DPS-ESCAPE (v0.4) : RADAR pour des capacités SOAR améliorées

Risk-aware Anomaly Detection-based Automated Response (Réponse automatisée basée sur la détection des anomalies et la prise en compte des risques)

L'équipe IDPS-ESCAPE est heureuse d'annoncer une mise à jour majeure du sous-système RADAR, qui offre de nouvelles capacités SOAR pour la détection et la réponse automatisées aux menaces dans les centres d'opérations de sécurité (SOC) modernes.

L'équipe IDPS-ESCAPE est heureuse d'annoncer une mise à jour majeure du sous-système RADAR, qui offre de nouvelles capacités SOAR pour la détection et la réponse automatisées aux menaces dans les centres d'opérations de sécurité (SOC) modernes.

Cette version introduit trois nouveaux scénarios de détection RADAR :

• Détection des connexions suspectes: identifie les comportements de connexion anormaux, tels que les accès depuis des lieux ou à des heures inhabituelles.

• Détection des attaques DDoS : surveille les pics de trafic indiquant des attaques par déni de service distribué.

• C2 Malware Communication : signale les modèles de trafic cachés liés aux serveurs de commande et de contrôle.
  
  

Pour prendre en charge ces scénarios, la mise à jour inclut un cadre de test RADAR automatisé rendu possible par Ansible. Ce cadre rationalise le déploiement, la simulation d'attaques, l'ingestion de données et l'évaluation statistique, facilitant ainsi le test et la validation des stratégies de détection.

Autres nouveautés :

• Un module d'évaluation des expériences permettant de calculer la précision, le rappel et d'autres indicateurs de performance.

• Ensembles de données sélectionnés pour l'évaluation comparative des expériences RADAR.

• Scripts de déploiement Infrastructure-as-Code (IaC) pour le serveur et les agents Wazuh, permettant une configuration rapide et reproductible.
  
  

Cette version s'appuie sur l'approche hybride de détection des anomalies combinant les modèles d'apprentissage profond d'ADBox et l'algorithme Robust Random Cut Forest (RCF) via OpenSearch, offrant une résilience contre les interférences adversaires et les faux positifs.

Découvrez la version complète et la documentation sur GitHub.

Roadmap

• Ajout de nouveaux scénarios d'utilisation réutilisables pour RADAR et ADBox ;

• Hybridation des scénarios RADAR : AD + détection basée sur les signatures ;

• Combinaison de l'AD classique et du deep learning, dans notre cas : RRCF + MTAD-GAT ;

• Intégration du moteur SATRAP pour une CTI avancée en temps réel sur un graphe de sécurité du système combiné à la CTI mondiale ;

• Conversion des dépendances des actifs OpenTRICK vers un graphe de sécurité du système SATRAP ;

• Intégration d'OpenTide ;

• Interconnexion d'ADBox et de RADAR ;

• ADBox : ajout de la prise en charge des fonctionnalités catégorielles ;

• ADBox : ajout d'un mécanisme d’entraînement de modèle automatique (en ligne) (basé sur des politiques, par exemple calendrier, critères personnalisés, etc.) ;

• Stabilisation de la mise en œuvre actuelle et amélioration de sa résilience/tolérance aux pannes, en particulier lorsqu'il s'agit de traiter des données brutes manquantes ou mal formées.

WBaas Formulaire

Utilisez le formulaire suivant pour enregistrer votre organisation afin de mettre en place un canal de signalement utilisant le WBaaS (Whistleblowing as a Service) d'itrust consulting.
[wpforms id="14043"]

WBaaS

Whistleblowing as a Service (WBaaS)

Description

Whistleblowing as a Service is a service provided by itrust consulting that enables employees to report violations of laws and regulations within an organisation without fear of negative consequences.

Depuis le 17 décembre 2023 (date d'activation de la loi luxembourgeoise A232 sur les lanceurs d'alerte), un canal dédié au signalement interne est obligatoire pour les entreprises de plus de 50 salariés et les communes de plus de 10 000 habitants.

