Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



29.10.2021

Veritas po raz 16. liderem...

Firma Veritas Technologies, producent uznanych rozwiązań backup klasy enterprise,...
21.10.2021

Zarządzanie IT

We wrześniu BTC Sp. z o.o. zaprezentowała premierową wersję systemu eAuditor V8 AI.
21.10.2021

Konferencja VMworld

Imagine That. Pod takim hasłem w dniach 5–7 października 2021 r. odbyła się jedna z...
21.10.2021

Darmowy deszyfrator

Bitdefender wspólnie z organami ścigania opracował i wydał narzędzie, które pozwala...
21.10.2021

Dell C1422H

Dell Technologies wprowadza do oferty przenośny monitor do zwiększenia wydajności pracy w...
21.10.2021

Dysk dla cyfrowych twórców

Western Digital zaprezentowało nowy dysk – WD Blue SN750 NVMe SSD.
21.10.2021

Projektory laserowe

Optoma wprowadza serię projektorów laserowych Ultra Bright ZU1700, ZU1900, ZU2200 z...
21.10.2021

Orzeł wśród routerów

D-Link wprowadza na rynek smart router EAGLE PRO AI AX1500 R15.
21.10.2021

Nowe generacje Ryzen i Epyc

AMD 3D V-Cache. AMD zapowiada procesory Ryzen i Epyc z nowym rozwiązaniem.

MISP – platforma do wymiany informacji o cyberzagrożeniach

Data publikacji: 21-10-2021 Autor: Piotr Michałkiewicz

Rozpoznawanie zagrożeń w cyberprzestrzeni (CTI) to temat znany od lat. Jednak samo rozpoznanie nic nie daje, jeżeli pozyskane informacje nie zostaną odpowiednio wykorzystane. Istotne jest zbudowanie kanałów wymiany informacji zarówno wewnątrz własnej organizacji, jak i poza nią.

 

Nie chodzi tu o przekazywanie informacji przy użyciu poczty elektronicznej. Istotne jest zastosowanie platformy, która umożliwi zautomatyzowanie działań związanych z gromadzeniem, korelowaniem oraz dystrybucją tych informacji. Przykładem może być platforma MISP używana od wielu lat przez specjalistów od cyberbezpieczeństwa.

Prace nad MISP-em rozpoczęły się w 2011 r. Pierwsza wersja ukazała się pod nazwą CyDefSIG (Cyber Defense Signatures) i została opracowana przez pracownika belgijskiego ministerstwa obrony. Od 2012 r. w rozwój projektu zaangażowało się NATO oraz organizacje typu CERT. Zmieniono wówczas nazwę projektu na MISP (Malware Information Sharing Platform) i udostępniono go na licencji Affero GPL. Od tego czasu projekt stał się popularny i szeroko wykorzystywany.

Obecnie MISP jest wspierany m.in. przez CIRCL (Computer Incident Response Centre Luxembourg) oraz finansowany w ramach europejskiego funduszu CEF (Connecting Europe Facility). Stanowi jeden z głównych komponentów platformy MeliCERTes (NASK pełni funkcję lidera w międzynarodowym konsorcjum rozwijającym tę platformę), będącej częścią europejskiej strategii na rzecz cyberbezpieczeństwa.

MISP został zaprojektowany przez i dla analityków, specjalistów od cyberbezpieczeństwa w celu wspierania ich codziennej pracy. Poza gromadzeniem danych pozwala na wykorzystanie różnych modeli ich dystrybucji, np. dane mogą być udostępniane tylko w ramach własnej organizacji, w ramach organizacji używającej danej instancji MISP czy też szerszej społeczności pomiędzy różnymi instancjami MISP.

