C&ESAR 2021 - J2

NukkAi – Cyber-range & IA

Les cyber-ranges sont des bacs à sables permettant d’étudier des attaques, de les rejouer, et d’entrainer des équipes dans des exercices red vs blue. En gros ce sont des capacités de virtualisation et de simulation, avec des scripts de déploiement de SI avec une composante de simulation d’attaque. Les cyber-ranges peuvent être hybrides avec une partie physique tel que HSN Platform, ou full cloud comme Mitre ingenuity ou Microsoft simuland.

Quoi qu’il arrive il faut automatiser le déploiement et automatiser la simulation d’attaque. L’orateur à choisi Terraform pour le provisionning, Ansible pour la configuration, et Mitre Caldera pour la simulation d’attaques. L’Infrastructure as a Code offre une maintenabilité plus forte et fait gagner du temps dans la mise en oeuvre des SI simulés.

Dans l’ensemble du cyber-range, les orateurs ont déployé du monitoring Windows avec du Windows Event Forwarder afin de générer des jeux de données. La génération des jeux de données en automatique permet une exécution de scénarios en temps contraint. L’ensemble de ces datasets va servir aux orateurs pour du machine learning. Leur objectif est de prendre de la hauteur avec une ontologie de haut niveau, pour écrire des règles de haut niveau avec des concept du type « tel compte se connecte ici ». L’autre intérêt est d’alimenter des IA pour augmenter les capacités des analystes.

Détection de triche dans un CTF – une approche Cyber-Threat Hunting

L’orateur cherche à automatiser le threat hunting pour détecter des compétiteurs de CTF qui tricheraient en partageant des flags ou des éléments de solutions. Les CTF sont par exemple utilisés dans des examens comme l’OSCP ou certains étudiants font fuiter les solutions, facilitant le passage de l’examen pour d’autres.

Dans le cadre des expérimentations de l’orateur, des traces systèmes sont générés par les actions des participants, ces logs servent de base pour le suivis des actions des utilisateurs.

Les scénarios d’attaque des participants sont modélisés et servent de base pour le suivis de leurs actions sur le système. Chaque étape est vérifiée au sein d’un SIEM basé sur ELK. Ils ont ensuite fait tourner le CTF pendant 8 mois, et y ont inséré des participants « tricheurs » qui esquivent certaines étapes des challenges, ou bien valident directement la solution. La validation de chaque étape est basée sur des IoC choisies manuellement. L’outil permet sans erreur d’identifier les tricheurs des participants honnêtes, et présente à un humain l’ensemble des actions attribués au « tricheur ».

Reinforced Autonomous Agents with attack defense exercises in realistic environments

Travaux issus d’un RAPID sur 2 ans avec SEKOIA & AMOSSYS. Les ressources compétentes sont rares et couteuses. L’idée de ce projet c’est d’avoir un environnement d’apprentissage réaliste d’attaque/défense. Pour la partie attaque, il faut pouvoir répliquer de façon réaliste une APT, sans polluer le jeu de données avec des traces de simulation. Il faut aussi pouvoir établir un score de réussite de l’agent afin de savoir si la défense ou l’attaque à réussie et à quel point. C’est une composante essentielle de l’apprentissage par renforcement dans une IA. La vie dans le système d’information est elle aussi simulée. Cette vie est produite par un mécanisme conçu lors du précèdent challenge ECW.

Les actions de vie légitime, si ces dernières sont bloqués génèrera un scoring plus élevé, ce qui rentrera dans le scoring de la blue team, qui doit bloquer l’attaquant sans bloquer la yellow team.

La red team est simulée à l’aide d’un mécanisme de scripting des actions de l’attaquant basée sur la matrice mitre ATT&CK.

La blue team possède un inventaire des assets avec un niveau de criticité, et s’appuie sur un XDR de SEKOIA. Le score de la blue team dépend du nombre d’assets compromis et de leur importance.

L’agent d’entrainement est basé sur Openai GYM, qui agit sur l’environement au travers du SIEM et de l’XDR, et la reward est calculée sur la base des scores blue red et yellow. L’agent s’appuie sur du DQN – Deep Queue Learning. L’agent peut bloquer des IP, des domaines, tuer des processus, ou arrêter des machines.

Les résultats bien que limités semblent prometteurs et montrent qu’on peut appliquer l’apprentissage par renforcement à un agent de réponse à incident.