Les entreprises qui souhaitent utiliser ce service d'itrust consulting doivent s'inscrire ici pour mettre en place un canal de signalement.

Le site web permettant de signaler les infractions est le suivant https://wbaas.itrust.lu

Une fois votre commande confirmée, votre entreprise sera ajoutée à la liste des partenaires utilisant ce service de reporting WBaaS.

Comment commander le service « Whistleblowing as a Service » (WBaaS) pour votre entreprise ?

• Sur la base des données que vous avez fournies dans le formulaire ci-dessous, itrust consulting vous enverra un document de commande.
• Vous pouvez ensuite confirmer la commande en signant le document et en le renvoyant par la poste. Vous pouvez également scanner le document signé ou le signer électroniquement et l'envoyer par courrier électronique à l'adresse suivante'info@itrust.lu'.
• Veuillez noter que le service ne sera exécuté qu'après réception du document de commande confirmé et signé.

Cliquez ici pour soumettre un formulaire web afin de demander la mise en place d'un canal de signalement.

C5-DEC CAD Version 1.0 publiée le 7 mai 2025

Nous sommes heureux d'annoncer la version stable de C5-DEC CAD Version 1.0.sur GitHub.

C5-DEC CAD est un outil complet conçu pour soutenir la création et l'évaluation de systèmes informatiques sécurisés selon les normes des Critères Communs (CC), depuis le développement de logiciels sécurisés et la gestion méticuleuse de la documentation, jusqu'aux évaluations de sécurité basées sur les Critères Communs et à la gestion de projet.

La version 1.0 de C5-DEC CAD permet de créer des environnements de développement pour des solutions informatiques sécurisées, dotées d'une suite d'outils intégrés permettant d'exécuter le cycle de vie du développement logiciel selon la méthodologie C5-DEC. Cette version comprend également des améliorations et des corrections par rapport aux versions précédentes, améliorant principalement les capacités et la présentation des rapports ETR et des modèles de documentation de projet.

Principales caractéristiques de C5-DEC CAD

• Environnement de développement prédéfini: Créez de nouveaux projets dans le cadre de développement C5-DEC à l'aide d'une simple commande.
• Common Criteria Toolbox (CCT): Naviguer dans les bases de données CC à l'aide d'une interface graphique, créer des listes de contrôle d'évaluation et automatiser la création de rapports techniques d'évaluation (ETR).
• Outils de gestion de projet: Convertissez les exportations de rapports de temps d'OpenProject dans un format défini par l'utilisateur, consolidez les rapports de temps et effectuez des calculs détaillés des ressources et des coûts de manière efficace.
• Moteur de traitement des documents: Tirez parti d'une solution de publication flexible, facilement extensible et complète basée sur Quarto (un système de publication scientifique et technique open-source), améliorée par nos configurations, nos personnalisations TeX dédiées en coulisses et nos scripts pré/post-rendu fournissant un pipeline de publication automatisé de base, pour des documents intelligents (avec du code) et des rapports et documentations sophistiqués, ainsi que pour la conversion de documents entre formats.
• Modèles et automatisation améliorés: Utilisez des modèles prédéfinis, des scripts d'automatisation et des intégrations avec des outils open-source tels que Doorstop pour une traçabilité et une documentation intégrées des artefacts.
• Environnements conteneurisés: Assurez un développement et un déploiement sans faille grâce à des configurations entièrement conteneurisées.
• Boîte à outils cryptographiques: Utilisez des logiciels cryptographiques libres pour la cryptographie classique et post-quantique (PQC), intégrés de manière native dans la plateforme C5-DEC.
• Approche adaptée à l'IA :La méthode C5-DEC se prête aux capacités de l'intelligence artificielle (IA), qui peut améliorer la génération et le traitement des spécifications techniques, de la documentation et des artefacts de conception, y compris les exigences, les cas de test et les rapports techniques.

