Questions fréquemment posées

Q.Où puis-je obtenir de l’aide relativement à l’ajout critères de détection ou aux résultats des outils?

Réponse — Joignez-vous au groupe Slack de CanCyber. Un lien d’invitation est inclus dans le fichier support.txt qui accompagne les outils et les nouvelles sur le MISP.

Q.Qu’est-ce que CanCyber?

Réponse — CanCyber est un service innovateur et gratuit d’échange d’informations sur les menaces et de critères de détection de maliciels. Les critères de détection sont très utiles, mais la plupart des systèmes de TI n’ont pas été conçus pour intégrer ceux qui facilitent la détection des maliciels perfectionnés que les antivirus commerciaux sont incapables de détecter. Le fonctionnement de CanCyber est basé sur l’association de MISP, une solution libre d’échange d’informations sur les maliciels, et d’outils d’automatisation de la détection de maliciels de CanCyber mis au point pour Windows.

Q.Qui gère CanCyber?

Réponse — CanCyber inc. est une entreprise canadienne installée à Ottawa, en Ontario, qui a été constituée en vertu d’une loi fédérale. Son directeur général est David Walker.

Q.Qu’est-ce que MISP?

Réponse — MISP est une solution libre d’échange d’informations sur les maliciels (misp-project.org).

.

Q.Est-ce que CanCyber participe au projet MISP?

Réponse — CanCyber n’est pas partie prenante du projet officiel, mais elle envisage d’y intégrer certains de ses outils et de ses progiciels plus tard.

Q.Comment puis-je m’inscrire?

Réponse — CanCyber centre ses efforts sur les entreprises présentes au Canada. En général, une entreprise devient membre sur recommandation d’une autre déjà membre. Si votre entreprise est déjà membre, elle peut se porter garante d’une autre en envoyant le formulaire de contact ou un courriel.

Q.Est-ce que mon entreprise peut partager des informations seulement au sein d’un groupe industriel?

Réponse — Oui. MISP permet l’échange d’informations au sein de groupes de partage, par exemple un groupe industriel. Votre entreprise peut aussi choisir de partager ses informations avec tous les membres de CanCyber.

Q.Quels renseignements personnels sont communiqués aux autres utilisateurs?

Réponse — Seules les adresses de courriel sont visibles à l’occasion de la création d’un ensemble de critères de détection ou du choix d’un utilisateur.

Q.Quelle est la fonction de l’outil d’analyse de système local?

A. Réponse — L’OASL utilise Yara pour analyser le nom et le contenu des fichiers stockés sur disque et dans les mémoires (vives et cache de DNS) ainsi que les interfaces de connexion IP ouvertes. Les clés de la base de registre et les règles d’exclusions mutuelles (mutex) seront ajoutées plus tard. L’outil d’analyse de système local ne nécessite aucune installation, parce qu’il s’agit d’un programme C/C++ précompilé pour tourner en autonomie sous Windows.

Q.Puis-je ajouter mes propres critères de détection?

Réponse — Oui. Vous pouvez ajouter des ensembles de critères de détection réservés à votre organisation. Vous pouvez essayer la détection dans un système local avec vos propres critères de détection. Les signatures Yara ne sont pas automatiquement extraites de MISP. Étant donné que toute dérogation à une règle peut entraver le fonctionnement de l’ensemble du processus, CanCyber prend soin d’ajouter chaque règle manuellement. Veuillez communiquer avec CanCyber pour ajouter vos propres règles ou utiliser l’outil avec des signatures Yara locales précompilées.

Q.Qu’est-ce que Yara?

Réponse — Facile d’emploi, Yara est un puissant outil de classification de maliciels. Malgré le fait que les identifiants, les domaines et les adresses IP sont amenés à changer, les signatures Yara peuvent servir à repérer d’infimes variations dans l’évolution des nouveaux maliciels. Yara sur Github. Même en présence de compression ou d’un chiffrement compliqué, l’outil d’analyse de système local scrute la mémoire afin d’examiner le code non compressé pendant son fonctionnement.

Q.Puis-je automatiser le déploiement de l’outil d’analyse de système local dans mon réseau?

Réponse — Oui. Les utilisateurs peuvent déployer un exécutable dans le domaine de différentes façons. Si vous avez des questions (ou des exemples de réussite), veuillez communiquer avec CanCyber.

Q.Quels résultats sont retournés au site de CanCyber?

Réponse — Le fichier JSON renfermant les résultats est envoyé au site CanCyber. Il contient des identifiants et des métadonnées liés aux résultats ainsi que le contenu de tous les fichiers correspondants inférieurs à 10 Mo.

