Malware Platforma pro sdílení informací - Malware Information Sharing Platform

Sdílení hrozeb MISP

Původní autoři	Christophe Vandeplas
Vývojáři	Andras Iklody (hlavní vývojář) a ostatní přispěvatelé
Stabilní uvolnění	2.4.135[1] / 24. listopadu 2020; Před 13 dny (24. listopadu 2020)
Úložiště	https://github.com/MISP/MISP
Napsáno	PHP
Licence	GNU Affero GPLv3
webová stránka	projekt misp.org

Sdílení hrozeb MISP (MISP) je otevřený zdroj platforma zpravodajství o hrozbách. Projekt vyvíjí nástroje a dokumentaci pro efektivnější informace o hrozbách sdílením ukazatele kompromisu.^[2] Existuje několik organizací, které provozují MISP instance, kteří jsou uvedeni na webových stránkách.^[3]

Dějiny

Tento projekt byl zahájen kolem června 2011, kdy Christophe Vandeplas frustroval, že příliš mnoho indikátorů kompromisu (IOC) bylo sdíleno e-mailem nebo v dokumentech PDF a nebylo možné je analyzovat automatickými stroji. Doma si tedy začal hrát CakePHP a prokázal koncept své myšlenky. Nazval to CyDefSIG: Podpisy kybernetické obrany.^[4]

V polovině července 2011 představil svůj osobní projekt v práci (Belgická obrana ) kde byla zpětná vazba spíše pozitivní. Po povolení přístupu k CyDefSIG běžícímu na jeho osobním serveru začala belgická obrana používat CyDefSIG oficiálně od poloviny srpna 2011. Christophe pak mohl během pracovní doby strávit nějaký čas na CyDefSIG, zatímco na něm pracoval doma.^[4]

V určitém okamžiku NATO slyšel o tomto projektu. V lednu 2012 proběhla první prezentace s cílem podrobněji je seznámit s projektem. Podívali se na další produkty, které trh nabízel, ale zdálo se, že považují otevřenost CyDefSIG za velkou výhodu. Andrzej Dereszowski byl prvním vývojářem na částečný úvazek ze strany NATO.^[4]

Jedna věc vedla k další a o několik měsíců později si NATO najalo vývojáře na plný úvazek, aby vylepšil kód a přidal další funkce. Od tohoto data začal vývoj spolupráce. Stejně jako u mnoha osobních projektů nebyla licence dosud výslovně napsána, bylo společně stanoveno, že projekt bude vydán veřejně pod licencí Affero GPL. To pro sdílení kódu s co největším počtem lidí a pro ochranu před jakýmkoli poškozením.^[4]

Projekt byl poté přejmenován na MISP: Malware Information Sharing Project, název vymyslel Alex Vandurme z NATO.^[4]

V lednu 2013 se Andras Iklody stal hlavním vývojářem MISP na plný úvazek, během dne původně najatým NATO a během večera a na víkend přispíval do projektu open source.^[4]

Mezitím začaly další organizace přijímat software a propagovaly jej po celém světě CERT (CERT-EU, CIRCL a mnoho dalších).^[4]

V dnešní době je Andras Iklody hlavním vývojářem projektu MISP a pracuje pro CIRCL.^[4]

Jak se projekt MISP rozšířil, MISP nepokrývá pouze ukazatele malwaru, ale také informace o podvodech nebo zranitelnosti. Název je nyní MISP Threat Sharing, který zahrnuje základní software MISP a nesčetné množství nástrojů (PyMISP) a formát (základní formát, taxonomie MISP, varovné seznamy) pro podporu MISP. MISP je nyní komunitní projekt vedený týmem dobrovolníků.^[4]

Financování

Projekt je financován z Evropská unie (skrz Nástroj pro propojení Evropy^[5]) a Centrum pro řešení počítačových incidentů v Lucemburku.

Integrace zpravodajských služeb

Indikátory kompromisu, které jsou spravovány MISP, mohou pocházet z různých zdrojů; včetně interních vyšetřovacích týmů incidentů, partnerů pro sdílení zpravodajských informací nebo komerčních zpravodajských zdrojů. Mezi komerční zdroje s integrací do MISP patří DeepSight Intelligence společnosti Symantec, Kanály ohrožení Kaspersky a McAfee Active Response. Integrace MISP s open-source a komerčními platformy pro zpravodajství o hrozbách zahrnout Platforma EclecticIQ.

Reference

externí odkazy

• Oficiální webové stránky
• IETF draft-dulaunoy-misp-taxonomy-format-06
• Vytváření a navrhování MISP: Praktický nástroj pro sdílení informací pro ukazatele kybernetické bezpečnosti a podvodů
• Sdílení IOC s vědomím ochrany osobních údajů v MISP
• MISP: Sdílení se děje odlišně