Quelles sont les nouveautés de C5-DEC v1.0 ?

Création d'un nouveau projet
Créez un projet prêt à l'emploi basé sur la méthodologie C5-DEC à l'aide d'une simple commande.

DocEngine amélioré
Profitez d'une documentation de projet et d'une génération de rapports intelligents rationalisées grâce à des mises en page améliorées, telles que les verdicts ETR à code couleur dynamique. Tout cela grâce aux nouveaux modèles/templates, aux scripts d'automatisation et au logiciel intégré de traitement des documents.

Outils d'évaluation ETR
Automatisez le calcul du verdict de l'unité de travail à l'aide de formules de tableur et de la compilation Markdown.

Modes de session interactifs
Exécutez C5-DEC CAD en mode session sans avoir besoin de Visual Studio Code.

Intégration de logiciels cryptographiques
Exploiter des outils tels que Kryptor et Cryptomator CLI dans l'environnement cryptographique conteneurisé, et OQS-OpenSSL pour la cryptographie post-quantitative.

DocEngine entièrement conteneurisé
Créez, exportez et transformez des documents dans l'environnement de développement CAO C5-DEC grâce à l'intégration de dépendances logicielles externes (p. ex. quarto).

Refonte de l'interface utilisateur (TUI)
Expérience d'une interface utilisateur textuelle plus simple. Les menus pour l'évaluation de la sécurité des systèmes cyber-physiques (CPSSA), le cycle de vie du développement de logiciels sécurisés (SSDLC), la cryptographie et le transformateur ont été migrés vers l'interface CLI.

Mises à jour du manuel de l'utilisateur
Apprenez à utiliser les nouveaux modules grâce à nos guides complets. Ceux-ci comprennent les modules Cryptographie, SSDLC, CPSSA et Transformer.

Pour commencer

Téléchargez la dernière version depuis notre dépôt GitHub et explorez la documentation complète. N'hésitez pas à nous faire part de vos commentaires et de vos questions à l'adresse info@abstractionslab.lu.

Roadmap

Nous continuerons à améliorer la CAO C5-DEC avec de nouvelles fonctionnalités et des améliorations. Voici quelques-unes des fonctionnalités prévues :

• Intégration de modèles d'IA générative (GenAI) stockés localement et mise en œuvre d'un assistant GenAI pour la méthode C5-DEC améliorant son approche de conception et de spécification technique adaptée à l'IA avec des caractéristiques respectueuses de la vie privée et des capacités de génération augmentée par récupération (RAG).
• Améliorer nos dépendances cryptographiques (par exemple, OQS-OpenSSL, OpenSSH) avec des implémentations vérifiées, par exemple, EverCrypt and HACL*.

Publication de la version Alpha de SATRAP-DL

itrust Abstractions Lab a publié la version Alpha de SATRAP-DL sur GitHub.

Qu'est-ce que SATRAP ?

Développé dans le cadre du sous-projet SATRAP-DL de CyFORT, SATRAP (Semi-Automated Threat Reconnaissance and Analysis Platform) est un logiciel libre et multiplateforme pour l'analyse assistée par ordinateur du renseignement sur les cybermenaces (CTI) par le biais d'un raisonnement automatisé.

Caractéristiques principales

• Système de représentation des connaissances pour le renseignement sur les cybermenaces mis en œuvre au-dessus de TypeDB.
• Raisonnement automatisé : Application de règles de déduction prédéfinies pour dériver de nouvelles connaissances à partir de données CTI existantes.
• Modèle de données STIX 2.1 : Tirer parti d'une norme largement adoptée pour représenter et traiter les informations CTI.
• Mécanisme ETL : ingérer des données conformes à STIX 2.1 à partir de sources CTI dans la base de connaissances.
• Fonctions analytiques prédéfinies : Exécution de tâches d'analyse automatisée des CTI, telles que la déduction des techniques utilisées par les acteurs de la menace.
• Extensibilité : Ajoutez des règles d'inférence et des requêtes personnalisées pour adapter SATRAP à vos besoins spécifiques.

