[Musica]
grazie mille per essere venuto a questo
sessione oggi mi chiamo Damian Murphy
dalla luce principale parleremo oggi
su un’area che Gartner chiamava NT a
analisi del traffico di rete quindi an
interessante area di sicurezza informatica che è
molto a ribalta, ma in realtà
c’è molta storia dietro il
soluzioni di cui parlerò oggi
Sono domanda per il pubblico ha
qualcuno ha sentito parlare di fratello prima del fratello
sicurezza Milnor traghetti va bene ok su
due persone tra il pubblico concordano sul fatto che è
bene non te lo dirò molto
roba noiosa quindi se questo è nuovo
tutti che è buono e così il
storia interessante dietro bro quindi dal
i nomi davvero terribili sono davvero scusanti
il nome bro è stato cambiato da
comitato di Zeke così vedrai un sacco
di essere rinominato come Zeke, ma lo è
conosciuto negli ultimi 23 anni come fratello e
la ragione per cui si chiamava bro era perché
il nostro fondatore o il fondatore del
soluzione bro pack felce e un dr. Vernon
Paxton è in realtà basato su Big
Fratello così nel 1984 e il fratello maggiore è
guardando così con te conosci il massimo potere
viene la responsabilità ultima quindi
fondamentalmente il messaggio è che se puoi
guarda tutto il traffico su una rete tu
dobbiamo essere il bravo ragazzo così fortunatamente noi
sono i bravi ragazzi così è iniziato
nel 1995 e nei laboratori di Lawrence Berkeley
quindi c’era un certo numero di persone tipo di
bei ragazzi appesi là e così se
hai mai sentito parlare di Van Jacobson lui è
il Padrino di TCP quindi la ragione per cui
guardando Netflix o YouTube in Internet
non implode è perché una congestione
il controllo è stato portato in TCP
da van Jacob team del sud così lui Vern
Paxson e un altro signore chiamato dr.
Stephen McCann siamo tutti in giro
insieme nei laboratori di Lawrence Berkeley
negli anni ’90 il dott. Steve McCann se ne andò e
ha creato una cosa chiamata cattura pacchetti
Dump TCP di cui sono sicuro alcune persone qui
avremmo sentito parlare di quale poi gentile
continuò a diventare Wireshark così lui era
guardando i pacchetti molto in giro
analisi di rete
capire le prestazioni dei problemi
problemi che visualizzano le ripercussioni sulla
tuttavia lo stavo guardando da una lattina
utilizzare tutti quei dati a pacchetto e in effetti fare
analisi di sicurezza e la ragione per cui
stava guardando questo lo sai
la sicurezza informatica non è una grande cosa in sé
di nuovo nel millenovecentonovantacinque, ma è così
scopre che LBL era in realtà un
obiettivo enorme per il furto di IP perché
LBL piace molte università
ricerca del settore c’è in realtà a
cento premi Nobel quello della scienza
premio che è stato assegnato alle persone
a LBL per la ricerca in modo che tali dati siano
dati ricchi per gli attaccanti da provare e e
prendi così Verne Paxson stava costruendo un
soluzione per poter guardare i dati dei fili
analizzarlo genera log di sicurezza e
anche una coordinata molto interessante che
è M scripting ed essere in grado di fare un po ‘
alcune cose interessanti quindi questi prodotti
è una specie di nuovo in realtà
in giro per ventitré anni così e
è un progetto open source quindi sotto BSD
licenza così liberamente disponibile l’open
fonte tramite github molti clienti
correndo e ti racconterò alcune storie
sui clienti che eseguono open source Pro
e poi l’altro lato di esso è il
lato commerciale quindi lavoro per un’azienda
chiamato correlato in realtà ha ottenuto tutto
dei fondatori che hanno costruito open-source
bro tutti i principali contributori sono
correlare dipendenti e noi in realtà
supportare il progetto open source e lo farò
ne parliamo tra un minuto
quindi penso che tutti noi sappiamo che il
l’attuale amministrazione statunitense non è così giù
con la scienza direi così il
finanziamento tradizionale per il progetto
provengono dalla National Science
Fondazione così è stata la NSF negli Stati Uniti
sostenendo fin dagli anni ’90 il
sviluppo di Bro la ragione è stata
critico per la sicurezza informatica per gli Stati Uniti
governo
quindi per agenzie come il Dipartimento di
Energia che non è coinvolta in
in realtà generando un infortunio se loro
prendersi cura di una scorta nucleare negli Stati Uniti
quindi è un po ‘importante per gli Stati Uniti
il sistema di controllo dei comandi non viene preso in carico
da attori stranieri così bro è stato un nucleo
parte di questo è così interessante nel 2016
2017 la presentazione del budget da NSF al
al Congresso numero uno elemento pubblicitario
il numero uno in cima alla classifica è stato il finanziamento continuato
per il fratello numero due era la ricerca
onde gravitazionali quindi è visto come
abbastanza importante comunque il finanziamento ha
secco
non ci sono più finanziamenti governativi per
fratello, quindi correliamo il lato commerciale
di una versione aziendale di uova noi
supportare la comunità open source e
continua a farlo quindi sorge una domanda
a volte sei tu
sai che i cattivi cittadini aziendali sei tu
svilupperò solo cose che andranno a finire
la versione Enterprise e non la versione
torna in github No, quindi tutto
che facciamo e che i nostri ragazzi stanno sviluppando
ragazzi e ragazze che si stanno sviluppando
rilasciato nuovamente nell’open-source
comunità e poi la parte commerciale
è per le grandi organizzazioni che non lo fanno
voglio affrontare il mal di testa di
implementazione di open source Pro e
ovviamente dovrò venire a quello
così in una storia molti clienti così io
pensa che due o tre mani dicessero loro
erano a conoscenza del fratello molto grande nel
comunità di ricerca e di grandi dimensioni
organizzazioni come Amazon e altri
gestiscono l’ open source bro un certo numero di
sono core commerciali come i clienti
Non posso nominarli per nome ma otto di
le 50 aziende della fortuna sono in realtà
come clienti da cui sono passati
open source across across a commerciale
implementazione di bro / Zeke
un cliente locale interessante è il
regione meridionale della Danimarca e sono
fare il fratello a livello che stavo davvero avendo
una chiacchierata con il gentiluomo che si prende cura di lui
questa distribuzione
ha 616 core del processore in esecuzione
fratello sta generando tra 50 e 70
terabyte nut gigs terabyte di dati
Parlerò del suo quotidiano al giorno
e spingendolo in una soluzione che è
il motore omerale che sta per essere
dimostrando così in un back-end così hanno
circa 30.000 utenti stanno prendendo il
dati cablati da grandi ospedali
strutture psichiatriche che guardano a tutti
quel traffico che va verso est-ovest e
Nord-Sud alla ricerca di malware in cerca
per attacchi di phishing alla ricerca di dati
Esfiltrazione quindi tutte le cose buone che sono
andando a parlare e fare una demo su e
questo è stato fatto su scala così questo da
il modo in cui si fa riferimento a chi
questi clienti provengono dal
la comunità open source così hanno detto
c’è un uso D chiamato rotto grazie
perché quel nome sta andando via
Zeke so zeke week la prossima settimana del prossimo anno
farà freddo queste sono le aziende
sì, è bello perché Zeke ti fa sapere
è tutto bello per le cose che possiamo
fare con quel nome cerca bene come fa lui
provengono da cercare i professionisti la ragione
è tornato dagli anni ’90 l’utente I
i sotto eunuchi che sono stati effettivamente eseguiti
quello che gestiva il broke bro era Pro Sissies
in realtà chiamato Zeke a causa di Zeke e
lo scoprirai , questo è tutto dal
Zeke taglio su bro mailing list e per
rotto su queste sono persone di cui parlare
il loro uso di bro e quindi non sono io
condividere tutto ciò che non sono supposto
a che fare con te e penso che siamo tutti
consapevole che il panorama delle minacce è giusto
peggiorando Voglio dire, se si ascolta
podcast uno particolarmente divertente che io
come è business rischioso che è un
Australiana blog di podcast e va
attraverso la violazione della settimana e sì noi
vivere in tempi molto pericolosi così è
importante per costruire una sicurezza moderna
impilare se si è qualcuno che ha avuto alcun
IP perché ti stanno inseguendo
sia che si tratti di criminali o sia
attori statali è solo un brutto 8 lì e
prima di entrare in correlazione avevo solo no
idea quanto dovrei essere paranoico e ora
Sono adeguatamente paranoico perché è cattivo
là fuori penso che ne siamo tutti consapevoli
così quando guardiamo al tradizionale
stack di sicurezza quindi cosa hanno le persone
un sacco di sistemi di ID firewall costruiti così
roba è stata costruita per proteggere il
perimetro di un’organizzazione e loro
tutti generano registri che è fantastico perché
hai tutti questi dati di registro così miei
sicurezza endpoint miei firewall i miei ID
generano tutti i log e poi tiri
li in un back-end e quello
potrei fare una demo con humo
motore una società danese o tecnologia impressionante
ci sono altri venditori là fuori come
Alce Splunk ed elastico eccetera quindi tanto
di tronchi che vengono trascinati in grandi laghi
così in un peccato più vedere più diverso
colora il problema è che non c’è
molto contesto ci sono molti dati ma
è davvero difficile trovare così il tipo di
i dati che riceviamo dai clienti e il loro come
a lungo ci vuole quando hai una breccia
o hai una sospetta violazione che hai
ho visto qualcosa di insolito, quindi il tuo endpoint
ha lanciato un’allerta che qualcuno ha detto
è stato qualcosa il mio sistema di identificazione
ha contrassegnato qualcosa per quanto tempo lo fa
prendere per capire davvero se tu
sono stati violati, probabilmente
hai e quanto è grave, quindi sai come
diffuso è il malware e la violazione
e il numero tipico che otteniamo è
sono circa tre o quattro
per ore che ci vuole per passare
tutti questi registri diversi che significa
quello per l’ analista della sicurezza è un
