
itrust Abstractions Lab a publié la version Alpha de SATRAP-DL sur GitHub.
Qu'est-ce que SATRAP ?
Développé dans le cadre du sous-projet SATRAP-DL de CyFORT, SATRAP (Semi-Automated Threat Reconnaissance and Analysis Platform) est un logiciel libre et multiplateforme pour l'analyse assistée par ordinateur du renseignement sur les cybermenaces (CTI) par le biais d'un raisonnement automatisé.
Caractéristiques principales
Comment SATRAP automatise-t-il les tâches analytiques ?
SATRAP s'appuie sur un système de représentation des connaissances (KRS) pour introduire la sémantique dans le stockage, le traitement et l'analyse des renseignements sur les cybermenaces. Cette approche permet à SATRAP d'automatiser les tâches analytiques sur de grands volumes d'informations sur les menaces et de CTI par le biais de la dérivation logique des connaissances.
Le KRS se compose des éléments suivants :
Le KRS de SATRAP est mise en œuvre à l'aide de TypeDB, une base de données polymorphe dotée d'un moteur de raisonnement symbolique natif. L'utilisation de TypeDB permet à SATRAP de mettre en œuvre des fonctions analytiques dans le domaine de la CTI au-dessus d'un noyau intégré, où la base de connaissances et le moteur de raisonnement sont couplés de manière native, ce qui permet généralement une exécution efficace des tâches d'inférence.
Les fonctions analytiques de SATRAP exécutent des requêtes liées à la CTI sur le KRS et obtiennent des réponses explicables, montrant les étapes qui ont conduit à la réponse. Contrairement aux bases de données classiques, ces réponses peuvent inclure non seulement des informations réelles dans la base de connaissances CTI, mais aussi des relations déduites de ces informations.Comment utiliser SATRAP ?
La version Alpha de SATRAP présente deux interfaces utilisateur natives et une intégration avec d'autres outils open-source pour mener des enquêtes CTI structurées.
SATRAP Python CTI Analysis Toolbox : Une bibliothèque Python fournissant un ensemble de fonctions qui effectuent un raisonnement automatisé rationalisant des questions d'analyse CTI spécifiques. Par exemple, la boîte à outils expose une fonction permettant de trouver l'ensemble des plans d'action qui atténuent l'une des techniques utilisées par un groupe donné. La fonction retrouve des atténuations explicites et des atténuations dérivées logiquement, ainsi qu'une trace des étapes déductives qui conduisent à l'ajout d'une ligne de conduite à l'ensemble de réponses.
Interface de ligne de commande SATRAP : L'interface de ligne de commande SATRAP permet de mettre en place une base de connaissances CTI avec des ensembles de données au format STIX 2.1.
Carnets Jupyter : Explorez, analysez, documentez et visualisez les renseignements sur les cybermenaces à l'aide des carnets Jupyter, en important la boîte à outils Python de SATRAP dans un environnement flexible et interactif pour créer des playbooks et mener des enquêtes étape par étape.
Pour en savoir plus sur l'utilisation de SATRAP, consultez le manuel d'utilisation et les exemples disponibles dans le dépôt GitHub.
Démarrer
Nous vous invitons à essayer le logiciel et à explorer les détails dans le dépôt GitHub. Les spécifications techniques et la documentation du projet SATRAP-DL, y compris les exigences, les diagrammes architecturaux et logiciels, les spécifications des cas de test et les rapports de test, sont accessibles via notre page web sur la traçabilité.
Les spécifications techniques comprennent la conception architecturale, la conception logicielle, les spécifications des cas de test de validation, les résultats de la campagne de test de validation, les spécifications des exigences de la mission et les spécifications des exigences du système/logiciel.
Nous serons heureux de recevoir vos commentaires à l'adresse info@abstractionslab.lu.
Veuillez compléter le formulaire ci-dessous pour demander le fichier ISO/IEC correspondant préparé par itrust consulting : [wpforms id="13518"]
Téléchargez les fichiers Excel gratuits pour une utilisation facile :
[wpdm_package id='13626']
[wpdm_package id='13565']
[wpdm_package id='13567']
Suite à notre version initiale (Alpha) d'IDPS-ESCAPE publié le 1er septembre 2024 introduisant ADBox, notre solution dédiée de détection d'intrusion basée sur les anomalies et s'appuyant sur les dernières avancées en matière d'intelligence artificielle, nous avons publié une autre version sur GitHub qui, en plus de correctifs et d'améliorations, fournit une intégration complète dans Wazuh, le SIEM open-source bien connu, dont vous pouvez avoir un aperçu en regardant ce court walkthrough.
Sous le capotCette version apporte également de nombreuses améliorations en coulisses et des améliorations architecturales, par exemple, l'utilisation d'un moteur de détection des anomalies, un module d'expédition des données mettant à jour les indices Wazuh avec les résultats de la détection ADBox, une suite étendue de tests unitaires, un manuel d'utilisation détaillé (en anglais), une version entièrement révisée des spécifications techniques fournissant une traçabilité de bout en bout, couvrant les spécifications, la conception logicielle et architecturale et les artefacts de test. Vous pouvez consulter le journal des modifications pour en savoir plus sur les mises à jour introduites depuis la sortie de la v0.1.1 le 1er septembre 2024.
