Malware Information Sharing Platform
Apariencia
Malware Information Sharing Platform (MISP) es una plataforma de inteligencia contra amenazas especialmente utilizada para la compartición, almacenaje y correlación de Indicadores de compromiso, persiguiendo tener una comunidad colaborativa sobre amenazas existentes, cuyo objetivo es ayudar a mejorar las contramedidas utilizadas contra los ataques dirigidos y establecer acciones preventivas y de detección.[1][2][3]
Originalmente fue desarrollada en el seno de las Fuerzas Armadas belgas para dar apoyo a las misiones del NATO Computer Incident Response Capability (NCIRC).[4]
Características
[editar]Características principales que ofrece:[2][5]
- Almacenar información tanto técnica como no técnica sobre malware y ataques ya detectados
- Crear automáticamente relaciones entre malware y sus atributos
- Almacenar datos en un formato estructurado, permitiendo así un uso automatizado de la base de datos para alimentar sistemas de detección o herramientas forenses
- Generar reglas para NIDS (Network Intrusion Detection System) para luego importarse a IDS (IPs, dominios, hashes de archivos maliciosos, patrones en las zonas de memoria, …)
- Compartir los atributos de malware y amenazas con otras organizaciones y grupos de confianza
- Mejorar de la detección y el reverse del malware para promover el intercambio de información entre distintas organizaciones
- Crear una plataforma de confianza
- Posibilidad de almacenar localmente toda la información de otras instancias
- Conexión por interfaz web o bien por su API (PyMISP, muy usado por dispositivos IDS o SIEM)
- Búsqueda de información multidireccional
- Mecanismos para su distribución dentro de la comunidad
- Automatizar la importación y exportación de datos
- Establecer una arquitectura federada entre comunidades para intercambiar de información entre comunidades de forma segura y controlada con base en los criterios que se hayan establecido dentro de esa comunidad. Además facilita la configuración de plataformas «de segundo nivel» que representan necesidades específicas de los distintos ámbitos en los que se pueda estructurar esa comunidad, por ejemplo, los distintos sectores productivos: energía, transporte, finanzas, etcétera. De esta manera, la información es relevante en cada nivel y no se comparte fuera de ese colectivo de confianza de forma no controlada.
Referencias
[editar]- ↑ Inteligencia de amenazas II. Sothis. 27 de diciembre de 2018
- ↑ a b MISP: Introducción e instalación.Gonx0. fwhibbit.es 15 de mayo de 2018
- ↑ «Malware removal guide». Consultado el 23 de mayo de 2024.
- ↑ Inteligencia de la amenaza. Mario Guerra Soto. Boletín técnico de ingeniería de mayo 2017. Escuela Técnica superior de ingenieros de armas navales
- ↑ El intercambio de información de ciberamenazas. Miguel Rego Fernández et Pedro Pablo Pérez García. Cuadernos de estrategia, ISSN 1697-6924, Nº. 185, 2017