chg: [x.16] military use-cases
After Width: | Height: | Size: 147 KiB |
After Width: | Height: | Size: 53 KiB |
After Width: | Height: | Size: 115 KiB |
After Width: | Height: | Size: 9.5 KiB |
|
@ -0,0 +1,54 @@
|
|||
\relax
|
||||
\providecommand\hyper@newdestlabel[2]{}
|
||||
\@writefile{nav}{\headcommand {\slideentry {0}{0}{1}{1/1}{}{0}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@framepages {1}{1}}}
|
||||
\@writefile{nav}{\headcommand {\slideentry {0}{0}{2}{2/2}{}{0}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@framepages {2}{2}}}
|
||||
\@writefile{nav}{\headcommand {\slideentry {0}{0}{3}{3/3}{}{0}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@framepages {3}{3}}}
|
||||
\@writefile{nav}{\headcommand {\slideentry {0}{0}{4}{4/4}{}{0}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@framepages {4}{4}}}
|
||||
\@writefile{nav}{\headcommand {\slideentry {0}{0}{5}{5/5}{}{0}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@framepages {5}{5}}}
|
||||
\@writefile{nav}{\headcommand {\slideentry {0}{0}{6}{6/6}{}{0}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@framepages {6}{6}}}
|
||||
\@writefile{nav}{\headcommand {\slideentry {0}{0}{7}{7/7}{}{0}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@framepages {7}{7}}}
|
||||
\@writefile{nav}{\headcommand {\slideentry {0}{0}{8}{8/8}{}{0}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@framepages {8}{8}}}
|
||||
\@writefile{nav}{\headcommand {\slideentry {0}{0}{9}{9/9}{}{0}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@framepages {9}{9}}}
|
||||
\@writefile{nav}{\headcommand {\slideentry {0}{0}{10}{10/10}{}{0}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@framepages {10}{10}}}
|
||||
\@writefile{nav}{\headcommand {\slideentry {0}{0}{11}{11/11}{}{0}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@framepages {11}{11}}}
|
||||
\@writefile{nav}{\headcommand {\slideentry {0}{0}{12}{12/12}{}{0}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@framepages {12}{12}}}
|
||||
\@writefile{nav}{\headcommand {\slideentry {0}{0}{13}{13/13}{}{0}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@framepages {13}{13}}}
|
||||
\@setckpt{content}{
|
||||
\setcounter{page}{14}
|
||||
\setcounter{equation}{0}
|
||||
\setcounter{enumi}{0}
|
||||
\setcounter{enumii}{0}
|
||||
\setcounter{enumiii}{0}
|
||||
\setcounter{enumiv}{0}
|
||||
\setcounter{footnote}{0}
|
||||
\setcounter{mpfootnote}{0}
|
||||
\setcounter{beamerpauses}{1}
|
||||
\setcounter{bookmark@seq@number}{0}
|
||||
\setcounter{lecture}{0}
|
||||
\setcounter{part}{0}
|
||||
\setcounter{section}{0}
|
||||
\setcounter{subsection}{0}
|
||||
\setcounter{subsubsection}{0}
|
||||
\setcounter{subsectionslide}{13}
|
||||
\setcounter{framenumber}{12}
|
||||
\setcounter{figure}{0}
|
||||
\setcounter{table}{0}
|
||||
\setcounter{parentequation}{0}
|
||||
\setcounter{theorem}{0}
|
||||
\setcounter{lstnumber}{1}
|
||||
\setcounter{section@level}{0}
|
||||
\setcounter{lstlisting}{0}
|
||||
}
|
|
@ -0,0 +1,143 @@
|
|||
% DO NOT COMPILE THIS FILE DIRECTLY!
|
||||
% This is included by the other .tex files.
|
||||
|
||||
\begin{frame}[t,plain]
|
||||
\titlepage
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{MISP and Starting from a Practical Use-Case}
|
||||
\begin{itemize}
|
||||
\item In 2012, during a malware analysis workgroup, we realized that multiple analysts were working independently on the same malware.
|
||||
\item To streamline our efforts and avoid redundancy, we sought a {\bf method for easy and automated information sharing}.
|
||||
\item Christophe Vandeplas, then employed at the Belgian Ministry of Defense, presented his preliminary work on what would eventually evolve into the MISP platform.
|
||||
\item An initial version of the MISP platform was adopted by the MALWG, and the valuable feedback from users fueled further development and enhancements.
|
||||
\item Today, MISP has grown into a platform driven by {\bf community development}.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{about CIRCL}
|
||||
The Computer Incident Response Center Luxembourg (CIRCL) is a government-driven initiative designed to provide a systematic response facility to computer security threats and incidents. CIRCL is the CERT for the private sector, communes and non-governmental entities in Luxembourg and is operated by securitymadein.lu g.i.e.
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{MISP and CIRCL}
|
||||
\begin{itemize}
|
||||
\item CIRCL is mandated by the Ministry of Economy and acting as the Luxembourg National CERT for private sector (under the NIS directive).
|
||||
\item CIRCL leads the development of the Open Source MISP threat intelligence platform which is used by many military or intelligence communities, private companies, financial sector, National CERTs and LEAs globally.
|
||||
\item {\bf CIRCL runs multiple large MISP communities performing active daily threat-intelligence sharing}.
|
||||
\end{itemize}
|
||||
\includegraphics{en_cef.png}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{What is MISP?}
|
||||
\begin{itemize}
|
||||
\item MISP is a {\bf threat information sharing} platform that is free \& open source software
|
||||
\item A tool that {\bf collects} information from partners, your analysts, your tools, feeds
|
||||
\item Normalises, {\bf correlates}, {\bf enriches} the data
|
||||
\item Allows teams and communities to {\bf collaborate}
|
||||
\item {\bf Feeds} automated protective tools and analyst tools with the output
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Development based on practical user feedback}
|
||||
\begin{itemize}
|
||||
\item There are many different types of users of an information sharing platform like MISP:
|
||||
\begin{itemize}
|
||||
\item {\bf Malware reversers} willing to share indicators of analysis with respective colleagues.
|
||||
\item {\bf Security analysts} searching, validating and using indicators in operational security.
|
||||
\item {\bf Intelligence analysts} gathering information about specific adversary groups.
|
||||
\item {\bf Law-enforcement} relying on indicators to support or bootstrap their DFIR cases.
|
||||
\item {\bf Risk analysis teams} willing to know about the new threats, likelyhood and occurences.
|
||||
\item {\bf Fraud analysts} willing to share financial indicators to detect financial frauds.