il dolore assoluto in faccia è giusto
lavoro davvero tedioso non sarebbe
meglio che non saremo grandi se noi
potrebbe fare qualcosa di meglio e questo è
parlaci così tanto o Z è un
tecnologia di sniffing dei pacchetti che al filo
velocità questa è una cosa fantastica al filo
la velocità guarda ogni singolo pacchetto a
apparecchio a nucleo chiuso fino a dire 40
gigabit al secondo su un singolo
appliance e quindi generiamo sicurezza
metadati quindi guardiamo davvero tutti
singola transazione guardiamo tutti
pacchetto singolo quindi non lo facciamo per esempio
basta guardare la porta 80 o la porta 443 e dire
questo è l’HTTP che è SSL in effetti
a questo non importa quale numero di porta è acceso
così roba che è in realtà mascherata
all’interno spesso comando-e-controllo da
il malware è crittografato con SSL crittografato con TLS
nascondendo e qualcos’altro in realtà
guarda ogni singolo pacchetto fare in profondità
analisi dei pacchetti su ogni singolo pacchetto
su wireline e quindi generare log e
ragazzo, noi generiamo registri sai che è così
Da 50 a 70 terabyte di dati al giorno
stiamo spingendo in un back-end è ricco
dati ora che sono diventati insignificanti
rispetto alla cattura dei pacchetti quindi parlerò
a proposito di ciò in un minuto come si confronta
per l’acquisizione di pacchetti, quindi ne abbiamo 50
analizzatori di protocollo che funzionano su ogni bit
del traffico che vediamo e generiamo
registra e li spinge indietro nel
nel back-end e come ho detto che
il back-end potrebbe essere un sim che potrebbe anche essere
un lago dati e applicando la macchina
imparando che è una vasta area che potremmo essere
qui per ore e ore a parlare
la capacità di apprendimento automatico per
la sicurezza è applicabile in alcuni posti
e non negli altri ma ce ne sono alcuni
cose abbastanza interessanti che le persone sono
fare con un più ampio apprendimento automatico di dati
e analisi statistica quindi il risultato
di distribuzione
Il disagio nel tuo ambiente lo sta facendo
venti volte più veloce nella risposta immediata
quindi ci sono due cose in sicurezza dice
risposta immediata questo è dove se
succede qualcosa di brutto sai qualcosa
è successo male e devi capire
fuori sai cosa è successo chi è
infetto come lo aggiusto e c’è
la caccia alle minacce e la caccia alle minacce è un
esercitare le squadre di sicurezza su un
base regolare che è fondamentalmente guardare
attraverso i dati che hai e
cercare anomalie quindi non aspettare
qualcosa di brutto un indicatore di un dio del CIO
ameremmo i nostri acronimi, non noi venditori
e e ma questo è il termine del settore così
in decadimento
compromesso quindi non aspettarlo
effettivamente dare un’occhiata al tuo ambiente
e cercare anomalie perché una volta
capisci il tuo ambiente che puoi vedere
qualcosa che sembra strano quindi un
esempio è per la regione del sud
Danimarca parlano bene se noi
basta dare un’occhiata ai modelli di traffico e
se inizio a vedere un’infermiera psichiatrica
accedere a un sistema di gestione stipendi che è
qualcosa di strano sta succedendo ora
non essere malware in realtà potrebbe essere solo
cattivo intento di qualcuno o potrebbe essere
solo qualcuno a fare qualcosa per
Incidente quindi essere in grado di ottenere effettivamente
che i dati ti permettono di fare entrambi gli incidenti
risposta e minaccia alla caccia e giusto
renderlo più veloce per i team di sicurezza
la rimozione dei falsi positivi è fondamentalmente
il nostro set di strumenti è qui per questo è così
il tipo di classico cosa succede quando un
Gli ID avvisano gli incendi quindi stai correndo
qualcosa come snort o sir kata o
fonte di fuoco in modo da sapere inserire preferito
piattaforma di idee qui in modo da ottenere un avviso
come faccio a capire cosa sta succedendo
o potrebbe essere il mio malware malware sul mio
punto finale in modo che potessi essere in silenzio
o un altro IDI o così ricevi un avviso come
analista, dove vado, quindi inizio prego
guardando i registri del firewall lo seguo
modello che forse attraverso il web server
registri poi vado e dico hey che ho
acquisizione di pacchetti perché parte del mio
stack di sicurezza era il migliore
il modo di guardare alla sicurezza è vicino
catturare ogni singolo pacchetto e
scrivendolo su disco suggerimento che non è il
diritto di emettere le cose mi è venuto da un
pacchetto che cattura lo sfondo e se tu
negozio 80 dare quattro secondi di
larghezza di banda così otto concerti e tu provi e
memorizzalo sul disco che otterrai
sette giorni se hai un letto, se lo hai
ottenuto 1,2 petabyte di storage che è un
sacco di spazio di archiviazione cercando di cercare che fare
qualsiasi cosa con esso è completamente inutile
e darò uno scenario più tardi che ero
lavorare con una grande banca in Australia
nella mia vita precedente hanno detto che ce l’abbiamo
un problema con i certificati x.509 così
certificati in scadenza e anche
certificati con Shou su hash abbiamo solo
non ne so abbastanza dei nostri certificati SSL
sono stati schierati per sempre
migliaia di certs e io ero coinvolto a
progetto che abbiamo usato per catturare pacchetti
e prova ad analizzare che ora ha funzionato
ma ci sono volute due settimane di professionisti
servizi per andare a prendere le catture di pacchetti
prendi pacchi di loro di corsa
squalo del tè che è il comando wireshark
linea e farlo in un processo batch
Questo non è un sacco di divertimento tipo di
noioso quindi cosa facciamo con il fratello
tecnologia e come ho detto correlare noi
ho una versione commerciale parlerò
su questo un po ‘ ce la facciamo
più veloce per la risposta immediata che ti diamo
un set di strumenti per essere in grado di cercare
indicatori di compromesso
comando e controllo cercano malware
all’interno di SSL e TLS perché questo è uno
la domanda che emerge molto è cosa
sul fatto che tu sappia con
il traffico verso SSL e TLS
perdere perdi visibilità e il
la risposta è duplice, in realtà andiamo alla grande
visibilità dal fratello Zeke su x.509
certificati e ce ne sono molti
cose interessanti che possiamo fare e
Parlerò di una cosa chiamata vaso 3
che è il fingerprinting dei client TLS TLS
e in che modo si inserisce così sostanzialmente noi
dare un set di strumenti che consente l’istante
squadre di sicurezza dei soccorritori da fare
il loro lavoro è più facile, quindi questo è un
slide interessante da un’organizzazione
chiamato difesa della rete applicata ne sono sicuro
molti di voi hanno sentito parlare di SANS Institute
chi fa formazione sulla sicurezza quindi SANS
Istituto di cui parlano molto spesso
utilizzando bro per la caccia alle minacce in caso di incidente
Risposta interessante per l’esercito americano
quando fanno squadra rossa e squadra blu
esercizi che usano effettivamente bro per il
squadra blu quindi c’è il nostro se si prende un
guarda il rotto del 2017 c’è abbastanza
una buona presentazione dall’esercito americano
su come effettivamente fanno il loro così il
La NSA va contro i cadetti di altri
agenzie e fare Red Team Blue Team e
quando i team usano il bro , in realtà lo fanno
devo usare le cose più segrete per
prova e continua a violare in modo che sia così
Ho detto che è molto diffuso e questo è un
marcatura in volo Difesa di rete così
Chris Sanders ha parlato di votarti
conosci da A a B a C come il tuo lo sai
Gli esami universitari quindi sono assolutamente
la grande F non lo è e parla con il
diverse fonti di dati così hai
flusso netto flusso in modo netto è veramente facile da
ottenere da router o Reuters e se tu
chiamali dagli switch dei firewall
quindi informazioni sul traffico molto leggere
il problema è che non ha alcuna profondità
non ha informazioni sul livello 7 che ha
pochissimo contesto dall’altra parte di
le cose di cui ho parlato erano il pacchetto
acquisire così grandi quantità di dati
andando su disco costoso davvero difficile
lavorare con sì ha tutti i dati
quindi se vuoi diventare molto forense
c’è un posto in sicurezza ci stack
non dire che quella pcap non lo è
importante ma i nostri clienti che hanno
sorella dispiegata è venuta da a
gentiluomo da uno dei grandi globale
compagnie petrolifere con sede ad Amsterdam e lui
ho detto che non ho toccato la mia cattura di pacchetti
in sei mesi ha detto che arrivano tutti i miei dati
dall’ID apparecchio nucleo e la
burroughs lampeggiano i dati di Zeke in modo tale che la valutazione
lì vedrai che il fratello è valutato come un
AAA
e poi C per l’ acquisizione
l’acquisizione è fondamentalmente la difficoltà
è costruirlo per mantenerlo
prova a ridimensionarlo a multi gigabit per
la seconda e la patch ecc. la risposta è questa
è abbastanza difficile ora se sei Amazon
e tu sei abituato a costruire server
mantenendo grandi flotte migliaia di
istanze orchestrazione ecc
sapere che il robode open source va bene per te
ma molte grandi aziende hanno appena
non voglio fare questo, ecco perché il
la valutazione dice che C e noi sono correlati
il lato commerciale un lato aziendale
di Bro Zeke ti permettiamo di farlo
fondamentalmente ha un apparecchio chiavi in mano che
si collega e si ottiene tutto questo gustoso
bontà un paio di commenti lì quindi a
collega irlandese uomo lato sinistro Connor
potere così lui è uno dei cavi di sicurezza
su Amazon e ne fanno largo uso
bro dati all’interno del loro ambiente e lui
parla di avere effettivamente una coppia
di ottime presentazioni sul nostro
Canale YouTube , quindi se dai un’occhiata
bro e YouTube lo troverai lì
stat è che li hanno portati oltre i 18 anni
mesi per costruire
conosci la versione 1 e ne prendi un’altra
X mesi per costruire la versione 2 di loro
stack per provare e scalare un apparecchio così
fanno tutto il duro lavoro che sai
Amazon può permettersi di fare bugie fondamentali
solo per le persone che vogliono questo tipo di
