Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

SECEF Day 2016 : l’IDMEF/IODEF bientôt aussi universelle que le SMTP ?

septembre 2016 par Marc Jacob

Lors de la deuxième édition du SECEF Day, Gilles Lehmann en guise d’introduction a annoncé la fin de ce projet en octobre 2016, bien entendu, ce ne veux pas dire la fin de l’effort de standardisation des procédures d’envois des alertes mais plutôt le commencement d’une nouvelle qui va l’évangélisation du marché pour rendre les standard IDMEF et IODEF aussi universel que le « SMTP »….

Le projet SECEF sera normalement terminé Days en octobre prochain a expliqué Gilles Lehmann en guise d’introduction au deuxième SECEF Day. Selon lui ce standard commence à être adopté par le marché français. Devant la croissance exponentielle dès malveillance informatique et la difficulté de parer ces attaques, la coordination des défenseurs est une des pistes. Ainsi, la détection d’intrusion est un des moyens pour parer ces menaces. Par ailleurs, la réglementation se renforcement avec la LPM, NIS.... font naître de nouvelles obligations avec la détection, le reporting.... Ainsi avoir des standards permet de simplifier le travail des équipes sécurités grâce à l’interopérabilité, une meilleure réactivité et une meilleure connaissance et compréhension des menaces.

En détection d’intrusion on a trois étapes explique-t-il :
Le journal des événements
Des alertes
Ce qui permet de caractériser un incident « notifiable » ou non

Ainsi, les standards IDMEF et IODEF permettent de répondre à ces besoins. En effet, l’IDMEF RFC 4765 qualifie de façon automatique une intrusion et l’IODEF RFC 670 nécessite la qualification par un opérateur. En cela ces deux standards sont donc complémentaires.

Les logs sont récupérés par un parseur unique qui va par la suite envoyer des informations « incidents » ou « alertes » à un SIEM. Ce dernier va faire de la corrélation afin de qualifier ou non ces événements. Le format IDMEF décrit les alertes en 33 classes et 108 attributs qui offrent au final 260 possibilités. Afin d’obtenir une vision plus exhaustive un document de 33 pages détaille toutes les étapes de l’implémentation. Quant au format IODEF la description d’un incident est qualifiée en 66 classes et 135 attributs ce qui permet d’obtenir plus de 300 possibilités.

Pour rappel, le projet SECEF est de faire la promotion de ces deux standards. Par contre, entre le début du projet et aujourd’hui il a fallu intégrer de nouvelles données. Aujourd’hui, un travail de fond a été réalisé par comparaison avec tous les autres formats propriétaires des éditeurs. Des travaux de réflexion ont été initialisés en collaboration avec la DGA-LI et le COSSI (entité dépendante de l’ANSSI). Suite à ces travaux la rédaction d’une première spécification v2 est en cours de relecture et sera prochainement publié. Il est important de noter que ces standards ont été inclus au Référentiel Général d’Interopérabilité (RGI) v2, de ce fait les premiers partenariats avec des industriels ont été conclus avec 6cure, Ilex, Stamus Networks et Teclib.

Par la suite Hervé Debar et Thomas Andrejak ont présenté ISI pour Information Security Indicators. Les motivations de cet outil sont de mesurer l’état de sécurité d’un environnement, d’obtenir des informations globales sur l’état de sécurité opérationnel d’un secteur et enfin de comparer ce niveau de sécurité par rapport à d’autres secteurs. ISI a créé 5 indicateurs liés aux incidents de sécurité de l’intrusion informatique, les malveillances internes, jusqu’à l’intrusion physique dans les locaux. Des indicateurs liés aux vulnérabilités comportementales mais aussi aux attitudes des opérateurs sont entre autre analysées.

Aujourd’hui 3 nouveaux documents sont en cours qui seront publiés d’ici à deux ans. Quant à l’articulation avec IDMEF et IODEF des passerelles existent toutefois sous réserves de certaines contraintes.

Pour renseigner les indicateurs ISI il est possible d’utiliser Syslog et d’autres standards jusqu’à l’action d’un opérateur. Au niveau bas certains indicateurs se retrouvent directement fournis dans des outils de sécurité par exemple dans les anti-virus, d’autres nécessitent une corrélation d’événements par un opérateur dans un premier temps qui par la suite peut être automatisables par autoapprentissage de l’outil.

Gilles Lehmann a repris sur le format STIX qui est promu par l’OASIS. Pour l’exemple, il a listé trois format l’IETF avec IDMEF, IODEF et RID, l’OASIS avec STIX, CYBOX et TAXII et l’ITU. La multiplication des formats standards provient de la nécessité d’adresser des informations sur les incidents, celle de répondre aux exigences règlementaires et de notifier les incidents aux CERTs. Il a rappelé rapidement les concepts de bases de la Threat Intelligence dans laquelle on répond à un certains nombres de questions suite à un incident qui, quoi, comment, pourquoi....