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{MISP model of governance}
|
||||
\begin{center}
|
||||
\includegraphics[scale=0.2]{governance.png}
|
||||
\end{center}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Many objectives from different user-groups}
|
||||
\begin{itemize}
|
||||
\item Sharing indicators/selectors for a {\bf detection} matter.
|
||||
\begin{itemize}
|
||||
\item 'Do I have infected systems in my infrastructure or the ones I operate?'
|
||||
\end{itemize}
|
||||
\item Sharing indicators to {\bf block}.
|
||||
\begin{itemize}
|
||||
\item 'I use these attributes to block, sinkhole or divert traffic.'
|
||||
\end{itemize}
|
||||
\item Sharing indicators to {\bf perform intelligence}.
|
||||
\begin{itemize}
|
||||
\item 'Gathering information about campaigns and attacks. Are they related? Who is targeting me? Who are the adversaries?'
|
||||
\end{itemize}
|
||||
\item $\rightarrow$ These objectives can be conflicting (e.g. False-positives have different impacts)
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Communities using MISP}
|
||||
\begin{itemize}
|
||||
\item Communities are groups of users sharing within a set of common objectives/values.
|
||||
\item CIRCL operates multiple MISP instances with a significant user base (more than 1200 organizations with more than 4000 users).
|
||||
\item {\bf Trusted groups} running MISP communities in island mode (air gapped system) or partially connected mode.
|
||||
\item {\bf Financial sector} (banks, ISACs, payment processing organizations) use MISP as a sharing mechanism.
|
||||
\item {\bf Military and international organizations} (NATO, military CSIRTs, n/g CERTs,...).
|
||||
\item {\bf Security vendors} running their own communities (e.g. Fidelis) or interfacing with MISP communities (e.g. OTX).
|
||||
\item {\bf Topical communities} set up to tackle individual specific issues (COVID-19 MISP)
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{MISP Project Overview}
|
||||
\includegraphics[scale=0.35]{misp-overview-simplified.pdf}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Sharing in MISP}
|
||||
\begin{itemize}
|
||||
\item Sharing via distribution lists - {\bf Sharing groups}
|
||||
\item {\bf Delegation} for pseudo-anonymised information sharing
|
||||
\item {\bf Proposals} and {\bf Extended events} for collaborated information sharing
|
||||
\item Synchronisation, Feed system, air-gapped sharing
|
||||
\item User defined {\bf filtered sharing} for all the above mentioned methods
|
||||
\item Cross-instance information {\bf caching} for quick lookups of large data-sets
|
||||
\item Support for multi-MISP internal enclaves
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Information quality management}
|
||||
\begin{itemize}
|
||||
\item Correlating data
|
||||
\item Feedback loop from detections via {\bf Sightings}
|
||||
\item {\bf False positive management} via the warninglist system
|
||||
\item {\bf Enrichment system} via MISP-modules
|
||||
\item {\bf workflow} system to review and control information publication
|
||||
\item {\bf Integrations} with a plethora of tools and formats
|
||||
\item Flexible {\bf API} and support {\bf libraries} such as PyMISP to ease integration
|
||||
\item {\bf Timelines} and giving information a temporal context
|
||||
\item Full chain for {\bf indicator life-cycle management}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Conclusion}
|
||||
\begin{itemize}
|
||||
\item {\bf Information sharing practices come from usage} and by example (e.g. learning by imitation from the shared information).
|
||||
\item MISP is just a tool. What matters is your sharing practices. The tool should be as transparent as possible to support you.
|
||||
\item Enable users to customize MISP to meet their community's use-cases.
|
||||
\item MISP project combines open source software, open standards, best practices and communities to make information sharing a reality.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
|
|
@ -0,0 +1,165 @@
|
|||
% DO NOT COMPILE THIS FILE DIRECTLY!
|
||||
% This is included by the other .tex files.
|
||||
|
||||
\begin{frame}[t,plain]
|
||||
\titlepage
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{MISP, comenzando desde un caso práctico}
|
||||
\begin{itemize}
|
||||
\item Durante un taller de análisis de malware en 2012, descubrimos que habíamos estado trabajando analizando el mismo malware.
|
||||
\item Quisimos compartir información de forma fácil y automatizada para así {\bf evitar la duplicación de trabajo}.
|
||||
\item Christophe Vandeplas (trabajando en el CERT del MINDEF Belga en aquel entonces) nos mostró su trabajo en una plataforma que luego se convertiría en MISP.
|
||||
\item Una primera versión de MISP fue utilizada por el MALWG y {\bf los comentarios de los usuarios} nos ayudaron a realizar mejoras en la plataforma.
|
||||
\item Actualmente MISP es {\bf un desarrollo impulsado por la comunidad}.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Acerca de CIRCL}
|
||||
El Centro de Respuesta ante Emergencias Informáticas de Luxemburgo (CIRCL) es una iniciativa impulsada por el gobierno, diseñada para proveer una respuesta sistemática a incidentes y amenazas de seguridad informática.
|
||||
\linebreak
|
||||
\linebreak
|
||||
CIRCL es el CERT del sector privado, municipios y entidades no gubernamentales en Luxemburgo y es operado por LHC g.i.e.
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{MISP y CIRCL}
|
||||
\begin{itemize}
|
||||
\item CIRCL es conducido por el Ministerio de Economía y actúa como el CERT Nacional para el sector privado.
|
||||
\item CIRCL lidera el desarrollo de MISP, la plataforma de código abierto de inteligencia de amenazas, que es utilizada por muchas comunidades militares o de inteligencia, empresas privadas, sector financiero, CERTs nacionales y fuerzas de seguridad (LEAs) en todo el mundo.
|
||||
\item {\bf CIRCL opera múltiples comunidades de MISP, que a diario comparten información de inteligencia de amenazas (threat-intelligence)}.
|
||||
\end{itemize}
|
||||
\includegraphics{en_cef.png}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{¿Qué es MISP?}
|
||||
\begin{itemize}
|
||||
\item MISP es una plataforma libre y de código abierto para el {\bf intercambio de información de amenazas}.
|
||||
\item Es una herramienta que {\bf recolecta} información proveniente de diferentes participantes, sus analistas, sus herramientas, fuentes de inteligencia, etc.
|
||||
\item Normaliza, {\bf correlaciona} y {\bf enriquece} la información.
|
||||
\item Permite {\bf colaborar} a los diferentes equipos y comunidades.
