#whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую...
Transcript of #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую...
![Page 1: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/1.jpg)
Робота із malware:
Виявлення, аналіз, обмін IOC
(ATD + TIE + OpenDXL)
Владислав Радецький[email protected]
![Page 2: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/2.jpg)
#whoami
Працюю у компанії OptiData
Аналізую віруси
Пишу статті
Проводжу навчання з різних аспектів ІБ
Допомагаю з проектуванням, впровадженням та
супроводом засобів захисту
Прийшов до вас щоб поділитися досвідом
radetskiy.wordpress.com
![Page 3: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/3.jpg)
Ми – команда спеціалістів з практичним досвідом інтеграції з ІБ.
Працюємо лише з тим, в чому розбираємось.
Більшість здійснених нами проектів захищені NDA.
Проектуємо. Навчаємо. Розгортаємо. Захищаємо.
Що таке OptiData ?
![Page 4: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/4.jpg)
#IOC та звіти шукайте тут:
radetskiy.wordpress.com
Життя без sandbox: ~40 хв / 1 зразок
![Page 5: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/5.jpg)
Навіщо нам sandbox ?
![Page 6: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/6.jpg)
24/05 сталася наступна подія:
![Page 7: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/7.jpg)
14/03 – ми вперше отримали цей зразок:
![Page 8: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/8.jpg)
20/03 – (без sandbox!) повний аналіз
![Page 9: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/9.jpg)
Навіщо нам sandbox ?
• Автоматизація потокової перевірки файлів
• Формування чітких та повних списків IOC
• Розуміння схеми атак для корекції політик
• Захист від того, що дозволено бізнесу (!)
![Page 10: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/10.jpg)
McAfee ATD
DXL
/OpenDXL
McAfee ATD
NSP, Web, TIE/Endpoint
Bro IDS Sensor
Будь-який Email Gateway
![Page 11: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/11.jpg)
McAfee ATD
DXL
/OpenDXL
McAfee ATD
NSP, Web, TIE/Endpoint
Bro IDS Sensor
Будь-який Email Gateway
• Статичний та динамічний аналіз файлів (>60 типів)
• Кастомізація образів тестових ВМ
• Підтримка ОС Windows XP – 10, Srv2k8 - 2016
• HW / VA (VMware, Hyper-V, Azure)
• Широкі можливості інтеграції
![Page 12: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/12.jpg)
McAfee ATD - розвиток
![Page 13: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/13.jpg)
• Virtual Appliance for VMware - 3.10 12/2016
•
•
•
McAfee ATD - розвиток
![Page 14: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/14.jpg)
• Virtual Appliance for VMware - 3.10 12/2016
• Email Connector, Srv&Office 2016, HTML - 4.0 06/2017
•
•
McAfee ATD - розвиток
![Page 15: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/15.jpg)
• Virtual Appliance for VMware - 3.10 12/2016
• Email Connector, Srv&Office 2016, HTML - 4.0 06/2017
• Hyper-V, Azure, TAXII, VM Builder - 4.2.0 11/2017
•
McAfee ATD - розвиток
![Page 16: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/16.jpg)
• Virtual Appliance for VMware - 3.10 12/2016
• Email Connector, Srv&Office 2016, HTML - 4.0 06/2017
• Hyper-V, Azure, TAXII, VM Builder - 4.2.0 11/2017
• Email > STIX & Open IOC, SNTP, SNMPv3 - 4.4.0 05/2018
McAfee ATD - розвиток
![Page 17: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/17.jpg)
• HTML, PDF, XML, JSON, Dropped
• Syslog, SNMP
• STIX, TAXII, Open IOC
• DXL > TIE, OpenDXL
McAfee ATD – обмін маркерами (IOC)
![Page 18: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/18.jpg)
• HTML, PDF, XML, JSON, Dropped
• Syslog, SNMP
• STIX, TAXII, Open IOC
• DXL > TIE, OpenDXL
McAfee ATD – обмін маркерами (IOC)
STIX
ESM
DXL
/OpenDXL
McAfee ATD Обмін IOC через TAXII
![Page 19: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/19.jpg)
McAfee ATD
Демо
![Page 20: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/20.jpg)
McAfee ATD
![Page 21: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/21.jpg)
McAfee ATD
![Page 22: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/22.jpg)
McAfee ATD
![Page 23: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/23.jpg)
McAfee ATD
![Page 24: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/24.jpg)
McAfee ATD - XMode
![Page 25: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/25.jpg)
• Центральне джерело репутації
• Посилення або заміна DAT/GTI
• Оператор може вносити зміни
• Канал обміну – шина DXL
McAfee TIE – БД репутації файлів
McAfee ATD
McAfee ePO
McAfee ENS
DXL
McAfee TIE
