Reinforced Autonomous Agents with Attack-Defense Exercises in Realistic Environments
La tendance actuelle est à l’automatisation des opérations d’un centre opérationnel de la sécurité (SOC Security Operations Center), en particulier sur le volet remédiation. Cependant, la mise en œuvre de playbooks de remédiation doit être qualifiée en termes d’impact sur le service protégé, afin d’éviter des pertes de disponibilité. Nous proposons ici une démarche visant à automatiser l’exécution de modes opératoires d’attaquants vis-à-vis d’un système d’information, afin d’apprendre les meilleures contre-mesures à appliquer. Cette démarche s’appuie sur un environnement d’exercice automatisant l’attaque et la défense, dans une optique d’apprentissage. L’automatisation de l’attaque repose ici sur la simulation de modes opératoires de groupes d’attaquants et d’infrastructures d’attaque. En défense, il est effectué un apprentissage automatisé des séquences d’actions de remédiations les plus adaptées à la protection d’un système d’information (SI). Cet article détaille les résultats obtenus par la plateforme DALID qui permet d’observer le comportement d’agents autonomes d’attaques et de défenses au cours d’exercices répétés afin de constituer automatiquement les meilleures stratégies de remédiations pour des équipes SOC. Cette plateforme a pour ambition de devenir un cadre de gamification de l’attaque-défense permettant d’évaluer l’efficacité d’architectures de lutte informatique défensive.