Symposium sur la sécurité des technologies de l'information et des communications

La complexité croissante des systèmes modernes rend la recherche de vulnérabilités difficile, car l'identification des chemins d'attaque est elle-même difficile. Les graphes de provenance sont une abstraction qui facilitent cette identification, en reliant les processus, les ressources et les flux d'information. Dans ce travail, nous introduisons les graphes de provenance à états étendus (State-Expanded Provenance Graphs ou SEPG) afin d'aider un évaluateur en cybersécurité à identifier des vulnérabilités dans un système partiellement connu. Nous nous appuyons sur des traces légères d'appels système, tout en conservant une construction indépendante de la méthode de collecte de traces. Nous proposons des solutions au problème de sur-connexion (over-linking,) dans lequel les modèles de processus persistants peuvent corréler à tort de nombreuses entrées avec des sorties, masquant ainsi de véritables chemins d'attaque. Deux techniques complémentaires sont présentées pour résoudre en partie ce problème d'over-linking, capables de passer à l'échelle dans des systèmes complexes et hétérogènes. L'approche est illustrée à l'aide d'un exemple, et nous décrivons un outil interactif qui aide les évaluateurs à explorer les traces du système et à interagir avec le graphe de provenance résultant. Des interactions itératives avec l'outil produisent des graphes plus petits et des chaînes causales plus claires, améliorant ainsi l'efficacité de l'analyse.