dati ti abbiamo appena dato una soluzione
puoi collegarti molto alla tua rete
facilmente e così a destra ho parlato a
un po ‘su hey facciamo solo cose
più veloce per chi interviene di sicurezza delle
numero qui in realtà 100x più piccolo di
pcap che è in realtà
non è vero ciò che è più alto, quindi perché uno
la domanda è quando voglio ridimensionare un
implementazione di bro / correlato
sensori ho questa quantità di
larghezza di banda in cui sono entrato e
Sto praticamente annusando e quanto sono grandi
i log che entrano nel backend così come
ho dimensionato il mio back-end come faccio a ridimensionare
humne o come faccio a taglia alce eccetera e
la statistica effettiva è che è circa 200 x
quindi praticamente prendi qualunque cosa
il tasso di ingerimento è e tu sostanzialmente riduci
giù di uno 200 in un sacco di
gli ambienti sono in realtà 1 400 ora uno
delle cose interessanti che possiamo fare con
il sensore di luce di base non puoi farlo
bro open source ma la luce principale
il sensore è che puoi entrare senza
puoi anche connetterti al tuo back-end
basta rilasciarlo genererà i registri
e ho potuto darà tutte le volumi di registrazione
nell’interfaccia utente, quindi puoi dire che io la penso
bisogno di questi dati nel mio ambiente come
ho bisogno di ridimensionare il mio back-end di registrazione
ne ho abbastanza in termini di licenze
o I ops etc etc che possono farlo da solo
far cadere un apparecchio in modo che questo sia un
un po ‘di nerd, quindi sto solo andando
parlare brevemente di questo così fuori dal mondo
scatola
il bro fa scivolare l’eek all’interno di un sensore di qualità
genera questi 50 log ora che è il
esperienza immediata, l’altra parte
di questo i 25 anni di sviluppo
di bro e la comunità open source è
che ci sono molte persone là fuori
usando questo lato della programmazione
linguaggio quindi è un sistema basato su eventi
che ti permette di fare cose oltre a cosa
facciamo con i registri standard che sono
generazione di parser di protocollo si può anche
costruisci il tuo parser di protocollo quindi se tu
sono davvero hardcore e in effetti
universo è una regione di SIL e
La Danimarca sta costruendo un parser DICOM
perché fanno un sacco di imaging medico
che stanno inviando in giro che vogliono
essere in grado di ottenere ulteriori metadati su
DICOM imaging in modo da poter costruire il tuo
parser di protocollo abbiamo persino una lingua
una cosa chiamata bin pack che si sta muovendo
attraverso a una cosa chiamata piccante che solo
rende un po ‘ più facile fare tutto questo
roba di nuovo se vuoi tutti quelli
dettagli approfonditi coperti in rotto su I’m
non arriverò alla demo in un paio di
minuti quindi il linguaggio di programmazione è così
ti permette di fare qualcosa di simile così
fondamentalmente tag le informazioni VLAN nel
registra un caso d’uso per questo ne abbiamo uno
governare il dipartimento negli Stati Uniti e
in realtà volevano tutti i log loro
voglio essere in grado di vedere quale sensazione e
associato a ciascun singolo IP
indirizzo e utenti che in realtà non lo faranno
avere informazioni VLAN perché hanno
un sacco di segregazione di VLAN per
motivi di sicurezza quindi quando un analista
guarda un registro all’interno del backend
non voglio assolutamente saltare da
qui a qui una delle grandi cose in
il mondo della risposta alla sicurezza è il
sedia girevole da cui devi andare
un sistema a un altro sistema a un altro
dati così arricchenti e avere tanto
possibile di dati in un luogo che
lo guardi è molto importante quindi questo
è lo script ci sono altre righe
ma non è esteso il copione
in realtà il tagging VLAN è estremamente
facile quindi è basato su eventi
molti esempi di linguaggio strettamente tipizzato
che abbiamo anche una sandbox così in sul
ampia org che si traduce in xik org come
bene e c’è in realtà una sandbox
ambiente è possibile creare script e
eseguirli lì non c’è nemmeno bisogno di
costruisci da solo se vuoi costruire
una sceneggiatura e provalo puoi persino
caricare i file pcap in esecuzione contro di noi
in quell’ambiente è un non lo fai
è necessario installare qualsiasi client in modo semplice
go bro dot org che puoi testare
il tuo codice personale ed ecco alcuni esempi
quindi questo è un sensore di luce di base che abbiamo
il meglio delle razze di questi probabilmente il
conosci i dieci migliori script più utili
che esistono là fuori e siamo preconfezionati
loro e li spediamo con il nostro elettrodomestico
facciamo anche un po ‘di controllo di sanità mentale
facciamo anche un po ‘di pulizia perché il
la comunità open source è fantastica ma è così
non garantisce la qualità che è uno di
quelle cose sai che qualcuno
chi ha scritto una sceneggiatura che è
effettivamente efficiente quindi ne abbiamo uno
quegli script nel momento in cui siamo
riscrittura perché abbiamo trovato le prestazioni
saggio Direi che non è scritto molto bene
quindi Seth Hall è uno dei principali
Gli sviluppatori di un bro ha attraversato questo uno
di questi script e ha detto che è in realtà
lo script di connessione lunga quindi è così
non proiettandolo veniva dallo scoperto
fonte che stiamo riscrivendo per fare solo
è più efficiente perché stiamo provando
per farlo a 40 gigabit al secondo
è come non è stato scritto
bene ma alcuni interessanti qui io
parlato di VLAN così SSL in scadenza
i certificati ricordano che si usa il caso I
parlato con quella Banca in Australia
beh piuttosto che farlo così orribile
processo di due settimane di presa del pacchetto
cattura immagina solo eseguendo una sceneggiatura
che ti dice oh dai tuoi testimoni
sono in scadenza entro 30 giorni sarebbe
sarebbe qualcosa di buono che tu sapessi
circa così puoi parlare con te
squadra dell’infrastruttura e questa qui il
registro di hash del malware così giusto
automaticamente solo guardando i file come
passano e vediamo tutti i file e
effettivamente confrontandoli con il malware
registri puoi farlo nel back-end
quindi in qualcosa di simile a te sai come si guida
può farlo con una cosa chiamata il
feed di intelligence che coprirò
oppure puoi farlo in base a uno script così
è piuttosto interessante e questo
ecco così strano nome ma viene
da Salesforce quindi salesforce.com S FTC
usano molto frequentemente dentro il loro
infrastruttura per la loro sicurezza
operazioni una delle sfide come
le cose si spostano su tls / ssl crittografato è se io
non posso vedere all’interno del traffico come faccio a
trova il malware come trovo il comando e
controlla come trovo le stranezze in questo modo
è un po ‘di ricerca che è stata fatta da
due come tre uomini che hanno tutti il
iniziali J a quando una delle possibilità è così
è per questo che si chiama J a tre così il
approccio è dare un’occhiata al TLS
avvio client il client ciao così
quando un client va a connettersi a un SSL
back-end il lato client pubblicizza il
cifre e un sacco di informazioni
in che modo è costruito da a
lo sviluppatore è molto diverso da cosa
Safari rispetto a Firefox rispetto
ad altri browser rispetto a diversi
agenti che usano TLS sono tutti in realtà
sono molto diversi in termini di
le intestazioni sembrano molto diverse che puoi
in realtà distillare tutte quelle intestazioni
abbattili con un carattere fino a 32 caratteri
hash che è chiamato un hash j-3 così
ora c’è un’iniziativa del settore e
se vai e prendi una statistica, lo farai
vedere tutti gli hash JRE per il bene noto
e noto male così cose come Metasploit
ecc se sono all’interno dei tuoi ambienti
usando ja3 puoi effettivamente abbinare e
lo trovo anche se è crittografato con SSL
questa è una cosa cattiva che puoi anche autorizzare
il tuo perché potresti esserti sviluppato
le tue cose in casa, così puoi
combatti per elencare le tue cose e dillo
è la mia roba proprio sulla base del hash JRE
quindi molto interessante e anche se tu
amo davvero SSL e TLS questo sopravvive
TLS 1.3 perché una delle cose in cui
T quello è 1.3 è che i certificati
loro stessi vengono crittografati
l’ SNI è in chiaro per quel che potrebbe
ottenere crittografato in futuro, quindi TOS 1.3
è ed è un interessante che pone
sfide per un sacco di cose sicure in
lo spazio di sicurezza ma j-3 perché il
Il client TLS ciao è prima di avviare TLS
è ancora estremamente prezioso e
utile ok 84 è il grado in modo sostanziale
correlare come adattarci a ciò che fa
che noi fondamentalmente diamo un
versione enterprise grade pronta all’uso
di Fr. interfaccia utente completa gestione completa scalabilità fino
a 40 gigabit al secondo temprato
un firewall unbox con cui non si può fare niente
la scatola perché come ho detto a proposito di bro
Conoscete questa responsabilità di
ricevendo tutto questo ricco di dati
hai inviato a un sensore che non vuoi
questo ti ha compromesso perché no
sarebbe un grande honeypot per le persone
essere in grado di accedere a tali dimensioni e sicurezza
e solo facile implementazione letteralmente
ogni venditore dice hey basta collegarlo
in e funziona ma ho fatto molto
piccolo viaggio negli otto mesi che
Sono stato correlato in Europa che ho
trasferito per l’Australia, spendo pochissimo
tempo sugli aerei, mandiamo solo cose a
persone e funziona così come ho detto il
squadra dietro bro open source sono tutti
dipendenti di correlazione e ciò che facciamo è
che in pratica restituiamo allo scoperto
comunità di origine così il 20% del loro tempo è
sviluppando per l’open source in realtà
avere due persone nello staff che abbiamo pienamente
pagato per correlato e loro sono giusti
open source non fanno nulla se non aprire
non ha niente a che fare con lo spot
lato delle cose quindi questo è come noi
continua a tenerti informato sull’avanzata del fratello
Zeke in open source e mantenere la
dall’altra parte delle cose, quindi come utilizzarle?
quindi dove ci adattiamo alla tua rete
infrastruttura quindi andiamo dietro qualche forma
di aggregatore di pacchetti in genere così
potrebbe essere un sacco di ghirlande Exia gigamon e
un sacco di altri Arista possiamo usare span
porte quindi se lo stai facendo
test su piccola scala è possibile fare uno specchio
la porta di un interruttore tende a non essere un grande
idea in produzione perché gli interruttori funzionano
estendere porte e specchi a bassa priorità
in modo tale da far cadere effettivamente i pacchetti sotto carico
ci sono se tu se mi prendi per
caffè ti dirò quali sono i veri
switch negativa che posso dire quale delle
quelli che sicuramente non vuoi fare
span ports così la maggior parte delle persone usa a
aggregatore di pacchetti e rubinetti per ottenere il
traffico e inviare
in noi quindi siamo parte di una pila che puoi
hanno ancora l’acquisizione di pacchetti in corso lì
ma in fondo ci hai praticamente preso
pacchetti e quindi inviarlo nel
back end quindi ovviamente ho fatto l’ umorismo
al logo più grande perché stiamo parlando
riguardo la demo degli umori oggi, ma tu puoi
hai conoscere più backend ora
interessante noi nella parte commerciale
correlazione abbiamo la possibilità di inviare
dati in più backend possiamo
effettivamente fare ciò che chiamiamo Fork e
avanti che dice che voglio inviare
alcuni dati nel mio sim che voglio inviare
alcuni di essi in un lago dati per macchina
apprendimento e c’è un interessante
progetto là fuori parlando di aperto
fonte chiamata Rita o ITA quindi cosa Rita
fa a prendere i tronchi delle frazioni Z per molto tempo
periodo di tempo quindi è necessario avere a
almeno una settimana almeno un mese e poi
in poi e fare analisi statistiche
alla ricerca di malware in cerca di comando
e controllo perché c’è un’idea di
beaconing quindi malware che si trovano sul tuo PC
deve avere un telefono occupato a casa
deve tornare al suo comando e
il controllo potrebbe essere solo detto di fare
qualcosa per scaricare un nuovo pacchetto per
inviare i dati che sono dati exfiltration
quindi puoi effettivamente usare statistiche
analisi su grandi set di dati da cercare
sai se sto vedendo regolarmente o molto
piccole connessioni o connessioni in corso
quindi molte connessioni vanno a un piccolo
cluster di indirizzi IP
è appena apparso che è qualcosa
anomalo quindi c’è un progetto chiamato
Rita e abbiamo un numero di clienti
che prende i dati ma li ha tirati dentro
Sim e anche tirato dentro Rita ci sono
altri motori di apprendimento automatico appresi
come il pattern X c’è Apache così
Apaches hiber cyber platform cyber ACP
e che fondamentalmente richiede grandi serie di dati
di dati Bro e utilizzerà la macchina
imparando sul suo modo di aumentare ciò che analisti
stanno facendo e poi importanti qui
è questo file estratto così abbiamo il
capacità di prendere ogni singolo file
vediamo così se arriva via email
Trasferimenti di file FTP SMTP in Microsoft
protocolli quindi abbiamo un parser completo per SMB
fino a SMB 3.1, che è l’ultima
versione possiamo estrarre ogni singolo file
e inserirlo nel framework di analisi dei file
quindi è qualcosa di simile a un malware
rilevamento malware sandboxing quindi non c’è
soluzioni open source come kuku
le loro pubblicità come il fuoco I
eccetera quindi la capacità di farlo a
alta velocità e alta scala quindi alcuni dei nostri
i clienti stanno estraendo 15.000 file e
ora e spingendolo in un malware
rilevamento e possiamo farlo al filo
velocità semplicemente facendo clic sulla casella sul nucleo
sensore di luce e puntandolo lì a destra
dimensionando avrai copia di questi mazzi
non tenterò di aggrapparti a questo punto così da ridimensionarti
può consumare un sensore di luce di base da te
conosci un piccolo bot poco virtuale VM giù
a 200 megabit al secondo fino a un
apparecchio che dice 25 concerti per
secondo sull’AP 3000 che sarà effettivamente
scala fino a 40 concerti con l’ hardware
offload quindi abbiamo NIC FPGA
mix di gate array programmabile in campo
che possiamo scaricare la logica e fare
alcune cose intelligenti quindi vedimi per un caffè
e ti parlerò di quella demo giusta
tempo quindi faccio una demo dal vivo o faccio a
demo registrata Sto pensando che finisco bene
quello che potrei fare compromessi su questo diritto
Va bene così ho registrato questo nel mio hotel
stanza prima non sapendo dove il Wi-Fi
oops Wi-Fi funzionerebbe in modo che il Wi-Fi funzioni
quindi inizierò con uno registrato
perché altrimenti finirò un po ‘come
hopping via alle tastiere che è giusto
Non conosco l’uomo dietro la tenda
lo sai e giusto così la demo
stiamo facendo è uno dei nostri punteggi demo
come i sistemi demo, quindi questo non è il nostro
rete di produzione perché questo è male
roba quindi quello che abbiamo fatto è che abbiamo usato
Generatori di traffico Exia prendiamo ciò che voi
conosci noti pcaps cattivi quindi cattura la bandiera
esercizi che fondamentalmente conosci
il malware ecc e noi diamo da mangiare che, attraverso
un sensore e lo spingiamo in un umano e
un’istanza del motore quindi lasciami andare
quindi amo questo amo il Hume che hai avuto
per iniziare con che avrei potuto avrei potuto
lasciato quel po ‘fuori ma io faccio amore
quell’accesso così Creston il CTO è seduto
lassù non me ne libererò mai per favore
Mi piace così tanto, quello che stiamo facendo
qui è stato solo dando un’occhiata a questo
sensore particolare e ne abbiamo molti
registra, quindi filtreremo e diremo
okay gruppo di
percorso che si basa su nomi lunghi e
poi vediamo che c’è un sacco di
registra come DNS perché stiamo guardando
tutto quel traffico ed estraendo cervi
lumache quindi non c’è niente che provenga da così
questo è l’uomo che conosci dietro
Sipario non c’è nessuno, tu sai l’ inganno
Qui
non c’è nessun registro di firewall registri di endpoint
questo è tutto proveniente dalla luce principale
sensore sai che stai guardando il filo
dati e generazione di registri okay così
è successo qualcosa di brutto, quindi sono affari miei
dock dock il mio end point sui miei ID ha detto
qualcosa di brutto è successo qui così io
dai un’occhiata ai miei registri e vedo che va bene
Intel quindi Intel è l’intelligenza
quadro in modo che possiamo effettivamente prendere in
si nutre di cose come CrowdStrike
a guardare male conosci noti URL cattivi
noti indirizzi IP errati md5 hash j3 così
quello che stiamo vedendo qui è che noi
in realtà noi stessi sul sensore abbiamo
segnalato e detto che il mio bacino di lavoro è cattivo
dominio quindi non ha bisogno di venire solo da
Gli ID ci sono anche noi in pratica
questo così nel tuo back end come il tuo essere umano
motore in genere avresti un avviso
che dice se qualcosa appare nel
intel log dimmelo
perché non va bene così come ho detto
c’è un numero di feed intel che noi
può prendere open source gratuito disponibile e
cose come colpo di credito eccetera così
questo particolare utente odiava il CDP che erano
scaricando alcune cose e c’è f7
gif ed è stato rilevato come un
eseguibile ora un file gif che è un
eseguibile non è qualcosa di buono così e
dal modo in cui lo rileviamo come un
eseguibile guardando i pacchetti noi
non guardare solo il tipo di mimo, così noi
questa cosa ha scaricato f7 dot gif e
quello che farò è dare un’occhiata a
quello che viene chiamato UID è l’ID univoco
in realtà cuciamo ogni singolo pezzo
connessione insieme perché dire per a
la transazione web contiene le ricerche DNS
ci sono più connessioni HTTP
tira giù le cose così le raggruppiamo
insieme sotto un UID, quindi sto cercando
l’UID e sto guardando effettivamente il
blog di connessione in modo che il log di registrazione è molto
interessante perché è un po ‘come
NetFlow su steroidi mi dice tutto
su quella connessione attraverso il
flusso da te sai iniziare alla fine in termini
di tracciare lo stato della connessione TCP in modo TCP
stato della connessione e la storia di
stato di connessione e se saltiamo su
perché divertente so che sta per
succederà dopo perché l’ho registrato
prima e guardate il Browse
documentazione di eke
ti dicono che ti parlerà di te
conoscere i flag TCP
quindi s0 è importante farlo come demo
più tardi viene inviato TCP syn e la loro risposta
indietro in modo che di solito è un indicatore di
scansione e quindi questo campo cronologico
ci permette di guardare cose come per
prestazioni in realtà non solo sicurezza I
può tenere traccia di una connessione vedere se sto vedendo
un sacco di TCP finestra 0 che significa un server
è troppo occupato in modo che tu possa averne un po ‘
molto dettagliato non solo dati di sicurezza voi
può effettivamente usare questo per le prestazioni
e per la risoluzione dei problemi quindi
conversazione che ho avuto questa mattina con
la regione meridionale della Danimarca ha detto che lo sai
questo è parte di ciò che stiamo facendo
utilizzando effettivamente questi dati di rete con
le squadre ops e le squadre di sicurezza
quindi la f7 che gif l’ abbiamo analizzata
file e in realtà abbiamo generato MD5
hash più una condivisione a 5/6 e sha-1 quindi
se prendo uno sguardo a quel file e la mia
la digitazione non era così eccezionale perché io
non ho avuto il caffè e me ne vado
pompato in virustotal
dirà oh che non sembra molto bello
lo fa
quindi abbiamo abbinato e quello era dove anche
estraendolo in un’estrazione di file
quadro che era proprio quello che facciamo
volare sempre con ogni singolo
file che vediamo generiamo questi md5
hash per ogni file se usi il
gli script di cui ho parlato possiamo
scoprire se è il malware che possiamo anche
rileva il back – end nel tuo motore Hulme
giusto così è successo qualcosa di brutto come me
detto così che il file è cattivo ora lasciami prendere
uno sguardo a cosa sta succedendo con quello
cliente così ok diamo un’occhiata a ciò che il DNS
ricerche che quel cliente sta facendo così se
stavi prestando attenzione era il punto 53
con l’indirizzo IP, quindi sto dicendo
OK percorso DNS e guarda l’IP sorgente
indirizzo di 53 e quindi raggruppiamolo per
la query perché quello che stiamo cercando
è indicazioni di exfiltrazione DNS così
Il DNS è spesso usato per filtrare i dati
