SlideShare a Scribd company logo

Робота із malware. McAfee ATD+TIE+DXL/OpenDXL

Vladyslav Radetsky
Vladyslav Radetsky

Що таке ATD і для чого вона потрібна. Інтеграція з іншими рішеннями для обміну IOC. Контроль репутації файлів. OpenDXL як механізм під'єднання до шини McAfee DXL. Автоматична передача маркерів з McAfee ATD на пристрої Cisco, Fortinet, Checkpoint та інші. Побудова комплексу захисту на різних рішеннях. Демо роботи із ATD та OpenDXL. #OptiData

Technology
1 of 47
Download to read offline
Робота із malware: Виявлення, аналіз, обмін IOC (ATD + TIE + OpenDXL) Владислав Радецький vr@optidata.com.ua
#whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом засобів захисту Прийшов до вас щоб поділитися досвідом vr@optidata.com.ua radetskiy.wordpress.com
Ми – команда спеціалістів з практичним досвідом інтеграції з ІБ. Працюємо лише з тим, в чому розбираємось. Більшість здійснених нами проектів захищені NDA. Проектуємо. Навчаємо. Розгортаємо. Захищаємо. Що таке OptiData ?
#IOC та звіти шукайте тут: radetskiy.wordpress.com Життя без sandbox: ~40 хв / 1 зразок
Навіщо нам sandbox ?
24/05 сталася наступна подія:
14/03 – ми вперше отримали цей зразок:
20/03 – (без sandbox!) повний аналіз
Навіщо нам sandbox ? • Автоматизація потокової перевірки файлів • Формування чітких та повних списків IOC • Розуміння схеми атак для корекції політик • Захист від того, що дозволено бізнесу (!)
McAfee ATD DXL /OpenDXL McAfee ATD NSP, Web, TIE/Endpoint Bro IDS Sensor Будь-який Email Gateway
McAfee ATD DXL /OpenDXL McAfee ATD NSP, Web, TIE/Endpoint Bro IDS Sensor Будь-який Email Gateway • Статичний та динамічний аналіз файлів (>60 типів) • Кастомізація образів тестових ВМ • Підтримка ОС Windows XP – 10, Srv2k8 - 2016 • HW / VA (VMware, Hyper-V, Azure) • Широкі можливості інтеграції
McAfee ATD - розвиток
• Virtual Appliance for VMware - 3.10 12/2016 • • • McAfee ATD - розвиток
• Virtual Appliance for VMware - 3.10 12/2016 • Email Connector, Srv&Office 2016, HTML - 4.0 06/2017 • • McAfee ATD - розвиток
• Virtual Appliance for VMware - 3.10 12/2016 • Email Connector, Srv&Office 2016, HTML - 4.0 06/2017 • Hyper-V, Azure, TAXII, VM Builder - 4.2.0 11/2017 • McAfee ATD - розвиток
• Virtual Appliance for VMware - 3.10 12/2016 • Email Connector, Srv&Office 2016, HTML - 4.0 06/2017 • Hyper-V, Azure, TAXII, VM Builder - 4.2.0 11/2017 • Email > STIX & Open IOC, SNTP, SNMPv3 - 4.4.0 05/2018 McAfee ATD - розвиток
• HTML, PDF, XML, JSON, Dropped • Syslog, SNMP • STIX, TAXII, Open IOC • DXL > TIE, OpenDXL McAfee ATD – обмін маркерами (IOC)
• HTML, PDF, XML, JSON, Dropped • Syslog, SNMP • STIX, TAXII, Open IOC • DXL > TIE, OpenDXL McAfee ATD – обмін маркерами (IOC) STIX ESM DXL /OpenDXL McAfee ATD Обмін IOC через TAXII
McAfee ATD Демо
McAfee ATD
McAfee ATD
McAfee ATD
McAfee ATD
McAfee ATD - XMode
• Центральне джерело репутації • Посилення або заміна DAT/GTI • Оператор може вносити зміни • Канал обміну – шина DXL McAfee TIE – БД репутації файлів McAfeeATD McAfee ePO McAfee ENS DXL McAfee TIE
