Publications

Publications

Publication de la version Alpha de IDPS-ESCAPE


itrust Abstractions Lab a publié la version Alpha d'IDPS-ESCAPE sur GitHub.

Contexte
IDPS-ESCAPE, qui fait partie de la suite CyFORT de solutions logicielles open source pour la cybersécurité, aborde divers aspects de la cybersécurité dans son ensemble, en ciblant différents groupes d'utilisateurs, allant du public au privé, et des équipes CIRT/CSIRT aux administrateurs système. La conception de IDPS-ESCAPE est orientée vers des déploiements cloud-natifs, avec une attention particulière aux systèmes de surveillance gérés par les CERT/CSIRT.
Aperçu
IDPS-ESCAPE vise à capturer de près la notion de MAPE-K (Monitor, Analyze, Plan, Execute and Knowledge) issue de l'informatique autonome appliquée à la cybersécurité, ce qui se traduit par la fourniture d'un ensemble complet remplissant les rôles d'un système d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR), d'un système de gestion des informations et des événements de sécurité (SIEM) et d'un système de détection et de prévention des intrusions (IDPS), avec un sous-système central traitant de la détection des anomalies (AD) basé sur les avancées de pointe en apprentissage automatique (ML). Nous appelons ce sous-système « ADBox », qui est livré avec une intégration prête à l'emploi avec des solutions open-source bien connues telles qu’OpenSearch pour la recherche et l'analyse,  Wazuh comme notre SIEM&XDR de choix, à son tour connecté à MISP pour l'enrichissement des alertes, et à Suricata, agissant à la fois comme notre IDPS réseau préféré, ainsi que comme une source d'acquisition de données au niveau réseau.

Notre cadre extensible ADBox, fournissant une infrastructure logicielle modulaire et extensible pour intégrer efficacement des algorithmes de ML et de détection d’anomalies, inclut également un algorithme de détection d'anomalies en séries temporelles multivariées (MTAD) reposant sur des « Graph Attention Networks » (GAT).

En plus de fournir aux praticiens de la sécurité, tels que les opérateurs SOC ou les analystes CTI, une détection d'anomalies sur les indices Wazuh (alertes, archives, statistiques, etc.) dans de multiples modes (batch, temps réel et historique), il peut également être utilisé pour simplifier et affiner le travail des praticiens de la sécurité sur plusieurs dimensions, par exemple :
  • la gestion des règles,
  • la corrélation des événements,
  • la dérivation d’alerte en incident, et le réglage des politiques d'alerte/réponse et les correspondances avec des bases de données telles que MITRE ATT&CK.

        ADBox peut également être utilisé comme une bibliothèque logicielle pour déployer divers algorithmes de détection d’anomalies basés sur le ML dans différents environnements, tout en permettant un haut degré de personnalisation grâce à sa conception modulaire et extensible. Une personnalisation axée sur l'environnement peut non seulement contribuer à réduire les faux positifs, mais aussi aider à détecter un comportement suspect avec des informations limitées, ou encore fournir un point d'entrée pour une enquête traitant des modèles d’attaques adverses pour lesquels des signatures ou des indicateurs de compromission préalables peuvent ne pas être facilement disponibles.

        Par conséquent, ADBox constitue un tremplin vers la résolution de diverses déclarations controversées et de conclusions parfois douteuses issues de la littérature académique et de celles faites par les praticiens du secteur : il suffit de brancher la dernière implémentation d'un algorithme de détection d’anomalies basé sur le ML dans ADBox, ce qui l'intégre à des outils de sécurité réels tels que Wazuh, afin d'évaluer et de (in)valider ces affirmations.

        La version actuelle de la pile IDPS-ESCAPE comprend
        • une configuration combinée intégrant des solutions open source de pointe IDPS et SIEM&XDR, ainsi que
        • ADBox, un sous-système de détection d'anomalies conçu et mis en œuvre sur mesure, basé sur l'apprentissage automatique.

