CENTRO NACIONAL

DE SEGURIDAD DIGITAL

1
 Programa de especialización
en Ciberseguridad y Ciberdefensa

2
 Centro Nacional de Seguridad Digital

Taller de implementación MISP

Ing. Maurice Frayssinet Delgado

mfrayssinet@gmail.com
Tfl. (+51) 980.997.203
3
4

Unidad 2

Malware
Information
Sharing Platform
(MISP)

CENTRO NACIONAL DE SEGURIDAD DIGITAL

Ing. Maurice Frayssinet Delgado
Unidad 2 Malware Information Sharing Platform
(MISP)
2.1 Introducción al MISP
2.2 Modelo de datos
2.3 Instalación de la maquina virtual MISP
2.4 Eventos
2.5 Taxonomías
2.6 Galaxias
2.7 Administración de la plataforma

5
6

2.1 Introducción al MISP

8

CENTRO NACIONAL DE SEGURIDAD DIGITAL

6
Ing. Maurice Frayssinet Delgado
¿Qué es MISP?

MISP es una plataforma de intercambio de información sobre amenazas

plataforma que es software gratuito y de código abierto.

Una herramienta que recoge información de socios, sus analistas, sus

herramientas, feeds.

Normaliza, correlaciona, enriquece los datos permiten a los equipos y

comunidades colaborar.

Feeds herramientas de protección automatizadas y herramientas de análisis

con la salida.

7
 Desarrollo basado en comentarios prácticos
de los usuarios
Tipo de usuario Descripción
Inversores de malware Dispuesto a compartir indicadores de análisis con respectivos
colegas.
Analistas de seguridad Buscar, validar y utilizar indicadores en seguridad operacional.
Analistas de inteligencia Recopilación de información sobre grupos adversarios específicos.

Cumplimiento de la ley Confiando en indicadores para apoyar o arranque sus casos DFIR.

Equipos de análisis de Dispuesto a conocer las nuevas amenazas, probabilidad y

riesgos ocurrencias.
Analistas de fraude Dispuesto a compartir indicadores financieros para detectar fraudes
financieros.

8
9

Objetivos de los grupos de usuarios

Compartir indicadores para un asunto de detección.
¿Tengo sistemas infectados en mi infraestructura o en
los que opero?
Estos objetivos
Compartir indicadores para bloquear. pueden ser
Utilizo estos atributos para bloquear, hundir o desviar contradictorios
el tráfico. (p. Ej., Falsos
positivos, tienen
Compartir indicadores para realizar inteligencia. diferentes impactos)
Recopilación de información sobre campañas y
ataques. ¿Están relacionados? ¿Quién me está
apuntando? ¿Quiénes son los adversarios?

9
10

Comunidades que utilizan MISP

• CIRCL opera múltiples instancias de MISP con una base de usuarios
significativa (más de 1200 organizaciones con más de 4000 usuarios).

• Grupos de confianza ejecutar comunidades MISP en modo isla

(sistema con espacio de aire) o en modo parcialmente conectado.

• Sector financiero (bancos, ISACs, organizaciones de procesamiento de

pagos) utilizan el MISP como mecanismo de intercambio.

10
11

Comunidades que utilizan MISP

• Organizaciones militares e internacionales (NATO, CSIRT militares, n/g
CERTs,...).

• Proveedores de seguridad ejecutar sus propias comunidades (por

ejemplo, Fidelis) o interactuar con las comunidades de MISP (por
ejemplo, OTX).

• Comunidades temáticas configurado para abordar problemas

específicos individuales (COVID-19 MISP)

11
12

Compartiendo dificultades
Compartir las dificultades no son realmente problemas técnicos, pero a menudo
es una cuestión de interacciones sociales (p. ej confianza).
Restricción legal
- "Nuestro marco legal no nos permite compartir información ".
- "El riesgo de fuga de información es demasiado alto y es demasiado riesgoso
para nuestra organización o socios ".
Restricción práctica
- "No tenemos información para compartir ".
- "No tenemos tiempo para procesar o aportar indicadores ".
- "Nuestro modelo de clasificación no se ajusta a su modelo ".
- "Las herramientas para compartir información están vinculadas a un formato
específico, usamos uno diferente ".

12
13

Descripción general del proyecto MISP

13
14

Eliminando convenciones de nomenclatura

Capa de datos

- Eventos son encapsulaciones para información vinculada contextualmente.