Jeśli chodzi o działania na zgromadzonych danych, dostępne są m.in. zaawansowane możliwości wyszukiwania i filtrowania, system obserwacji atrybutów i wskazywania fałszywych alarmów (false-positive), możliwość kontekstowego opisu danych poprzez system znaczników oraz rozbudowanych taksonomii, a także system przekazywania propozycji umożliwiający użytkownikom MISP proponowanie zmian lub aktualizacji atrybutów. Jednak do najważniejszych zalet MISP należy zaliczyć silnik korelacji wspierający wyszukiwanie relacji między atrybutami w ramach różnych instancji MISP.

MISP pozwala także na integrację z innymi systemami, obsługując m.in. następujące formaty danych: MISP XML/JSON, STIX (XML/JSON) 1 i 2, NIDS (Suricata, Snort i Bro/Zeek), DNS RPZ czy też Yara. Inne formaty można dodawać za pomocą modułów MISP. Poza tym, tworząc własne moduły w Pythonie, można rozszerzać system MISP o nową funkcjonalność. Dostęp do instancji MISP możliwy jest przy użyciu przeglądarki internetowej albo API.

> MODEL DANYCH

MISP udostępnia elastyczny model danych, który pozwala na tworzenie i opisywanie złożonych struktur związanych z cyberbezpieczeństwem. W ramach modelu danych do głównych elementów możemy zaliczyć:

Zdarzenia (Events) – umożliwią połączenie (enkapsulację) powiązanych ze sobą informacji, które reprezentowane są przez atrybuty i obiekty. To, czego dotyczy zdarzenie, zależy tylko od informacji w nim zawartych. Może ono opisywać np. incydent, raport z analizy bezpieczeństwa czy też analizę konkretnego zagrożenia. Jest to po prostu informacja tekstowa umieszczona w polu Event Info. Do innych podstawowych pól opisujących zdarzenie należą pola Threat Level (określające poziom istotności danego zdarzenia), Analysis (określające status analizy), oraz Distribution (określające sposób dystrybucji zdarzenia). Pole Distribution jest bardzo istotne, ponieważ umożliwia zdefiniowanie zakresu informacji, które będą udostępniane podczas synchronizacji z innymi instancjami MISP.

Atrybuty (Attributes) – to elementy opisujące zdarzenie. Do głównych pól opisujących atrybut należą pola Category, Type oraz Value. Pole Category umożliwia określenie kategorii atrybutu przy użyciu listy predefiniowanych kategorii, np. Antivirus detection, Network activity, Financial fraud czy też Social network. Wybranie kategorii atrybutu powoduje dostosowanie listy predefiniowanych dla niej typów w polu Type. Przykładowo dla kategorii Financial fraud możemy wybrać m.in. typ iban, bank-account-nr czy też cc-number. Tabela pokazująca wszystkie kategorie z odpowiadającymi im typami dostępna jest po wybraniu w menu Global Actions pozycji Categories &Types.

Po określeniu kategorii i typu w polu Value wpisujemy odpowiednią wartość, np. wartość hasha dla określonego pliku po wybraniu kategorii Payload delivery oraz typu sha256 lub adres IP w przypadku wybrania kategorii Network activity oraz typu ip-src. Dla określonych atrybutów możemy podczas ich definiowania zaznaczyć pole wyboru For Intrusion Detection System (flaga IDS), dzięki czemu dany atrybut może zostać wykorzystany w zautomatyzowanych procesach jako wzorzec w systemach wykrywania włamań, narzędziach do analizy logów, a nawet mechanizmach filtrowania.

Obiekty (Objects) – to szablony udostępniające powiązane ze sobą tematycznie atrybuty, dzięki czemu mogą opisywać bardziej złożone struktury w stosunku do pojedynczego atrybutu. Przykładowo obiekt Vulnerability udostępnia 12 atrybutów, m.in. Created datetime, Cvss-score float, Description czy też Vulnerable-configuration. Dodane zostaną jednak tylko te, których wartość zostanie określona w polu Value.

 

[...]

 

Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji, danych osobowych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i cyberbezpieczeństwa. Członek ISSA Polska.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"