Automatic Generation of Attack and Remediation Graphs

Depuis la pandémie de COVID-19, les cyberattaques ne cessent de se multiplier en raison du recours croissant à Internet et au télétravail. Les cyberattaques peuvent avoir plusieurs origines. Cette thèse s’intéresse principalement aux cyberattaques exploitant des vulnérabilités dans les réseaux informatiques. Les entreprises doivent prendre le temps de décider quelles vulnérabilités doivent être traitées en priorité. Le nombre d’alertes remontées aux entreprises est énorme. Les experts en cybersécurité ne peuvent en traiter que certaines. Ils doivent par ailleurs décider quelles actions de réponse aux incidents doivent faire partie du plan de réponse aux incidents de l’entreprise. Les travaux de recherche menés dans cette thèse visent à automatiser la construction du processus de plan de réponse aux incidents en tenant compte des exigences pour l’exploitation des vulnérabilités découvertes, de la composition du système et des contraintes de l’organisation. Cette approche est basée sur des graphes d’attaque. Un graphe d’attaque permet de représenter les chemins qu’un adversaire peut prendre pour causer des dommages au système. L’objectif principal de cette thèse est de générer un playbook de réponse aux incidents automatisé en temps réel. Pour atteindre cet objectif, des activités de recherche essentielles sont définies. Ces activités sont subdivisées en quatre objectifs de recherche qui constituent la base des contributions de cette thèse. Le premier objectif de recherche consiste à mettre à jour les graphes d’attaques en temps réel en s’appuyant sur une ontologie de vulnérabilités et une surveillance du système. Cette contribution consiste à développer un outil composé d’un module chargé de corréler les alertes générées par un outil de surveillance intégré à cet outil avec des graphes d’attaques logiques. Ce module déduit quelle vulnérabilité est susceptible d’être exploitée ou est exploitée, puis interroge l’ontologie pour trouver de nouveaux chemins d’attaque possibles menant à l’objectif de l’attaquant. Cela lance alors le processus d’enrichissement du graphe d’attaque avec de nouveaux chemins. Cette contribution est validée grâce à un scénario de cas d’usage concernant une ville intelligente. Le but de l’attaque est de causer des dommages physiques sur le système de transports publics. Cet objectif est réalisable, car un attaquant obtient des privilèges d’administrateur permettant la modification d’informations sensibles en exploitant la vulnérabilité BlueKeep. L’exploitation de la vulnérabilité active la déduction ontologique d’un autre impact de la vulnérabilité constiuant un autre chemin d’attaque. Ce travail montre que l’adversaire pourrait atteindre l’objectif d’attaque plus rapidement en empruntant cette voie. Cette approche permet d’anticiper les chemins d’attaque qui n’étaient pas connus lors de la génération du graphe d’attaque proactif. Le deuxième objectif de recherche se concentre sur la sélection automatique des contremesures de cybersécurité grâce à la correspondance de graphes de connaissance. Cette contribution consiste à faire correspondre le graphe de connaissances de l’ontologie des vulnérabilités avec un graphe de connaissances de contre-mesures pour en déduire des contre-mesures potentielles contre les vulnérabilités du système. Cette approche est évaluée à l’aide de la métrique F1 Score permettant d’évaluer si les contre-mesures sélectionnées sont correctes. Le troisième objectif de recherche consiste à générer automatiquement des playbooks optimaux de réponse aux incidents. Cette contribution se concentre sur la génération d’un playbook optimal pour chaque vulnérabilité identifiée dans le système, en se basant sur les contre-mesures sélectionnées dans la deuxième contribution. En faisant correspondre les contre-mesures sélectionnées avec un framework de réponse aux incidents, cette solution obtient automatiquement les actions de réponse aux incidents candidates pour la génération du playbook. L’outil élague les actions de réponse aux incidents en fonction des exigences d’exploitation des vulnérabilités, des outils de sécurité du système et des contraintes de l’organisation. Ensuite, toutes les combinaisons d’actions sont générées en tenant compte de contraintes telles que le nombre minimum d’actions dans un playbook. Un algorithme d’optimisation aide à sélectionner le playbook optimal en effectuant un compromis entre trois objectifs d’optimisation définis. Cette contribution est validée pour un système illustratif, démontrant comment le playbook optimal généré est logiquement efficace. La performance temporelle du processus est évaluée pour le playbook optimal généré pour 40 vulnérabilités. L’efficacité de l’algorithme d’optimisation est également évaluée à l’aide d’une métrique de l’écart en pourcentage entre le nombre de playbooks générés avant et après l’application de l’algorithme d’optimisation sur les playbooks générés pour les 40 vulnérabilités. Le quatrième objectif de recherche consiste à générer un graphe attaque-défense en temps réel. La contribution se concentre sur l’instanciation de l’action de réponse aux incidents d’un playbook généré sur le graphe d’attaque lorsqu’une alerte générée correspond à un noeud du graphe d’attaque. La solution est déployée sur un poste de travail dans une infrastructure industrielle virtuelle. La configuration permet à un routeur d’envoyer du trafic entre le réseau cible et le réseau dans lequel se trouve l’adversaire vers le poste de travail où l’outil est installé. L’outil de surveillance intégré à la solution proposée surveille le trafic transitant par le routeur et le trafic venant des différentes interfaces de réseaux. Puis, il est capable de générer des alertes. Lorsqu’une alerte générée correspond à un noeud de graphe d’attaque, l’outil commence à rechercher des contre-mesures qui peuvent être instanciées sur le graphe d’attaque dans un tableau qui met en corrélation les actions d’attaque avec les actions de réponse aux incidents. L’approche est validée pour trois scénarios d’utilisation, en considérant la pertinence des contre-mesures instanciées sur le graphe d’attaque en termes de sécurité, c’est-à-dire leur efficacité et leur applicabilité dans la réalité et la performance temporelle du processus d’instanciation. Cette thèse répond à plusieurs problématiques de recherche. Cependant, elle présente certaines limitations. Le processus automatisé de correspondance de graphes permet la sélection de contre-mesures pertinentes, mais prend du temps. Il ne peut donc pas être lancé en temps réel. La complexité temporelle du processus de génération du playbook est non-polynomiale. En fonction de la taille et de la complexité du système ainsi que du nombre de vulnérabilités qu’il contient, l’instanciation d’action du playbook optimal sur le graphe d’attaque peut prendre plus de trois minutes. Cependant, en général, un adversaire met plus de trois minutes pour exécuter la prochaine action menant vers l’objectif de l’attaque. L’approche proposée est donc optimale. Elle automatise en temps réel non seulement l’instanciation d’actions de remédiation sur le graphe d’attaque, mais aussi, elle remonte les actions ne pouvant être instanciées sur le graphe d’attaque aux experts en cybersécurité.

