Thèse sur le Système de Défense automatisé pour la Cybersécurité F/H
Thèse France Infra / Réseaux / Télécoms
Description de l'offre
about the role
Effectuer un travail de thèse "Système de Défense automatisé pour la Cybersécurité"
Le contexte global est l'utilisation des technologies d'Intelligence Artificielle dans le domaine de la Cyberdéfense.
Du fait de la transformation digitale des entreprises, les architectures de réseaux et services sont constituées de systèmes hétérogènes de plus en plus ouvertes sur Internet. Elles sont devenues les cibles de cyber-attaques de plus en plus évoluées. Ces attaques sont aussi en forte augmentation et se traduisent par un volume croissant de données et d'événements à investiguer pour lesquels les experts ont besoin d'outils plus performants:
· pour les aider à automatiser la détection des attaques qui leur sont connues, mais aussi des attaques incon-nues;
· pour réagir automatiquement : pour lutter contre l'augmentation d'attaques automatisées, il faut pouvoir mettre en place un système de réaction automatisé afin de réduire le délai de réaction aux incidents;
· pour anticiper des attaques nouvelles : les évolutions sur le système à protéger peuvent aussi introduire de nouvelles vulnérabilités potentiellement exploitables dans de nouveaux scénarios d'attaque;
· pour faire des recommandations de contremesures voire proposer des correctifs à mettre en place.
Plusieurs outils spécialisés sont développés pour adresser certains de ces besoins mais des travaux sont poursuivis en recherche et développement pour les perfectionner.
Etat de l'art
Une architecture de défense statique avec des règles pré-configurées
Dans l'approche dite “défense en profondeur”, chaque niveau de sécurisation implémente une configuration (liste noire, base de signatures) statique qui a besoin d'être mise à jour dès que de nouvelles menaces sont découvertes. La maintenance de ce type d'architecture est coûteuse. L'efficacité reste limitée contre des attaques complexes.
Automatisation de la détection d'attaque avec du machine learning
Des algorithmes d'apprentissage automatique sont utilisés dans la détection d'attaques [3]. Les premiers modules UBA (User Behavior Analytics) sont déjà commercialisés pour compléter des solutions de SIEM (Security Information and Event Management) existantes ([7], [8]). Les experts n'ont plus besoin de connaître au préalable une attaque pour spécifier sa signature, avant de la contrer. En pratique, ces solutions se révèlent difficiles à utiliser, car elles génèrent souvent trop de faux positifs [4] et nécessitent d'être entraînées fréquemment pour s'adapter aux changements de comportement normal du système à protéger.
Une réaction automatisée très limitée
Une fois un incident remonté par le SIEM, quelle sera la procédure à appliquer pour traiter cet incident? Dans les cas où l'automatisation de la réaction est possible, elle se traduit actuellement par l'exécution d'un script simple défini à l'avance par une procédure de sécurité opérationnelle rigoureusement formalisée. En effet, beaucoup d'alertes sont en réalité des faux positifs et nécessitent une validation des experts
La DARPA et le Cyber Grand Challenge
Le DARPA (Defense Advanced Research Projects Agency) étudie la faisabilité de concevoir la prochaine génération de système de défense basée sur des raisonnements, appelé système CRS (Cyber Reasoning System) [5]. Lors de la compétition «Darpa Cyber Grand Challenge» en août 2016, une solution proposée visait à identifier et à déployer automatiquement des patches de sécurité pour corriger des vulnérabilités. Actuellement, des techniques d'analyse « semi-automatisées » existent: «Symbolic Execution», «Constraint Solving» ou «Fuzzing». Cependant, l'analyse du code est encore un procédé artisanal qui demande de l'expertise pour parvenir à identifier les vulnérabi-lités et proposer des corrections
about you
· objectifs de la thèse - verrous à lever
L'objectif de la thèse est de proposer un système de type « Cyber Reasoning System » capable de raisonnement pour se défendre contre les cyberattaques.
En référence à différents articles publiés, un système de type CRS intègre les mécanismes suivants:
1.analyse de logiciels : compréhension automatique du logiciel
2.identification de vulnérabilités : scanner des failles de sécurité (mode anomalie)
3.analyse de comportement d'utilisateur : établir un modèle du comportement normal d'utilisateur
4.analyse de menaces et d'attaques : établir dynamiquement des signatures de menace et d'attaque
5.génération et déploiement des patchs : en s'appuyant sur la compréhension du logiciel, le modèle du comportement normal de l'utilisateur et le modèle de menace, le système génèrera des patches de sécurité et permettra de reconfigurer tout ou partie des équipements de sécurité.
En particulier, on peut citer deux techniques utilisées dans la défense des systèmes et réseaux, dont l'usage serait intéressant à explorer :
· Défense basée sur des signatures : actuellement, des équipements IDS, des patches de sécurité et des scanners de vulnérabilité s'appuient sur des technologies de défense basées sur des signatures. Les experts mettent au point ces signatures en se basant sur un état de l'art des connaissances (ex : bases de vulnérabilités CVE). Un système de type CRS sera capable de générer automatiquement des signatures de scanner, d'IDS et des patches de sécurité. En outre, il intégrera des algorithmes de « machine learning » afin de réaliser des raisonnements complexes après avoir acquis de nouvelles connaissances.