McAfee TIE – БД репутації файлів
Інтеграція до DXL (OpenDXL) Складнощі: •Обмін обліковими даними •Різні API •Різні порти/протоколи •Обмін подіями (усе разом) Modify Network Traffic Modify Network Traffic Modify Network Traffic Modify Network Traffic Modify Network Traffic Modify Network Traffic Рішення #4 Рішення #3 Рішення #2 Рішення #1
McAfee DXL Рішення #1 Рішення #4 Рішення #3 Data Exchange Layer Рішення #2 Переваги: •Одна шина, один протокол •Одне API •Центральна авторизація •1:~ (підписка) •1:1 (запит інформації)
McAfee DXL – “Security Connected” • McAfee Threat Intelligence Exchange (TIE) • McAfee Endpoint Security (ENS) • McAfee Active Response (MAR) • McAfee Enterprise Security Manager (ESM) • McAfee ePolicy Orchestrator (ePO) • McAfee Advanced Threat Defense (ATD) • McAfee Web Gateway (MWG) • McAfee Application Control (MAC) • McAfee Network Security Platform (NSP) • McAfee Data Loss Prevention (DLP) Endpoint Protection Compliance Network IPS Analytics Mobile Firewall Gateway Security Data Protection
OpenDXL – інтеграція засобів захисту Aruba ClearPass Policy Manager McAfee Active Response (MAR) OpenDXL Orchestration Script McAfee Threat Intelligence (TIE) Rapid7 Nexpose Data Exchange Layer McAfee ePO •TIE Client Module •MAR Client Module Infected Endpoint Malicious Site Check Point Firewall Malware Приклад: •Підписуємося на події Check Point •Запускаємо пошук через MAR •Оновлюємо репутацію через TIE •Призначаємо Tag усім інфікованим •Запускаємо скан Nexpose •Оновлюємо списки доступів Aruba
OpenDXL Підписка на канали Запит інформації
• Розширення схеми McAfee DXL • 2 режими обміну: підписка (1:~) та запит (1:1) • Можливість інтеграції з іншими рішеннями ІБ • Обмін IOC між різними засобами безпеки • MQTT, TLS 1.2, PKI, двосторонній зв'язок OpenDXL
OpenDXL Демо
OpenDXL приклади застосування
▪ SandBlast integration with DXL, TIE and ePO ▪ Publishing Topics: File Reputation, IOC, Threat Event Data, Mobile ▪ Subscribing Topics: IOC, File Reputation Updates ▪ ClearPass integration with DXL and ePO ▪ Publishing Topics: IOC Information, New Asset Discovery Information ▪ Subscribing Topics: IOC information, Threat Event ▪ Nexpose integration with DXL, TIE and ePO ▪ Publishing Topics: IOC, Vulnerability, New Asset Discovery Information ▪ Subscribing Topics: IOC, File Reputation, Threat Event, Vulnerabilities ▪ Deception Grid integration with DXL, TIE and ePO ▪ Publishing Topics: File Reputation, IOC, Threat Event Data ▪ Subscribing Topics: IOC, File Reputation, Threat Event SIA Partners OpenDXL – приклади інтеграції
OpenDXL – приклади інтеграції
• FAQs for McAfee ATD (KB79333) • community.mcafee.com/t5/Products/ct-p/products • opendxl.com • github.com/opendxl/ • facebook.com/Optidata.com.ua • radetskiy.wordpress.com Джерела інформації
Запитання ?
Дякую вам за увагу!

