La risposta breve
« MISP o OpenCTI » torna di continuo quando un team inizia a costruire una capacità di threat intelligence e, come la maggior parte delle ricerche « X o Y » nell\'open source, nasconde una verità più utile. Entrambi sono piattaforme di threat intelligence open source, ma sono stati progettati attorno a filosofie diverse e sono bravi in cose diverse.
In una frase: MISP è costruito per raccogliere e condividere indicatori di compromissione all\'interno di comunità di fiducia; OpenCTI è costruito per modellare le relazioni tra attori della minaccia, campagne e tecniche come un grafo della conoscenza. Molti team maturi usano entrambi, con MISP come strato di condivisione che alimenta OpenCTI come strato di analisi.
Distribuiamo e gestiamo entrambe le piattaforme per clienti in tutta Europa e oltre, e abbiamo un debole per MISP perché è stato costruito dal CIRCL qui in Lussemburgo. Questo è il confronto che si vorrebbe trovare prima di sceglierne una e scoprire, sei mesi dopo, che risolve solo metà del problema.
MISP e OpenCTI in sintesi
| | MISP | OpenCTI |
|---|
| Costruito per | Raccogliere e condividere indicatori in comunità di fiducia | Modellare e analizzare la conoscenza delle minacce |
| Unità centrale | L\'evento: un insieme di indicatori (IoC) | L\'entità e le sue relazioni in un grafo |
| Modello dati | Centrato sull\'indicatore, con galassie e tassonomie per il contesto | Grafo della conoscenza, nativo STIX 2.1 |
| Mappatura ATT&CK | Tramite galassie, supportata ma secondaria | Di prima classe, centrale nel modello |
| Punto di forza | Distribuzione e condivisione comunitaria | Correlazione e analisi |
| Interfaccia | Funzionale ma datata | Moderna, orientata al grafo |
| Costruito da | CIRCL (Lussemburgo) | Filigran (Francia) |
Cosa fa davvero MISP
MISP (Malware Information Sharing Platform) è una piattaforma di threat intelligence open source sviluppata dal CIRCL, il CERT nazionale del Lussemburgo. Il suo compito centrale è raccogliere, archiviare e distribuire indicatori di compromissione, gli indirizzi IP, i domini, gli hash dei file e gli URL che i sistemi di rilevamento consumano, e condividerli all\'interno di comunità di fiducia con un controllo granulare su chi vede cosa.
In pratica, MISP è un motore di distribuzione. Organizzate l\'intelligence in eventi, ciascun evento un insieme di indicatori correlati con contesto aggiunto tramite galassie e tassonomie. I feed dal CIRCL, da abuse.ch e da gruppi di condivisione settoriali entrano; le vostre scoperte dalla risposta agli incidenti e dalla caccia alle minacce escono verso SIEM e firewall collegati. Il modello mentale è semplice: un indicatore è buono o cattivo, porta del contesto e deve raggiungere i sistemi e i partner che possono agire.
Dove MISP è forte
- La condivisione è tutto il senso: i gruppi di condivisione danno un controllo preciso su cosa pubblicare e per chi, esattamente ciò di cui le comunità di condivisione hanno bisogno per mantenere la fiducia.
- Vasto ecosistema di feed: un\'ampia libreria di feed pubblici e comunitari, più il feed nazionale che il CIRCL gestisce dal Lussemburgo.
- API prima di tutto: tutto è raggiungibile tramite l\'API, quindi inviare indicatori verso Wazuh, firewall e altri strumenti è semplice.
- Modello mentale semplice: la struttura indicatore-evento è facile da insegnare e rapida da rendere operativa per il rilevamento.
Dove MISP fa male
- Interfaccia datata: l\'interfaccia web è funzionale ma mostra la sua età. Navigazione e flussi di lavoro non sono dei più intuitivi.
- Debole sulle relazioni: modellare come un attore si collega a una campagna e poi a una tecnica è possibile tramite le galassie, ma non è ciò per cui MISP è costruito, e si vede.
- La qualità dei feed è un vostro problema: collegate molti feed e la qualità dei dati degrada in fretta. Senza curatela e livelli di confidenza, i vostri sistemi di rilevamento annegano in indicatori di scarso valore.
Approfondiamo MISP, e il resto del nostro stack, in gli strumenti di sicurezza open source che usiamo e raccomandiamo davvero. Se state valutando altre coppie open source, il nostro confronto Wazuh o OpenVAS adotta lo stesso approccio onesto del « usarli entrambi » per rilevamento e scansione.
