MISP: O que é e como usar a plataforma de Threat Intelligence
Elaboramos este guia definitivo para quem deseja entender melhor o que é MISP, o que ele faz e como usá-lo.
Visão geral do MISP
O MISP, anteriormente conhecido como Malware Information Sharing Platform e agora conhecido como Open Source Threat Sharing Platform, é uma poderosa plataforma de inteligência de código aberto contra ameaças que as organizações podem usar para armazenar, compartilhar e receber informações sobre malware, ameaças e vulnerabilidades de forma estruturada.
Confira também: 10 Ferramentas de Inteligência de Ameaças (Threat Intelligence) para Antecipar Ataques
O que é threat intelligence?
Threat intelligence (inteligência de ameaças) é o conhecimento baseado em evidências sobre ameaças atuais ou emergentes à segurança cibernética. Ela ajuda indivíduos e organizações a compreender melhor ameaças passadas, presentes e potenciais ameaças futuras.
Toda threat intelligence existe em um amplo espectro de granularidade. No nível mais alto, a threat intelligence pode incluir informações sobre os motivos que podem impulsionar ameaças emergentes, como conflitos geopolíticos entre nações. No nível mais baixo, pode incluir informações mais detalhadas, como endereços IP individuais associados a atividades suspeitas.
O que é o MISP e o que ele faz?
Para muitas organizações, o MISP serve como um repositório de conhecimento sobre todas as ameaças e vulnerabilidades conhecidas que uma organização já viu.
Ao dar a essas informações uma estrutura consistente, elas se tornam pesquisáveis, facilitando a correlação entre diferentes dias, meses e anos, sem depender da memória de analistas de segurança.
O MISP também associa automaticamente informações semelhantes (por exemplo, eventos registrados sobre o mesmo endereço IP serão vinculados automaticamente).
Ao armazenar informações em um formato consistente, o MISP também facilita o compartilhamento de informações entre organizações que provavelmente enfrentarão ameaças semelhantes, como governos, bancos e empresas de serviços públicos.
Qual problema o MISP resolve?
O MISP resolve dois grandes problemas para as equipes de SecOps: sobrecarga de informações e os desafios de lidar com grandes volumes de dados não estruturados.
Muitos analistas de segurança já vivenciaram a experiência de serem inundados por um fluxo constante de IOCs (Indicadores de Comprometimento), domínios e IPs suspeitos, alertas, relatórios, notificações e informações de fornecedores de segurança.
As informações não são apenas extremamente variadas, mas também compartilhadas em diversos formatos não estruturados: em e-mails, PDFs, artigos de notícias, comunicados à imprensa, sites, postagens de blog, relatórios e white papers.
Nesse fluxo de informações, encontram-se dados potencialmente relevantes que podem ajudar a aprofundar uma investigação ou prevenir uma ameaça futura. Mas, sem uma maneira de processar, estruturar, categorizar, pesquisar e correlacionar essas informações, elas podem ser mais opressivas do que úteis.
O MISP combate essa sobrecarga de informações, oferecendo aos analistas uma maneira mais simples de estruturar, coletar, pesquisar, analisar, compartilhar e, por fim, usar essas informações.
Quando usado de forma eficaz, o MISP torna as organizações mais rápidas e eficientes no enfrentamento de ameaças potenciais.
O MISP é apenas um feed de ameaças?
Não. O MISP não é apenas um feed de ameaças baseado em STIX ou TAXII. Você pode usar o MISP para receber informações de feeds de ameaças públicos e comerciais, bem como de comunidades de compartilhamento de ameaças.
Como adicionar feeds de informações sobre ameaças ao MISP?
Existem diversos feeds de informações sobre ameaças gratuitos e de alta qualidade que você pode adicionar ao MISP imediatamente.
Para adicionar feeds de informações sobre ameaças, faça login na sua instância do MISP e selecione “Sync Actions” no menu de navegação superior. Na lista suspensa, selecione “List Feeds”.
Por padrão, dois feeds são exibidos, mas há mais feeds disponíveis. Clique em “‘Load default feed metadata” para obter muito mais feeds de informações sobre ameaças. Selecione os feeds que deseja obter no MISP e clique no botão “Enable selected” para ativá-los.
Por fim, clique no botão “Fetch and store all feed data” e o MISP começará a extrair os dados do feed selecionados de servidores remotos.
Para confirmar se os feeds recém-selecionados estão disponíveis, clique em “Administration” na barra de navegação superior e selecione “Jobs” no menu suspenso. A partir daí, você verá que há tarefas de busca de feeds em fila e em execução.
Se você retornar à aba “Home”, verá que os novos eventos dos seus feeds de inteligência de ameaças recém-adicionados estão começando a aparecer na sua instância do MISP. Clique no ID de um evento para visualizar a seleção completa de dados disponíveis para esse evento.
Quais são os principais casos de uso do MISP?
- Consumir, pesquisar e compartilhar informações. O MISP facilita o consumo de IOCs e outras informações em um formato estruturado e organizado. Por exemplo, você pode usar o MISP para pesquisar as informações disponíveis sobre um determinado endereço IP ou domínio, incluindo se ele foi sinalizado como malicioso por seus pares.
- Enviar IOCs automaticamente para seus firewalls, agentes de endpoint e IDSs (Sistemas de Detecção de Intrusão). Isso significa que você pode automatizar aspectos das defesas da sua organização contra ameaças conhecidas sem a necessidade de intervenção e configuração manuais.
Quem normalmente usa o MISP?
O MISP foi projetado para ser usado por analistas de segurança, equipes de resposta a incidentes e analistas de inteligência contra ameaças. Esses indivíduos normalmente usam o MISP dentro e fora de suas próprias organizações, bem como entre organizações e em comunidades mais amplas de compartilhamento de inteligência contra ameaças.
- No nível individual, analistas, equipes de resposta e pesquisadores usam o MISP para organizar suas próprias informações e compartilhá-las com colegas.
- No nível organizacional, as equipes usam o MISP para armazenar e compartilhar informações dentro e entre equipes e departamentos. Elas também podem usar o MISP para trocar informações selecionadas com outras organizações e comunidades.
- No nível da comunidade de compartilhamento, membros confiáveis da comunidade compartilham e recebem informações. Por exemplo, uma comunidade de compartilhamento pode incluir uma rede de bancos que usam o MISP para compartilhar informações sobre ameaças direcionadas ao setor financeiro.
Confira também: 10 Estratégias Avançadas para Bypassar e Monitorar EDR com Eficiência
Curso Defesa Cibernética Analista SOC na Prática
Se você quer transformar o conhecimento sobre MISP em tarefas práticas do dia a dia do SOC, o curso Defesa Cibernética — Analista SOC na Prática ensina desde a visão do SOC, inteligência de ameaças e plataformas como o MISP até automação com SOAR e integração com SIEMs — tudo por meio de 11 módulos, laboratórios práticos, mentoria e comunidade de alunos. Inscreva-se para vivenciar situações reais que preparam você para atuar como analista SOC. Clique aqui.