Recommended

NSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуNSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуVladyslav Radetsky
 
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнVladyslav Radetsky
 
McAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБMcAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБVladyslav Radetsky
 
McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?Vladyslav Radetsky
 
"Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів""Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів"Vladyslav Radetsky
 
Кіберзахист в умовах війни
Кіберзахист в умовах війниКіберзахист в умовах війни
Кіберзахист в умовах війниVladyslav Radetsky
 
Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Vladyslav Radetsky
 
"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр Чубарук"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр ЧубарукHackIT Ukraine
 

Recommended

NSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуNSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуVladyslav Radetsky
 
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнVladyslav Radetsky
 
McAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБMcAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБVladyslav Radetsky
 
McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?Vladyslav Radetsky
 
"Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів""Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів"Vladyslav Radetsky
 
Кіберзахист в умовах війни
Кіберзахист в умовах війниКіберзахист в умовах війни
Кіберзахист в умовах війниVladyslav Radetsky
 
Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Vladyslav Radetsky
 
"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр Чубарук"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр ЧубарукHackIT Ukraine
 
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...KyivBSD 2009 - Creating a corporate instant messaging and information exchang...
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...Oleksandr Drach
 
Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиСам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиVladyslav Radetsky
 
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
"Request Lifecycle at Prom.ua", Vitaliy KharytonskiyFwdays
 
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk "Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk Fwdays
 
iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)Anatoliy Okhotnikov
 
Penetration Testing Practice 2015
Penetration Testing Practice 2015Penetration Testing Practice 2015
Penetration Testing Practice 2015Vladyslav Radetsky
 
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...De Novo
 
"What is a RAG system and how to build it",Dmytro Spodarets
"What is a RAG system and how to build it",Dmytro Spodarets"What is a RAG system and how to build it",Dmytro Spodarets
"What is a RAG system and how to build it",Dmytro SpodaretsFwdays
 
The Revenant: Legend of ProZorro
The Revenant: Legend of ProZorroThe Revenant: Legend of ProZorro
The Revenant: Legend of ProZorroСистема електронних державних закупівель Prozorro
 
Lviv MDDay 2014. Дмитро Андреєв “знайомство з .Net micro framework”
Lviv MDDay 2014. Дмитро Андреєв “знайомство з .Net micro framework”Lviv MDDay 2014. Дмитро Андреєв “знайомство з .Net micro framework”
Lviv MDDay 2014. Дмитро Андреєв “знайомство з .Net micro framework”Lviv Startup Club
 
Web Penetration Testing Report
Web Penetration Testing ReportWeb Penetration Testing Report
Web Penetration Testing ReportKR. Laboratories
 
Руйнуємо .NET Міфи
Руйнуємо .NET МіфиРуйнуємо .NET Міфи
Руйнуємо .NET МіфиSerhiy Kalinets
 
Порівняння Drupal та Typo3
Порівняння Drupal та Typo3Порівняння Drupal та Typo3
Порівняння Drupal та Typo3Drupal Camp Kyiv
 
порівняння Drupal та Typo3
порівняння Drupal та Typo3порівняння Drupal та Typo3
порівняння Drupal та Typo3Inna Tuyeva
 
Stfalcon QA Meetup 31.01.2020
Stfalcon QA Meetup 31.01.2020Stfalcon QA Meetup 31.01.2020
Stfalcon QA Meetup 31.01.2020Stfalcon Meetups
 
Хмарні технології
Хмарні технологіїХмарні технології
Хмарні технологіїInna Gerasimenko
 
09342ea8835f8a19e344df721c7a304d
09342ea8835f8a19e344df721c7a304d09342ea8835f8a19e344df721c7a304d
09342ea8835f8a19e344df721c7a304dkalanixa
 
Опис найпоширеніших сервісів хмарних технологій
Опис найпоширеніших сервісів хмарних технологійОпис найпоширеніших сервісів хмарних технологій
Опис найпоширеніших сервісів хмарних технологійMiroslav Kussen
 
KyivBSD 2009 - Using FreeBSD in local government of Ukraine on the example of...
KyivBSD 2009 - Using FreeBSD in local government of Ukraine on the example of...KyivBSD 2009 - Using FreeBSD in local government of Ukraine on the example of...
KyivBSD 2009 - Using FreeBSD in local government of Ukraine on the example of...Oleksandr Drach
 
Казьмірчук Р.Р. (06.03.2012)
Казьмірчук Р.Р. (06.03.2012)Казьмірчук Р.Р. (06.03.2012)
Казьмірчук Р.Р. (06.03.2012)garasym
 
2й фактор для телефону
2й фактор для телефону2й фактор для телефону
2й фактор для телефонуVladyslav Radetsky
 
Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівБезпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівVladyslav Radetsky
 

