Feuille de route stratégique

Gestion des connaissances

T3 2019 : Organisation des connaissances de la cybermenace

La première version d'OpenCTI a été créée pour permettre aux organisations de capitaliser et de visualiser simplement leur connaissance de la cybermenace. Des premières fonctionnalités basiques ont été implémentées pour modéliser cette connaissance (schéma hypergraphe) en se basant sur les rapports entrés dans la plateforme. Différentes visualisations ont été développées pour permettre de parcourir et de pivoter autour de cette connaissance ont été développées.

Stabilisation et documentation

T3 2019 : Accueil les nouveaux utilisateurs

La première priorité des version mineures qui ont suivi la publication du code source a été de stabiliser les fonctionnalités basiques. L’objectif actuel est de permettre aux nouveaux utilisateurs de s'approprier le schéma de connaissance et l'implémentation du modèle hypergraphe grâce à une documentation complète et une instance de démonstration peuplée par des données. Il s'agit aussi d'expliquer la vision à long terme de la plateforme.

Capacités d'intégration

T4 2019 : Développement de l'architecture des connecteurs

A court terme, la priorité est de terminer le développement de la nouvelle architecture liée aux connecteurs car ils sont la pierre angulaire de l'acquisition des données. Elle permettra de véritablement contrôler l'exécution des connecteurs, de fournir une visualisation exacte de l'état des importations en cours et des éventuelles erreurs et d'accélérer le développement de nouveaux connecteurs par la communauté.

Fonctionnalités d'import/export

T4 2019 : Amélioration de la gestion des données

Afin de compléter les possibilités offertes aux utilisateurs pour gérer leurs données, la priorité suivante sera de terminer toutes les fonctionnalités liées à l'import et à l'export des informations. A minima, les formats STIX 2 et CSV seront pleinement gérés dans les deux sens. L'importation et l'exportation des données doit être asynchrone et utiliser les processus en arrière-plan dédiés à cette tâche, puis stocker les fichiers dans une base de données compatible S3 prévue à cet effet.

Enrichissement des données

T1 2020 : Enrichissement automatique des informations

Une fois les données importées dans la plateforme, soit automatiquement soit directement par des analystes, une gamme de connecteurs spécifiques dits d'enrichissement doivent permettre d'enrichir ces données de manière automatique. L'un des premiers sera celui qui permettra d'agir sur les observables au travers de CORTEX, mais d'autres permettront d'enrichir les vulnérabilités, les outils, et d'autres entités disponibles.

Affichage complet de la modélisation

T1 2020 : Affichage des relations vers des relations

A l'heure actuelle, le modèle hypergraphe implémenté n'est pas pleinement exploité au sein de la plateforme, dans les rapports comme dans les pivots entre les entitiés. Seules les relations entre les entités sont affichées, et les relations vers les relations sont souvent directement intégrées comme des éléments d'une relation. La plateforme devra prendre en compte les relations vers les relations tel qu'implémenté dans le modèle.

Tests d'intégration et de performances

T2 2020 : Usage professionnel et participation de la communauté

Les évolutions de la plateforme étant rapides, il est impératif que la plateforme dispose d'une couverture de tests d'intégration et de performance la plus complète possible. Cela permettra de stabiliser les méthodes de l'API, les libraries clients et de comparer les performances notamment d'ingestion des données d'une version à l'autre.

Travail collaboratif et traçabilité

T2 2020 : Historique des entités, collaboration et notifications

De nombreux connecteurs permettent d'ingérer ou de modifier des données automatiquement dans la plateforme. Les utilisateurs peuvent également capitaliser des informations à travers l'interface web. Les entités et les relations doivent donc avoir un historique clair de modification et les contenus modifiés manuellement mis correctement en valeur. Ces journaux techniques seront complétés par des journaux fonctionnels en tant que première brique des fonctionnalités de collaboration : commentaires, assignation, notifications, etc.

