Proyecto MISP (Malware Information Sharing Platform)

 

 


Una plataforma de inteligencia de amenazas para compartir, almacenar y correlacionar los indicadores de compromiso de ataques dirigidos, inteligencia de amenazas, información de fraude financiero, información de vulnerabilidad o incluso información antiterrorista. Descubra cómo se usa MISP hoy en varias organizaciones. No solo para almacenar, compartir, colaborar en indicadores de seguridad cibernética, análisis de malware, sino también para usar los IoC y la información para detectar y prevenir ataques o amenazas contra las infraestructuras, organizaciones o personas de las TIC.

 

 

Entre las características mas importantes de la plataforma MISP tenemos:

 

  • Una base de datos de IoC e indicadores eficiente que permite almacenar información técnica y no técnica sobre malware, incidentes, atacantes e inteligencia.
  • Correlación automática que busca relaciones entre los atributos e indicadores del malware, campañas de ataques o análisis.
  • El motor de correlación incluye la correlación entre los atributos y las correlaciones más avanzadas, como la correlación hash Fuzzy o la coincidencia de bloque CIDR.
  • La correlación también se puede habilitar por atributo.
  • Un modelo de datos flexible donde los objetos complejos pueden expresarse y vincularse para expresar inteligencia de amenaza, incidentes o elementos conectados.
  • Funcionalidad de uso compartida integrada para facilitar el intercambio de datos utilizando diferentes modelos de distribuciones.
  • MISP puede sincronizar automáticamente eventos y atributos entre diferentes MISP.
  • Las funcionalidades de filtrado avanzado se pueden utilizar para cumplir con las políticas de intercambio de cada organización, incluida una capacidad flexible de grupos compartidos y un mecanismo de distribución de niveles de atributos.
  • Una interfaz de usuario intuitiva para que los usuarios finales creen, actualicen y colaboren en eventos y atributos / indicadores.
  • Una interfaz gráfica para navegar sin interrupciones entre los eventos y sus correlaciones. Funcionalidades avanzadas de filtrado y lista de advertencias para ayudar a los analistas a contribuir con eventos y atributos.
    almacenar datos en un formato estructurado (lo que permite el uso automatizado de la base de datos para diversos fines) con un amplio respaldo de los indicadores de seguridad cibernética a lo largo de indicadores de fraude como en el sector financiero.
    Exportar: generación de IDS (Suricata, Snort y Bro son compatibles por defecto), OpenIOC, texto plano, CSV, MISP XML o JSON para integrarse con otros sistemas (IDS de red, IDS de host, herramientas personalizadas)
    import: bulk-import, batch-import, free-text import, importar desde OpenIOC, GFI sandbox, ThreatConnect CSV o formato MISP.
    Herramienta flexible de importación de texto libre para facilitar la integración de informes no estructurados en MISP.
    Un sistema suave para colaborar en eventos y atributos que permiten a los usuarios de MISP proponer cambios o actualizaciones de atributos / indicadores.
    intercambio de datos: intercambio y sincronización automática con otras partes y grupos de confianza utilizando MISP.
    importación de piensos: herramienta flexible para importar e integrar feed MISP y cualquier amenaza o feed OSINT de terceros. Muchas fuentes predeterminadas se incluyen en la instalación MISP estándar.
    Delegación de compartir: permite que un simple mecanismo pseudo anónimo delegue la publicación de eventos / indicadores a otra organización.
    API flexible para integrar MISP con sus propias soluciones. MISP se incluye con PyMISP, que es una biblioteca de Python flexible para recuperar, agregar o actualizar atributos de eventos, manejar muestras de malware o buscar atributos.
    Taxonomía ajustable para clasificar y etiquetar eventos siguiendo sus propios esquemas de clasificación o taxonomías existentes. La taxonomía puede ser local para su MISP, pero también se puede compartir entre las instancias de MISP. MISP viene con un conjunto predeterminado de taxonomías conocidas y esquemas de clasificación para soportar la clasificación estándar utilizada por ENISA, Europol, DHS, CSIRT u otras organizaciones.
    Los vocabularios de inteligencia se denominan MISP galaxy y se combinan con agentes de amenaza existentes, malware, RAT, ransomware o MITRE ATT & CK que se pueden vincular fácilmente con eventos en MISP.
    Módulos de expansión en Python para expandir MISP con sus propios servicios o activar módulos misp ya disponibles.
    Apoyo de observación para obtener observaciones de las organizaciones con respecto a indicadores y atributos compartidos. La observación se puede realizar a través de la interfaz de usuario MISP, API como documento MISP o documentos de observación STIX. Comenzando con MISP 2.4.66, Sighting se ha extendido para admitir el avistamiento de falsos negativos o el visado de caducidad.
    Compatibilidad con STIX: exportar datos en formato STIX (XML y JSON), incluida la exportación en formato STIX 2.0.
    Cifrado y firma integrados de las notificaciones a través de PGP y / o S / MIME según las preferencias del usuario.