RoadmapNous travaillerons à l'élaboration de notre version bêta, prévue pour le début de l'année 2026, et certains des éléments actuellement planifiés sont les suivants :
itrust Abstractions Lab a publié la version Alpha d'IDPS-ESCAPE sur GitHub.
IDPS-ESCAPE, qui fait partie de CyFORT, un ensemble de solutions open-source de cybersécurité, couvre divers aspects de la cybersécurité en tant qu'ensemble, en ciblant différents groupes d'utilisateurs, allant du secteur public au secteur privé et du CERT/CSIRT aux administrateurs système. IDPS-ESCAPE est conçu pour des déploiements en cloud, avec un œil sur les systèmes de surveillance opérés par les CERT/CSIRT.
Clickez ici pour tous les informations
itrust Abstractions Lab a publié la version Alpha d'IDPS-ESCAPE sur GitHub.
ContexteIDPS-ESCAPE, qui fait partie de la suite CyFORT de solutions logicielles open source pour la cybersécurité, aborde divers aspects de la cybersécurité dans son ensemble, en ciblant différents groupes d'utilisateurs, allant du public au privé, et des équipes CIRT/CSIRT aux administrateurs système. La conception de IDPS-ESCAPE est orientée vers des déploiements cloud-natifs, avec une attention particulière aux systèmes de surveillance gérés par les CERT/CSIRT.
AperçuIDPS-ESCAPE vise à capturer de près la notion de MAPE-K (Monitor, Analyze, Plan, Execute and Knowledge) issue de l'informatique autonome appliquée à la cybersécurité, ce qui se traduit par la fourniture d'un ensemble complet remplissant les rôles d'un système d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR), d'un système de gestion des informations et des événements de sécurité (SIEM) et d'un système de détection et de prévention des intrusions (IDPS), avec un sous-système central traitant de la détection des anomalies (AD) basé sur les avancées de pointe en apprentissage automatique (ML). Nous appelons ce sous-système « ADBox », qui est livré avec une intégration prête à l'emploi avec des solutions open-source bien connues telles qu’OpenSearch pour la recherche et l'analyse, Wazuh comme notre SIEM&XDR de choix, à son tour connecté à MISP pour l'enrichissement des alertes, et à Suricata, agissant à la fois comme notre IDPS réseau préféré, ainsi que comme une source d'acquisition de données au niveau réseau.
En plus de fournir aux praticiens de la sécurité, tels que les opérateurs SOC ou les analystes CTI, une détection d'anomalies sur les indices Wazuh (alertes, archives, statistiques, etc.) dans de multiples modes (batch, temps réel et historique), il peut également être utilisé pour simplifier et affiner le travail des praticiens de la sécurité sur plusieurs dimensions, par exemple :
Relation avec d'autres sous-projets et outils de CyFORTNotre dépôt GitHub contient le code source et la documentation complète (exigences, spécifications techniques, schémas, manuel d'utilisation, spécifications des cas de test et rapports de test) d'IDPS-ESCAPE, basé sur la méthode C5-DEC et le logiciel également développé dans CyFORT, qui repose sur le stockage, l'interconnexion et le traitement de tous les artefacts du cycle de vie du développement logiciel (SDLC) d'une manière unifiée, comme illustré par la page web de traçabilité fournissant les spécifications techniques d'IDPS-ESCAPE.
Cette version comprend de nombreuses nouvelles fonctionnalités, principalement pour aider aux évaluations selon les critères communs et à la création efficace de la documentation technique tout au long du cycle de vie du développement de logiciels sécurisés (SSDLC).
Quelles sont les nouveautés? Explorez les normes des Critères Communs à travers une interface web au lieu de scanner les documents.
Les normes des Critères communs pour l'évaluation de la sécurité des produits informatiques sont officiellement publiées sous la forme d'un ensemble de documents PDF et au format XML. Nous avons utilisé ce dernier afin qu'au lieu de lire de longs documents PDF, vous puissiez désormais parcourir dynamiquement les exigences, classes, familles, composants et éléments des CC de manière conviviale via une interface utilisateur graphique (GUI) basée sur le web et fonctionnant sur votre ordinateur. Les versions CC 3.1R5 et 2022R1 sont prises en charge.
Comme l'interface utilisateur graphique incluse dans la version Alpha, l'interface utilisateur graphique vous permet d'obtenir le contenu filtré en Markdown pour un traitement ultérieur en fonction de vos besoins.
Créer des listes de contrôle d'évaluation au format tableau.
Créer des rapports techniques d'évaluation (ETR) en Markdown.
