News

Threat Intelligence Sharing Platform MISP beschikbaar: sneller en eenvoudiger dreigingsinformatie delen en inzetten binnen je instelling

MISP is een threat intel platform waarmee je als instelling cybersecurityrisico’s en -gevaren sneller kunt detecteren en dreigingsinformatie met andere instellingen kunt delen. MISP kan systemen voeden die je inzet voor het detecteren of blokkeren van Indicators of Compromise (IoC’s). Instellingen kunnen kosteloos aansluiten.
Grafische weergave van code

Dreigingsinformatie uit het Nationaal Detectie Netwerk

Een belangrijke bron van het MISP is het Nationaal Detectie Netwerk (NDN), een samenwerkingsverband tussen het Nationaal Cyber Security Centrum (NCSC), de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Het NCSC heeft SURFcert aangewezen als het sectoraal Computer Emergency Response Team (CERT) voor hoger onderwijs en onderzoek. Als gevolg hiervan mag SURFcert de gegevens van het Nationaal Detectie Netwerk (NDN) ook delen met de op het SURF-netwerk aangesloten instellingen. De MISP-informatie is vooral bedoeld voor de technische mensen van de SURF Community van Incident Response Teams (SCIRT) bij de instellingen.

Geautomatiseerd systeem met notificatie-mogelijkheid

MISP is een geheel geautomatiseerd systeem dat dreigingsinformatie direct kan doorzetten naar verschillende preventie- of detectiesystemen. Alle dreigingsinformatie van het NDN, SURFcert, aangesloten instellingen en andere relevante threat intel-bronnen kunnen op deze manier in dit platform ingezien en geëxporteerd worden naar allerlei verschillende formaten. Als instelling bepaal je zelf aan welke criteria de - al dan niet geautomatiseerde - export van IoC’s moet voldoen. Voor de gebruikers van MISP is het ook mogelijk om een notificatie te ontvangen via de mail als er dreigingsinformatie is gepubliceerd.

Actueel: Threat Intel log4j gedeeld via MISP

Threat Intel over misbruik van de kwetsbaarheid in de opensource-tool log4j is de afgelopen tijd gedeeld over de SCIRT-mailinglijst, de SCIRT-chat en SURFcert wiki-pagina. MISP maakt het eenvoudiger om dit bij te houden, je hoeft als individuele instelling niet constant alle kanalen meer in de gaten te houden en IoC’s handmatig in preventie- of detectiesystemen te stoppen.

MISP: krachtiger als veel instellingen aansluiten

Hoe meer instellingen de technische aanvalskenmerken, de IoC’s, van een aanval via MISP delen, des te krachtiger het platform wordt. Instellingen hebben namelijk vaak te maken met dezelfde actoren. Zo kan je als instelling snel handelen als een andere instelling IoC’s deelt.

Hoe aansluiten?

Alle instellingen kunnen kosteloos aansluiten. Om MISP af te nemen moet de instellingscontactpersoon een verzoek doen in het SURFdashboard (onder SURFsoc MISP).

Meer informatie