Large-scale coordinated attacks : Impact on the cloud security

International audienceCloud Computing has emerged as a model to process large volumetric data. Though Cloud Computing is very popular, cloud security could delay its adoption. Security of the cloud must provide data confidentiality and protection of resources. Such architecture seems to be vulnerable when confronted to distributed attacks also known as large-scale coordinated attacks. In this paper, we study the impact of large-scale coordinated attacks on Cloud Computing and its current security solutions. We experiment the open-source IDS Snort and a commercialized firewall using distributed portscan. Our results show that these security solutions are not designed to detect distributed attacks. Indeed, an attacker who controls about 32 hosts can easily achieve a distributed portscan without being detected

Un langage pour la configuration de DISCUS, une architecture distribuée de solutions de sécurité

International audienceDe nos jours, le cloud computing est très populaire dans le monde industriel et académique. La plupart des challenges de sécurité amenés par cette nouvelle architecture ne sont pas encore résolus. Les solutions actuelles, à savoir les IDS ou les pare-feux, n'ont pas été initialement conçues pour détecter des attaques qui tirent profit de la structure du cloud telles que les attaques distribuées. Dans cet article, nous proposons une nouvelle architecture, basée sur un réseau massivement distribué de solutions minimalistes de sécurité, pour adresser ces problèmes. Notre solution, DISCUS, est basée sur une architecture distribuée utilisant des sondes physiques et virtuelles, ainsi que les solutions conventionnelles (IDS et firewalls). Un problème d'une structure aussi large est la gestion de l'ensemble des composants. Cet article présente DISCUS SCRIPT, un langage dédié, qui permet de piloter facilement chacun des composants de cette structure

Etude de l'impact des attaques distribuées et multi-chemins sur les solutions de sécurité réseaux

International audienceLe Cloud Computing est un modèle récent qui tend à résoudre les situations qui nécessitent notamment beaucoup de ressources. Bien que ce modèle soit populaire, l'aspect sécuritaire du Cloud Computing peut retarder son adoption massive. En effet, ce type d'architecture se doit de proposer un service fiable en ce qui concerne la disponibilité et la confidentialité des données. Ce type de structure est vraisemblablement sujet à des problèmes de sécurité s'il est confronté à des attaques distribuées. Dans ce papier, nous nous intéressons aux attaques distribuées dirigées vers ou depuis ce type d'architecture. Pour cela, nous avons étudié les solutions de sécurité qui sont mises en place dans ce type de structure et nous les avons confrontées à ces attaques. Plus particulièrement, nos travaux se sont tournés vers le balayage de ports distribué, une partie préliminaire des attaques à proprement parler. Nos travaux se sont focalisés sur l'aspect multi-chemins du Cloud Computing : plusieurs chemins existent vers une machine et les attaquants exploitent cet aspect pour ne pas être détectés. Nos résultats montrent que les solutions de sécurité testées ne sont pas adaptées pour le Cloud Computing. En effet, dans un tel environnement, plus le nombre de chemins possibles est grand, plus l'attaque est efficace

DISCUS: A massively distributed IDS architecture using a DSL-based configuration

International audienceNowadays, cloud computing becomes quite popular and a lot of research is done on services it provides. Most of security challenges induced by this new architecture are not yet tackled. In this work, we propose a new security architecture, based on a massively distributed network of security solutions, to address these challenges. Current solutions, like IDS or firewalls, were not formerly designed to detect attacks that draw profit from the cloud structure. Our solution DISCUS is based on a distributed architecture using both physical and virtual probes, along with former security solutions (IDS and firewalls). This paper describes DISCUS SCRIPT, a dedicated language that provides an easy way to configure the components of our solution

Targeted Attacks: Redefining Spear Phishing and Business Email Compromise

In today's digital world, cybercrime is responsible for significant damage to organizations, including financial losses, operational disruptions, or intellectual property theft. Cyberattacks often start with an email, the major means of corporate communication. Some rare, severely damaging email threats - known as spear phishing or Business Email Compromise - have emerged. However, the literature disagrees on their definition, impeding security vendors and researchers from mitigating targeted attacks. Therefore, we introduce targeted attacks. We describe targeted-attack-detection techniques as well as social-engineering methods used by fraudsters. Additionally, we present text-based attacks - with textual content as malicious payload - and compare non-targeted and targeted variants

Discus : Une architecture de détection d'intrusions réseau distribuée basée sur un langage dédié

