恶意软件信息共享平台(MISP)

一、MISP是什么?

恶意软件信息共享平台是由社区成员、恶意软件知识库和基于web的平台组成的。它是智能防御概念的一个实际和成功的实例,与当前所有北约网络防御信息共享倡议完全一致。

image.png

MISP最初是为了支持北约计算机事件响应能力技术中心(NCIRC TC)的任务而构建的,它允许在可信的社区内共享恶意软件的技术特征,而不必共享关于事件上下文的信息。

它结合了一个可搜索的存储库和一个多向的信息共享机制。在可能的情况下,MISP还提供自动化机制,支持数据的自动导入和导出以及与其他系统的接口。其目的是加速事件的检测和防御措施的制定,特别是针对那些没有被反病毒保护所阻止的恶意软件,或者是复杂的有针对性的入侵企图的一部分。

二、为什么要使用MISP?

  1. 北约已被证明的能力,可以被国家使用

MISP是安全事件调查人员、恶意软件分析师和事件处理程序的日常知识库和工具。2012年6月以来NCIRC积极使用它。
image.png

恶意软件专家将在MISP中发现他们需要与他们的发现相关联的破坏指标(IOC),以及检测系统的更新。他们还将发现恶意软件样本和各种各样的恶意软件技术信息,这将帮助他们获得半即时保护。MISP是一个互动平台,每当有新东西被共享时,它就会发送通知,为数据的导入和导出提供自动化,并与网络防御工具集成。MISP是一种安全但容易访问的能力,可以通过internet访问。

如果你的团队日常工作的一部分是想知道:

•您过去是否在您的网络中看到过目标恶意软件;

•你的合作伙伴是否已经看过;

•社区中是否有人已经对恶意软件进行了分析;

•如果恶意软件是攻击活动的一部分,或与我们知道的其他恶意软件有相似之处;

•如果该恶意软件与同一威胁代理生成的其他恶意软件有相似之处,则该恶意软件可能属于特定的敌对实体;

•针对组织的有针对性的基于恶意软件的攻击的历史,以及是否存在一种趋势。

  1. 智能防御-分享胜利

加入MISP的好处:

  1. 消除分析工作的重复:不同的组织观察到相同的攻击,所有组织都花时间执行相同的分析工作。

MISP将消除社区成员分析被其他成员共享的恶意软件的需要。

  1. 更快的威胁检测:所有各方收到即时通知的威胁报告之一。

3.改进威胁情报和归因:MISP的集中式和共享的恶意软件信息存储库提供了一个比单组织视角更完整的威胁全景视图,并且可以给出更多关于恶意软件归因的结论。

  1. 启用互操作性:成员现在可以以“标准化”格式共享恶意软件信息。

  2. 通过各种导入和导出功能支持自动化。

其成功的关键是共享恶意软件信息的技术部分,而不是共享攻击上下文的信息——脱离上下文的安全事件的技术信息不再敏感。也正是这些信息具有可操作性,可以用来完善防御和侦查机制,在进攻端获得战术优势。在一年的操作中,MISP知识库已经包含了大约500个与攻击相关的恶意软件信息条目。

3、MISP社区

MISP是一个社区,在这里,由不同成员承载的平台的多个实例可以相互连接,并且它将同步它们之间的信息。

社区成员的初步名单包括:

image.png

多国网络防御能力发展(MN CD2)社区目前也在调查MISP在多大程度上可以作为信息共享工作包1的解决方案,以及相关的资金/订阅机制。

Malware Information Sharing Platform,https://www.misp-project.org/datamodels/

https://github.com/MISP/PyMISP

https://www.misp-project.org/feeds/

https://github.com/MISP/misp-taxonomies/tree/master/kill-chain