Cadre de partage sécurisé d'intelligence sur les menaces cybernétiques : SeCTIS
SeCTIS permet le partage sécurisé d'intelligence sur les menaces cybernétiques tout en préservant la vie privée et la qualité des données.
― 7 min lire
Table des matières
- Importance de l'intelligence sur les menaces cybernétiques
- Défis dans le partage de l'intelligence sur les menaces cybernétiques
- Aperçu de SeCTIS
- Fonctionnalités clés de SeCTIS
- Comment SeCTIS fonctionne
- Le rôle de la blockchain
- Preuves à divulgation nulle de connaissance
- Répondre aux attaques
- Résultats expérimentaux
- Conclusion
- Directions futures
- Source originale
- Liens de référence
Dans le monde d'aujourd'hui, les organisations dépendent beaucoup de la technologie, ce qui a augmenté leur risque de cyberattaques. À mesure que de plus en plus d'organisations utilisent des appareils intelligents qui se connectent entre eux pour améliorer leurs opérations, elles font face à un plus grand nombre de menaces. Cette complexité dans les opérations rend nécessaire pour ces organisations d'adopter de nouvelles méthodes pour protéger leurs systèmes. Un domaine d'intérêt est l'Intelligence sur les menaces cybernétiques (CTI), qui consiste à partager des informations sur les menaces cybernétiques. Cependant, les méthodes actuelles de partage de ces informations ne protègent souvent pas les données sensibles. Pour remédier à ce problème, nous avons développé SeCTIS, un cadre qui permet aux organisations de partager la CTI de manière sécurisée tout en préservant la vie privée.
Importance de l'intelligence sur les menaces cybernétiques
L'intelligence sur les menaces cybernétiques (CTI) joue un rôle essentiel pour aider les organisations à se défendre contre les menaces cybernétiques. La CTI consiste à collecter, analyser et interpréter des informations sur les menaces et les vulnérabilités potentielles. Avec la montée des appareils connectés, les organisations peuvent rassembler d'énormes quantités de données CTI. Pourtant, compter uniquement sur des données internes ne suffit pas ; les organisations doivent également bénéficier d'informations disponibles à l'extérieur, comme celles provenant de forums de hackers et de blogs techniques. Partager cette intelligence permet aux organisations d'améliorer leurs défenses contre les attaques potentielles.
Défis dans le partage de l'intelligence sur les menaces cybernétiques
Malgré ses avantages, partager la CTI pose des défis :
Préoccupations de confidentialité : Les organisations peuvent hésiter à partager leurs données, craignant des dommages à leur réputation si leur identité est exposée.
Questions de confiance : Sans sources connues, la crédibilité des informations partagées peut être mise en doute, rendant difficile l'établissement d'une confiance entre les organisations.
Qualité des informations : Des données incomplètes ou fausses peuvent induire les organisations en erreur dans leurs défenses.
Allocation des ressources : Beaucoup d'organisations manquent des ressources nécessaires pour s'assurer que les informations partagées sont exploitables et automatisées.
Contraintes légales : Les différents pays ont des lois variées concernant la protection des données, ce qui peut compliquer le partage international d'informations.
Face à ces obstacles, notre cadre, SeCTIS, vise à faciliter le partage sécurisé de la CTI entre les organisations.
Aperçu de SeCTIS
SeCTIS (Secure Cyber Threat Intelligence Sharing) est conçu pour répondre aux problèmes mentionnés plus haut. Il combine plusieurs technologies, y compris l'apprentissage en essaim, la Blockchain et les preuves à divulgation nulle de connaissance, pour permettre aux organisations de collaborer en toute sécurité.
Fonctionnalités clés de SeCTIS
Partage préservant la vie privée : SeCTIS veille à ce que les organisations puissent partager des données CTI sans compromettre leurs informations privées.
Évaluation de la qualité : Notre cadre comprend des mécanismes pour évaluer la qualité des données et des modèles partagés, assurant que seules des informations fiables sont utilisées.
Mécanisme de confiance : En utilisant des nœuds validateurs, SeCTIS peut évaluer la fiabilité des organisations participant au processus de partage.
Décentralisation : Au lieu de s'appuyer sur une autorité centrale, SeCTIS utilise une approche distribuée pour maintenir le contrôle et la confiance parmi les participants.
Comment SeCTIS fonctionne
SeCTIS fonctionne en trois étapes principales :
Formation de modèle local : Chaque organisation participante forme son modèle avec ses données CTI sans révéler ces données aux autres. Cela se fait par une approche décentralisée appelée Apprentissage en Essaim.
Vérification des données : Des nœuds validateurs sont choisis au hasard parmi les participants pour tester et vérifier la qualité des modèles locaux. Cela aide à filtrer les contributions de faible qualité ou trompeuses.
Agrégation de modèle global : Les meilleurs modèles locaux sont combinés pour créer un modèle global, qui est ensuite partagé sur le réseau. Les résultats de cette agrégation sont enregistrés sur une blockchain pour plus de transparence.