Nowadays, information systems are everywhere and their interconnexion is almost complete. The rise of complex and large computing infrastructures has brought a need for increased security. We need to follow a sound methodology so that one can understand an exploit develop a counter-measure and deploy it as soon as possible. To tackle those issues, we propose DISCUS, a new distributed architecture that takes advantage of existing solutions as well as distributed probes. This approach leads to finer, collaborative analysis where each probe enrich the global knowledge of the architecture as a whole. Our solution introduces two main issues : determine efficient distribution mechanism to implement collaboration and facilitate the developpement of the software that will run on highly heterogeneous hardware. This thesis mainly focuses on the later. The actual development of the software that will run on the probes can not be made by a security special or a system administrator because of the diversity of the probes (in term of memory, computing power, network location…). This would imply that the developer has strong knowledge on security, networking, kernel development, embeded systems, hardware development. Such a developer is hard to find. To overcome this problem, we propose DISCUS, a domain specific language. With this langage, one can implement security rules without the need to take implementation details into account. Our compiler chain takes the rules and is able to build software, or hardware, image specific for each probes of the network. This thesis presents this language, some case studies and its evaluation in term of expressivity, robustness and performances.À l'heure actuelle, les systèmes informatiques sont omniprésents et leur interconnexion presque complète. La volonté de fournir un service sécurisé a été renforcée par l'arrivée d'infrastructures complexes, telles que le Cloud Computing. De nombreuses problématiques sont soulevées par ces systèmes de sécurité, telles que l'élaboration de solutions de sécurité capables de détecter les attaques internes, la réactivité de la détection d'une attaque et la prise de décision lorsqu'une intrusion a été détectée. La solution pour ce jeu du chat et de la souris est de s'appuyer sur une méthodologie permettant de rapidement pouvoir comprendre une faille, développer un correctif et le déployer sur le parc de machines. Pour répondre à ces problématiques, nous proposons dans nos travaux l'architecture DISCUS, qui se repose sur les solutions de sécurité existantes ainsi que des nouvelles sondes réseaux. Cette approche nous permet de conduire des analyses plus précises et de pouvoir mener des analyses collaboratives, où chacune des sondes vient enrichir la connaissance globale du réseau. La collaboration des sondes est effectuée au travers des tables, un concept assimilable aux bases de données distribuées. Deux problématiques majeures sont soulevées avec notre solution : déterminer les techniques de distribution et de collaboration efficaces, et faciliter la configuration de ce parcs de solutions de sécurité. Nos travaux s'intéressent principalement sur cette seconde problématique

DISCUS : a distributed network intrustions detection architecture based on a domain specific language

À l'heure actuelle, les systèmes informatiques sont omniprésents et leur interconnexion presque complète. La volonté de fournir un service sécurisé a été renforcée par l'arrivée d'infrastructures complexes, telles que le Cloud Computing. De nombreuses problématiques sont soulevées par ces systèmes de sécurité, telles que l'élaboration de solutions de sécurité capables de détecter les attaques internes, la réactivité de la détection d'une attaque et la prise de décision lorsqu'une intrusion a été détectée. La solution pour ce jeu du chat et de la souris est de s'appuyer sur une méthodologie permettant de rapidement pouvoir comprendre une faille, développer un correctif et le déployer sur le parc de machines. Pour répondre à ces problématiques, nous proposons dans nos travaux l'architecture DISCUS, qui se repose sur les solutions de sécurité existantes ainsi que des nouvelles sondes réseaux. Cette approche nous permet de conduire des analyses plus précises et de pouvoir mener des analyses collaboratives, où chacune des sondes vient enrichir la connaissance globale du réseau. La collaboration des sondes est effectuée au travers des tables, un concept assimilable aux bases de données distribuées. Deux problématiques majeures sont soulevées avec notre solution : déterminer les techniques de distribution et de collaboration efficaces, et faciliter la configuration de ce parcs de solutions de sécurité. Nos travaux s'intéressent principalement sur cette seconde problématique.Nowadays, information systems are everywhere and their interconnexion is almost complete. The rise of complex and large computing infrastructures has brought a need for increased security. We need to follow a sound methodology so that one can understand an exploit develop a counter-measure and deploy it as soon as possible. To tackle those issues, we propose DISCUS, a new distributed architecture that takes advantage of existing solutions as well as distributed probes. This approach leads to finer, collaborative analysis where each probe enrich the global knowledge of the architecture as a whole. Our solution introduces two main issues : determine efficient distribution mechanism to implement collaboration and facilitate the developpement of the software that will run on highly heterogeneous hardware. This thesis mainly focuses on the later. The actual development of the software that will run on the probes can not be made by a security special or a system administrator because of the diversity of the probes (in term of memory, computing power, network location…). This would imply that the developer has strong knowledge on security, networking, kernel development, embeded systems, hardware development. Such a developer is hard to find. To overcome this problem, we propose DISCUS, a domain specific language. With this langage, one can implement security rules without the need to take implementation details into account. Our compiler chain takes the rules and is able to build software, or hardware, image specific for each probes of the network. This thesis presents this language, some case studies and its evaluation in term of expressivity, robustness and performances

