L’Ecole doctorale : Ecole Doctorale de l’Institut Polytechnique de Paris
et le Laboratoire de recherche SAMOVAR – Services rĂ©partis, Architectures, ModĂ©lisation, Validation, Administration des RĂ©seaux
prĂ©sentent lâAVIS DE SOUTENANCE de Monsieur Marwan ABBAS ESCRIBANO
AutorisĂ© Ă prĂ©senter ses travaux en vue de lâobtention du Doctorat de l’Institut Polytechnique de Paris, prĂ©parĂ© Ă TĂ©lĂ©com SudParis en :
Informatique « Modélisation de systÚmes de leurres complexes »
le VENDREDI 12 AVRIL 2024 Ă 10h00
Ă 3A405 – https://webconf.imt.fr/frontend/her-dkl-zx5-md3
Télécom SudParis 19 place Marguerite Perey 91120 Palaiseau France
Membres du jury :
M. HervĂ© DEBAR, Professeur, TĂ©lĂ©com SudParis, FRANCE – Directeur de these
M. MichaĂ«l HAUSPIE, MaĂźtre de confĂ©rences, UniversitĂ© de Lille, FRANCE – Rapporteur
Mme Isabelle CHRISMENT, Professeure, UniversitĂ© de Lorraine, FRANCE – Examinateur
M. Vincent NICOMETTE, Professeur, INSA de Toulouse, FRANCE – Examinateur
M. Ludovic MĂ, Chercheur contractuel, HDR, Inria, FRANCE – Rapporteur
« Modélisation de systÚmes de leurres complexes »
présenté par Monsieur Marwan ABBAS ESCRIBANO
Résumé :
Lâemploi de leurres et de techniques de dĂ©ception pour la cybersĂ©curitĂ© est trĂšs prĂ©sent dans la littĂ©rature, mĂȘme sâil reste relativement peu employĂ© dans lâindustrie malgrĂ© des progrĂšs dans la virtualisation des systĂšmes et des architectures. Il est possible aujourdâhui de dĂ©ployer des leurres pour dĂ©tecter des attaquants et analyser leur procĂ©dĂ©s, mais se dĂ©ploiement se fait au niveau individuel, avec un approche restreinte : un leurre simulant un ou plusieurs services est positionnĂ© au sein dâun pĂ©rimĂštre Ă dĂ©fendre. Cette approche au cas par cas rend difficilement gĂ©nĂ©ralisable le dĂ©ploiement et lâanalyse de donnĂ©es issues des leurres. Dans cette thĂšse, nous avons cherchĂ© Ă construire un modĂšle de leurre qui permet de dĂ©crire ceux-ci de façon claire et dĂ©taillĂ©e et Ă tester la faisabilitĂ© et lâefficacitĂ© des leurres bĂątis selon celui-ci . Nous prĂ©sentons en premier notre modĂšle ainsi que ses diffĂ©rentes composantes. Il se base en particulier sur la matrice MITRE ATT&CK qui nous permet une approche novatrice en construisant nos leurres Ă partir de possibilitĂ©s dâattaque offertes aux attaquants, en simulant toute une cyberkillchain plutĂŽt que de simples vulnĂ©rabilitĂ©s. Nous avons ensuite cherchĂ© Ă vĂ©rifier la faisabilitĂ© de notre modĂšle en construisant un rĂ©seau de leurres en nous basant sur notre modĂšle, puis avons testĂ© lâefficacitĂ© de ces leurres pour lâanalyse de donnĂ©es dâattaque en les dĂ©ployant dans deux contextes diffĂ©rents. Nous avons dĂ©montrĂ© que nos leurres sont efficaces Ă lâheure dâattirer des attaquants et dâobtenir des donnĂ©es dâanalyse exploitables.
Abstract :
The use of decoys and deception techniques in cybersecurity is well documented in the literature, although it is not widespread used in industry despite advances in system and architecture virtualization. It is possible today to deploy decoys to detect attackers and analyze their processes, but deployment is done on an individual level, with a restricted approach: a decoy simulating one or more services is positioned within a perimeter to be defended. This case-by-case approach makes it difficult to generalize the deployment and analysis of decoy data. In this thesis, we set out to build a decoy model that provides a clear and detailed description of decoys, and to test the feasibility and effectiveness of decoys based on this model. We first present our model and its various components. In particular, it is based on the MITRE ATT&CK matrix, which enables us to take an innovative approach by building our decoys from attack possibilities offered to attackers, simulating an entire cyberkillchain rather than just vulnerabilities. We then sought to verify the feasibility of our model by building a network of decoys based on our model, and tested the effectiveness of these decoys for analyzing attack data by deploying them in two different contexts. We demonstrated that our decoys are effective in attracting attackers and obtaining exploitable analysis data.