Comment SATRAP automatise-t-il les tâches analytiques ?

SATRAP s'appuie sur un système de représentation des connaissances (KRS) pour introduire la sémantique dans le stockage, le traitement et l'analyse des renseignements sur les cybermenaces. Cette approche permet à SATRAP d'automatiser les tâches analytiques sur de grands volumes d'informations sur les menaces et de CTI par le biais de la dérivation logique des connaissances.

Le KRS se compose des éléments suivants :

• Une base de connaissances sur les renseignements relatifs aux cybermenaces (CTI SKB). Cette base de connaissances contient des concepts et des faits dans le domaine des technologies de l'information et de la communication, tels que des scénarios de menace ou des techniques d'attaque.
• Un moteur d'inférence, qui tire des conclusions logiques à partir des informations contenues dans la base de connaissances en suivant des règles de déduction.

Le KRS de SATRAP est mise en œuvre à l'aide de TypeDB, une base de données polymorphe dotée d'un moteur de raisonnement symbolique natif. L'utilisation de TypeDB permet à SATRAP de mettre en œuvre des fonctions analytiques dans le domaine de la CTI au-dessus d'un noyau intégré, où la base de connaissances et le moteur de raisonnement sont couplés de manière native, ce qui permet généralement une exécution efficace des tâches d'inférence.

Les fonctions analytiques de SATRAP exécutent des requêtes liées à la CTI sur le KRS et obtiennent des réponses explicables, montrant les étapes qui ont conduit à la réponse. Contrairement aux bases de données classiques, ces réponses peuvent inclure non seulement des informations réelles dans la base de connaissances CTI, mais aussi des relations déduites de ces informations.

Comment utiliser SATRAP ?

La version Alpha de SATRAP présente deux interfaces utilisateur natives et une intégration avec d'autres outils open-source pour mener des enquêtes CTI structurées.

SATRAP Python CTI Analysis Toolbox : Une bibliothèque Python fournissant un ensemble de fonctions qui effectuent un raisonnement automatisé rationalisant des questions d'analyse CTI spécifiques. Par exemple, la boîte à outils expose une fonction permettant de trouver l'ensemble des plans d'action qui atténuent l'une des techniques utilisées par un groupe donné. La fonction retrouve des atténuations explicites et des atténuations dérivées logiquement, ainsi qu'une trace des étapes déductives qui conduisent à l'ajout d'une ligne de conduite à l'ensemble de réponses.

Interface de ligne de commande SATRAP : L'interface de ligne de commande SATRAP permet de mettre en place une base de connaissances CTI avec des ensembles de données au format STIX 2.1.

Carnets Jupyter : Explorez, analysez, documentez et visualisez les renseignements sur les cybermenaces à l'aide des carnets Jupyter, en important la boîte à outils Python de SATRAP dans un environnement flexible et interactif pour créer des playbooks et mener des enquêtes étape par étape.

Pour en savoir plus sur l'utilisation de SATRAP, consultez le manuel d'utilisation et les exemples disponibles dans le dépôt GitHub.

Démarrer

Nous vous invitons à essayer le logiciel et à explorer les détails dans le dépôt GitHub. Les spécifications techniques et la documentation du projet SATRAP-DL, y compris les exigences, les diagrammes architecturaux et logiciels, les spécifications des cas de test et les rapports de test, sont accessibles via notre page web sur la traçabilité.

Les spécifications techniques comprennent la conception architecturale, la conception logicielle, les spécifications des cas de test de validation, les résultats de la campagne de test de validation, les spécifications des exigences de la mission et les spécifications des exigences du système/logiciel.

Nous serons heureux de recevoir vos commentaires à l'adresse info@abstractionslab.lu.

