El CSIRT-PONAL en su constante innovación en búsqueda de contrarrestar las diferentes amenazas que circulan en el ciberespacio y en pro de aprovechar los diferentes recursos tecnológicos dispuestos bajo el concepto de Open Source, ha realizado una integración adicional a la SANDBOX-PONAL, consistente en el uso de la plataforma MISP (Malware Information Sharing Platform) a nivel institucional.
Con esta herramienta, se busca fortalecer el análisis de malware, mediante el uso de los indicadores de compromiso (IOCs) incluidos dentro de la inteligencia de amenazas, información que es recopilada por medio de diferentes feeds, como OSINT, blacklist, IP reputation, entre otras. Sumado a lo anterior, esta permitirá correlacionar datos con base en la información existente en la sandbox, con lo cual si una muestra ha sido analizada anteriormente y comparten algún campo como (IP, dominio, hash, etc), el sistema entregará información que podrá ser visualizada por parte del usuario.
La funcionalidad de MISP será únicamente visible en aquellos análisis que coincidan con alguno de los feeds habilitados o datos relacionados con análisis anteriores.
Por otra parte, los análisis cuyos datos sean importantes y se encuentre fuera del alcance de los IOCs de MISP, serán procesados y ajustados según corresponda a la categoría (malware, phishing, ingeniería social, entre otros).
Por último, es importante recordar que las funcionalidades implementadas por medio de la SANDBOX del CSIRT-PONAL, son recursos dispuestos para ayudar a orientar a los diferentes analistas en determinar la existencia de una posible amenaza, partiendo de la información suministrada por la herramienta. Es decisión del analista tomar las acciones que considere necesarias con el fin de proteger la infraestructura tecnológica de su entidad pública o privada.