MISP-SE

MISP (Malware Information Sharing Platform) är en open source-plattform för att samla in, lagra, analysera och dela information om cyberhot och incidenter. Plattformen möjliggör strukturerad och standardiserad delning av hotindikatorer, exempelvis IP-adresser, domäner och skadlig kod.

MISP-SE är en nationell MISP-instans som svenska verksamhetsutövare kan ansluta sig till kostnadsfritt. Syftet är att stärka Sveriges samlade motståndskraft mot cyberangrepp genom delning av hotinformation.

MISP-SE bidrar till samverkan och effektivt utbyte av hotinformation vilket förkortar responstider och minskar skadorna av cyberangrepp. MISP-SE bidrar även till att skapa en lägesbild av aktuella cyberhändelser, både nationellt och inom specifika sektorer.

Kom igång med MISP-SE

Läs på om MISP: Läs om vad MISP är och hur det används. Besök https://www.misp-project.org, https://www.circl.lu/doc/misp/ och https://github.com/MISP/misp-training för mer information.
Analysera förutsättningar och behov: Bedöm hur MISP passar in i er verksamhet samt vilket värde det kan ge er och vilket värde ni kan bidra med till andra. Utred nuläge och börläge avseende teknik, processer och resurser för att använda MISP.
Analysera villkoren: Ta del av Allmänna villkor MISP-SE för att undersöka om ni kan bli medlemmar. Involvera relevanta roller i analysen. För medlemskap i MISP-SE krävs att organisationen accepterar villkoren i Allmänna villkor MISP-SE.
Skicka in ansökan om medlemskap: Skicka in Medlems- och anslutningsformulär MISP-SE till info@misp.se. CERT-SE bedömer er ansökan och återkopplar.
Anslut till MISP-SE: Anslut till MISP-SE via API (MISP till MISP) eller webbgränssnittet. Valet av anslutningsmetod bör återspegla er analys av förutsättningar och behov. CERT-SE stödjer er under anslutningsprocessen.
Etablera interna rutiner: Skapa en intern MISP-policy och utbilda medarbetare, se till att etablera tydliga interna rutiner för delning och användning av information. Identifiera vem som får skapa events och vilka typer av information ni ska dela externt.

Så använder du MISP-SE

I Arbetssätt och rutiner MISP-SE beskrivs vilken information som ska delas i MISP-SE och hur den bör delas.

MISP-SE:s kundtjänst

I vår FAQ finns svar på de vanligaste frågorna. Hittar du inte det du söker? Mejla info@misp.se, så återkommer vi så snart vi kan.

MISP-SE:s kundtjänst är tillgänglig helgfria vardagar mellan 08.00–17.00. Kundtjänsten hanteras av CERT-SE tillsammans med en leverantör.

Hur MISP-SE kan användas i olika faser av cybersäkerhetsarbetet

En MISP kan användas för olika syften och inom olika faser av cybersäkerhetsarbete. Genom att samla in, dela och analysera hotinformation kan MISP hjälpa organisationer att identifiera, skydda, upptäcka, svara på och återhämta sig från cybersäkerhetshot.

Roller som IT-säkerhetsansvariga, SOC-analytiker, incidentresponsteam och ledningsgrupper har nytta av MISP för att snabbt reagera på och hantera säkerhetshot på ett effektivt sätt.

NIST Cybersecurity Framework 2.0 (NIST CSF)

För att beskriva plattformens breda tillämpningsområde utgår texten nedanför från de områden som ingår i NIST Cybersecurity Framework 2.0 (NIST CSF). [1]