Q.Comment les signatures et les critères de détection sont-ils exportés?

Réponse — La clé API d’un outil provisoire est utilisée pour consulter seulement les critères de détection de MISP auxquels vous avez accès, selon les droits associés à votre compte.

Q.Qu’en est-il de la détection de maliciels dans les réseaux?

Réponse — Un module de surveillance de réseau de CanCyber est maintenant disponible. Il télécharge de nouveaux critères de détection toutes les six heures, tandis que les anciens expirent au bout de dix heures. Seuls certains critères de détection, tels que les adresses IP, les domaines, les identifiants, les adresses de courriel et les URL, sont utilisés. Le partage de signatures basées sur le contenu, tel le contenu de balises, est encore en cours de développement. Le module Bro ne partage pas le contenu des paquets, seulement leurs en-têtes les métadonnées).

Q.Pourquoi l’entreprise CanCyber existe-t-elle?

Réponse — CanCyber est d’avis que toute entreprise et tout particulier visés par des activités de cyberespionnage parrainées par des pays étrangers devrait avoir accès gratuitement à des informations sur les menaces persistantes avancées. Pour offrir ce service, CanCyber utilise des logiciels libres gratuits et compte sur ses membres pour échanger des informations provenant d’incidents ou de rapports de sources ouvertes, plutôt que d’avoir recours à de coûteux faisceaux d’informations sur les menaces.

Q.Qu’en est-il de l’atténuation des risques?

Réponse — CanCyber offre des services de partage d’informations sur les menaces et de détection de maliciels. Une fois les risques mis au jour, c’est à vous qu’il revient de décider du moment et de la façon de les atténuer. Cela dit, CanCyber recommande de consulter le Centre canadien de réponse aux incidents cybernétiques (CCRIC) pour obtenir des conseils sur la protection des systèmes et des réseaux informatiques. Pour obtenir des renseignements sur les stratégies d’atténuation, veuillez lire ce document du CCRIC.

Q.Est-ce que d’autres utilisateurs peuvent voir mes résultats d’analyse?

Réponse — Non. Seule votre organisation a accès à ses résultats d’analyse. L’accès au contenu, en tant qu’administrateur, de nos employés, notamment celui des développeurs, est surveillé, journalisé et vérifié régulièrement. Les résultats des analyses sont anonymisés avant d’être diffusés par MISP. En outre, seul le nombre de détections est communiqué aux membres de votre organisation. De même, le propriétaire d’un ensemble de critères de détection n’a accès qu’au total des détections pour toutes les organisations participantes.

Q.Où vos données sont-elles stockées?

Réponse — Dans la mesure du possible, toutes les données de CanCyber sont stockées dans les centres de données d’Amazon inc. à Montréal (au Québec).

Q.Combien coûtent l’accès et les outils?

Réponse — C’est gratuit. Maintenant et pour toujours. CanCyber appartient à des chercheurs passionnés du domaine de la sécurité dont le seul objectif est d’aider les utilisateurs — non de s’enrichir. Étant donné que ses frais de fonctionnement sont faibles, CanCyber ne demande aucun financement et aucun don. Vos données ne seront jamais vendues.

Q.Où est l’attrape?

Réponse — Étant donné que CanCyber est fondé sur une communauté, la seule chose qui vous est demandée est, dans la mesure du possible, de communiquer des informations sur les menaces et des critères de détection aux autres membres. Si vous le souhaitez, CanCyber peut anonymiser vos données et les publier en son nom.

Q.Puis-je vous envoyer un fichier aux fins d’analyse (contenant une menace persistante avancée, un mécanisme d’hameçonnage ou un maliciel) et obtenir de l’aide concernant une signature Yara?

Réponse — Oui. Veuillez utiliser le lien situé au haut de la page pour téléverser votre fichier et indiquer vos besoins. Les services d’analyse sont gratuits.

Q.À qui puis-je m’adresser pour signaler officiellement un cybercrime ou un cas de menace persistante avancée?

Réponse — En cas d’infraction pénale, veuillez avertir le service de police local ou la GRC. Si la sécurité nationale est compromise, adressez-vous au Service canadien du renseignement de sécurité.

Q.Pouvez-vous recommander un fournisseur de services d’analyse ou de protection du matériel?

Réponse — Étant donné que CanCyber inc. est une entreprise neutre, elle n’est pas en mesure de recommander un fournisseur. Veuillez vous adresser à votre principal fournisseur pour obtenir des conseils éclairés, un plan d’atténuation des risques et des pratiques exemplaires pour renforcer la sécurité après un incident.

Nous sommes là pour vous aider

Renseignements utilisables

Nous joindre