CSIRT de Gobierno capacita a encargados de ciberseguridad del Estado sobre plataforma MISP
Como parte de los esfuerzos continuos del CSIRT de Gobierno por fortalecer la ciberseguridad en el sector público y promover una cultura de colaboración y prevención frente a las amenazas digitales, se realizó una charla técnica sobre la plataforma MISP, sigla en inglés para Plataforma de Intercambio de Información sobre Malware (Malware Information Sharing Platform).
La capacitación dirigida a encargados de ciberseguridad del Estado se llevó a cabo en dos sesiones remotas, durante los días 27 y 28 de junio, bajo la dirección de Felipe Quezada, asesor del CSIRT de Gobierno. Durante la instancia, se abordaron tanto los aspectos teóricos como prácticos de la plataforma, culminando con una demostración en vivo que ilustró la configuración y funcionamiento de MISP.
MISP es una plataforma de código abierto, desarrollada por el CIRCL (Computer Incident Response Center Luxembourg) en el año 2012, para facilitar el intercambio de información sobre amenazas de seguridad entre organizaciones y comunidades. Al contar con una base de datos compartida con una interfaz, permite a las organizaciones colaborar en la recopilación, compartición y análisis de inteligencia de amenazas. “MISP no sólo mejora la seguridad, sino que también permite la integración con otras soluciones de seguridad, gracias al uso de estándares abiertos”, señaló Quezada, enfatizando que “esta plataforma permite llevar a cabo investigaciones detalladas sobre eventos de amenazas específicas: compartir inteligencia con socios de confianza, integración con soluciones de seguridad, gestión de incidentes y evaluación de fuentes de inteligencia de amenazas, creación y compartición de firmas / reglas, y análisis de tendencias / patrones”.
Una de las características más destacadas de MISP es su capacidad para almacenar, gestionar y compartir información de manera estructurada. Esto se traduce en una mejora significativa en la detección y respuesta ante amenazas, ya que facilita el análisis de patrones y comportamientos específicos. “La inteligencia de amenazas recopilada y compartida a través de MISP, permite a las organizaciones anticiparse a posibles ataques y fortalecer sus defensas”, especificó el asesor del CSIRT de Gobierno.
Asimismo, MISP fortalece la colaboración entre equipos, reduciendo la duplicación de esfuerzos. “Al compartir data de diferentes fuentes, se logra un enriquecimiento mutuo que potencia las defensas de todas las organizaciones involucradas”, comentó el experto.
Es importante destacar que el CSIRT de Gobierno cuenta con un servidor MISP. Este servidor facilita el intercambio de indicadores de compromiso seleccionados de diversas fuentes, proporcionando a los servicios públicos conectados información en tiempo real, lo que resulta crucial para su protección contra amenazas de ciberseguridad.
¿Quieres saber más de MISP? Conoce algunos aspectos
MISP permite la sincronización entre diferentes instancias de la plataforma, posibilitando que múltiples organizaciones compartan información de manera eficiente, “las instancias de MISP son cruciales para la gestión eficiente de amenazas cibernéticas, permitiendo una personalización y colaboración que mejora la seguridad general de las organizaciones. Existen dos tipos de instancias: local y remota, y la elección entre ellas depende de las necesidades y capacidades de cada organización”, destacó Quezada
En cuanto a la organización en MISP, el expositor del CSIRT de Gobierno explicó que “se refiere a una entidad que utiliza la plataforma para administrar, compartir y colaborar información sobre amenazas cibernéticas. Ésta puede ser una empresa, agencia gubernamental, institución académica o cualquier otra organización que requiera gestionar y compartir inteligencia de amenazas”.
La plataforma utiliza un sistema de taxonomías para clasificar y estructurar la información. Este sistema, permite organizar los indicadores de compromiso (IOCs) y otros datos de manera lógica y consistente, facilitando su búsqueda y análisis. Las taxonomías en MISP son extensibles y pueden personalizarse según las necesidades de cada organización. Ejemplos comunes incluyen la clasificación de amenazas por tipo (phishing, malware, ataques de día cero) y la categorización por niveles de confianza y severidad.
Los datos en MISP se categorizan de varias maneras para mejorar su utilidad y accesibilidad. Los eventos, que son colecciones de IOCs, se agrupan en categorías como análisis de malware, incidentes de seguridad y reportes de vulnerabilidades. Esta categorización permite a los usuarios filtrar y priorizar información según su relevancia e impacto potencial al momento de buscar información.
Durante la presentación, Felipe Quezada, también ahondó en los eventos de seguridad, describiéndolo como la entidad principal que agrupa y organiza toda la información relacionada con una amenaza o incidente específico. Éste incluye detalles claves que permiten identificar y mitigar la amenaza, como indicadores de compromiso, direcciones IP maliciosas, nombres de dominio comprometidos, hashes de archivos sospechosos y otros atributos.
Los roles en la plataforma son esenciales para definir las capacidades y permisos de cada usuario, desde administradores con acceso total hasta lectores con acceso limitado. Entre los roles comunes se incluyen analistas, quienes revisan y gestionan eventos, o administradores que configuran la plataforma.
En relación a los atributos, de un evento, que finalmente son la representación de IOCs, el relator explicó que “son unidades de información que describen características específicas de una amenaza o incidente de seguridad, esenciales para la identificación y respuesta. Estos incluyen direcciones IP de origen y destino, nombres de dominio, hashes de archivos, direcciones de correo electrónico y URL asociadas con la amenaza. Sus propiedades pueden abarcar la categoría, tipo específico, distribución y valor actual del atributo”.
Fuente: www.trendtic.cl