\item Christophe Vandeplas (trabajando en el CERT del MINDEF Belga en aquel entonces) nos mostró su trabajo en una plataforma que luego se convertiría en MISP.
\item Una primera versión de MISP fue utilizada por el MALWG y {\bf los comentarios de los usuarios} nos ayudaron a realizar mejoras en la plataforma.
\item Actualmente MISP es {\bf un desarrollo impulsado por la comunidad}.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Acerca de CIRCL}
El Centro de Respuesta ante Emergencias Informáticas de Luxemburgo (CIRCL) es una iniciativa impulsada por el gobierno, diseñada para proveer una respuesta sistemática a incidentes y amenazas de seguridad informática.
\linebreak
\linebreak
CIRCL es el CERT del sector privado, municipios y entidades no gubernamentales en Luxemburgo y es operado por securitymadein.lu g.i.e.
\end{frame}
\begin{frame}
\frametitle{MISP y CIRCL}
\begin{itemize}
\item CIRCL es conducido por el Ministerio de Economía y actúa como el CERT Nacional para el sector privado.
\item CIRCL lidera el desarrollo de MISP, la plataforma de código abierto de inteligencia de amenazas, que es utilizada por muchas comunidades militares o de inteligencia, empresas privadas, sector financiero, CERTs nacionales y fuerzas de seguridad (LEAs) en todo el mundo.
\item{\bf CIRCL opera múltiples comunidades de MISP, que a diario comparten información de inteligencia de amenazas (threat-intelligence)}.
\item MISP es una plataforma libre y de código abierto para el {\bf intercambio de información de amenazas}.
\item Es una herramienta que {\bf recolecta} información proveniente de diferentes participantes, sus analistas, sus herramientas, fuentes de inteligencia, etc.
\item Normaliza, {\bf correlaciona} y {\bf enriquece} la información.
\item Permite {\bf colaborar} a los diferentes equipos y comunidades.
\item{\bf Alimenta} las herramientas de seguridad y de los analistas con sus resultados.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Desarrollo basado en comentarios de los usuarios}
\begin{itemize}
\item Existen muchos diferentes tipos de usuarios de plataformas de intercambio de información como MISP:
\begin{itemize}
\item{\bf Analistas de Malware} dispuestos a compartir indicadores de compromiso con sus respectivos colegas.
\item{\bf Analistas de Seguridad} buscando, validando y utilizando indicadores en seguridad operacional.
\item Compartiendo indicadores para {\bf bloquear}.
\begin{itemize}
\item 'Utilizo estos indicadores para bloquear el acceso o redireccionar el tráfico.'
\end{itemize}
\item Compartiendo indicadores para {\bf realizar actividades de inteligencia}.
\begin{itemize}
\item 'Recopilando información acerca de campañas y ataques. ¿Están relacionados? ¿Quién me tiene como objetivo? ¿Quiénes son los adversarios?'
\end{itemize}
\item$\rightarrow$ Estos objetivos pueden ser contradictorios (p. ej. Los falsos-positivos tienen diferentes impactos)
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Comunidades utilizando MISP}
\begin{itemize}
\item Las comunidades son grupos de usuarios que comparten un conjunto objetivos o valores comunes.
\item CIRCL opera múltiples instancias de MISP con una gran cantidad de usuarios (más de 1200 organizaciones con más de 4000 usuarios).
\item{\bf Grupos de confianza} operando comunidades de MISP en modo aislado (air-gapped) o parcialmente conectados.
\item{\bf Sector financiero} (bancos, Centros de Análisis e Intercambio de Información (ISACs), organizaciones de procesamiento de pagos) utilizan MISP como mecanismo de intercambio.
\item{\bf Organizaciones internacionales y militares} OTAN, CSIRTs militares, CERTs, ...
\item{\bf Proveedores de Seguridad} operando sus propias comunidades o interconectados con otras comunidades.
\item{\bf Comunidades temáticas} creadas para abordar problemáticas específicas (COVID-19 MISP)
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Las dificultades de compartir información}
\begin{itemize}
\item Las dificultades de compartir información no suelen ser problemas de índole tecnológico, en general se deben a las {\bf interacciones sociales} (p. ej. {\bf confianza}).
\item{\bf Las prácticas de intercambio de información vienen con su uso} y con el ejemplo (p. ej. aprender mediante la imitación de la información compartida).
\item MISP es sólo una herramienta. Lo que importa son sus prácticas de intercambio. La herramienta debería darle soporte de la manera más transparente posible.
\item Permitir a los usuarios customizar MISP para satisfacer las necesidad de los casos de uso de su comunidad.
\item El proyecto MISP combina código abierto, estándares abiertos, mejores prácticas y comunidades para convertir el intercambio de información en una realidad.