Plataforma para crear un SOC enfocado a compartir información de análisis de incidencias malware.

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

MISP (Malware Information Sharing Platform and Threat Sharing), es una solución de software de código abierto para: recoger, almacenar, distribuir y compartir indicadores de ciberseguridad sobre el análisis de los incidentes de seguridad y malware. MISP está diseñado por y para los analistas de incidentes, profesionales de la seguridad y analista de malware para apoyar sus operaciones del día a día y compartir informaciones estructuradas de manera eficiente.

El objetivo del MISP es fomentar el intercambio de información estructurada dentro de la comunidad de seguridad de la información. MISP proporciona funcionalidades para apoyar el intercambio de información, sino también el consumo de la información  de sistemas de detección de intrusos (NIDS) y también conectarse herramientas de análisis tipo SIEM.

misp-panorama

Las funcionalidades básicas de MISP son:

  • Una base de datos eficiente IOC y los indicadores que permitealmacenar información técnica y no técnica sobre: muestras de malware, incidentes, los atacantes y la inteligencia.
  • Correlación automática entre los atributos e indicadores de malware, ataques o campañas de análisis.
  • Funcionalidad de compartir integrada para aliviar el intercambio de datos, modelos diferente de distribuciones. Puede sincronizar automáticamente los eventos y atributos entre los diferentes MISP. Se pueden utilizar funcionalidades avanzadas de filtrado para satisfacer cada política de organización e intercambio incluyendo, una capacidad de intercambio de grupo flexible y mecanismos de distribución con alto nivel de atributo.
  • Una interfaz de usuario intuitiva para que los usuarios finales puedan: crear, actualizar y colaborar en eventos, atributos y indicadores.
  • Una interfaz gráfica para navegar sin problemas entre los acontecimientos y sus correlaciones. Funcionalidades avanzadas de filtrado y lista de advertencias para ayudar a los analistas a contribuir.
  • Permite almacenar datos en un formato estructurado (que permite el uso automatizado de la base de datos para diversos fines) con un amplio apoyo de los indicadores de ciberseguridad a lo largo de los indicadores de fraude como en el sector financiero.
  • Soporta la exportación de datos a: IDS, OpenIOC, texto plano, CSV,  MISP XML o salida JSON para integrarse con otros sistemas (IDS de red, ID de host o herramientas personalizadas)
  • Importación masiva con lotes de importación: OpenIOC, GFI sandbox y ThreatConnect CSV.
  • Herramienta importación  en modo texto, flexible para facilitar la integración de los informes no estructurados en MISP.
  • Un sistema ligero para colaborar en eventos y atributos que permiten a los usuarios del MISP proponer cambios o actualizaciones de atributos y indicadores.
  • Intercambio de datos y la sincronización automática con otros grupos de confianza que utilizan MISP.
  • Permite un mecanismo de anonimato simple para distribuir las publicaciones de eventos e indicadores a otras organizaciónes.
  • Una API flexible para integrar MISP con otras soluciones. Incluye  PyMISP que es una biblioteca de Python flexible para: buscar, añadir o actualizar los atributos de eventos y manejar muestras de malware.
  • Taxonomía ajustable para clasificar eventos y etiquetas con esquemas propios de clasificación o clasificación existente . La taxonomía puede ser local en el MISP sino que también se puede compartir entre instancias de MISP.
  • Con módulos de expansión en Python para ampliar los servicios de MISP.
  •  Soporte para obtener observaciones de las organizaciones en relación con los indicadores y atributos compartidos. Contribuyendo a través de la interfaz de usuario MISP o documentos STIX.
  • Permite exportar datos en el formato STIX (XML y JSON).
  • Permite Cifrado y firma de las notificaciones a través de PGP y S/MIME en función de las preferencias del usuario.

El intercambio de información se traduce en una detección más rápida de los ataques  y mejora el ratio de detección al tiempo que reduce los falsos positivos. También evitamos el malware similar al que otros equipos o organizaciones que ya lo analizaran y añadieran información en MISP. Otro beneficio es el de reforzar la inteligencia de nuestros IDS.

Fuente:http://www.gurudelainformatica.es/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone