Compartir:

Facebook Twitter Mastodon Telegram Twitter WhatsApp

Intercambio de Indicadores de Compromiso

servicio-MP

En el CSIRT de Gobierno tenemos un servidor MISP que permite compartir una selección de indicadores de compromiso, desde fuentes seleccionadas, para brindar a los servicios públicos conectados información en tiempo real que les pueda resultar útil para protegerse de amenazas de ciberseguridad.

¿Qué es un MISP?

MISP es una sigla en inglés para Plataforma de Intercambio de Información sobre Malware (Malware Information Sharing Platform). Es una herramienta de código abierto diseñada para facilitar el intercambio de información sobre amenazas de seguridad entre organizaciones y comunidades. Funciona como un servidor que continuamente recibe y entrega indicadores de compromiso e información sobre amenazas de seguridad. Un servidor MISP intercambia información con servidores MISP en otras instituciones.

Más aún, en el CSIRT de Gobierno desarrollamos una segunda forma de entregar información: a través de una API REST autenticada.

¿Para qué sirve un MISP?

Un servidor MISP permite compartir y colaborar en tiempo real sobre incidentes de seguridad, indicadores de compromiso (IOC), tácticas, técnicas y procedimientos (TTP), y otra información relevante para detectar, prevenir y mitigar amenazas de ciberseguridad. Esto ayuda a fortalecer la postura de seguridad de las organizaciones al proporcionar una visión más amplia y detallada de las amenazas emergentes.

Algunas ventajas de MISP son:

  • Colaboración mejorada: facilita la colaboración entre equipos de seguridad de diferentes organizaciones y sectores, permitiendo un intercambio más eficiente de información sobre amenazas.
  • Integración con herramientas de seguridad: un MISP se integra fácilmente con otras herramientas y fuentes de inteligencia de seguridad, lo que lo convierte en un componente central en el ecosistema de seguridad de una organización.
  • Actualizaciones en tiempo real: permite a los usuarios recibir y compartir información en tiempo real sobre amenazas, lo que ayuda a mejorar la capacidad de respuesta ante incidentes y la toma de decisiones.
  • Personalizable y escalable: un MISP es altamente personalizable y puede adaptarse a las necesidades específicas de cada organización. Además, es escalable, lo que significa que puede crecer junto con las necesidades de seguridad de una organización a medida que estas evolucionan.
  • Comunidad activa: un MISP cuenta con una comunidad activa de usuarios y desarrolladores que contribuyen con nuevas funcionalidades, integraciones y mejoras de seguridad de manera regular.

¿Para quiénes está disponible?

El MISP de CSIRT está disponible sólo para organizaciones del Estado. Excepcionalmente puede estar disponible para organizaciones privadas con convenios vigentes con el CSIRT. En este minuto, y hasta que el CSIRT pase a la Agencia Nacional de Ciberseguridad, el CSIRT no está firmando nuevos convenios con instituciones privadas.

Para que un organismo del Estado pueda conectarse al MISP, debe que pedir un token de acceso. Para ello debe enviar un correo desde una dirección de email institucional con los datos del encargado de ciberseguridad respectivo a la dirección [email protected]. Nosotros les responderemos con los pasos a seguir.

¿Cómo me conecto al MISP desde mi propio MISP?

Para conectarse a nuestro MISP, tiene que hacer lo siguiente:

  1. Debe enviar un correo a [email protected] con el asunto "Solicitud de authkey de MISP" y redactar en el mensaje los datos de conexión hacia su MISP para nosotros poder conectarnos:
  • Base URL
  • Remote Organisation's UUID
  • Remote Organisation's Name
  • Authkey (Sync User)
  1. Recibirá un correo con el authkey de nuestro MISP, que debes configurar en tu MISP.
  2. Debe ir a configuración de tu MISP y realizar los siguientes pasos:

Paso 1:

