MISP je jednou z nejrozšířenějších open source platforem pro ukládání, správu a sdílení informací o kybernetických hrozbách, kterou ostatně využívá i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Platforma umožňuje přijímat a sdílet informace jako například zpozorované škodlivé IP, doménové adresy, data z honeypotů, o malwaru, phishingových kampaních, zranitelnostech, umožňuje vytváření blacklistů pro malware, IP, hash apod. Díky tomu mohou organizace zavčas a lépe reagovat na kybernetické hrozby a implementovat proti nim efektivní bezpečnostní opatření, což je v dnešní době klíčové.
MISP je úzce spojen s CTI neboli Cyber Threat Intelligence, což je praktická disciplína shromažďování a vyhodnocování informaci o zranitelnostech, malware nebo APT skupinách, jejíž poznatky se využívají pro efektivní hledání bezpečnostních hrozeb a jejich řešení. Sbírání aktuálních a prioritizace relevantních a potenciálních hrozeb a zranitelností se díky automatické korelaci uložených událostí stává snazší a poskytuje uživateli pohled na data prostřednictvím grafů, které vyobrazují kontext o bezpečnostních incidentech a zprostředkovávají analytikovi snazší přístup k relevantním informacím. Díky možnosti libovolné integrace pomocí vlastních skriptů a modulů lze MISP zapojit na bezpečnostní nástroje a automatizovat workflows a tím ušetřit čas analytiků. Z MISP lze data automaticky exportovat například do SIEM nebo EDR pro další analýzu a korelaci v reálném čase nebo retrospektivně. Tato integrace umožňuje provádět hloubkovou analýzu hrozeb a kombinovat data z MISP s dalšími zdroji v SIEM systému.
Do systému MISP lze data importovat mnoha způsoby. Jedním ze způsobů je manuální zadávání, kdy uživatelé mohou ručně zadávat informace o incidentech, malwaru, phishingových kampaních a dalších hrozbách přímo do webového rozhraní MISP. Další způsoby jsou automatizované importy z OSINT, blogů, reportů nebo od vládních agentur či komerčních poskytovatelů. Importovaná data lze použít pro analýzu, která může odhalit nové skutečnosti o dané události jako např. vazby na další incidenty, nové detaily o útoku apod. Dále je zde možnost integrace pomocí obsáhlé API. MISP se může použít pro export dat v požadovaném formátu a použít například data o IP adresách do firewallu. Také je možné synchronizovat systém s jinými MISP instancemi. Tato funkce je užitečná pro organizace, které chtějí sdílet specifická data o hrozbách s partnery. Synchronizace probíhá automatizovaně, aby uživatelé měli vždy přístup k aktuálním informacím, které již prošly vyhodnocovacím procesem.
MISP tedy nabízí zjednodušení procesu získávání, analýzy a využívání informací o aktuálních, potenciálních nebo relevantních kybernetických hrozbách a díky své open source povaze je velmi dostupný a je také velmi škálovatelný a díky tomu vhodný jak pro menší, tak i větší organizace.
Autoři článku působí ve společnosti ComSource. Tomáš Pavlíček jako Security Engineer a
Radim Klabal jako Delivery Director.
Grafika: www.misp-project.org