IDPS-ESCAPE (v0.6) : consolidation du RADAR, de l’automatisation et de la maturité opérationnelle

Abstractions Lab annonce la publication de la version 0.6 d'IDPS-ESCAPE, désormais disponible sur GitHub. Cette version poursuit l'évolution initiée avec l'introduction du sous-système RADAR dans la version 0.4 et renforce considérablement la position d'IDPS-ESCAPE en tant que plateforme SOAR (Security Orchestration, Automation, and Response) ouverte, modulaire et axée sur la recherche.

Après l'extension fonctionnelle apportée tout au long de la série v0.5, la version v0.6 met l'accent sur la consolidation, la robustesse et la maintenabilité. Cette version améliore les scénarios opérationnels de RADAR, renforce la transparence grâce à une documentation détaillée et refactorise la couche d'automatisation afin de prendre en charge l'évolution à long terme et la reproductibilité. L'ensemble de scénarios actuel comprend la détection basée sur les signatures pour les connexions suspectes, la détection basée sur une liste blanche GeoIP et un scénario de détection des anomalies utilisant RRCF pour surveiller les changements de volume des journaux.

Principales nouveautés de la version 0.6
Scénarios RADAR améliorés sur des données Wazuh réelles

Cette version ajoute de nouvelles configurations de scénarios de détection d'anomalies dans les volumes de journaux RADAR, notamment des scripts d'ingestion, une logique de transformation et des définitions de pipeline. Ces améliorations permettent une agrégation et une détection des anomalies plus précises sur la télémétrie Wazuh réelle, renforçant ainsi le modèle de détection hybride de RADAR qui combine des approches basées sur les signatures et sur l'apprentissage automatique.

La détection des connexions suspectes a été affinée grâce à des règles améliorées et à une logique de détection en ligne simplifiée, ce qui augmente la robustesse tout en réduisant la complexité opérationnelle.

Automatisation refactorisée de l'infrastructure en tant que code

Une amélioration architecturale majeure dans la version 0.6 est la refonte des playbooks Ansible de Wazuh Manager. Les tâches précédemment contenues dans un grand fichier monolithique ont été modularisées en composants clairement délimités couvrant le bootstrap, la configuration de l'hôte, les décodeurs, les règles, les réponses, OSSEC, Filebeat, les listes et la mise en scène. Cette modification améliore la lisibilité, la maintenabilité et l'extensibilité de la pile de déploiement.

Pour des raisons d'exhaustivité et de traçabilité, le playbook monolithique d'origine a été conservé dans une archive au sein du référentiel.

Une meilleure compréhension du fonctionnement interne du RADAR

IDPS-ESCAPE v0.6 présente une documentation technique complète décrivant le pipeline d'exécution interne de run-radar.sh. Ce nouveau document détaille le workflow RADAR en trois étapes (ingestion des données, création de détecteurs et configuration des moniteurs), renforçant ainsi l'importance accordée par le projet à la traçabilité, à l'explicabilité et à la reproductibilité des expériences en matière de sécurité.

La documentation relative au déploiement pour l'activation automatisée de Wazuh et RADAR via Ansible a été affinée, fournissant ainsi une référence opérationnelle plus claire pour les environnements de recherche et de production.

Améliorations en matière de fiabilité et d'exactitude

IDPS-ESCAPE v0.6 corrige plusieurs problèmes liés à RADAR, notamment des bogues susceptibles d'endommager les scénarios précédemment installés en fonction de l'ordre d'exécution. L'image Docker RADAR CLI a été corrigée, et plusieurs modèles de scénarios et lacunes dans la documentation ont été résolus. Les améliorations apportées à la gestion de la connectivité, aux webhooks et au traitement des alertes renforcent encore la stabilité du runtime.

Disponibilité

IDPS-ESCAPE v0.6 est désormais disponible en version gratuite et open source sur GitHub :

https://github.com/AbstractionsLab/idps-escape

Le référentiel comprend une documentation mise à jour, l'automatisation du déploiement, les spécifications techniques et les artefacts de validation. Les commentaires et contributions de la communauté sont les bienvenus.

Roadmap

• Calcul hybride des risques à l'aide d'une détection basée sur l'apprentissage automatique (ML) et sur les signatures

• Intégration du sous-système DECIPHER de SATRAP pour améliorer les détections RADAR grâce à l'enrichissement CTI et aux playbooks

• Intégration de Flowintel dans le cycle de détection RADAR via DECIPHER

• Nouveaux scénarios RADAR : connexion suspecte hybride (basée sur le ML + basée sur la signature)

• Refonte d'ADBox v2.0

• Intégration d'ADBox et de RADAR

• Intégration des objets de menace OpenTide
  
  
  

DPS-ESCAPE (v0.4) : RADAR pour des capacités SOAR améliorées

Risk-aware Anomaly Detection-based Automated Response (Réponse automatisée basée sur la détection des anomalies et la prise en compte des risques)

L'équipe IDPS-ESCAPE est heureuse d'annoncer une mise à jour majeure du sous-système RADAR, qui offre de nouvelles capacités SOAR pour la détection et la réponse automatisées aux menaces dans les centres d'opérations de sécurité (SOC) modernes.