More Related Content

Similar to Робота із malware. McAfee ATD+TIE+DXL/OpenDXL

KyivBSD 2009 - Creating a corporate instant messaging and information exchang...
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...KyivBSD 2009 - Creating a corporate instant messaging and information exchang...
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...Oleksandr Drach
 
Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиСам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиVladyslav Radetsky
 
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
"Request Lifecycle at Prom.ua", Vitaliy KharytonskiyFwdays
 
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk "Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk Fwdays
 
iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)Anatoliy Okhotnikov
 
Penetration Testing Practice 2015
Penetration Testing Practice 2015Penetration Testing Practice 2015
Penetration Testing Practice 2015Vladyslav Radetsky
 
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...De Novo
 
"What is a RAG system and how to build it",Dmytro Spodarets
"What is a RAG system and how to build it",Dmytro Spodarets"What is a RAG system and how to build it",Dmytro Spodarets
"What is a RAG system and how to build it",Dmytro SpodaretsFwdays
 
Lviv MDDay 2014. Дмитро Андреєв “знайомство з .Net micro framework”
Lviv MDDay 2014. Дмитро Андреєв “знайомство з .Net micro framework”Lviv MDDay 2014. Дмитро Андреєв “знайомство з .Net micro framework”
Lviv MDDay 2014. Дмитро Андреєв “знайомство з .Net micro framework”Lviv Startup Club
 
Web Penetration Testing Report
Web Penetration Testing ReportWeb Penetration Testing Report
Web Penetration Testing ReportKR. Laboratories
 
Руйнуємо .NET Міфи
Руйнуємо .NET МіфиРуйнуємо .NET Міфи
Руйнуємо .NET МіфиSerhiy Kalinets
 
Порівняння Drupal та Typo3
Порівняння Drupal та Typo3Порівняння Drupal та Typo3
Порівняння Drupal та Typo3Drupal Camp Kyiv
 
порівняння Drupal та Typo3
порівняння Drupal та Typo3порівняння Drupal та Typo3
порівняння Drupal та Typo3Inna Tuyeva
 
Stfalcon QA Meetup 31.01.2020
Stfalcon QA Meetup 31.01.2020Stfalcon QA Meetup 31.01.2020
Stfalcon QA Meetup 31.01.2020Stfalcon Meetups
 
Хмарні технології
Хмарні технологіїХмарні технології
Хмарні технологіїInna Gerasimenko
 
09342ea8835f8a19e344df721c7a304d
09342ea8835f8a19e344df721c7a304d09342ea8835f8a19e344df721c7a304d
09342ea8835f8a19e344df721c7a304dkalanixa
 
Опис найпоширеніших сервісів хмарних технологій
Опис найпоширеніших сервісів хмарних технологійОпис найпоширеніших сервісів хмарних технологій
Опис найпоширеніших сервісів хмарних технологійMiroslav Kussen
 
KyivBSD 2009 - Using FreeBSD in local government of Ukraine on the example of...
KyivBSD 2009 - Using FreeBSD in local government of Ukraine on the example of...KyivBSD 2009 - Using FreeBSD in local government of Ukraine on the example of...
KyivBSD 2009 - Using FreeBSD in local government of Ukraine on the example of...Oleksandr Drach
 
Казьмірчук Р.Р. (06.03.2012)
Казьмірчук Р.Р. (06.03.2012)Казьмірчук Р.Р. (06.03.2012)
Казьмірчук Р.Р. (06.03.2012)garasym
 

Similar to Робота із malware. McAfee ATD+TIE+DXL/OpenDXL (20)

KyivBSD 2009 - Creating a corporate instant messaging and information exchang...
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...KyivBSD 2009 - Creating a corporate instant messaging and information exchang...
KyivBSD 2009 - Creating a corporate instant messaging and information exchang...
 
Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиСам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файли
 
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
 
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk "Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
 
iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)
 
Penetration Testing Practice 2015
Penetration Testing Practice 2015Penetration Testing Practice 2015
Penetration Testing Practice 2015
 
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...
 
