Senhoras e senhores: o MISP

Home / Security / Senhoras e senhores: o MISP

Saudações, pessoal!

Já não é novidade para ninguém que o mundo inteiro está olhando com bastante carinho e atenção para a questão da Segurança Cibernética como um todo….até porque, a Internet das Coisas (IOT) está aí e cada deslize pode causar a vida das pessoas. Mas talvez a grande motivação desse olhar mais carinhoso para a nossa área tenha sido a incidência de constantes vazamentos e sequestros de dados que deixaram o mundo da TI de cabeça pra baixo. Nessa “hype” (totalmente necessária), ferramentas como IDS/IPS, Firewall, Anti-vírus, Anti-Spam e SIEM ganharam bastante espaço nas cabecinhas de gestores de TI, pois agora eles sabem o quanto dói no bolso e na reputação da companhia ter seus dados vazados ou seu ambiente de produção comprometido com alguma indisponibilidade.

Tendo o ítem Segurança Cibernética como ponto pacífico indispensável (todo mundo precisa de alguma linha de defesa, da menor à maior empresa), chegamos a um ponto interessante: como saber de uma ameaça antes que ela aconteça no ambiente? Se você levar essa pergunta para o campo pessoal, vai perceber que, se, estatisticamente, andar na Rua Biruleibe após às 22 pode fazer com que você seja assaltado, logo você faz o que? Desvia ou passa em outro horário (com um risco menor mas existente de ser assaltado)….aí está a questão. Alguém te contou essa história um dia (provavelmente, um numero grande de pessoas ou noticiários) e você já tem como montar a sua estratégia de defesa.  O MISP é exatamente isso!!

O Projeto MISP

Mantido pelo CSIRT de Luxemburgo (e com o apoio de toda a UE), o Malware Information Sharing Platform “conta essas histórias” de ameaças detectadas e incidentes de segurança ocorridos em companhias ao redor do mundo ou em um escopo reduzido de companhias, dependendo da escolha da estratégia de uso da ferramenta.

Ele é 100% open-source e pode ser facilmente baixado (mas não tão facilmente implementado..kkkk) via repositório público: https://www.misp-project.org/download/ . É possível fazer a instalação em containers, VMs ou até direto no SO hospedeiro.

Primeiramente, a nomenclatura dele dá a entender que é uma simples plataforma de compartilhamento de Malwares…mas não!! Não mesmo. O MISP começou com este intuito em 2013 mas hoje seu escopo é muito mais amplo e multidisciplinar  e esse artigo tem a intenção se abrir seus olhos para as principais funcionalidades dele.

CTI (Cyber Threat Intelligence)

Não, o MISP sozinho não é uma plataforma de Threat Intelligence…mas é sim um importante braço nesta estrutura.

Para compor uma boa estratégia de Threat Inteligence, como o próprio nome já induz, é preciso pensar bem nas estratégias de defesa pois não existe uma plataforma mágica que faça este trabalho intelectual brotar no ambiente.

Correlação de Eventos/Atributos/IOCs

Um evento de segurança é uma “história contada”, que geralmente diz com quem ocorreu, onde ocorreu, quando ocorreu e como ocorreu um ataque cibernético (ou tentativa de…).

Logicamente, um evento com um título por si só diz pouca coisa sobre um incidente de segurança. São necessários artefatos para que a história fique cada vez mais rica para as linhas de defesa.

Organizações

Desde o seu início, o projeto foca em compartilhamento de informações entre organizações, seja via Feeds públicos, seja via sync de instâncias do MISP (formando assim uma Comunidade). O campo Org se refere à organização que originou o evento, enquanto que Owner Org é a organização que recebeu o evento e, portanto, agora é dona do mesmo, podendo enriquecê-lo  e atualizá-lo.

Atributos

Por favor, não confunda atributo com indicador de comprometimento (IOC) . Um atributo por si só dentro de um evento não indica que ali exista uma peça decisiva para uma investigação. Um atributo pode ser um IP, um MAC, um hash de arquivo, um CVE, um nome de arquivo, etc……mas o que diz se aquilo ali é parte de um IOC é justamente a correlação desses ítens. Se essa correlação representar um risco, ali existe um IOC.

Na figura acima, 2 tipos de atributos diferentes dentro de um evento do MISP : um do tipo Network Activity e outro do tipo Payload Delivery, assim como na própria figura também vemos que esses mesmos atributos também são encontrados em outros eventos (sim o MISP faz essa correlação automaticamente)….isso pode ser um indicador de comprometimento, caso você tenha um evento da sua companhia com algum desses atributos 😉 ….sacou ? Essa é a graça de usar o MISP: você fica sabendo da dor de outra companhia e a própria plataforma te diz : “opa, tem algo parecido acontecendo aqui com a gente, chefia”.

Quando você vai adicionar manualmente um atributo em um evento do MISP, já aparecem as categorias:

Integrações

Olhando de primeira assim, você é induzido a pensar: “huuummm…mas um sisteminha de ver eventos de segurança…mas e daí?”. Conselho: use a API Rest do MISP, ela te dá inúmeras possibilidades de integrações. Via API, você pode automatizar a criação de eventos e inserção de atributos nos mesmos bem como também transformar uma blacklist de IP ou domínio em regras para IDS Suricata/Snort/Bro .

Na seção Automation é possível ter acesso à documentação para o uso da API, assim como a Authkey necessária para fazer esses requests dentro do MISP.

Na figura acima, repare em ReturnFormat. Um dos formatos é o de regra de IDS Suricata, por exemplo.

Então é isso mesmo? De uma lista de domínios e IPs maliciosos você já pode automaticamente gerar as regras para o IDS/IPS? Isso! Exatamente! E é um dos principais atrativos do MISP também: a possibilidade de enriquecer suas defesas em tempo real, pois essas listas que viram regras podem ser facilmente apagadas e sobrescritas enquanto “as coisas acontecem” nas comunidades MISP conectadas à sua.

Aí vai um conselho final, antes de terminar este artigo aqui na madruga: USEM O MISP. Ele é um canivete suíço e a sua criatividade vai fazer com que as integrações fiquem cada vez melhores. Outra coisa bacana que pode ser feita é a integração do MISP com o Elastic Stack (principalmente, com o logstash).

É isso, pessoal. Outros posts sobre MISP vão acontecer e já estamos preparando Workshop e treinamento.

Assinem o site e fiquem sempre ligados!

Grande abraço!!

Bruno Odon

LPIC1|LPIC2|LPIC3-301|LPIC3-303|CEH

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *