Plataforma de compartilhamento de informações sobre malware

Este projeto começou por volta de junho de 2011, quando Christophe Vandeplas se sentiu frustrado porque muitos Indicadores de Compromisso (IOCs) eram compartilhados por e-mail ou em documentos PDF e não eram analisáveis ​​por máquinas automáticas. Então em casa ele começou a brincar com o CakePHP e fez uma prova de conceito de sua ideia. Ele o chamou de CyDefSIG: Assinaturas de Defesa Cibernética.

Em meados de julho de 2011, ele apresentou seu projeto pessoal no trabalho ( Defesa Belga ), onde o feedback foi bastante positivo. Depois de dar acesso ao CyDefSIG rodando em seu servidor pessoal, a Belgian Defense começou a usar o CyDefSIG oficialmente a partir de meados de agosto de 2011. Christophe foi então autorizado a passar algum tempo no CyDefSIG durante suas horas de trabalho, enquanto ainda trabalhava nele em casa.

Em algum momento, a OTAN ouviu falar desse projeto. Em janeiro de 2012, foi feita uma primeira apresentação para apresentá-los com mais profundidade ao projeto. Eles examinaram outros produtos que o mercado oferecia, mas parecia que consideravam a abertura do CyDefSIG uma grande vantagem. Andrzej Dereszowski foi o primeiro desenvolvedor em tempo parcial do lado da OTAN.

Uma coisa levou a outra e alguns meses depois a OTAN contratou um desenvolvedor em tempo integral para melhorar o código e adicionar mais recursos. Um desenvolvimento colaborativo começou a partir dessa data. Tal como acontece com muitos projetos pessoais, a licença ainda não foi escrita explicitamente, foi decidido de forma colaborativa que o projeto seria lançado publicamente sob a licença Affero GPL. Isso para compartilhar o código com o máximo de pessoas possível e protegê-lo de qualquer dano.

O projeto foi então renomeado para MISP: Malware Information Sharing Project, um nome inventado por Alex Vandurme da OTAN.

Em janeiro de 2013, Andras Iklody tornou-se o principal desenvolvedor em tempo integral do MISP, durante o dia inicialmente contratado pela OTAN e durante a noite e no final de semana contribuindo para um projeto de código aberto. [4]

Enquanto isso, outras organizações começaram a adotar o software e promovê-lo em todo o mundo CERT (CERT-EU, CIRCL e muitos outros).

Hoje em dia, Andras Iklody é o desenvolvedor líder do projeto MISP e trabalha para CIRCL.

Conforme o projeto MISP se expandiu, o MISP não está apenas cobrindo os indicadores de malware, mas também as informações de fraude ou vulnerabilidade. O nome agora é MISP Threat Sharing, que inclui o software MISP principal e uma miríade de ferramentas (PyMISP) e formato (formato principal, taxonomias MISP, listas de advertência) para suportar o MISP. O MISP é agora um projeto comunitário liderado por uma equipe de voluntários.

Integração de Inteligência

Os indicadores de comprometimento gerenciados pelo MISP podem se originar de uma variedade de fontes; incluindo equipes de investigação de incidentes internos, parceiros de compartilhamento de inteligência ou fontes de inteligência comercial. Fontes comerciais com integração ao MISP incluem DeepSight Intelligence da Symantec , feeds de ameaças Kaspersky e McAfee Active Response. As integrações MISP com plataformas de código aberto e de inteligência contra ameaças comerciais incluem a plataforma ThreatQuotient e a plataforma EclecticIQ.

Plaraforma MIST: MISP

Imprimir