Blog

Zaštita od naprednih pretnji: primer integracije i razmene podataka sa ostalim mrežnim rešenjima

Korišćenje sigurnosnih rešenja kao izolovanih silosa je, nažalost, česta praksa u mnogim organizacijama. Ipak, korišćenjem modernih web API-ja, moguće je uskladiti postojeća rešenja kroz deljenje informacija o pretnjama, a kako bi dobili veći nivo sigurnosti i izvukli veću vrednost od postojećih investicija.

Integracija i razmena informacija između sigurnosnih alata nikada nije bila korisnija nego u današnje doba naprednih pretnji. Rešenja koja adresiraju te nove pretnje obično spadaju u ono što analitičari zovu Advanced Threat Protection (ATP), a osnova tih rešenja je detonacija sumnjivih datoteka u kontrolisanom virtualnom okruženju (eng. sandbox) kako bi se utvrdilo radi li se o do sada nedetektovanom malware-u. ATP rešenja proizvode obilje informacija u obliku sumnjivih objekata (npr. IP adrese, imena domena, URL-ova, file hash-eva, itd.) koji se još zovu i pokazatelji kompromitacije sistema (Indicators of Compromise – IOC).

Na primer, izvršavanje zlonamernog programa (možda najnovija varijanta ransomware-a?) može izazvati niz popratnih događaja kao što je phone-home prema C&C serverima za udaljenu kontrolu ili dohvat ključeva za kriptovanje, zatim preuzimanje novih i nepoznatih datoteka za dodatne „funkcionalnosti“ malware-a, itd. Sve te mrežne komunikacije mogu biti jednostavno blokirane na postojećoj mrežnoj opremi koja blokira na temelju IP adresa, imena domena ili URL-ova (od firewalla do naprednih web gateway rešenja). Naravno, potreban je automatizovani način isporuke instrukcija šta tačno blokirati na navedenoj opremi.

Kao ilustracija ovog koncepta, u nastavku je primer kako navesti Blue Coat ProxySG (secure web gateway) rešenje da blokira zahteve na adrese i URL-ove koji su pronađeni kod detonacije sumnjivih datoteka u Trend Micro Deep Discovery Analyzer (DDAn) ATP sandboxing rešenju.

Zahvaljujući svom otvorenom API-ju, Deep Discovery rešenje može jednostavno deliti informacije o pretnjama sa trećim stranama odnosno postojećim mrežnim i sigurnosnim rešenjima na mreži.

Način rada ovakve integracije izgleda ovako (klik za veće):

tm_bc

ProxySG može konzumirati Policy file koji se učitava sa bilo kojeg spoljnog web servera (tzv. Central Policy file). Radi se o tekstualnoj datoteci koja se u ovom slučaju generiše od strane servisa koji putem Trend Micro DDAn API-ja u redovnim intervalima preuzima listu sumnjivih URL-ova i IP adresa.

Interesuje vas kompletna source code implementacija ovakve integracije u obliku Windows servisa (napisano u C# .Net Visual Studio 2013) koji troši Trend Micro DDAn API, preuzima sumnjive objekte (IOCs) i zapisuje ih u jednom ili više podržanih izlaznih formata datoteka, koje treća rešenja mogu konzumirati?

Zainteresovani ste za još načina kako udesiti da vaša rešenja pričaju međusobno?

Kontaktirajte nas.

Alternativno, možete preuzeti ovaj već izgrađeni MSI paket (nema podrške!) koji će instalirati navedeni Windows servis.

Prije instalacije ili korištenja, pročitajte Readme file

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter