Reacting to “n-day” vulnerabilities in information systems - TEL - Thèses en ligne Accéder directement au contenu
Thèse Année : 2021

Reacting to “n-day” vulnerabilities in information systems

Réagir aux vulnérabilités “n-day” dans les systèmes d’information

Résumé

N-day vulnerabilities are public, recently disclosed, but not well-known software and hardware vulnerabilities. Past n-day vulnerabilities such as Heartbleed, Shellshock, and EternalBlue already had important real-world impact on thousands of information systems and organizations across the world. One difficulty for proper defense against n-day vulnerabilities is that during the first days after a vulnerability disclosure, preliminary information about the vulnerability is not available in a machine readable format, delaying the use of automated vulnerability management processes. This situation creates a period of time when only expensive manual analysis can be used to react to new vulnerabilities because no data is available for cheaper automated analysis yet. We propose several contributions to automatically analyze newly disclosed vulnerabilities to predict inherent properties such as the software or hardware they affect, and automatically evaluate the risk they pose in the context of a specific information system. We highlight how our contributions take part in a greater end-to-end strategy aiming at mitigating the risk faced by information system because of n-day vulnerabilities.
Les vulnérabilités n-day sont des vulnérabilités logicielles et matérielles publiques, récemment divulguées, mais pas encore bien connues. Des vulnérabilités n-day passées comme Heartbleed, Shellshock et EternalBlue ont déjà eu un impact important sur des milliers de systèmes d'information et organisations autour du globe. Durant les premiers jours après la divulgation d'une vulnérabilité, les informations préliminaire à propos de celle ci ne sont pas disponibles dans un format lisible automatiquement, ce qui retarde l'usage de processus automatisés de gestion de vulnérabilité. Cette situation créée une période de temps où seule une coûteuse analyse manuelle peut être utilisée pour réagir à une nouvelle vulnérabilité car aucune donnée n'est disponible pour des analyses automatisées moins coûteuses. Nous proposons plusieurs contributions visant d'une part à automatiquement analyser les vulnérabilités récemment divulguées pour prédire leurs propriétés inhérentes (comme le logiciel ou matériel qu'elles affectent, ou leur sévérité), et d'autre part à automatiquement évaluer le risque qu'elles posent à un système d'information donné. Nos contributions prennent place dans une stratégie complète de mitigation du risque posé par les vulnérabilités pour les systèmes d'information.

Domaines

Cryptographie et sécurité [cs.CR]
Fichier principal
Vignette du fichier
ELBAZ_Clement.pdf (2.16 Mo) Télécharger le fichier
Origine : Version validée par le jury (STAR)

ABES STAR  :  Contact

https://theses.hal.science/tel-03350455

Soumis le : mardi 21 septembre 2021-12:23:37

Dernière modification le : vendredi 24 mars 2023-14:53:22

Archivage à long terme le : mercredi 22 décembre 2021-18:54:10

Télécharger pour visualiser

Dates et versions

tel-03350455 , version 1 (21-09-2021)

Identifiants

  • HAL Id : tel-03350455 , version 1

Citer

Clément Elbaz. Reacting to “n-day” vulnerabilities in information systems. Cryptography and Security [cs.CR]. Université Rennes 1, 2021. English. ⟨NNT : 2021REN1S021⟩. ⟨tel-03350455⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite

Collections

UNIV-RENNES1 CNRS INRIA INSA-RENNES IRISA STAR GRID5000 CENTRALESUPELEC INRIA2 UR1-THESES UR1-MATH-STIC UR1-UFR-ISTIC UNIV-RENNES SILECS UR1-MATH-NUM
265 Consultations
867 Téléchargements

Partager

Gmail Facebook X LinkedIn More