Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



DIP, solution de partage d'informations automatisée

Par Ludovic Blin, secuobs.com
Le 08/01/2016


Résumé : Lors de la conférence Botconf 2015, Frank Denis de chez OVH a présenté un protocole de partage d'informations concernant les évènements de sécurité.



Les fournisseurs de services internet ont en général des systèmes d'informations capables de remonter de nombreuses alertes, permettant de réagir à des problèmes de sécurité, ou de les prévenir. Bien souvent cependant, pour être exploitées correctement celles-ci vont avoir besoin d'être corrélée avec d'autres informations détenues par d'autres fournisseurs. Une solution de coopération automatique peut donc présenter beaucoup d'avantages.

Le français Frank Denis, chasseur de malware au sein de l'hébergeur hexagonal OVH (qui est également l'un des leaders mondiaux avec plus de 220 000 serveurs), présentait lors de la conférence Botconf, qui avait lieu au début du mois de décembre dans les locaux parisiens de Google, sa solution à ce problème, dénommée DIP.

L'idée est d'utiliser une méthode standard pour décrire les différents évènements affectant la sécurité. En effet, une adresse IP peut se retrouver dans une base de donnée de "threat intelligence" (analyse des menaces) depuis des années, alors que son propriétaire a changé plusieurs fois. Le protocole proposé permet ainsi par exemple d'associer un état à une adresse IP, qui rend compte du statut actuel de l'éventuelle menace représentée par cette dernière, et des mesures prises par l'hébergeur pour y remédier. Il devient ainsi possible d'associer un historique de changement d'états (ou de propriétaire) à une ressource. Ce qui peut par exemple permettre de s'apercevoir rapidement que son propriétaire à changé ou encore de déterminer si un sous réseau est particulièrement touché par des problèmes de sécurité.

Les évènements de sécurité décrits par ce protocole peuvent ensuite être diffusés en streaming vers les utilisateurs et indexés au sein d'une base permettant la recherche. Notons qu'un champ "depth" est prévu pour pouvoir noter la qualité de la source d'information. Une tel outil peut être particulièrement utile aussi bien pour les hébergeurs que les forces de l'ordre ou encore les chercheurs en sécurité (et notamment les spécialistes en "threat intelligence).

Les slides de la présentation de Frank Denis: lien