Articles catégorisés: Publications
Télécharger les fichiers de normes libres d’utilisation
Téléchargez les fichiers Excel gratuits pour une utilisation facile :
Nouvelle version IDPS-ESCAPE (0.2) – ADBox intégration complète dans Wazuh
Suite à notre version initiale (Alpha) d’IDPS-ESCAPE publié le 1er septembre 2024 introduisant ADBox, notre solution dédiée de détection d’intrusion basée sur les anomalies et s’appuyant sur les dernières avancées en matière d’intelligence artificielle, nous avons publié une autre version sur GitHub qui, en plus de correctifs et d’améliorations, fournit une intégration complète dans Wazuh, le SIEM open-source bien connu, dont vous pouvez avoir un aperçu en regardant ce court walkthrough.Sous le capotCette version apporte également de nombreuses améliorations en coulisses et des améliorations architecturales, par exemple, l’utilisation d’un moteur de détection des anomalies, un module d’expédition des données mettant à jour les indices Wazuh avec les résultats de la détection ADBox, une suite étendue de tests unitaires, un manuel d’utilisation détaillé (en anglais), une version entièrement révisée des spécifications techniques fournissant une traçabilité de bout en bout, couvrant les spécifications, la conception logicielle et architecturale et les artefacts de test. Vous pouvez consulter le journal des modifications pour en savoir plus sur les mises à jour introduites depuis la sortie de la v0.1.1 le 1er septembre 2024.
RoadmapNous travaillerons à l’élaboration de notre version bêta, prévue pour le début de l’année 2026, et certains des éléments actuellement planifiés sont les suivants :
- l’adaptation des algorithmes ADBox sous-jacents à des opérations SOC spécifiques.
- l’ajout de nouveaux mécanismes automatisés visant à prendre des mesures préventives (c’est-à-dire le « P » d’IDPS), directement intégrés dans Wazuh, en vue de l’objectif SOAR d’IDPS-ESCAPE.
- la stabilisation de l’implémentation actuelle et l’amélioration de sa résilience et de sa tolérance aux défaillances, en particulier lorsqu’il s’agit de traiter des données brutes manquantes et mal formées.
Publication de la version Alpha de IDPS-ESCAPE
itrust Abstractions Lab a publié la version Alpha d’IDPS-ESCAPE sur GitHub.
IDPS-ESCAPE, qui fait partie de CyFORT, un ensemble de solutions open-source de cybersécurité, couvre divers aspects de la cybersécurité en tant qu’ensemble, en ciblant différents groupes d’utilisateurs, allant du secteur public au secteur privé et du CERT/CSIRT aux administrateurs système. IDPS-ESCAPE est conçu pour des déploiements en cloud, avec un œil sur les systèmes de surveillance opérés par les CERT/CSIRT.
Clickez ici pour tous les informations
Publication de la version Alpha de IDPS-ESCAPE
itrust Abstractions Lab a publié la version Alpha d’IDPS-ESCAPE sur GitHub.
ContexteIDPS-ESCAPE, qui fait partie de la suite CyFORT de solutions logicielles open source pour la cybersécurité, aborde divers aspects de la cybersécurité dans son ensemble, en ciblant différents groupes d’utilisateurs, allant du public au privé, et des équipes CIRT/CSIRT aux administrateurs système. La conception de IDPS-ESCAPE est orientée vers des déploiements cloud-natifs, avec une attention particulière aux systèmes de surveillance gérés par les CERT/CSIRT.