              Relation avec d'autres sous-projets et outils de CyFORT
              Notre dépôt GitHub contient le code source et la documentation complète (exigences, spécifications techniques, schémas, manuel d'utilisation, spécifications des cas de test et rapports de test) d'IDPS-ESCAPE, basé sur la méthode C5-DEC et le logiciel également développé dans CyFORT, qui repose sur le stockage, l'interconnexion et le traitement de tous les artefacts du cycle de vie du développement logiciel (SDLC) d'une manière unifiée, comme illustré par la page web de traçabilité fournissant les spécifications techniques d'IDPS-ESCAPE.

              Enfin, IDPS-ESCAPE est développé en parallèle avec un autre sous-projet de CyFORT, à savoir SATRAP-DL, qui vise à améliorer le travail des analystes en renseignement sur les cybermenaces (CTI) à l’aide d’un raisonnement semi-automatisé sur le CTI. À terme, IDPS-ESCAPE devrait inclure, entre autres, des mécanismes permettant de faire face et de traiter les attaques de la chaîne d'approvisionnement et à celles utilisant l’apprentissage automatique adverse.



              La publication, originale en Anglais, sur le site web d'itrust Abstractions Lab
              IDPS-ESCAPE sur GitHub
              IDPS-ESCAPE sur GitHub d'itrust Abstractions Lab
              Communiqué de presse de IDPS-ESCAPE

              itrust Abstractions Lab a publié la version Beta de C5-DEC sur Github

              Cette version comprend de nombreuses nouvelles fonctionnalités, principalement pour aider aux évaluations selon les critères communs et à la création efficace de la documentation technique tout au long du cycle de vie du développement de logiciels sécurisés (SSDLC).

              Quelles sont les nouveautés?
              Explorez les normes des Critères Communs à travers une interface web au lieu de scanner les documents.
              


              Les normes des Critères communs pour l'évaluation de la sécurité des produits informatiques sont officiellement publiées sous la forme d'un ensemble de documents PDF et au format XML. Nous avons utilisé ce dernier afin qu'au lieu de lire de longs documents PDF, vous puissiez désormais parcourir dynamiquement les exigences, classes, familles, composants et éléments des CC de manière conviviale via une interface utilisateur graphique (GUI) basée sur le web et fonctionnant sur votre ordinateur. Les versions CC 3.1R5 et 2022R1 sont prises en charge.

              Comme l'interface utilisateur graphique incluse dans la version Alpha, l'interface utilisateur graphique vous permet d'obtenir le contenu filtré en Markdown pour un traitement ultérieur en fonction de vos besoins.

               Créer des listes de contrôle d'évaluation au format tableau. 

              Le module CC Lab de l'interface graphique vous permet de sélectionner des classes ou des composants d'assurance CC spécifiques pour générer et exporter une liste de contrôle d'évaluation des unités de travail dans un document structuré sous forme de tableau (ods, xlsx). Un concept supplémentaire d'unités de travail atomiques (AWI) est inclus dans la feuille de calcul, afin d'aider les laboratoires à décomposer et à organiser leur travail.

              Créer des rapports techniques d'évaluation (ETR) en Markdown.


              L'interface de ligne de commande (CLI) a été étendue avec des commandes qui vous permettent de générer des fichiers Markdown indépendants contenant l'analyse d'évaluation d'une famille d'assurance spécifique, à partir de la feuille de calcul d'une liste de contrôle d'évaluation de votre choix. Ces fichiers sont des parties/sections d'un rapport d'évaluation et peuvent être intégrés dans notre modèle Markdown ETR (inclus dans la version) pour compiler un document ETR complet.

              Publier des documents en Markdown dans d'autres formats grâce à notre intégration avec Quarto.

               

              Utilisez le DocEngine pour créer des documents au format PDF, Word et autres à partir de fichiers Markdown. Cela vous permet d'écrire toute votre documentation technique, vos rapports d'évaluation et autres documents dans un format open-source pour une compatibilité avec les environnements de développement (GitHub, GitLab, etc.) et de les publier par la suite dans de multiples formats selon vos besoins.