Supervision de la plateforme

Objectif : Suivre l'avancement et l'état des données

De nombreuses informations sont envoyées à travers les connecteurs vers la plateforme pour écriture. Il est très difficile pour l'utilisateur de connaître l'état exact des données qui ont été correctement créées/modifiées. Il s'agit à la fois de permettre aux analystes de suivre l'ingestion de nouvelles informations dans la plateforme mais également de détecter les duplicats, de purger certaines données et de visualiser clairement l'état de la plateforme.

Analyse et visualisation avancées

Objectif : Développer les widgets dynamiques et les tableaux de bord

Les données primaires et l'enrichissement associé peuvent être parcourus grâce aux fonctionnalités actuelles de la plateforme. A moyen terme, l'une des priorités de développement sera de proposer des fonctionnalités avancées d'analyse et de visualisation au travers de widgets dynamiques et de tableaux de bord personnalisés. Cela permettra de superviser certaines menaces ou certaines entités de la plateforme et de les comparer entre elles.

Intégration avec les dispositifs de détection et les SIEM

Objectif : Intéraction de la plateforme avec EDR / IPS / SIEM

Une fois les fonctionnalités de gestion des connaissances et de travail collaboratif (notifications, assignation, historique, etc.) seront implémentées, OpenCTI devra s'intégrer pleinement avec l'écosystème de cybersécurité opérationnelle d'une organisation. Cela couvrira à la fois la consommation d'observable et d'indicateurs par les dispositifs de détection et de hunting mais également le capacité de la plateforme à ingérer des informations comme le nombre de faux positifs, les observations, etc.

Niveaux multiples de capitalisation

Objectif : Ajout de niveaux d’analyse intermédaires

La capitalisation des informations au sein d'un rapport pourrait être qualifiée de stratégique et de tactique dans la version actuelle (victimologie, techniques/codes malveillants utilisés, etc.). Il est prévu d'introduire dans toutes sections de la plateforme des niveaux de capitalisation plus détaillés, permettant par exemple de représenter les actions d'un attaquant dans un système d'information et les observables associés.

Synchronisation inter-platformes

Objectif : Interconnexion de plusieurs instances OpenCTI

Les fonctionnalités d'import et d'export ainsi que les connecteurs permettent aujourd'hui de couvrir la plupart des besoins tant que la plateforme n'est pas massivement adoptée. Néanmoins, il semble nécessaire pour permettre aux organisations qui disposent d'OpenCTI de pouvoir les synchroniser selon des politiques de diffusion et de partage précises. En fonction du marquage et de communautés définis, plusieurs fonctionnalités de synchronisation permettront de partager plus facilement les données des plateformes.

Graphe d'investigation

Objectif : Mise en place d’un moteur d’exploration graphique

Toutes les données de la plateforme sont pleinement intégrées à un modèle entités-relations qui peut être parcouru de proche en proche ou via des recherches spécifiques. Un moteur d'exploration avec un affichage en mode graphe sera développé pour permettre des investigations et des représentations inédites, avec la possibilité d'effectuer des recherches de schémas récurrents de manière graphique et intuitive. Les analystes pourront organiser ces investigations en espaces de travail en fonction de leur besoin.

Ségrégation des données

Objectif : Gestion des droits sur les entités et les relations

L'implémentation des RBAC au sein de la plateforme a permis de différencier les rôles des utilisateurs et les droits de lecture, d'écriture et d'administration pour les différents types d'entités et de fonctionnalité de la plateforme. L'étape suivante est de permettre d'utiliser des groupes d'utilisateurs pour limiter les accès à certaines informations ayant un marquage particulier (un groupe TLP:RED, une groupe pour une opération particulière sur une victime précise, etc.).

Moteur de corrélation

Objectif : Utilisation optimale des algorithmes de parcours de graphe

La plateforme repose sur une base de données hypergraphe qui embarque des algorithmes de parcours de graphe afin de détecter des clusters, calculer les chemins les plus courts ou la centralité d'une entité dans un sous-ensemble plus large. De l'observable jusqu'à l'acteur stratégique en passant par l'enrichissement de chacune des entités, les fonctionnalités seront utilisées afin de proposer des capacités de corrélation avancées.