tactiques et techniques, en conjonction avec l'outil LDA4CPS, nous avons conçu une nouvelle approche pour identifier les vulnérabilités les plus critiques dans un système sensible. De plus, nous avons également conçu une solution pour relever les défis associés à ces vulnérabilités. L'utilisation de LDA4CPS nous permet de résoudre efficacement le graphe AND-OR, offrant ainsi une résolution pratique. De plus, l'inclusion des atténuations MITRE ATT&CK fournit à l'équipe bleue (côté défensif) une meilleure connaissance de la situation et une compréhension plus approfondie des circonstances qui prévalent. Par conséquent, l'intégration de LDA4CPS et de MITRE ATT&CK fournit aux organisations des informations précieuses et des mesures pratiques pour renforcer leur posture de sécurité, renforçant ainsi leur capacité à lutter contre les cybermenaces. / In today's digital landscape, the prevention of cyber attacks has become exceptionally crucial. This is especially true for safety-critical systems, where safeguarding against these threats is of paramount importance. To address this concern, the MITRE Corporation has developed ATT&CK, an extensive framework comprising data matrices. This framework serves the purpose of assessing a company's security preparedness and pinpointing vulnerabilities that may exist within its infrastructure. By leveraging the capabilities of MITRE ATT&CK, including its tactics and techniques, in conjunction with the LDA4CPS tool, we have devised a novel approach to identify the most critical vulnerabilities in a susceptible system. Furthermore, we have also devised a solution to tackle the challenges associated with these vulnerabilities. Employing LDA4CPS enables us to effectively solve the AND-OR graph, thereby offering a practical resolution. Moreover, the inclusion of MITRE ATT&CK mitigations provides the blue team (defensive side) with enhanced situational awareness and a deeper understanding of the prevailing circumstances. Consequently, the integration of LDA4CPS and MITRE ATT&CK equips organizations with valuable insights and practical measures to bolster their security posture, thus reinforcing their ability to combat cyber threats.

Surveillance des menaces informatiques.

Algèbre de Boole.

Risk estimation and prediction of cyber attacks

Yermalovich, Pavel

17 February 2021

L’utilisation de l’information est étroitement liée à sa sécurité. Le fait d’exploiter des vulnérabilités permet à une tierce personne de compromettre la sécurité d’un système d’information. La modélisation des menaces aide à prévoir les attaques les plus probables visant une infrastructure donnée afin de mieux les contrer. Le projet de recherche proposé « Estimation des risques et prédiction des cyber-attaques » vise la combinaison de différentes techniques de prédiction de cyber-attaques pour mieux protéger un système informatique. Il est nécessaire de trouver les paramètres les plus informatifs, à savoir les marqueurs de prédiction d’attaque, pour créer des fonctions de probabilité d’attaque en fonction de temps. La prédiction d’une attaque est essentielle pour la prévention des risques potentiels. Par conséquent, la prévision des risques contribue beaucoup à l’optimisation de la planification budgétaire de la sécurité de l’information. Ce travail scientifique se concentre sur l’ontologie et les étapes d’une cyber-attaque, ainsi que les principaux représentants du côté attaquant et leur motivation. La réalisation de ce travail scientifique aidera à déterminer, en temps réel, le niveau de risque d’un système d’information afin de le reconfigurer et mieux le protéger. Pour établir le niveau de risque à un intervalle de temps sélectionné dans le futur, il faut effectuer une décomposition mathématique. Pour ce faire, nous devons sélectionner les paramètres du système d’information requis pour les prévisions et leurs données statistiques pour l’évaluation des risques. Néanmoins, le niveau de risque réel peut dépasser l’indicateur établi. N’oublions pas que, parfois, l’analyse des risques prend trop de temps et établit des valeurs de risques déjà dépassées. Dans la réalisation de ce travail scientifique, nous continuerons d’examiner la question de l’obtention de valeurs de risque en temps réel. Pour cela, nous introduirons la méthode automatisée d’analyse des risques, qui aidera à révéler la valeur du risque à tout moment. Cette méthode constitue la base pour prédire la probabilité d’une cyber-attaque ciblée. Le niveau de risque établi permettra d’optimiser le budget de sécurité de l’information et de le redistribuer pour renforcer les zones les plus vulnérables. / The use of information is inextricably linked with its security. The presence of vulnerabilities enables a third party to breach the security of information. Threat modelling helps to identify those infrastructure areas, which would be most likely exposed to attacks. This research project entitled “Risk estimation and prediction of cyber attacks” aims to combine different techniques for predicting cyber attacks to better protect a computer system. It is necessary to find the most informative parameters, namely the attack prediction markers, to create functions of probability of attack as a function of time. The prediction of an attack is essential for the prevention of potential risk. Therefore, risk forecasting contributes a lot to the optimization of the information security budget planing. This scientific work focuses on ontology and stages of a cyberattack, as well as the main representatives of the attacking side and their motivation. Carrying out this scientific work will help determine, in real time, the risk level of an information system in order to reconfigure and better protect it. To establish the risk level at a selected time interval in the future, one has to perform a mathematical decomposition. To do this, we need to select the required information system parameters for the predictions and their statistical data for risk assessment. Nevertheless, the actual risk level may exceed the established indicator. Let us not forget that sometimes, the risk analysis takes too much time and establishes already outdated risk values. In this scientific work, we will continue reviewing the issue of obtaining real-time risk values. For this, we will introduce the automated risk analysis method, which will help to reveal the risk value at any time point. This method forms the basis for predicting the probability of a targeted cyber attack. The established risk level will help to optimize the information security budget and redistribute it to strengthen the most vulnerable areas.

Surveillance des menaces informatiques.

Détection de menaces internes par apprentissage automatique non supervisé

Bertrand, Simon

14 June 2023

Titre de l'écran-titre (visionné le 5 juin 2023) / Les menaces internes, ou en anglais Insider Threat, surviennent lorsqu'un individu ayant des accès privilégiés au sein d'une organisation les utilise d'une façon causant du tort à l'organisation. L'employé peut réaliser ces actions dangereuses de façon intentionnelle ou non intentionnelle. Les menaces internes sont très variées ce qui les rend particulièrement complexes à détecter. La confidentialité, l'intégrité et la disponibilité des données sont des préoccupations croissantes pour les organisations d'aujourd'hui. Malgré tout, l'étendue de l'impact des menaces internes est souvent sous-estimée. En effet, même si les menaces internes ne représentent qu'une fraction de toutes les cyberattaques, les dangers en lien avec les menaces internes sont réels. Dans un premier lieu, les attaques internes peuvent causer plus de dommages aux organisations que les attaques traditionnelles. Ceci s'explique en partie par la grande connaissance de l'organisation, ainsi que les accès privilégiés, qu'ont les employés réalisant ces attaques. Ces derniers sont donc en mesure de facilement perpétrer des actions dangereuses sans éveiller de soupçons. De plus, dans les dernières années, plusieurs études suggèrent que la majorité des organisations souffrent de menaces internes chaque année [2]. La détection de menaces internes est ainsi un problème pertinent qui attire beaucoup de chercheurs. Une des stratégies couramment utilisée pour faire la détection de menaces internes est de modéliser les comportements des employés d'une organisation et d'identifier toute divergence significative comme une menace potentielle. Pour ce faire, les journaux d'audit, décrivant tous les évènements réalisés par les membres d'une organisation dans le réseau informatique, sont des sources d'informations privilégiées dans le domaine pour apprendre les comportements typiques des utilisateurs. Dans ce mémoire, nous présentons deux solutions originales de détection de menaces internes utilisant des journaux d'audit et des techniques d'apprentissage automatique non supervisé afin d'apprendre les comportements utilisateur et détecter les comportements malicieux. Les deux solutions présentent des résultats compétitifs par rapport à l'état de l'art, et ce en offrant des caractéristiques qui facilitent leur implémentation dans de vraies organisations. / Insider threats occur when a privileged member of an organization wrong fully uses his access in a way that causes harm to his organization. Those damaging actions can be intentional, as in the case of theft or sabotage, however, un intentional dangerous actions are also to be considered, which adds to the complexity of the insider threat. The insider threat is a broad type of cyber menace, making its detection particularly difficult. For organizations, the confidentiality, integrity, and availability of their information are an increasing concern. Yet many under estimate the magnitude of the insider threats against the maintenance of those ideals. Indeed, even though insider threats are only a fraction of all existing cyber threats, this type of menace presents a real and unique danger for organizations. Firstly, an insider threat can be more damaging to an organization than a traditional cyberattack. This is mainly explicable by the privileged accesses and great domain knowledge that the insider possesses over an outsider. The insider has then a better opportunity to use his access and domain knowledge to carry out efficiently and quietly the attack. Moreover, over the last few years, some reports suggest that most institutions yearly suffer from that kind of cyber threat [2]. Insider threat detection is therefore a relevant problem that attracted many researchers to deploy their efforts in the last decades. One common strategy to detect malicious insiders is by modeling the behaviors of the users and identifying any significant divergence as a potential threat. In that matter, audit data, describing the activity of every member of an organization in the network, are regularly chosen to learn user behaviors using statistical or machine learning models. In the present work, we propose two insider threat detection systems that leverage audit data to learn user behaviors and detect divergent conduct in an unsupervised fashion. Both solutions are competitive with state-of-the-art techniques, and were developed considering many challenges in the field, like being easy to implement in a real-world scenario and considering events dependencies.