Cosa fa davvero OpenCTI
OpenCTI (Open Cyber Threat Intelligence) è una piattaforma open source costruita da Filigran. Dove MISP organizza indicatori, OpenCTI organizza conoscenza. È costruito sullo standard STIX 2.1 e rappresenta l\'intelligence come un grafo: attori della minaccia, intrusion set, campagne, malware, strumenti, tecniche e gli indicatori stessi diventano entità, collegate da relazioni che si possono percorrere e interrogare.
Tutto il senso di OpenCTI sta nelle connessioni. Un singolo indicatore al suo interno è quasi la cosa meno interessante. Ciò che conta è che questo hash appartenga a quel malware, usato da questo intrusion set, attribuito a quell\'attore, che conduce campagne mappate a tecniche MITRE ATT&CK specifiche. OpenCTI è il luogo dove un analista va a rispondere a « chi è, cosa fanno e come », non solo a « questo IP è cattivo ».
Dove OpenCTI è forte
- Modellazione delle relazioni: il grafo della conoscenza cattura come attori, campagne, malware e tecniche si relazionano, che è il vero lavoro dell\'analisi delle minacce.
- ATT&CK è nativo: la mappatura MITRE ATT&CK è integrata nel modello di base, non aggiunta sopra, rendendo semplici l\'analisi a livello di tecnica e il monitoraggio della copertura.
- Interfaccia moderna: una UI pulita e orientata al grafo che gli analisti trovano davvero piacevole rispetto alla maggior parte degli strumenti di sicurezza.
- Ecosistema di connettori: un insieme crescente di connettori che ingeriscono da fonti esterne, MISP compreso, e arricchiscono automaticamente le entità.
Dove OpenCTI fa male
- Modello concettuale più impegnativo: STIX 2.1 e l\'approccio a grafo richiedono tempo per essere interiorizzati. I team abituati a liste piatte di indicatori hanno bisogno di un cambio di mentalità prima che OpenCTI faccia clic.
- Più pesante da gestire: trascina con sé Elasticsearch, Redis, RabbitMQ e MinIO. Mettete in conto più infrastruttura e attenzione operativa di un\'installazione MISP.
- Non è una comunità di condivisione di per sé: OpenCTI consuma e analizza bene l\'intelligence, ma non è lo strato di distribuzione in comunità di fiducia che è MISP. Voi lo alimentate; non sostituisce le vostre relazioni di condivisione.
La vera distinzione: condivisione o analisi
Il motivo per cui « MISP o OpenCTI » è l\'inquadramento sbagliato è che i due si collocano a fasi diverse del ciclo di vita dell\'intelligence. MISP è raccolta e distribuzione. OpenCTI è analisi e produzione. Uno sposta indicatori tra voi e i vostri partner; l\'altro trasforma quegli indicatori in comprensione.
Detto chiaramente: MISP risponde a « quali indicatori abbiamo e chi dovrebbe riceverli ». OpenCTI risponde a « cosa significano questi indicatori, chi c\'è dietro e contro quali tecniche dovremmo difenderci ». Scegliere l\'uno invece dell\'altro è meno una scelta tra due prodotti e più la decisione se vi serva un magazzino o un\'officina. La maggior parte delle operazioni serie vuole entrambi.
Come lavorano insieme: MISP raccoglie e condivide gli indicatori grezzi attraverso le vostre comunità. OpenCTI li ingerisce tramite il suo connettore MISP, poi li arricchisce e li collega nel quadro più ampio di attori, campagne e tecniche ATT&CK. Lo strato di condivisione alimenta lo strato di analisi.
Vi servono entrambi? Come si integrano
Per molti team la risposta onesta è sì, e l\'integrazione è ben collaudata. OpenCTI fornisce un connettore MISP che recupera eventi e indicatori in modo pianificato, così MISP resta l\'hub di raccolta e condivisione mentre OpenCTI diventa la base di conoscenza analitica al di sopra. Conservate la condivisione comunitaria e l\'ecosistema di feed di MISP e guadagnate la modellazione delle relazioni e l\'analisi centrata su ATT&CK di OpenCTI senza duplicare l\'inserimento dei dati.
