Next Generation Security Operator Training Infrastructure (NGSOTI)

Enjeux

De plus en plus de Centres des Opérations de Sécurité ou Security Operation Centers (SOCs) fleurissent aux quatre coins du globe. Atout précieux pour surveiller, analyser et protéger son organisation, ses utilisateurs-rices et/ou client-e-s contre les cybermenaces, les opérateurs et opératrices qui les composent sont, au même titre que l’environnement technique et informatique, des éléments stratégiques de sa bonne marche.

Pour rester à la pointe de leurs missions, les personnes opérant dans un SOC doivent être formées, notamment aux attaques actuelles et à venir, et aux signaux d’alertes qui les accompagnent. Des outils de formations existent déjà mais ne se révèlent pas suffisant pour faire face à ce challenge croissant. Une infrastructure opérationnelle, basée sur des données réelles, et dédiée spécifiquement à la formation des futurs opérateurs et opératrices de SOC s’avère indispensable.

Ambition

Avec NGSOTI, le consortium de partenaires entend créer une plateforme de formation open-source dédiée à former les futur-e-s opérateurs-rices de SOC aux alertes réseaux. Cette plateforme se focalisera, entre autres, sur la réponse aux incidents, la gestion et l’analyse et l'interprétation des logs, la gestion d’un centre d'opérations de sécurité, les renseignements sur les cybermenaces ainsi que la communication et les documents.

Pour mettre au point cette plateforme, les partenaires auront recours non seulement à leurs expériences, mais également à une large gamme d'outils open source développées et/ou utilisées dans le cadre de leurs missions respectives.

Tout au long du projet, des formations et conférences sur la problématique complèteront également la plateforme, notamment auprès des futur-e-s opérateurs-rices de SOC. En parallèle, les données qui seront produites tout au long du projet pourront être réutilisées de manière ouvertes par les chercheurs-ses intéressé-e-s pour de futurs projets de recherche.

Implication

Dans un premier temps, la Fondation Restena fournit au projet les données de trafic du trou noir (backscatter) à des fins d'analyse. Ce jeu de données de plusieurs térabytes collectés conjointement pendant plus de 10 années par le Computer Incident Response Center Luxembourg (CIRCL) - opéré par le Luxembourg House of Cybersecurity (LHC) - et l 'équipe de sécurité informatique de réponse aux incidents (Computer Security Incident Response Team - CSIRT) de la Fondation Restena permet d'avoir, entre autres, une vue sur des indicateurs d'attaques récents.

Dans un second temps, Restena élargira la portée de son outil edu.lu, développé dans le cadre de son service de raccourcisseur d’URL permettant de rediriger des URLS longues de manière sécurisée vers des URLs courtes tout en respectant sa vie privée et celle de ses visiteurs-ses. Des mesures de sécurité supplémentaires, principalement la vérification d’URL permettant de s’assurer qu’elles ne sont pas utilisées pour des cyberattaques, seront intégrées. De plus, l’ajout d’un raccourcisseur ‘rech.lu’ devrait être également développé et ce afin de mieux servir la communauté de recherche pour laquelle les critères de sécurité diffèrent de ceux d’edu.lu pensé avant tout pour les besoins de l’éducation.

Enfin, Restena entend intensifier son implication dans la formation de la future génération de professionnel-le-s. Intervenant déjà dans plusieurs formations de l’enseignement supérieur du Lycée Guillaume Kroll, Restena s’engagera de manière plus conséquente auprès des étudiant-e-s du BTS cybersecurity formant les spécialistes de la cybersécurité de demain.