Date : 2011
Editeur / Publisher : [S.l.] : [s.n.] , 2011
Type : Livre / Book
Type : Thèse / ThesisLangue / Language : anglais / English
Systèmes informatiques -- Mesures de sûreté
Résumé / Abstract : The growth of information and critical systems in size and complexity, combined with the steady increase in attacks’ frequency and sophistication, renders current response systems obsolete. The system can be targeted by different but simultaneous attacks, which require the activation of different responses. Furthermore, the appropriate response action for a given attack can have side effects: (i) intrinsic cost for the system or (ii) allowing or facilitating the execution of other attacks. Thus, intelligent response systems are certainly needed in order to enhance the response procedure in automated systems, or to assist the administrators in the process of taking the appropriate response decision. While the majority of existing response models is cost-oriented, we adopt a more general perspective: risk-awareness. Conformably to the definition of risk, we consider jointly the impact and the success likelihood of ongoing attacks, during the response selection procedure. First, we propose a response workflow with two distinctive levels: tactical response and strategic response. Tactical response is composed of simple countermeasures, which have a limited scope in the system. They are generally associated with an ongoing attack’s occurrence. On the other hand, strategic response is specified using a formal policy language (Organization-based Access Control - OrBAC), and deployed in the system to counter a major threat. Second, we focus on tactical response and propose a risk-aware framework. When an ongoing attack is detected, we assess dynamically the overall risk of the attack, by combining mainly its potential impact with its success likelihood. Then, candidate countermeasures are prioritized with respect to their effectiveness in reducing the overall risk. Afterward, we focus on the success likelihood factor, by proposing a dynamic model to assess this metric, which considers the progress’ state of the ongoing attack and the system’s state. Third, we proceed by presenting a risk-aware activation and deactivation framework for strategic response. A strategic response (i.e. policy-based) is activated and maintained in the system, as long as the dynamic risk of an ongoing attack exceeds the cost of the response. Contrary to other response systems, we consider the deactivation of the response, which is performed when the attack’s risk drops, or when the cost of the response is too high. In this thesis, a VoIP service was selected to demonstrate our proposal. The implementation of the risk-aware tactical response module is mainly based on the CRIM prototype, while we used the MotOrBAC prototype to specify, activate and deactivate strategic response. We believe that a risk-aware approach can offer to the administrator or to the automated response system, a more comprehensive view on the ongoing attacks, and goes beyond by prioritizing candidate responses with respect to their effectiveness in reducing the overall risks.
Résumé / Abstract : La croissance de l'échelle des systèmes d'information critiques, combinée à l'augmentation continue de la fréquence et de la sophistication des attaques, rend les systèmes de réponses classiques inadéquats. Le système peut être la cible de plusieurs attaques simultanées, qui nécessitent l'activation de réponses différentes et contradictoires. En outre, une réponse peut avoir des effets collatéraux, comme (i) induire un coût intrinsèque sur le système, (ii) permettre et faciliter l'exécution d'autres attaques. Ainsi, les systèmes de réponse doivent être conçus d'une manière intelligente, pour optimiser l'activation des réponses appropriées, soit pour les automatiser, soit pour fournir une assistance à la décision aux administrateurs. Alors que la majorité des modèles de réponses existants considère seulement le coût des attaques et des réponses, nous adoptons une perspective plus générale basée sur le risque. Conformément à la définition du risque, nous considérons conjointement l'impact et la vraisemblance de succès des attaques en cours dans le processus de sélection de réponse. D'abord, nous proposons un workflow qui permet de réagir sur deux plans distincts, sur le plan tactique, et sur le plan stratégique. La réponse tactique est composée des contremesures élémentaires à portées limitées dans le système. Elles sont généralement liées à l'occurrence d'attaque en cours. En revanche, la réponse stratégique est spécifiée avec un langage formel qui permet d'exprimer des politiques de sécurité. Elles sont déployées globalement dans le système pour des menaces majeures. Ensuite, nous proposons un modèle pour la réponse tactique, basé sur une évaluation de risques dynamique. Quand une attaque en cours est détectée, nous évaluons le risque global en combinant l'impact potentiel avec la vraisemblance de succès de l'attaque. Les contremesures seront ordonnées par rapport à leur efficacité à réduire le risque global. Nous mettons l'accent sur le facteur de vraisemblance de succès, et nous proposons un modèle dynamique pour évaluer ce paramètre, en tenant compte du progrès de l'attaque en cours et l'état du système. Enfin, nous présentons un framework basé sur les risques pour l'activation et la désactivation de la réponse stratégique. Cette réponse est activée et déployée quand le risque de l'attaque en cours dépasse le coût cumulé de la réponse, et elle est maintenue tant que le risque reste présent. Contrairement aux systèmes existants, nous considérons la désactivation d'une réponse qui est effectuée lorsque le risque de l'attaque décroît, ou dés lors que le coût de la réponse devient important. Dans cette thèse, un service VoIP a été choisi pour valider nos propositions, tout en respectant les contraintes opérationnelles et de sécurité.