Discus : Une architecture de détection d'intrusions réseau distribuée basée sur un langage dédié

Nowadays, information systems are everywhere and their interconnexion is almost complete. The rise of complex and large computing infrastructures has brought a need for increased security. We need to follow a sound methodology so that one can understand an exploit develop a counter-measure and deploy it as soon as possible. To tackle those issues, we propose DISCUS, a new distributed architecture that takes advantage of existing solutions as well as distributed probes. This approach leads to finer, collaborative analysis where each probe enrich the global knowledge of the architecture as a whole. Our solution introduces two main issues : determine efficient distribution mechanism to implement collaboration and facilitate the developpement of the software that will run on highly heterogeneous hardware. This thesis mainly focuses on the later. The actual development of the software that will run on the probes can not be made by a security special or a system administrator because of the diversity of the probes (in term of memory, computing power, network location…). This would imply that the developer has strong knowledge on security, networking, kernel development, embeded systems, hardware development. Such a developer is hard to find. To overcome this problem, we propose DISCUS, a domain specific language. With this langage, one can implement security rules without the need to take implementation details into account. Our compiler chain takes the rules and is able to build software, or hardware, image specific for each probes of the network. This thesis presents this language, some case studies and its evaluation in term of expressivity, robustness and performances.À l'heure actuelle, les systèmes informatiques sont omniprésents et leur interconnexion presque complète. La volonté de fournir un service sécurisé a été renforcée par l'arrivée d'infrastructures complexes, telles que le Cloud Computing. De nombreuses problématiques sont soulevées par ces systèmes de sécurité, telles que l'élaboration de solutions de sécurité capables de détecter les attaques internes, la réactivité de la détection d'une attaque et la prise de décision lorsqu'une intrusion a été détectée. La solution pour ce jeu du chat et de la souris est de s'appuyer sur une méthodologie permettant de rapidement pouvoir comprendre une faille, développer un correctif et le déployer sur le parc de machines. Pour répondre à ces problématiques, nous proposons dans nos travaux l'architecture DISCUS, qui se repose sur les solutions de sécurité existantes ainsi que des nouvelles sondes réseaux. Cette approche nous permet de conduire des analyses plus précises et de pouvoir mener des analyses collaboratives, où chacune des sondes vient enrichir la connaissance globale du réseau. La collaboration des sondes est effectuée au travers des tables, un concept assimilable aux bases de données distribuées. Deux problématiques majeures sont soulevées avec notre solution : déterminer les techniques de distribution et de collaboration efficaces, et faciliter la configuration de ce parcs de solutions de sécurité. Nos travaux s'intéressent principalement sur cette seconde problématique

Large-scale coordinated attacks : Impact on the cloud security

International audienceCloud Computing has emerged as a model to process large volumetric data. Though Cloud Computing is very popular, cloud security could delay its adoption. Security of the cloud must provide data confidentiality and protection of resources. Such architecture seems to be vulnerable when confronted to distributed attacks also known as large-scale coordinated attacks. In this paper, we study the impact of large-scale coordinated attacks on Cloud Computing and its current security solutions. We experiment the open-source IDS Snort and a commercialized firewall using distributed portscan. Our results show that these security solutions are not designed to detect distributed attacks. Indeed, an attacker who controls about 32 hosts can easily achieve a distributed portscan without being detected

Etude de l'impact des attaques distribuées et multi-chemins sur les solutions de sécurité réseaux

International audienceLe Cloud Computing est un modèle récent qui tend à résoudre les situations qui nécessitent notamment beaucoup de ressources. Bien que ce modèle soit populaire, l'aspect sécuritaire du Cloud Computing peut retarder son adoption massive. En effet, ce type d'architecture se doit de proposer un service fiable en ce qui concerne la disponibilité et la confidentialité des données. Ce type de structure est vraisemblablement sujet à des problèmes de sécurité s'il est confronté à des attaques distribuées. Dans ce papier, nous nous intéressons aux attaques distribuées dirigées vers ou depuis ce type d'architecture. Pour cela, nous avons étudié les solutions de sécurité qui sont mises en place dans ce type de structure et nous les avons confrontées à ces attaques. Plus particulièrement, nos travaux se sont tournés vers le balayage de ports distribué, une partie préliminaire des attaques à proprement parler. Nos travaux se sont focalisés sur l'aspect multi-chemins du Cloud Computing : plusieurs chemins existent vers une machine et les attaquants exploitent cet aspect pour ne pas être détectés. Nos résultats montrent que les solutions de sécurité testées ne sont pas adaptées pour le Cloud Computing. En effet, dans un tel environnement, plus le nombre de chemins possibles est grand, plus l'attaque est efficace