Le rôle de la blockchain
La technologie blockchain est essentielle dans SeCTIS pour plusieurs raisons :
Enregistrement décentralisé : Les informations sur les mises à jour et validations de modèles sont enregistrées sur une blockchain, garantissant que toutes les transactions sont vérifiables et immuables.
Contrats intelligents : Ces contrats exécutés automatiquement gèrent le flux d'informations et veillent à ce que tous les participants respectent les règles établies dans le cadre.
Preuves à divulgation nulle de connaissance
Une caractéristique importante de SeCTIS est l'utilisation de preuves à divulgation nulle de connaissance (ZKP). Cela permet à une partie de prouver à une autre qu'une information est valide sans révéler de données supplémentaires. Dans le cadre de SeCTIS, les participants peuvent vérifier la fiabilité des validateurs sans exposer de détails sensibles.
Répondre aux attaques
L'une des préoccupations liées au partage de données CTI est le risque d'attaques, comme le poisoning des données, où des acteurs malveillants essaient de corrompre les données d'entraînement. SeCTIS dispose de mécanismes pour atténuer ces risques. Par exemple, le système de réputation au sein du cadre peut détecter et exclure les contributeurs qui fournissent systématiquement des informations de faible qualité ou trompeuses.
Résultats expérimentaux
Dans nos expériences pour évaluer SeCTIS, nous avons utilisé un ensemble de données contenant le trafic du dark web associé à des cyberattaques. Les résultats ont montré que notre cadre réduisait efficacement les taux de mauvaise classification lorsque des modèles de faible qualité étaient exclus en fonction de leurs scores de réputation. Cela signifie que SeCTIS peut améliorer les performances globales de l'apprentissage collaboratif et renforcer la posture de sécurité des organisations participantes.
Conclusion
Le cadre SeCTIS offre une solution robuste pour le partage sécurisé de l'intelligence sur les menaces cybernétiques. En intégrant des technologies avancées comme l'apprentissage en essaim, la blockchain et les preuves à divulgation nulle de connaissance, il répond aux défis associés au partage de la CTI tout en améliorant la vie privée et la confiance entre les organisations.
L'accent mis sur la qualité des données et la réputation des participants assure aux organisations de collaborer efficacement sans compromettre leurs informations sensibles. Alors que les menaces cybernétiques continuent d'évoluer, des cadres comme SeCTIS joueront un rôle crucial pour permettre aux organisations de se défendre ensemble.
Directions futures
En regardant vers l'avenir, nous prévoyons d'affiner davantage le cadre SeCTIS. Nous visons à améliorer ses capacités pour des organisations spécifiques en intégrant une intelligence sur les menaces spécifique aux organisations. Cela aidera les équipes de sécurité à échanger et développer des modèles d'apprentissage automatique adaptés à leurs besoins uniques tout en gérant les risques potentiels associés au partage d'informations sensibles.
À mesure que nous avançons, les considérations pour de nouvelles technologies blockchain et des améliorations de l'efficacité de traitement resteront des priorités. Notre engagement est de continuer à construire sur les fondations de SeCTIS pour fournir une solution globale et sécurisée pour le partage de l'intelligence sur les menaces cybernétiques.
Titre: SeCTIS: A Framework to Secure CTI Sharing
Résumé: The rise of IT-dependent operations in modern organizations has heightened their vulnerability to cyberattacks. As a growing number of organizations include smart, interconnected devices in their systems to automate their processes, the attack surface becomes much bigger, and the complexity and frequency of attacks pose a significant threat. Consequently, organizations have been compelled to seek innovative approaches to mitigate the menaces inherent in their infrastructure. In response, considerable research efforts have been directed towards creating effective solutions for sharing Cyber Threat Intelligence (CTI). Current information-sharing methods lack privacy safeguards, leaving organizations vulnerable to leaks of both proprietary and confidential data. To tackle this problem, we designed a novel framework called SeCTIS (Secure Cyber Threat Intelligence Sharing), integrating Swarm Learning and Blockchain technologies to enable businesses to collaborate, preserving the privacy of their CTI data. Moreover, our approach provides a way to assess the data and model quality, and the trustworthiness of all the participants leveraging some validators through Zero Knowledge Proofs. An extensive experimental campaign demonstrates our framework's correctness and performance, and the detailed attack model discusses its robustness against attacks in the context of data and model quality.
Auteurs: Dincy R. Arikkat, Mert Cihangiroglu, Mauro Conti, Rafidha Rehiman K. A., Serena Nicolazzo, Antonino Nocera, Vinod P
Dernière mise à jour: 2024-06-20 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2406.14102
Source PDF: https://arxiv.org/pdf/2406.14102
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.
Liens de référence
- https://www.virustotal.com
- https://api.threatstream.com/
- https://www.threatq.com/
- https://threatconnect.com/
- https://otx.alienvault.com/
- https://exchange.xforce.ibmcloud.com/
- https://go.crowdstrike.com/
- https://csirtgadgets.com/collective-intelligence-framework
- https://crits.github.io/
- https://threatfox.abuse.ch
- https://ethereum.org
- https://docs.ezkl.xyz/
- https://zcash.github.io/halo2/index.html