Inleiding

De SURFcert-MISP instantie (https://misp.surfcert.nl) stelt instellingen in staat om, op geautomatiseerde wijze, datasets aan Indicators of Compromise (IoC's) te delen en te verwerken in verschillende doelsystemen om een snelle preventie en detectie van gerichte aanvallen te bewerkstelligen. Gebruikers hebben toegang tot de API en tot de MISP portal om zogenaamde 'events', wat verschillende IoC's kan bevatten, aan te maken of te gebruiken in combinatie met eigen tooling (zoals een Intrusion Detection System) om te monitoren of blokkeren op mogelijke bedreigingen.

Nationale Detectie Netwerk

SURFcert is aangesloten bij het Nationale Detectie Netwerk (NDN) waarbij het NCSC, de AIVD, de MIVD en alle aangesloten organisaties samenwerken om Nederland digitaal veiliger te maken. Het NDN richt zich op het onderling delen van dreigingsinformatie om cybersecurityrisico’s en -gevaren sneller waar te nemen. Informatie uit het NDN is een belangrijke bron die SURFcert onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) mag delen met aangesloten instellingen op SURF. De IoC’s die vanuit het NDN met SURFcert gedeeld worden zijn voor aangesloten deelnemers beschikbaar gesteld via de SURFcert-MISP instantie.

Opzet MISP

De kernfunctionaliteit van MISP is het delen van informatie waarbij elke gebruiker een bijdrager kan zijn van het invoeren/verbeteren van een zogenaamd ‘event’ (met eventuele IoC’s) onder een bepaalde organisatie. De SURFcert-MISP instantie is een zogenaamde community met verschillende organisaties, welke bestaat uit aangesloten instellingen op SURF. Een aangemaakte event door een organisatie kan op 4 niveaus gedistribueerd worden:

Onderstaande afbeelding weergeeft hoe de SURFcert-MISP instantie gekoppeld en gevoed kan worden door de organisaties die bestaan in een community, door aangesloten MISP community's (bijv. door de MISP instantie van het NCSC) en door eventuele feeds (besloten of openbare bronnen).