STIX est un langage pour représenter de manière structurée les informations sur les cyberattaques. On y trouve des spécifications, des schémas XSD et des bibliothèques Windows.... Dans la version 2 une structuration de ces objets sera créée. A priori selon l’OASIS de nombreux éditeurs utiliseraient le format STIX, toutefois les éditeurs présents sur le site Web de l’OASIS ne semblent pas tous se servir réellement de ce standard.

Pour IODEF V2 une mise à jour du cœur incident a été réalisée par rapport à la v1. On a aussi rajouté des classes et mis à jour des énumérations en les sortant de la RFC via IANA (Internet Assigned Numbers Authority). Pour lui, il serait important que tous les standards utilisent la même énumération. En conclusion Gilles Lehmann a estimé que dans STIX les périmètres ne sont pas toujours bien définis, mais est très ambitieux. De ce fait, il crée un peu de confusion. Par contre, l’ITU s’appuie sur IODEF. A l’usage les rôles de chacun semblent se préciser. Il n’y aurait pas de concurrence entre IDMEF/IODEF et STIX. Ce dernier reste dans la Threat intelligence, IODEF reste dans son rôle Incident. Il est donc possible de prendre le meilleur de chaque standard.

Antoine CAO a expliqué les objectifs du RGI. Il concerne les couches basses et cadre le standard de façon à couvrir toutes les interfaces. Le RGI sert à toutes les administrations. Il fournit des cadres d’architecture et de profils. Le RGI a été co-construits avec un certain nombre d’acteurs ainsi, des critères ont été déterminés en partant des problématiques venant des administrateurs. Dans le RGI, le côté Cyberdéfense a été introduit suite aux demandes des utilisateurs. On y trouve donc aujourd’hui des standards, un statut en fonction des versions, des descriptions des standards avec des liens vers ces définitions. La source est généralement Wikipedia. Aujourd’hui le RGI couvre la plus part dès domaine de l’identité jusqu’à la signature des multimédias... Au deuxième trimestre 2015, un appel à commentaire public a eu lieu, un travail de plusieurs années sera nécessaire pour exploiter les réponses. Le RGI est en ligne sur le site de l’Etat mis aussi sur GitHub. Actuellement, les administrations sont poussées à faire un bilan de conformité...

Thomas Andrejak a présenté les deux librairies développé dans le cadre de SECEF. Il rappelle que Prélude est basé sur l’IDMEF. Ainsi les deux librairies sont LiblDMEF et LiblIODEF. Les versions. 2 seront prochainement disponibles. Aujourd’hui elles sont en C++ et Python. Toute la partie transport a été retirée. Des imports existent déjà avec certains formats comme Json.

Les standards sont un impératif pour pouvoir exploiter les alertes

Laurent Villemin, Ministère de La Défense a présenté l’intérêt du format IDMEF. Au sein du Ministère une composante de détection est implémentée. Des informations sont collectées, agrégées, indexées et corrélées afin de remonter des alarme qui sont par la suite exploitées par un SOC. Ce modèle n’est par contre pas transposable sur l’ensemble du SI du Ministère de La Défense. Il est confronté à des contraintes multiples organisationnelles et techniques.... Ainsi, son modèle s’apparente à de la fédération qui remonte des informations hétérogènes. Ainsi, seule l’utilisation de format standard est adaptée à ce besoin. Ainsi au niveau des transports des événements le protocole Syslog est préconisé avec un encodage Json. Pour la structuration de données l’IDMEF est préconisée. Selon lui, le message alerte généré concerne grâce à ce standard un événement qualifié qui est donc corrélé.

Prelude le SIEM français de référence

Gilles Lehmann a par la suite fait une rapide présentation de Prélude le SIEM de CS qui s’appuie sur les standards IDEMF et IODEF. Il permet de centraliser, détecter, normaliser, corréler et agréger les évènements. Il adresse un historique de Prelude créé en 1998 avec a aujourd’hui le lancement d’un partenariat avec quatre éditeurs Stamus Networks, 6cure, Ilex et Teclib. Prélude implémente actuellement les formats standards de la Cybersecurité. Il s’adapte à tous les équipements, systèmes et applicatifs et est nativement compatibles via IDMEF avec les principaux outils de détection open source. Il est proposé en plusieurs langues, est très facile à implanter et très modulable. Il est proposé en deux versions une open source dite Basic et une version payant dite Expert qui contient plus de fonctionnalités. Il est bien sûr facile de passer du niveau 1 au niveau 2. Pour les éditeurs, l’API est assez simple à intégrer. Pour les éditeurs, les bénéfices sont d’une part de créer une synergie, de faire la promotion du standard IDMEF, de permettre une réflexion globale sur la mise en place d’un SIEM. Pour les clients finaux, cela leur offre la possibilité de disposer d’un catalogue de sondes compatibles, de mutualiser les compétences et d’avoir au final une meilleure maîtrise de son SIEM. 

