Joshua Prinsloo - stock.adobe.com

Yeti, l’alternative open source pour la gestion du renseignement sur les menaces

Les offres commerciales de plateformes de gestion du renseignement sur les menaces se sont récemment multipliées. Mais une alternative libre a également fait son apparition. Elle est prometteuse, et développée sur la base de besoin concrets d’équipes d’analystes.

C’est au CERT de la Société Générale qu’est né Yeti, sous les doigts de Thomas Chopitea. Ce n’était pas son premier projet dans le domaine. Il avait avant cela créé Malcom, un outil permettant d’automatiser la collecte d’informations contextuelles autour des informations remontées par l’analyse en bac à sable d’échantillons malveillants. De quoi faire « gagner du temps dans l’identification d’un logiciel malicieux, en s’appuyant sur l’intelligence collective d’Internet », explique-t-il.

Mais Yeti doit permettre d’aller plus loin, en véritable plateforme de gestion du renseignement sur les menaces.

Aux capacités de collecte automatisée d’information héritées de Malcom, il ajoute une composante encyclopédique permettant d’associer de manière aussi automatique que possible des traces réseau, des noms de fichiers et d’autres informations à des malwares ou à acteurs connus, voire à des méthodes et techniques d’attaque - les fameuses TTPs (pour techniques, tactiques et procédures).

Collecter et enrichir le renseignement

Yeti est capable de s’alimenter auprès de sources externes, comme DomainTools, pour peu qu’on y ait souscrit un abonnement. La plateforme est également capable de procéder elle-même à ses analyses sur un nom de domaine ou une adresse IP, construisant ainsi graduellement sa base de connaissance historique sur les indicateurs observables qui lui auront été fournis.

Les tâches de collecte d’informations contextuelles sur les indicateurs observables sont gérées en s’appuyant sur le projet Celery. De quoi permettre d’utiliser une architecture distribuée. Outre les avantages en termes de gestion de la charge, cette approche ouvre la porte au déploiement d’un réseau de workers chargés d’exécuter de manière plus ou moins anonyme des requêtes sur les cibles afin d’éviter de trop attirer l’attention des acteurs surveillés.

Les données sont stockées dans des bases MongoDB. L’ambition n’est toutefois pas de verser dans le Big Data en jonglant avec des volumes de données considérables : « il s’agit de privilégier la qualité de l’information plutôt que la quantité ». Une information de qualité, « c’est par exemple un nom de domaine assorti du contexte permettant à un analyste de se positionner rapidement et avec un bon niveau de confiance sur sa malveillance ou son innocuité ».

Une plateforme modulaire

Surtout, Yeti se présente comme une plateforme ouverte où tous les traitements d’enrichissement sont confiés à des composants (des plug-ins). De quoi ouvrir la voie à, par exemple, des modules chargés de lancer une requête sur l’URL complète d’une page de phishing, voire d’en collecter le code ou encore une capture d’écran. « Cela n’existe pas encore, mais la plateforme est ouverte pour ce genre de choses », explique Thomas Chopitea.

Au sein du CERT de la Société Générale, Yeti s’est placé au cœur d’un triptyque incluant les projets Fame et FIR. Le premier, dévoilé en mars dernier, est une sorte de « meta-sandbox » qui permet d’automatiser l’analyse d’échantillons malveillants. Les indicateurs qu’il génère sont remontés à Yeti. De son côté, FIR est la plateforme de gestion des incidents de sécurité de la banque, ouverte au public sur GitHub en juillet 2015.

Ceci dit, Yeti a vocation à s’inscrire dans un écosystème bien plus vaste. Des travaux sont en cours pour intégrer des capacités comparables à celles que peut fournir l’intégration avec Fame. La plateforme peut aussi s’alimenter auprès de MISP, une plateforme de partage ouverte de renseignements sur les menaces. A charge, ensuite, aux analystes d’utiliser Yeti pour l’enrichissement des indicateurs collectés en lien avec les observables internes.

Thomas Chopitea est également en contact avec les équipes du projet de plateforme de gestion des incidents The Hive. Il s’intéresse en particulier à son analyseur Cortex pour lui déléguer certaines tâches d’analyse des indicateurs observés.

Des représentations graphiques efficaces

Dernière apport de Yeti, des capacités de représentation graphique qui rappellent ce que propose, par exemple, l’outil bien connu Maltego, mais directement dans le navigateur Web, sans recours à Java.

L’idée est de permettre de présenter des représentations graphiques pour échanger avec d’autres acteurs concernés, analystes ou non, mais aussi de repérer plus aisément des liens entre indicateurs étudiés. Le tout en pouvant demander à la volée des enrichissements sur les nœuds représentés.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)