|
||||
\item {\bf Alimenta} las herramientas de seguridad y de los analistas con sus resultados.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Desarrollo basado en comentarios de los usuarios}
|
||||
\begin{itemize}
|
||||
\item Existen muchos diferentes tipos de usuarios de plataformas de intercambio de información como MISP:
|
||||
\begin{itemize}
|
||||
\item {\bf Analistas de Malware} dispuestos a compartir indicadores de compromiso con sus respectivos colegas.
|
||||
\item {\bf Analistas de Seguridad} buscando, validando y utilizando indicadores en seguridad operacional.
|
||||
\item {\bf Analistas de Inteligencia} recopilando información acerca de ciertos grupos de adversarios.
|
||||
\item {\bf Fuerzas de Seguridad} utilizando indicadores para dar soporte a casos de análisis forense digital (DFIR).
|
||||
\item {\bf Equipos de Análisis de Riesgos} dispuestos a saber más sobre nuevas amenazas, probabilidades e incidencias.
|
||||
\item {\bf Analistas de Fraude} dispuestos a compartir indicadores financieros para detectar fraudes.
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Modelo de gobernabilidad de MISP}
|
||||
\begin{center}
|
||||
\includegraphics[scale=0.2]{governance.png}
|
||||
\end{center}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Múltiples objetivos según diferentes grupos de usuarios}
|
||||
\begin{itemize}
|
||||
\item Compartiendo indicadores para la {\bf detección}.
|
||||
\begin{itemize}
|
||||
\item '¿Existen sistemas infectados en mi infraestructura o en las redes que opero?'
|
||||
\end{itemize}
|
||||
\item Compartiendo indicadores para {\bf bloquear}.
|
||||
\begin{itemize}
|
||||
\item 'Utilizo estos indicadores para bloquear el acceso o redireccionar el tráfico.'
|
||||
\end{itemize}
|
||||
\item Compartiendo indicadores para {\bf realizar actividades de inteligencia}.
|
||||
\begin{itemize}
|
||||
\item 'Recopilando información acerca de campañas y ataques. ¿Están relacionados? ¿Quién me tiene como objetivo? ¿Quiénes son los adversarios?'
|
||||
\end{itemize}
|
||||
\item $\rightarrow$ Estos objetivos pueden ser contradictorios (p. ej. Los falsos-positivos tienen diferentes impactos)
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Comunidades utilizando MISP}
|
||||
\begin{itemize}
|
||||
\item Las comunidades son grupos de usuarios que comparten un conjunto objetivos o valores comunes.
|
||||
\item CIRCL opera múltiples instancias de MISP con una gran cantidad de usuarios (más de 1200 organizaciones con más de 4000 usuarios).
|
||||
\item {\bf Grupos de confianza} operando comunidades de MISP en modo aislado (air-gapped) o parcialmente conectados.
|
||||
\item {\bf Sector financiero} (bancos, Centros de Análisis e Intercambio de Información (ISACs), organizaciones de procesamiento de pagos) utilizan MISP como mecanismo de intercambio.
|
||||
\item {\bf Organizaciones internacionales y militares} OTAN, CSIRTs militares, CERTs, ...
|
||||
\item {\bf Proveedores de Seguridad} operando sus propias comunidades o interconectados con otras comunidades.
|
||||
\item {\bf Comunidades temáticas} creadas para abordar problemáticas específicas (COVID-19 MISP)
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Las dificultades de compartir información}
|
||||
\begin{itemize}
|
||||
\item Las dificultades de compartir información no suelen ser problemas de índole tecnológico, en general se deben a las {\bf interacciones sociales} (p. ej. {\bf confianza}).
|
||||
\item Restricciones legales\footnote{\url{https://www.misp-project.org/compliance/}}
|
||||
\begin{itemize}
|
||||
\item "Nuestro marco legal no nos permite compartir información."
|
||||
\item "El riesgo de filtraciones de información es muy alto y riesgoso para nuestra organización y nuestros socios."
|
||||
\end{itemize}
|
||||
\item Restricciones prácticas
|
||||
\begin{itemize}
|
||||
\item "No tenemos información para compartir."
|
||||
\item "No tenemos tiempo para procesar o contribuir con indicadores."
|
||||
\item "Nuestro modelo de clasificación no se ajusta al modelo de MISP."
|
||||
\item "Las herramientas para intercambio de información están asociadas a un formato específico, nosotros utilizamos otro."
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Vista general del Proyecto MISP}
|
||||
\includegraphics[scale=0.35]{misp-overview-simplified.pdf}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Compartiendo en MISP}
|
||||
\begin{itemize}
|
||||
\item Compartiendo vía listas de distribución - {\bf Grupos de intercambio} (sharing groups)
|
||||
\item {\bf Delegación} para intercambio de información pseudo-anonimizada
|
||||
\item {\bf Propuestas} y {\bf Eventos extendidos} para compartir información en forma colaborativa
|
||||
\item Sincronización, Fuentes (feeds), intercambio aislado (air-gapped)
|
||||
\item {\bf Filtros de intercambio } definidos por el usuario para todos los métodos mencionados anteriormente
|
||||
\item {\bf Almacenamiento en caché} para búsquedas rápidas en grandes volúmenes de datos
|
||||
\item Soporte de múltiples instancias de MISP para enclaves internas
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Gestión de la calidad de la Información}
|
||||
\begin{itemize}
|
||||
\item Información correlacionada
|
||||
\item Ciclo de retroalimentación de detecciones vía {\bf Avistamientos} (Sightings)
|
||||
\item {\bf Gestión de falsos positivos} vía el sistema de alertas (warninglists)
|
||||
\item Sistema de {\bf enriquecimiento} vía MISP-modules
|
||||
\item Sistema de {\bf flujos de trabajo} para revisar y controlar la información que se publica
|
||||
\item {\bf Integraciones} con un gran número de herramientas y formatos
|
||||
\item {\bf API} flexible y soporte de {\bf librerías} tales como PyMISP para facilitar la integración
|
||||
\item {\bf Líneas de tiempo} (timelines) para dotar a la información de un marco temporal
|
||||
\item Cadena completa de la {\bf gestión del ciclo de vida de indicadores}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Conclusión}
|
||||
\begin{itemize}
|
||||
\item {\bf Las prácticas de intercambio de información vienen con su uso} y con el ejemplo (p. ej. aprender mediante la imitación de la información compartida).
|
||||
\item MISP es sólo una herramienta. Lo que importa son sus prácticas de intercambio. La herramienta debería darle soporte de la manera más transparente posible.