malware per rimandarlo così se io
fondamentalmente sai qualcosa che vedo
roba di Windows standard Facebook ma verso il basso
il fondo è di proprietà se così sai
quegli svedesi mmm comunque così che lo faranno
fondamentalmente mostra di conoscere DNS x4
Trazione in modo che ho visto quello da quello
client, quindi nessun malware ne colpisce raramente uno
single si ottiene una workstation è
di solito colpisce gli altri, quindi cerchiamo
movimento laterale quindi ne abbiamo parlato
s zero, quindi cerchiamo quel client
cercando di connettersi ad altri host perché
Ho detto che il malware in genere farà così cosa
Sto dicendo che mi mostra tutte le connessioni
con s 0 in modo che significa un syn TCP inviato
ma nulla rimandato e raggrupparli
ID di origine e verranno ordinati in base alle tue esigenze
vedere il punto 53 è lì ma hey c’è un
un sacco di altri là così 54 1
a 8 stanno facendo anche molto laterale
movimento quindi significa che ho un problema
ma non è solo una workstation che ho
abbiamo quattro o cinque anni, dobbiamo dare un’occhiata
diamo un’occhiata alla exfiltrazione DNS
in tutto l’ ambiente, quindi questo è
una corda più lunga, quindi l’ho semplicemente infilato
una query salvata e dice mostrami tutto
Query DNS che sono molto bene fondamentalmente
basta solo raggrupparli perché la query DNS
dovrebbe essere davvero di circa 60 caratteri o
meno così il tipo di query DNS che sono
vedere è un intero gruppo di non leggibili
e poi è che posso vedere che è a
almeno due indirizzi e quel punto 30 quello
10.30 Non l’avevo visto prima, quindi è così
un po ‘di cattiveria lì che mostra che ho
è successo un esfiltrazione di Dinah
quindi andiamo a saltare ai cruscotti in a
minuto okay in modo che il file Intel che io
parlato di e j-3 quindi se cerco su
il file Intel e dico mi mostra
qualcosa che corrisponde a j-3 quindi un successo
su j-3 ne ho trovate alcune in parte cattive
segnato cattivo Joffre quindi basta accenderlo
Formato JSON e vedrai che c’è
quella impronta digitale a 32 caratteri JA
che è stato abbinato a causa di Intel
feed che sta andando nel mio sensore
e posso quindi usarlo per sapere l’uso
un numero di diversi database come
abusare di CH che posso ottenere, okay
cruscotti Mettiamoci al cruscotto presto
va bene
quindi abbiamo costruito in Hulme voi
cruscotto utile quindi non devi
fai solo le domande quindi abbiamo parlato di DNS
così in alto a destra conta per
non esistenza se vedo un sacco di DNS
andare in posti insoliti che sta per
essere un indicatore per me che c’è
qualcosa forse male dentro la mia
ambiente guardando HTTP, quindi facciamolo
guarda quali Haiti gli agenti, quindi cosa
browser e conosco il mio ambiente se io
sappi che ho una miscela standard di
user agent e sto vedendo alcuni rari
agenti insoliti che forse ho
alcuni malware potrebbe essere lo sai
è solo qualcosa che non sapevo
su questo è legittimo, ma consente
a me solo da una visualizzazione dashboard a
arrivare a queste informazioni Intel
struttura
quindi di nuovo parlami di a
le visualizzazioni della dashboard che sto ottenendo
contro quelle quelle intelligenze
framework o malware alimenta IP non valido
indirizzi noti hash D5 cattiva cielo
noto male jj3 ah e questo caso d’uso qui
veniamo al sì X.509 così sir Tex ardente
e soggetti rari quindi se stai vedendo
certificati x.509 insoliti che spesso
sottolinea il fatto che tu hai
malware che utilizza fondamentalmente il comando
e controllo all’interno di tls / ssl crittografato
traffico e questo è solo attraverso a
visualizzazione dashboard ora non andare in
tutta la segnalazione ma la segnalazione è molto
importante perché con motore humo e
altri puoi creare avvisi che dicono se
mi ha mandato qualcosa di insolito
un avviso in diversi modi interessanti
quindi Helio ti permette di fare cose del genere
integrazione del canale lento, così è possibile
avere un canale lento che AB AC spinge
alcune cose giù in per dire a voi
squadra di sicurezza devi andare a dare un’occhiata
a questo puoi anche fare integrazione con
sai come i motori di orchestrazione
fantasma per esempio potresti dire se io
sto vedendo il traffico DNS
sembra l’ exfiltrazione DNS che voglio
cambia la mia regola del firewall sul mio Palo Alto
firewall in modo che blocchi quel traffico
da quello da quel cliente, quindi puoi farlo
un sacco di integrazione interessante con
con il back end con allarmi sono solo
guardando il tempo che posso posso saltarne addosso
altri demo ma lasciami solo lasciarmi solo
Penso che le domande e le risposte siano
probabilmente è bello che tu abbia il tempo di annuire
con me in otto minuti va bene così
sono appena tornato a parlare dell’open
comunità di origine e come continuiamo a
sostenere l’Apollo era quello
utile sì ok bene e così di supporto
la comunità open source e c’è a
Workshop di Zeke se per quelli nel
pubblico che effettivamente usa bro / a Zeke
o considerando la distribuzione e all’interno del tuo
ambiente questo sta accadendo in aprile
2000 e 19 e io sono sicuramente
interessato perché è al CERN e tu
arrivare a fare un giro per un tour del Grande
Hadron Collider è il tipo di a
bonus per presentarsi al workshop di Zeke
nell’Aprile 2000 e 19 e siamo ovviamente
fornendo supporto finanziario per questo aperto
fonte di iniziativa e domande e
risposte se le hai digitate
tu, Nina, l’hai presa, grazie
Diamo prima una mano
tu
grazie mille per essere venuto a questo
sessione oggi mi chiamo Damian Murphy
dalla luce principale parleremo oggi
su un’area che Gartner chiamava NT a
analisi del traffico di rete quindi an
interessante area di sicurezza informatica che è
molto a ribalta, ma in realtà
c’è molta storia dietro il
soluzioni di cui parlerò oggi
Sono domanda per il pubblico ha
qualcuno ha sentito parlare di fratello prima del fratello
sicurezza Milnor traghetti va bene ok su
due persone tra il pubblico concordano sul fatto che è
bene non te lo dirò molto
roba noiosa quindi se questo è nuovo
tutti che è buono e così il
storia interessante dietro bro quindi dal
i nomi davvero terribili sono davvero scusanti
il nome bro è stato cambiato da
comitato di Zeke così vedrai un sacco
di essere rinominato come Zeke, ma lo è
conosciuto negli ultimi 23 anni come fratello e
la ragione per cui si chiamava bro era perché
il nostro fondatore o il fondatore del
soluzione bro pack felce e un dr. Vernon
Paxton è in realtà basato su Big
Fratello così nel 1984 e il fratello maggiore è
guardando così con te conosci il massimo potere
viene la responsabilità ultima quindi
fondamentalmente il messaggio è che se puoi
guarda tutto il traffico su una rete tu
dobbiamo essere il bravo ragazzo così fortunatamente noi
sono i bravi ragazzi così è iniziato
nel 1995 e nei laboratori di Lawrence Berkeley
quindi c’era un certo numero di persone tipo di
bei ragazzi appesi là e così se
hai mai sentito parlare di Van Jacobson lui è
il Padrino di TCP quindi la ragione per cui
guardando Netflix o YouTube in Internet
non implode è perché una congestione
il controllo è stato portato in TCP
da van Jacob team del sud così lui Vern
Paxson e un altro signore chiamato dr.
Stephen McCann siamo tutti in giro
insieme nei laboratori di Lawrence Berkeley
negli anni ’90 il dott. Steve McCann se ne andò e
ha creato una cosa chiamata cattura pacchetti
Dump TCP di cui sono sicuro alcune persone qui
avremmo sentito parlare di quale poi gentile
continuò a diventare Wireshark così lui era
guardando i pacchetti molto in giro
analisi di rete
capire le prestazioni dei problemi
problemi che visualizzano le ripercussioni sulla
tuttavia lo stavo guardando da una lattina
utilizzare tutti quei dati a pacchetto e in effetti fare
analisi di sicurezza e la ragione per cui
stava guardando questo lo sai
la sicurezza informatica non è una grande cosa in sé
di nuovo nel millenovecentonovantacinque, ma è così
scopre che LBL era in realtà un
obiettivo enorme per il furto di IP perché
LBL piace molte università
ricerca del settore c’è in realtà a
cento premi Nobel quello della scienza
premio che è stato assegnato alle persone
a LBL per la ricerca in modo che tali dati siano
dati ricchi per gli attaccanti da provare e e
prendi così Verne Paxson stava costruendo un
soluzione per poter guardare i dati dei fili
analizzarlo genera log di sicurezza e
anche una coordinata molto interessante che
è M scripting ed essere in grado di fare un po ‘
alcune cose interessanti quindi questi prodotti
è una specie di nuovo in realtà
in giro per ventitré anni così e
è un progetto open source quindi sotto BSD
licenza così liberamente disponibile l’open
fonte tramite github molti clienti
correndo e ti racconterò alcune storie
sui clienti che eseguono open source Pro
e poi l’altro lato di esso è il
lato commerciale quindi lavoro per un’azienda
chiamato correlato in realtà ha ottenuto tutto
dei fondatori che hanno costruito open-source
bro tutti i principali contributori sono
correlare dipendenti e noi in realtà
supportare il progetto open source e lo farò
ne parliamo tra un minuto
quindi penso che tutti noi sappiamo che il
l’attuale amministrazione statunitense non è così giù
con la scienza direi così il
finanziamento tradizionale per il progetto
provengono dalla National Science
Fondazione così è stata la NSF negli Stati Uniti
sostenendo fin dagli anni ’90 il
sviluppo di Bro la ragione è stata
critico per la sicurezza informatica per gli Stati Uniti
governo
quindi per agenzie come il Dipartimento di
Energia che non è coinvolta in
in realtà generando un infortunio se loro
prendersi cura di una scorta nucleare negli Stati Uniti
quindi è un po ‘importante per gli Stati Uniti
il sistema di controllo dei comandi non viene preso in carico
da attori stranieri così bro è stato un nucleo
parte di questo è così interessante nel 2016
2017 la presentazione del budget da NSF al
al Congresso numero uno elemento pubblicitario
il numero uno in cima alla classifica è stato il finanziamento continuato
per il fratello numero due era la ricerca
onde gravitazionali quindi è visto come
abbastanza importante comunque il finanziamento ha
secco
non ci sono più finanziamenti governativi per
fratello, quindi correliamo il lato commerciale
