#whoami - wordpress.com · #whoami Працюю у компанії optidata Аналізую...
TRANSCRIPT
Робота із malware:
Виявлення, аналіз, обмін IOC
(ATD + TIE + OpenDXL)
Владислав Радецький[email protected]
#whoami
Працюю у компанії OptiData
Аналізую віруси
Пишу статті
Проводжу навчання з різних аспектів ІБ
Допомагаю з проектуванням, впровадженням та
супроводом засобів захисту
Прийшов до вас щоб поділитися досвідом
radetskiy.wordpress.com
Ми – команда спеціалістів з практичним досвідом інтеграції з ІБ.
Працюємо лише з тим, в чому розбираємось.
Більшість здійснених нами проектів захищені NDA.
Проектуємо. Навчаємо. Розгортаємо. Захищаємо.
Що таке OptiData ?
#IOC та звіти шукайте тут:
radetskiy.wordpress.com
Життя без sandbox: ~40 хв / 1 зразок
Навіщо нам sandbox ?
24/05 сталася наступна подія:
14/03 – ми вперше отримали цей зразок:
20/03 – (без sandbox!) повний аналіз
Навіщо нам sandbox ?
• Автоматизація потокової перевірки файлів
• Формування чітких та повних списків IOC
• Розуміння схеми атак для корекції політик
• Захист від того, що дозволено бізнесу (!)
McAfee ATD
DXL
/OpenDXL
McAfee ATD
NSP, Web, TIE/Endpoint
Bro IDS Sensor
Будь-який Email Gateway
McAfee ATD
DXL
/OpenDXL
McAfee ATD
NSP, Web, TIE/Endpoint
Bro IDS Sensor
Будь-який Email Gateway
• Статичний та динамічний аналіз файлів (>60 типів)
• Кастомізація образів тестових ВМ
• Підтримка ОС Windows XP – 10, Srv2k8 - 2016
• HW / VA (VMware, Hyper-V, Azure)
• Широкі можливості інтеграції
McAfee ATD - розвиток
• Virtual Appliance for VMware - 3.10 12/2016
•
•
•
McAfee ATD - розвиток
• Virtual Appliance for VMware - 3.10 12/2016
• Email Connector, Srv&Office 2016, HTML - 4.0 06/2017
•
•
McAfee ATD - розвиток
• Virtual Appliance for VMware - 3.10 12/2016
• Email Connector, Srv&Office 2016, HTML - 4.0 06/2017
• Hyper-V, Azure, TAXII, VM Builder - 4.2.0 11/2017
•
McAfee ATD - розвиток
• Virtual Appliance for VMware - 3.10 12/2016
• Email Connector, Srv&Office 2016, HTML - 4.0 06/2017
• Hyper-V, Azure, TAXII, VM Builder - 4.2.0 11/2017
• Email > STIX & Open IOC, SNTP, SNMPv3 - 4.4.0 05/2018
McAfee ATD - розвиток
• HTML, PDF, XML, JSON, Dropped
• Syslog, SNMP
• STIX, TAXII, Open IOC
• DXL > TIE, OpenDXL
McAfee ATD – обмін маркерами (IOC)
• HTML, PDF, XML, JSON, Dropped
• Syslog, SNMP
• STIX, TAXII, Open IOC
• DXL > TIE, OpenDXL
McAfee ATD – обмін маркерами (IOC)
STIX
ESM
DXL
/OpenDXL
McAfee ATD Обмін IOC через TAXII
McAfee ATD
Демо
McAfee ATD
McAfee ATD
McAfee ATD
McAfee ATD
McAfee ATD - XMode
• Центральне джерело репутації
• Посилення або заміна DAT/GTI
• Оператор може вносити зміни
• Канал обміну – шина DXL
McAfee TIE – БД репутації файлів
McAfee ATD
McAfee ePO
McAfee ENS
DXL
McAfee TIE
McAfee TIE – БД репутації файлів
Інтеграція до DXL (OpenDXL)
Складнощі:
•Обмін обліковими даними
•Різні API
•Різні порти/протоколи
•Обмін подіями (усе разом)
ModifyNetwork
Traffic
Modify Network Traffic
Modify NetworkTraffic
ModifyNetworkTraffic
Modify Network Traffic
Modify Network Traffic
Рішення #4
Рішення #3
Рішення #2
Рішення #1
McAfee DXL
Рішення #1
Рішення #4
Рішення #3
Data Exchange Layer
Рішення #2
Переваги:
•Одна шина, один протокол
•Одне API
•Центральна авторизація
•1:~ (підписка)
•1:1 (запит інформації)
McAfee DXL – “Security Connected”
• McAfee Threat Intelligence Exchange (TIE)
• McAfee Endpoint Security (ENS)
• McAfee Active Response (MAR)
• McAfee Enterprise Security Manager (ESM)
• McAfee ePolicy Orchestrator (ePO)
• McAfee Advanced Threat Defense (ATD)
• McAfee Web Gateway (MWG)
• McAfee Application Control (MAC)
• McAfee Network Security Platform (NSP)
• McAfee Data Loss Prevention (DLP)
EndpointProtection
Compliance
NetworkIPS
Analytics Mobile
Firewall
GatewaySecurity
DataProtection
OpenDXL – інтеграція засобів захисту
Aruba ClearPassPolicy Manager
McAfee Active Response
(MAR)
OpenDXLOrchestration
Script
McAfee Threat Intelligence
(TIE)
Rapid7 Nexpose
DataExchangeLayer
McAfeeePO
•TIE Client Module
•MAR Client Module
InfectedEndpoint
MaliciousSite
Check PointFirewall
Malware
Приклад:
•Підписуємося на події Check Point
•Запускаємо пошук через MAR
•Оновлюємо репутацію через TIE
•Призначаємо Tag усім інфікованим
•Запускаємо скан Nexpose
•Оновлюємо списки доступів Aruba
OpenDXL
Підписка на канали Запит інформації
• Розширення схеми McAfee DXL
• 2 режими обміну: підписка (1:~) та запит (1:1)
• Можливість інтеграції з іншими рішеннями ІБ
• Обмін IOC між різними засобами безпеки
• MQTT, TLS 1.2, PKI, двосторонній зв'язок
OpenDXL
OpenDXL
Демо
OpenDXL
приклади застосування
▪ SandBlast integration with DXL, TIE and ePO
▪ Publishing Topics: File Reputation, IOC, Threat Event Data, Mobile
▪ Subscribing Topics: IOC, File Reputation Updates
▪ ClearPass integration with DXL and ePO
▪ Publishing Topics: IOC Information, New Asset Discovery Information
▪ Subscribing Topics: IOC information, Threat Event
▪ Nexpose integration with DXL, TIE and ePO
▪ Publishing Topics: IOC, Vulnerability, New Asset Discovery Information
▪ Subscribing Topics: IOC, File Reputation, Threat Event, Vulnerabilities
▪ Deception Grid integration with DXL, TIE and ePO
▪ Publishing Topics: File Reputation, IOC, Threat Event Data
▪ Subscribing Topics: IOC, File Reputation, Threat Event
SIA
Partners
OpenDXL – приклади інтеграції
OpenDXL – приклади інтеграції
• FAQs for McAfee ATD (KB79333)
• community.mcafee.com/t5/Products/ct-p/products
• opendxl.com
• github.com/opendxl/
• facebook.com/Optidata.com.ua
• radetskiy.wordpress.com
Джерела інформації
Запитання ?
Дякую вам за увагу!