"What is a RAG system and how to build it",Dmytro Spodarets
"What is a RAG system and how to build it",Dmytro Spodarets"What is a RAG system and how to build it",Dmytro Spodarets
"What is a RAG system and how to build it",Dmytro Spodarets
 
The Revenant: Legend of ProZorro
The Revenant: Legend of ProZorroThe Revenant: Legend of ProZorro
The Revenant: Legend of ProZorro
 
Lviv MDDay 2014. Дмитро Андреєв “знайомство з .Net micro framework”
Lviv MDDay 2014. Дмитро Андреєв “знайомство з .Net micro framework”Lviv MDDay 2014. Дмитро Андреєв “знайомство з .Net micro framework”
Lviv MDDay 2014. Дмитро Андреєв “знайомство з .Net micro framework”
 
Web Penetration Testing Report
Web Penetration Testing ReportWeb Penetration Testing Report
Web Penetration Testing Report
 
Руйнуємо .NET Міфи
Руйнуємо .NET МіфиРуйнуємо .NET Міфи
Руйнуємо .NET Міфи
 
Порівняння Drupal та Typo3
Порівняння Drupal та Typo3Порівняння Drupal та Typo3
Порівняння Drupal та Typo3
 
порівняння Drupal та Typo3
порівняння Drupal та Typo3порівняння Drupal та Typo3
порівняння Drupal та Typo3
 
Stfalcon QA Meetup 31.01.2020
Stfalcon QA Meetup 31.01.2020Stfalcon QA Meetup 31.01.2020
Stfalcon QA Meetup 31.01.2020
 
Хмарні технології
Хмарні технологіїХмарні технології
Хмарні технології
 
09342ea8835f8a19e344df721c7a304d
09342ea8835f8a19e344df721c7a304d09342ea8835f8a19e344df721c7a304d
09342ea8835f8a19e344df721c7a304d
 
Опис найпоширеніших сервісів хмарних технологій
Опис найпоширеніших сервісів хмарних технологійОпис найпоширеніших сервісів хмарних технологій
Опис найпоширеніших сервісів хмарних технологій
 
KyivBSD 2009 - Using FreeBSD in local government of Ukraine on the example of...
KyivBSD 2009 - Using FreeBSD in local government of Ukraine on the example of...KyivBSD 2009 - Using FreeBSD in local government of Ukraine on the example of...
KyivBSD 2009 - Using FreeBSD in local government of Ukraine on the example of...
 
Казьмірчук Р.Р. (06.03.2012)
Казьмірчук Р.Р. (06.03.2012)Казьмірчук Р.Р. (06.03.2012)
Казьмірчук Р.Р. (06.03.2012)
 

More from Vladyslav Radetsky

2й фактор для телефону
2й фактор для телефону2й фактор для телефону
2й фактор для телефонуVladyslav Radetsky
 
Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівБезпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівVladyslav Radetsky
 
Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Vladyslav Radetsky
 
Практичні рецепти захисту
Практичні рецепти захистуПрактичні рецепти захисту
Практичні рецепти захистуVladyslav Radetsky
 
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatBasic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatVladyslav Radetsky
 
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Vladyslav Radetsky
 
Як не стати жертвою ?
Як не стати жертвою ?Як не стати жертвою ?
Як не стати жертвою ?Vladyslav Radetsky
 
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Vladyslav Radetsky
 
Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Vladyslav Radetsky
 
Типові помилки при впровадженні DLP
Типові помилки при впровадженні DLPТипові помилки при впровадженні DLP
Типові помилки при впровадженні DLPVladyslav Radetsky
 
Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Vladyslav Radetsky
 
Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Vladyslav Radetsky
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахVladyslav Radetsky
 
Сучасні цільові атаки
Сучасні цільові атакиСучасні цільові атаки
Сучасні цільові атакиVladyslav Radetsky
 
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Vladyslav Radetsky
 
DLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекDLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекVladyslav Radetsky
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияVladyslav Radetsky
 
Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Vladyslav Radetsky
 
ShadyRAT: Anatomy of targeted attack
ShadyRAT: Anatomy of targeted attackShadyRAT: Anatomy of targeted attack
ShadyRAT: Anatomy of targeted attackVladyslav Radetsky
 

More from Vladyslav Radetsky (20)

2й фактор для телефону
2й фактор для телефону2й фактор для телефону
2й фактор для телефону
 
Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівБезпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерів
 
Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]
 
Практичні рецепти захисту
Практичні рецепти захистуПрактичні рецепти захисту
Практичні рецепти захисту
 
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatBasic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
 
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
 
Як не стати жертвою ?
Як не стати жертвою ?Як не стати жертвою ?
Як не стати жертвою ?
 
