Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DE SEGURIDAD DIGITAL
1
Programa de especialización
en Ciberseguridad y Ciberdefensa
2
Centro Nacional de Seguridad Digital
Unidad 2
Malware
Information
Sharing Platform
(MISP)
5
6
7
Desarrollo basado en comentarios prácticos
de los usuarios
Tipo de usuario Descripción
Inversores de malware Dispuesto a compartir indicadores de análisis con respectivos
colegas.
Analistas de seguridad Buscar, validar y utilizar indicadores en seguridad operacional.
Analistas de inteligencia Recopilación de información sobre grupos adversarios específicos.
Cumplimiento de la ley Confiando en indicadores para apoyar o arranque sus casos DFIR.
8
9
9
10
10
11
11
12
Compartiendo dificultades
Compartir las dificultades no son realmente problemas técnicos, pero a menudo
es una cuestión de interacciones sociales (p. ej confianza).
Restricción legal
- "Nuestro marco legal no nos permite compartir información ".
- "El riesgo de fuga de información es demasiado alto y es demasiado riesgoso
para nuestra organización o socios ".
Restricción práctica
- "No tenemos información para compartir ".
- "No tenemos tiempo para procesar o aportar indicadores ".
- "Nuestro modelo de clasificación no se ajusta a su modelo ".
- "Las herramientas para compartir información están vinculadas a un formato
específico, usamos uno diferente ".
12
13
13
14
Capa de datos
14
15
Capa de contexto
15
16
Indicadores
- Los indicadores contienen un patrón que se puede utilizar para detectar
actividad cibernética sospechosa o maliciosa.
Los atributos en MISP pueden ser indicadores de red (por ejemplo, dirección IP),
indicadores del sistema (por ejemplo, una cadena en la memoria) o incluso
detalles de cuentas bancarias.
- Un tipo (por ejemplo, MD5, url) es cómo se describe un atributo.
- Un atributo siempre está en una categoría (por ejemplo, entrega de carga
útil) lo que lo pone en un contexto.
- Una categoría es lo que describe un atributo.
- Una bandera IDS en un atributo permite determinar si un atributo puede
usarse automáticamente para la detección.
16
17
17
18
18
19
Contextualización y agregación
MISP integra en el evento y los niveles de atributo las Tácticas,
Técnicas y Conocimientos Comunes Adversarios de MITRE’s
19
20
Compartiendo en MISP
20
21
• La funcionalidad principal de
los MISP es compartir,
donde todos pueden ser
consumidores y/o
contribuyentes /
productores.
• Beneficio rápido sin
obligación de cotizar.
• Acceso de barrera baja para
familiarizarse con el sistema.
21
22
• Correlacionar datos.
• Bucle de retroalimentación de detecciones a través de avistamientos.
• Gestión de falsos positivos a través del sistema de lista de advertencias.
• Sistema de enriquecimiento mediante módulos MISP.
• Integraciones con una gran cantidad de herramientas y formatos.
• API flexible y bibliotecas de soporte como PyMISP para facilitar la
Integración.
• Líneas de tiempo y dar a la información un contexto temporal.
• Cadena completa para la gestión del ciclo de vida de los indicadores.
22
23
23
24
24
25
Soporte de avistamientos
25
26
26
27
27
28
31
32
33
MISP – Evento y atributos
34
MISP – Correlación entre atributos comunes
35
MISP – Propuestas
36
MISP – Etiquetas
37
MISP – Discusiones
38
MISP – Taxonomías y correlaciones
39
MISP – Modelo de datos completo
40
41
42
Maquina Virtual
43
¿Qué es hipervisor?
44
Tipos de hipervisores
45
Hipervisor tipo 1
46
Hipervisor tipo 2
47
Computación en la nube
48
Software de virtualización a usar para la practica
https://www.virtualbox.org/wiki/Downloads
49
Maquina virtual de MISP
50
Importar la maquina virtual de MISP
51
Importar la maquina virtual de MISP
52
Importar la maquina virtual de MISP
53
Importar la maquina virtual de MISP
54
Importar la maquina virtual de MISP
55
Importar la maquina virtual de MISP
56
57
2.4 Eventos
8
58
Crear un evento
59
Crear un evento llenando un caso práctico
https://www.bleepingcomputer.com/news/security/researcher-finds-the-karma-ransomware-being-distributed-via-
pay-per-install-network/
60
61
2.5 Taxonomías
8
62
Taxonomías
63
Taxonomías
• Las taxonomías se implementan en un formato JSON simple.
• Cualquiera puede crear su propia taxonomía o reutilizar una existente.
• Las taxonomías están en un repositorio de git independiente.
• Estos se pueden reutilizar e integrar libremente en otras herramientas
de inteligencia de amenazas.
• Las taxonomías están autorizadas por Creative Commons (dominio
público) excepto si el autor de la taxonomía decide utilizar otra
licencia.
https://www.github.com/MISP/misp-taxonomies
64
Taxonomías
65
Taxonomía Perú
66
Taxonomía Perú
67
68
2.6 Galaxias
8
69
Galaxias
• Los vocabularios provienen de estándares existentes (como STIX,
Veris, ATT & CK, MISP, etc.) o personalizados que solo usa para su
organización. Los grupos y vocabularios existentes se pueden usar tal
cual o como plantilla.
• La distribución de MISP se puede aplicar a cada grupo para permitir
un esquema de distribución más amplio o limitado.
https://github.com/MISP/misp-galaxy
70
Galaxias
Se accede a la gestión de las galaxias mediante el enlace Galaxias en el
menú superior.
71
72
• Usuarios (Users)
• Organizaciones (Organizations)
• Roles (Roles)
• Herramientas (Tools)
• Configuración del servidor (Server Settings)
• Trabajos (Jobs)
• Tareas programadas (Scheduled Tasks)
73
Usuarios
74
Organizaciones
75
Roles
76
Herramientas
77
Configuración del servidor y mantenimiento
78
Trabajos
79
Tareas programadas
80
81
!Muchas Gracias!
82
82