AperçuIDPS-ESCAPE vise à capturer de près la notion de MAPE-K (Monitor, Analyze, Plan, Execute and Knowledge) issue de l’informatique autonome appliquée à la cybersécurité, ce qui se traduit par la fourniture d’un ensemble complet remplissant les rôles d’un système d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR), d’un système de gestion des informations et des événements de sécurité (SIEM) et d’un système de détection et de prévention des intrusions (IDPS), avec un sous-système central traitant de la détection des anomalies (AD) basé sur les avancées de pointe en apprentissage automatique (ML). Nous appelons ce sous-système « ADBox », qui est livré avec une intégration prête à l’emploi avec des solutions open-source bien connues telles qu’OpenSearch pour la recherche et l’analyse, Wazuh comme notre SIEM&XDR de choix, à son tour connecté à MISP pour l’enrichissement des alertes, et à Suricata, agissant à la fois comme notre IDPS réseau préféré, ainsi que comme une source d’acquisition de données au niveau réseau.
Notre cadre extensible ADBox, fournissant une infrastructure logicielle modulaire et extensible pour intégrer efficacement des algorithmes de ML et de détection d’anomalies, inclut également un algorithme de détection d’anomalies en séries temporelles multivariées (MTAD) reposant sur des « Graph Attention Networks » (GAT).
En plus de fournir aux praticiens de la sécurité, tels que les opérateurs SOC ou les analystes CTI, une détection d’anomalies sur les indices Wazuh (alertes, archives, statistiques, etc.) dans de multiples modes (batch, temps réel et historique), il peut également être utilisé pour simplifier et affiner le travail des praticiens de la sécurité sur plusieurs dimensions, par exemple :
- la gestion des règles,
- la corrélation des événements,
- la dérivation d’alerte en incident, et le réglage des politiques d’alerte/réponse et les correspondances avec des bases de données telles que MITRE ATT&CK.
ADBox peut également être utilisé comme une bibliothèque logicielle pour déployer divers algorithmes de détection d’anomalies basés sur le ML dans différents environnements, tout en permettant un haut degré de personnalisation grâce à sa conception modulaire et extensible. Une personnalisation axée sur l’environnement peut non seulement contribuer à réduire les faux positifs, mais aussi aider à détecter un comportement suspect avec des informations limitées, ou encore fournir un point d’entrée pour une enquête traitant des modèles d’attaques adverses pour lesquels des signatures ou des indicateurs de compromission préalables peuvent ne pas être facilement disponibles.
Par conséquent, ADBox constitue un tremplin vers la résolution de diverses déclarations controversées et de conclusions parfois douteuses issues de la littérature académique et de celles faites par les praticiens du secteur : il suffit de brancher la dernière implémentation d’un algorithme de détection d’anomalies basé sur le ML dans ADBox, ce qui l’intégre à des outils de sécurité réels tels que Wazuh, afin d’évaluer et de (in)valider ces affirmations.
La version actuelle de la pile IDPS-ESCAPE comprend
- une configuration combinée intégrant des solutions open source de pointe IDPS et SIEM&XDR, ainsi que
- ADBox, un sous-système de détection d’anomalies conçu et mis en œuvre sur mesure, basé sur l’apprentissage automatique.
Relation avec d'autres sous-projets et outils de CyFORTNotre dépôt GitHub contient le code source et la documentation complète (exigences, spécifications techniques, schémas, manuel d’utilisation, spécifications des cas de test et rapports de test) d’IDPS-ESCAPE, basé sur la méthode C5-DEC et le logiciel également développé dans CyFORT, qui repose sur le stockage, l’interconnexion et le traitement de tous les artefacts du cycle de vie du développement logiciel (SDLC) d’une manière unifiée, comme illustré par la page web de traçabilité fournissant les spécifications techniques d’IDPS-ESCAPE.
Enfin, IDPS-ESCAPE est développé en parallèle avec un autre sous-projet de CyFORT, à savoir SATRAP-DL, qui vise à améliorer le travail des analystes en renseignement sur les cybermenaces (CTI) à l’aide d’un raisonnement semi-automatisé sur le CTI. À terme, IDPS-ESCAPE devrait inclure, entre autres, des mécanismes permettant de faire face et de traiter les attaques de la chaîne d’approvisionnement et à celles utilisant l’apprentissage automatique adverse.