|
||||
\item Permitir a los usuarios customizar MISP para satisfacer las necesidad de los casos de uso de su comunidad.
|
||||
\item El proyecto MISP combina código abierto, estándares abiertos, mejores prácticas y comunidades para convertir el intercambio de información en una realidad.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
|
|
@ -0,0 +1,314 @@
|
|||
% DO NOT COMPILE THIS FILE DIRECTLY!
|
||||
% This is included by the other .tex files.
|
||||
|
||||
\begin{frame}[t,plain]
|
||||
\titlepage
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}{Agenda}
|
||||
\input{../includes/agenda.txt}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{MISP, bekeken vanuit een praktisch voorbeeld}
|
||||
\begin{itemize}
|
||||
\item In 2012 werd tijdens een werkgroep voor malware analyse duidelijk dat we werkten aan de analyse van dezelfde malware.
|
||||
\item We wilden onze informatie op een eenvoudige en geautomatiseerde manier met elkaar delen {\bf om dubbel werk te voorkomen}.
|
||||
\item Christophe Vandeplas (toen werkzaam bij het CERT voor de Belgische Defensie) toonde ons zijn werk aan een platform dat uiteindelijk MISP werd.
|
||||
\item De eerste versie van het MISP-platform werd gebruikt door de MALWG en met hulp van {\bf de toenemende feedback van gebruikers} konden we een verbeterd platform bouwen.
|
||||
\item MISP is nu uitgegroeid tot een platform waar de {\bf ontwikkeling gestuurd wordt vanuit de gemeenschap}.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{over CIRCL}
|
||||
Het Computer Incident Response Centre Luxembourg (CIRCL) is een overheids initiatief om een antwoord te bieden op computerbeveiligingsbedreigingen en -incidenten. \break \newline
|
||||
CIRCL is het CERT voor de particuliere sector, gemeenten en niet-gouvernementele entiteiten in Luxemburg en wordt beheerd door securitymadein.lu g.i.e.
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{MISP en CIRCL}
|
||||
\begin{itemize}
|
||||
\item CIRCL is gemandateerd door het ministerie van Economische Zaken en treedt op als het Luxemburgse nationale CERT voor de particuliere sector.
|
||||
\item CIRCL leidt de ontwikkeling van het Open Source MISP-platform voor het delen van dreigingsinformatie. Dit platform is wereldwijd gebruikt door veel militaire en inlichtingengemeenschappen, privébedrijven, de financiële sector, nationale CERT's en LEA's.
|
||||
\item {\bf CIRCL beheert meerdere grote MISP-gemeenschappen die dagelijkse actief zijn in het delen van dreigingsinformatie}.
|
||||
\end{itemize}
|
||||
\includegraphics{en_cef.png}
|
||||
\end{frame}
|
||||
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Ontwikkeling gebaseerd op praktische feedback van de gebruikers}
|
||||
\begin{itemize}
|
||||
\item Er zijn veel verschillende soorten gebruikers van een informatie-uitwisselingsplatform zoals MISP:
|
||||
\begin{itemize}
|
||||
\item {\bf Malware-analysten} die bereid zijn om de indicatoren van hun analyse met collega's te delen.
|
||||
\item {\bf Beveiligingsanalisten} die voor operationele beveiliging zoeken naar indicatoren, deze valideren en gebruiken.
|
||||
\item {\bf Informatie-analysten} die informatie verzamelen over specifieke vijandige groepen.
|
||||
\item De {\bf politie} die vertrouwt op indicatoren om digitale onderzoeken te ondersteunen of op te starten.
|
||||
\item {\bf Risico analyse teams} die meer willen weten over nieuwe dreigingen, de waarschijnlijkheid van deze dreigingen en of deze dreigingen werden vastgesteld.
|
||||
\item {\bf Fraude analysten} die bereid zijn om indicatoren te delen om financiële fraude op te sporen.
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Het beheermodel van MISP}
|
||||
\includegraphics[scale=0.4]{governance.png}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Verschillende objectieven}
|
||||
\begin{itemize}
|
||||
\item Delen van indicatoren voor {\bf detectie} doeleinden.
|
||||
\begin{itemize}
|
||||
\item 'Heb ik geïnfecteerde systemen in mijn infrastructuur of onder mijn beheer?'
|
||||
\end{itemize}
|
||||
\item Delen van indicatoren om te {\bf blokkeren}.
|
||||
\begin{itemize}
|
||||
\item 'Ik gebruik deze attributen om verkeer te blokkeren of om verkeer om te leiden.'
|
||||
\end{itemize}
|
||||
\item Delen van indicatoren om {\bf informatie te verzamelen}.
|
||||
\begin{itemize}
|
||||
\item 'Informatie verzamelen over campagnes en aanvallen. Zijn deze campagnes met elkaar verbonden? Zijn ze gericht op mij? Wie zijn de tegenstanders?'
|
||||
\end{itemize}
|
||||
\item $\rightarrow$ Deze doelstellingen kunnen soms tegenstrijdig zijn
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Moeilijkheden bij het delen}
|
||||
\begin{itemize}
|
||||
\item De problemen met het delen van informatie zijn vaak niet zozeer van technische aard maar eerder een kwestie van {\bf sociale interacties} (b.v. {\bf vertrouwen}).
|
||||
\item Juridische restricties\footnote{\url{https://www.misp-project.org/compliance/}}
|
||||
\begin{itemize}
|
||||
\item "Ons wettelijk kader staat ons niet toe om informatie te delen."
|
||||
\item "Het risico op een informatielek is te hoog en het is te riskant voor onze organisatie of partners."
|
||||
\end{itemize}
|
||||
\item Praktische beperkingen
|
||||
\begin{itemize}
|
||||
\item "We hebben geen informatie om te delen."
|
||||
\item "We hebben geen tijd om indicatoren te verwerken of om er te delen."
|
||||
\item "Ons classificatie model past niet in uw model."
|
||||
\item "De middelen voor het delen van informatie zijn gebonden aan een specifiek formaat en we gebruiken een ander formaat."