Soumettre une demande de fichier de

Veuillez compléter le formulaire ci-dessous pour demander le fichier ISO/IEC correspondant préparé par itrust consulting : [wpforms id="13518"]

Télécharger les fichiers de normes libres d’utilisation

Téléchargez les fichiers Excel gratuits pour une utilisation facile :

[wpdm_package id='13626'] [wpdm_package id='13565'] [wpdm_package id='13567']

Nouvelle version IDPS-ESCAPE (0.2) – ADBox intégration complète dans Wazuh

Suite à notre version initiale (Alpha) d'IDPS-ESCAPE publié le 1er septembre 2024 introduisant ADBox, notre solution dédiée de détection d'intrusion basée sur les anomalies et s'appuyant sur les dernières avancées en matière d'intelligence artificielle, nous avons publié une autre version sur GitHub qui, en plus de correctifs et d'améliorations, fournit une intégration complète dans Wazuh, le SIEM open-source bien connu, dont vous pouvez avoir un aperçu en regardant ce court walkthrough.

Sous le capot

Cette version apporte également de nombreuses améliorations en coulisses et des améliorations architecturales, par exemple, l'utilisation d'un moteur de détection des anomalies, un module d'expédition des données mettant à jour les indices Wazuh avec les résultats de la détection ADBox, une suite étendue de tests unitaires, un manuel d'utilisation détaillé (en anglais), une version entièrement révisée des spécifications techniques fournissant une traçabilité de bout en bout, couvrant les spécifications, la conception logicielle et architecturale et les artefacts de test. Vous pouvez consulter le journal des modifications pour en savoir plus sur les mises à jour introduites depuis la sortie de la v0.1.1 le 1er septembre 2024.

Roadmap

Nous travaillerons à l'élaboration de notre version bêta, prévue pour le début de l'année 2026, et certains des éléments actuellement planifiés sont les suivants :

• l'adaptation des algorithmes ADBox sous-jacents à des opérations SOC spécifiques.
• l'ajout de nouveaux mécanismes automatisés visant à prendre des mesures préventives (c'est-à-dire le « P » d'IDPS), directement intégrés dans Wazuh, en vue de l'objectif SOAR d'IDPS-ESCAPE.
• la stabilisation de l'implémentation actuelle et l'amélioration de sa résilience et de sa tolérance aux défaillances, en particulier lorsqu'il s'agit de traiter des données brutes manquantes et mal formées.

Publication de la version Alpha de IDPS-ESCAPE

itrust Abstractions Lab a publié la version Alpha d'IDPS-ESCAPE sur GitHub.

IDPS-ESCAPE, qui fait partie de CyFORT, un ensemble de solutions open-source de cybersécurité, couvre divers aspects de la cybersécurité en tant qu'ensemble, en ciblant différents groupes d'utilisateurs, allant du secteur public au secteur privé et du CERT/CSIRT aux administrateurs système. IDPS-ESCAPE est conçu pour des déploiements en cloud, avec un œil sur les systèmes de surveillance opérés par les CERT/CSIRT.

Clickez ici pour tous les informations

Publication de la version Alpha de IDPS-ESCAPE

itrust Abstractions Lab a publié la version Alpha d'IDPS-ESCAPE sur GitHub.

Contexte

IDPS-ESCAPE, qui fait partie de la suite CyFORT de solutions logicielles open source pour la cybersécurité, aborde divers aspects de la cybersécurité dans son ensemble, en ciblant différents groupes d'utilisateurs, allant du public au privé, et des équipes CIRT/CSIRT aux administrateurs système. La conception de IDPS-ESCAPE est orientée vers des déploiements cloud-natifs, avec une attention particulière aux systèmes de surveillance gérés par les CERT/CSIRT.

