SecurityInsider
Le blog des experts sécurité Wavestone

Formats IODEF, IDMEF, STIX, … retour sur la SECEF Day !



Dans le cadre des nombreuses avancées en matière de Threat Intelligence, le CERT-Solucom a assisté à la conférence SECEF Day, organisée par l’entreprise CS, le vendredi 18 octobre 2015. Vous trouverez ci-dessous un compte-rendu des sujets abordés.

SECEF (SECurity Exchange Format) est le nom donné au projet initié par CS, l’école Télécom SudParis et le groupe Central-Supélec ; ce projet a pour objectif de promouvoir et de faciliter l’usage des deux formats de fichier IDMEF (Intrusion Detection Message Exchange Format) et IODEF (Incident Object Description Exchange Format), deux formats participant à la remontée et au partage de données de Threat Intelligence. C’est dans l’objectif de nous présenter les avancées de ce projet que la SECEF Day a été organisée.

Les intervenants de cette journée étaient :
  • Gilles Lehmann – Architecte sécurité à CS, responsable des produits Prelude et Vigilo ;
  • Hervé Debar – Enseignant-chercheur à Telecom SudParis ;
  • Guillaume Hiet – Enseignant-chercheur à Centrale-Supelec.

Lors de la conférence, quatre grands thèmes ont été abordés :
  • Définition des formats IDMEF et IODEF ;
  • Présentation de l’état d’avancement du projet SECEF ;
  • Panorama des formats dits « d’alertes » (liés à la détection) ;
  • Panorama des formats dits « d’incidents » (liés au traitement).
Définition des formats IDMEF & IODEF :

 Dans la sphère IDMEF / IODEF, une « alerte » est une action potentiellement malicieuse (ex. tentative d’authentification échouée) mais peut, le cas échéant, s’avérer être une fausse alerte. Elle est générée par une sonde de détection ou tout autre système IT, puis est transférée à un SIEM.
Un « incident » est quant à lui un évènement de plus grande envergure (ex. tentative de compromission d’un compte administrateur). Il est généré par un SIEM et fait suite à une éventuelle corrélation entre plusieurs alertes avérées.

IDMEF est un format d’échange défini par l’IETF et décrit dans la RFC 4765. L’objectif de ce format est d’harmoniser et de structurer les échanges « d’alertes » initiés entre les sondes de détection et les SIEM. Il est donc généré par des machines et interprété par d’autres machines.

IODEF est utilisé dans un même objectif (harmonisation et structuration) mais à un niveau supérieur : pour les échanges dits « d’incidents » initiés entre les SIEM et les intervenants humains (SOC, CERT, etc.). Ce format est défini dans la RFC 5070 et sera quant à lui généré par des machines et utilisé par l’Homme.

Le schéma ci-dessous illustre cette chaîne de remontée en deux étapes :


Schéma : représentation des rôles du format d’alerte « IDMEF » et du format d’incident « IODEF ».

Présentation de l’état d’avancement du projet SECEF

Comme évoqué précédemment, le projet SECEF a pour but d’améliorer et de promouvoir les formats IDMEF et IODEF.
Dans ce cadre, l’équipe de recherche a pu jusqu’à aujourd’hui :
  • faire une analyse comparative des différents formats d’alertes (formats concurrents de IDMEF) ;
  • étudier les formats d’incidents (formats concurrents de IODEF) ;
  • rédiger des tutoriaux d’utilisation des deux formats ;
  • construire des sondes « compatibles IDMEF » ou des agents permettant les traductions nécessaires.

L’ensemble des publications de l’équipe de recherche sont présentes ici : http://redmine.secef.net/projects/secef/wiki

La date de fin du projet étant prévue pour juillet 2016, plusieurs travaux restent encore inachevés à date, dont :
  • l’amélioration des formats IDMEF et IODEF ;
  • faire une analyse comparative des différents formats d’incidents (formats concurrents de IODEF) ;
  • le rapprochement du format IODEF et du format ISI (Information Security Indicators), en proposant notamment des mécanismes de traduction ;
  • la mise à disposition de bibliothèques IDMEF et IODEF afin de faciliter leur implémentation (notamment pour les éditeurs de sondes).
Panorama des formats « d’alertes »
 Il existe plusieurs formats qui permettent de représenter les alertes.
Le tableau ci-dessous synthétise les recherches de l’équipe SECEF en évaluant brièvement les principales caractéristiques de chaque format :


CEF
LEEF
SDEE
IDMEF
CIM
XDAS
CEE
Transport
Syslog
Syslog
HTTP
IDXP*
HTML*
Syslog*
Syslog*
Encodage
Syslog
Syslog
XML
XML*
HTML*
JSON*
JSON, XML*
Expressivité
(finesse dans le détail des alertes)
++
-
+
+++
-
+
+
Structuration
(clarté dans l’organisation du format)
- -
- -
+
+++
+
++
-

* : signifie que d’autres solutions peuvent être utilisées.

La comparaison détaillée de ces formats peut être téléchargée ici : http://redmine.secef.net/attachments/download/29/idmef-cef-leef-3.2.xlsx

Panorama des formats « d’incidents »

 Le travail réalisé pour les formats d’alertes par l’équipe du projet SECEF, sera également fait pour les formats d’incidents (a priori courant 2015 / 2016).
En attendant, quatre familles de formats qui prennent de l’ampleur nous ont été brièvement présentées :
  •  ISI standardisé par l’ETSI (European Telecommunications Standards Institute) ; sa particularité est d’intégrer une notion d’évaluation de l’efficacité de la politique SSI opérationnelle du SI concerné (ce qui permet d’apporter des informations sur le contexte IT & SSI dans lequel l’incident a eu lieu).
  • IODEF/IODEFv2, ; poussé en Europe et au Japon, il se caractérise par son nombre important d’attributs rendant le format très descriptif.
  • CyBox, STIX et TAXI ; cette famille ne possède pas de spécificité particulière, elle représente un ensemble complet de services de partage. Cependant, la notoriété de son pays d’origine (USA) en fait l’une des familles de format d’incidents les plus connues et utilisées aujourd’hui.
  • OpenIOC, introduit initialement par l’entreprise Mandiant, ce format a été beaucoup utilisé à ses débuts puis ensuite critiqué par sa structure trop simpliste.

En définitive, les responsables du projet SECEF invitent les acteurs du monde de la cybersécurité à adopter les formats IDMEF et IODEF afin d’uniformiser et de faciliter les échanges relatifs aux incidents de sécurité (ndlr. un air de déjà vu à l’époque de SMTP, DNS & co …). Ils les invitent aussi à contribuer à l’amélioration de ces deux formats en partageant leur retour d’expérience et en proposant des évolutions potentielles.

Le contenu de cette conférence était riche, permettant notamment de découvrir les différents formats concurrents de standardisation des échanges de données d’intrusions liées à des cyberattaques.
Aujourd’hui, deux familles de formats semblent se battre pour la première place du podium : la famille « Cybox, STIX et TAXI » d’une part et la famille des formats standardisés « IODEF et IDMEF » d’autre part. Ce milieu évoluant considérablement, nous devons donc rester à l’écoute pour en connaître les dernières nouvelles !

Sources :


Baptistin BUCHET


2 commentaires:

  1. Bonjour, article intéressant mais c'est Centrale-Supélec, Centrale prenant un E final venant de l’appellation complète École Centrale Paris.
    Cordialement,

    RépondreSupprimer
    Réponses
    1. Bonjour, merci de nous avoir signalé cette coquille, elle est désormais corrigée.

      Supprimer