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{MISP Project Overzicht}
|
||||
\includegraphics[scale=0.35]{misp-overview-simplified.pdf}
|
||||
\end{frame}
|
||||
|
||||
%\begin{frame}
|
||||
% \frametitle{MISP Project Overview}
|
||||
% \begin{columns}[t]
|
||||
% \column{5.0cm}
|
||||
% \begin{figure}
|
||||
% \includegraphics[scale=0.20]{misp-overview.pdf}\\
|
||||
% \end{figure}
|
||||
% \column{7cm}
|
||||
% \begin{itemize}
|
||||
% \item The {\bf core project}\footnote{\url{http://github.com/MISP/}} (PHP/Python3) supports the backend, API \& UI.
|
||||
% \item Modules (Python3) expand MISP functionalities.
|
||||
% \item Taxonomies (JSON) to add categories \& global tagging.
|
||||
% \item Warning-lists (JSON) help analysts to detect potential false-positives.
|
||||
% \item Galaxy (JSON) to add threat-actors, tools or "intelligence".
|
||||
% \item Objects (JSON) to allow for templated composition of security related atomic points of information.
|
||||
% \end{itemize}
|
||||
% \end{columns}
|
||||
%\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{MISP functies}
|
||||
\begin{itemize}
|
||||
\item MISP\footnote{\url{https://github.com/MISP/MISP}} is open source software voor het delen van dreigings-informatie.
|
||||
\item MISP heeft {\bf een groot aantal functionaliteiten} die gebruikers ondersteunen bij het maken, samen werken aan en het delen van bedreigingsinformatie - bijv. flexibele groepen voor het delen van informatie, {\bf automatische correlatie van gegevens}, importhulp, event distributie en voorstelling voor verbetering van attributen.
|
||||
\item Er is ondersteuning voor diverse formaten van IDS / IPS systemen (b.v. Suricata, Bro, Snort), SIEMs (b.v. CEF), host scanners (b.v. OpenIOC, STIX, CSV, yara), analyse tools (b.v. Maltego) of om DNS policies te implementeren (b.v. RPZ).
|
||||
\item Er is een breed aanbod aan MISP modules\footnote{\url{https://www.github.com/MISP/misp-modules}} voor uitbreiding, import en export functionaliteiten.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Correlaties : een hulpmiddel voor analysten}
|
||||
\includegraphics[scale=0.18]{screenshots/campaign.png}
|
||||
\begin{itemize}
|
||||
\item Voor het {\bf bevestigen van een bevinding} (b.v. is dit dezelfde campagne?), {\bf of een analyse} (b.v. hebben andere analysten dezelfde hypothesis?), {\bf bevestigen van een specifiek aspect} (b.v. werden deze sinkhole IP adressen gebruikt voor een campagne?) of het simpelweg uitzoeken of een {\bf dreiging nieuw of onbekend is in je omgeving}.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Groepen die MISP gebruiken}
|
||||
\begin{itemize}
|
||||
\item In het algemeen gaan gebruikers informatie delen met een groep met dezelfde objectieven of waarden.
|
||||
\item CIRCL beheert meerdere MISP-instanties met een aanzienlijke gebruikersbasis (meer dan 950 organisaties met meer dan 2400 gebruikers).
|
||||
\item {\bf Vertrouwde} (gesloten) groepen die MISP gebruiken in een soort "eiland" modus (als een geïsoleerd systeem) of als een deels geconnecteerd systeem.
|
||||
\item De {\bf financiële sector} (banken, ISACs, organisaties die betalingen verwerken) gebruikt MISP als een mechanisme voor het delen van informatie.
|
||||
\item {\bf Militaire en internationale organisaties} (NATO, militaire CSIRTs, n/g CERTs,...).
|
||||
\item {\bf Security bedrijven} die hun eigen gemeenschap starten (b.v. Fidelis) of een koppeling hebben met een MISP gemeenschap (b.v. OTX).
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{MISP basisfuncties voor gedistribueerd delen}
|
||||
\begin{itemize}
|
||||
\item De kernfunctionaliteit van MISP is het delen van informatie waarbij iedereen zowel een consument als een producent (bijdrager) kan zijn.
|
||||
\item Dit heeft als voordeel dat iedereen snel kan deelnemen, zonder de directe verplichting om zelf bij te dragen.
|
||||
\item Er is een lage drempel om het systeem te leren kennen.
|
||||
\end{itemize}
|
||||
\includegraphics[scale=0.9]{misp-distributed.pdf}
|
||||
\end{frame}
|
||||
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Events, Objecten en Attributen in MISP}
|
||||
\begin{itemize}
|
||||
\item Een MISP event is een verzameling van contextueel verbonden informatie.
|
||||
\item Attributen\footnote{attributen kunnen alles zijn zolang ze bijdragen aan het beschrijven van de intentie van het event, b.v. indicatoren, kwetsbaarheden ... } starten initieel met een standaard groep van "cyber security" indicatoren.
|
||||
\item Attributen zijn puur {\bf gebaseerd op gebruik}. De verbetering gebeuren voornamelijk op basis van praktische noden ({\bf financiële indicatoren} in versie 2.4).
|
||||
\item Objecten zijn samengestelde attributen die verschillende datapunten beschrijven, opgebouwd uit templates van de gemeenschap en de gebruikers.
|
||||
\item Galaxies zorgen voor een granulaire context, classificatie en categorisatie van de gegevens gebaseerd op {\bf dreigings actoren}, {\bf preventie maatregelen} en de hulpmiddelen gebruikt door tegenstanders.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Delen van Technieken van Aanvallers}
|
||||
\begin{itemize}
|
||||
\item MISP heeft integratie op zowel event als attribuut niveau voor MITRE's Adversarial Tactics, Techniques, and Common Knowledge (ATT\&CK).
|
||||
\end{itemize}
|
||||
\includegraphics[scale=0.2]{screenshots/attack-screenshot.png}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Ondersteuning voor een specifiek datamodel}
|
||||
\includegraphics[scale=0.24]{screenshots/bankaccount.png}
|
||||
\includegraphics[scale=0.18]{screenshots/bankview.png}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Terminilogie van indicatoren}
|
||||
\begin{itemize}
|
||||
\item Indicatoren\footnote{IoC (Indicator of Compromise) zijn een onderdeel van de indicatoren}
|
||||
\begin{itemize}
|
||||
\item Indicatoren beschrijven een patroon dat kan gebruikt worden om verdachte of kwaadaardige traffiek te detecteren.
|
||||
\end{itemize}
|
||||
\item Attributen in MISP kunnen netwerk indicatoren (b.v. IP adressen), systeem indicatoren (b.v. tekst in het geheugen) of zelfs bank gegevens zijn.
|
||||
\begin{itemize}
|
||||
\item Een {\bf type} (b.v. MD5, url) is hoe een attribuut is beschreven.
|
||||
\end{itemize}
|
||||
\begin{itemize}
|
||||
\item Een attribuut behoort altijd tot een categorie (b.v. Payload delivery). Deze categorie plaatst het attribuut in een bepaalde context.
|
||||
\begin{itemize}
|
||||
\item {\bf Een categorie bepaalt de context } van een attribuut.
|
||||
\end{itemize}
|
||||
\item De IDS instelling op een attribuut bepaald of {\bf dit attribuut automatisch} zal gebruikt worden voor {\bf detectie} doeleinden.
