Hackathon Open Source Security Tools


TheHive, Cortex et MISP: une interopérabilité renforcée au service de la résilience

  

Parmi les projets au menu du Hackathon Open Source Security Tools de ce 26 mars, la plate-forme MISP a de nouveau mobilisé les énergies. Les projets de réponse sur incidents TheHive et Cortex permettent d’utiliser des données MISP ainsi que des données provenant d’autres sources. Une mise à jour importante de TheHive a été réalisée, et c’était donc le moment de vérifier son interopérabilité avec MISP.

Saâd Kadhi est le « père fondateur » de TheHive et a participé au Hackathon avec beaucoup d’enthousiasme.

« C’est vraiment très intéressant de rencontrer d’autres développeurs et surtout, des utilisateurs qui nous donnent des idées pour continuer à développer nos outils ».

The Hive est capable de recevoir et de traiter des informations venant de plusieurs services. Il s’appuie sur un autre logiciel : CORTEX, qui analyse en masse des éléments et indices techniques (comme des adresses IP ou mail, des noms de domaines, des fichiers, ou des “hash”). Il est le parfait compagnon de TheHive qui peut se connecter à plusieurs instances CORTEX en même temps. CORTEX permet d’automatiser et d’accélérer la mise en place de contre-mesures pour protéger les infrastructures et les données.

Le moteur d’analyse Cortex a également réalisé une mise à jour majeure. Il était donc important de vérifier que l’interfaçage avec TheHive et MISP fonctionne toujours correctement, explique Saâd Kadhi.

En plus, nous voulons développer une standardisation pour faciliter la communication entre tous les services d’analyse de la menace. Une initiative européenne a été lancée pour créer une taxonomie des incidents. Nous sommes actuellement en train de rédiger un draft de taxonomie“… Bref, le Hackaton a fait converger les efforts de nombreux acteurs dans le but d’améliorer la résilience de chacun contre des attaques toujours plus complexes à détecter et à combattre.

Le partage de données dans le cadre de la réponse sur incident pose également la question de la protection des données personnelles. Cette question sera étudiée lors d’un workshop spécifique le 7 mai 2018: “Organizer of Incident Response, Information Sharing and GDPR: a practical perspective for CSIRTs”.