Les objets MISP et comment nous changeons le paysage du partage d’informations de Sécurité

Intervenant(s) : Raphaël Vinot

  • Langue : Anglais
  • Niveau : Confirmé
  • Type d'événement : Conférence
  • Date : Mercredi 5 juillet 2017
  • Horaire : 15h20
  • Durée : 40 minutes
  • Lieu : Salle A 016 Sécurité

Vidéo : https://rmll.ubicast.tv/videos/misp_62782/

Public cible : GeeksProfessionnels

De nombreuses organisations ont reconnu l’importance des indicateurs de compromission (un hash de binaires de malwares, urls, adresses bitcoin ...) et ont réalisé combien il est important de les stocker et de les partager.
C’est pourquoi, désormais, la plupart des vendeurs de solutions de Sécurité sont sur le sujet et essaient de fournir à leurs clients la meilleure fonctionnalité. La grande majorité des plateformes sont des logiciels propriétaires, stockent toutes les données dans le cloud, utilisent des formats propriétaires et sont difficiles à intégrer dans une architecture existante sans modifier les workflows.

Au cours de cette conférence, nous verrons comment nous pouvons normaliser ce paysage et comment permettre aux utilisateurs (analystes sécurité) de venir avec leurs propres indicateurs afin qu’ils puissent en tirer un maximum de profit.

Cette conférence sera la suite de celle qui a été donnée à Troopers 17 : https://www.troopers.de/troopers17/talks/774-graph-me-im-famous-automated-static-malware-analysis-and-indicator-extraction-for-binaries/ .

Mais elle se concentra plus sur l’implémentation et comment les chercheurs en Sécurité avec état d’esprit de développeur peuvent contribuer et améliorer le projet.

Raphaël Vinot
Raphaël est un opérateur de CERT au CIRCL, le CERT pour le secteur privé, les communes et les entités non gouvernementales au Luxembourg. Son activité principale est de développer ou de participer au développement d’outils pour améliorer ou faciliter les capacités de réponse à incidents du CSIRT auxquel il appartient mais aussi celles des autres équipes effectuant le même type de travail. Une autre part importante de ses activités est d’assurer l’administration de la plus importante instance de MISP en Europe, regroupant plus de 150 entreprises, 400 utilisateurs et plus de 250 000 attributs. Cette instance est la source de données utilisée pour ce projet de recherche.

titre documents joints

Slides (PDF - 3.8 Mo)