L'équipe IDPS-ESCAPE est heureuse d'annoncer une mise à jour majeure du sous-système RADAR, qui offre de nouvelles capacités SOAR pour la détection et la réponse automatisées aux menaces dans les centres d'opérations de sécurité (SOC) modernes.

Cette version introduit trois nouveaux scénarios de détection RADAR :

• Détection des connexions suspectes: identifie les comportements de connexion anormaux, tels que les accès depuis des lieux ou à des heures inhabituelles.

• Détection des attaques DDoS : surveille les pics de trafic indiquant des attaques par déni de service distribué.

• C2 Malware Communication : signale les modèles de trafic cachés liés aux serveurs de commande et de contrôle.
  
  

Pour prendre en charge ces scénarios, la mise à jour inclut un cadre de test RADAR automatisé rendu possible par Ansible. Ce cadre rationalise le déploiement, la simulation d'attaques, l'ingestion de données et l'évaluation statistique, facilitant ainsi le test et la validation des stratégies de détection.

Autres nouveautés :

• Un module d'évaluation des expériences permettant de calculer la précision, le rappel et d'autres indicateurs de performance.

• Ensembles de données sélectionnés pour l'évaluation comparative des expériences RADAR.

• Scripts de déploiement Infrastructure-as-Code (IaC) pour le serveur et les agents Wazuh, permettant une configuration rapide et reproductible.
  
  

Cette version s'appuie sur l'approche hybride de détection des anomalies combinant les modèles d'apprentissage profond d'ADBox et l'algorithme Robust Random Cut Forest (RCF) via OpenSearch, offrant une résilience contre les interférences adversaires et les faux positifs.

Découvrez la version complète et la documentation sur GitHub.

Roadmap

• Ajout de nouveaux scénarios d'utilisation réutilisables pour RADAR et ADBox ;

• Hybridation des scénarios RADAR : AD + détection basée sur les signatures ;

• Combinaison de l'AD classique et du deep learning, dans notre cas : RRCF + MTAD-GAT ;

• Intégration du moteur SATRAP pour une CTI avancée en temps réel sur un graphe de sécurité du système combiné à la CTI mondiale ;

• Conversion des dépendances des actifs OpenTRICK vers un graphe de sécurité du système SATRAP ;

• Intégration d'OpenTide ;

• Interconnexion d'ADBox et de RADAR ;

• ADBox : ajout de la prise en charge des fonctionnalités catégorielles ;

• ADBox : ajout d'un mécanisme d’entraînement de modèle automatique (en ligne) (basé sur des politiques, par exemple calendrier, critères personnalisés, etc.) ;

• Stabilisation de la mise en œuvre actuelle et amélioration de sa résilience/tolérance aux pannes, en particulier lorsqu'il s'agit de traiter des données brutes manquantes ou mal formées.

WBaas Formulaire

Utilisez le formulaire suivant pour enregistrer votre organisation afin de mettre en place un canal de signalement utilisant le WBaaS (Whistleblowing as a Service) d'itrust consulting.
[wpforms id="14043"]

WBaaS

Whistleblowing as a Service (WBaaS)

Description

Whistleblowing as a Service is a service provided by itrust consulting that enables employees to report violations of laws and regulations within an organisation without fear of negative consequences.

Depuis le 17 décembre 2023 (date d'activation de la loi luxembourgeoise A232 sur les lanceurs d'alerte), un canal dédié au signalement interne est obligatoire pour les entreprises de plus de 50 salariés et les communes de plus de 10 000 habitants.

Les entreprises qui souhaitent utiliser ce service d'itrust consulting doivent s'inscrire ici pour mettre en place un canal de signalement.

Le site web permettant de signaler les infractions est le suivant https://wbaas.itrust.lu

Une fois votre commande confirmée, votre entreprise sera ajoutée à la liste des partenaires utilisant ce service de reporting WBaaS.

Comment commander le service « Whistleblowing as a Service » (WBaaS) pour votre entreprise ?

• Sur la base des données que vous avez fournies dans le formulaire ci-dessous, itrust consulting vous enverra un document de commande.
• Vous pouvez ensuite confirmer la commande en signant le document et en le renvoyant par la poste. Vous pouvez également scanner le document signé ou le signer électroniquement et l'envoyer par courrier électronique à l'adresse suivante'info@itrust.lu'.
• Veuillez noter que le service ne sera exécuté qu'après réception du document de commande confirmé et signé.

Cliquez ici pour soumettre un formulaire web afin de demander la mise en place d'un canal de signalement.

C5-DEC CAD Version 1.0 publiée le 7 mai 2025

Nous sommes heureux d'annoncer la version stable de C5-DEC CAD Version 1.0.sur GitHub.

C5-DEC CAD est un outil complet conçu pour soutenir la création et l'évaluation de systèmes informatiques sécurisés selon les normes des Critères Communs (CC), depuis le développement de logiciels sécurisés et la gestion méticuleuse de la documentation, jusqu'aux évaluations de sécurité basées sur les Critères Communs et à la gestion de projet.