Identifiera (Identify): förstå och kartlägg organisationens cybersäkerhetsrisker. MISP ger insikter om hotlandskapet som kan användas för att värdera risker, exempelvis vilka system och sårbarheter som bör prioriteras. Genom att sammanställa denna information kan organisationer bättre identifiera potentiella angrepp och sårbarheter i sina egna system. Roller: IT-säkerhetsansvariga, riskhanteringsteam och säkerhetsanalytiker spelar en central roll i denna fas genom att samla in, analysera och använda hotinformation för att uppdatera riskbedömningar.
Skydda (Protect): implementera åtgärder för att skydda information och system. En MISP kan användas för att dela information om aktuella hot och säkerhetsrisker, vilket gör att organisationer kan vidta proaktiva åtgärder för att säkra sina system. MISP hjälper till att snabbt sprida hotinformation till rätt intressenter så att säkerhetskontroller som brandväggar, antivirusprogram och intrångsdetekteringssystem kan uppdateras för att blockera nya hot. Roller: IT-säkerhetsspecialister och nätverkstekniker använder MISP för att implementera och justera säkerhetsåtgärder baserat på aktuell hotinformation.
Upptäcka (Detect): möjlighet att identifiera angrepp när de inträffar. MISP kan användas för att snabbt få information om nya hot och observerbara indikatorer som kan användas för att förbättra upptäckande system, så som ett SIEM (Security Information and Event Management). MISP:ens integrering med andra säkerhetsverktyg kan ge realtidsuppdateringar om kända IoC:er (Indicator of Compromise) och hotaktiviteter, vilket gör det möjligt att snabbt identifiera angrepp eller intrång. Roller: SOC-analytiker (Security Operations Center), incidenthanterare och säkerhetsteam använder MISP för att upptäcka och korrelera säkerhetsincidenter.
Svara (Respond): möjlighet att agera snabbt. Delning av information om verktyg, metoder och angriparens infrastruktur kan ge värdefull information för att neutralisera hot och begränsa skador. MISP kan användas som en databas för incidentdata och integreras med plattformar för incidenthantering. Roller: Incidentresponsteam, IT-säkerhetsansvariga, och krishanteringsteam använder MISP för att snabbt få information om angrepp och samordna åtgärder med andra organisationer eller myndigheter.
Återhämta (Recover): återställa systemen och verksamheten till normalläge. MISP bidrar till att förbättra incidenthanteringsprocesser och ge information om vilka hot och metoder som var involverade i angreppen, så att organisationen kan förhindra framtida intrång av liknande slag. Roller: IT-driftspersonal, IT-säkerhetsspecialister och säkerhetsansvariga arbetar tillsammans för att implementera återhämtningsplaner baserade på insikter från MISP:s hotinformation.
Styra (Govern): forma organisationens cybersäkerhetsstrategi. Genom att använda MISP för att skapa en överblick och analysera trender kan organisationer förbättra sin riskhantering och styrning av cybersäkerhetsarbete på en strategisk nivå. Detta ger värdefullt underlag för att styra och forma organisationens cybersäkerhetsstrategi, vilket gör det möjligt att fatta mer välgrundade beslut om investeringar i teknik, personal och andra områden för att stärka säkerheten. Roller: Insikter från MISP kan användas av ledningen för att fatta informerade beslut om var och hur resurser bör allokeras. Detta kan innefatta att allokera budget för att uppgradera teknisk infrastruktur eller att satsa på säkerhetsutbildning för personalen.

[1] https://www.nist.gov/cyberframework

Verifiera PDF-filer

Allmänna villkor MISP-SE: Filens hashsumma (sha256) är b84710eb221c4639749064745d71ef856e632c40f5365a187662f8157114f05f
Medlems- och anslutningsformulär MISP-SE: Filens hashsumma (sha256) är 91c5bb7faa6ad5cdbbb05c0982fcbb60de87eaf5419997b83958ab59e3b92000
Arbetssätt och rutiner MISP-SE: Filens hashsumma (sha256) är b01b20e03d14684ac0e5852ad1d3320849b33affa70420af4d1c7d560eef4d0d
MISP-SE FAQ: Filens hashsumma (sha256) är 29c325d6d1f87742ee31186d80021c5fb501fa3efef43ff383530458b914ffa4

Notera att hashsumman inte förändras om du byter namn på filen.

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post