Non sempre vi servono entrambi dal primo giorno. Un piccolo team la cui unica esigenza è alimentare il rilevamento con indicatori può andare avanti a lungo con MISP da solo. Una funzione di threat intelligence che deve informare la dirigenza su attori e campagne, e monitorare la propria copertura difensiva rispetto ad ATT&CK, supererà i limiti analitici di MISP e vorrà OpenCTI. Il discrimine è se il vostro lavoro sia per lo più distribuzione o per lo più analisi.
Una guida rapida alla decisione
- Dovete soprattutto alimentare il rilevamento con indicatori e condividere con i partner: iniziate da MISP. È lo standard per la condivisione di IoC e lo strumento più semplice da rendere operativo.
- Fate parte di un ISAC o di una comunità di condivisione settoriale: MISP, quasi certamente. È la lingua comune della condivisione in comunità di fiducia, e il feed del CIRCL è a portata di mano in Lussemburgo.
- Dovete analizzare attori, campagne e TTP e mappare la copertura rispetto ad ATT&CK: OpenCTI. Il grafo della conoscenza è costruito esattamente per questo.
- Avete una vera funzione di threat intelligence e la capacità operativa: usate entrambi, MISP per raccolta e condivisione, OpenCTI per l\'analisi, collegati tramite il connettore MISP.
E le alternative?
Sul fronte della condivisione, MISP è di fatto lo standard open source; le alternative sono piattaforme commerciali di threat intelligence (Anomali, ThreatConnect, Recorded Future) che raggruppano feed e analisi a pagamento. Sul fronte dell\'analisi, i pari open source più vicini a OpenCTI sono strumenti generici di grafo e gestione dei casi piuttosto che equivalenti diretti, il che è in parte il motivo per cui è diventato la scelta open source predefinita per la conoscenza strutturata delle minacce. TheHive e Cortex sono adiacenti a entrambi, gestendo risposta agli incidenti e arricchimento degli osservabili anziché la modellazione dell\'intelligence.
Il nostro parere
Se ne scegliete uno per iniziare, scegliete in base al lavoro che avete davanti. I team la cui threat intelligence consiste davvero nel portare buoni indicatori nel rilevamento dovrebbero iniziare da MISP e potrebbero non aver mai bisogno di altro. I team il cui compito è capire gli avversari, informare i decisori e ragionare sulle tecniche dovrebbero investire presto in OpenCTI, perché innestare quell\'analisi su un flusso fatto di soli indicatori è faticoso.
Per i clienti con una vera funzione di intelligence li gestiamo insieme: MISP come hub di raccolta e condivisione, OpenCTI come strato analitico che vi attinge, accanto a Wazuh e Suricata per il rilevamento. Le piattaforme sono gratuite. La competenza per modellare bene l\'intelligence, curare i feed e mantenere sana l\'integrazione è la parte che costa davvero, ed è la parte che decide se uno degli strumenti porti valore o si limiti ad accumulare dati che nessuno legge.
Se preferite disporre di questa capacità senza costruire la competenza interna per gestirla, è esattamente ciò in cui il nostro team può aiutarvi. Diteci cosa volete ottenere e vi diremo onestamente se vi serve una piattaforma, entrambe o nessuna per ora.
Domande frequenti
OpenCTI sostituisce MISP?
No. Risolvono problemi diversi. MISP è costruito per raccogliere e condividere indicatori all\'interno di comunità di fiducia; OpenCTI è costruito per modellare e analizzare le relazioni tra le minacce. OpenCTI può ingerire da MISP, ma non ne sostituisce il ruolo di condivisione.
MISP e OpenCTI possono lavorare insieme?
Sì, ed è lo schema comune. OpenCTI fornisce un connettore MISP che recupera eventi e indicatori in modo pianificato, così MISP resta lo strato di condivisione e raccolta mentre OpenCTI fornisce il grafo della conoscenza analitico al di sopra.
Quale è più difficile da imparare?
OpenCTI ha il modello concettuale più impegnativo a causa di STIX 2.1 e dell\'approccio a grafo. La struttura indicatore-evento di MISP è più semplice da cogliere, anche se entrambi premiano una formazione adeguata. OpenCTI è anche più pesante da gestire, poiché dipende da Elasticsearch, Redis, RabbitMQ e MinIO.
Cosa dovrebbe distribuire per primo un piccolo team?
Se la vostra esigenza è alimentare il rilevamento con indicatori e condividere con i partner, iniziate da MISP. Se la vostra esigenza è analizzare attori e campagne e mappare la copertura rispetto a MITRE ATT&CK, iniziate da OpenCTI. I team con una funzione di threat intelligence completa finiscono di solito per usare entrambi.
