Journal Référentiels de sécurité sur MOSP

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
1
26
mar.
2019

Voici quelques référentiels de sécurité (contrôles) utilisables dans l'application MONARC ainsi que les mappings correspondant.

À quoi cela peut servir? Voici un bref aperçu.

Les référentiels peuvent être édités assez facilement comme des objets JSON grâce à un formulaire Web. Le formulaire est généré via un schéma JSON. De manière à avoir des objets valides.
Voici un exemple d'objet un peu plus complexe.
Il est également possible d'exporter un objet au format CSV (grâce à la librairie Papa Parse). Le format CSV est un peu plus utilisé chez les utilisateurs d'applications comme MONARC.

Si vous êtes curieux, voici le résultat lorsque un mapping est importé dans MONARC.

Il est aussi possible d'utiliser l'API afin de faire des requêtes et de créer de nouveaux objets toujours validé par des schémas (ceci en utilisant la librairie Python jsonschema).
La prochaine version de MONARC pourra directement utiliser l'API de MOSP afin de charger de nouveaux référentiels (et autres types d'objets).
Un des objectifs est de permettre à la communauté d'utilisateurs de MONARC de partager des objets.

Évidemment MOSP est sous licence AGPL et est écrit en Python.

  • # Rien compris

    Posté par  . Évalué à 10.

    ça doit être bien, mais j'ai rien compris…

    ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

    • [^] # Re: Rien compris

      Posté par  (site web personnel, Mastodon) . Évalué à -1. Dernière modification le 27 mars 2019 à 09:21.

      En bref, MOSP est un éditeur dont un est des objectifs est de partager des objets JSON. Ici liés à la sécurité (référentiel de contrôle NIST, ISO/IEC 27002, etc.).
      L'éditeur est généré automatiquement en se basant sur un schéma. Exemple:
      https://objects.monarc.lu/schema/view/12
      pour les objets de ce type:
      https://objects.monarc.lu/schema/12

      Et ces objets sont utilisables dans différents outils.

      Dans les référentiels de l'outil MONARC:
      https://www.monarc.lu/assets/images/posts/MONARCv2.8-Referentials.png#center

      Et aussi utilisables dans MISP (https://misp-project.org) avec, par exemple, ces objets:
      https://objects.monarc.lu/schema/3
      Ceci nous permet d'usiter la taxonomie "Threats" de MONARC sur des IOC (Indicator of compromise) dans MISP.

      C'est mieux?  ;-)

      • [^] # Re: Rien compris

        Posté par  . Évalué à 8.

        Non toujours pas désolé. Tu as ici des gens qui ne viennent pas de ton monde, qui ne sont pas expert NIST ou MONARC donc expliquer les termes et les besoins (et pas juste le "quoi" de la bidouille de json/schéma) pourrait être utile à la bonne compréhension de ton message.

        • [^] # Re: Rien compris

          Posté par  (site web personnel, Mastodon) . Évalué à 5.

          MONARC est utilisée pour effectuer des analyses de sécurité (ou effectuer un DPIA - Data Protection Impact Assessments). Le logiciel utilise dans sa base de données différents types d'objets (par exemple: threats, vulnerabilities, assets). Ces objets de base permettent de travailler sur un un projet dans MONARC (un analyse de risque 27002 - je ne vais pas m'étendre sur cet aspect).

          Jusqu'à présent les données étaient fournies avec le logiciel MONARC. Dans le logiciel une interface permet l'édition de la base (création de nouveaux objets, éditions, etc.) si besoin pour de nouvelles analyses.
          Ceci était manuel. Et pas pratique pour le partager.
          Car par exemple des personnes vont créer un nouveau référentiel type NIST (des mesures de sécurité) pour une analyse. Ce nouveau référentiel personnalisé peut intéressé d'autres personnes qui utilisent MONARC.
          D'où l'idée d'avoir une plateforme, MOSP, permettant la création de nouveaux objets valides. Pour, mais pas que, MONARC.

          Et bientôt, MONARC pourra directement récupérer de nouveaux objets via l'API de MOSP. Ce qui évite à un utilisateur d'exporter un JSONsur MOSP, puis d'importer dans MONARC.

          Mais avec ce billet je voulais surtout présenter MOSP et ne pas m'étendre sur le métier (analyse de sécurité). MOSP est un outil générique, qui sera je l’espère utilisable dans d'autres contextes.

      • [^] # Re: Rien compris

        Posté par  (site web personnel) . Évalué à 8.

        Ça doit forcément parler à plusieurs spécialistes, dont certains visiteurs réguliers. Mais pour le commun des mortels ça reste difficilement déchiffrable.

        Un exemple : Pour moi l'acronyme NIST désigne le National Institut of Standards and Technology des USA, ce que j'associe par exemple aux tables de mesures des niveaux radiatifs des ions, ou à des publications de métrologie mesurant des constantes physiques plus communes. Visiblement dans le contexte de votre journal, il s'agit soit d'un tout autre domaine d'activité de la même institution qui en a probablement une palanqué d'autres, soit d'un autre usage des même lettres.
        Conclusion de l'exemple : les acronymes c'est pratique dans l'entre-soi, mais cela confine quasi immédiatement au jargon. Tous les amis de N'Al n'étant pas des spécialistes de la sécurité — il semble que ce soit le thème de votre journal ? — une communication à destination d'un plus large public demanderait à minima de les expliciter.

