MISP è una piattaforma open-source per l'intelligence sulle minacce e la condivisione, ideata per raccogliere, archiviare, distribuire e condividere indicatori di cybersecurity e minacce legate all'analisi degli incidenti e del malware. MISP è progettata da e per i professionisti della cybersecurity, ICT e malware reversers per supportare le loro operazioni quotidiane condividendo informazioni strutturate in modo efficiente.

L'obiettivo principale di MISP è promuovere la condivisione di informazioni strutturate all'interno della comunità di sicurezza e oltre. La piattaforma offre funzionalità per facilitare lo scambio e il consumo di informazioni da parte dei Network Intrusion Detection Systems (NIDS), Log-based Intrusion Detection Systems (LIDS), strumenti di analisi dei log e dei sistemi di Security Information and Event Management (SIEMs).

Funzioni principali di MISP

Le funzioni principali di MISP includono un database efficiente per Indicatori di Compromissione (IOC) e indicatori, che consente di archiviare informazioni tecniche e non tecniche su campioni di malware, incidenti e altro. Un motore di correlazione automatizzato scopre le relazioni tra attributi e indicatori provenienti da malware, campagne di attacco o analisi. MISP presenta un modello di dati flessibile in cui oggetti complessi possono essere espressi e collegati per rappresentare intelligence sulle minacce, incidenti o elementi connessi.

Le funzionalità integrate di condivisione facilitano la distribuzione delle informazioni sulle minacce. Un'interfaccia utente intuitiva permette agli utenti di creare, aggiornare e collaborare su eventi e attributi/indicatori. MISP supporta l'archiviazione dei dati in un formato strutturato con indicatori di cybersecurity e frode, come nel settore finanziario. Lo strumento di importazione di testo facilita l'integrazione di rapporti non strutturati.

Il sistema di collaborazione user-friendly consente agli utenti di proporre modifiche o aggiornamenti agli attributi/indicatori. La piattaforma supporta la condivisione automatica e la sincronizzazione con altre parti e gruppi di fiducia utilizzando MISP. La delega della condivisione permette di pubblicare eventi/indicatori in modo pseudo-anonimo a un'altra organizzazione. L'API flessibile consente di integrare MISP con le proprie soluzioni.

MISP offre un sistema di tassonomia regolabile per classificare e taggare eventi secondo schemi di classificazione personalizzati o esistenti. Le vocabolari di intelligence, chiamati MISP galaxy, includono attori di minacce esistenti, malware, RAT, ransomware o MITRE ATT&CK, facilmente collegabili con eventi e attributi in MISP. I moduli di espansione in Python permettono di estendere MISP con servizi personalizzati o attivare moduli MISP già disponibili.

Il supporto alle osservazioni facilita la raccolta di feedback da organizzazioni sugli indicatori e attributi condivisi. La piattaforma integra cifratura e firma delle notifiche tramite GnuPG e/o S/MIME. MISP supporta l'importazione ed esportazione dei dati nei formati STIX versione 1 e 2. Un canale di pubblicazione in tempo reale all'interno di MISP permette di ricevere automaticamente tutte le modifiche tramite ZMQ o Kafka.

MISP è disponibile gratuitamente su GitHub. Attualmente richiede PHP 7.4, una versione di PHP alla fine del ciclo di vita. Per questo motivo, si raccomanda di eseguire MISP solo su distribuzioni o installazioni PHP che riceveranno correzioni di sicurezza backportate, come Red Hat o Debian e derivati.