Description
Date depot: 7 mars 2023
Titre: Améliorer le Dernier Recours de la Cyberdéfense: Techniques Innovantes d’Analyse SIEM
Directeur de thèse:
Refik MOLVA (Eurecom)
Encadrant :
Simone AONZO (Eurecom)
Directeur de thèse:
Marc DACIER (KAUST)
Domaine scientifique: Sciences et technologies de l'information et de la communication
Thématique CNRS : Non defini
Resumé: La plupart des organisations disposent de solides défenses périmétriques. Les brèches sont détectées grâce aux
alertes du système de gestion des informations et des événements de sécurité(SIEM) qui sont envoyées `a l’´équipe
du centre des opérations de sécurité (SOC) en temps réel lorsqu’un événement suspect se produit. Cela permet de
minimiser les dommages potentiels.
Même si les SIEM contribuent de manière significative `a la posture de sécurité des entreprises, ils cachent
plusieurs pièges. En plus d’ˆêtre compliqués et couteux, ils sont épuisants pour l’ˆêtre humain qui doit gérer les
innombrables alertes qui s’avèrent très souvent ˆêtre des faux positifs. De plus, s’ils fonctionnent très bien contre
les menaces bien connues, ils échouent souvent `a identifier les ´évènements de type ”zero-day”. Ils ´échouent aussi `a
prendre en compte l’aspect polymorphe des malwares modernes. Il est donc crucial de résoudre ces lacunes pour
obtenir une réelle ”sécurité”.
Les limites per¸cues des alarmes générées par les outils de sécurité réseau existants ou les SIEM peuvent ˆetre
regroupées en quatre catégories : i) alarmes peu fiables, ii) manque de personnalisation des systèmes traditionnels,
iii) alarmes en boite noire et manque d’explicabilité, iv) manque de contexte sur les réseaux et les systèmes, les
processus ou l’activité. Par conséquent, l’objectif de ce doctorat est d’étudier et de proposer des solutions innovantes
`a ces problèmes, en se concentrant aussi sur le rouage crucial de ce système, celui `a qui le pouvoir de décision est
finalement délégué : l’ˆêtre humain.
Concrètement, nous cherchons `a détecter les menaces de manière plus efficace et plus fiable afin de minimiser les
faux positifs. Cela est possible en reliant les différentes attaques, en donnant un poids `a chaque ´événement et
`a chaque point de données, et en enquêtant sur les IP connexes et les répertoires ouverts contenant les logiciels
malveillants. L’objectif est également d’extraire des informations de paramètres de faible valeur afin de détecter
des modèles.
De plus, les modèles commerciaux d’IA, fournis en boite noire afin de détecter les menaces, ne fournissent pas
d’informations compréhensibles par l’homme sur leurs résultats, ce qui empêche le personnel de sécurité d’évaluer la
raison de ces prédictions. Nous voulons fournir le contexte derrière les alarmes reçues. Une possibilité de recherche
consiste `a étudier comment les journaux et autres sources de données contextuelles peuvent ˆêtre représentés dans
des technologies sémantiques telles que les graphes de connaissances (Knowledge Graphs KG). Ces graphes peuvent
intégrer des connaissances sur le client, le réseau et des connaissances provenant d’entités externes. Par conséquent,
les données contextuelles peuvent ˆêtre intégrées pour générer des alarmes contextuelles. En outre, une telle structure
peut ˆêtre utilisée par les analystes pour filtrer les faux positifs ou pendant le processus de Threat Hunting.
Enfin, en ce qui concerne la corrélation des événements, il est intéressant d’examiner si un chemin sur le KG
correspond au modus operandi d’un acteur particulier. De cette façon, les algorithmes de similarité de graphes
pourraient aider à identifier des modèles d’attaque similaires et par conséquent corréler avec une certaine probabilité
la présence d’un même APT au fil des années.
Ce doctorat est réalisé en collaboration avec Amadeus et Eurecom. Amadeus est aujourd’hui le premier fournisseur mondial de solutions IT pour l’industrie du voyage. Ses principaux clients sont les fournisseurs de voyages
tels que les compagnies aériennes, les agences de voyages et les hôtels. Etant donné que cette entreprise traite ´
une quantité importante de données sensibles (par exemple, les informations personnelles des passagers et leurs
déplacements physiques sur le territoire) et de données liées `a la tarification, Amadeus est soumis `a de nombreuses
menaces. La fraude, les fuites d’informations sensibles, les attaques DDOS, les ransomwares et les violations
impliquant l’élément humain (y compris les attaques d’ingénierie sociale, les mauvais usages et les erreurs) sont
quelques-uns des défis de sécurité les plus importants auxquels Amadeus est confronté quotidiennement. Dans le
cadre de ce doctorat, Amadeus est chargé de fournir un accès aux journaux de sécurité de leur SIEM sous une
forme anonyme.
D’autre part, Eurecom est une école d’ingénieurs et un centre de recherche en sciences numériques spécialisé
dans de nombreux domaines. Elle est basée à Sophia-Antipolis et se concentre, entre autres, sur la sécurité des
systèmes et des logiciels, la cryptographie appliquée et les protocoles de sécurité.
En conclusion, cette thèse sera basée sur l’exploration de données, la détection d’intrusion, la sécurité des
réseaux et le renseignement
Résumé dans une autre langue: Most organizations have strong perimeter defenses, but how will they know if they have a breach?
Security Information and Event Management (SIEM) alerts the Security Operations Center team in real
time when something suspicious occurs, thus minimizing the potential damage. SIEMs are a log aggregation and correlation platform; they collect and normalize data from various network and application
sources and seek signatures of malicious activity. However, even though SIEMs contribute significantly to
corporate security posture, they conceal several pitfalls. In addition to being complicated and expensive,
they are exhausting for the users who have to manage the countless alerts that very often turn out to be
False Positives. Furthermore, even in the presence of a true positive, there is still much research to be
conducted for correlating the current incident with past ones to ascertain whether the threat actor who
led the attack is the same. Finally, while they function very well against well-known threats, they often
fail to identify zero-day events, and also to consider the polymorphic aspect of modern malware, it is
crucial to resolve these gaps in order to achieve real “security.” Therefore, this thesis is about proposing
new and modern solutions to these problems, also focusing specifically on the crucial cog in this system,
the one to whom decisional power is finally delegated: the human being
Doctorant.e: Boulila Elyssa