L’Ecole doctorale : Ecole Doctorale de l’Institut Polytechnique de Paris

et le Laboratoire de recherche SAMOVAR – Services répartis, Architectures, Modélisation, Validation, Administration des Réseaux

présentent l’AVIS DE SOUTENANCE de Monsieur Marwan ABBAS ESCRIBANO

Autorisé à présenter ses travaux en vue de l’obtention du Doctorat de l’Institut Polytechnique de Paris, préparé à Télécom SudParis en :

Informatique « Modélisation de systèmes de leurres complexes »

le VENDREDI 12 AVRIL 2024 à 10h00

à 3A405 – https://webconf.imt.fr/frontend/her-dkl-zx5-md3
Télécom SudParis 19 place Marguerite Perey 91120 Palaiseau France

Membres du jury :

M. Hervé DEBAR, Professeur, Télécom SudParis, FRANCE – Directeur de these
M. Michaël HAUSPIE, Maître de conférences, Université de Lille, FRANCE – Rapporteur
Mme Isabelle  CHRISMENT, Professeure, Université de Lorraine, FRANCE – Examinateur
M. Vincent NICOMETTE, Professeur, INSA de Toulouse, FRANCE – Examinateur
M. Ludovic MÉ, Chercheur contractuel, HDR, Inria, FRANCE – Rapporteur

« Modélisation de systèmes de leurres complexes »

présenté par Monsieur Marwan ABBAS ESCRIBANO

Résumé :

L’emploi de leurres et de techniques de déception pour la cybersécurité est très présent dans la littérature, même s’il reste relativement peu employé dans l’industrie malgré des progrès dans la virtualisation des systèmes et des architectures. Il est possible aujourd’hui de déployer des leurres pour détecter des attaquants et analyser leur procédés, mais se déploiement se fait au niveau individuel, avec un approche restreinte : un leurre simulant un ou plusieurs services est positionné au sein d’un périmètre à défendre. Cette approche au cas par cas rend difficilement généralisable le déploiement et l’analyse de données issues des leurres. Dans cette thèse, nous avons cherché à construire un modèle de leurre qui permet de décrire ceux-ci de façon claire et détaillée et à tester la faisabilité et l’efficacité des leurres bâtis selon celui-ci . Nous présentons en premier notre modèle ainsi que ses différentes composantes. Il se base en particulier sur la matrice MITRE ATT&CK qui nous permet une approche novatrice en construisant nos leurres à partir de possibilités d’attaque offertes aux attaquants, en simulant toute une cyberkillchain plutôt que de simples vulnérabilités. Nous avons ensuite cherché à vérifier la faisabilité de notre modèle en construisant un réseau de leurres en nous basant sur notre modèle, puis avons testé l’efficacité de ces leurres pour l’analyse de données d’attaque en les déployant dans deux contextes différents. Nous avons démontré que nos leurres sont efficaces à l’heure d’attirer des attaquants et d’obtenir des données d’analyse exploitables.

Abstract :

The use of decoys and deception techniques in cybersecurity is well documented in the literature, although it is not widespread used in industry despite advances in system and architecture virtualization. It is possible today to deploy decoys to detect attackers and analyze their processes, but deployment is done on an individual level, with a restricted approach: a decoy simulating one or more services is positioned within a perimeter to be defended. This case-by-case approach makes it difficult to generalize the deployment and analysis of decoy data. In this thesis, we set out to build a decoy model that provides a clear and detailed description of decoys, and to test the feasibility and effectiveness of decoys based on this model. We first present our model and its various components. In particular, it is based on the MITRE ATT&CK matrix, which enables us to take an innovative approach by building our decoys from attack possibilities offered to attackers, simulating an entire cyberkillchain rather than just vulnerabilities. We then sought to verify the feasibility of our model by building a network of decoys based on our model, and tested the effectiveness of these decoys for analyzing attack data by deploying them in two different contexts. We demonstrated that our decoys are effective in attracting attackers and obtaining exploitable analysis data.