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Ondersteuning voor het werken met MISP}
|
||||
\begin{itemize}
|
||||
\item Gebruikers kunnen events of attributen bijvoegen via zowel de web interface, de API als via een vrije tekst veld.
|
||||
\begin{itemize}
|
||||
\item Er zijn modules in Viper (een framework voor het analyseren van malware) om data in MISP in te vullen, via de vty of via IDA.
|
||||
\end{itemize}
|
||||
\item Een bijdrage kan gebeuren door rechtstreeks een event aan te maken maar gebruikers kunnen ook de eigenaar van een event een {\bf update voorstellen voor attributen}.
|
||||
\item Gebruikers zijn {\bf niet gedwongen om één interface te gebruiken om gegevens aan MISP bij te voegen}.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Voorbeeld: Vrije tekst import in MISP}
|
||||
\includegraphics[scale=0.3]{screenshots/freetext1.PNG}\\
|
||||
\includegraphics[scale=0.3]{screenshots/freetxt2.PNG}\\
|
||||
\includegraphics[scale=0.3]{screenshots/freetxt3.PNG}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Ondersteuning voor classificaties}
|
||||
\begin{itemize}
|
||||
\item Het gebruik van tags is een simpele manier om een classificatie toe te voegen aan een event of attribuut.
|
||||
\item Een {\bf classificatie moet globaal} in gebruik zijn om ook efficient te zijn.
|
||||
\item Gebruikers kunnen via een flexibel tagging systeem kiezen uit de meer dan 42 bestaande taxonomieën of ze kunnen hun eigen taxonomie bijvoegen.
|
||||
\end{itemize}
|
||||
\includegraphics[scale=0.20]{tags-2-4-70.png}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Ondersteuning voor het delen in MISP}
|
||||
\begin{itemize}
|
||||
\item Delegeren van de publicatie van events naar andere organisaties (sinds MISP 2.4.18).
|
||||
\begin{itemize}
|
||||
\item Deze andere organisatie kan dan eigenaar worden van het event en op deze manier zorgen voor de {\bf pseudo-anonimiteit van de oorspronkelijke organisatie}.
|
||||
\end{itemize}
|
||||
\item Definiëren van groepen om specifieke informatie mee te delen (vanaf 2.4).
|
||||
\begin{itemize}
|
||||
\item De gemeenschappen om mee te delen kunnen lokaal of tussen verschillende MISP instanties gebruikt worden.
|
||||
\item Het delen kan gebeuren op zowel {\bf event} als {\bf attribuut} niveau (b.v. financiële indicatoren met de financiële groepen en cyber security indicatoren met de CSIRT gemeenschap).
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Ondersteuning voor waarnemingen}
|
||||
\begin{columns}[t]
|
||||
\column{5.0cm}
|
||||
\begin{figure}
|
||||
\includegraphics[scale=0.3]{screenshots/sighting-n.png}\\
|
||||
\includegraphics[scale=0.34]{screenshots/Sightings2.PNG}
|
||||
\end{figure}
|
||||
\column{7cm}
|
||||
\begin{itemize}
|
||||
\item Gebruikers kunnen via {\bf waarnemingen} de gemeenschap op de hoogte stellen van activiteit gerelateerd aan een indicator.
|
||||
\item Het is mogelijk om negatieve waarnemingen (false positives) en waarnemingen met een vervaldatum in te geven.
|
||||
\item Waarnemingen kunnen gebeuren via de web interface, de API of door STIX waarnemings-documenten te importeren.
|
||||
\item Er zijn verschillende toepassingen om indicatoren te rangschikken op basis van waarnemingen.
|
||||
\end{itemize}
|
||||
\end{columns}
|
||||
\end{frame}
|
||||
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Verbeteringen voor het delen van informatie in MISP}
|
||||
\begin{itemize}
|
||||
\item Valse positiven (false-positive) blijven een terugkerende uitdaging bij het delen van informatie.
|
||||
\item Vanaf MISP 2.4.39 hebben we het concept van misp-warninglists\footnote{\url{https://github.com/MISP/misp-warninglists}} geïntroduceerd om de analysten te ondersteunen bij hun dagtaak.
|
||||
\item Dit zijn voorgedefinieerde lijsten van indicatoren die vaak een valse positieve zijn, zoals bijvoorbeeld RFC1918 netwerken of publieke DNS servers.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Ondersteuninng voor het delen binnen en buiten een organisatie}
|
||||
\begin{itemize}
|
||||
\item Zelfs binnen één en dezelfde omgeving kunnen er verschillende use cases zijn voor het gebruik van MISP (b.v. groepen die MISP gebruiken voor dynamische malware analyse en correlatie, andere groepen die het dan weer gebruiken voor het versturen van meldingen).
|
||||
\item Vanaf MISP 2.4.51, is er de optie om {\bf lokale MISP} servers met elkaar te verbinden. Zo kan je verschillende niveaus van delen voorkomen en kan je van een gemengde synchronisatie gebruik maken, zowel binnen als buiten de organisatie.
|
||||
\item Er is ondersteuning voor feeds voor synchronisatie tussen vertrouwde en niet vertrouwde netwerken.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Starten met MISP en indicatoren}
|
||||
\begin{itemize}
|
||||
\item We onderhouden de standaard CIRCL OSINT-feeds (TLP:WHITE geselecteerd uit onze gemeenschappen) zodat gebruikers snel aan de slag kunnen gaan met MISP.
|
||||
\item Het formaat van de OSINT-feed is gebaseerd op standaard MISP JSON-uitvoer van een externe TLS / HTTP-server.
|
||||
\item Aanvullende contentproviders kunnen hun eigen MISP-feeds leveren. (\url{https://botvrij.eu/}).
|
||||
\item Dit laat gebruikers toe om hun MISP-installaties te {\bf testen en te synchroniseren met een echte gegevensset}.