Éric Leblond, co-fondateur de Stamus Networks, créée en 2014, propose des solutions de détection d’intrusion et des menaces basées sur Suricata. Un moteur de gestion centralisé est aussi inclus. Il s’interface avec IDMEF pour la gestion des alertes. Stamus Networks propose des sondes de réseaux d’analyses des cybermenaces, une analyse des protocoles et un système de conteneur pour mettre en place les propres procédures de ses clients. Les sondes peuvent être configurées soit à partir des sondes Stamus Networks ou Suricata. Les sondes Stamus s’interface avec Prelude. Par la suite, le support IPV 6 et l’ajout des informations protocolaires sont prévues.

Thierry Berttini et Guilaume Guerrin ont présenté les solutions d’Ilex International en matière de gestion des identités et des accès. Ilex Intenational propose une offre complète qui va jusqu’au de l’interface avec les outils de mobilité. La société présenté aujourd’hui en France, en Grande Bretagne et au Maroc, compte plus de 250 clients dans la plus part des secteurs d’activité, banque finances, santé....la logique de cet éditeur est de couvrir la globalité des besoins en contrôle d’accès quelques soit le support utilise PC, Smarphones, tablettes... Tout en simplifiant les procédures. Les solutions proposent une traçabilité des actions menées par les utilisateurs. Aujourd’hui, ses solutions s’interfacent avec Prelude.

Jouni Wiinikka de 6Cure a présenté sa solution de lutte contre les DDoS 6Cure Threat Protection, elle contient des filtres de protection qui analyse par couche successive les flux. Cet équipement se place au niveau des routeurs et des pare feux. Un nettoyage de trafic est proposé en N x 10 Gbps. Cette solution se différencie par une granularité de l’analyse extrêmement fine en fonction des différents trafics ANY, HTTP.... Une analyse et une protection peut être mise en place par services. La solution propose en outre une console centralisée. Des exports de données avec des rapports sous format PDF, HTML... des alertes avec IDMEF, SNMP, Syslog... Et il est possible d’exporter des données et les stocker dans un SAN. 6Cure utilise le format IDMEF depuis le lancement. De ce fait, le partenariat avec Prelude est naturel. 6Cure a opté pour le format Expert de Prelude après avoir utilisé le format Basic au préalable. Il estime que dans les deux cas l’implémentation a été facile et rapide.

Fabien Alain, responsable de la R&D de Tecliib Group qui entre autre est éditeur de Uruhu, Armadito et Flyve. Pour Armadito qui est un antivirus en open source multi-plate-forme : Linux, Windows et prochainement Mac OSX. Il supporte Clam AV, YARA, un moteur heuristique. Des modules auxiliaires existent pour la quarantaine. Le corps d’Armadito est en LGPL. Armadito propose toutes les fonctionnalités d’antivirus standard : protection temps réel, remontée d’alerte, une console centralisée, basée sur Lgpi. Cet antivirus a implémenté IDMEF il y a environ un mois. Il estime que cette implémentation a été très aisée. Il est passé directement par le niveau expert. Plusieurs informations sont remontées avec le nom du malware, le module ayant détecté le malware...

Gilles Lehmann a annoncé d’autres partenariats en cours de finalisation comme avec Darktrace. En conclusion, il a rappelé les différents écueils que les projets SECEF a rencontré : démarrage du groupe d entravait tardif, collision temporelle avec la réglementation, difficulté de fédérer les interlocuteurs.... Ce projet est aussi un peu antinomique du fait de la nécessité de coopération mis en regard du culte du secret inhérent à la sécurité. En fait, pour réussir un type de projet comme celui-là il faut communiquer sans cesse.

Aujourd’hui, concernant IDMEF il faut confronter des spécifications à la pratique, inclure plus d’éditeurs, des CERTs, des OIVs, l’Europe... Il faut encore renforcer l’interopérabilité...

En ce qui concerne les CERTs, pour Gilles Lehmann se sont les plus concernés pour avoir un standard de déclaration d’incidents. Pourtant à ce jour chacun d’entre eux utilise son propre formulaire de déclaration. Pour lui, la Cybersecurité va devoir rapidement s’organiser face aux nouvelles législations qui arrivent et à la structuration du "marché du piratage informatique" !




Voir les articles précédents

    

Voir les articles suivants