Feuille de route stratégique

Première version de la plateforme

Publication du code source

La première version d'OpenCTI a été créée pour permettre aux organisations de capitaliser et de visualiser simplement leur connaissance de la cybermenace. Des premières fonctionnalités basiques ont été implémentées pour modéliser cette connaissance (schéma hypergraphe) et la modifier au travers des rapports. Toutes les vues permettant de parcourir et de pivoter autour de cette connaissance ont été développées.

Stabilisation et documentation

Bienvenue aux nouveaux utilisateurs !

La première priorité des version mineures qui suivent la publication du code source est de stabiliser les fonctionnalités basiques et de permettre aux nouveaux utilisateurs de s'approprier le schéma de connaissance et l'implémentation du modèle hypergraphe grâce à une documentation complète et une instance de démonstration pleine de données. Il s'agit aussi d'expliquer la vision à long terme de la plateforme.

Capacités d'intégration

Architecture des connecteurs

A court terme, la priorité est de terminer le développement de la nouvelle architecture liée aux connecteurs car ils sont la pierre angulaire de l'acquisition des données. Elle permettra de véritablement contrôler l'exécution des connecteurs, de fournir une visualisation exacte de l'état des importations en cours et des éventuelles erreurs, d'accélérer le développement de nouveaux connecteurs par la communauté.

Fonctionnalités d'import/export

Gestion des données

Afin de compléter les possibilités offertes aux utilisateurs pour gérer leurs données, la priorité suivante est de terminer toutes les fonctionnalités liées à l'import et à l'export des informations. A minima, les formats STIX 2 et CSV seront pleinement gérés dans les deux sens. L'importation et l'exportation des données doit être asynchrone et utiliser les processus en arrière-plan dédiés à cette tâche, puis stocker les fichiers dans une base de données compatible S3 prévue à cet effet.

Enrichissement des données

Complétion automatique des informations

Une fois les données présentes dans la plateforme, renseignées soit automatiquement soit directement par des analystes, une gamme de connecteurs spécifiques dits ``d'enrichissement`` doivent permettre d'enrichir ces données de manière automatique. L'un des premiers sera celui qui permettra d'agir sur les observables au travers de CORTEX mais d'autres permettront d'enrichir les vulnérabilités, les outils, et d'autres entités disponibles.

Affichage complet de la modélisation

Relations vers des relations

A l'heure actuelle, le modèle hypergraphe implémenté n'est pas pleinement représenté au sein de la plateforme, dans les rapports comme dans les pivots entre les entitiés. Seules les relations entre les entités sont affichées, et les relations vers les relations sont souvent directement intégrées comme des éléments d'une relation. La plateforme doit prendre en compte les relations vers les relations tel qu'implémenté dans le modèle.

Analyse et visualisation avancées

Widgets dynamiques et tableaux de bord

Les données primaires et l'enrichissement associé peuvent être parcourus grâce aux fonctionnalités basiques de la plateforme. A moyen terme, l'une des priorités de développement sera de proposer des fonctionnalités avancées d'analyse et de visualisation au travers de widgets dynamiques et de tableaux de bord personnalisés. Cela permettra de superviser certaines menaces ou certaines entités de la plateforme ou de les comparer entre elles.

Niveaux multiples de capitalisation

Détails des informations techniques

La capitalisation des informations au sein d'un rapport pourrait être qualifiée de stratégique et de tactique dans la version actuelle (victimologie, techniques/codes malveillants utilisés, etc.). Il est prévu d'introduire au sein de toutes sections de la plateforme des niveaux plus de capitalisation plus détaillés, permettant par exemple de représenter les actions d'un attaquant dans un système d'information et les observables associés.

Graphe d'investigation

Représentation entités-relations

Toutes les données de la plateforme sont pleinement intégrées à un modèle entités-relations qui peut être parcouru de proche en proche ou via des recherches spécifiques. Un moteur d'exploration représenté en mode graphe sera développé pour permettre des investigations et des représentations inédites, avec la possibilité d'effectuer des recherches de patterns de manière graphique et intuitive. Les analystes pourront organiser ces investigations en espaces de travail en fonction de leur besoin.

Moteur de corrélation

Algorithmes de parcours de graphe

La plateforme repose sur une base de données hypergraphe qui embarque des algorithmes de parcours de graphe afin de détecter des clusters, calculer les plus courts chemin ou la centralité d'une entité dans un sous-ensemble plus large. De l'observable jusqu'à l'acteur stratégique en passant par l'enrichissement de chacune des entités, les fonctionnalités seront utilisées afin de proposer des capacités de corrélation avancées.