Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouMaria Vitória Canela Alterado mais de 4 anos atrás
1
Malware Information Sharing Platform Vitor Sousa
MISP RCTS CERT Malware Information Sharing Platform Vitor Sousa Patrocinadores Platina Patrocinadores Ouro Patrocinadores Prata Apoios Organização Apresentação pessoal
2
Agenda Projeto MISP Projeto instância MISP RCTS CERT
Falar um pouco do projecto MISP, principais características e objectivos e falar um pouco sobre o projecto MISP RCST CERT
3
MISP - História Projeto desenvolvido e mantido pela equipa CIRCL (Computer Incident Response Center Luxembourg) Open Source Software - Projecto desenvolvido pelos profissionais do cert do Luxemburgo, Projecto open-source possível de ser consultado através do repositório CIRCL is the CERT (Computer Emergency Response Team/Computer Security Incident Response Team) for the private sector, communes and non-governmental entities in Luxembourg.
4
O que é o MISP? Plataforma que permite a partilha, armazenamento e correlacionamento de informação sobre indicadores de diversos tipos: Inteligência contra ameaças Informações sobre fraudes financeiras Informações sobre vulnerabilidades Informações sobre contra terrorismo Informações sobre malware A partilha de informação é essencial para o sucesso do projecto Informação sobre IP´s, domínios, etc
5
Para quem é indicado?Para que fins?
Pode ser utilizado e a informação pode ser usada por diversos profissionais para diversos fins, como por exemplo para analisar campanhas de phishing, fraud`s bancárias, analise e intel sobre malware em especifico
6
Estrutura e tipo de dados no MISP
Eventos e classificação (Malware, Phishing, Denial of Service, XSS, etc) Atributos diversos (Network, Payload Delivery, External Analysis, etc) Estrutura de dados assenta sobre eventos, classificação, definição de atributos
7
Corelacionamento de eventos
Possibilita a associação de atributos entre eventos Possibilita identificar e investigar campanhas de phishing e de distribuição de malware, onde por exemplo o atributo comum é o IP ou a hash de um ficheiro malicioso
8
Como pode ser acedida a informação?
Acesso direto por uma interface web Acesso através de API Para contactar a api , foi criada a biblioteca em python denominada pymisp
9
Importação e Exportação de dados
Importação de dados para o MISP Exportação de dados Por default, permite a ativação de feeds pré-configurados Facilidade de interoperabilidade com outros sistemas, tanto na importação como na exportação de informação, devido à diversidade de formatos que consegue interpretar/gerar
10
Segurança da informação
Partilha é feita apenas entre membros confiáveis Exige certificado válido emitido pela instância e chave de utilizador para acesso à API Possibilita o uso de PGP (Pretty Good Privacy) para garantir uma partilha segura em trânsito
11
PRINCIPAIS OBJECTIVOS DO MISP
Armazenar IOC´s de forma estruturada Ajudar na investigação de casos concretos Aumentar a eficiência dos sistemas de segurança Como campanhas de phishing, de malware, ou outros aumento da eficiência destes na deteção de eventuais ataques, como também, na redução de falsos positivos. Exemplos de sistemas IDS (Intrusion Detection System), DNS RPZ, SIEM, AV's
12
Instâncias MISP existentes
13
PROJECTO MISP RCTS CERT
Instalação e configuração da instância MISP RCTS CERT Sincronização com outras instâncias MISP Interligação com sistemas existentes
14
Sandbox cuckoo e MISP RCTS CERT
15
MISP RCTS CERT e DNS-RPZ
O que se pretende é o que a imagem ilustra, “alimentar” o serviço DNSRPZ e o Sistema de intrusão (suricata) já existente com informação proviniente do MISP RCTS CERT
16
O que se espera das organizações?
Solicitem o acesso ao serviço através do Contribuam para a adição de novos eventos na instância
17
Obrigado! Questões? Vitor Sousa 08 de maio de 2019
18
Eventos Página principal onde verificam os eventos diferenciados pelo respetivo ID, Organização que partilhou a informação, data, entre outros
19
Evento e classificação
Para consultar um evento em especifico onde é possível consultar de forma detalhada alguns aspectos do evento
20
Atributos associados ao evento
Por último e mais importante os atributos que se encontram associados ao evento
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.