L’objectif de GeekWeek consiste à réunir des joueurs clé du domaine de la cybersécurité dans un cadre innovateur et collaboratif; ces derniers doivent unir leurs forces afin de trouver des solutions à des problèmes cruciaux auxquels est confronté l’ensemble de la collectivité. Les participants peuvent choisir le domaine sur lequel ils souhaitent se concentrer parmi les thèmes et les sous thèmes présentés ci-dessous. Les préférences de chacun permettront de former les équipes. Nous encourageons également les participants à suggérer des projets associés à chaque thème et sous thème. Comme nous jugeons importante l’expertise de la collectivité, nous invitons les participants à nous faire part de leurs idées.
Si vous êtes intéressé par un domaine ou un thème en particulier, veuillez indiquer dans votre candidature ou lorsque vous recevez votre courriel d’acceptation le numéro qui est lié au sujet qui vous intéresse, en vous référant à la liste ci-dessous. Chaque sous-thème sera associé à un domaine de cybersécurité, mais n’oubliez pas que la plupart des thèmes toucheront plusieurs domaines, ce qui vous permettra de travailler sur une multitude de sujets. Par exemple, comme il s’agit d’un atelier sur la cybersécurité, un thème axé sur la programmation portera aussi sur les activités d’analyse des données de cybersécurité.
Domaines présentés dans les sous-thèmes :
[N] Réseaux et infrastructures
[P] Programmation et algorithmes avancés
[R] Rétroingénierie
[O] Éléments internes des systèmes d’exploitation
[D] Analyse des données de cybersécurité, et visualisation et exploration de données
Système national d'adressage par domaines (DNS) [D]
Le Canada a maintenant un DNS national géré par l’Autorité canadienne pour les enregistrements Internet (ACEI). Chaque jour, un grand nombre de domaines sont bloqués pour protéger les utilisateurs du Bouclier canadien en ligne. Ce n’est que la première étape, comment pourrions-nous développer de meilleurs processus d’analyse et de partage d’information pour améliorer le Bouclier canadien afin de protéger les partenaires de l’industrie et du gouvernement, ainsi que les citoyens, contre l’accès involontaire à ces domaines malveillants ?
Posture de cybersécurité [D | N]
Des courriels bien conçus appliquant des techniques d’usurpation d’identité et de piratage psychologique sont essentiels à la réussite des tentatives d’hameçonnage. Les rapports globaux DMARC (de l’anglais Domain Based Message Authentication, Reporting et Conformance) contiennent de l’information sur la source et la légitimité des courriels grâce aux protocoles Domain Keys Identified Mail (DKIM) et Sender Policy Framework (SPF). Les systèmes et les protocoles désuets présentent habituellement des vulnérabilités accrues aux cybermenaces. Par exemple, des auteurs de cybermenace peuvent exploiter une version désuète du protocole SSL afin de lancer une attaque de l'intercepteur. En nous concentrant sur le Canada, comment pourrions-nous évaluer la cyberposture du cyberespace canadien par rapport au cuberbonnes pratique telles que DMARC, SPF, HTTTP vs HTTPS, DMARC, DNSSEC, TLS, etc. ? Comment pourrions-nous élaborer des tableaux de bord pour aider les partenaires de l’industrie du Cyber Centre dans leur adoption de technologies modernes et plus protégées ?
Souveraineté informatique [D]
On pourrait penser que les communications transmises entre des points terminaux canadiens n’ont pas à être acheminées en dehors du pays. Or, pour des raisons d’efficience ou de praticabilité, ce n’est pas toujours le cas, ce qui peut poser des risques sur le plan de la sécurité. Le protocole Border Gateway (BGP) gère les chemins que suivent les communications Internet, de leur source à leur destination. La manipulation du protocole BGP permet aux cyberattaquants de réacheminer des données à leur avantage et ainsi d’intercepter ou de modifier du trafic. Comment pouvons-nous développer des analyses qui permettraient de détecter tout comportement malveillant et tout changement apporté aux chemins empruntés par le trafic en temps réel ? Comment pouvons-nous prévenir le détournement du trafic pour renforcer la protection des communications des Canadiens ?
