MISP & TheHive/Cortex in 20 minutes

Transcript

1. MISP & TheHive/Cortex in 20 minutes @ninoseki

2. TL; DR • MISP: Malware Information Sharing Platform ◦ その名の通り、マルウェアの情報を共有するための

   Webアプリケーション ▪ 現在は“マルウェア”に限らず、色々なIoCを共有できるようになっている • E.g. BIN(Bank Identification Number), BTC(Bitcoin Address), etc. ◦ OSSとして開発されている ▪ https://github.com/MISP/MISP ▪ 主な開発母体はルクセンブルクの CIRCL • TheHive/Cortex: ◦ インシデント対応のタスク管理 + IoCの分析ができるWebアプリケーション ◦ OSSとして開発されている ▪ https://github.com/TheHive-Project ▪ 主な開発母体はフランスの CERT-BDF

3. Motivation

4. （´-`）.｡oO(ここら辺のタスクを自動化できたら良いよね・・・) Source: The Practice of Network Security Monitoring

5. MISP

6. A Brief History of MISP • 2011/2012年: ◦ 複数のグループで同じマルウェアを解析していることに気づく ◦

   同じことを別々にするのって無駄じゃないか ?という問題意識 ◦ Belgian MoDのCERTに所属していたChristophe Vandeplas(@cvandeplas)がMISPのプロトタイ プを作る ▪ 当時はMISPではなく、Cyber Defence Signatures(CyDefSIG)という名前だったらしい ◦ NATOもこれを開発するようになる • 201?年: ◦ MISPはコミュニティドリブンな OSSプロジェクトになる ▪ 主な開発母体はCIRCL ▪ 主要開発者: • @iglocska(CIRCL, ex-NATO), @chrisr3d(CIRCL), @mokaddem(CIRCL), @adulau(CIRCL)

7. What MISP Can Do • IoC(Indicator of Compromise)の共有 ◦ IoC:

   IP, Domain, URL, Hash, etc. • IoCのエンリッチメント ◦ VirusTotal, Shodan, SecurityTrails, etc. • IoCのビジュアライズ(相関関係の可視化など)

8. Demo

9. TheHive/Cortex

10. What is TheHive/Cortex? • TheHive: Security incident response team ◦

    インシデントの管理 ▪ タスク管理, IoC管理 • Cortex: Observable(IoC) analysis engine ◦ 110+のアナライザーによる IoCのエンリッチメント • 主な開発母体はCERT-BDF(Banque de France)

11. TheHive/Cortex Workflow Souce: https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1513005759.pdf

12. Demo

13. MISP & TheHive/Cortex

14. Souce: https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1513005759.pdf

15. Who Uses Them?

16. MISP & TheHive Cortex Users • MISP: ◦ NATO ◦

    Walmart ◦ Siemens ◦ LAC ◦ etc. • MISP & TheHive/Cortex: ◦ CERN ◦ Leonardo

17. CERN SOC: Real World Use Case • Souce: https://indico.cern.ch/event/775579/contributions/3306040/attachments/1808103/2951821/2019-02-20__WLCG_SOC_WG_CERN_SOC_Update.pdf

18. CERN SOC: Real World Use Case Source: https://indico.cern.ch/event/762505/contributions/3375193/attachments/1830505/2997666/slides.pdf

19. CERN SOC: Real World Use Case Source: https://indico.cern.ch/event/762505/contributions/3375193/attachments/1830505/2997666/slides.pdf

20. CERN SOC: Real World Use Case Source: https://indico.cern.ch/event/762505/contributions/3375193/attachments/1830505/2997666/slides.pdf

21. Before Starting...

22. Define Your Mission Before Starting “業務の前にツールを考えてしまうセキュリティ組織が多すぎる。(中略)ツール駆動な チームは、ミッション駆動なチームより効率的になることはない。動かしているソフトウェ アによってミッションが決まってしまうと、アナリスト達はそのツールの機能や制限事項に とらわれてしまう。ミッションを遂行するために何が必要かという観点で考えるアナリスト は、要求に見合うツールを探し、要求を満たすものがあるまで探し続ける。”

    --- Richard Bejtlich 「入門 監視」(オライリー, 2019)

23. Alternatives • OSS: ◦ YETI: https://github.com/yeti-platform/yeti ◦ CRITS: https://github.com/crits/crits ◦

    IntelMQ: https://github.com/certtools/intelmq ◦ OpenCTI: https://github.com/OpenCTI-Platform/opencti ◦ etc. • コマーシャル: ◦ AlienVault ◦ EclecticIQ ◦ Anomali ◦ ThreatQ ◦ etc.