![Page 26: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/26.jpg)
McAfee TIE – БД репутації файлів
![Page 27: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/27.jpg)
Інтеграція до DXL (OpenDXL)
Складнощі:
•Обмін обліковими даними
•Різні API
•Різні порти/протоколи
•Обмін подіями (усе разом)
ModifyNetwork
Traffic
Modify Network Traffic
Modify NetworkTraffic
ModifyNetworkTraffic
Modify Network Traffic
Modify Network Traffic
Рішення #4
Рішення #3
Рішення #2
Рішення #1
![Page 28: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/28.jpg)
McAfee DXL
Рішення #1
Рішення #4
Рішення #3
Data Exchange Layer
Рішення #2
Переваги:
•Одна шина, один протокол
•Одне API
•Центральна авторизація
•1:~ (підписка)
•1:1 (запит інформації)
![Page 29: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/29.jpg)
McAfee DXL – “Security Connected”
• McAfee Threat Intelligence Exchange (TIE)
• McAfee Endpoint Security (ENS)
• McAfee Active Response (MAR)
• McAfee Enterprise Security Manager (ESM)
• McAfee ePolicy Orchestrator (ePO)
• McAfee Advanced Threat Defense (ATD)
• McAfee Web Gateway (MWG)
• McAfee Application Control (MAC)
• McAfee Network Security Platform (NSP)
• McAfee Data Loss Prevention (DLP)
EndpointProtection
Compliance
NetworkIPS
Analytics Mobile
Firewall
GatewaySecurity
DataProtection
![Page 30: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/30.jpg)
OpenDXL – інтеграція засобів захисту
Aruba ClearPassPolicy Manager
McAfee Active Response
(MAR)
OpenDXLOrchestration
Script
McAfee Threat Intelligence
(TIE)
Rapid7 Nexpose
DataExchangeLayer
McAfeeePO
•TIE Client Module
•MAR Client Module
InfectedEndpoint
MaliciousSite
Check PointFirewall
Malware
Приклад:
•Підписуємося на події Check Point
•Запускаємо пошук через MAR
•Оновлюємо репутацію через TIE
•Призначаємо Tag усім інфікованим
•Запускаємо скан Nexpose
•Оновлюємо списки доступів Aruba
![Page 31: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/31.jpg)
OpenDXL
Підписка на канали Запит інформації
![Page 32: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/32.jpg)
• Розширення схеми McAfee DXL
• 2 режими обміну: підписка (1:~) та запит (1:1)
• Можливість інтеграції з іншими рішеннями ІБ
• Обмін IOC між різними засобами безпеки
• MQTT, TLS 1.2, PKI, двосторонній зв'язок
OpenDXL
![Page 33: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/33.jpg)
OpenDXL
Демо
![Page 34: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/34.jpg)
![Page 35: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/35.jpg)
![Page 36: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/36.jpg)
![Page 37: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/37.jpg)
![Page 38: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/38.jpg)
OpenDXL
приклади застосування
![Page 39: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/39.jpg)
![Page 40: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/40.jpg)
![Page 41: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/41.jpg)
![Page 42: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/42.jpg)
▪ SandBlast integration with DXL, TIE and ePO
▪ Publishing Topics: File Reputation, IOC, Threat Event Data, Mobile
▪ Subscribing Topics: IOC, File Reputation Updates
▪ ClearPass integration with DXL and ePO
▪ Publishing Topics: IOC Information, New Asset Discovery Information
▪ Subscribing Topics: IOC information, Threat Event
▪ Nexpose integration with DXL, TIE and ePO
▪ Publishing Topics: IOC, Vulnerability, New Asset Discovery Information
▪ Subscribing Topics: IOC, File Reputation, Threat Event, Vulnerabilities
▪ Deception Grid integration with DXL, TIE and ePO
▪ Publishing Topics: File Reputation, IOC, Threat Event Data
▪ Subscribing Topics: IOC, File Reputation, Threat Event
SIA
Partners
OpenDXL – приклади інтеграції
![Page 43: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/43.jpg)
OpenDXL – приклади інтеграції
![Page 44: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/44.jpg)
![Page 45: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/45.jpg)
• FAQs for McAfee ATD (KB79333)
• community.mcafee.com/t5/Products/ct-p/products
• opendxl.com
• github.com/opendxl/
• facebook.com/Optidata.com.ua
• radetskiy.wordpress.com
Джерела інформації
![Page 46: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/46.jpg)
Запитання ?
![Page 47: #whoami - WordPress.com · #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних](https://reader030.fdocuments.net/reader030/viewer/2022011922/604a1b158849c114403a1418/html5/thumbnails/47.jpg)
Дякую вам за увагу!