Se préparer à un avenir sans fil [D]
Des téléphones portables aux appareil électroménagers, un nombre croissant d’appareils sont connectés sans fil à l’internet, et nous pouvons nous attendre à ce que cette tendance se poursuive à plein régime avec la généralisation de la 5G. Cependant l’augmentation de la connectivité sans fil s’accompagne d’un nombre croissant de menaces de cybersécurité ciblant les téléphones portables, tel que le SIMSwapping, et d’autres appareils connectés sans fil. Les données de télécommunication peuvent offrir des informations précieuses sur les menaces ciblant les appareils mobiles. Comment pourrions-nous analyser les données du réseau sans fil, comme les données du système de signalisation n ° 7 (SS7), pour mieux comprendre la mobilité, et en particulier les menaces liées à la 4G / LTE ou à la 5G ? Comment pourrions-nous créer des processus et des systèmes pour mieux prévenir les menaces sans fil et mieux protéger les Canadiens ?
Détection et décodage de maliciels liés à une menace persistante avancée (MPA) [R | P]
Les artéfacts malveillants liés à des MPA sont habituellement dissimulés et bien conçus, et réussissent à contourner et à contrer toute analyse, ce qui complexifie leur détection et leur décodage. En se basant sur des connaissances découlant d’activités de rétroingénierie approfondies menées sur un composant malveillant lié à une MPA, comment pourrions-nous mettre au point des outils permettant de détecter les activités malveillantes menées par ces composants dans des environnements locaux ? Comment pourrions-nous développer une capacité permettant d’évaluer les espaces IPv4 pour détecter la présence d’implants liés à une MPA ?
Pots de miel / Amélioration des émulateurs de réseau [N | P | D]
Les cybermenaces évoluent constamment et les auteurs malveillants ne cessent de trouver des techniques novatrices pour infecter les systèmes. Les pots de miel consistent en des systèmes qui imitent des environnements réels et qui ont pour objectif de berner les auteurs de menace en vue de recueillir du renseignement sur les nouveaux vecteurs d’infection. Pour assurer l’efficacité des pots de miel, leurs responsables doivent connaître les plus récentes techniques d’infection. De plus, un émulateur Internet pour l’analyse dynamique des logiciels malveillants est également une sorte de pot de miel. Il n’est pas toujours possible de laisser les communications malveillantes utiliser l’internet lors de l’analyse dynamique. Bien qu’Inetsim soit un émulateur internet qui pourrait être utilisé pour résoudre ce problème, il a été développé il y a plus de 10 ans et ne tire pas parti des capacités des dernières technologies. Comment pourrions-nous développer une nouvelle et meilleure simulation Internet pour des outils d'analyse dynamique isolée de maliciels (pas seulement pour simuler des services, mais aussi du contenu) ? Comment pourrions-nous également simuler les systèmes de contrôle industriel et les interactions des utilisateurs ? Pourrions-nous construire un système qui fait à la fois un émulateur Internet et pot de miel ? Comment pourrions-nous tirer parti de nouveaux concepts tels que l'apprentissage automatique, l’infonuagique ou améliorer les taux de réponses du pot de miel / émulateur Internet pour collecter des artefacts malveillants sophistiqués et des menaces émergentes ?
Pourriel/Hameçonnage/Hameçonnage par SMS [D | P]
L'analyse des pourriels envoyés à partir de botnets, des tentatives d'hameçonnage, et des URLs d’hameçonnage par SMS nous permet d'extraire manuellement les indicateurs de compromission (IOC). Comment pourrions-nous développer des techniques pour trouver et extraire automatiquement des informations pertinentes et exploitables à partir de milliards de courriers indésirables et de domaines récemment créés en temps réel ? En outre, comment pourrions-nous développer des analyses pour identifier les campagnes de pourriels / hameçonnage / hameçonnage par SMS?
Analyse de la mémoire [O | P]
Les configurations intégrées dans les artéfacts de maliciels représentent une source d’informations exploitables à utiliser dans le cadre d’analyses futures. Par exemple, la configuration de nombreuses familles de maliciels présente les adresses de leurs serveurs de commande et de contrôle. Comment pourrions-nous tirer profit de l’information de configuration qui est accessible lors de l’exécution, afin d’obtenir des données analytiques précieuses sur l’état du système ? Comment ce processus pourrait-il être structuré dans un cadre qui permettrait l’automatisation et la mise à l’échelle (p. ex. à l’aide d’outils comme CAPE ou malscan) ?
