En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Plataforma para crear un SOC enfocado a compartir información de análisis de incidencias malware.

MISP (Malware Information Sharing Platform and Threat Sharing), es una solución de software de código abierto para: recoger, almacenar, distribuir y compartir indicadores de ciberseguridad sobre el análisis de los incidentes de seguridad y malware. MISP está diseñado por y para los analistas de incidentes, profesionales de la seguridad y analista de malware para apoyar sus operaciones del día a día y compartir informaciones estructuradas de manera eficiente. 


El objetivo del MISP es fomentar el intercambio de información estructurada dentro de la comunidad de seguridad de la información. MISP proporciona funcionalidades para apoyar el intercambio de información, sino también el consumo de la información  de sistemas de detección de intrusos (NIDS) y también conectarse herramientas de análisis tipo SIEM.

Las funcionalidades básicas de MISP son:

  • Una base de datos eficiente IOC y los indicadores que permite almacenar información técnica y no técnica sobre: muestras de malware, incidentes, los atacantes y la inteligencia.
  • Correlación automática entre los atributos e indicadores de malware, ataques o campañas de análisis.
  • Funcionalidad de compartir integrada para aliviar el intercambio de datos, modelos diferente de distribuciones. Puede sincronizar automáticamente los eventos y atributos entre los diferentes MISP. Se pueden utilizar funcionalidades avanzadas de filtrado para satisfacer cada política de organización e intercambio incluyendo, una capacidad de intercambio de grupo flexible y mecanismos de distribución con alto nivel de atributo.
  • Una interfaz de usuario intuitiva para que los usuarios finales puedan: crear, actualizar y colaborar en eventos, atributos y indicadores.
  • Una interfaz gráfica para navegar sin problemas entre los acontecimientos y sus correlaciones. Funcionalidades avanzadas de filtrado y lista de advertencias para ayudar a los analistas a contribuir.
  • Permite almacenar datos en un formato estructurado (que permite el uso automatizado de la base de datos para diversos fines) con un amplio apoyo de los indicadores de ciberseguridad a lo largo de los indicadores de fraude como en el sector financiero.
  • Soporta la exportación de datos a: IDS, OpenIOC, texto plano, CSV,  MISP XML o salida JSON para integrarse con otros sistemas (IDS de red, ID de host o herramientas personalizadas)
  • Importación masiva con lotes de importación: OpenIOC, GFI sandbox y ThreatConnect CSV.
  • Herramienta importación  en modo texto, flexible para facilitar la integración de los informes no estructurados en MISP.
  • Un sistema ligero para colaborar en eventos y atributos que permiten a los usuarios del MISP proponer cambios o actualizaciones de atributos y indicadores.
  • Intercambio de datos y la sincronización automática con otros grupos de confianza que utilizan MISP.
  • Permite un mecanismo de anonimato simple para distribuir las publicaciones de eventos e indicadores a otras organizaciónes.
  • Una API flexible para integrar MISP con otras soluciones. Incluye  PyMISP que es una biblioteca de Python flexible para: buscar, añadir o actualizar los atributos de eventos y manejar muestras de malware.
  • Taxonomía ajustable para clasificar eventos y etiquetas con esquemas propios de clasificación o clasificación existente . La taxonomía puede ser local en el MISP sino que también se puede compartir entre instancias de MISP.
  • Con módulos de expansión en Python para ampliar los servicios de MISP.
  •  Soporte para obtener observaciones de las organizaciones en relación con los indicadores y atributos compartidos. Contribuyendo a través de la interfaz de usuario MISP o documentos STIX.
  • Permite exportar datos en el formato STIX (XML y JSON).
  • Permite Cifrado y firma de las notificaciones a través de PGP y S/MIME en función de las preferencias del usuario. 

El intercambio de información se traduce en una detección más rápida de los ataques  y mejora el ratio de detección al tiempo que reduce los falsos positivos. También evitamos el malware similar al que otros equipos o organizaciones que ya lo analizaran y añadieran información en MISP. Otro beneficio es el de reforzar la inteligencia de nuestros IDS.

Mas información y descarga de MISP:
https://github.com/MISP/MISP
Plataforma para crear un SOC enfocado a compartir información de análisis de incidencias malware. Plataforma para crear un SOC enfocado a compartir información de análisis de incidencias malware. Reviewed by Álvaro Paz on jueves, junio 09, 2016 Rating: 5
Publicar un comentario en la entrada
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.