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020
 
Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2
 
Типові помилки при впровадженні DLP
Типові помилки при впровадженні DLPТипові помилки при впровадженні DLP
Типові помилки при впровадженні DLP
 
Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware.
 
Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплах
 
Сучасні цільові атаки
Сучасні цільові атакиСучасні цільові атаки
Сучасні цільові атаки
 
McAfee Endpoint Security 10.1
McAfee Endpoint Security 10.1McAfee Endpoint Security 10.1
McAfee Endpoint Security 10.1
 
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
 
DLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекDLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечек
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрования
 
Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015
 
ShadyRAT: Anatomy of targeted attack
ShadyRAT: Anatomy of targeted attackShadyRAT: Anatomy of targeted attack
ShadyRAT: Anatomy of targeted attack
 

Робота із malware. McAfee ATD+TIE+DXL/OpenDXL

  • 1. Робота із malware: Виявлення, аналіз, обмін IOC (ATD + TIE + OpenDXL) Владислав Радецький vr@optidata.com.ua
  • 2. #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом засобів захисту Прийшов до вас щоб поділитися досвідом vr@optidata.com.ua radetskiy.wordpress.com
  • 3. Ми – команда спеціалістів з практичним досвідом інтеграції з ІБ. Працюємо лише з тим, в чому розбираємось. Більшість здійснених нами проектів захищені NDA. Проектуємо. Навчаємо. Розгортаємо. Захищаємо. Що таке OptiData ?
  • 4. #IOC та звіти шукайте тут: radetskiy.wordpress.com Життя без sandbox: ~40 хв / 1 зразок
  • 7. 14/03 – ми вперше отримали цей зразок:
  • 8. 20/03 – (без sandbox!) повний аналіз
  • 9. Навіщо нам sandbox ? • Автоматизація потокової перевірки файлів • Формування чітких та повних списків IOC • Розуміння схеми атак для корекції політик • Захист від того, що дозволено бізнесу (!)
  • 10. McAfee ATD DXL /OpenDXL McAfee ATD NSP, Web, TIE/Endpoint Bro IDS Sensor Будь-який Email Gateway
  • 11. McAfee ATD DXL /OpenDXL McAfee ATD NSP, Web, TIE/Endpoint Bro IDS Sensor Будь-який Email Gateway • Статичний та динамічний аналіз файлів (>60 типів) • Кастомізація образів тестових ВМ • Підтримка ОС Windows XP – 10, Srv2k8 - 2016 • HW / VA (VMware, Hyper-V, Azure) • Широкі можливості інтеграції
  • 12. McAfee ATD - розвиток
  • 13. • Virtual Appliance for VMware - 3.10 12/2016 • • • McAfee ATD - розвиток
  • 14. • Virtual Appliance for VMware - 3.10 12/2016 • Email Connector, Srv&Office 2016, HTML - 4.0 06/2017 • • McAfee ATD - розвиток
  • 15. • Virtual Appliance for VMware - 3.10 12/2016 • Email Connector, Srv&Office 2016, HTML - 4.0 06/2017 • Hyper-V, Azure, TAXII, VM Builder - 4.2.0 11/2017 • McAfee ATD - розвиток
  • 16. • Virtual Appliance for VMware - 3.10 12/2016 • Email Connector, Srv&Office 2016, HTML - 4.0 06/2017 • Hyper-V, Azure, TAXII, VM Builder - 4.2.0 11/2017 • Email > STIX & Open IOC, SNTP, SNMPv3 - 4.4.0 05/2018 McAfee ATD - розвиток
  • 17. • HTML, PDF, XML, JSON, Dropped • Syslog, SNMP • STIX, TAXII, Open IOC • DXL > TIE, OpenDXL McAfee ATD – обмін маркерами (IOC)