La version 1.0 de C5-DEC CAD permet de créer des environnements de développement pour des solutions informatiques sécurisées, dotées d'une suite d'outils intégrés permettant d'exécuter le cycle de vie du développement logiciel selon la méthodologie C5-DEC. Cette version comprend également des améliorations et des corrections par rapport aux versions précédentes, améliorant principalement les capacités et la présentation des rapports ETR et des modèles de documentation de projet.

Principales caractéristiques de C5-DEC CAD

• Environnement de développement prédéfini: Créez de nouveaux projets dans le cadre de développement C5-DEC à l'aide d'une simple commande.
• Common Criteria Toolbox (CCT): Naviguer dans les bases de données CC à l'aide d'une interface graphique, créer des listes de contrôle d'évaluation et automatiser la création de rapports techniques d'évaluation (ETR).
• Outils de gestion de projet: Convertissez les exportations de rapports de temps d'OpenProject dans un format défini par l'utilisateur, consolidez les rapports de temps et effectuez des calculs détaillés des ressources et des coûts de manière efficace.
• Moteur de traitement des documents: Tirez parti d'une solution de publication flexible, facilement extensible et complète basée sur Quarto (un système de publication scientifique et technique open-source), améliorée par nos configurations, nos personnalisations TeX dédiées en coulisses et nos scripts pré/post-rendu fournissant un pipeline de publication automatisé de base, pour des documents intelligents (avec du code) et des rapports et documentations sophistiqués, ainsi que pour la conversion de documents entre formats.
• Modèles et automatisation améliorés: Utilisez des modèles prédéfinis, des scripts d'automatisation et des intégrations avec des outils open-source tels que Doorstop pour une traçabilité et une documentation intégrées des artefacts.
• Environnements conteneurisés: Assurez un développement et un déploiement sans faille grâce à des configurations entièrement conteneurisées.
• Boîte à outils cryptographiques: Utilisez des logiciels cryptographiques libres pour la cryptographie classique et post-quantique (PQC), intégrés de manière native dans la plateforme C5-DEC.
• Approche adaptée à l'IA :La méthode C5-DEC se prête aux capacités de l'intelligence artificielle (IA), qui peut améliorer la génération et le traitement des spécifications techniques, de la documentation et des artefacts de conception, y compris les exigences, les cas de test et les rapports techniques.

Quelles sont les nouveautés de C5-DEC v1.0 ?

Création d'un nouveau projet
Créez un projet prêt à l'emploi basé sur la méthodologie C5-DEC à l'aide d'une simple commande.

DocEngine amélioré
Profitez d'une documentation de projet et d'une génération de rapports intelligents rationalisées grâce à des mises en page améliorées, telles que les verdicts ETR à code couleur dynamique. Tout cela grâce aux nouveaux modèles/templates, aux scripts d'automatisation et au logiciel intégré de traitement des documents.

Outils d'évaluation ETR
Automatisez le calcul du verdict de l'unité de travail à l'aide de formules de tableur et de la compilation Markdown.

Modes de session interactifs
Exécutez C5-DEC CAD en mode session sans avoir besoin de Visual Studio Code.

Intégration de logiciels cryptographiques
Exploiter des outils tels que Kryptor et Cryptomator CLI dans l'environnement cryptographique conteneurisé, et OQS-OpenSSL pour la cryptographie post-quantitative.

DocEngine entièrement conteneurisé
Créez, exportez et transformez des documents dans l'environnement de développement CAO C5-DEC grâce à l'intégration de dépendances logicielles externes (p. ex. quarto).

Refonte de l'interface utilisateur (TUI)
Expérience d'une interface utilisateur textuelle plus simple. Les menus pour l'évaluation de la sécurité des systèmes cyber-physiques (CPSSA), le cycle de vie du développement de logiciels sécurisés (SSDLC), la cryptographie et le transformateur ont été migrés vers l'interface CLI.

Mises à jour du manuel de l'utilisateur
Apprenez à utiliser les nouveaux modules grâce à nos guides complets. Ceux-ci comprennent les modules Cryptographie, SSDLC, CPSSA et Transformer.

Pour commencer

Téléchargez la dernière version depuis notre dépôt GitHub et explorez la documentation complète. N'hésitez pas à nous faire part de vos commentaires et de vos questions à l'adresse info@abstractionslab.lu.

Roadmap

Nous continuerons à améliorer la CAO C5-DEC avec de nouvelles fonctionnalités et des améliorations. Voici quelques-unes des fonctionnalités prévues :

• Intégration de modèles d'IA générative (GenAI) stockés localement et mise en œuvre d'un assistant GenAI pour la méthode C5-DEC améliorant son approche de conception et de spécification technique adaptée à l'IA avec des caractéristiques respectueuses de la vie privée et des capacités de génération augmentée par récupération (RAG).
• Améliorer nos dépendances cryptographiques (par exemple, OQS-OpenSSL, OpenSSH) avec des implémentations vérifiées, par exemple, EverCrypt and HACL*.