Détection : un site pour regrouper toutes les règles

« Il y un an, je discutais avec les gens de Suricata à la conférence du CERT EU, et ils se demandaient pourquoi nous ne créerions pas un site Web open source pour toutes les règles » de détection, raconte Alexandre Dulaunoy, du CERT du Luxembourg. C’est chose faite.

Les règles de détection, bien que statiques, sont toujours extrêmement utiles et utilisées. Les règles Yara sont largement mises à profit pour classer les menaces, mais également chercher à les identifier, que ce soit parmi des échantillons ou en mémoire vive, par exemple.

Côté détections réseau, Suricata s’est imposé au fil des ans, notamment dans les sondes souveraines. Cet IDS continue d’ailleurs d’être soutenu par l’Agence nationale de la sécurité des systèmes d’information (Anssi), membre Gold de l’OISF qui préside à son développement depuis 15 ans.

Problème : toutes ces règles sont éparpillées dans les dépôts de leurs développeurs respectifs. De quoi en rendre l’accès potentiellement difficile.

C’est là qu’intervient le tout jeune projet rulezet.org, conçu précisément pour répondre à cette problématique avec une plateforme ouverte de recensement de ces règles : « la plateforme est ouverte et publiquement accessible, et son backend est pleinement open source », explique Alexandre Dulaunoy. Soulignant toutefois qu’elle est actuellement en phase bêta et que tous les commentaires sont les bienvenus.

Elle permet toutefois déjà de commenter les règles et d’y apporter des contributions. Plus de 122 400 règles – Yara, Suricata, mais aussi Sigma, Wazuh ou Seek, notamment – y sont déjà embarquées.