L'interface de ligne de commande (CLI) a été étendue avec des commandes qui vous permettent de générer des fichiers Markdown indépendants contenant l'analyse d'évaluation d'une famille d'assurance spécifique, à partir de la feuille de calcul d'une liste de contrôle d'évaluation de votre choix. Ces fichiers sont des parties/sections d'un rapport d'évaluation et peuvent être intégrés dans notre modèle Markdown ETR (inclus dans la version) pour compiler un document ETR complet.
Publier des documents en Markdown dans d'autres formats grâce à notre intégration avec Quarto.
Utilisez le DocEngine pour créer des documents au format PDF, Word et autres à partir de fichiers Markdown. Cela vous permet d'écrire toute votre documentation technique, vos rapports d'évaluation et autres documents dans un format open-source pour une compatibilité avec les environnements de développement (GitHub, GitLab, etc.) et de les publier par la suite dans de multiples formats selon vos besoins.
Nous vous invitons à consulter tous les détails dans le dépôt GitHub et à explorer le logiciel.
Nous serons heureux de recevoir vos commentaires à l'adresse info@abstractionslab.lu.
itrust consulting a publié la version de TRICK Service en open source et a ajouté à la liste des produits. OpenTRICK est une application qui soutient l’évaluation et le traitement des risques.
OpenTRICK (anciennement appelé TRICK Service) est un outil de gestion de risques complet, aidant à évaluer les risques et à planifier des actions, comme l’éxige la norme ISO/IE 27001 concernant le Système de Management de la Sécurité de l’Information (SMSI). Il vous accompagne tout au long du processus de gestion des risques, depuis la definition du context de risques, en passant par l’estimation et le traitement des risques, jusqu’à la communication des résultats. OpenTRICK vous prepare à optenir la certification ISO 27001, à respecter les exigences du RGPD, à exporter les informations sur les risques au format JSON demandé par le régulateur luxembourgeois ILR ou à répondre à la circulaire de la CSSF 12/544.
Il couvre une grande variété de fonctionnalités tells que l’analyse quantative et qualitative des scenarios de risques, l’éstimation du retour sur investissement en matière de securité (ROSI) basée sur les facteurs de reduction des risques (RRF), l’intégration de catalogues personnalisés ou prédéfinis pour les contrôles de sécurité évalués, le support multi-utilisateurs et le contrôle d’accès, l’import/export et la gestion des versions. Il permet à plusieurs évaluations des risques pour différents clients ou contextes de partager des informations telles que les paramètres de sécurité et de risque sur une base de connaissances centrale, ce qui explique son nom TRICK = Tool for Risk management of an ISMS based on a Central Knowledge base (outil de gestion des risques d'un système de management de l'information sur la base d'une base de connaissances centrale). Notez que de telles informations, par exemple ISO/IEC 27002, sont protégées par des droits d'auteur, c'est-à-dire qu'elles ne peuvent pas faire partie de cette version, mais elles peuvent être importées facilement, sur la base de documents formatés disponibles sur ILNAS.public.lu (par exemple) après l'acquisition des droits d'auteur de la norme (dans un avenir proche).
OpenTRICK comprend la gestion de l'accès des utilisateurs, les journaux d'activité, l'authentification à deux facteurs et une fonction d'entrée et de sortie intelligente interagissant avec Word et Excel.
Open source Java API for MONARC (Optimised Risk Analysis Method), which allows risk information from other sophisticated risk management tools such as TRICK Service (Tool for Risk management of an ISMS based on a Central Knowledge base) to be imported by facilitating changes to the MONARC JSON data file. The tool has been developed to migrate risk information from several organisations within the scope of NIS into the data format required by the NIS regulator in Luxembourg.
This project conforms to MONARC version 2.12.7. This API reads a JSON data file exported from MONARC and gathers information by interpreting a subset of such a file and creating Java objects from the elements it can interpret from the exported JSON data file.
Furthermore, after the Java objects have been processed by this API, it can export a JSON file compliant with MONARC version 2.12.7.
The tool has been released as open source as part of the CyFORT project initiative, making its main features available for use and inviting further contributions.
The DRAW is an open source tool from itrust consulting and is used to graphically represent assets and their corresponding dependencies. The assets are represented as nodes in the graph and the dependency is represented as an edge from one asset to another. The asset carries information about the name of the asset and its type, e.g. the asset can be a financial asset, a business process, etc. The edge carries the dependency information and also the probability information. Probability implies the chances that one asset will affect the other asset.
The depiction of asset dependencies allows users to graphically see the impact of an asset on other assets. For example, if there is an edge between server and server data, this means that a problem with the server could cause a problem with the server data.
The dependency graph created by DRAW can also be synchronised with TRICK Service risk analysis tool by itrust consulting, enabling the user to perform more effective risk analysis based on asset dependencies and probability propagation associated with edges.
As of version v2.0.5, the tool also supports the Excel format for importing and exporting dependencies to the DRAW whiteboard.
The tool has been released as open source as part of the CyFORT project initiative, making its main features available for use and inviting further contributions.