Logo
ScienceStack
Table of Contents
Fetching ...
Sign In

Vers une modélisation de la confiance dans le renseignement sur les menaces cyber

Laurent Bobelin, Sabine Frittella, Mariam Wehbe

TL;DR

Ce travail aborde la problématique de la confiance dans les renseignements sur les menaces cyber et le partage CTI, en proposant une approche fondée sur la logique multivaluée pour agréger des informations incertaines issues de sources variées. Il décrit un cadre où les dimensions de fiabilité, compétence, plausibilité et crédibilité modulent l'évaluation de la confiance, et présente une implémentation Java comme première expérimentation, basée sur le modèle de référence de dAllonnes et al. (2015). L'objectif est d'améliorer la qualité des décisions défensives en intégrant la confiance dans les chaînes CTI et en préparant l'évolution vers l'intégration avec des ontologies STIX et des plateformes CTI comme OpenCTI. À terme, le travail vise à enrichir les outils CTI avec une notion de confiance robuste pour les agrégations de données plus complexes et les scénarios réels de cybersécurité.

Abstract

Cyber threat intelligence (CTI) is essential for effective system defense. CTI is a collection of information about current or past threats to a computer system. This information is gathered by an agent through observation, or based on a set of sources. Building intelligence only makes sense if you have confidence in it. To achieve this, it is necessary to estimate the confidence in each piece of information gathered, taking into account the different dimensions that can make it up: reliability of the source, competence, plausibility of the information, credibility of the information, for example. The information gathered must then be combined with other information to consolidate an agent's knowledge. Recent advances have been made in the theory underlying the modeling of trust for decision-making based on uncertain information, notably by using multivalued logic. This approach makes it possible to deal with unknown values of trust-building parameters, or to easily integrate dimensions. In this article we present the problem of CTI and CTI information sharing, and the reasons that led us to use a logic-based solution for an initial implementation.

Vers une modélisation de la confiance dans le renseignement sur les menaces cyber

TL;DR

Ce travail aborde la problématique de la confiance dans les renseignements sur les menaces cyber et le partage CTI, en proposant une approche fondée sur la logique multivaluée pour agréger des informations incertaines issues de sources variées. Il décrit un cadre où les dimensions de fiabilité, compétence, plausibilité et crédibilité modulent l'évaluation de la confiance, et présente une implémentation Java comme première expérimentation, basée sur le modèle de référence de dAllonnes et al. (2015). L'objectif est d'améliorer la qualité des décisions défensives en intégrant la confiance dans les chaînes CTI et en préparant l'évolution vers l'intégration avec des ontologies STIX et des plateformes CTI comme OpenCTI. À terme, le travail vise à enrichir les outils CTI avec une notion de confiance robuste pour les agrégations de données plus complexes et les scénarios réels de cybersécurité.

Abstract

Cyber threat intelligence (CTI) is essential for effective system defense. CTI is a collection of information about current or past threats to a computer system. This information is gathered by an agent through observation, or based on a set of sources. Building intelligence only makes sense if you have confidence in it. To achieve this, it is necessary to estimate the confidence in each piece of information gathered, taking into account the different dimensions that can make it up: reliability of the source, competence, plausibility of the information, credibility of the information, for example. The information gathered must then be combined with other information to consolidate an agent's knowledge. Recent advances have been made in the theory underlying the modeling of trust for decision-making based on uncertain information, notably by using multivalued logic. This approach makes it possible to deal with unknown values of trust-building parameters, or to easily integrate dimensions. In this article we present the problem of CTI and CTI information sharing, and the reasons that led us to use a logic-based solution for an initial implementation.

Paper Structure

This paper contains 12 sections, 4 figures.

Table of Contents

  1. Introduction
  2. Cyberdéfense et décision
  3. Renseignement sur les cybermenaces (CTI)
  4. Le processus du CTI
  5. Les informations du renseignement (IoC)
  6. Politique de diffusion des renseignements
  7. Représentation des connaissances sur les menaces
  8. Observations de l'état du système (SIEM)
  9. Problématique
  10. Implémentation
  11. État de l'art
  12. Conclusion

Figures (4)

  • Figure 1: La boucle OODA
  • Figure 2: Cycle du renseignement CTI
  • Figure 3: Traffic Light Protocol TLP
  • Figure 4: STIX