In questo post sintetizzo quanto ho deciso in relazione all’integrazione del progetto eg0n di una istanza MISP: a seguito della bella chiacchierata di condivisione nel pre-live del 18.04.2025 (per il quale ringrazio nuovamente i partecipanti) ho implementato una istanza MISP sulla VPS che in mia gestione usata anche per altri progetti con l’obiettivo di usarla assieme agli interessanti al tema.

L’idea di base è semplice. MISP è uno strumento ottimo per collezionare, analizzare e condividere informazioni informazioni di Cyber Threat Intelligence (CTI) mentre eg0n nasce con lo scopo di raffinare IoC da trasformare in feeds per gli strumenti di detection. Integrando i due sistemi potremmo ottenere una piattaforma di CTI da condividere con le relative informazioni e eg0n potrebbe “consumare” e raffinare queste informazioni.

Inoltre, in una seconda fase, si potrebbe vedere assieme come queste informazioni possono essere utilizzate per potenziale la capacità di detection di strumenti come SIEM, EDR, ecc., ma questo è un altro discorso.

Come partecipare

Esattamente come per eg0n la partecipazione al progetto è aperta a tutti, anche a chi vuole capirci qualcosa di più. Per comodità la porzione di community che segue i miei contenuti e che partecipa attivamente ai progetti si “raduna” sul mio server Discord. Per ottenere un’accesso all’istanza MISP è quindi sufficiente accedere al server, presentarsi brevemente nel canale #general e scrivermi direttamente (utente Rocco [sheliak] Sicilia) chiedendo un utente per l’istanza.

Preparerò una pagina per il progetto con qualche informazione di base su progetto e condotta. Per ora ci accontentiamo della netiquette.

Sostegno al progetto

Come per eg0n questo progetto si deve auto-finanziare e fa parte, più in generare, del mio progetto di divulgazione. Tutti i costi relativi a strumenti e servizi a supporto li copro in prima persona e per chi vuole dare il proprio contributo ho attivato un profilo Patreon tramite cui è possibile fare donazioni o sottoscrivere un programma come supporter. In cambio, oltre ad aiutarmi a tenere vivo questo progetto, si può accedere ad un archivio di contenuti video ed articoli, molti dei quali inediti.

Dedicati al progetto ci saranno una serie di video in cui parlerò di come utilizzare MISP per implementare un processo di Threat Intelligence, collezionare e correlare informazioni ed integrare i dati con gli strumenti di sicurezza che tipicamente utilizziamo nelle nostre aziende. Questi video richiederanno ovviamente tempo per essere prodotti e rappresentano l’incentivo a sostenere attivamente l’idea.

Aspettative

Il mio lavoro mi porta a confrontarmi con molte aziende strutturate e fornitori di servizio come Security Operation Center e MDR. Come scrivo spesso su LinkedIn noto una certa disattenzione generale nella cura degli strumenti, siano essi soluzioni o servizi, utili alle attività di prevenzione e difesa. L’utilizzo di un processo di Threat Intelligence potrebbe funzionare da catalizzatore di una serie di processi che oggi vengono poco sfruttati. Inoltre è uno strumento estremamente efficace per chi ha bisogno di capire cosa cercare sui sistemi e che tipologie di minacce potrebbe dover affrontare.

Le aspettative sono in buona parte di carattere personale: vorrei sviluppare meglio alcune skills tecniche con la pratica e sono sicuro che il confronto ed il lavoro di gruppo siano un acceleratore.

Se trovi interessanti i miei contenuti seguiti sui canali dove pubblico periodicamente aggiornamenti e iscriviti a questo blog per rimanere aggiornato: