Discussion :

[Arsene Newman]

Mozilla lance le projet MozDef
une plateforme d’autodéfense contre les attaques

Nombreux sont les projets sur lesquels travaille Mozilla, allant du navigateur web au client de messagerie en passant par l’OS mobile. Toutefois, le dernier en date semble être sorti des sentiers battus. Baptisé MozDef, il s’agit d’une plateforme de défense automatique ou plus précisément d’un SIEM (System Information Event Management).

Pour mieux comprendre les motivations derrière MozDef, une lecture rapide sur le site web du projet révèle ce qui suit : « l’inspiration pour MozDef tient sa source depuis le large arsenal d’outils disponibles pour les attaquants. Des suites comme Metasploit, Armitage, Lair, Dradis et d’autres sont disponibles pour aider les attaquants à coordonner, partager les renseignements et enfin peaufiner leurs attaques en temps réel. Or, force est de constater que de l’autre côté les utilisateurs et les professionnels se cantonnent à utiliser les systèmes de gestion de tickets et à traquer manuellement tout signe révélateur sur les bases de données des systèmes SIEM. »

Ainsi avec ce bref aperçu, MozDef se veut un système automatique de rapport d’incidents et de gestion des évènements avec comme principaux objectifs : munir les utilisateurs et les professionnels d’une plateforme pour la découverte et le traitement rapide des attaques, faciliter la collaboration et le travail en temps réel sur les différents évènements observés, automatiser l’interfaçage avec certains systèmes comme Bunker, Banhammer et Mig.

Les développeurs du projet ont d’ores et déjà déterminé certaines caractéristiques techniques comme le recourt exclusif au format JSON, l’accès de l’utilisateur à ses données, l’intégration avec de nombreux outils de logs comme Heka, LogStash, Beaver, Nxlog ou tout autre outil capable d’envoyer des données au format JSON à un terminal HTTP ou de type Rabbit-MQ, l’utilisation de plug-ins sous python pour faciliter le traitement des données et enfin l’accès en temps réel aux équipes de sécurité.

Côté architecture, MozDef sera basé sur différentes technologies open source comme :

• Nginx : pour les logs en entrée
• Rabbit-MQ : pour la gestion des files d’attente des messages
• bottle.py : interface python pour le traitement des requêtes web
• Elastic Search : moteur de recherche de documents JSON
• Meteor : framework Javascript
• VERIS : pour la taxonomie des évènements observés
• Ainsi que Mongo DB, d3(librairie JavaScript), three.js (librairie 3D Javascript) et Firefox.

Le projet étant encore à ses balbutiements, aucune date de sortie n’a été annoncée. Quant au code source, il peut être consulté librement sur GitHub.

Source : MozDef

Et vous ?

Qu’en pensez-vous ?

[Gecko]

Ce projet semble prometteur, le seul hic c'est que les sociétés ont du mal a faire confiance aux services externes pour la sécurité de leur parc. Du coup le projet risque d'avoir un impact limité.

Par contre si les entreprises jouent le jeu ça pourrait devenir un outil incontournable pour les sysadmin

[Traroth2]

Sacré mélange de technologies : des applications écrites en C++, en Python, en Java, en Javascript... Ça ne va pas être facile à maitriser.

[SylvainPV]

Que vient faire three.js dans un outil de sécurité ? Ils veulent planquer un DOOM-like en easter-egg dedans ?