Publication de la version Alpha de IDPS-ESCAPE

itrust Abstractions Lab a publié la version Alpha d’IDPS-ESCAPE sur GitHub.

Contexte

IDPS-ESCAPE, qui fait partie de la suite CyFORT de solutions logicielles open source pour la cybersécurité, aborde divers aspects de la cybersécurité dans son ensemble, en ciblant différents groupes d’utilisateurs, allant du public au privé, et des équipes CIRT/CSIRT aux administrateurs système. La conception de IDPS-ESCAPE est orientée vers des déploiements cloud-natifs, avec une attention particulière aux systèmes de surveillance gérés par les CERT/CSIRT.

Aperçu

IDPS-ESCAPE vise à capturer de près la notion de MAPE-K (Monitor, Analyze, Plan, Execute and Knowledge) issue de l’informatique autonome appliquée à la cybersécurité, ce qui se traduit par la fourniture d’un ensemble complet remplissant les rôles d’un système d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR), d’un système de gestion des informations et des événements de sécurité (SIEM) et d’un système de détection et de prévention des intrusions (IDPS), avec un sous-système central traitant de la détection des anomalies (AD) basé sur les avancées de pointe en apprentissage automatique (ML). Nous appelons ce sous-système « ADBox », qui est livré avec une intégration prête à l’emploi avec des solutions open-source bien connues telles qu’OpenSearch pour la recherche et l’analyse,  Wazuh comme notre SIEM&XDR de choix, à son tour connecté à MISP pour l’enrichissement des alertes, et à Suricata, agissant à la fois comme notre IDPS réseau préféré, ainsi que comme une source d’acquisition de données au niveau réseau.

Notre cadre extensible ADBox, fournissant une infrastructure logicielle modulaire et extensible pour intégrer efficacement des algorithmes de ML et de détection d’anomalies, inclut également un algorithme de détection d’anomalies en séries temporelles multivariées (MTAD) reposant sur des « Graph Attention Networks » (GAT).

En plus de fournir aux praticiens de la sécurité, tels que les opérateurs SOC ou les analystes CTI, une détection d’anomalies sur les indices Wazuh (alertes, archives, statistiques, etc.) dans de multiples modes (batch, temps réel et historique), il peut également être utilisé pour simplifier et affiner le travail des praticiens de la sécurité sur plusieurs dimensions, par exemple :

• la gestion des règles,
• la corrélation des événements,
• la dérivation d’alerte en incident, et le réglage des politiques d’alerte/réponse et les correspondances avec des bases de données telles que MITRE ATT&CK.

ADBox peut également être utilisé comme une bibliothèque logicielle pour déployer divers algorithmes de détection d’anomalies basés sur le ML dans différents environnements, tout en permettant un haut degré de personnalisation grâce à sa conception modulaire et extensible. Une personnalisation axée sur l’environnement peut non seulement contribuer à réduire les faux positifs, mais aussi aider à détecter un comportement suspect avec des informations limitées, ou encore fournir un point d’entrée pour une enquête traitant des modèles d’attaques adverses pour lesquels des signatures ou des indicateurs de compromission préalables peuvent ne pas être facilement disponibles.

Par conséquent, ADBox constitue un tremplin vers la résolution de diverses déclarations controversées et de conclusions parfois douteuses issues de la littérature académique et de celles faites par les praticiens du secteur : il suffit de brancher la dernière implémentation d’un algorithme de détection d’anomalies basé sur le ML dans ADBox, ce qui l’intégre à des outils de sécurité réels tels que Wazuh, afin d’évaluer et de (in)valider ces affirmations.

La version actuelle de la pile IDPS-ESCAPE comprend

• une configuration combinée intégrant des solutions open source de pointe IDPS et SIEM&XDR, ainsi que
• ADBox, un sous-système de détection d’anomalies conçu et mis en œuvre sur mesure, basé sur l’apprentissage automatique.

Relation avec d'autres sous-projets et outils de CyFORT

Notre dépôt GitHub contient le code source et la documentation complète (exigences, spécifications techniques, schémas, manuel d’utilisation, spécifications des cas de test et rapports de test) d’IDPS-ESCAPE, basé sur la méthode C5-DEC et le logiciel également développé dans CyFORT, qui repose sur le stockage, l’interconnexion et le traitement de tous les artefacts du cycle de vie du développement logiciel (SDLC) d’une manière unifiée, comme illustré par la page web de traçabilité fournissant les spécifications techniques d’IDPS-ESCAPE.

Enfin, IDPS-ESCAPE est développé en parallèle avec un autre sous-projet de CyFORT, à savoir SATRAP-DL, qui vise à améliorer le travail des analystes en renseignement sur les cybermenaces (CTI) à l’aide d’un raisonnement semi-automatisé sur le CTI. À terme, IDPS-ESCAPE devrait inclure, entre autres, des mécanismes permettant de faire face et de traiter les attaques de la chaîne d’approvisionnement et à celles utilisant l’apprentissage automatique adverse.