Ir al contenido principal

MISP - Malware Information Sharing Platform


Les presentamos una gran plataforma. Es MISP - Malware Information Sharing Platform. 





¿Qué es MISP?

MISP , Malware Information Sharing Platform y Threat Sharing, es una solución de software para recopilar, almacenar, distribuir y compartir indicadores de amenazas ciberseguridad. Permite el análisis de incidentes de seguridad, como así tambien el de malware.
El MISP está diseñado por y para analistas de incidentes, profesionales de seguridad y TIC.
El objetivo del MISP es fomentar el intercambio de información estructurada dentro de la comunidad de seguridad y en el extranjero. MISP proporciona funcionalidades para respaldar el intercambio de información, pero también el consumo de la información por parte del Sistema de Detección de Intrusión en la Red (NIDS), Sistemas de Análisis de Logs (LIDS – Log-Based Intrusion Detection), SIEM.

¿Cómo funciona?

Las funcionalidades principales de MISP, Malware Information Sharing y Threat Sharing son:

- Una eficiente base de datos de Indicadores de Compromiso (IOC) e indicaciones técnica y no técnica sobre muestras de malware, incidentes, atacantes e inteligencia. 

Correlación automática de búsqueda de relaciones entre atributos e indicadores de malware, campañas de ataques o análisis. 

- Un modelo de datos flexible donde los objetos complejos se pueden expresar y vincular entre sí para expresar inteligencia de amenazas, incidentes o elementos conectados. 

Funcionalidad para compartir incorporada para facilitar el intercambio de datos utilizando diferentes modelos de distribuciones.

- Una interfaz de usuario intuitiva para que los usuarios finales creen, actualicen y colaboren en eventos y atributos/indicadores. Una interfaz gráfica para navegar sin problemas entre eventos y sus correlaciones. Funciones de filtrado avanzadas y lista de advertencias para ayudar a los analistas a contribuir con eventos y atributos. 

Almacenamiento de datos en un formato estructurado (que permite el uso automatizado de la base de datos para diversos propósitos) con un amplio soporte de indicadores de seguridad cibernética a lo largo de indicadores de fraude como en el sector financiero. 

Exportar: generar IDS, OpenIOC, texto sin formato, CSV, MISP XML o JSON para integrar con otros sistemas (IDS de red, IDS de host, herramientas personalizadas), STIX (XML y JSON), exportación NIDS (Suricata, Snort y Bro) o zonas RPZ. Muchos otros formatos se añaden fácilmente a través de los módulos MISP. 

Importación: importación masiva, importación por lotes, importación desde OpenIOC, GFI sandbox, ThreatConnect CSV, entre otros.

Herramienta flexible de importación de texto libre para facilitar la integración de informes no estructurados en MISP.

- Un sistema para colaborar en eventos y atributos que permite a los usuarios de MISP proponer cambios o actualizaciones a los atributos / indicadores. 

Intercambio de datos: intercambio y sincronización automáticos con otras partes y grupos de confianza utilizando MISP. 

Delegar compartir: permite un simple mecanismo pseudo anónimo para delegar la publicación de eventos / indicadores a otra organización. 

- API flexible para integrar MISP con tus propias soluciones. MISP se incluye con PyMISP, que es una biblioteca flexible de Python para obtener, agregar o actualizar atributos de eventos, manejar muestras de malware o buscar atributos. 

Taxonomía ajustable: para clasificar y etiquetar eventos siguiendo sus propios esquemas de clasificación o el sistema existente. La taxonomía puede ser local a su MISP, pero también se puede compartir entre las instancias de MISP. 

Vocabularios de inteligencia llamados MISP Galaxy y combinados con actores de amenazas existentes, malware, RAT, ransomware o MITERATT&CK que se pueden vincular fácilmente con eventos en MISP. 

Módulos de expansión en Python para expandir MISP con sus propios servicios o activar misp-modules ya disponibles. 

Apoyo de observación: para obtener observaciones de organizaciones sobre indicadores y atributos compartidos. El avistamiento se puede aportar a través de la interfaz de usuario MISP, la API como documento MISP o los documentos de avistamiento STIX. 

Soporte STIX: exportar datos en el formato STIX (XML y JSON). La importación y exportación adicional de STIX es compatible con MISP-STIX-Converter o MISP-Taxii-Server. 

Cifrado y firma integrados de las notificaciones a través de PGP y/o S/MIME según las preferencias del usuario.

Interface de MISP

Login

Menu

Evento

Exportar un evento: Se puede exportar en formtado Json, XML, Snort,....

MISP es una plataforma con muchas características que puede aportar un panorama amplio y detallado sobre los Eventos de Seguridad que afronta su organización.

En MurcIT contamos en nuestro equipos de técnicos y consultores, pudiendo ofrecer los servicios de asesoría necesarios, no dude en consultarnos.

Comentarios

Entradas más populares de este blog

GDPR: NUEVA LEY DE PROTECCIÓN DE DATOS EN EUROPA

El Reglamento de Protección de Datos comenzó a regir el viernes 25 de mayo en Europa, estableciendo mayor control para los ciudadanos e importantes sanciones para las entidades que no garanticen la seguridad establecida.


El viernes 25 de mayo de 2018, entró en vigencia el nuevo Reglamento General de Protección de Datos Personales (en inglés, General Data Protection Regulation o “GDPR”), con el fin de devolverles a los ciudadanos europeos el control de sus datos personales. De todos modos, no posee impacto únicamente en Europa, sino que tiene implicaciones más amplias para las empresas de todo el mundo que procesan datos en dicho continente.

GDPR no es nuevo, existe desde 2016 (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016) pero desde este viernes 25 comenzó a ser aplicada obligatoriamente. Se trata de la nueva ley única de protección de datos, la cual introduce importantes cambios en todas las leyes europeas de privacidad y sustituye la obsoleta L…

Twitter pide cambio de contraseñas en forma masiva

El día de hoy Twitter, a través de su cuenta @twittersupport, pidió a 330 millones de usuarios que cambién su contraseña. Las mismas fueron encontradas en un log en texto claro. Por el momento no se tiene conocimiento de que alguien fuera de twitter tenga acceso a las contraseñas, pero es de esperarse que aparezcan en algún momento publicadas en algún portal.
Mensaje original:


We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://blog.twitter.com/official/en_us /topics/company/2018/keeping-your-account-secure.html 


Actualización de PaloAlto. PAN-OS 8.1.4

El día de ayer PaloAlto liberó su versión de PAN-OS 8.1.4, esta versión incluye varios parches que resuelven problemas conocidos pero no agrega nuevas funcionalidades. Como siempre se recomienda testear los parches en un entorno adecuado para luego instalarlos en producción. En MurcIT contamos en nuestro labcenter equipos de testing y ofrecemos los servicios de upgrade, no dude en consultarnos.