Feuille de route stratégique

Première version de la plateforme

Objectif : Publication du code source

La première version d'OpenCTI a été créée pour permettre aux organisations de capitaliser et de visualiser simplement leur connaissance de la cybermenace. Des premières fonctionnalités basiques ont été implémentées pour modéliser cette connaissance (schéma hypergraphe) en se basant sur les rapports entrés dans la plateforme. Différentes visualisations ont été développées pour permettre de parcourir et de pivoter autour de cette connaissance ont été développées.

Stabilisation et documentation

Objectif : Accueil les nouveaux utilisateurs

La première priorité des version mineures qui ont suivi la publication du code source a été de stabiliser les fonctionnalités basiques. L’objectif actuel est de permettre aux nouveaux utilisateurs de s'approprier le schéma de connaissance et l'implémentation du modèle hypergraphe grâce à une documentation complète et une instance de démonstration peuplée par des données. Il s'agit aussi d'expliquer la vision à long terme de la plateforme.

Capacités d'intégration

Objectif : Développement de l'architecture des connecteurs

A court terme, la priorité est de terminer le développement de la nouvelle architecture liée aux connecteurs car ils sont la pierre angulaire de l'acquisition des données. Elle permettra de véritablement contrôler l'exécution des connecteurs, de fournir une visualisation exacte de l'état des importations en cours et des éventuelles erreurs et d'accélérer le développement de nouveaux connecteurs par la communauté.

Fonctionnalités d'import/export

Objectif : Amélioration de la gestion des données

Afin de compléter les possibilités offertes aux utilisateurs pour gérer leurs données, la priorité suivante sera de terminer toutes les fonctionnalités liées à l'import et à l'export des informations. A minima, les formats STIX 2 et CSV seront pleinement gérés dans les deux sens. L'importation et l'exportation des données doit être asynchrone et utiliser les processus en arrière-plan dédiés à cette tâche, puis stocker les fichiers dans une base de données compatible S3 prévue à cet effet.

Enrichissement des données

Objectif : Enrichissement automatique des informations

Une fois les données importées dans la plateforme, soit automatiquement soit directement par des analystes, une gamme de connecteurs spécifiques dits d'enrichissement doivent permettre d'enrichir ces données de manière automatique. L'un des premiers sera celui qui permettra d'agir sur les observables au travers de CORTEX, mais d'autres permettront d'enrichir les vulnérabilités, les outils, et d'autres entités disponibles.

Affichage complet de la modélisation

Objectif : Affichage des relations vers des relations

A l'heure actuelle, le modèle hypergraphe implémenté n'est pas pleinement exploité au sein de la plateforme, dans les rapports comme dans les pivots entre les entitiés. Seules les relations entre les entités sont affichées, et les relations vers les relations sont souvent directement intégrées comme des éléments d'une relation. La plateforme devra prendre en compte les relations vers les relations tel qu'implémenté dans le modèle.

Analyse et visualisation avancées

Objectif : Développer les widgets dynamiques et les tableaux de bord

Les données primaires et l'enrichissement associé peuvent être parcourus grâce aux fonctionnalités actuelles de la plateforme. A moyen terme, l'une des priorités de développement sera de proposer des fonctionnalités avancées d'analyse et de visualisation au travers de widgets dynamiques et de tableaux de bord personnalisés. Cela permettra de superviser certaines menaces ou certaines entités de la plateforme et de les comparer entre elles.

Niveaux multiples de capitalisation

Objectif : Ajout de niveaux d’analyse intermédaires

La capitalisation des informations au sein d'un rapport pourrait être qualifiée de stratégique et de tactique dans la version actuelle (victimologie, techniques/codes malveillants utilisés, etc.). Il est prévu d'introduire dans toutes sections de la plateforme des niveaux de capitalisation plus détaillés, permettant par exemple de représenter les actions d'un attaquant dans un système d'information et les observables associés.

Graphe d'investigation

Objectif : Mise en place d’un moteur d’exploration graphique

Toutes les données de la plateforme sont pleinement intégrées à un modèle entités-relations qui peut être parcouru de proche en proche ou via des recherches spécifiques. Un moteur d'exploration avec un affichage en mode graphe sera développé pour permettre des investigations et des représentations inédites, avec la possibilité d'effectuer des recherches de schémas récurrents de manière graphique et intuitive. Les analystes pourront organiser ces investigations en espaces de travail en fonction de leur besoin.

Moteur de corrélation

Objectif : Utilisation optimale des algorithmes de parcours de graphe

La plateforme repose sur une base de données hypergraphe qui embarque des algorithmes de parcours de graphe afin de détecter des clusters, calculer les chemins les plus courts ou la centralité d'une entité dans un sous-ensemble plus large. De l'observable jusqu'à l'acteur stratégique en passant par l'enrichissement de chacune des entités, les fonctionnalités seront utilisées afin de proposer des capacités de corrélation avancées.