Proyecto MISP

Actualización Enero 2022: Por problemas de fuerza mayor este proyecto está abajo temporalmente, avisaremos cuando se reanude.

Este proyecto es el más antiguo de la fundación, nació en mayo del 2018 como una respuesta a la falta de cooperación entre instituciones para compartir indicadores de compromiso (IOC). Con esto nosotros quisimos poner nuestro grano de arena para que la comunidad de ciberseguridad en Chile esté más segura.

Como la ciberseguridad se basa mucho en la confianza que se tiene en cada fuente de datos nosotros tenemos un proceso de ingreso de estos indicadores en el cual intentamos asegurar que los indicadores son fiables. En este proceso:

• Validamos que los indicadores sean de fuentes de confianza
• Revisamos automática y manualmente cada uno de los indicadores que no vienen de fuentes de confianza (esto incluye especialmente redes como Whatsapp o Telegram)

Luego de la revisión podemos ingresarlos al sistema MISP para que estén guardados de manera ordenada y también para que podamos contextualizar cualquier duda que se tenga con un indicador en particular.

En el 2019 liberamos los indicadores para el consumo general de la comunidad, y lo publicamos en el siguiente artículo: https://finsin.cl/2019/09/17/liberamos-los-iocs-de-finsin/

Como sale en el link anterior, estos indicadores los disponemos a través de nuestra plataforma online, y tenemos distintas URL para los distintos tipos de IOC que se puedan requerir, esta es la lista actual:

• Hash MD5: https://ioc.finsin.cl/Output_FINSIN_MD5
• Hash SHA1: https://ioc.finsin.cl/Output_FINSIN_SHA1
• Hash SHA256: https://ioc.finsin.cl/Output_FINSIN_SHA256
• IP: https://ioc.finsin.cl/Output_FINSIN_IP?tr=1
• Dominios: https://ioc.finsin.cl/Output_FINSIN_Domain
• URLs: https://ioc.finsin.cl/Output_FINSIN_URL

Ahora un set de preguntas y respuestas que pueden ser de su ayuda.

¿Qué es un MISP?

MISP es la sigla de Malware Information Sharing Platform, es un sistema open-source que fue creado y es mantenido por el “Computer Incident Response Center Luxembourg” (CIRCL) para compartir información de Threat Intelligence incluyendo indicadores de compromiso con toda la comunidad de ciberseguridad.

Fue creado como una forma de estandarizar la forma de compartir información entre entidades distintas, que pudieran tener distintas plataformas para almacenar sus datos de ciberseguridad.

Este proyecto ya lleva más de 10 años en funcionamiento y a través de este tiempo ha logrado entrar en distintas empresas e instituciones a nivel mundial para ser su forma de compartir IOC.

¿Porqué tiene que ser cerrado para ingresar nuevos IOC?

Como lo dijimos anteriormente necesitamos que exista confianza en el proyecto para que se puedan utilizar, si es que estos IOC fueran abiertos para ingresar potencialmente podríamos tener un problema de conflictos entre distintas instituciones.

Por ejemplo, ¿qué pasa si es que alguien, por descuido, manda a bloquear el DNS de Google?

Por eso pasamos por un filtro para que esta información no genere un problema para la mayoría de las personas que puedan necesitar tomar acciones preventivas rápidas.

¿De qué me puede servir a mí?

Depende de tu enfoque, esta lista de IOC te pueden servir para mejorar la protección de tu red, ya sea a nivel doméstico o a nivel empresarial.

Al tener varios IOC declarados y centralizados en un punto, se pueden generar listas dinámicas de bloqueo que constantemente se estén actualizando sin tener interacción humana. Esto mejora sustancialmente los tiempos de reacción frente a potenciales infecciones ya que preventivamente tienes estas listas negras que ya sabes que son dañinas, y sencillamente las bloqueas.

¿Estos IOC son estáticos?

No, estos IOC van cambiando constantemente. Cada vez que se actualiza la plataforma del MISP se genera una lista nueva de IOC para compartir con la comunidad, esta lista está compuesta de los indicadores que no tengan más de 90 días en la plataforma. Con esto nos aseguramos que cada indicador sea “relevante” en los casos actuales que se estén revisando.

Yo también quiero un MISP y no sé donde empezar

Puedes contactarnos a [email protected] si quieres que te guiemos en los primeros pasos.

Si quieres una capacitación más formal habría que conversar directamente con los expertos, porque como fundación no tenemos un servicio de capacitaciones.

¿Cómo puedo aportar?

Si quieren compartir cualquier indicador de compromiso con nosotros basta que nos envíen lo que quieran compartir a [email protected] y ahí lo revisaremos.

Muchas gracias por apoyarnos.