Inteligência de Ameaças Cibernéticas

Desenvolvida por uma equipe de desenvolvedores da CIRCL, Defesa belga, OTAN e NCIRC, a Plataforma de Compartilhamento de Informações contra Malware (MISP) é uma plataforma de código aberto que permite compartilhar, armazenar e correlacionar indicadores de compromisso (IOCs) de ataques direcionados, inteligência de ameaças,informações de fraude financeira, informações sobre vulnerabilidades ou até mesmo informações antiterrorismo.

O MISP ajuda as equipes de segurança a ingerir e analisar dados de ameaças em ataques de malware detectados, criando automaticamente conexões entre malware e suas características e armazenando dados em um formato estruturado. Além disso, o MISP também ajuda a criar as regras para sistemas de detecção de intrusões de rede (NIDS) e permite o compartilhamento de informações de malware com terceiros. Em palavras mais simples, o MISP pretende criar uma plataforma de confiança armazenando localmente informações sobre ameaças e melhorando a detecção de malware para incentivar a troca de informações entre as organizações.

Quais são as características do MISP?

Com a funcionalidade de compartilhamento incorporada para facilitar o compartilhamento de dados usando diferentes modelos de distribuições, o MISP pode sincronizar automaticamente eventos e seus atributos. Suas funcionalidades de filtragem podem ser utilizadas para atender à política de compartilhamento de uma organização e a interface do usuário permite que os usuários finais criem e colaborem em eventos, atributos e indicadores. O MISP suportado pelo STIX armazena dados em um formato estruturado e é equipado com uma ferramenta de importação de texto livre que permite a integração de relatórios não estruturados na plataforma. Além disso, os usuários podem trocar e sincronizar automaticamente eventos com outras partes, bem como importar e integrar feed MISP, feed OSINT ou qualquer inteligência de ameaça de terceiros.

A API da plataforma permite a integração com as soluções de uma organização e seu PyMISP, uma Biblioteca Python, ajuda a coletar, adicionar, atualizar, atualizar atributos de eventos de pesquisa e estudar amostras de malware. Com uma taxonomia ajustável, os usuários do MISP podem classificar e marcar eventos com base em suas taxonomias ou esquemas de classificação existentes. Empacotado com um vocabulário de inteligência exclusivo chamado GALÁXIA MISP, malware, atores de ameaças, ransomware, RAT ou MITRE ATT&CK podem ser ligados a eventos no MISP.

Como funciona o MISP?

A estrutura do MISP consiste em eventos, feeds, comunidades e assinantes. Um evento é uma entrada de ameaça contendo informações relacionadas à ameaça e aos IOCs associados. Uma vez criado um evento, um usuário atribui-o a um feed específico que age como uma lista centralizada de eventos pertencentes a uma organização específica e contendo certos eventos ou especificações de agrupamento.

O MISP é utilizado por inúmeras organizações independentes em diferentes indústrias, cada uma com os feeds de ameaças públicos, proprietários ou comunitários. Uma vez criada uma instância, as organizações podem adicionar eventos aos seus próprios feeds vistos apenas por organização, ou apenas comunidade, ou comunidades conectadas, ou todas as comunidades.

Acessível através de uma interface web ou API REST, o MISP consiste em usuários independentes confiáveis e submissões de ameaças organizacionais, ambos ingeridos pela respectiva base de usuários. Ao ingressar nas comunidades do MISP, as organizações podem assinar feeds relacionados a ameaças em seus respectivos setores. Depois de assinar os feeds, as organizações podem começar a ingerir solicitações de atração de API em plataformas SIEM, regras de detecção, listas negras de firewall e assim por diante. Além disso, as organizações podem contribuir para a comunidade, adicionando seus feeds e eventos que podem ser compartilhados entre outros assinantes da comunidade.

Qual é a diferença entre o MISP e uma Plataforma de Inteligência de Ameaças (TIP)?

O MISP opera como um hub centralizado para inteligência de ameaças, mas não possui muitos dos recursos de uma verdadeira plataforma de inteligência de ameaças (TIP). Abaixo estão alguns dos principais recursos que uma TIP tem, mas estão faltando no MISP:

Ingestão de Intel de ameaça de várias fontes

Um verdadeiro TIP pode coletar inteligência tática e técnica de várias fontes externas, incluindo provedores de inteligência de ameaças, órgãos reguladores, organizações de pares, ISACs, dark web e muito mais. Uma TIP pode converter, armazenar e organizar automaticamente esses dados de ameaça de vários formatos, incluindo STIX, XML, JSON, Cybox, MAEC, etc.

Alerta automatizado sobre pontuação de confiança

Uma DICA permite a pontuação de confiança dos IOCs e pode aproveitar essa pontuação para realizar determinadas ações, como o alerta automatizado.

Visualização MITRE ATT&CK

Uma TIP avançada pode visualizar a estrutura MITRE ATT&CK para um analista e fornecer-lhes informações sobre TTPs de atacantes e identificar tendências em toda a cadeia de mortes cibernéticas e relacioná-las com informações relatadas.

Enriquecimento automatizado, correlação e análise

Um TIP pode enriquecer automaticamente dados de ameaças do VirusTotal, Whois, NVD e outras fontes confiáveis para realizar correlação, deduplicação, análise e depreciação de indicadores em tempo real.

Ação Automatizada na Intel

A TIP possui recursos para compartilhar automaticamente dados de ameaças a ferramentas de segurança para ação em tempo real. Fluxos de trabalho personalizados e pontuação podem ser aproveitados para projetar regras de automação que alimentam a ação automatizada com essas ferramentas de segurança implantadas.

Leia mais sobre uma verdadeira plataforma de inteligência de ameaças (TIP).

Artigo Original