Projets

Next Generation Security Operator Training Infrastructure (NGSOTI)

Mettre en place une infrastructure de formation open-source pour la formation pratique des opérateurs-rices SOC aux alertes basée sur des données réelles.

DÉBUT : 1 JANVIER 2024 - FIN : 31 DÉCEMBRE 2026

Enjeux

De plus en plus de Centres des Opérations de Sécurité ou Security Operation Centers (SOCs) fleurissent aux quatre coins du globe. Atout précieux pour surveiller, analyser et protéger son organisation, ses utilisateurs-rices et/ou client-e-s contre les cybermenaces, les opérateurs et opératrices qui les composent sont, au même titre que l’environnement technique et informatique, des éléments stratégiques de sa bonne marche.

Pour rester à la pointe de leurs missions, les personnes opérant dans un SOC doivent être formées, notamment aux attaques actuelles et à venir, et aux signaux d’alertes qui les accompagnent. Des outils de formations existent déjà mais ne se révèlent pas suffisant pour faire face à ce challenge croissant. Une infrastructure opérationnelle, basée sur des données réelles, et dédiée spécifiquement à la formation des futurs opérateurs et opératrices de SOC s’avère indispensable.

Ambition

Avec NGSOTI, le consortium de partenaires entend créer une plateforme de formation open-source dédiée à former les futur-e-s opérateurs-rices de SOC aux alertes réseaux. Cette plateforme se focalisera, entre autres, sur la réponse aux incidents, la gestion et l’analyse et l'interprétation des logs, la gestion d’un centre d'opérations de sécurité, les renseignements sur les cybermenaces ainsi que la communication et les documents.

Pour mettre au point cette plateforme, les partenaires auront recours non seulement à leurs expériences, mais également à une large gamme d'outils open source développées et/ou utilisées dans le cadre de leurs missions respectives.

Tout au long du projet, des formations et conférences sur la problématique complèteront également la plateforme, notamment auprès des futur-e-s opérateurs-rices de SOC. En parallèle, les données qui seront produites tout au long du projet pourront être réutilisées de manière ouvertes par les chercheurs-ses intéressé-e-s pour de futurs projets de recherche.

Implication

Dans un premier temps, la Fondation Restena fournit au projet les données de trafic du trou noir (blackhole) à des fins d'analyse. Ce jeu de données de plusieurs térabytes collectés conjointement pendant plus de 10 années par le Computer Incident Response Center Luxembourg (CIRCL) - opéré par le Luxembourg House of Cybersecurity (LHC) - et l 'équipe de sécurité informatique de réponse aux incidents (Computer Security Incident Response Team - CSIRT) de la Fondation Restena permet d'avoir, entre autres, une vue sur des indicateurs d'attaques récents.

Dans un second temps, Restena élargira la portée de son outil edu.lu, développé dans le cadre de son service de raccourcisseur d’URL permettant de rediriger des URLS longues de manière sécurisée vers des URLs courtes tout en respectant sa vie privée et celle de ses visiteurs-ses. Des mesures de sécurité supplémentaires, principalement la vérification d’URL permettant de s’assurer qu’elles ne sont pas utilisées pour des cyberattaques, seront intégrées. De plus, l’ajout d’un raccourcisseur ‘rech.lu’ devrait être également développé et ce afin de mieux servir la communauté de recherche pour laquelle les critères de sécurité diffèrent de ceux d’edu.lu pensé avant tout pour les besoins de l’éducation.

Enfin, Restena entend intensifier son implication dans la formation de la future génération de professionnel-le-s. Intervenant déjà dans plusieurs formations de l’enseignement supérieur du Lycée Guillaume Kroll, Restena s’engagera de manière plus conséquente auprès des étudiant-e-s du BTS cybersecurity formant les spécialistes de la cybersécurité de demain.

Financé par l’Union européenne. Les points de vue et avis exprimés n’engagent toutefois que leur(s) auteur(s) et ne reflètent pas nécessairement ceux de l’Union européenne ou de l’European Cybersecurity Competence Centre. Ni l’Union européenne ni l’European Cybersecurity Competence Centre ne sauraient en être tenues pour responsables.

Plus de détails sur le project

Quelques informations utiles

NGSOTI est financé par l’Union Européenne via son programme pour une Europe numérique (DIGITAL) - Projet : 101127921 avec agrément : DIGITAL-ECCC-2022-CYBER-03. Il est soutenu par l’European Cybersecurity Competence Centre.

Le projet rassemble un consortium de partenaires coordonné par le Computer Incident Response Center Luxembourg (CIRCL) de la Luxembourg House of Cybersecurity et incluant la Fondation Restena, l’Université du Luxembourg et Tenzir GmbH

Qui est impacté ?

Le projet NGSOTI touchera toute personne intéressée, qu'il s'agisse d'entreprises, d'organisations non gouvernementales (ONG), d'équipes de réponse aux incidents de sécurité informatique (CSIRT), d'étudiants, etc.

Plus précisément, du côté de Restena, le projet impactera principalement : les établissements connectés, les établissements d'enseignement supérieur, les instituts de recherche, les institutions culturelles, les écoles fondamentales et secondaires, les hôpitaux.

Qu'est ce qu'un trafic du trou noir (blackhole) ?

Le trafic blackhole, non-désiré, peut être considéré comme du trafic sans valeur. Pourtant, cela est loin d’être le cas. Un tel trafic contient des indicateurs d'attaque et des informations sur des mauvaises configurations techniques. Comme l'adressage IP du trou noir du réseau national de la recherche et de l’éducation (réseau RESTENA) est proche de l'adressage HOME (192.168.X.X), les données collectées fournissent des informations assez intéressantes à analyser.

Pour en savoir plus, découvrez un exemple du trafic du trou noir utilisé dans le projet NGSOTI dans la publication ‘AN EXTENDED ANALYSIS OF AN IOT MALWARE FROM A BLACKHOLE NETWORK’ publié en 2017 et co-rédigé, par Restena , CIRCL et l’Université Catholique de Louvain.