di una versione aziendale di uova noi
supportare la comunità open source e
continua a farlo quindi sorge una domanda
a volte sei tu
sai che i cattivi cittadini aziendali sei tu
svilupperò solo cose che andranno a finire
la versione Enterprise e non la versione
torna in github No, quindi tutto
che facciamo e che i nostri ragazzi stanno sviluppando
ragazzi e ragazze che si stanno sviluppando
rilasciato nuovamente nell’open-source
comunità e poi la parte commerciale
è per le grandi organizzazioni che non lo fanno
voglio affrontare il mal di testa di
implementazione di open source Pro e
ovviamente dovrò venire a quello
così in una storia molti clienti così io
pensa che due o tre mani dicessero loro
erano a conoscenza del fratello molto grande nel
comunità di ricerca e di grandi dimensioni
organizzazioni come Amazon e altri
gestiscono l’ open source bro un certo numero di
sono core commerciali come i clienti
Non posso nominarli per nome ma otto di
le 50 aziende della fortuna sono in realtà
come clienti da cui sono passati
open source across across a commerciale
implementazione di bro / Zeke
un cliente locale interessante è il
regione meridionale della Danimarca e sono
fare il fratello a livello che stavo davvero avendo
una chiacchierata con il gentiluomo che si prende cura di lui
questa distribuzione
ha 616 core del processore in esecuzione
fratello sta generando tra 50 e 70
terabyte nut gigs terabyte di dati
Parlerò del suo quotidiano al giorno
e spingendolo in una soluzione che è
il motore omerale che sta per essere
dimostrando così in un back-end così hanno
circa 30.000 utenti stanno prendendo il
dati cablati da grandi ospedali
strutture psichiatriche che guardano a tutti
quel traffico che va verso est-ovest e
Nord-Sud alla ricerca di malware in cerca
per attacchi di phishing alla ricerca di dati
Esfiltrazione quindi tutte le cose buone che sono
andando a parlare e fare una demo su e
questo è stato fatto su scala così questo da
il modo in cui si fa riferimento a chi
questi clienti provengono dal
la comunità open source così hanno detto
c’è un uso D chiamato rotto grazie
perché quel nome sta andando via
Zeke so zeke week la prossima settimana del prossimo anno
farà freddo queste sono le aziende
sì, è bello perché Zeke ti fa sapere
è tutto bello per le cose che possiamo
fare con quel nome cerca bene come fa lui
provengono da cercare i professionisti la ragione
è tornato dagli anni ’90 l’utente I
i sotto eunuchi che sono stati effettivamente eseguiti
quello che gestiva il broke bro era Pro Sissies
in realtà chiamato Zeke a causa di Zeke e
lo scoprirai , questo è tutto dal
Zeke taglio su bro mailing list e per
rotto su queste sono persone di cui parlare
il loro uso di bro e quindi non sono io
condividere tutto ciò che non sono supposto
a che fare con te e penso che siamo tutti
consapevole che il panorama delle minacce è giusto
peggiorando Voglio dire, se si ascolta
podcast uno particolarmente divertente che io
come è business rischioso che è un
Australiana blog di podcast e va
attraverso la violazione della settimana e sì noi
vivere in tempi molto pericolosi così è
importante per costruire una sicurezza moderna
impilare se si è qualcuno che ha avuto alcun
IP perché ti stanno inseguendo
sia che si tratti di criminali o sia
attori statali è solo un brutto 8 lì e
prima di entrare in correlazione avevo solo no
idea quanto dovrei essere paranoico e ora
Sono adeguatamente paranoico perché è cattivo
là fuori penso che ne siamo tutti consapevoli
così quando guardiamo al tradizionale
stack di sicurezza quindi cosa hanno le persone
un sacco di sistemi di ID firewall costruiti così
roba è stata costruita per proteggere il
perimetro di un’organizzazione e loro
tutti generano registri che è fantastico perché
hai tutti questi dati di registro così miei
sicurezza endpoint miei firewall i miei ID
generano tutti i log e poi tiri
li in un back-end e quello
potrei fare una demo con humo
motore una società danese o tecnologia impressionante
ci sono altri venditori là fuori come
Alce Splunk ed elastico eccetera quindi tanto
di tronchi che vengono trascinati in grandi laghi
così in un peccato più vedere più diverso
colora il problema è che non c’è
molto contesto ci sono molti dati ma
è davvero difficile trovare così il tipo di
i dati che riceviamo dai clienti e il loro come
a lungo ci vuole quando hai una breccia
o hai una sospetta violazione che hai
ho visto qualcosa di insolito, quindi il tuo endpoint
ha lanciato un’allerta che qualcuno ha detto
è stato qualcosa il mio sistema di identificazione
ha contrassegnato qualcosa per quanto tempo lo fa
prendere per capire davvero se tu
sono stati violati, probabilmente
hai e quanto è grave, quindi sai come
diffuso è il malware e la violazione
e il numero tipico che otteniamo è
sono circa tre o quattro
per ore che ci vuole per passare
tutti questi registri diversi che significa
quello per l’ analista della sicurezza è un
il dolore assoluto in faccia è giusto
lavoro davvero tedioso non sarebbe
meglio che non saremo grandi se noi
potrebbe fare qualcosa di meglio e questo è
parlaci così tanto o Z è un
tecnologia di sniffing dei pacchetti che al filo
velocità questa è una cosa fantastica al filo
la velocità guarda ogni singolo pacchetto a
apparecchio a nucleo chiuso fino a dire 40
gigabit al secondo su un singolo
appliance e quindi generiamo sicurezza
metadati quindi guardiamo davvero tutti
singola transazione guardiamo tutti
pacchetto singolo quindi non lo facciamo per esempio
basta guardare la porta 80 o la porta 443 e dire
questo è l’HTTP che è SSL in effetti
a questo non importa quale numero di porta è acceso
così roba che è in realtà mascherata
all’interno spesso comando-e-controllo da
il malware è crittografato con SSL crittografato con TLS
nascondendo e qualcos’altro in realtà
guarda ogni singolo pacchetto fare in profondità
analisi dei pacchetti su ogni singolo pacchetto
su wireline e quindi generare log e
ragazzo, noi generiamo registri sai che è così
Da 50 a 70 terabyte di dati al giorno
stiamo spingendo in un back-end è ricco
dati ora che sono diventati insignificanti
rispetto alla cattura dei pacchetti quindi parlerò
a proposito di ciò in un minuto come si confronta
per l’acquisizione di pacchetti, quindi ne abbiamo 50
analizzatori di protocollo che funzionano su ogni bit
del traffico che vediamo e generiamo
registra e li spinge indietro nel
nel back-end e come ho detto che
il back-end potrebbe essere un sim che potrebbe anche essere
un lago dati e applicando la macchina
imparando che è una vasta area che potremmo essere
qui per ore e ore a parlare
la capacità di apprendimento automatico per
la sicurezza è applicabile in alcuni posti
e non negli altri ma ce ne sono alcuni
cose abbastanza interessanti che le persone sono
fare con un più ampio apprendimento automatico di dati
e analisi statistica quindi il risultato
di distribuzione
Il disagio nel tuo ambiente lo sta facendo
venti volte più veloce nella risposta immediata
quindi ci sono due cose in sicurezza dice
risposta immediata questo è dove se
succede qualcosa di brutto sai qualcosa
è successo male e devi capire
fuori sai cosa è successo chi è
infetto come lo aggiusto e c’è
la caccia alle minacce e la caccia alle minacce è un
esercitare le squadre di sicurezza su un
base regolare che è fondamentalmente guardare
attraverso i dati che hai e
cercare anomalie quindi non aspettare
qualcosa di brutto un indicatore di un dio del CIO
ameremmo i nostri acronimi, non noi venditori
e e ma questo è il termine del settore così
in decadimento
compromesso quindi non aspettarlo
effettivamente dare un’occhiata al tuo ambiente
e cercare anomalie perché una volta
capisci il tuo ambiente che puoi vedere
qualcosa che sembra strano quindi un
esempio è per la regione del sud
Danimarca parlano bene se noi
basta dare un’occhiata ai modelli di traffico e
se inizio a vedere un’infermiera psichiatrica
accedere a un sistema di gestione stipendi che è
qualcosa di strano sta succedendo ora
non essere malware in realtà potrebbe essere solo
cattivo intento di qualcuno o potrebbe essere
solo qualcuno a fare qualcosa per
Incidente quindi essere in grado di ottenere effettivamente
che i dati ti permettono di fare entrambi gli incidenti
risposta e minaccia alla caccia e giusto
renderlo più veloce per i team di sicurezza
la rimozione dei falsi positivi è fondamentalmente
il nostro set di strumenti è qui per questo è così
il tipo di classico cosa succede quando un
Gli ID avvisano gli incendi quindi stai correndo
qualcosa come snort o sir kata o
fonte di fuoco in modo da sapere inserire preferito
piattaforma di idee qui in modo da ottenere un avviso
come faccio a capire cosa sta succedendo
o potrebbe essere il mio malware malware sul mio
punto finale in modo che potessi essere in silenzio
o un altro IDI o così ricevi un avviso come
analista, dove vado, quindi inizio prego
guardando i registri del firewall lo seguo
modello che forse attraverso il web server
registri poi vado e dico hey che ho
acquisizione di pacchetti perché parte del mio
stack di sicurezza era il migliore
il modo di guardare alla sicurezza è vicino
catturare ogni singolo pacchetto e
scrivendolo su disco suggerimento che non è il
diritto di emettere le cose mi è venuto da un
pacchetto che cattura lo sfondo e se tu
negozio 80 dare quattro secondi di
larghezza di banda così otto concerti e tu provi e
memorizzalo sul disco che otterrai
sette giorni se hai un letto, se lo hai
ottenuto 1,2 petabyte di storage che è un
sacco di spazio di archiviazione cercando di cercare che fare
qualsiasi cosa con esso è completamente inutile
e darò uno scenario più tardi che ero
lavorare con una grande banca in Australia
nella mia vita precedente hanno detto che ce l’abbiamo
un problema con i certificati x.509 così
certificati in scadenza e anche
certificati con Shou su hash abbiamo solo
non ne so abbastanza dei nostri certificati SSL
sono stati schierati per sempre
migliaia di certs e io ero coinvolto a
progetto che abbiamo usato per catturare pacchetti
e prova ad analizzare che ora ha funzionato
