MISP Threat Sharing
MISP Threat Sharing (MISP, Malware Information Sharing Platform) — это программное обеспечение с открытым исходным кодом для обмена данными о киберугрозах и индикаторами компрометации (IOC). Проект разрабатывает инструменты и документацию для более эффективного обмена информацией о киберугрозах путём совместного использования индикаторов компрометации[2]. Существует несколько организаций, которые поддерживают свои инстансы MISP; список доступен на официальном сайте проекта[3].
Общие сведения
| MISP Threat Sharing | |
|---|---|
| Автор | Кристоф Вандеплас |
| Разработчик | Андрас Иклоди (ведущий разработчик) |
| Написана на | PHP |
| Последняя версия |
|
| Репозиторий | github.com/MISP/MISP |
| Лицензия | AGPLv3 |
| Сайт | misp-project.org (англ.) |
История
Проект был начат примерно в мае 2011 года, когда Кристоф Вандеплас столкнулся с тем, что слишком много индикаторов компрометации (IOC) распространялись по электронной почте либо в PDF-документах, которые невозможно было автоматически обработать. Дома он начал экспериментировать с CakePHP и создал прототип своей идеи, назвав проект CyDefSIG (Cyber Defence Signatures)[4]
В середине июля 2011 года он представил свой проект на работе в Министерстве обороны Бельгии, где проект получил положительный отклик. После того как он предоставил доступ к своей инстанции CyDefSIG на личном сервере, Министерство обороны Бельгии официально начало использовать CyDefSIG с середины августа 2011 года. Кристоф получил возможность работать над проектом в рабочее время, продолжая дорабатывать его дома.[4]
В какой-то момент о проекте узнали в НАТО. В январе 2012 года им была проведена первая презентация, чтобы более подробно познакомить с разработкой. Рассматривались и альтернативные продукты на рынке, однако открытость CyDefSIG оказалась значительным преимуществом. Первым частично занятым со стороны НАТО разработчиком стал Анджей Дерешовски.[4]
Вскоре НАТО наняло отдельного штатного разработчика, чтобы улучшить код и добавить новые функции, и с этого момента началась совместная доработка. Как и во многих личных проектах, лицензия не была явно указана, но было коллективно принято решение выпустить проект публично под лицензией Affero GPL — чтобы сделать код максимально доступным и защитить его.[4]
Проект был переименован в MISP (Malware Information Sharing Project) — название предложил Алекс Вандурме из НАТО.[4]
В январе 2013 года Андрас Иклоди стал основным штатным разработчиком MISP: днём он работал в НАТО, а вечером и по выходным продолжал работать над проектом с открытым исходным кодом.[4]
Впоследствии другие организации стали внедрять и продвигать программное обеспечение — в том числе CERT-EU, CIRCL и другие.[4]
В настоящее время Андрас Иклоди — ведущий разработчик проекта MISP и работает в CIRCL.[4]
По мере расширения MISP стала охватывать не только индикаторы вредоносного ПО, но и информацию о мошенничестве и уязвимостях. Сейчас название — «MISP Threat Sharing», что включает основное программное обеспечение и множество инструментов (PyMISP), форматов (ядро, таксономии MISP, списки предупреждений) для поддержки. Проект MISP стал инициативой сообщества, руководимой командой добровольцев.[4].
Финансирование
Проект финансируется Европейским союзом (через программу Connecting Europe Facility[5]) и Люксембургским центром реагирования на компьютерные инциденты (CIRCL).
Интеграция с внешними источниками
Индикаторы компрометации, которыми управляет MISP, могут поступать из различных источников: от внутренних команд расследования инцидентов, партнёров по обмену аналитикой или коммерческих поставщиков информации. К коммерческим источникам, интегрированным с MISP, относятся DeepSight Intelligence (ныне Broadcom) компании Symantec, фиды угроз от Kaspersky и McAfee Active Response. MISP также интегрируется с другими открытыми и коммерческими платформами для анализа угроз, такими как ThreatQuotient Platform и EclecticIQ Platform.
Примечания
Ссылки