Aperçu

IDPS-ESCAPE vise à capturer de près la notion de MAPE-K (Monitor, Analyze, Plan, Execute and Knowledge) issue de l'informatique autonome appliquée à la cybersécurité, ce qui se traduit par la fourniture d'un ensemble complet remplissant les rôles d'un système d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR), d'un système de gestion des informations et des événements de sécurité (SIEM) et d'un système de détection et de prévention des intrusions (IDPS), avec un sous-système central traitant de la détection des anomalies (AD) basé sur les avancées de pointe en apprentissage automatique (ML). Nous appelons ce sous-système « ADBox », qui est livré avec une intégration prête à l'emploi avec des solutions open-source bien connues telles qu’OpenSearch pour la recherche et l'analyse,  Wazuh comme notre SIEM&XDR de choix, à son tour connecté à MISP pour l'enrichissement des alertes, et à Suricata, agissant à la fois comme notre IDPS réseau préféré, ainsi que comme une source d'acquisition de données au niveau réseau.

Notre cadre extensible ADBox, fournissant une infrastructure logicielle modulaire et extensible pour intégrer efficacement des algorithmes de ML et de détection d’anomalies, inclut également un algorithme de détection d'anomalies en séries temporelles multivariées (MTAD) reposant sur des « Graph Attention Networks » (GAT).

En plus de fournir aux praticiens de la sécurité, tels que les opérateurs SOC ou les analystes CTI, une détection d'anomalies sur les indices Wazuh (alertes, archives, statistiques, etc.) dans de multiples modes (batch, temps réel et historique), il peut également être utilisé pour simplifier et affiner le travail des praticiens de la sécurité sur plusieurs dimensions, par exemple :

• la gestion des règles,
• la corrélation des événements,
• la dérivation d’alerte en incident, et le réglage des politiques d'alerte/réponse et les correspondances avec des bases de données telles que MITRE ATT&CK.

ADBox peut également être utilisé comme une bibliothèque logicielle pour déployer divers algorithmes de détection d’anomalies basés sur le ML dans différents environnements, tout en permettant un haut degré de personnalisation grâce à sa conception modulaire et extensible. Une personnalisation axée sur l'environnement peut non seulement contribuer à réduire les faux positifs, mais aussi aider à détecter un comportement suspect avec des informations limitées, ou encore fournir un point d'entrée pour une enquête traitant des modèles d’attaques adverses pour lesquels des signatures ou des indicateurs de compromission préalables peuvent ne pas être facilement disponibles.

Par conséquent, ADBox constitue un tremplin vers la résolution de diverses déclarations controversées et de conclusions parfois douteuses issues de la littérature académique et de celles faites par les praticiens du secteur : il suffit de brancher la dernière implémentation d'un algorithme de détection d’anomalies basé sur le ML dans ADBox, ce qui l'intégre à des outils de sécurité réels tels que Wazuh, afin d'évaluer et de (in)valider ces affirmations.

La version actuelle de la pile IDPS-ESCAPE comprend

• une configuration combinée intégrant des solutions open source de pointe IDPS et SIEM&XDR, ainsi que
• ADBox, un sous-système de détection d'anomalies conçu et mis en œuvre sur mesure, basé sur l'apprentissage automatique.

Relation avec d'autres sous-projets et outils de CyFORT

Notre dépôt GitHub contient le code source et la documentation complète (exigences, spécifications techniques, schémas, manuel d'utilisation, spécifications des cas de test et rapports de test) d'IDPS-ESCAPE, basé sur la méthode C5-DEC et le logiciel également développé dans CyFORT, qui repose sur le stockage, l'interconnexion et le traitement de tous les artefacts du cycle de vie du développement logiciel (SDLC) d'une manière unifiée, comme illustré par la page web de traçabilité fournissant les spécifications techniques d'IDPS-ESCAPE.

Enfin, IDPS-ESCAPE est développé en parallèle avec un autre sous-projet de CyFORT, à savoir SATRAP-DL, qui vise à améliorer le travail des analystes en renseignement sur les cybermenaces (CTI) à l’aide d’un raisonnement semi-automatisé sur le CTI. À terme, IDPS-ESCAPE devrait inclure, entre autres, des mécanismes permettant de faire face et de traiter les attaques de la chaîne d'approvisionnement et à celles utilisant l’apprentissage automatique adverse.