Concrétisons la Threat Intelligence : CR du MISP Summit 01
Le lundi 19 octobre 2015, le CERT-Solucom a assisté à la conférence MISP Summit 01 organisée à Bruxelles en amont de la Hack.lu. Vous trouverez ci-dessous un compte-rendu des sujets abordés.
Rappelons que MISP est l’acronyme de Malware Information Sharing Plateform : il s’agit d’une plateforme de capitalisation et d’échange d’indicateurs de compromission (IOC).
Lors de cette conférence, plusieurs thèmes ont été abordés :
- une présentation de l’institut « IS2RI »,
- les améliorations récentes et à venir sur MISP,
- une introduction aux interfaces PyMISP et VIPER,
- quelques données sur l’utilisation de MISP,
- le cadre légal de l’outil.
Présentation de l’institut « IS2RI »
IS2RI (Information Security and Intelligence Sharing Research Institute) est un institut de recherche à but non lucratif créé en 2015 au Luxembourg. Son objectif principal est de promouvoir le développement des logiciels open-source dans le domaine de la sécurité de l’information, des systèmes et des réseaux.IS2RI œuvre actuellement à promouvoir et à faciliter l’utilisation de la plateforme MISP. Parmi ses récents travaux, on compte :
- la création d’un site web afin de promouvoir MISP : http://www.misp-project.org/
- l’organisation des conférences MISP Summit
- la publication d’une mailing-list d’échanges autour du projet
- l’amélioration de la documentation (FAQ, misp-book, etc.)
- l’amélioration du suivi de problèmes par la mise en place d’un forum dédié.
Il est à noter que IS2RI reste entièrement ouvert aux aides externes.
Les améliorations apportées à MISP
Dans la version 2.3Plusieurs améliorations de performance, de sécurité et d’exploitabilité ont été apportées à la version 2.3 de MISP. De plus, de nombreux patchs sont également sortis depuis.
Parmi ces améliorations, on retrouve :
- l’augmentation de la rapidité de corrélation des événements
- l’enrichissement des fonctionnalités de l’API
- l’ajout de la possibilité d’exporter des informations en format RPZ
- etc.
D’autres améliorations ont également pu être intégrées à la version 2.3 par le biais d’intervention d’aides externes, comme l’authentification SSL et la configuration de proxy.
Dans la version 2.4
Actuellement disponible en version beta, la version 2.4 de MISP a pour principal objectif d’améliorer la synchronisation sélective des données. Elle apporte ainsi la possibilité de créer des groupes de partage afin de restreindre le cercle de synchronisation des IOCs (selon un niveau de confidentialité qu’on leur attribue), et permet de créer des « filtres de synchronisation » pour mieux sélectionner les données souhaitées.
D’autres améliorations ont été introduites telles que la visualisation graphique de la corrélation entre indicateurs et le test automatique de compatibilité entre deux instances MISP (à des fins de synchronisation). Il est d’ailleurs à noter que la version 2.4 reste compatible avec la version 2.3.
Dans les versions 2.5, 3.0 et 4.0
Dans les futures versions de MISP, plusieurs fonctionnalités intéressantes sont prévues, dont notamment :
- la possibilité de commenter la qualité des indicateurs publiés
- la publication des IOCs en anonyme
- la corrélation des IOCs dans le temps
- l’alignement progressif sur les standards STIX/TAXII/Cybox
- l’interconnexion avec Cuckoo Sandbox
- le passage à un modèle de représentation hiérarchique des informations (plus structurée, plus facilement compréhensible, etc.)
- inclure les TTPs, les campagnes etc. dans les informations pouvant être représentées
- etc
Introduction à PyMISP et VIPER
PyMISP est une interface en Python qui permet de communiquer avec les instances de MISP en utilisant l’API REST.VIPER est quant à lui une interface en ligne de commande qui permet de créer un zoo local de malware (d’échantillons de malwares) et de le gérer.
Il se base sur PyMISP afin de communiquer avec MISP et permet ainsi de :
- chercher des indicateurs dans la base
- créer / mettre à jour / publier des indicateurs
- effectuer des transferts d’indicateurs entre la base locale de VIPER et la base de MISP
- convertir les indicateurs en règles YARA (format de représentation des IOCs)
- lancer des analyses en utilisant IDA ou Radar2 (deux outils de reverse-engineering)
- etc.
Il est à noter que la version actuelle de VIPER ne permet de s’interfacer qu’avec la version 2.3 de MISP.
Quelques données sur l’utilisation de MISP
Trois grandes instances de cette plateforme ont été présentées durant la conférence :- une instance MISP qui regroupe plusieurs organisations privées suisses et internationales gérée par le CIRCL
- une instance MISP qui regroupe une communauté de CERT gérée par le même organisme
- une instance MISP gérée par l’OTAN et qui regroupe les pays membres de ce dernier.
Les deux dernières instances sont interconnectées par le biais d’une synchronisation.
Par ailleurs, une API est mise en place pour permettre de faire des exports de données au niveau des bases gérées par le CIRCL.
Quelques statistiques sur les données contenues dans ces instances :
- 265 330 attributs. 75 506 sont au moins partagés par deux évènements
- 184 entreprises/organisations
- 35% des utilisateurs utilisent l’API pour extraire les données
- curl et PHP sont les langages les plus utilisés pour envoyer des requêtes à cette API.
Le cadre légal de l’utilisation de MISP
La plateforme MISP en tant que « conteneur de données » est sous licence Affero GPL. Cela implique que MISP est un logiciel libre et que ses versions modifiées (par des personnes tierces par exemple) le sont aussi. De plus, une personne ayant modifié le code source de la plateforme pour un usage personnel ou interne à son entreprise n’est pas obligée de publier ces modifications.Par ailleurs, les règles de partage des données au sein de cette plateforme sont définies par leur source. Il incombe donc à cette dernière de définir, à chaque information qu’elle partage, le TLP voulu. Pour rappel :
- TLP white : l’information peut être partagée publiquement
- TLP green : l’information est destinée à une communauté ou à un groupe d’organisations, elle ne peut pas être partagée publiquement
- TLP amber : l’information est à destination d’une organisation, le partage ne doit se faire qu’au sein de cette dernière
- TLP red : l’information n’est à destination que de la personne qui la reçoit
MISP : la panacée de l’outillage de Threat Intelligence ?
En définitive, la plateforme MISP semble offrir de plus en plus de fonctionnalités intéressantes permettant de stocker, corréler et partager des données de Threat Intelligence. L’adoption de cette plateforme par différentes organisations gouvernementales ou privées et son récent rapprochement des formats STIX/TAXII/Cybox montre une hausse progressive de la notoriété de cette plateforme.Si la course des outils de Threat Intelligence n’en est encore qu’à son début, MISP prend déjà une bonne longueur d’avance !
Le CERT-Solucom dispose de sa propre instance MISP, n’hésitez pas à nous contacter pour discuter d’une potentielle synchronisation : cert@solucom.fr.