CyberScan
Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.
Scopri CyberScan →
Cyber Security
Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.
Scopri →Dalla cooperazione tra CERT
La condivisione di indicatori di compromissione (IoC) tra team di risposta richiede formati comuni, metadati di qualità e meccanismi di trust. Nei primi anni 2010 i CERT europei condividono via email, feed testuali ed Excel: nessuno standard, duplicazione costante di lavoro.
Nel 2011 Christophe Vandeplas (CERT del Ministero della Difesa belga) avvia un tool interno chiamato CyDefSIG. Nel 2013 il progetto viene ribattezzato MISP (Malware Information Sharing Platform) e pubblicato open source; nello stesso periodo il CIRCL (Computer Incident Response Centre Luxembourg) ne diventa principale maintainer.
La prima release pubblica con il nome MISP risale al luglio 2013. Gli sviluppatori di riferimento sono oggi Andras Iklody e Alexandre Dulaunoy (CIRCL). La licenza è AGPLv3.
Modello dati
MISP è basato su eventi, ognuno dei quali contiene:
- Attributes — IoC singoli (IP, domain, file hash, URL, email, filename, registry key)
- Objects — gruppi di attributi correlati (es. oggetto
filecon hash + size + filename) - Galaxy clusters — tag semantici per threat actor, malware family, attack pattern (mapping ATT&CK)
- Taxonomies — tag gerarchici per classificazione (TLP, PAP, confidence, admiralty scale)
- Sightings — conferme di avvistamento di un IoC
Il formato nativo è MISP JSON, con export verso STIX 1.x / 2.x, OpenIOC, Suricata/Snort rules, Bro/Zeek intel, YARA, CSV.
Sharing groups e feed
MISP supporta sharing groups — insiemi di organizzazioni con visibilità controllata sugli eventi. Un evento può essere:
- privato dell’organizzazione
- condiviso con una community specifica
- pubblico
I feed permettono di importare fonti esterne (CIRCL OSINT feed, Abuse.ch, propri fornitori). Le synchronization automatizzano scambio tra istanze MISP via API.
STIX, TAXII, automazione
MISP espone una API REST completa e supporta STIX 1.x/2.x e TAXII per interoperabilità con altre piattaforme TI (OpenCTI, IBM X-Force, ThreatConnect). La PyMISP è la libreria Python di riferimento per integrazioni custom.
Le integrazioni pronte includono: TheHive/Cortex, Suricata, Zeek, SIEM (Splunk, Elastic, QRadar, Sentinel), EDR/XDR.
Galaxy e ATT&CK
Le galaxy MISP rappresentano threat actor, campagne, famiglie di malware, tecniche ATT&CK in formato strutturato e versionato. Ogni evento può essere tagguato con tecniche MITRE ATT&CK, abilitando report e misure di copertura allineati allo standard.
Adozione istituzionale
- NATO NCIRC — condivisione tra nazioni alleate
- CSIRT nazionali europei (Italia, Francia, Germania, Lussemburgo, Belgio, Paesi Bassi)
- ENISA — riferimento per sharing europeo
- ISAC settoriali — finance, energy, transport, health
- Commercial vendor — integrazione nei propri prodotti XDR/TI
Nel contesto italiano
MISP è utilizzato da:
- CSIRT Italia (ACN) — sharing nazionale
- CERT settoriali — finanziario (CERTFin), sanità, energia, telecomunicazioni
- ISAC italiani — condivisione settoriale
- Aziende regolamentate (NIS2, DORA) — pipeline di threat intel verso SIEM/EDR
Dopo oltre un decennio, MISP è lo standard de facto per threat intelligence sharing open source in Europa, con governance neutrale e ecosistema ricco.
Riferimenti: MISP — progetto avviato come CyDefSIG nel 2011 da Christophe Vandeplas (CERT MOD Belgio), rinominato e pubblicato come MISP nel luglio 2013. Maintainer principale CIRCL Lussemburgo (Andras Iklody, Alexandre Dulaunoy). Licenza AGPLv3. Supporto STIX/TAXII. Sito: https://www.misp-project.org.