|
||||
\item Dit kan bijdragen aan andere bronnen van dreigings informatie en helpt ook bij de analyze naar overlappende data\footnote{Een steeds terugkerende uitdaging bij het delen van informatie}.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Conclusie}
|
||||
\begin{itemize}
|
||||
\item {\bf De manier van informatie delen onstaat voornamelijk uit het gebruik} en het volgen van bestaande voorbeelden.
|
||||
\item MISP is uiteindelijk slechts een hulpmiddel, het belangrijkste is nog altijd de manier hoe je de informatie deelt. De tool moet u daarbij zo transparant mogelijk ondersteunen tijdens uw werk.
|
||||
\item Gebruikers moeten MISP kunnen aanpassen zodat zij een oplossing hebben voor de noden van hun gemeenschap.
|
||||
\item Het MISP project combineert open source software, open standaarden, best practices en gemeenschappen om informatie deling te realiseren.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
After Width: | Height: | Size: 11 KiB |
After Width: | Height: | Size: 358 KiB |
After Width: | Height: | Size: 119 KiB |
After Width: | Height: | Size: 155 KiB |
After Width: | Height: | Size: 98 KiB |
After Width: | Height: | Size: 148 KiB |
After Width: | Height: | Size: 166 KiB |
After Width: | Height: | Size: 12 KiB |
After Width: | Height: | Size: 23 KiB |
After Width: | Height: | Size: 211 KiB |
After Width: | Height: | Size: 85 KiB |
After Width: | Height: | Size: 15 KiB |
After Width: | Height: | Size: 14 KiB |
After Width: | Height: | Size: 147 KiB |
After Width: | Height: | Size: 53 KiB |
After Width: | Height: | Size: 115 KiB |
After Width: | Height: | Size: 137 KiB |
After Width: | Height: | Size: 13 KiB |
After Width: | Height: | Size: 22 KiB |
After Width: | Height: | Size: 24 KiB |
After Width: | Height: | Size: 25 KiB |
After Width: | Height: | Size: 8.0 KiB |
After Width: | Height: | Size: 26 KiB |
After Width: | Height: | Size: 40 KiB |
After Width: | Height: | Size: 25 KiB |
After Width: | Height: | Size: 31 KiB |
After Width: | Height: | Size: 15 KiB |
After Width: | Height: | Size: 15 KiB |
|
@ -0,0 +1,26 @@
|
|||
\relax
|
||||
\providecommand\hyper@newdestlabel[2]{}
|
||||
\providecommand\BKM@entry[2]{}
|
||||
\providecommand\HyperFirstAtBeginDocument{\AtBeginDocument}
|
||||
\HyperFirstAtBeginDocument{\ifx\hyper@anchor\@undefined
|
||||
\global\let\oldcontentsline\contentsline
|
||||
\gdef\contentsline#1#2#3#4{\oldcontentsline{#1}{#2}{#3}}
|
||||
\global\let\oldnewlabel\newlabel
|
||||
\gdef\newlabel#1#2{\newlabelxx{#1}#2}
|
||||
\gdef\newlabelxx#1#2#3#4#5#6{\oldnewlabel{#1}{{#2}{#3}}}
|
||||
\AtEndDocument{\ifx\hyper@anchor\@undefined
|
||||
\let\contentsline\oldcontentsline
|
||||
\let\newlabel\oldnewlabel
|
||||
\fi}
|
||||
\fi}
|
||||
\global\let\hyper@last\relax
|
||||
\gdef\HyperFirstAtBeginDocument#1{#1}
|
||||
\providecommand\HyField@AuxAddToFields[1]{}
|
||||
\providecommand\HyField@AuxAddToCoFields[2]{}
|
||||
\@input{content.aux}
|
||||
\pgfsyspdfmark {pgfid1}{1398509}{16636717}
|
||||
\@writefile{nav}{\headcommand {\beamer@partpages {1}{13}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@subsectionpages {1}{13}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@sectionpages {1}{13}}}
|
||||
\@writefile{nav}{\headcommand {\beamer@documentpages {13}}}
|
||||
\@writefile{nav}{\headcommand {\gdef \inserttotalframenumber {12}}}
|
|
@ -0,0 +1,31 @@
|
|||
\headcommand {\slideentry {0}{0}{1}{1/1}{}{0}}
|
||||
\headcommand {\beamer@framepages {1}{1}}
|
||||
\headcommand {\slideentry {0}{0}{2}{2/2}{}{0}}
|
||||
\headcommand {\beamer@framepages {2}{2}}
|
||||
\headcommand {\slideentry {0}{0}{3}{3/3}{}{0}}
|
||||
\headcommand {\beamer@framepages {3}{3}}
|
||||
\headcommand {\slideentry {0}{0}{4}{4/4}{}{0}}
|
||||
\headcommand {\beamer@framepages {4}{4}}
|
||||
\headcommand {\slideentry {0}{0}{5}{5/5}{}{0}}
|
||||
\headcommand {\beamer@framepages {5}{5}}
|
||||
\headcommand {\slideentry {0}{0}{6}{6/6}{}{0}}
|
||||
\headcommand {\beamer@framepages {6}{6}}
|
||||
\headcommand {\slideentry {0}{0}{7}{7/7}{}{0}}
|
||||
\headcommand {\beamer@framepages {7}{7}}
|
||||
\headcommand {\slideentry {0}{0}{8}{8/8}{}{0}}
|
||||
\headcommand {\beamer@framepages {8}{8}}
|
||||
\headcommand {\slideentry {0}{0}{9}{9/9}{}{0}}
|
||||
\headcommand {\beamer@framepages {9}{9}}
|
||||
\headcommand {\slideentry {0}{0}{10}{10/10}{}{0}}
|
||||
\headcommand {\beamer@framepages {10}{10}}
|
||||
\headcommand {\slideentry {0}{0}{11}{11/11}{}{0}}
|
||||
\headcommand {\beamer@framepages {11}{11}}
|
||||
\headcommand {\slideentry {0}{0}{12}{12/12}{}{0}}
|
||||
\headcommand {\beamer@framepages {12}{12}}
|
||||
\headcommand {\slideentry {0}{0}{13}{13/13}{}{0}}
|
||||
\headcommand {\beamer@framepages {13}{13}}
|
||||
\headcommand {\beamer@partpages {1}{13}}
|
||||
\headcommand {\beamer@subsectionpages {1}{13}}
|
||||
\headcommand {\beamer@sectionpages {1}{13}}