· Défense basée sur la Déception : en complément, la thèse pourra également explorer l'usage des techniques de « Déception » [6], considérées comme une solution proactive de défense contre des attaques en cours. La Déception met en place des leurres dans des scénarios de contre-attaques évolutifs en fonction de l'expertise des attaquants. Elle vise à perturber l'analyse des attaquants, à leur faire perdre du temps et à les détourner du système réel.
Le verrou scientifique de cette thèse réside principalement dans la combinaison de plusieurs disciplines de l'apprentissage automatique pour mettre en oeuvre plusieurs types d'analyses orientées sécurité (descriptive, prédictive, prescriptive).
· approche méthodologique - planning
En première année, le candidat réalisera un état de l'art sur les techniques de défense automatisée dans le domaine de la cybersécurité et identifiera les principaux composants techniques qu'il serait intéressant d'utiliser pour mettre en place un système de défense automatisé. Il proposera une feuille de route, qui présentera différentes pistes de travail pour résoudre les questions posées par la thèse.
En deuxième année, le candidat proposera une architecture fonctionnelle et technique pour réaliser le système de défense automatisé en identifiant les composants fonctionnels et techniques appropriés. La construction de ces composants se fera selon une approche « modeldriven » qui tiendra compte des solutions de sécurité déjà construits.
En troisième année, le candidat finalisera le développement du système et le testera dans le contexte d'une application réelle. Une valorisation sous forme d'articles scientifiques sera aussi réalisée.
Vous êtes diplômé(e) d'une école d'ingénieur ou titulaire d'un Master Recherche en informatique avec une spécialisation en sécurité des systèmes et réseaux.
Une expérience de stage ou de projet liée à ces différents domaines représenterait un plus pour ce poste :
· monitoring de sécurité dans les réseaux IP mettant en oeuvre des techniques d'analyse comportementale sur des applications Web,
· bonnes pratiques en sécurité dans la conception et le développement des applications Web,
· réalisation d'audit de sécurité et de tests de pénétration des applications Web.
Compétences techniques souhaitées :
développement réalisé en environnement Linux, programmation en Py-thon, PHP.
Compétences scientifiques : statistiques, algorithmes de machine learning.
Un bon niveau d'anglais est souhaité à l'oral et à l'écrit.
L'autonomie, un esprit de synthèse et une forte motivation sont des qualités indispensables pour la réussite de la thèse.
additional information
Cette thèse fournira une opportunité de fédérer plusieurs spécialités dans le domaine de la cybersécurité. En outre, elle permettra de travailler sur des technologies d'Intelligence Artificielle applicables au domaine de la cybersécurité.
· Références
[1] R. Sekar, A. Gupta, J. Frullo, T. Shanbhag, A. Tiwari, H. Yang, and S. Zhou. “Specification-based Anomaly Detection: A New Approach for Detecting Network Intrusions.” In Proceedings of the ACM Conference on Computer and Communications Security (CCS 2002)
[2] W. Lee and S. J. Stolfo. “A Framework for Constructing Features and Models for Intrusion Detection
Systems.” ACM Transactions on Information and System Security [3] Federico Maggi, William Robertson, Christo-pher Kruegel, and Giovanni Vigna “Protecting a Moving Target: Addressing Web Application Concept Drift” RAID 2009
[3] K. Veeramachaneni, I. Arnaldo, A. Cuesta-Infante, V. Korrapati, C. Bassias, K. Li . “AI²: Training a big data ma-chine to defend”. Avril 2016.
[4] V. Frias-Martinez, S. J. Stolfo, and A. D. Keromytis. “Behavior-Profile Clustering for False Alert Reduction in Anomaly Detection Sensors” - In Proceedings of the Annual Computer Security Applications Conference (ACSAC 2008)
[5] DARPA Cyber Grand Challenge - https://cgc.darpa.mil/
[6] Yuill, J., D. Denning, Feer, F., “Using Deception to Hide Things from Hackers : Processes, Principles,
and Techniques”, Journal of Information Warfare - November 2006
[7] IBM QRadar User Behavior Analytics - http://www-03.ibm.com/software/products/fr/qradar-user-behavior-analytics
[8] HP Arcsight User Behavior Analytics - https://www.hpe.com/h20195/V2/getpdf.aspx/4AA5-8223ENW.pdf
department
Vous serez basé(e) à Châtillon et travaillerez au sein de l'équipe « Network Security » dans un département « Sécurité » d'Orange Labs Produits et Services.
L'équipe contribue dans différents domaines de sécurité (analyse de risques, cybersécurité, sécurité des réseaux fixes et mobiles, sécurité des plateformes de services, sécurité du SDN/NVF…) ; elle participe à des projets de recherche en sécurité (projets internes, projet collaboratifs) et à des projets opérationnels du Groupe.
contract
Thesis