               

              Nous vous invitons à consulter tous les détails dans le dépôt GitHub et à explorer le logiciel.

              Nous serons heureux de recevoir vos commentaires à l'adresse info@abstractionslab.lu.


              Lisez l'article complet en langue originale, en anglais, sur le site web de itrust Abstractions Lab
              C5-DEC sur GitHub de itrust Abstractions Lab

              Publication de OpenTRICK comme outil open source

              itrust consulting a publié la version de TRICK Service en open source et a ajouté à la liste des produits. OpenTRICK est une application qui soutient l’évaluation et le traitement des risques.


              OpenTRICK (anciennement appelé TRICK Service) est un outil de gestion de risques complet, aidant à évaluer les risques et à planifier des actions, comme l’éxige la norme ISO/IE 27001 concernant le Système de Management de la Sécurité de l’Information (SMSI). Il vous accompagne tout au long du processus de gestion des risques, depuis la definition du context de risques, en passant par l’estimation et le traitement des risques, jusqu’à la communication des résultats. OpenTRICK vous prepare à optenir la certification ISO 27001, à respecter les exigences du RGPD, à exporter les informations sur les risques au format JSON demandé par le régulateur luxembourgeois ILR ou à répondre à la circulaire de la CSSF 12/544.

              Il couvre une grande variété de fonctionnalités tells que l’analyse quantative et qualitative des scenarios de risques, l’éstimation du retour sur investissement en matière de securité (ROSI) basée sur les facteurs de reduction des risques (RRF), l’intégration de catalogues personnalisés ou prédéfinis pour les contrôles de sécurité évalués, le support multi-utilisateurs et le contrôle d’accès, l’import/export et la gestion des versions. Il permet à plusieurs évaluations des risques pour différents clients ou contextes de partager des informations telles que les paramètres de sécurité et de risque sur une base de connaissances centrale, ce qui explique son nom TRICK = Tool for Risk management of an ISMS based on a Central Knowledge base (outil de gestion des risques d'un système de management de l'information sur la base d'une base de connaissances centrale). Notez que de telles informations, par exemple ISO/IEC 27002, sont protégées par des droits d'auteur, c'est-à-dire qu'elles ne peuvent pas faire partie de cette version, mais elles peuvent être importées facilement, sur la base de documents formatés disponibles sur ILNAS.public.lu (par exemple) après l'acquisition des droits d'auteur de la norme (dans un avenir proche).


              OpenTRICK comprend la gestion de l'accès des utilisateurs, les journaux d'activité, l'authentification à deux facteurs et une fonction d'entrée et de sortie intelligente interagissant avec Word et Excel.

              Publication of Trick2MonarcApi | CS-GRAM open source tools

              Open source Java API for MONARC (Optimised Risk Analysis Method), which allows risk information from other sophisticated risk management tools such as TRICK Service (Tool for Risk management of an ISMS based on a Central Knowledge base) to be imported by facilitating changes to the MONARC JSON data file. The tool has been developed to migrate risk information from several organisations within the scope of NIS into the data format required by the NIS regulator in Luxembourg.

              This project conforms to MONARC version 2.12.7. This API reads a JSON data file exported from MONARC and gathers information by interpreting a subset of such a file and creating Java objects from the elements it can interpret from the exported JSON data file.
              Furthermore, after the Java objects have been processed by this API, it can export a JSON file compliant with MONARC version 2.12.7.

              The tool has been released as open source as part of the CyFORT project initiative, making its main features available for use and inviting further contributions.


              Link to Trick2MonarcApi on GitHub - itrust consulting

              Link to itrust Abstractions Lab

              Publication of DRAW | CS-GRAM open source tools

              The DRAW is an open source tool from itrust consulting and is used to graphically represent assets and their corresponding dependencies. The assets are represented as nodes in the graph and the dependency is represented as an edge from one asset to another. The asset carries information about the name of the asset and its type, e.g. the asset can be a financial asset, a business process, etc. The edge carries the dependency information and also the probability information. Probability implies the chances that one asset will affect the other asset.

