Renseignement sur les menaces : une communauté de plus en plus active

L’évènement Hack.lu, dont la 15^e édition se déroulait la semaine dernière au Luxembourg, et notamment le sommet annuel du projet Misp, qui se tenait tout juste un jour plus tôt, ont été l’occasion de souligner le dynamisme d’une communauté du renseignement sur les menaces qui apparaît aujourd’hui fortement galvanisée. Et pour ceux qui en douteraient, de nombreuses vidéos des ateliers sont disponibles.

Le sommet du projet Misp a bien sûr été l’occasion de faire le point sur les améliorations reçues par une plateforme largement utilisée, souvent conjointement à d’autres plateformes de gestion du renseignement sur les menaces. Intégration avec ElecticIQ ou encore Elastic et Maltego ont ainsi été au programme, mais également avec TheHive 4 – actuellement en cours de développement. Elastic a d’ailleurs récemment ouvert son module Filebeat à Misp. Et c’est sans compter avec les projets d’évolution de Misp, qui vont s’inscrire partiellement en rupture, sans que le support de la plateforme historique ne soit négligé durant la période de transition.

Parallèlement, le Mitre a publié la mise à jour d’octobre de son framework Att&ck, à l’occasion des ateliers de la communauté Att&ck européenne, toujours au Luxembourg, et dans la foulée de Hack.lu.

Loin d’être anodine, elle comporte rien moins que 21 nouvelles techniques pour la partie entreprise, 13 pour le volet mobilité, et intègre 12 nouveaux logiciels utilisés par les assaillants. Surtout, le framework intègre désormais plusieurs matrices liées aux services cloud, avec bien sûr AWS, Azure et GCP, mais également des matrices spécifiques à Azure AD et Office 365, et une autre, plus générique, pour les services SaaS. Les galaxies Misp en tiennent déjà compte.

Ces mises à jour sont d’autant plus importantes que le framework Att&ck apparaît aujourd’hui de plus en plus utilisé comme base de contextualisation pour de nombreuses communautés de la sécurité informatique. Les ateliers de la communauté Att&ck européenne ont aussi été l’occasion d’un appel à la coopération renforcée, pour aider à la mise à jour en continu de la télémétrie relative aux activités effectivement observées des assaillants.

Et cette coopération apparaît en action sur le marché. Le projet Pisax de centre pan-européen de partage d’information et d’analyse va ainsi permettre au LU-CIX et à l’entreprise POST Luxembourg de partager de manière sûre et automatisée, via Misp, des notifications d’incidents avec le régulateur du secteur des télécoms qu’est l’Institut Luxembourgeois de Régulation.

A cela s’ajoute l’annonce de la version 2.0 de la plateforme OpenCTI développée au sein de l’Agence nationale pour la sécurité des systèmes d’information (Anssi) et entretenue en coopération avec le Cert-EU au sein de l’association Luatix. Cette nouvelle mouture apporte notamment le support du stockage et de la gestion de fichiers – pour en extraire du renseignement –, l’ajout de tags à des entités, ou encore la possibilité d’ajouter aisément des relations à d’autres relations dans les rapports, voire d’automatiser l’enrichissement des observables ou l’extraction d’indicateurs dans des fichiers PDF.