- Atributos son puntos de datos individuales, que pueden ser indicadores o
datos de apoyo.
- Objetos son composiciones de atributos con plantillas personalizadas.
- Referencias de objeto son las relaciones entre otros bloques de
construcción.
- Avistamientos son ocurrencias específicas en el tiempo de un punto de
datos dado detectado.

14
15

Eliminando convenciones de nomenclatura

Capa de contexto

- Etiquetas son etiquetas adjuntas a eventos / atributos y pueden venir de

Taxonomías.
- Cúmulos de galaxias son elementos de la base de conocimientos que se
utilizan para etiquetar eventos / atributos y provienen de Galaxias.
- Relaciones de clúster denotar relaciones predefinidas entre clusters.

15
16

Terminología sobre indicadores

Indicadores
- Los indicadores contienen un patrón que se puede utilizar para detectar
actividad cibernética sospechosa o maliciosa.
Los atributos en MISP pueden ser indicadores de red (por ejemplo, dirección IP),
indicadores del sistema (por ejemplo, una cadena en la memoria) o incluso
detalles de cuentas bancarias.
- Un tipo (por ejemplo, MD5, url) es cómo se describe un atributo.
- Un atributo siempre está en una categoría (por ejemplo, entrega de carga
útil) lo que lo pone en un contexto.
- Una categoría es lo que describe un atributo.
- Una bandera IDS en un atributo permite determinar si un atributo puede
usarse automáticamente para la detección.

16
17

Un modelo de datos enriquecido: contar

historias a través de las relaciones

17
18

Un modelo de datos enriquecido: contar

historias a través de las relaciones

18
19

Contextualización y agregación
MISP integra en el evento y los niveles de atributo las Tácticas,
Técnicas y Conocimientos Comunes Adversarios de MITRE’s

19
20

Compartiendo en MISP

• Compartir a través de listas de distribución - Compartiendo grupos.

• Delegación para compartir información pseudoanonimizada.
• Propuestas y Eventos extendidos para compartir información en
colaboración.
• Sincronización, sistema de alimentación, intercambio de aire.
• Uso compartido filtrado definido por el usuario para todos los métodos
mencionados anteriormente.
• Información de instancias cruzadas almacenamiento en caché para
búsquedas rápidas de grandes conjuntos de datos.
• Soporte para enclaves internos de múltiples MISP.

20
21

Funcionalidad central de intercambio

distribuido de MISP

• La funcionalidad principal de
los MISP es compartir,
donde todos pueden ser
consumidores y/o
contribuyentes /
productores.
• Beneficio rápido sin
obligación de cotizar.
• Acceso de barrera baja para
familiarizarse con el sistema.

21
22

Gestión de la calidad de la información

• Correlacionar datos.
• Bucle de retroalimentación de detecciones a través de avistamientos.
• Gestión de falsos positivos a través del sistema de lista de advertencias.
• Sistema de enriquecimiento mediante módulos MISP.
• Integraciones con una gran cantidad de herramientas y formatos.
• API flexible y bibliotecas de soporte como PyMISP para facilitar la
Integración.
• Líneas de tiempo y dar a la información un contexto temporal.
• Cadena completa para la gestión del ciclo de vida de los indicadores.

22
23

Funciones de correlación: una herramienta

para analistas

23
24

Funciones de correlación: una herramienta

para analistas

• Para corroborar y encontrar (por ejemplo, ¿es la misma

campaña?),
• reforzar un análisis (por ejemplo, ¿otros analistas tienen la
misma hipótesis?),
• confirmar un aspecto específico (por ejemplo, ¿se utilizan las
direcciones IP del sumidero para una campaña?)
• o simplemente averigüe si la amenaza es nueva o desconocida
en su comunidad.

24
25

Soporte de avistamientos

• ¿Ha sido un punto de datos de vista normal

por mí o por la comunidad antes?
• Además, el sistema de avistamiento admite
señales negativas (FP) y avistamientos de
expiración.
• Los avistamientos se pueden realizar a
través de la API o la interfaz de usuario.
• Muchos casos de uso para indicadores de
puntuación basado en el avistamiento de
los usuarios.
• Para grandes cantidades de datos,
AvistamientoDB por Devo.

