- Home
- Cybersecurity
- MISP: l’unione fa la sicurezza
MISP: l’unione fa la sicurezza
| Michele Petito | cybersecurity
#CybersecurityCafé
di Michele Petrito - AgID Cert
Nell’ambito della cyber security è risaputa la veridicità del detto “l’unione fa la forza”, ma questo non è mai stato così calzante come in questo periodo di pandemia, in cui molte persone si trovano a utilizzare una molteplicità di servizi in cloud per svolgere l’attività lavorativa in smart working. Oggi vorrei parlare di come questo principio di collaborazione si traduca in un modello concreto che le organizzazioni possono adottare per condividere informazioni utili a migliorare la propria sicurezza, quello rappresentato dalla piattaforma Misp (Malware Information Sharing Platform). Misp è lo standard delineato negli ultimi anni dalla comunità internazionale di cybersecurity per lo scambio delle informazioni e l’arricchimento e correlazione dei dati esterni. Si tratta di un prodotto open source, anche scelto per la neutralità del fornitore (CIRCL computer Incident Response Center Luxembourg), un aspetto importante perché permette di evitare il vendor lock-in nel lungo periodo.
Per dare un’idea della popolarità, ma anche della robustezza di questa soluzione basti pensare che questo modello è stato recentemente adottato dal mondo finanziario europeo. A febbraio 2020, l’Euro Cyber Resilience Board for pan-European Financial Infrastructures (ECRB), ovvero un gruppo di infrastrutture finanziarie tra le più grandi e importanti d’Europa, presieduto dalla Banca centrale europea (BCE) ha siglato insieme a Europol ed ENISA, il Cyber Information and Intelligence Sharing Initiative (CIISI-EU), un accordo che ha come obiettivo la protezione del sistema finanziario. Il punto centrale dell’accordo è la condivisione di informazioni e di best practices e il documento definisce l’utilizzo di Misp come piattaforma centrale per la raccolta e condivisione di informazioni. Non si tratta di un metodo dettagliato, ma un modello adottato dai membri dell’ECRB che può essere adottato in molti altri ambiti oltre a quello finanziario.
L’architettura prevede un’istanza centrale della piattaforma con funzioni di hub, con la quale le varie organizzazioni appartenenti alla community possono sincronizzarsi utilizzando la propria istanza locale, oppure con il proprio software interno attraverso le API fornite da Misp, o infine accedendo via browser direttamente all’istanza centrale.
I membri possono decidere se partecipare solo in modo passivo, cioè eseguendo delle richieste pull, o in in modo attivo, ovvero anche attraverso richieste push. Le organizzazioni che possiedono specifici feed commerciali e open source, possono condividere parte dei loro IoC ritenuti utili alla community, nel rispetto delle norme di riservatezza e degli accordi con le specifiche aziende fornitrici.
Il processo di raccolta, arricchimento e correlazione dei dati viene integrato tipicamente attraverso uno scambio dati, tra Misp e una piattaforma di Threat Intelligence (TIP) conforme allo standard STIX/TAXI, che consente ulteriori arricchimenti e indagini, nonché generare allarmi e reportistica. Le cyberinformazioni diventano così “actionable”, cioè sfruttano il collegamento verso i SIEM e SOC in grado di bloccare automaticamente l’attacco.
Una volta definita l’architettura, bisognerà decidere cosa condividere e come. Il “cosa” dipende naturalmente dal contesto in cui si opera: una community di natura finanziaria come ECRB sarà interessata alle campagne a tema bancario, mentre per esempio i gestori PEC saranno più concentrati sulle minacce che circolano sulla posta elettronica certificata. Riguardo al “come”, bisogna innanzitutto garantire un approccio comune alla condivisione, quindi definire un framework che comprende formato dati, terminologia, convenzioni e tassonomie basate su protocolli noti e open source. Alcuni esempi sono il Mitre Attack per descrivere le tattiche, le tecniche e le procedure. Per la condivisione di attori, malware e profili paese possono essere utilizzati i Misp Clusters, mentre per quanto riguarda le tassonomie è possibile scegliere da una lunga lista open source messa a disposizione da Misp. Per il formato dati, Misp fornisce il suo modello proprietario basato su JSON, ma ne sono disponibili molti altri per le integrazioni, tra cui il famoso STIX 2.1/TAXII dell’OASIS.
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
Valutazione attuale: 5 / 5
-
il filo - estate 2021Editoriale
-
L’Europa è pronta per le sfide del secolo?caffè scientifico
-
Qualità dell’aria e clima: un approccio integrato e sostenibile è possibile?caffè scientifico
-
Sostenibilità digitale: alla ricerca di un equilibrio fondamentalecaffè scientifico
-
Erasmus+: la digitalizzazione passa per eduGAINservizi alla comunità
-
GARR Meet, dove si incontra la comunitàservizi alla comunità
-
Va in onda GARR TVservizi alla comunità
-
Ricercatori da tutto il mondo: nasce Human Technopolela voce della comunità
-
Nuovi scenari per la didattica, tra digitale e presenzala voce della comunità
-
Le scuole livornesi vanno in retela voce della comunità
-
Oltre le Open Educational Resources: tanti esempi italianila voce della comunità
-
La rete GARR-T entra in campoosservatorio della rete
-
Voglia di nuvole, ma senza pioggiacybersecurity
-
MISP: l’unione fa la sicurezzacybersecurity
-
Politecnico di Torino e GARR a caccia di attacchi malevoli con smartPOTcybersecurity
-
La Scienza Aperta si impara in retela nuvola della ricerca e istruzione
-
HPC e cloud insieme per l’AIla nuvola della ricerca e istruzione
-
Bene GÉANT, ma il cloud delle reti della ricerca è da valorizzarela nuvola della ricerca e istruzione
-
Horizon Europe: ultimi cento metriinternazionale
-
Timemap: la mappa dei tempi della reteinternazionale
-
La storia delle galassie scritta nei getti radiola voce della comunità
-
L’IA al servizio della vulcanologiala voce della comunità
-
Come vivere in Antartide? Lo spiega l’ingegnerela voce della comunità
-
Oltre 4mila simulazioni per il supercomputer ENEA nella ricerca contro il Covidla voce della comunità
-
Come la rete ha cambiato l’astronomiaieri, oggi, domani
-
Addio a Luciano Modica, indimenticato pionere della reteieri, oggi, domani
Articoli nella rubrica
-
di Michele Petito
-
di Tommaso Rescio, Luca Gioacchini, Marco Mellia, Luca Vassio, Idilio Drago
-
di Simona Venuti
Archivio GARR NEWS
- Numero 29 - anno 2023
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009