
stockphoto mania - Fotolia
OpenCTI : une nouvelle plateforme ouverte de gestion du renseignement sur les menaces
L’Anssi et le Cert-EU, partenaires au sein de l’association Luatix, viennent de lever le voile sur la seconde création de celle-ci, une plateforme visant à simplifier la gestion du renseignement sur les menaces à haut niveau.
Le monde des plateformes de gestion du renseignement sur les menaces compte un nouveau venu, OpenCTI, développé par l’Agence nationale de la sécurité des systèmes d’information (Anssi), et le Cert-EU. Dans un communiqué, l’Anssi explique que cet effort répond « à un besoin commun pour une solution adéquate pour structurer, stocker, organiser, visualiser et partager le renseignement sur les menaces à plusieurs niveaux ». L’idée est qu’à long terme, l’adoption large de cette plateforme « aidera et facilitera l’échange d’une connaissance structurée sur les menaces cyber, afin de construire une vision collective et de plus en plus précise de ces menaces ».
Suite de l'article ci-dessous


Priorités IT 2020 : Les enjeux Sécurité des 12 prochains mois
Les cyberattaques sont en hausse constante et peuvent s'avérer fatales pour les entreprises. Découvrez au travers de cette enquête menée par LeMagIT, les priorités et enjeux en matière de cybersécurité des entreprises pour 2020.
C’est dans cette perspective qu’OpenCTI est avant tout construite comme une base de connaissances au schéma de données dédié aux spécificités du domaine. Surtout, la plateforme multiplie les outils de visualisation, notamment pour faciliter l’étude des relations entre entités considérées. Et ces relations ne se limitent naturellement pas à des indicateurs purement techniques : les techniques, tactiques et procédures sont prises en compte, mais la plateforme vise aussi des informations non techniques comme les suggestions d’attribution ou encore la victimologie. Des capacités d’investigation, permettant notamment de pivoter sur les entités, sont à venir ultérieurement.
Pour poursuivre ces objectifs, la plateforme est développée à base de React, GraphQL et Grakn.ai. Son code source est publié sur Github. Et l’ensemble se veut extensible. Des connecteurs peuvent être développés pour l’enrichissement des observables considérés – le premier d’entre eux sera, sans trop de surprise, pour Cortex. Le modèle de données d’OpenCTI est basé sur Stix2. Mais l’une des spécificités de la plateforme qui séduit déjà est l’unicité des observables : tout nouvel événement dans un MISP (Malware Information Sharing Platform), par exemple, génèrera un enrichissement de l’observable existant correspondant.
Accessoirement, l’exportation vers la plateforme MISP est également prévue. L’intégration est également possible avec TheHive, ou encore le framework Att&ck du Mitre. Une instance de démonstration d’OpenCTI est accessible en ligne. Elle est réinitialisée quotidiennement.
Pour approfondir sur Gestion de la sécurité
-
OpenEx : une plateforme ouverte pour organiser des exercices de crise
-
2020 : l’Anssi et Acyma tirent le bilan d’une année explosive sur le front des cyberattaques
-
Airbus CyberSecurity : « faire de la détection sans renseignement sur les menaces c’est impossible »
-
Comment Sekoia veut rendre opérationnel le renseignement sur les menaces