Surveillance communautaire en cybersécurité [P]
Il est parfois difficile de valider avec exactitude la malveillance d’un indicateur et d’évaluer les effets secondaires négatifs possibles liés au blocage du trafic en conséquence. Lors d’un événement organisé par le Centre pour la cybersécurité, une initiative a été créée en collaboration avec des entreprises de télécommunications canadiennes afin d’adopter une méthode dans le cadre de laquelle différentes organisations peuvent communiquer de l’information utile concernant le trafic réseau à d’autres organisations partenaires au moyen de MISP. Pourrions-nous démocratiser l’établissement de la qualité et de la pertinence d’un indicateur au moyen d’un système de vote par les membres ? Comment pourrions-nous mettre en place un système renforçant une telle communauté ? De quelle façon ces connaissances pourraient-elles servir à enrichir un DNS national ?
Infrastructures malveillantes et recherche de menaces [P | R]
Les cybermenaces sont infinies et il peut être difficile de reconnaître automatiquement les infrastructures malveillantes et les tentatives d’hameçonnage parmi d’énormes quantités de données. Pour ce faire, on peut entrer autres changer une section du chemin d’une URL par un autre chemin que l’on sait associer à une infrastructure malveillante. Comment pourrions-nous faire la synthèse des données afin de déterminer des formules permettant d’établir des règles grâce auxquelles on pourrait trouver des données additionnelles ou valoriser les données existantes ? Comment pourrions-nous déterminer que les formules liées aux règles sont correctes ? Comment pourrions-nous automatiquement détecter les données et les infrastructures malveillantes recueillies et les attribuer à des auteurs de menace ?
Surveillance et analyse du nuage [D]
De plus en plus de services gouvernementaux sont maintenant offerts sur le nuage Microsoft Azure et il est donc essentiel que le Centre pour la cybersécurité comprenne de quelle façon les utilisateurs peuvent sécuriser et surveiller leurs locations infonuagiques de même que l’infrastructure physique connexe. Microsoft Azure permet à ses clients d’obtenir des journaux afin qu’ils surveillent leurs activités et leurs ressources infonuagiques. Comment pourrions-nous créer un cadre afin d’extraire, d’analyser et de visualiser les journaux infonuagiques pour obtenir de l’information exploitable ? Comment pourrions-nous obtenir un ensemble de bonnes pratiques grâce aux utilisateurs du nuage Microsoft Azure et collaborer avec les fournisseurs de services infonuagiques pour qu’ils améliorent leurs services ?
Mappage de l’infrastructure [R | D]
La mise au point d’une intervention efficace pour contrer les méfaits des auteurs malveillants commence par la compréhension des infrastructures malveillantes dont ils se servent. Comment pourrions-nous centraliser les indicateurs de compromission des partenaires de l’industrie et du gouvernement ainsi que des organismes chargés de l’application de la loi, et les optimiser de sorte qu’ils puissent déterminer l’architecture des infrastructures malveillantes ?
Mise en œuvre de la recherche de composants malveillants [R | D]
La recherche opérationnelle diffère de la recherche d’indicateurs de compromission habituelle. Elle vise particulièrement le renseignement exploitable permettant de monter un dossier contre un auteur malveillant responsable d’un composant. Comment pourrions-nous rechercher efficacement des composants (en se basant sur l’analyse de l’hôte, l’analyse de surface, la rétroingénierie, etc.) pour déterminer la composition interne de la cybermenace ?
Attribution des menaces aux auteurs [R | D]
Pour pouvoir prendre des mesures contre les auteurs malveillants, il faut monter un dossier solide, étayé par des éléments de preuve admissibles qui identifient clairement l’individu ou les individus responsables de la cybermenace. Comment pourrions-nous identifier certains individus responsables des attaques grâce à la recherche d’indicateurs de compromission et des surnoms des auteurs ?