Abstract

Cyberattacks have increased since the COVID-19 pandemic because of the increasing use of the internet and home office trends. They can have several origins. This thesis focuses on cyberattacks exploiting vulnerabilities in computer networks. Organizations should spend time deciding which vulnerabilities should be addressed as a priority. The amount of alerts received by organizations is huge. Cybersecurity experts can only deal with some of them. They should also decide which incident response action should be part of the organization’s incident response plan. This thesis aims to automate the incident response plan by building it based on the discovered vulnerabilities’ exploitation requirements, system composition, and organization constraints. This approach is based on attack graphs, which help represent the paths an adversary can follow to cause damage to the system. The main objective of this thesis is to generate an automated incident response playbook in real-time to respond to the cyberattack. Some essential research activities are defined to reach this goal. They are subdivided into four research objectives that constitute a basis for the proposed contributions of this thesis. The first research objective is updating real-time attack graphs based on a vulnerability ontology and system monitoring. This contribution proposes a tool composed of a module responsible for correlating alerts generated by a monitoring tool integrated into this tool with logical attack graphs. This module deduces which vulnerability is susceptible to be exploited or is exploited and then queries the ontology to find possible new attack paths leading to the attacker’s goal. This launches then the attack graph enrichment with new paths. This contribution is validated thanks to a use-case scenario concerning a smart city. The attack’s goal is to cause physical damage to public transportation. This goal is reachable because an attacker gains administrator privileges, allowing the modification of sensitive information by exploiting the BlueKeep vulnerability. The vulnerability exploitation activates the ontology deduction of a new impact of its exploitation, leading to new attack paths deduction. This work shows that the adversary could reach the attack goal faster by taking this path. This approach helps anticipate attack paths that were not known when generating the proactive attack graph. The second research objective focuses on selecting cybersecurity countermeasures automatically based on graph matching. This contribution consists of matching the knowledge graph of the vulnerability ontology with a countermeasure knowledge graph to deduce potential countermeasures against the system’s vulnerabilities. This approach is evaluated using the F1 Score metric to assess the countermeasures’ correctness. The third research objective is to generate optimal incident response playbooks automatically. This contribution focuses on generating an optimal playbook for each vulnerability identified in the system based on countermeasures selected from the second contribution. The proposed solution automatically generates the candidate incident response actions for the playbook by matching the selected countermeasures with an incident response framework. The tool prunes the incident response actions based on the vulnerability exploitation requirements, the system’s security tools, and the organization’s constraints. Therefore, all the combinations of actions are generated considering constraints such as the minimum number of actions in a playbook. An optimization algorithm helps to select the optimal playbook by doing a tradeoff between three defined optimization objectives. This contribution is validated for an illustrative system, demonstrating how the optimal generated playbook is logically effective. The time performance of the process is evaluated for the optimal playbook generated for 40 vulnerabilities. The effectiveness of the optimization algorithm is also evaluated by using a metric of the percentage gap between the number of playbooks generated before and after applying the optimization algorithm over the playbooks generated for the 40 vulnerabilities. The fourth research objective is to generate an attack-defense graph in real-time. The contribution focuses on instantiating the incident response actions of a playbook generated on the attack graph when an alert generated matches at least a node of the attack graph. The solution is deployed on a workstation in a virtual industrial infrastructure. The configuration enables a router to send traffic between the target network and the network where the adversary network is to the workstation. The monitoring tool integrated into the proposed solution monitors the traffic passing through the router and traffic coming from different network interfaces. Then, it is able to generate alerts. When a generated alert matches an attack graph node, the tool looks for countermeasures that can be instantiated on the attack graph in a table correlating attack facts with incident response actions. The approach is validated for two use case scenarios, considering the security relevance of the countermeasures instantiated on the attack graph and the time performance of the instantiation process. This thesis responds to several research problems. However, it has some limitations. The automated graph-matching process enables the selection of relevant countermeasures but is time-consuming. Therefore, it can not be launched in real time. The time complexity of the playbook generation process is non-polynomial. Depending on the system’s size and complexity and the number of vulnerabilities, the instantiation of incident response actions from the optimal playbook on the attack graph can take more than three minutes. However, an adversary generally takes over three minutes to take his/her next step toward reaching the attack goal. The proposed approach is, therefore, optimal. It automates the instantiation of remediation actions on the attack graph in real-time and reports actions that cannot be instantiated on the attack graph to cybersecurity experts.