              The depiction of asset dependencies allows users to graphically see the impact of an asset on other assets. For example, if there is an edge between server and server data, this means that a problem with the server could cause a problem with the server data.

              The dependency graph created by DRAW can also be synchronised with TRICK Service risk analysis tool by itrust consulting, enabling the user to perform more effective risk analysis based on asset dependencies and probability propagation associated with edges.

              As of version v2.0.5, the tool also supports the Excel format for importing and exporting dependencies to the DRAW whiteboard.


              The tool has been released as open source as part of the CyFORT project initiative, making its main features available for use and inviting further contributions.


              Link to DRAW on GitHub - itrust consulting

              Link to itrust Abstractions Lab

              Publication of OpenARIANA | CS-GRAM open source tools

              OpenARIANA has been developed to address the repetitive task of creating policies, particularly Information Security Management System (ISMS) policies. These documents often consist of standardised text that needs to be tailored to individual customer requirements. By tightly integrating with Microsoft Word, OpenARIANA streamlines the process of creating and customising documents in a professional environment. It provides a user-friendly interface that increases productivity and reduces manual effort, making the process of adapting standardised policies to specific customer needs both efficient and reliable.

              The tool has been released as open source as part of the CyFORT project initiative, making its main features available for use and inviting further contributions.


              Link to OpenARIANA on GitHub - itrust consulting

              Link to itrust Abstractions Lab

              Publication of ARIANA | CS-GRAM open source tools

              The ARIANA tool, short for "Assistance for Reporting on Information system Audits with Normative Assessment", is designed as an add-on to Microsoft Word and Excel applications and provides a simple and reliable process for creating policies, creating or updating audit reports, managing Excel- and Word-based records of processing activities compliant with GDPR, and providing additional Word and Excel utilities useful to consultants in their day-to-day work.

              The tool was developed by itrust consulting as a VBA application to provide standardised documentation in the ATENA project. The tool has been released as open source as part of the CyFORT project initiative, making its main features available for use and inviting further contributions.


              Link to ARIANA on GitHub - itrust consulting

              Link to itrust Abstractions Lab

              Publication of C5-DEC CAD

              C5-DEC, short for "Common Criteria for Cybersecurity, Cryptography, Clouds – Design, Evaluation and Certification", is a sub-project of the CyFORT project, which in turn stands for "Cloud Cybersecurity Fortress of Open Resources and Tools for Resilience".

               

              C5-DEC CAD, the software component of C5-DEC, is a suite of tools for computer-aided design and development (CAD), mainly dealing with: the creation and evaluation of secure IT systems according to the Common Criteria standards, secure software development life cycle (SSDLC), and what we refer to as cyber-physical system security assessment (CPSSA).

              This repository contains the source code and full documentation (requirements, technical specifications, user manual, test case specifications and test reports) of C5-DEC CAD, exemplifying the C5-DEC method, which relies on storing, interlinking and processing all software development life cycle (SDLC) artifacts in a unified manner.


              Link to itrust Abstractions Lab

              International Conference on E-Business and Telecommunications (ICETE 2020)

              Vazquez Sandoval I., Atashpendar A., Lenzini G., Ryan P.Y.A. (2021) PakeMail: Authentication and Key Management in Decentralized Secure Email and Messaging via PAKE. In: Obaidat M.S., Ben-Othman J. (eds) E-Business and Telecommunications. ICETE 2020. Communications in Computer and Information Science, vol 1484. Springer, Cham.

              Liens : Publication

              Search-based test and improvement of machine-learning-based anomaly detection systems.

              Maxime Cordy, Steve Muller, Mike Papadakis, and Yves Le Traon 2019. Search-based test and improvement of machine-learning-based anomaly detection systems. Proceedings of the 28th ACM SIGSOFT International Symposium on Software Testing and Analysis. Association for Computing Machinery, New York, NY, USA, 158–168.

              Liens : Publication

              Archive