MISP とは? 脅威インテリジェンスを共有するための OSS プラットフォーム

MISP: Open-source threat intelligence and sharing platform

2024/08/05 HelpNetSecurity — MISP (Malware Information Sharing Platform) とは、インシデントやマルウェア分析に関連するサイバー・セキュリティ指標や脅威を、収集/保存/配布/共有するための、脅威インテリジェンスを共有するための OSS プラットフォームのことである。Cyber Security/ICT の専門家たちや、マルウェア解析者たちのために設計されており、構造化された情報を効率的に共有することで、彼らの日常業務をサポートする。


MISP の第一の目標は、セキュリティ・コミュニティ内外で構造化された情報の共有を促進することだ。MISP は、NIDS (Network Intrusion Detection Systems)/LIDS (Log-based Intrusion Detection Systems)/ログ分析ツール/SIEM (Security Information and Event Management systems) などによる情報の交換と、その活用を促進するための機能を提供する。

MISP の主な機能
  • マルウェアのサンプル/インシデントなどに関する、技術的および非技術的情報を保存できる効率的な IOC およびインジケータ・データベース。
  • マルウェア/攻撃キャンペーン/分析などから属性と指標の関係性を発見するための、自動相関エンジン。
  • 複雑なオブジェクトを表現し、脅威インテリジェンス/インシデント/接続された要素などを表現するためにリンクできる、柔軟なデータ・モデル。
  • 脅威情報の共有を促進する共有機能。
  • イベント/属性/指標などを、エンドユーザーが作成/更新/共有して、作業を行うための直感的な UI
  • 金融セクターが行っているように、サイバー・セキュリティや不正行為の指標をサポートし、構造化されたフォーマットでデータを保存。
  • 非構造化レポートの統合を容易にする、テキスト・インポート・ツール。
  • ユーザー・フレンドリーなシステムを用いて、イベントや属性に関する共同作業を推進し、属性/指標における変更/更新関する提案を支援。
  • データ共有:MISP を使用している、他の当事者やトラスト・グループと、自動的に交換および同期する。
  • 共有の委任:イベント/指標の公表を他の組織に委任するための、シンプルで擬似的な匿名のメカニズムを実現。
  • MISP を独自のソリューションと統合するための柔軟な API の提供。
  • 独自の分類スキームまたは、既存の分類に従って、イベントを分類してタグ付けするための調整可能な分類法。
  • MISP galaxy と呼ばれるインテリジェンス・ボキャブラリーを介して、既存の脅威アクター/マルウェア/RAT/ランサムウェア/MITRE ATT&CK との連携を実現し、MISP のイベントや属性との簡単なリンクを実現。
  • Python の拡張モジュールを用いた、独自のサービスによる MISP の拡張や、既存の MISP モジュールの有効利用を実現。
  • 共有された指標や属性に関する、ユーザー組織からの観察結果を取得するための Sighting のサポート。
  • GnuPG や S/MIME による通知の暗号化と署名の統合。
  • STIX サポート:STIX Ver 1/Ver 2 フォーマットによる、データのインポート/エクスポート。
  • MISP 内のリアルタイム・パブリッシュ・サブスクライブ・チャネルにより、ZMQ/Kafka パブリッシングにおける全ての変更を自動的に取得。
  • エクスポート:IDS/OpenIOC/Plain Text/CSV/MISP XML/JSON 出力を生成し、他のシステム (ネットワーク IDS/ホスト IDS/カスタム・ツール) や、Cache フォーマット (フォレンジック・ツールに使用)/STIX (XML および JSON) 1 と2/NIDS エクスポート (Suricata/Snort/Bro/Zeek) または、RPZ ゾーンと統合。他の多くのフォーマットを、misp-modules を介して簡単に追加。
  • インポート:バルク・インポート/バッチ・インポート/OpenIOC/GFI サンドボックス/ThreatConnect CSV/MISP 標準フォーマット/STIX 1.1/2.0 からのインポートを実現。その他の多くのフォーマットは、misp モジュールにより簡単に追加できる。
ダウンロード

MISP は、GitHubから 無料で入手できる。現在のところ、PHP の EoL バージョンである 7.4 が必要である。そのため、Red Hat/Debian などの、セキュリティ修正がバックポートされるディストリビューションや PHP において、MISP を実行することが推奨される。

MISP (Malware Information Sharing Platform) について Wikipediaで調べてみたところ、「MISP Threat Sharing (MISP) は、OSS の脅威インテリジェンス・プラットフォームである。このプロジェクトでは、侵害の兆候を共有するための、より効果的な脅威インテリジェンスのためのユーティリティとドキュメントを開発している。MISP インスタンスを運営している組織はいくつかあり、Web サイトにリストされている」と解説されていました。この運営組織をたどっていったら、日本からは SecureGRID が参加していました。