CSIRT publica repositorios para mejorar MISP
Por Felipe Quezada Valenzuela y Cristian Bravo LilloUno de los objetivos del CSIRT de Gobierno es contribuir con la comunidad, tanto pública como privada, en los diversos temas que involucran a la ciberseguridad. Existe un constante desarrollo de herramientas que entregan funcionalidades extras a plataformas conocidas. Una de ellas, muy conocida entre los CSIRTs de los distintos países, es la plataforma MISP.
MISP es una plataforma de inteligencia de amenazas de código abierto que permite intercambiar información sobre amenazas de seguridad. Pero como toda plataforma, tiene algunas limitaciones, ¿de qué tipo?
1: Problemas con el script de instalación: misp-upgrade
Actualmente, el script de instalación de la última versión estable de MISP (2.5.1) sólo está disponible para distribuciones Ubuntu Linux. Ocurre lo mismo si uno quiere hacer un upgrade de MISP desde versiones más antiguas, el script también sólo está disponible para Ubuntu Linux, y con algunos errores. Este problema nos motivó a corregir los errores de instalación de MISP y ofrecer el proyecto misp-upgrade a la comunidad.
Creamos un script que actualiza de forma automática dentro de distribuciones Ubuntu 24.04, cualquier instancia MISP desde la versión 2.4.x a la última estable 2.5.x, y no requiere configuraciones adicionales.
Si te interesa esta actualización, ingresa al repositorio aquí https://git.csirt.gob.cl/public/misp-upgrade. Luego:
- Baja el script desde Ubuntu con “wget” -> wget -O https://git.csirt.gob.cl/public/misp-upgrade/raw/branch/main/UPGRADE.ubuntu2404_modcsirt.sh
- En el repositorio encontrarás un documento llamado “README”. Ahí encontrarás los pasos de instalación.
2: Limpieza y estadísticas: misp-topcontrib
Existen un par de problemas de gestión con MISP que desincentivan su uso.
Uno es que los indicadores de compromiso que son falsos positivos no se limpian de forma automática. Muchas comunidades de MISP no realizan el proceso de limpiar indicadores tampoco, ya sea de forma manual o automática. De esta forma, es posible que falsos positivos se propaguen por la red, lo que daña la utilidad de los indicadores y nuestra confianza en ellos.
Otro problema es que la información estadística no se entrega en un formato amigable, ni tampoco es fácil de consultar. A través de la API de MISP se debe construir la información con consultas específicas, y estos datos se generan a través de código y no con un informe amigable, como por ejemplo un PDF con gráficos.
Para resolver ambos problemas, se utilizó la base de datos de MISP denominada "Warninglist". Se contrasta ésta con el servicio gratuito de lookup de IP's, dominios y hashes que ofrece Kaspersky© Threat Intelligence Portal. Al momento de realizar limpieza de indicadores, de forma paralela se realiza un conteo de indicadores válidos por cada comunidad conectada a MISP, incluyendo IP, Hashes, Dominios y otros. Estos datos son accesibles mediante una API REST, que se genera al instalar el proyecto.
Gracias a esto, los usuarios de MISP no tendrán que invertir tiempo en revisar y depurar los falsos positivos dentro de la plataforma, garantizando así que los IoC que se compartan sean válidos.
¿Qué es una API REST?
Una API REST (Representational State Transfer) es un tipo de interfaz de programación que permite la comunicación entre sistemas a través de HTTP. Basado en principios arquitectónicos de REST, una API REST utiliza métodos HTTP estándar como GET (para obtener datos), POST (para crear), PUT (para actualizar) y DELETE (para eliminar), facilitando la interacción con recursos específicos identificados por URLs. Además, las API REST son independientes del cliente y del servidor, lo que permite a distintos sistemas interactuar de forma flexible y escalable.
¿Qué servicios entrega esta API?
Principalmente tres servicios:
- /api/stats/: Para obtener la cantidad de contribuciones (IoC) de cada organización.
- /api/stats/cantidad_por_organizacion/: Para obtener la cantidad total de contribuciones (IoC) de cada organización (año).
- /api/stats/por_periodo/: Para obtener la cantidad de contribuciones (IoC) de cada organización de un período específico.
Para acceder al repositorio y acceder a los beneficios de este proyecto, ingresa aquí: https://git.csirt.gob.cl/public/misp-topcontrib.
Finalmente, cabe destacar que al ser una API los datos pueden ser consumidos desde cualquier lenguaje, cliente o servidor. Actualmente, el CSIRT de Gobierno consume esta API con la plataforma MISP de CSIRT, entregando estadísticas mensuales de colaboración, como muestra la siguiente imagen:
Finalmente...
En caso de dudas, escríbenos a [email protected].
Esto es parte de una serie de proyectos, así que atentos, ya que continuaremos subiendo proyectos relaciones a MISP y a otras plataformas.