|
||||
\headcommand {\beamer@documentpages {13}}
|
||||
\headcommand {\gdef \inserttotalframenumber {12}}
|
|
@ -0,0 +1,26 @@
|
|||
% !TEX program = XeLaTeX
|
||||
\documentclass{beamer}
|
||||
\usetheme[numbering=progressbar]{focus}
|
||||
\definecolor{main}{RGB}{47, 161, 219}
|
||||
\definecolor{textcolor}{RGB}{128, 128, 128}
|
||||
\definecolor{background}{RGB}{240, 247, 255}
|
||||
|
||||
\usepackage[utf8]{inputenc}
|
||||
\usepackage{tikz}
|
||||
\usepackage{listings}
|
||||
\usetikzlibrary{positioning}
|
||||
\usetikzlibrary{shapes,arrows}
|
||||
|
||||
|
||||
\title{MISP Open Source Threat Intelligence and Sharing Plaform}
|
||||
\subtitle{Military Use Cases}
|
||||
\author{Alexandre Dulaunoy}
|
||||
\date{20240507}
|
||||
\titlegraphic{\includegraphics[scale=0.85]{misp.pdf}}
|
||||
\institute{MISP Project \\ \url{https://www.misp-project.org/}}
|
||||
|
||||
|
||||
\begin{document}
|
||||
\include{content}
|
||||
\end{document}
|
||||
|
|
@ -0,0 +1,25 @@
|
|||
\documentclass{beamer}
|
||||
\usetheme[numbering=progressbar]{focus}
|
||||
\definecolor{main}{RGB}{47, 161, 219}
|
||||
\definecolor{textcolor}{RGB}{128, 128, 128}
|
||||
\definecolor{background}{RGB}{240, 247, 255}
|
||||
|
||||
\usepackage[utf8]{inputenc}
|
||||
\usepackage{tikz}
|
||||
\usepackage{listings}
|
||||
\usetikzlibrary{positioning}
|
||||
\usetikzlibrary{shapes,arrows}
|
||||
|
||||
|
||||
\title{Una introducción al Intercambio de Información de Ciberseguridad}
|
||||
\subtitle{MISP - Threat Sharing}
|
||||
\author{\small{\input{../includes/authors.txt}}}
|
||||
\date{\input{../includes/location.txt}}
|
||||
\titlegraphic{\includegraphics[scale=0.85]{misp.pdf}}
|
||||
\institute{MISP Project \\ \url{https://www.misp-project.org/}}
|
||||
|
||||
|
||||
\begin{document}
|
||||
\include{content_es}
|
||||
\end{document}
|
||||
|
|
@ -0,0 +1,28 @@
|
|||
% !TEX program = XeLaTeX
|
||||
\documentclass{beamer}
|
||||
\usetheme[numbering=progressbar]{focus}
|
||||
\definecolor{main}{RGB}{47, 161, 219}
|
||||
\definecolor{textcolor}{RGB}{128, 128, 128}
|
||||
\definecolor{background}{RGB}{240, 247, 255}
|
||||
|
||||
\usepackage[utf8]{inputenc}
|
||||
\usepackage{tikz}
|
||||
\usepackage{listings}
|
||||
\usetikzlibrary{positioning}
|
||||
\usepackage{pgfpages}
|
||||
\setbeameroption{show notes on second screen=right}
|
||||
\usetikzlibrary{shapes,arrows}
|
||||
|
||||
|
||||
\title{An Introduction to Cybersecurity Information Sharing}
|
||||
\subtitle{MISP - Threat Sharing}
|
||||
\author{\small{\input{../includes/authors.txt}}}
|
||||
\date{\input{../includes/location.txt}}
|
||||
\titlegraphic{\includegraphics[scale=0.85]{misp.pdf}}
|
||||
\institute{MISP Project \\ \url{https://www.misp-project.org/}}
|
||||
|
||||
|
||||
\begin{document}
|
||||
\include{content}
|
||||
\end{document}
|
||||
|
|
@ -0,0 +1,25 @@
|
|||
\documentclass{beamer}
|
||||
\usetheme[numbering=progressbar]{focus}
|
||||
\definecolor{main}{RGB}{47, 161, 219}
|
||||
\definecolor{textcolor}{RGB}{128, 128, 128}
|
||||
\definecolor{background}{RGB}{240, 247, 255}
|
||||
|
||||
\usepackage[utf8]{inputenc}
|
||||
\usepackage{tikz}
|
||||
\usepackage{listings}
|
||||
\usetikzlibrary{positioning}
|
||||
\usetikzlibrary{shapes,arrows}
|
||||
|
||||
|
||||
\title{Inleiding tot het Delen van Cybersecurity Informatie}
|
||||
\subtitle{MISP - Threat Sharing}
|
||||
\author{\small{\input{../includes/authors.txt}}}
|
||||
\date{\input{../includes/location.txt}}
|
||||
\titlegraphic{\includegraphics[scale=0.85]{misp.pdf}}
|
||||
\institute{MISP Project \\ \url{https://www.misp-project.org/}}
|
||||
|
||||
|
||||
\begin{document}
|
||||
\include{content_nl}
|
||||
\end{document}
|
||||
|
After Width: | Height: | Size: 102 KiB |
After Width: | Height: | Size: 22 KiB |
|
@ -0,0 +1,21 @@
|
|||
This is pdfTeX, Version 3.14159265-2.6-1.40.20 (TeX Live 2019/Debian) (preloaded format=pdflatex 2024.3.16) 7 MAY 2024 14:10
|
||||
entering extended mode
|
||||
restricted \write18 enabled.
|
||||
%&-line parsing enabled.
|
||||
**mai
|
||||
|
||||
! Emergency stop.
|
||||
<*> mai
|
||||
|
||||
End of file on the terminal!
|
||||
|
||||
|
||||
Here is how much of TeX's memory you used:
|
||||
4 strings out of 481239
|
||||
107 string characters out of 5920377
|
||||
236563 words of memory out of 5000000
|
||||
15373 multiletter control sequences out of 15000+600000
|
||||
532338 words of font info for 24 fonts, out of 8000000 for 9000
|
||||
1141 hyphenation exceptions out of 8191
|
||||
0i,0n,0p,8b,6s stack positions out of 5000i,500n,10000p,200000b,80000s
|
||||
! ==> Fatal error occurred, no output PDF file produced!
|
After Width: | Height: | Size: 146 KiB |
After Width: | Height: | Size: 8.9 KiB |
After Width: | Height: | Size: 27 KiB |
After Width: | Height: | Size: 16 KiB |
After Width: | Height: | Size: 20 KiB |
After Width: | Height: | Size: 39 KiB |