MISP (Malware Information Sharing Platform)_EP1

MISP (Malware Information Sharing Platform) Threat Sharing(Open Source Free) เป็นแพลตฟอร์มที่ออกแบบมาเพื่อสนับสนุนการแบ่งปันข้อมูลเกี่ยวกับความเสี่ยงและการโจมตีทางคอมพิวเตอร์ (cyber threat intelligence) ระหว่างองค์กรและผู้ใช้งานระบบคอมพิวเตอร์ทั่วไป เป้าหมายของ MISP Threat Sharing คือเพิ่มความสามารถในการตรวจจับและตอบสนองต่อความเสี่ยงทางคอมพิวเตอร์อย่างรวดเร็วและมีประสิทธิภาพมากยิ่งขึ้น โดยการเปิดใช้ระบบเข้ามาแบ่งปันข้อมูลเกี่ยวกับ: Indicators of Compromise (IOC): ข้อมูลที่ชี้แจงถึงสัญญาณชี้วัดที่อาจบ่งชี้ถึงการเข้าถึงไม่ถูกต้องหรือกิจกรรมที่เกี่ยวข้องกับการโจมตีทางคอมพิวเตอร์ เช่น ที่อยู่ IP, URL, Domain, Hash, Payload ที่ใช้ในการโจมตี เป็นต้น

1.Threat Actors: ข้อมูลที่อธิบายเกี่ยวกับผู้ที่มีความรับผิดชอบในการโจมตี(APT Group) รวมถึงแบบแผนที่ใช้ในการโจมตี วัตถุประสงค์ และแนวโน้มของกิจกรรมที่เกี่ยวข้อง

2.Threat Campaigns: ข้อมูลที่อธิบายเกี่ยวกับกลุ่มการโจมตีที่มีความเกี่ยวข้องกันในแง่ของแบบแผนการโจมตี วัตถุประสงค์ และวิธีการในการดำเนินการ

3.Vulnerabilities: ข้อมูลเกี่ยวกับช่องโหว่ที่ถูก Public

4.IOC: IP, URL, Domain, Hash, Payload เป็นต้น

สรุปก็คือ: MISP นั้นจะเป็น Platform Threat Sharing (Threat Intelligence(TI)) ที่รวบรวม เกี่ยวกับ IOC ไว้ ครับ ซึ่งเจ้า MISP อะครับ มันจะไป Feeds IOC มาเก็บไว้ที่ตัวมันเองครับ ทำตัวเหมือนเป็น Threat Intelligence(TI) ครับ และตัว MISP ยังสามารถ Share ให้คนอื่นก็ได้นะครับ ผ่าน API เช่น บริษัท A มีการติดตั้ง MISP ไว้ และ มีการ Configuration Feeds IOC ที่ครบถ้วนแล้ว อะครับ บริษัท A สามารถ Share Information(Feeds IOC)ให้บริษัท B ก็ได้นะครับ และมันดียังไงละ ทำไม่เราต้องมาทำตัว MISP ด้วยละครับ

คือ โดยปกติแล้ว อะครับ Product Security นั้น มันมี Threat Intelligence ของ มันอยู่แล้วครับ ซึ่งถ้าเรามี MISP ด้วยอีกทางละครับนั้นก็หมายความว่า เรา มี Threat Intelligence(TI) จำนวน 2 TI หรือเอาง่าย ๆ เลยก็คือ มีข้อมูล Threat เพิ่มขึ้น ครับ มี 2 ก็ต้องดีกว่า มี 1 ครับ 5555

เกิดความสงสัย ก็ต้องลองทำ LAB ดู เพื่อ proof of concept ครับ

ตาม Diagram ตรงนี้คือ จะดำเนินการ Implement MISP Threat Sharing ขึ้นมา และ จะไป Feeds Threat, IOC จาก Website ที่มีความหน้าเชื่อถือ มาเก็บไว้ใน Server MISP ครับ และหลังจากนั้น จะไป Integrate to Product Security ครับ เพื่อให้ Product Security นั้น มาวิ่ง Check IOC กับ ตัว MISP ครับ (หวังว่าจะทำสำเร็จนะครับ 555) ถ้าทำสำเร็จแล้วจะเล่าให้ฟัง ใน EP2 นะครับ ติดตาม EP ต่อไปนะครับ

Diagram proof of concept

ขอบคุณครับ

Reference: https://misp.github.io/misp-website/download/

Reference: https://github.com/MISP/MISP

#แบ่งปัน

#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ

#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก

#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ

#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ

#Share_Knowledge_and_Experience