MISP : définition
MISP est un outil open source sous licence Affero General Public License (AGPL) maintenu et financé principalement par le Computer Incident Response Center Luxembourg (CIRCL), une organisation gouvernementale visant à recueillir, examiner et signaler les menaces et les incidents en matière de sécurité informatique, et à y répondre.
Comment est-il né ?
Historiquement, les équipes se partageaient des marqueurs de compromission (IOC) par mail, dans des documents parfois fastidieux à analyser, et dont le traitement pouvait être compliqué à automatiser.
Par ailleurs, avec le temps, le partage d'informations entre les équipes opérationnelles des différentes entités, à travers leurs CSIRT et SOC, s'est de plus en plus industrialisé.
A partir de ce constat et de l’observation de cette évolution du contexte, le projet MISP a vu le jour en 2011, visant à partager de l'information à des cercles de confiance dans un format standard et automatisable.
MISP est aujourd'hui adopté par de nombreux CSIRT et SOC, que ce soit pour des projets de partage d'informations au sein d'une communauté, ou en interne pour gérer des indicateurs de compromission (IOC).
Le produit étant communément utilisé, il est très facile de trouver des librairies et outils s'interconnectant avec MISP dans un écosystème existant.
Maintenant que vous savez ce qu’est MISP, avant d’aller plus loin sur ses avantages et sur son utilisation chez HarfangLab, faisons un détour du côté des formats YARA et Sigma.
Ces formats sont bien connus des experts cyber, et ils sont utilisés par l’EDR d’HarfangLab pour le paramétrage de règles qui sont également gérées via MISP.
Détection des menaces cyber : qu’est-ce que YARA et Sigma ?
YARA : définition
YARA est un outil qui vise à aider les analystes et les chercheurs en logiciels malveillants à identifier et à classer ces échantillons de logiciels malveillants. YARA permet de créer des descriptions de familles de malwares basées sur des modèles textuels ou binaires. C'est un format ouvert et utilisé dans la communauté cyber.
Sigma : définition
Sigma est un outil standard, largement utilisé par la communauté lui aussi, pour écrire des règles de détection. Il permet de définir des règles de détection sans dépendre du format utilisé par le produit de sécurité. Il intègre également la conversion de Sigma vers le langage de requête supporté par l’outil de sécurité.
L'EDR d’HarfangLab s’appuie entre autres sur ces formats standards, avec un accès complet aux règles de détection dans un esprit “boîte blanche”. Adopter des formats standard tels que YARA et Sigma présente plusieurs intérêts :
- facilité de prise en main pour les utilisateurs
- les analystes sont déjà familiarisés avec,
- ils peuvent capitaliser sur la connaissance de ces formats qui sont utilisés par d’autres solutions de sécurité du marché ;
- interconnexion avec l'écosystème existant, intégration facile ;
- transparence : les règles sont affichées et peuvent être modifiées si nécessaire.
Revenons maintenant à MISP. Vous vous demandez peut-être comment HarfangLab gère la Threat Intelligence, et comment ses équipes tirent parti de MISP ? On vous explique.
La Cyber Threat Intelligence (CTI) chez HarfangLab
L’équipe CTI est en veille constante pour pouvoir identifier les nouvelles menaces, via des sources ouvertes (publications), comme des canaux privés (télémétrie, communautés...), et elle assure la mise à jour et la centralisation de toutes ces règles de détection dans MISP .
Comment HarfangLab intègre MISP
Comme évoqué, MISP facilite la mise à disposition de manière centralisée des règles de détection sur les stacks clients, via un outil dédié. Le partage d'informations est ainsi facilité dans des toutes les configurations, SaaS et On Premise.
La console de management, via un connecteur MISP natif, est reliée au MISP HarfangLab et récupère ainsi les règles de détection à jour.
Nous avons vu les règles YARA et Sigma, et comment elles sont intégrées et mises à jour dans MISP pour alimenter les moteurs de détection de notre EDR. Et pour une gestion optimale des alertes de sécurité, quid des whitelists ?
MISP et les whitelists
Les utilitaires d'administration système ou les comportements de certaines applications peuvent être considérés comme des attaques et générer de fausses alertes – aussi connues sous le nom de faux positifs. Il est donc essentiel pour les analystes de pouvoir agir sur la pertinence des alertes qui sont remontées dans la console centrale, via les whitelists.
Ces whitelists sont, comme pour les règles de détection, gérées dans MISP.
Ainsi, lorsqu'un analyste conclut qu’un événement de sécurité est un faux positif, deux actions sont possibles :
- création ou modification de whitelist si l'alerte est propre au système d'informations du client,
- modification de la règle par l'équipe CTI si la whitelist est indépendante du système d'information du client, afin que cette évolution soit bénéfique à tous les utilisateurs de la solution.
Et ensuite, comment une règle est-elle déployée ?
Cycle de déploiement d'une règle à l’échelle de l’ensemble des utilisateurs
Dans le cas où l'équipe CTI modifie ou ajoute une règle, une fois le changement réalisé, la règle entre alors dans un cycle d'intégration et de distribution continue (CI/CD).
Des tests sont lancés pour vérifier la cohérence et la validité de la règle, puis elle est envoyée sur le MISP HarfangLab et ainsi mise à disposition de toutes les stacks des clients.
Outre la capacité à centraliser les règles de détection, MISP s'intègre nativement à un écosystème existant. Les utilisateurs gardent totalement la main sur les règles : ils peuvent décider d'en activer ou en désactiver à tout instant, et ils peuvent les modifier et en ajouter.
Enfin, si un utilisateur dispose déjà d’un MISP, il peut le connecter le sien au MISP HarfangLab, et il disposera ainsi des règles HarfangLab en plus des siennes.
En conclusion, MISP présente l’avantage de favoriser :
- la centralisation des règles de détection,
- une intégration native avec les outils déjà déployés sur un SI,
- la mise à jour automatique des règles de détection,
- le partage des informations.
Vous voulez en savoir plus sur nos moteurs de détection ?
C’est par ici :