TỔNG QUAN VỀ MISP
MISP là một nền tảng thu thập, chia sẻ, lưu trữ và liên kết các chỉ số thoả hiệp - IOC (Địa chỉ IP, tên miền, hàm băm), thông tin tình báo về mối đe dọa của các cuộc tấn công có chủ đích, kiểu tấn công (TTP, ATT&CK), thông tin về các lỗ hổng bảo mật trên không gian mạng. Dự án được phát triển bởi một nhóm các nhà phát triển từ CIRCL (Computer Incident Response Center Luxembourg), Bộ Quốc phòng Bỉ, NATO, NCIRC (NATO Computer Incident Response Capability) và được tài trợ bởi Liên minh châu Âu và Trung tâm ứng phó sự cố máy tính Luxembourg.
Mục đích của MISP là tạo ra một nền tảng tin cậy bằng cách lưu trữ thông tin về mối đe dọa và nâng cao khả năng phát hiện phần mềm độc hại để khuyến khích trao đổi thông tin giữa các tổ chức. Bên cạnh các tính năng phong phú nhằm theo dõi, phân tích mối đe dọa như trực quan hóa, gắn thẻ các trường thông tin, phân loại các mối đe doạ, hiển thị các cảnh báo, MISP cũng tích hợp các giao thức mở để truyền tải và chia sẻ dữ liệu, cho phép tích hợp với các hệ thống an ninh mạng và công cụ phân tích phổ biến hiện nay.
KIẾN TRÚC MISP
Các nền tảng chia sẻ thông tin tình báo về mối đe dọa luôn đòi hỏi sự cộng tác, chia sẻ thông tin nhanh chóng nhằm đưa ra các giải pháp giảm thiểu đối với từng loại tấn công trên “chiến trường” an ninh mạng, điều này được thực hiện rõ trong kiến trúc của nền tảng MISP với các thành phần chính như sau:
- Sự kiện: Là một mục mối đe dọa duy nhất được tạo bởi một tổ chức và chứa các thông tin như mối đe dọa, lần phát hiện cuối cùng, ngày phát hành, tổ chức chủ sở hữu, mức độ đe dọa và tất cả các IOC liên quan đến mối đe dọa đó.
- Nguồn cấp dữ liệu: Sau khi một sự kiện được tạo, người dùng phải gán sự kiện đó cho một nguồn cấp dữ liệu cụ thể. Nguồn cấp dữ liệu hoạt động như một danh sách tập trung các sự kiện riêng biệt có thể thuộc về một tổ chức cụ thể và chỉ chứa một loại sự kiện hoặc bất cứ số lượng các đặc điểm nhóm khác.
- Cộng đồng: Các tổ chức hỗ trợ MISP tạo thành một tập thể có tổ chức.
- API: Người dùng có thể lập trình các đoạn mã sử dụng các chức năng gửi và nhận (Pull/Push) thông tin về các mối đe dọa.
- Giao diện người dùng web: MISP đi kèm với nền tảng giao diện người dùng được lưu trữ trên web riêng biệt cho phép người dùng đăng nhập và tương tác với tất cả các tệp dữ liệu.