Generation and Dynamic Update of Attack Graphs in Cloud Providers Infrastructures - TEL - Thèses en ligne Accéder directement au contenu
Thèse Année : 2019

Generation and Dynamic Update of Attack Graphs in Cloud Providers Infrastructures

Génération et mise à jour dynamique de graphes d’attaque dans les infrastructures des prestataires d’informatique en nuage

Résumé

In traditional environments, attack graphs can paint a picture of the security exposure of the environment. Indeed, they represent a model allowing to depict the many steps an attacker can take to compromise an asset. They can represent a basis for automated risk assessment, relying on an identification and valuation of critical assets in the network. This allows to design pro-active and reactive counter-measures for risk mitigation and can be leveraged for security monitoring and network hardening.Our thesis aims to apply a similar approach in Cloud environments, which implies to consider new challenges incurred by these modern infrastructures, since the majority of attack graph methods were designed with traditional environments in mind. Novel virtualization attack scenarios, as well as inherent properties of the Cloud, namely elasticity and dynamism are a cause for concern.To realize this objective, a thorough inventory of virtualization vulnerabilities was performed, for the extension of existing vulnerability templates. Based on an attack graph representation model suitable to the Cloud scale, we were able to leverage Cloud and SDN technologies, with the purpose of building Cloud attack graphs and maintain them in an up-to-date state. Algorithms able to cope with the frequent rate of change occurring in virtualized environments were designed and extensively tested on a real scale Cloud platform for performance evaluation, confirming the validity of the methods proposed in this thesis, in order to enable Cloud administrator to dispose of an up-to-date Cloud attack graph.
Dans les infrastructures traditionnelles, les graphes d’attaque permettent de brosser un tableau de la sécurité, car ils sont un modèle décrivant les différentes étapes suivies par un attaquant dans le but de compromettre un actif du réseau. Ces graphes peuvent ainsi servir de base à l’évaluation automatisée des risques, en s’appuyant sur l’identification et l’évaluation des actifs essentiels. Cela permet de concevoir des contre-mesures proactives et réactives pour la réduction des risques et peut être utilisé pour la surveillance et le renforcement de la sécurité du réseau.Cette thèse vise à appliquer une approche similaire dans les environnements Cloud, ce qui implique de prendre en compte les nouveaux défis posés par ces infrastructures modernes, la majorité des graphes d’attaque étant conçue pour une application dans des environnements traditionnels. Les nouveaux scénarios d’attaque liés à la virtualisation, ainsi que les propriétés inhérentes du Cloud, à savoir l’élasticité et le caractère dynamique, sont quelques-uns des obstacles à franchir à cette fin.Ainsi, pour atteindre cet objectif, un inventaire complet des vulnérabilités liées à la virtualisation a été effectué, permettant d'inclure cette nouvelle dimension dans les graphes d'attaque existants. Par l'utilisation d'un modèle adapté à l’échelle du Cloud, nous avons pu tirer parti des technologies Cloud et SDN, dans le but de construire des graphes d’attaque et de les maintenir à jour. Des algorithmes capables de faire face aux modifications fréquentes survenant dans les environnements virtualisés ont été conçus et testés à grande échelle sur une plateforme Cloud réelle afin d'évaluer les performances et confirmer la validité des méthodes proposées dans cette thèse pour permettre à l’administrateur de Cloud de disposer d’un graphe d’attaque à jour dans cet environnent.
Fichier principal
Vignette du fichier
2019_MENSAH_Pernelle.pdf (5.2 Mo) Télécharger le fichier
Origine : Fichiers produits par l'(les) auteur(s)
Loading...

Dates et versions

tel-02416305 , version 1 (17-12-2019)
tel-02416305 , version 2 (05-06-2020)

Identifiants

  • HAL Id : tel-02416305 , version 2

Citer

Pernelle Mensah. Generation and Dynamic Update of Attack Graphs in Cloud Providers Infrastructures. Networking and Internet Architecture [cs.NI]. CentraleSupélec, 2019. English. ⟨NNT : 2019CSUP0011⟩. ⟨tel-02416305v2⟩
303 Consultations
445 Téléchargements

Partager

Gmail Facebook X LinkedIn More