Surveillance des menaces informatiques.

Sécurité informatique -- Audit.

Apprentissage automatique.

Traitement d'événements (Informatique)

Une approche sémantique de détection de maliciel Android basée sur la vérification de modèles et l'apprentissage automatique

El Hatib, Souad

16 December 2020

Le nombre croissant de logiciels malveillants Android s’accompagne d’une préoccupation profonde liée aux problèmes de la sécurité des terminaux mobiles. Les enjeux deviennent sans conteste de plus en plus importants, suscitant ainsi beaucoup d’attention de la part de la communauté des chercheurs. En outre, la prolifération des logiciels malveillants va de pair avec la sophistication et la complexité de ces derniers. En effet, les logiciels malveillants plus élaborés, tels que les maliciels polymorphes et métamorphiques, utilisent des techniques d’obscurcissement du code pour créer de nouvelles variantes qui préservent la sémantique du code original tout en modifiant sa syntaxe, échappant ainsi aux méthodes de détection usuelles. L’ambition de notre recherche est la proposition d’une approche utilisant les méthodes formelles et l’apprentissage automatique pour la détection des maliciels sur la plateforme Android. L’approche adoptée combine l’analyse statique et l’apprentissage automatique. En effet, à partir des applications Android en format APK, nous visons l’extraction d’un modèle décrivant de manière non ambiguë le comportement de ces dernières. Le langage de spécification formelle choisi est LNT. En se basant sur le modèle généré, les comportements malicieux exprimés en logique temporelle sont vérifiés à l’aide d’un vérificateur de modèle. Ces propriétés temporelles sont utilisées comme caractéristiques par un algorithme d’apprentissage automatique pour classifier les applications Android. / The ever-increasing number of Android malware is accompanied by a deep concern about security issues in the mobile ecosystem. Unquestionably, Android malware detection has received much attention in the research community and therefore it becomes a crucial aspect of software security. Actually, malware proliferation goes hand in hand with the sophistication and complexity of malware. To illustrate, more elaborated malware like polymorphic and metamorphic malware, make use of code obfuscation techniques to build new variants that preserve the semantics of the original code but modify it’s syntax and thus escape the usual detection methods. In the present work, we propose a model-checking based approach that combines static analysis and machine learning. Mainly, from a given Android application we extract an abstract model expressed in terms of LNT, a process algebra language. Afterwards, security related Android behaviours specified by temporal logic formulas are checked against this model, the satisfaction of a specific formula is considered as a feature, finally machine learning algorithms are used to classify the application as malicious or not.

Google (Firme)

Android (Système d'exploitation)

Surveillance des menaces informatiques.

Logiciels malveillants -- Prévention.

Systèmes d'exploitation (Ordinateurs)

Apprentissage automatique.

Applications mobiles.