Dans le cadre des nombreuses avancées en matière de Threat Intelligence, le CERT-Solucom a assisté à la conférence SECEF Day, organisée par l’entreprise CS, le vendredi 18 octobre 2015. Vous trouverez ci-dessous un compte-rendu des sujets abordés.
SECEF(SECurity Exchange Format) est le nom donné au projet initié par CS, l’école Télécom SudParis et le groupe Central-Supélec ; ce projet a pour objectif de promouvoir et de faciliter l’usage des deux formats de fichier IDMEF (Intrusion Detection Message Exchange Format) et IODEF (Incident Object Description Exchange Format), deux formats participant à la remontée et au partage de données de Threat Intelligence. C’est dans l’objectif de nous présenter les avancées de ce projet que la SECEF Day a été organisée.
Les intervenants de cette journée étaient :
- Gilles Lehmann – Architecte sécurité à CS, responsable des produits Prelude et Vigilo ;
- Hervé Debar – Enseignant-chercheur à Telecom SudParis ;
- Guillaume Hiet – Enseignant-chercheur à Centrale-Supelec.
Lors de la conférence, quatre grands thèmes ont été abordés :
- Définition des formats IDMEF et IODEF ;
- Présentation de l’état d’avancement du projet SECEF ;
- Panorama des formats dits « d’alertes » (liés à la détection) ;
- Panorama des formats dits « d’incidents » (liés au traitement).
Un « incident » est quant à lui un évènement de plus grande envergure (ex. tentative de compromission d’un compte administrateur). Il est généré par un SIEM et fait suite à une éventuelle corrélation entre plusieurs alertes avérées.
IDMEF est un format d’échange défini par l’IETF et décrit dans la RFC 4765. L’objectif de ce format est d’harmoniser et de structurer les échanges « d’alertes » initiés entre les sondes de détection et les SIEM. Il est donc généré par des machines et interprété par d’autres machines.
IODEF est utilisé dans un même objectif (harmonisation et structuration) mais à un niveau supérieur : pour les échanges dits « d’incidents » initiés entre les SIEM et les intervenants humains (SOC, CERT, etc.). Ce format est défini dans la RFC 5070 et sera quant à lui généré par des machines et utilisé par l’Homme.
Le schéma ci-dessous illustre cette chaîne de remontée en deux étapes :
Schéma : représentation des rôles du format d’alerte « IDMEF » et du format d’incident « IODEF ».
Présentation de l’état d’avancement du projet SECEF
Comme évoqué précédemment, le projet SECEF a pour but d’améliorer et de promouvoir les formats IDMEF et IODEF.
Dans ce cadre, l’équipe de recherche a pu jusqu’à aujourd’hui :
- faire une analyse comparative des différents formats d’alertes (formats concurrents de IDMEF) ;
- étudier les formats d’incidents (formats concurrents de IODEF) ;
- rédiger des tutoriaux d’utilisation des deux formats ;
- construire des sondes « compatibles IDMEF » ou des agents permettant les traductions nécessaires.
L’ensemble des publications de l’équipe de recherche sont présentes ici : http://redmine.secef.net/projects/secef/wiki
La date de fin du projet étant prévue pour juillet 2016, plusieurs travaux restent encore inachevés à date, dont :
- l’amélioration des formats IDMEF et IODEF ;
- faire une analyse comparative des différents formats d’incidents (formats concurrents de IODEF) ;
- le rapprochement du format IODEF et du format ISI (Information Security Indicators), en proposant notamment des mécanismes de traduction ;
- la mise à disposition de bibliothèques IDMEF et IODEF afin de faciliter leur implémentation (notamment pour les éditeurs de sondes).
Le tableau ci-dessous synthétise les recherches de l’équipe SECEF en évaluant brièvement les principales caractéristiques de chaque format :
CEF | LEEF | SDEE | IDMEF | CIM | XDAS | CEE | |
Transport | Syslog | Syslog | HTTP | IDXP* | HTML* | Syslog* | Syslog* |
Encodage | Syslog | Syslog | XML | XML* | HTML* | JSON* | JSON, XML* |
Expressivité (finesse dans le détail des alertes) | ++ | - | + | +++ | - | + | + |
Structuration (clarté dans l’organisation du format) | -- | -- | + | +++ | + | ++ | - |
* : signifie que d’autres solutions peuvent être utilisées.
La comparaison détaillée de ces formats peut être téléchargée ici :http://redmine.secef.net/attachments/download/29/idmef-cef-leef-3.2.xlsx
Panorama des formats « d’incidents »
En attendant, quatre familles de formats qui prennent de l’ampleur nous ont été brièvement présentées :
- ISI standardisé par l’ETSI (European Telecommunications Standards Institute) ; sa particularité est d’intégrer une notion d’évaluation de l’efficacité de la politique SSI opérationnelle du SI concerné (ce qui permet d’apporter des informations sur le contexte IT & SSI dans lequel l’incident a eu lieu).
- IODEF/IODEFv2, ; poussé en Europe et au Japon, il se caractérise par son nombre important d’attributs rendant le format très descriptif.
- CyBox, STIX et TAXI ; cette famille ne possède pas de spécificité particulière, elle représente un ensemble complet de services de partage. Cependant, la notoriété de son pays d’origine (USA) en fait l’une des familles de format d’incidents les plus connues et utilisées aujourd’hui.
- OpenIOC, introduit initialement par l’entreprise Mandiant, ce format a été beaucoup utilisé à ses débuts puis ensuite critiqué par sa structure trop simpliste.
En définitive,les responsables du projet SECEF invitent les acteurs du monde de la cybersécurité à adopter les formats IDMEF et IODEF afin d’uniformiser et de faciliter les échanges relatifs aux incidents de sécurité (ndlr. un air de déjà vu à l’époque de SMTP, DNS & co …). Ils les invitent aussi à contribuer à l’amélioration de ces deux formats en partageant leur retour d’expérience et en proposant des évolutions potentielles.
Le contenu de cette conférence était riche, permettant notamment de découvrir les différents formats concurrents de standardisation des échanges de données d’intrusions liées à des cyberattaques.
Aujourd’hui, deux familles de formats semblent se battre pour la première place du podium : la famille « Cybox, STIX et TAXI » d’une part et la famille des formats standardisés « IODEF et IDMEF » d’autre part. Ce milieu évoluant considérablement, nous devons donc rester à l’écoute pour en connaître les dernières nouvelles !
Sources :
Baptistin BUCHET