Para realizar conexión hacia la instancia de CSIRTCL, con su usuario con role "admin" o "org admin", debe dirigirse dentro su dashboard de MISP a Sync Actions -> Remote Servers -> New Servers:

Paso 1

Paso 2:

En la sección Add Server, debe ingresar los datos asociados a la instancia de CSIRTCL que se muestran a continuación:

  • Base URL: https//misp.csirt.gob.cl
  • Remote Organisation's UUID: 833ccdcf-a8be-46da-bfe8-5f20ae6bab6f
  • Remote Organisation's Name: CSIRTCL
  • Authkey: Entregada por CSIRT

Debe definir un nombre a la instancia en el campo Instance name, que en realidad puede ser cualquier alias, y a su vez ingresar el Authkey que le fue entregado por CSIRT. En el campo Organisation Type se debe definir como New External organisation como se muestra en la siguiente imagen:

Imagen2

Paso 3:

En el mismo apartado (Add Server), en la sección Enabled synchronisation methods, se debe marcar la opción Push y Pull:

Imagen3

Posteriormente, en Misc Settings, se debe marcar las casillas Publish Without Email, Allow self signed certificates y Skip Proxy:

Imagen4

De esta manera, se publicarán eventos hacia CSIRT en caso de que sus eventos se publiquen con la opción "sin envió de correo", como también se establecerá conexión con CSIRTCL, en caso de que la instancia de CSIRTCL utilice un certificado SSL auto-generado. (Allow self-signed certificates (unsecure)).

Luego presiona Submit para guardar los cambios en el sistema.

Paso 4: Reglas de conexión (Opcional)

En caso de tener mucha ingesta de eventos de fuentes abiertas como feed genéricos (sobre 4000 o mas), por motivos de prueba u otros, se debe establecer de forma temporal en las reglas de PUSH hacia CSIRTCL, la propagación de eventos solo generados por su organización, para evitar una propagación masiva de información hacia otras instancias conectadas a CSIRTCL.

En la configuración de la instancia de CSIRT, debe establecer reglas de PUSH, para que "solo" los eventos creados por su organización se compartan con CSIRTCL. Dentro de la configuración de la instancia, debe dirigirse a Push Rules-> Modify:

Imagen5

Dentro de Modify, debe seleccionar su organización de la lista desplegable, junto a Allowed orgs (OR) y presionar flecha izquierda, con esto quedara agregada la organización en la sección de permitidos:

Imagen6

Al presionar Update se cerrara la ventana popup, se devolverá la pantalla a la configuración y debe presionar Submit para guardar los cambios:

Imagen7

Taxonomías utilizadas por CSIRTCL:

Las taxonomías utilizadas por CSIRT para generar eventos son:

  • tlp (TLP):
tlp_1

  • csirt-americas (CSIRT-AMERICAS):
csa_1

¿Cómo me conecto a la API del MISP?

La API del MISP es un desarrollo propio del CSIRT de Gobierno, para facilitar la obtención de información por parte de servicios públicos que no tienen servidor MISP, y no quieren o no pueden instalar uno. Se trata de una API REST autenticada. Para poder consultarla, necesita obtener un token de acceso.

La API está documentada en esta dirección.

A través de la API, puedes obtener los siguientes tipos de información:

  • IP asociadas a amenazas
  • Dominios sospechosos
  • Hashes asociados a amenazas
  • URL sospechosas
  • Nombres de archivos con sus hashes asociados
  • Correos electrónicos asociados a Phishing con sus indicadores de compromiso
  • Información de APT
  • Información de TTP, tal como son definidos por MITRE
  • Información de familias de malware

Para conectarte a la API, tienes que hacer lo siguiente:

  1. Debe solicitar sus datos de acceso, enviando un correo a [email protected] con el asunto "Solicitud de credenciales API MISP".
  2. Recibirá un correo con las credenciales para acceder a la API.
  3. Para conectarse, sigue la documentación de la API en API MISP