Dissertação

{en_GB=Trusted Cooperative Exchange System for Security Vulnerabilities and Exposures} {} EVALUATED

{pt=Como o conhecimento sobre segurança de cada empresa é apenas uma fração do conhecimento de toda a rede, as equipas de defesa de cada empresa podem melhorar a sua posição ao partilharem informação entre elas. Existem várias normas para representar informação sobre ciberameaças, vulnerabilidades (CVE), ciber observáveis, atributos de malware, entre outros. Também existem mecanismos de transporte para estes tipos de informação, assim como modelos de pontuação (CVSS) que ajudam a quantificar a severidade das vulnerabilidades encontradas. Recentemente, a plataforma MISP, projetada para partilhar, armazenar e correlacionar informação sobre ataquesem vulnerabilidades específicas, ficou disponível como open source, disponibilizando assim uma plataforma para uma partilha de informação mais eficaz. O principal objetivo deste trabalho foi desenhar e implementar mecanismos que melhorem o MISP para a partilha de informação de forma automática. Adicionalmente, a plataforma foi estendida com técnicas de anonimização que preservam a confidencialidade da informação dos ativos, do seu proprietário e do ambiente no qual foi recolhida a informação. Assim sendo, existe um incentivo adicional para a partilha de informação pois esta informação estará sob controlo de quem a partilhou. A nossa solução integra o analisador de vulnerabilidades OpenVAS com a plataforma MISP. A solução é configurável, começa análises com o OpenVAS automaticamente e extrai resultados dos relatórios gerados, anonimiza os resultados obtidos e importa-os para a plataforma MISP. A solução foi avaliada com um estudo de um caso sintético e com um outro estudo de um caso de uma organização com operação na área de gestão de tráfego aéreo., en=Since the security knowledge of each company is only a fraction of the knowledge of the whole network, defenders can try to improve their stance by sharing information with other companies. There are already standard ways of representing cyber threat information, vulnerabilities (CVE), cyber observables, malware attributes, among others. There are also transport mechanisms for these kinds of information, and scoring models (CVSS) that help to quantify the severity of the vulnerabilities that are found. Recently, the MISP platform, designed for sharing, storing and correlating information about attacks on specific vulnerabilities, has been made available as open source, providing a development testbed for increased security information sharing. The main objective of this work was to design and implement mechanisms that augment MISP for automated data exchange the platform was extended with anonymization techniques to preserve the confidentiality of the asset information, of its owner and of the environment where the information was collected, while still providing ways to match security information producers with consumers. In this way, there is an added incentive for data sharing because data will be under the control of its owner. Our solution integrates the network vulnerability scanner OpenVAS with the MISP platform. The configurable solution automatically issues OpenVAS scans, extracts results from the reports generated, anonimizes the obtained results and imports them into the MISP platform. The solution was evaluated with a synthetic testbed and with another testbed provided by an air navigation service provider.}
{pt=Partilha de conhecimento de ameaças, gestão de malware, segurança informática, avaliação de ameaças, MISP, en=Threat intelligence sharing, malware management, IT security, threat assessment, MISP}

Junho 4, 2018, 9:0

Orientação

ORIENTADOR

Miguel Filipe Leitão Pardal

Departamento de Engenharia Informática (DEI)

Professor Auxiliar