Collecte et analyse de données interorganisationnelles [D]
Un problème important concernant la recherche collaborative interorganisationnelle découle du fait qu’il est difficile de trouver une méthode mutuelle pour mettre en commun, stocker, normaliser et visualiser les données. Comment pourrions-nous nous servir du vaste ensemble de données sur l’infrastructure malveillante, le maliciel et l’attribution de la menace à l’auteur malveillant ? Comment pourrions-nous tirer profit des activités menées par d’autres équipes participant à la GeekWeek pour produire un résultat exploitable ?
Suivez l’argent [P | D]
Les crypto-monnaies sont souvent utilisées par les acteurs malveillants comme méthode de choix pour recevoir des paiements de leurs différentes victimes. Comment pourrions-nous exploiter le blockchain et collecter des informations clés sur cet écosystème ? Comment pourrions-nous utiliser ces données pour retracer les acteurs ou regrouper les cybermenaces ? Comment pourrions-nous trouver un moyen reproductible et durable de mesurer les coûts et les revenus des acteurs malveillants et de l'économie de la cyber-menace ?
Contribution aux outils de la collectivité [P]
Les outils et les services de source ouverte mis au point par la collectivité de la cybersécurité sont essentiels à l’amélioration de l’accessibilité à la cybersécurité ; ils renforcent donc nos capacités d’intervention contre les cybermenaces. Par exemple, comment pourrions-nous unir nos forces en vue d’améliorer les services et les outils de la collectivité, comme MISP Malpedia Ghidra, et connecter un nombre accru de personnes à ces services? Comment pourrions-nous contribuer aux outils de source ouverte au moyen de code pouvant avantager toute la collectivité de la cybersécurité ?
Analyse génétique avancée des maliciels [R | P |D]
La « recherche d’informations » est une nouvelle technique de rétroingénierie et d’analyse des maliciels qui décompose de nouveaux maliciels inconnus en composantes connues, en se basant sur des données existantes. Les outils en place, comme Intezer, se fondent sur des codes correspondant exactement à des algorithmes et ne permettent pas de récupérer l’information qui diffère légèrement des codes originaux. Comment pourrions-nous développer un système de recherche d’informations pouvant trouver des correspondances inexactes tout en s’adaptant à différentes architectures CPU? Comment pourrions-nous nous servir d’outils déjà en place, comme Kam1n0 et Ghidra, pour concevoir un système souple et adaptable?
Regroupement de maliciels avancé [P]
De nouveaux maliciels sont détectés tous les jours, mais la majorité des découvertes représentent des variantes de maliciels déjà existants. Comment pouvons-nous automatiquement regrouper ces variantes en fonction de leurs comportements, puis les classer dans la famille connexe ? Comment pouvons-nous extraire des signatures et des indicateurs de compromission partageables à partir d’un groupe de maliciels similaires ?
Regroupement d’infrastructures malveillantes avancées [P]
Les infrastructures malveillantes changent constamment et des efforts importants sont déployés pour dissimuler leur affiliation. De même, de nouveaux sites d’hameçonnage qui se font passer pour des sites d’entreprises sont créés chaque jour et comportent toujours de petites différences pour contourner les mécanismes de détection automatique. Comment pourrions-nous tirer profit de l’apprentissage machine et des algorithmes de reconnaissance d’image afin de regrouper automatiquement des infrastructures et des sites Web malveillants, et de les attribuer à des auteurs malveillants ?
Validation des analyses [P]
Comme les auteurs malveillants changent et déplacent leurs infrastructures pour éviter leur détection, nous devons constamment vérifier la validité de nos données. Comment pourrions-nous développer un système qui naviguerait régulièrement sur Internet afin de valider l’information sur les infrastructures malveillantes et veiller à leur validité ?
Extractions de connaissances automatisées (ou l’accent sur les graphiques !) [P]
Une histoire de cybermenace commence habituellement par quelques indicateurs. L’analyste concerné doit alors manuellement établir des relations avec d’autres sources d’information pour compléter l’histoire et obtenir un portrait complet. Comment pourrions-nous automatiser ce processus ? Comment pourrions-nous automatiser la création de graphiques d’indicateurs qui permettraient à l’analyste de voir toute l’histoire en évitant le côté manuel du processus ?