Intercambio de Indicadores de Compromiso

servicio-MP

En el CSIRT de Gobierno tenemos un servidor MISP que permite compartir una selección de indicadores de compromiso, desde fuentes seleccionadas, para brindar a los servicios públicos conectados información en tiempo real que les pueda resultar útil para protegerse de amenazas de ciberseguridad.

¿Qué es un MISP?

MISP es una sigla en inglés para Plataforma de Intercambio de Información sobre Malware (Malware Information Sharing Platform). Es una herramienta de código abierto diseñada para facilitar el intercambio de información sobre amenazas de seguridad entre organizaciones y comunidades. Funciona como un servidor que continuamente recibe y entrega indicadores de compromiso e información sobre amenazas de seguridad. Un servidor MISP intercambia información con servidores MISP en otras instituciones.

Más aún, en el CSIRT de Gobierno desarrollamos una segunda forma de entregar información: a través de una API REST autenticada.

¿Para qué sirve un MISP?

Un servidor MISP permite compartir y colaborar en tiempo real sobre incidentes de seguridad, indicadores de compromiso (IOC), tácticas, técnicas y procedimientos (TTP), y otra información relevante para detectar, prevenir y mitigar amenazas de ciberseguridad. Esto ayuda a fortalecer la postura de seguridad de las organizaciones al proporcionar una visión más amplia y detallada de las amenazas emergentes.

Algunas ventajas de un MISP son:

  • Colaboración mejorada: facilita la colaboración entre equipos de seguridad de diferentes organizaciones y sectores, permitiendo un intercambio más eficiente de información sobre amenazas.
  • Integración con herramientas de seguridad: un MISP se integra fácilmente con otras herramientas y fuentes de inteligencia de seguridad, lo que lo convierte en un componente central en el ecosistema de seguridad de una organización.
  • Actualizaciones en tiempo real: permite a los usuarios recibir y compartir información en tiempo real sobre amenazas, lo que ayuda a mejorar la capacidad de respuesta ante incidentes y la toma de decisiones.
  • Personalizable y escalable: un MISP es altamente personalizable y puede adaptarse a las necesidades específicas de cada organización. Además, es escalable, lo que significa que puede crecer junto con las necesidades de seguridad de una organización a medida que estas evolucionan.
  • Comunidad activa: un MISP cuenta con una comunidad activa de usuarios y desarrolladores que contribuyen con nuevas funcionalidades, integraciones y mejoras de seguridad de manera regular.

¿Para quiénes está disponible?

El MISP del CSIRT está disponible tanto para organizaciones del Estado como privados.

Para conectarse al MISP del CSIRT, debe pedir un token de acceso siguiendo los pasos a continuación:

¿Cómo me conecto al MISP de CSIRT desde mi propio MISP?

Para conectarse a nuestro MISP, debe realizar los siguientes pasos en orden:

  1. Debe crear un usuario Sync dentro de su instancia MISP. Posteriormente debe tener a mano la siguiente información, ya que se le solicitara ingresarla dentro del punto 2:
    • Base URL
    • Remote Organisation's UUID
    • Remote Organisation's Name
    • Authkey (Usuario Sync creado)

2. Debe llenar el formulario de solicitud ingresando aquí

3. Recibirá un correo con el authkey y los datos de conexión hacia nuestro MISP.

4. Una vez con los datos de conexión, debe ir a la configuración de su MISP y realizar los siguientes pasos:

Paso 1:

Para realizar conexión hacia la instancia de CSIRTCL, con su usuario con role "admin" o "org admin", debe dirigirse dentro su dashboard de MISP a Sync Actions -> Remote Servers -> New Servers:

Paso 1

Paso 2:

En la sección Add Server, debe ingresar los datos asociados a la instancia de CSIRTCL que se muestran a continuación:

  • Base URL: https//misp.csirt.gob.cl
  • Remote Organisation's UUID: 833ccdcf-a8be-46da-bfe8-5f20ae6bab6f
  • Remote Organisation's Name: CSIRTCL
  • Authkey: Entregada por el CSIRT

Debe definir un nombre a la instancia en el campo Instance name, que en realidad puede ser cualquier alias, y a su vez ingresar el Authkey que le fue entregado por el CSIRT. En el campo Organisation Type se debe definir como New External organisation como se muestra en la siguiente imagen:

Imagen2

Paso 3:

En el mismo apartado (Add Server), en la sección Enabled synchronisation methods, se debe marcar la opción Push y Pull:

Imagen3

Posteriormente, en Misc Settings, se debe marcar las casillas Publish Without Email, Allow self signed certificates y Skip Proxy:

Imagen4

De esta manera, se publicarán eventos hacia CSIRT en caso de que sus eventos se publiquen con la opción "sin envió de correo", como también se establecerá conexión con CSIRTCL, en caso de que la instancia de CSIRTCL utilice un certificado SSL auto-generado. (Allow self-signed certificates (unsecure)).

Luego presiona Submit para guardar los cambios en el sistema.

Paso 4: Reglas de conexión (Opcional)

En caso de tener mucha ingesta de eventos de fuentes abiertas como feed genéricos (sobre 4000 o mas), por motivos de prueba u otros, se debe establecer de forma temporal en las reglas de PUSH hacia CSIRTCL, la propagación de eventos solo generados por su organización, para evitar una propagación masiva de información hacia otras instancias conectadas a CSIRTCL.

En la configuración de la instancia de CSIRT, debe establecer reglas de PUSH, para que "solo" los eventos creados por su organización se compartan con CSIRTCL. Dentro de la configuración de la instancia, debe dirigirse a Push Rules-> Modify:

Imagen5

Dentro de Modify, debe seleccionar su organización de la lista desplegable, junto a Allowed orgs (OR) y presionar flecha izquierda, con esto quedara agregada la organización en la sección de permitidos:

Imagen6

Al presionar Update se cerrará la ventana popup, se devolverá la pantalla a la configuración y debe presionar Submit para guardar los cambios:

Imagen7

Taxonomías utilizadas por CSIRTCL:

Las taxonomías utilizadas por el CSIRT para generar eventos son:

  • tlp (TLP):
tlp_1

  • csirt-americas (CSIRT-AMERICAS):
csa_1

¿Cómo me conecto a la API del MISP?

La API del MISP es un desarrollo propio del CSIRT de Gobierno, para facilitar la obtención de información por parte de organizaciones que no tienen servidor MISP, y no quieren o no pueden instalar uno. Se trata de una API REST autenticada. Para poder consultarla, necesita obtener un token de acceso.

A través de la API, puedes obtener:

  • IP asociadas a amenazas
  • Dominios sospechosos
  • Hashes asociados a amenazas
  • URL sospechosas
  • Nombres de archivos con sus hashes asociados
  • Correos electrónicos asociados a Phishing con sus indicadores de compromiso
  • Información de APT
  • Información de TTP, tal como son definidos por MITRE
  • Información de familias de malware

Para conectarte a la API MISP, tienes que hacer lo siguiente:

  1. Debe llenar el formulario de solicitud de acceso ingresando aquí
  2. Recibirá un correo con las credenciales para acceder a la API.
  3. Para conectarse, sigue la documentación de la API en API MISP