CIRCL lance sa plateforme MISP

CIRCL lance officiellement sa plateforme de connaissances sur les malwares, (Malware Information Sharing Platform ou MISP), un portail d'indicateurs de compromission permettant une détection plus rapide et efficace des maliciels.

CIRCL lance officiellement sa plateforme de connaissances sur les malwares, (Malware Information Sharing Platform ou MISP), un portail d’indicateurs de compromission permettant une détection plus rapide et efficace des maliciels.

CIRCL a mis au jour sa Plateforme de Partage d’Information sur les Malwares, MISP, qui permettra aux organisations de partager de l’information sur les malwares rencontrés dans les organisations du pays et ainsi prendre conscience des malwares existants. Le but de cette plateforme de confiance est d’aider à améliorer les mesures utilisées contre les attaques ciblées et de mettre en place des actions préventives.

« Nous avons réalisé qu’un des principaux challenges auquel doit faire face la communauté de la sécurité informatique est le partage d’information, aussi bien en interne qu’entre les organisations. Nous sommes persuadés qu’à travers des initiatives collectives, tel que ce le fut pour cette plateforme, de nombreux autres outils innovants, de confiance et efficaces se développeront dans le but d’anticiper et détecter les attaques et de réduire les faux positifs. Comme vous le verrez dans le diagramme qui se trouve ici, la Plateforme de Partage d’Information sur les Malwares est accessible via différentes interfaces, comme par exemple l’interface web pour les analystes ou les gestionnaires d’incidents, ou encore via l’API ReST », explique Alexandre Dulaunoy de CIRCL (en photo).

Une plateforme de confiance, des objectifs multiples

Les objectifs de la Plateforme de Partage d’Information sur les Malware de CIRCL sont:

  • De faciliter le stockage de l’information technique et non technique sur les malwares et les attaques trouvées;
  • De créer automatiquement des liens entre les malwares et leurs attributs;
  • De stocker les données sous une forme structurée (permettant l’utilisation automatique de la base de données pour alimenter les systèmes de détection ou les outils d’analyse);
  • De générer des règles de détection d’intrusion qui peuvent être importées dans des systèmes de détection d’intrusion (ex : adresses IP, noms de domaine, « hashes » de fichiers malveillants, comportement en mémoire);
  • De partager les attributs des malwares avec des tiers et groupes de confiance;
  • D’améliorer l’échange des informations obtenues suite à l’inversion d’un malware, avec les autres organisations. Ceci évitera toute duplication du travail ;
  • De créer une plateforme de confiance – des informations de confiance provenant de partenaires de confiance;
  • De stocker localement tout les informations des autres instances, tout en gardant les requêtes confidentielles.
  • Pour une detection plus rapide et plus efficace

L’échange d’information résulte en une détection plus rapide des attaques ciblées et améliore le ratio de détection, tout en réduisant les faux positifs. « Cela permet également d’éviter l’inversion d’un malware similaire, vu que nous savons assez rapidement si quelqu’un d’autre a déjà travaillé sur le malware en question. L’interprétation des données est critique pour les opérateurs et les systèmes, donc nous voulions offrir une plateforme alimentée par de nombreux contributeurs avec des informations détaillées sur les malwares identifiés », conclu Sascha Rommelfangen de CIRCL.

La plateforme est un logiciel libre (PGP) disponible sur demande auprès du CIRCL : http://www.circl.lu/contact/

Tous les détails techniques se trouvent ici: http://www.circl.lu/services/misp-malware-information-sharing-platform/