  • 18. • HTML, PDF, XML, JSON, Dropped • Syslog, SNMP • STIX, TAXII, Open IOC • DXL > TIE, OpenDXL McAfee ATD – обмін маркерами (IOC) STIX ESM DXL /OpenDXL McAfee ATD Обмін IOC через TAXII
  • 24. McAfee ATD - XMode
  • 25. • Центральне джерело репутації • Посилення або заміна DAT/GTI • Оператор може вносити зміни • Канал обміну – шина DXL McAfee TIE – БД репутації файлів McAfeeATD McAfee ePO McAfee ENS DXL McAfee TIE
  • 26. McAfee TIE – БД репутації файлів
  • 27. Інтеграція до DXL (OpenDXL) Складнощі: •Обмін обліковими даними •Різні API •Різні порти/протоколи •Обмін подіями (усе разом) Modify Network Traffic Modify Network Traffic Modify Network Traffic Modify Network Traffic Modify Network Traffic Modify Network Traffic Рішення #4 Рішення #3 Рішення #2 Рішення #1
  • 28. McAfee DXL Рішення #1 Рішення #4 Рішення #3 Data Exchange Layer Рішення #2 Переваги: •Одна шина, один протокол •Одне API •Центральна авторизація •1:~ (підписка) •1:1 (запит інформації)
  • 29. McAfee DXL – “Security Connected” • McAfee Threat Intelligence Exchange (TIE) • McAfee Endpoint Security (ENS) • McAfee Active Response (MAR) • McAfee Enterprise Security Manager (ESM) • McAfee ePolicy Orchestrator (ePO) • McAfee Advanced Threat Defense (ATD) • McAfee Web Gateway (MWG) • McAfee Application Control (MAC) • McAfee Network Security Platform (NSP) • McAfee Data Loss Prevention (DLP) Endpoint Protection Compliance Network IPS Analytics Mobile Firewall Gateway Security Data Protection
  • 30. OpenDXL – інтеграція засобів захисту Aruba ClearPass Policy Manager McAfee Active Response (MAR) OpenDXL Orchestration Script McAfee Threat Intelligence (TIE) Rapid7 Nexpose Data Exchange Layer McAfee ePO •TIE Client Module •MAR Client Module Infected Endpoint Malicious Site Check Point Firewall Malware Приклад: •Підписуємося на події Check Point •Запускаємо пошук через MAR •Оновлюємо репутацію через TIE •Призначаємо Tag усім інфікованим •Запускаємо скан Nexpose •Оновлюємо списки доступів Aruba
  • 31. OpenDXL Підписка на канали Запит інформації
  • 32. • Розширення схеми McAfee DXL • 2 режими обміну: підписка (1:~) та запит (1:1) • Можливість інтеграції з іншими рішеннями ІБ • Обмін IOC між різними засобами безпеки • MQTT, TLS 1.2, PKI, двосторонній зв'язок OpenDXL
  • 34.
  • 35.
  • 36.
  • 37.
  • 39.
  • 40.
  • 41.
  • 42. ▪ SandBlast integration with DXL, TIE and ePO ▪ Publishing Topics: File Reputation, IOC, Threat Event Data, Mobile ▪ Subscribing Topics: IOC, File Reputation Updates ▪ ClearPass integration with DXL and ePO ▪ Publishing Topics: IOC Information, New Asset Discovery Information ▪ Subscribing Topics: IOC information, Threat Event ▪ Nexpose integration with DXL, TIE and ePO ▪ Publishing Topics: IOC, Vulnerability, New Asset Discovery Information ▪ Subscribing Topics: IOC, File Reputation, Threat Event, Vulnerabilities ▪ Deception Grid integration with DXL, TIE and ePO ▪ Publishing Topics: File Reputation, IOC, Threat Event Data ▪ Subscribing Topics: IOC, File Reputation, Threat Event SIA Partners OpenDXL – приклади інтеграції
  • 43. OpenDXL – приклади інтеграції
  • 44.
  • 45. • FAQs for McAfee ATD (KB79333) • community.mcafee.com/t5/Products/ct-p/products • opendxl.com • github.com/opendxl/ • facebook.com/Optidata.com.ua • radetskiy.wordpress.com Джерела інформації
  • 47. Дякую вам за увагу!