ma ci sono volute due settimane di professionisti
servizi per andare a prendere le catture di pacchetti
prendi pacchi di loro di corsa
squalo del tè che è il comando wireshark
linea e farlo in un processo batch
Questo non è un sacco di divertimento tipo di
noioso quindi cosa facciamo con il fratello
tecnologia e come ho detto correlare noi
ho una versione commerciale parlerò
su questo un po ‘ ce la facciamo
più veloce per la risposta immediata che ti diamo
un set di strumenti per essere in grado di cercare
indicatori di compromesso
comando e controllo cercano malware
all’interno di SSL e TLS perché questo è uno
la domanda che emerge molto è cosa
sul fatto che tu sappia con
il traffico verso SSL e TLS
perdere perdi visibilità e il
la risposta è duplice, in realtà andiamo alla grande
visibilità dal fratello Zeke su x.509
certificati e ce ne sono molti
cose interessanti che possiamo fare e
Parlerò di una cosa chiamata vaso 3
che è il fingerprinting dei client TLS TLS
e in che modo si inserisce così sostanzialmente noi
dare un set di strumenti che consente l’istante
squadre di sicurezza dei soccorritori da fare
il loro lavoro è più facile, quindi questo è un
slide interessante da un’organizzazione
chiamato difesa della rete applicata ne sono sicuro
molti di voi hanno sentito parlare di SANS Institute
chi fa formazione sulla sicurezza quindi SANS
Istituto di cui parlano molto spesso
utilizzando bro per la caccia alle minacce in caso di incidente
Risposta interessante per l’esercito americano
quando fanno squadra rossa e squadra blu
esercizi che usano effettivamente bro per il
squadra blu quindi c’è il nostro se si prende un
guarda il rotto del 2017 c’è abbastanza
una buona presentazione dall’esercito americano
su come effettivamente fanno il loro così il
La NSA va contro i cadetti di altri
agenzie e fare Red Team Blue Team e
quando i team usano il bro , in realtà lo fanno
devo usare le cose più segrete per
prova e continua a violare in modo che sia così
Ho detto che è molto diffuso e questo è un
marcatura in volo Difesa di rete così
Chris Sanders ha parlato di votarti
conosci da A a B a C come il tuo lo sai
Gli esami universitari quindi sono assolutamente
la grande F non lo è e parla con il
diverse fonti di dati così hai
flusso netto flusso in modo netto è veramente facile da
ottenere da router o Reuters e se tu
chiamali dagli switch dei firewall
quindi informazioni sul traffico molto leggere
il problema è che non ha alcuna profondità
non ha informazioni sul livello 7 che ha
pochissimo contesto dall’altra parte di
le cose di cui ho parlato erano il pacchetto
acquisire così grandi quantità di dati
andando su disco costoso davvero difficile
lavorare con sì ha tutti i dati
quindi se vuoi diventare molto forense
c’è un posto in sicurezza ci stack
non dire che quella pcap non lo è
importante ma i nostri clienti che hanno
sorella dispiegata è venuta da a
gentiluomo da uno dei grandi globale
compagnie petrolifere con sede ad Amsterdam e lui
ho detto che non ho toccato la mia cattura di pacchetti
in sei mesi ha detto che arrivano tutti i miei dati
dall’ID apparecchio nucleo e la
burroughs lampeggiano i dati di Zeke in modo tale che la valutazione
lì vedrai che il fratello è valutato come un
AAA
e poi C per l’ acquisizione
l’acquisizione è fondamentalmente la difficoltà
è costruirlo per mantenerlo
prova a ridimensionarlo a multi gigabit per
la seconda e la patch ecc. la risposta è questa
è abbastanza difficile ora se sei Amazon
e tu sei abituato a costruire server
mantenendo grandi flotte migliaia di
istanze orchestrazione ecc
sapere che il robode open source va bene per te
ma molte grandi aziende hanno appena
non voglio fare questo, ecco perché il
la valutazione dice che C e noi sono correlati
il lato commerciale un lato aziendale
di Bro Zeke ti permettiamo di farlo
fondamentalmente ha un apparecchio chiavi in mano che
si collega e si ottiene tutto questo gustoso
bontà un paio di commenti lì quindi a
collega irlandese uomo lato sinistro Connor
potere così lui è uno dei cavi di sicurezza
su Amazon e ne fanno largo uso
bro dati all’interno del loro ambiente e lui
parla di avere effettivamente una coppia
di ottime presentazioni sul nostro
Canale YouTube , quindi se dai un’occhiata
bro e YouTube lo troverai lì
stat è che li hanno portati oltre i 18 anni
mesi per costruire
conosci la versione 1 e ne prendi un’altra
X mesi per costruire la versione 2 di loro
stack per provare e scalare un apparecchio così
fanno tutto il duro lavoro che sai
Amazon può permettersi di fare bugie fondamentali
solo per le persone che vogliono questo tipo di
dati ti abbiamo appena dato una soluzione
puoi collegarti molto alla tua rete
facilmente e così a destra ho parlato a
un po ‘su hey facciamo solo cose
più veloce per chi interviene di sicurezza delle
numero qui in realtà 100x più piccolo di
pcap che è in realtà
non è vero ciò che è più alto, quindi perché uno
la domanda è quando voglio ridimensionare un
implementazione di bro / correlato
sensori ho questa quantità di
larghezza di banda in cui sono entrato e
Sto praticamente annusando e quanto sono grandi
i log che entrano nel backend così come
ho dimensionato il mio back-end come faccio a ridimensionare
humne o come faccio a taglia alce eccetera e
la statistica effettiva è che è circa 200 x
quindi praticamente prendi qualunque cosa
il tasso di ingerimento è e tu sostanzialmente riduci
giù di uno 200 in un sacco di
gli ambienti sono in realtà 1 400 ora uno
delle cose interessanti che possiamo fare con
il sensore di luce di base non puoi farlo
bro open source ma la luce principale
il sensore è che puoi entrare senza
puoi anche connetterti al tuo back-end
basta rilasciarlo genererà i registri
e ho potuto darà tutte le volumi di registrazione
nell’interfaccia utente, quindi puoi dire che io la penso
bisogno di questi dati nel mio ambiente come
ho bisogno di ridimensionare il mio back-end di registrazione
ne ho abbastanza in termini di licenze
o I ops etc etc che possono farlo da solo
far cadere un apparecchio in modo che questo sia un
un po ‘di nerd, quindi sto solo andando
parlare brevemente di questo così fuori dal mondo
scatola
il bro fa scivolare l’eek all’interno di un sensore di qualità
genera questi 50 log ora che è il
esperienza immediata, l’altra parte
di questo i 25 anni di sviluppo
di bro e la comunità open source è
che ci sono molte persone là fuori
usando questo lato della programmazione
linguaggio quindi è un sistema basato su eventi
che ti permette di fare cose oltre a cosa
facciamo con i registri standard che sono
generazione di parser di protocollo si può anche
costruisci il tuo parser di protocollo quindi se tu
sono davvero hardcore e in effetti
universo è una regione di SIL e
La Danimarca sta costruendo un parser DICOM
perché fanno un sacco di imaging medico
che stanno inviando in giro che vogliono
essere in grado di ottenere ulteriori metadati su
DICOM imaging in modo da poter costruire il tuo
parser di protocollo abbiamo persino una lingua
una cosa chiamata bin pack che si sta muovendo
attraverso a una cosa chiamata piccante che solo
rende un po ‘ più facile fare tutto questo
roba di nuovo se vuoi tutti quelli
dettagli approfonditi coperti in rotto su I’m
non arriverò alla demo in un paio di
minuti quindi il linguaggio di programmazione è così
ti permette di fare qualcosa di simile così
fondamentalmente tag le informazioni VLAN nel
registra un caso d’uso per questo ne abbiamo uno
governare il dipartimento negli Stati Uniti e
in realtà volevano tutti i log loro
voglio essere in grado di vedere quale sensazione e
associato a ciascun singolo IP
indirizzo e utenti che in realtà non lo faranno
avere informazioni VLAN perché hanno
un sacco di segregazione di VLAN per
motivi di sicurezza quindi quando un analista
guarda un registro all’interno del backend
non voglio assolutamente saltare da
qui a qui una delle grandi cose in
il mondo della risposta alla sicurezza è il
sedia girevole da cui devi andare
un sistema a un altro sistema a un altro
dati così arricchenti e avere tanto
possibile di dati in un luogo che
lo guardi è molto importante quindi questo
è lo script ci sono altre righe
ma non è esteso il copione
in realtà il tagging VLAN è estremamente
facile quindi è basato su eventi
molti esempi di linguaggio strettamente tipizzato
che abbiamo anche una sandbox così in sul
ampia org che si traduce in xik org come
bene e c’è in realtà una sandbox
ambiente è possibile creare script e
eseguirli lì non c’è nemmeno bisogno di
costruisci da solo se vuoi costruire
una sceneggiatura e provalo puoi persino
caricare i file pcap in esecuzione contro di noi
in quell’ambiente è un non lo fai
è necessario installare qualsiasi client in modo semplice
go bro dot org che puoi testare
il tuo codice personale ed ecco alcuni esempi
quindi questo è un sensore di luce di base che abbiamo
il meglio delle razze di questi probabilmente il
conosci i dieci migliori script più utili
che esistono là fuori e siamo preconfezionati
loro e li spediamo con il nostro elettrodomestico
facciamo anche un po ‘di controllo di sanità mentale
facciamo anche un po ‘di pulizia perché il
la comunità open source è fantastica ma è così
non garantisce la qualità che è uno di
quelle cose sai che qualcuno
chi ha scritto una sceneggiatura che è
effettivamente efficiente quindi ne abbiamo uno
quegli script nel momento in cui siamo
riscrittura perché abbiamo trovato le prestazioni
saggio Direi che non è scritto molto bene
quindi Seth Hall è uno dei principali
Gli sviluppatori di un bro ha attraversato questo uno
di questi script e ha detto che è in realtà
lo script di connessione lunga quindi è così
non proiettandolo veniva dallo scoperto
fonte che stiamo riscrivendo per fare solo
è più efficiente perché stiamo provando
per farlo a 40 gigabit al secondo
è come non è stato scritto
bene ma alcuni interessanti qui io
parlato di VLAN così SSL in scadenza
i certificati ricordano che si usa il caso I
parlato con quella Banca in Australia
beh piuttosto che farlo così orribile
processo di due settimane di presa del pacchetto