25
26

Líneas de tiempo y dar a la información un

contexto
temporal

• Introducido recientemente first_seen y ultima vez visto

puntos de datos.
• Todos los puntos de datos se pueden colocar en el tiempo.
• Visualización y ajustamiento de los plazos de los
indicadores.

26
27

Líneas de tiempo y dar a la información un

contexto
temporal

27
28

Gestión del ciclo de vida mediante el

deterioro de los indicadores

• Botón de alternancia de puntuación de decadencia

- Muestra la puntuación de cada modelo asociado al tipo de atributo.
28
29

Decaimiento de indicadores: herramienta de

ajuste fino

Crear, modificar, visualizar, realizar mapeo

29
30

Decaimiento de indicadores: herramienta de

simulación

Simular Atributos con diferente Modelos

30
31

Arrancando su MISP con datos

• Mantenemos los feeds CIRCL OSINT predeterminados (TLP: WHITE seleccionados

de nuestras comunidades) en MISP para permitir a los usuarios facilitar su
arranque.
• El formato del feed OSINT se basa en el estándar MISP Salida JSON extraída de un
servidor TLS / HTTP remoto.
• Los proveedores de contenido adicionales pueden proporcionar sus propias
fuentes de MISP. (https://botvrij.eu/)
• Permite a los usuarios probar sus instalaciones MISP y sincronización con un
conjunto de datos real.
• Contribución de apertura a otros feeds de inteligencia de amenazas pero también
permitiendo el análisis de datos superpuestos.

31
32

2.2 Modelo de datos

8

CENTRO NACIONAL DE SEGURIDAD DIGITAL

32
Ing. Maurice Frayssinet Delgado
MISP – Evento

33
MISP – Evento y atributos

34
MISP – Correlación entre atributos comunes

35
MISP – Propuestas

36
MISP – Etiquetas

37
MISP – Discusiones

38
MISP – Taxonomías y correlaciones

39
MISP – Modelo de datos completo

40
41

2.3 Instalación de la máquina virtual de

MISP 8

CENTRO NACIONAL DE SEGURIDAD DIGITAL

41
Ing. Maurice Frayssinet Delgado
¿Qué es virtualización?

• La virtualización es un proceso que permite una utilización más

eficiente del hardware físico de la computadora y es la base de la
computación en la nube.
• La virtualización utiliza software para crear una capa de abstracción
sobre el hardware de la computadora que permite que los elementos
de hardware de una sola computadora (procesadores, memoria,
almacenamiento y más) se dividan en varias computadoras virtuales,
comúnmente llamadas máquinas virtuales (VM)

42
Maquina Virtual

43
¿Qué es hipervisor?

• Un hipervisor es un programa para crear y ejecutar máquinas

virtuales.
• Los hipervisores se han dividido tradicionalmente en dos clases:
• Los hipervisores de tipo uno o "bare metal" que ejecutan máquinas virtuales
invitadas directamente en el hardware de un sistema, comportándose
esencialmente como un sistema operativo.
• Los hipervisores de tipo dos o "alojados" se comportan más como
aplicaciones tradicionales que pueden iniciarse y detenerse como un
programa normal.

44
Tipos de hipervisores

45
Hipervisor tipo 1

46
Hipervisor tipo 2

47
 Computación en la nube

OpenStack es un proyecto de computación en

la nube para proporcionar una infraestructura
como servicio. Es un software libre y de código
abierto distribuido bajo los términos de la
licencia Apache

48
Software de virtualización a usar para la practica

Para las practicas

usaremos VirtualBox

https://www.virtualbox.org/wiki/Downloads

49
Maquina virtual de MISP

Las credenciales predeterminadas para las máquinas virtuales genera

das automáticamente son las siguientes:
Para la interface Web del MISP:
Usuario: admin@admin.test
Contraseña: admin
Para acceso al terminal linux del MISP:
Usuario: misp
Contraseña: Password1234
Agregue los siguientes reenvíos en su VM Host:
VBoxManage controlvm MISP_VM_NAME natpf1 www,tcp,,8080,,80
VBoxManage controlvm MISP_VM_NAME natpf1 ssh,tcp,,2222,,22
VBoxManage controlvm MISP_VM_NAME natpf1 dashboard,tcp,,8001,,8001