        Plus généralement, faire comprendre à quelqu'un de largement ignorant relève d'un exercice de didactique et non de résumé. Les deux étant largement incompatibles, la première requérant généralement moult répétitions quand le second impose de les éviter. En commençant pas « En bref… » vous étiez quasiment certains de partir dans la mauvaise direction. Désolé.

        « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

        • [^] # Re: Rien compris

          Posté par  (site web personnel, Mastodon) . Évalué à 2. Dernière modification le 27 mars 2019 à 10:50.

          J'ai vraiment mal orienté ce billet. Le titre est mauvais aussi.

          Le but était de parler de MOSP: des objets JSON que l'on peut éditer et partager. Ainsi que de l'édition via les schémas JSON.
          Actuellement MONARC est un des logiciels qui bénéficient de MOSP. Dans le domaine de la sécurité, en effet.
          La où NIST intervient, c'est dans les standards. Mais je ne vais pas insister sur ceci. Le fait est que dans MOSP nous avons maintenant quelques standards au format JSON qu'il est possible d'éditer, forker, partager, etc. Ceci en passant par l'éditeur Web ou par l'API (toujours en étant assuré du bon format de l'objet).

          L'instance objects.monarc.lu de MOSP est dédiée aux objets liés à la sécurité. Ce qui m'intéresse pour des usages liés avec MONARC.
          Je n'exclue pas dans l'avenir de déployer une seconde instance initialisée avec d'autres schémas JSON. Pour partager d'autres types d'objets. Une des raisons pour laquelle il est très facile à déployer (surtout sur Heroku, voir le README).

          • [^] # Re: Rien compris

            Posté par  (site web personnel) . Évalué à 3. Dernière modification le 27 mars 2019 à 11:00.

            On ne progresse guère. L'essentiel de ce que je peux inférer de cette troisième explication apparaissait déjà dans le journal et la seconde. Si vous souhaitez vraiment être compris du plus grand nombre (ça semble le cas) voici une petite recette :
            « Laisser reposer le texte quelques temps, parfois une heure suffit.
            Le relire posément, en se posant la question : les membres de ma famille/proches ne travaillant/étudiant pas dans mon domaine d'activité/d'étude sauraient-ils comprendre ce dont je parle sans s'aider d'au moins une requête à un moteur de recherche ?
            Réitérer la procédure jusqu'à ce que la réponse à la question précédente soit assurément positive. »

            « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

            • [^] # Re: Rien compris

              Posté par  (site web personnel, Mastodon) . Évalué à 3.

              On ne progresse guère. L'essentiel de ce que je peux inférer de cette troisième explication apparaissait déjà dans le journal et la seconde.

              Si mon précédent commentaire permet de comprendre la même chose que le billet, c'est "pratiquement" ce que je voulais.
              Et donc LinuxFr n'est certainement pas le bon endroit pour mon billet. Tant pis pour moi. Je ne voulais pas expliquer ce cas d'usage de MOSP (quitte à perdre des lecteurs). Sinon j'aurai je pense fait un billet sur MONARC. J'ai trop insisté sur l'aspect sécurité certainement parce qu'il s'agit actuellement du seul qui se trouve être utile pour moi.
              J'aurai aimé avoir des retours sur l'idée, avoir des suggestions, etc.

              • [^] # Re: Rien compris

                Posté par  (site web personnel) . Évalué à 6.

                Mais non!
                Reste avec nous!

                C'est intéressant, mais les profanes comme moi restent sur leur faim.
                L'informatique c'est vaste, on ne peut pas tout savoir ni tout comprendre en quelques mots.
                On dépend beaucoup de tes explications pour comprendre de quoi il s'agit.

                Un journal sur MONARC? Cool!

                Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

              • [^] # Re: Rien compris

                Posté par  . Évalué à 2.

                Donc si j'ai bien compris on a un serveur web qui fournit des json et les valide (jsonschema). Rien de bien transcendant. Si quelqu'un pouvait m'expliquer à quoi sert jsonschema je suis preneur. Je suis loin d'être un grand fan de XML mais quite à parler de schéma je préfère un XSD (et son riche écosystèmes d éditeur) que du jsonschema.

                • [^] # Re: Rien compris

                  Posté par  (site web personnel, Mastodon) . Évalué à 1.

                  Au début une instance de MOSP propose des schémas JSON. Par la suite il est possible de créer des organisations (composées d'utilisateurs) qui utilisent ces schémas et fournissent de nouveaux schémas (si l'instance en question accepte ceci).

                  Les schémas sont toujours publics. Le but est que un utilisateur puisse sélectionner un schéma (qui définit un type d'objet, exemples métier https://github.com/MISP/misp-objects/tree/master/objects , désolé…). La sélection du schéma va générer un formulaire pour créer l'objet. Jusque là pas besoin de jsonschema.
                  Et il pourra créer ce schéma pour l'une des organisations dont il est membre. Ou simplement forker un schéma.

                  Mais tout ceci est aussi faisable via l'API. C'est la que jsonschema intervient. Pour la validation de ce qui arrive par l'API:
                  https://www.monarc.lu/documentation/MOSP-documentation/#creating-a-new-object-2
                  (même si normalement le client, par exemple MONARC, est sensé envoyer des données bien formés…)

                  Une autre solution que nous utilisons depuis longtemps est GitHub + Travis:
                  https://github.com/MISP/misp-objects/blob/master/validate_all.sh#L29
                  C'est disons un peu plus rude pour les utilisateurs de logiciels comme MONARC qui préféreront une interface un plus sympa.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.