Malware Information Sharing Platform

Logotipo del proyecto PSIM

Malware Information Sharing Platform (MISP) es una plataforma de inteligencia contra amenazas especialmente utilizada para la compartición, almacenaje y correlación de Indicadores de compromiso, persiguiendo tener una comunidad colaborativa sobre amenazas existentes, cuyo objetivo es ayudar a mejorar las contramedidas utilizadas contra los ataques dirigidos y establecer acciones preventivas y de detección.^[1]^[2]

Originalmente fue desarrollada en el seno de las Fuerzas Armadas belgas para dar apoyo a las misiones del NATO Computer Incident Response Capability (NCIRC).^[3]

Características[editar]

Características principales que ofrece:^[2]^[4]

Almacenar información tanto técnica como no técnica sobre malware y ataques ya detectados
Crear automáticamente relaciones entre malware y sus atributos
Almacenar datos en un formato estructurado, permitiendo así un uso automatizado de la base de datos para alimentar sistemas de detección o herramientas forenses
Generar reglas para NIDS (Network Intrusion Detection System) para luego importarse a IDS (IPs, dominios, hashes de archivos maliciosos, patrones en las zonas de memoria, …)
Compartir los atributos de malware y amenazas con otras organizaciones y grupos de confianza
Mejorar de la detección y el reverse del malware para promover el intercambio de información entre distintas organizaciones
Crear una plataforma de confianza
Posibilidad de almacenar localmente toda la información de otras instancias
Conexión por interfaz web o bien por su API (PyMISP, muy usado por dispositivos IDS o SIEM)
Búsqueda de información multidireccional
Mecanismos para su distribución dentro de la comunidad
Automatizar la importación y exportación de datos
Establecer una arquitectura federada entre comunidades para intercambiar de información entre comunidades de forma segura y controlada con base en los criterios que se hayan establecido dentro de esa comunidad. Además facilita la configuración de plataformas «de segundo nivel» que representan necesidades específicas de los distintos ámbitos en los que se pueda estructurar esa comunidad, por ejemplo, los distintos sectores productivos: energía, transporte, finanzas, etcétera. De esta manera, la información es relevante en cada nivel y no se comparte fuera de ese colectivo de confianza de forma no controlada.

Referencias[editar]

↑ Inteligencia de amenazas II. Sothis. 27 de diciembre de 2018
↑ ^a ^b MISP: Introducción e instalación.Gonx0. fwhibbit.es 15 de mayo de 2018
↑ Inteligencia de la amenaza. Mario Guerra Soto. Boletín técnico de ingeniería de mayo 2017. Escuela Técnica superior de ingenieros de armas navales
↑ El intercambio de información de ciberamenazas. Miguel Rego Fernández et Pedro Pablo Pérez García. Cuadernos de estrategia, ISSN 1697-6924, Nº. 185, 2017

Datos: Q63017823

[sothis-1] Inteligencia de amenazas II. Sothis. 27 de diciembre de 2018

[conejo-2] MISP: Introducción e instalación.Gonx0. fwhibbit.es 15 de mayo de 2018

[3] Inteligencia de la amenaza. Mario Guerra Soto. Boletín técnico de ingeniería de mayo 2017. Escuela Técnica superior de ingenieros de armas navales

[4] El intercambio de información de ciberamenazas. Miguel Rego Fernández et Pedro Pablo Pérez García. Cuadernos de estrategia, ISSN 1697-6924, Nº. 185, 2017

[1]

[2]

[3]

[4]