50
 Importar la maquina virtual de MISP

Dar doble click sobre el archivo

51
Importar la maquina virtual de MISP

52
Importar la maquina virtual de MISP

53
Importar la maquina virtual de MISP

54
Importar la maquina virtual de MISP

55
Importar la maquina virtual de MISP

56
57

2.4 Eventos
8

CENTRO NACIONAL DE SEGURIDAD DIGITAL

57
Ing. Maurice Frayssinet Delgado
Crear un evento

El proceso de ingreso a un evento se puede dividir en 3 fases:

1. Creación del evento
2. Poblarlo con atributos y adjuntos
3. Publicar el evento.

58
Crear un evento

Para comenzar a crear el

evento, haga clic en el botón
Nuevo evento y complete el
formulario que se le presenta.

59
Crear un evento llenando un caso práctico

https://www.bleepingcomputer.com/news/security/researcher-finds-the-karma-ransomware-being-distributed-via-
pay-per-install-network/

60
61

2.5 Taxonomías
8

CENTRO NACIONAL DE SEGURIDAD DIGITAL

61
Ing. Maurice Frayssinet Delgado
Importancia del etiquetado

• El etiquetado es una forma sencilla de adjuntar una clasificación a un evento o

atributo.
• En la primera versión de MISP, el etiquetado era local para una instancia.
• La clasificación debe usarse globalmente para ser eficiente.
• Se construyo un nuevo esquema utilizando el concepto de etiquetas de máquina.

62
Taxonomías

• Taxonomías MISP es un conjunto de

bibliotecas de clasificación comunes para
etiquetar, clasificar y organizar información.
• La taxonomía permite expresar el mismo
vocabulario entre un conjunto distribuido de
usuarios y organizaciones.
• Taxonomías que se pueden utilizar en MISP
(2.4) y otra herramienta para compartir
información y expresarse en Etiquetas de
máquina (Etiquetas triples).

63
 Taxonomías
• Las taxonomías se implementan en un formato JSON simple.
• Cualquiera puede crear su propia taxonomía o reutilizar una existente.
• Las taxonomías están en un repositorio de git independiente.
• Estos se pueden reutilizar e integrar libremente en otras herramientas
de inteligencia de amenazas.
• Las taxonomías están autorizadas por Creative Commons (dominio
público) excepto si el autor de la taxonomía decide utilizar otra
licencia.

https://www.github.com/MISP/misp-taxonomies

64
Taxonomías

65
Taxonomía Perú

66
Taxonomía Perú

67
68

2.6 Galaxias
8

CENTRO NACIONAL DE SEGURIDAD DIGITAL

68
Ing. Maurice Frayssinet Delgado
 Galaxias
• Las galaxias en MISP son un método utilizado para expresar un objeto
grande llamado cúmulo que se puede adjuntar a eventos o atributos
de MISP.
• Un grupo puede estar compuesto por uno o más elementos. Los
elementos se expresan como pares clave-valor.
• Hay vocabularios predeterminados disponibles en MISP galaxy, pero
se pueden sobrescribir, reemplazar o actualizar como desee.

69
 Galaxias
• Los vocabularios provienen de estándares existentes (como STIX,
Veris, ATT & CK, MISP, etc.) o personalizados que solo usa para su
organización. Los grupos y vocabularios existentes se pueden usar tal
cual o como plantilla.
• La distribución de MISP se puede aplicar a cada grupo para permitir
un esquema de distribución más amplio o limitado.

https://github.com/MISP/misp-galaxy

70
 Galaxias
Se accede a la gestión de las galaxias mediante el enlace Galaxias en el
menú superior.

71
72

2.7 Administración del sistema

8

CENTRO NACIONAL DE SEGURIDAD DIGITAL

72
Ing. Maurice Frayssinet Delgado
 Administración del sistema

• Usuarios (Users)
• Organizaciones (Organizations)
• Roles (Roles)
• Herramientas (Tools)
• Configuración del servidor (Server Settings)
• Trabajos (Jobs)
• Tareas programadas (Scheduled Tasks)

73
Usuarios

74
Organizaciones

75
Roles

76
Herramientas

77
Configuración del servidor y mantenimiento

78
Trabajos

79
Tareas programadas

80
81

!Muchas Gracias!

CENTRO NACIONAL DE SEGURIDAD DIGITAL

Ing. Maurice Frayssinet Delgado
CENTRO NACIONAL
DE SEGURIDAD DIGITAL

82

82