Télécharger les fichiers de normes libres d’utilisation

Téléchargez les fichiers Excel gratuits pour une utilisation facile :

[wpdm_package id='13626'] [wpdm_package id='13565'] [wpdm_package id='13567']

Nouvelle version IDPS-ESCAPE (0.2) – ADBox intégration complète dans Wazuh

Suite à notre version initiale (Alpha) d'IDPS-ESCAPE publié le 1er septembre 2024 introduisant ADBox, notre solution dédiée de détection d'intrusion basée sur les anomalies et s'appuyant sur les dernières avancées en matière d'intelligence artificielle, nous avons publié une autre version sur GitHub qui, en plus de correctifs et d'améliorations, fournit une intégration complète dans Wazuh, le SIEM open-source bien connu, dont vous pouvez avoir un aperçu en regardant ce court walkthrough.

Sous le capot

Cette version apporte également de nombreuses améliorations en coulisses et des améliorations architecturales, par exemple, l'utilisation d'un moteur de détection des anomalies, un module d'expédition des données mettant à jour les indices Wazuh avec les résultats de la détection ADBox, une suite étendue de tests unitaires, un manuel d'utilisation détaillé (en anglais), une version entièrement révisée des spécifications techniques fournissant une traçabilité de bout en bout, couvrant les spécifications, la conception logicielle et architecturale et les artefacts de test. Vous pouvez consulter le journal des modifications pour en savoir plus sur les mises à jour introduites depuis la sortie de la v0.1.1 le 1er septembre 2024.

Roadmap

Nous travaillerons à l'élaboration de notre version bêta, prévue pour le début de l'année 2026, et certains des éléments actuellement planifiés sont les suivants :

• l'adaptation des algorithmes ADBox sous-jacents à des opérations SOC spécifiques.
• l'ajout de nouveaux mécanismes automatisés visant à prendre des mesures préventives (c'est-à-dire le « P » d'IDPS), directement intégrés dans Wazuh, en vue de l'objectif SOAR d'IDPS-ESCAPE.
• la stabilisation de l'implémentation actuelle et l'amélioration de sa résilience et de sa tolérance aux défaillances, en particulier lorsqu'il s'agit de traiter des données brutes manquantes et mal formées.

Publication de la version Alpha de IDPS-ESCAPE

itrust Abstractions Lab a publié la version Alpha d'IDPS-ESCAPE sur GitHub.

IDPS-ESCAPE, qui fait partie de CyFORT, un ensemble de solutions open-source de cybersécurité, couvre divers aspects de la cybersécurité en tant qu'ensemble, en ciblant différents groupes d'utilisateurs, allant du secteur public au secteur privé et du CERT/CSIRT aux administrateurs système. IDPS-ESCAPE est conçu pour des déploiements en cloud, avec un œil sur les systèmes de surveillance opérés par les CERT/CSIRT.

Clickez ici pour tous les informations

Publication de la version Alpha de IDPS-ESCAPE

itrust Abstractions Lab a publié la version Alpha d'IDPS-ESCAPE sur GitHub.

Contexte

IDPS-ESCAPE, qui fait partie de la suite CyFORT de solutions logicielles open source pour la cybersécurité, aborde divers aspects de la cybersécurité dans son ensemble, en ciblant différents groupes d'utilisateurs, allant du public au privé, et des équipes CIRT/CSIRT aux administrateurs système. La conception de IDPS-ESCAPE est orientée vers des déploiements cloud-natifs, avec une attention particulière aux systèmes de surveillance gérés par les CERT/CSIRT.

Aperçu

IDPS-ESCAPE vise à capturer de près la notion de MAPE-K (Monitor, Analyze, Plan, Execute and Knowledge) issue de l'informatique autonome appliquée à la cybersécurité, ce qui se traduit par la fourniture d'un ensemble complet remplissant les rôles d'un système d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR), d'un système de gestion des informations et des événements de sécurité (SIEM) et d'un système de détection et de prévention des intrusions (IDPS), avec un sous-système central traitant de la détection des anomalies (AD) basé sur les avancées de pointe en apprentissage automatique (ML). Nous appelons ce sous-système « ADBox », qui est livré avec une intégration prête à l'emploi avec des solutions open-source bien connues telles qu’OpenSearch pour la recherche et l'analyse,  Wazuh comme notre SIEM&XDR de choix, à son tour connecté à MISP pour l'enrichissement des alertes, et à Suricata, agissant à la fois comme notre IDPS réseau préféré, ainsi que comme une source d'acquisition de données au niveau réseau.

Notre cadre extensible ADBox, fournissant une infrastructure logicielle modulaire et extensible pour intégrer efficacement des algorithmes de ML et de détection d’anomalies, inclut également un algorithme de détection d'anomalies en séries temporelles multivariées (MTAD) reposant sur des « Graph Attention Networks » (GAT).

En plus de fournir aux praticiens de la sécurité, tels que les opérateurs SOC ou les analystes CTI, une détection d'anomalies sur les indices Wazuh (alertes, archives, statistiques, etc.) dans de multiples modes (batch, temps réel et historique), il peut également être utilisé pour simplifier et affiner le travail des praticiens de la sécurité sur plusieurs dimensions, par exemple :

• la gestion des règles,
• la corrélation des événements,
• la dérivation d’alerte en incident, et le réglage des politiques d'alerte/réponse et les correspondances avec des bases de données telles que MITRE ATT&CK.

ADBox peut également être utilisé comme une bibliothèque logicielle pour déployer divers algorithmes de détection d’anomalies basés sur le ML dans différents environnements, tout en permettant un haut degré de personnalisation grâce à sa conception modulaire et extensible. Une personnalisation axée sur l'environnement peut non seulement contribuer à réduire les faux positifs, mais aussi aider à détecter un comportement suspect avec des informations limitées, ou encore fournir un point d'entrée pour une enquête traitant des modèles d’attaques adverses pour lesquels des signatures ou des indicateurs de compromission préalables peuvent ne pas être facilement disponibles.

Par conséquent, ADBox constitue un tremplin vers la résolution de diverses déclarations controversées et de conclusions parfois douteuses issues de la littérature académique et de celles faites par les praticiens du secteur : il suffit de brancher la dernière implémentation d'un algorithme de détection d’anomalies basé sur le ML dans ADBox, ce qui l'intégre à des outils de sécurité réels tels que Wazuh, afin d'évaluer et de (in)valider ces affirmations.

La version actuelle de la pile IDPS-ESCAPE comprend

• une configuration combinée intégrant des solutions open source de pointe IDPS et SIEM&XDR, ainsi que
• ADBox, un sous-système de détection d'anomalies conçu et mis en œuvre sur mesure, basé sur l'apprentissage automatique.

Relation avec d'autres sous-projets et outils de CyFORT

Notre dépôt GitHub contient le code source et la documentation complète (exigences, spécifications techniques, schémas, manuel d'utilisation, spécifications des cas de test et rapports de test) d'IDPS-ESCAPE, basé sur la méthode C5-DEC et le logiciel également développé dans CyFORT, qui repose sur le stockage, l'interconnexion et le traitement de tous les artefacts du cycle de vie du développement logiciel (SDLC) d'une manière unifiée, comme illustré par la page web de traçabilité fournissant les spécifications techniques d'IDPS-ESCAPE.

Enfin, IDPS-ESCAPE est développé en parallèle avec un autre sous-projet de CyFORT, à savoir SATRAP-DL, qui vise à améliorer le travail des analystes en renseignement sur les cybermenaces (CTI) à l’aide d’un raisonnement semi-automatisé sur le CTI. À terme, IDPS-ESCAPE devrait inclure, entre autres, des mécanismes permettant de faire face et de traiter les attaques de la chaîne d'approvisionnement et à celles utilisant l’apprentissage automatique adverse.

itrust Abstractions Lab a publié la version Beta de C5-DEC sur Github

Cette version comprend de nombreuses nouvelles fonctionnalités, principalement pour aider aux évaluations selon les critères communs et à la création efficace de la documentation technique tout au long du cycle de vie du développement de logiciels sécurisés (SSDLC).

Quelles sont les nouveautés?
Explorez les normes des Critères Communs à travers une interface web au lieu de scanner les documents.

Les normes des Critères communs pour l'évaluation de la sécurité des produits informatiques sont officiellement publiées sous la forme d'un ensemble de documents PDF et au format XML. Nous avons utilisé ce dernier afin qu'au lieu de lire de longs documents PDF, vous puissiez désormais parcourir dynamiquement les exigences, classes, familles, composants et éléments des CC de manière conviviale via une interface utilisateur graphique (GUI) basée sur le web et fonctionnant sur votre ordinateur. Les versions CC 3.1R5 et 2022R1 sont prises en charge.

Comme l'interface utilisateur graphique incluse dans la version Alpha, l'interface utilisateur graphique vous permet d'obtenir le contenu filtré en Markdown pour un traitement ultérieur en fonction de vos besoins.

 Créer des listes de contrôle d'évaluation au format tableau. 

Le module CC Lab de l'interface graphique vous permet de sélectionner des classes ou des composants d'assurance CC spécifiques pour générer et exporter une liste de contrôle d'évaluation des unités de travail dans un document structuré sous forme de tableau (ods, xlsx). Un concept supplémentaire d'unités de travail atomiques (AWI) est inclus dans la feuille de calcul, afin d'aider les laboratoires à décomposer et à organiser leur travail.

Créer des rapports techniques d'évaluation (ETR) en Markdown.

L'interface de ligne de commande (CLI) a été étendue avec des commandes qui vous permettent de générer des fichiers Markdown indépendants contenant l'analyse d'évaluation d'une famille d'assurance spécifique, à partir de la feuille de calcul d'une liste de contrôle d'évaluation de votre choix. Ces fichiers sont des parties/sections d'un rapport d'évaluation et peuvent être intégrés dans notre modèle Markdown ETR (inclus dans la version) pour compiler un document ETR complet.

Publier des documents en Markdown dans d'autres formats grâce à notre intégration avec Quarto.

 

Utilisez le DocEngine pour créer des documents au format PDF, Word et autres à partir de fichiers Markdown. Cela vous permet d'écrire toute votre documentation technique, vos rapports d'évaluation et autres documents dans un format open-source pour une compatibilité avec les environnements de développement (GitHub, GitLab, etc.) et de les publier par la suite dans de multiples formats selon vos besoins.

 

Nous vous invitons à consulter tous les détails dans le dépôt GitHub et à explorer le logiciel.

Nous serons heureux de recevoir vos commentaires à l'adresse info@abstractionslab.lu.