Honeypot 4.0 : Nous avons présenté nos travaux en cours sur la plate-forme d’expérimentation Cyber CNI au salon ECW/C&ESAR !

Accueil » Évènement » Honeypot 4.0 : Nous avons présenté nos travaux en cours sur la plate-forme d’expérimentation Cyber CNI au salon ECW/C&ESAR !

Honeypot 4.0 : Nous avons présenté nos travaux en cours sur la plate-forme d’expérimentation Cyber CNI au salon ECW/C&ESAR !

Aujourd’hui, nous avons présenté nos travaux en cours sur la plate-forme d’expérimentation Cyber CNI lors de la Semaine européenne du cybernétique (ECW) / Rendez-vous des applications de sécurité informatique et électronique (C&ESAR) ! La présentation a été très bien accueillie, ce qui se reflète dans les excellentes questions posées. Vous pouvez trouver l’article correspondant ici. L’enregistrement de votre présentation est disponible ici.

Qu’est-ce que le ECW / C&ESAR ?

Basée au cœur de la région française de la cybersécurité, Rennes Bretagne, la Semaine européenne de la cybersécurité (ECW) présente les dernières avancées en matière de cyberdéfense et de cybersécurité. L’édition de cette année propose des conférences scientifiques et techniques sur le thème « Intelligence artificielle et cybersécurité ». Le C&ESAR se concentre sur le « leurage numérique ».

Notre présentation porte sur

La technologie opérationnelle (OT) joue un rôle essentiel dans les sociétés modernes. Elle est essentielle pour des applications telles que l’approvisionnement en eau ou en électricité, les soins de santé ou les transports. En même temps, l’OT est souvent connectée à l’Internet pour permettre le contrôle à distance et la collaboration. Son impact sociétal fait de l’OT une cible d’attaque attrayante. Sa connectivité à l’internet augmente considérablement la probabilité d’attaque.

Pour se protéger contre les attaques, il est important de les identifier et de les étudier. Les pots de miel permettent de telles études. Cependant, les pots de miel réalistes sont difficiles et coûteux à mettre en place. Ils sont également rigides, car leur environnement est généralement statique.

En collaboration avec Airbus Cybersecurity, la chaire Cyber CNI développe actuellement un pot de miel à interactions mixtes pour les infrastructures critiques. La configuration ciblée combine des éléments physiques et virtualisés qui peuvent être reconfigurés de manière flexible. Cela permet d’exécuter divers paramètres répartis dans le temps ou l’espace. La partie virtualisée permet de mettre à l’échelle les expériences. L’objectif du pot de miel Cyber CNI est de permettre une étude plus approfondie des technologies de l’information et de l’exploitation (IT & OT).

La discussion avec le public a porté sur les sujets suivants

Quel est l’état d’avancement du projet par rapport à ses objectifs : La formation ? Immersion dans un environnement réel ?

Les objectifs du projet sont les suivants :

1) Expérimenter, tester des algorithmes de notre part et de celle des autres.

2) Examiner des attaques réelles dans ce laboratoire d’expérimentation.

3) Enseigner. A la fin, nous aurons trois parties de la plate-forme :

  1. Dans l’espace de démonstration du département SRCD à Rennes où vous êtes les bienvenus !
  2. Dans notre espace dans le nouveau bâtiment Censyble.
  3. Dans notre Zone de Ressources Restreintes (ZRR) pour les expérimentations critiques de sécurité, ainsi que les données de nos partenaires industriels.

Cela permet d’en utiliser des parties dans le cadre de la très importante formation à la cybersécurité.

En ce qui concerne l’avancement, nous avons installé et utilisé toutes les parties séparément depuis longtemps. Le défi actuel est de tout intégrer et d’ajouter des fonctionnalités pour gérer le système d’une manière qui le permette :

  • une expérimentation reproductible
  • reconfiguration dynamique pour mener plusieurs expériences en parallèle dans le temps et l’espace

Comment le trafic d’attaque est-il défini : est-il basé sur un ensemble de données particulier ou par l’action d’une red team ?

Dans la recherche, nous prenons de temps en temps naturellement la position d’une red team. De cette façon, oui bien sûr, nous le faisons.

En outre, nous allons faire des relectures des données acquises par nos partenaires, les entreprises industrielles et d’autres chercheurs.

Bien sûr, avec un pot de miel, nous voulons attirer et observer les attaquants. Comme nous avons la situation d’avoir de véritables usines miniaturisées, je pense que nous avons de bonnes chances de les attraper.

Autre point important pour moi : nous voulons ouvrir une partie de la plate-forme à d’autres chercheurs. Cela permettra d’observer encore plus d’attaques, et surtout, cela permettra la collaboration !

J’attends de cette nouvelle infrastructure qu’elle nous permette de mener des expérimentations uniques. En outre, la partie de visualisation unique nous donnera des aperçus uniques. De grandes opportunités de recherche se présentent !

Sur le CyberRange d’Airbus, les deux sont réalisables : des actions et des scénarios préenregistrés (en JSON et transmis à vm et aux dockers par divers moyens – ssh, vmtools, agents…). Egalement des actions humaines réelles réalisées par une red team.

A titre d’exemple, le cadre CICAT, dérivé du cadre ATT&CK de MITRE, permet de « simuler » des attaques sur des cybersystèmes physiques.

Cela a t il du sens d’envisager la réalité mixte pour le comportement des attaquants ?

La visualisation a deux objectifs majeurs :

1) Elle permet d’offrir un accès inédit aux choses qui se passent dans l’ambiance.

En tant qu’humains, nous ne pouvons pas percevoir ce qui se passe dans les systèmes informatiques. La visualisation nous donne accès à ces informations. Notre but est de développer un accès intuitif à ce qui se passe dans le système, de permettre aux humains de comprendre ce qui se passe et d’expérimenter des contre-mesures en voyant les effets en temps réel.

La visualisation se fera avec des casques mais aussi avec des « lunettes » comme votre smartphone. Vous connaissez le principe de jeux tels que Pokémon GO.

2) Les systèmes de réalité mixte vont gagner en importance dans les années à venir. Ils constituent donc une nouvelle surface d’attaque. La plate-forme d’expérimentation Cyber CNI nous permettra donc d’évaluer et d’améliorer la sécurité des systèmes de réalité mixte, et d’enquêter sur les attaques dont ils font l’objet.

By | 2021-01-12T23:38:37+00:00 décembre 15th, 2020|Categories: Actualités, Évènement, Projets, Publications|0 Comments

About the Author:

Marc-Oliver Pahl
Marc-Oliver Pahl est directeur de recherche à l'Institut Mines Télécom (IMT) Atlantique, campus de Rennes, France. Il est titulaire de la chaire industrielle Cybersécurité pour les infrastructures critiques (Cyber CNI). La chaire industrielle est portée par Airbus, Amossys, BNP Paribas, EDF et Nokia Bell. Avec actuellement plus de 20 membres, la chaire mène des recherches exceptionnelles sur la cybersécurité depuis 2016.