cattura immagina solo eseguendo una sceneggiatura
che ti dice oh dai tuoi testimoni
sono in scadenza entro 30 giorni sarebbe
sarebbe qualcosa di buono che tu sapessi
circa così puoi parlare con te
squadra dell’infrastruttura e questa qui il
registro di hash del malware così giusto
automaticamente solo guardando i file come
passano e vediamo tutti i file e
effettivamente confrontandoli con il malware
registri puoi farlo nel back-end
quindi in qualcosa di simile a te sai come si guida
può farlo con una cosa chiamata il
feed di intelligence che coprirò
oppure puoi farlo in base a uno script così
è piuttosto interessante e questo
ecco così strano nome ma viene
da Salesforce quindi salesforce.com S FTC
usano molto frequentemente dentro il loro
infrastruttura per la loro sicurezza
operazioni una delle sfide come
le cose si spostano su tls / ssl crittografato è se io
non posso vedere all’interno del traffico come faccio a
trova il malware come trovo il comando e
controlla come trovo le stranezze in questo modo
è un po ‘di ricerca che è stata fatta da
due come tre uomini che hanno tutti il
iniziali J a quando una delle possibilità è così
è per questo che si chiama J a tre così il
approccio è dare un’occhiata al TLS
avvio client il client ciao così
quando un client va a connettersi a un SSL
back-end il lato client pubblicizza il
cifre e un sacco di informazioni
in che modo è costruito da a
lo sviluppatore è molto diverso da cosa
Safari rispetto a Firefox rispetto
ad altri browser rispetto a diversi
agenti che usano TLS sono tutti in realtà
sono molto diversi in termini di
le intestazioni sembrano molto diverse che puoi
in realtà distillare tutte quelle intestazioni
abbattili con un carattere fino a 32 caratteri
hash che è chiamato un hash j-3 così
ora c’è un’iniziativa del settore e
se vai e prendi una statistica, lo farai
vedere tutti gli hash JRE per il bene noto
e noto male così cose come Metasploit
ecc se sono all’interno dei tuoi ambienti
usando ja3 puoi effettivamente abbinare e
lo trovo anche se è crittografato con SSL
questa è una cosa cattiva che puoi anche autorizzare
il tuo perché potresti esserti sviluppato
le tue cose in casa, così puoi
combatti per elencare le tue cose e dillo
è la mia roba proprio sulla base del hash JRE
quindi molto interessante e anche se tu
amo davvero SSL e TLS questo sopravvive
TLS 1.3 perché una delle cose in cui
T quello è 1.3 è che i certificati
loro stessi vengono crittografati
l’ SNI è in chiaro per quel che potrebbe
ottenere crittografato in futuro, quindi TOS 1.3
è ed è un interessante che pone
sfide per un sacco di cose sicure in
lo spazio di sicurezza ma j-3 perché il
Il client TLS ciao è prima di avviare TLS
è ancora estremamente prezioso e
utile ok 84 è il grado in modo sostanziale
correlare come adattarci a ciò che fa
che noi fondamentalmente diamo un
versione enterprise grade pronta all’uso
di Fr. interfaccia utente completa gestione completa scalabilità fino
a 40 gigabit al secondo temprato
un firewall unbox con cui non si può fare niente
la scatola perché come ho detto a proposito di bro
Conoscete questa responsabilità di
ricevendo tutto questo ricco di dati
hai inviato a un sensore che non vuoi
questo ti ha compromesso perché no
sarebbe un grande honeypot per le persone
essere in grado di accedere a tali dimensioni e sicurezza
e solo facile implementazione letteralmente
ogni venditore dice hey basta collegarlo
in e funziona ma ho fatto molto
piccolo viaggio negli otto mesi che
Sono stato correlato in Europa che ho
trasferito per l’Australia, spendo pochissimo
tempo sugli aerei, mandiamo solo cose a
persone e funziona così come ho detto il
squadra dietro bro open source sono tutti
dipendenti di correlazione e ciò che facciamo è
che in pratica restituiamo allo scoperto
comunità di origine così il 20% del loro tempo è
sviluppando per l’open source in realtà
avere due persone nello staff che abbiamo pienamente
pagato per correlato e loro sono giusti
open source non fanno nulla se non aprire
non ha niente a che fare con lo spot
lato delle cose quindi questo è come noi
continua a tenerti informato sull’avanzata del fratello
Zeke in open source e mantenere la
dall’altra parte delle cose, quindi come utilizzarle?
quindi dove ci adattiamo alla tua rete
infrastruttura quindi andiamo dietro qualche forma
di aggregatore di pacchetti in genere così
potrebbe essere un sacco di ghirlande Exia gigamon e
un sacco di altri Arista possiamo usare span
porte quindi se lo stai facendo
test su piccola scala è possibile fare uno specchio
la porta di un interruttore tende a non essere un grande
idea in produzione perché gli interruttori funzionano
estendere porte e specchi a bassa priorità
in modo tale da far cadere effettivamente i pacchetti sotto carico
ci sono se tu se mi prendi per
caffè ti dirò quali sono i veri
switch negativa che posso dire quale delle
quelli che sicuramente non vuoi fare
span ports così la maggior parte delle persone usa a
aggregatore di pacchetti e rubinetti per ottenere il
traffico e inviare
in noi quindi siamo parte di una pila che puoi
hanno ancora l’acquisizione di pacchetti in corso lì
ma in fondo ci hai praticamente preso
pacchetti e quindi inviarlo nel
back end quindi ovviamente ho fatto l’ umorismo
al logo più grande perché stiamo parlando
riguardo la demo degli umori oggi, ma tu puoi
hai conoscere più backend ora
interessante noi nella parte commerciale
correlazione abbiamo la possibilità di inviare
dati in più backend possiamo
effettivamente fare ciò che chiamiamo Fork e
avanti che dice che voglio inviare
alcuni dati nel mio sim che voglio inviare
alcuni di essi in un lago dati per macchina
apprendimento e c’è un interessante
progetto là fuori parlando di aperto
fonte chiamata Rita o ITA quindi cosa Rita
fa a prendere i tronchi delle frazioni Z per molto tempo
periodo di tempo quindi è necessario avere a
almeno una settimana almeno un mese e poi
in poi e fare analisi statistiche
alla ricerca di malware in cerca di comando
e controllo perché c’è un’idea di
beaconing quindi malware che si trovano sul tuo PC
deve avere un telefono occupato a casa
deve tornare al suo comando e
il controllo potrebbe essere solo detto di fare
qualcosa per scaricare un nuovo pacchetto per
inviare i dati che sono dati exfiltration
quindi puoi effettivamente usare statistiche
analisi su grandi set di dati da cercare
sai se sto vedendo regolarmente o molto
piccole connessioni o connessioni in corso
quindi molte connessioni vanno a un piccolo
cluster di indirizzi IP
è appena apparso che è qualcosa
anomalo quindi c’è un progetto chiamato
Rita e abbiamo un numero di clienti
che prende i dati ma li ha tirati dentro
Sim e anche tirato dentro Rita ci sono
altri motori di apprendimento automatico appresi
come il pattern X c’è Apache così
Apaches hiber cyber platform cyber ACP
e che fondamentalmente richiede grandi serie di dati
di dati Bro e utilizzerà la macchina
imparando sul suo modo di aumentare ciò che analisti
stanno facendo e poi importanti qui
è questo file estratto così abbiamo il
capacità di prendere ogni singolo file
vediamo così se arriva via email
Trasferimenti di file FTP SMTP in Microsoft
protocolli quindi abbiamo un parser completo per SMB
fino a SMB 3.1, che è l’ultima
versione possiamo estrarre ogni singolo file
e inserirlo nel framework di analisi dei file
quindi è qualcosa di simile a un malware
rilevamento malware sandboxing quindi non c’è
soluzioni open source come kuku
le loro pubblicità come il fuoco I
eccetera quindi la capacità di farlo a
alta velocità e alta scala quindi alcuni dei nostri
i clienti stanno estraendo 15.000 file e
ora e spingendolo in un malware
rilevamento e possiamo farlo al filo
velocità semplicemente facendo clic sulla casella sul nucleo
sensore di luce e puntandolo lì a destra
dimensionando avrai copia di questi mazzi
non tenterò di aggrapparti a questo punto così da ridimensionarti
può consumare un sensore di luce di base da te
conosci un piccolo bot poco virtuale VM giù
a 200 megabit al secondo fino a un
apparecchio che dice 25 concerti per
secondo sull’AP 3000 che sarà effettivamente
scala fino a 40 concerti con l’ hardware
offload quindi abbiamo NIC FPGA
mix di gate array programmabile in campo
che possiamo scaricare la logica e fare
alcune cose intelligenti quindi vedimi per un caffè
e ti parlerò di quella demo giusta
tempo quindi faccio una demo dal vivo o faccio a
demo registrata Sto pensando che finisco bene
quello che potrei fare compromessi su questo diritto
Va bene così ho registrato questo nel mio hotel
stanza prima non sapendo dove il Wi-Fi
oops Wi-Fi funzionerebbe in modo che il Wi-Fi funzioni
quindi inizierò con uno registrato
perché altrimenti finirò un po ‘come
hopping via alle tastiere che è giusto
Non conosco l’uomo dietro la tenda
lo sai e giusto così la demo
stiamo facendo è uno dei nostri punteggi demo
come i sistemi demo, quindi questo non è il nostro
rete di produzione perché questo è male
roba quindi quello che abbiamo fatto è che abbiamo usato
Generatori di traffico Exia prendiamo ciò che voi
conosci noti pcaps cattivi quindi cattura la bandiera
esercizi che fondamentalmente conosci
il malware ecc e noi diamo da mangiare che, attraverso
un sensore e lo spingiamo in un umano e
un’istanza del motore quindi lasciami andare
quindi amo questo amo il Hume che hai avuto
per iniziare con che avrei potuto avrei potuto
lasciato quel po ‘fuori ma io faccio amore
quell’accesso così Creston il CTO è seduto
lassù non me ne libererò mai per favore
Mi piace così tanto, quello che stiamo facendo
qui è stato solo dando un’occhiata a questo
sensore particolare e ne abbiamo molti
registra, quindi filtreremo e diremo
okay gruppo di
percorso che si basa su nomi lunghi e
poi vediamo che c’è un sacco di
registra come DNS perché stiamo guardando
tutto quel traffico ed estraendo cervi
lumache quindi non c’è niente che provenga da così
questo è l’uomo che conosci dietro
Sipario non c’è nessuno, tu sai l’ inganno
Qui
non c’è nessun registro di firewall registri di endpoint
questo è tutto proveniente dalla luce principale
sensore sai che stai guardando il filo
dati e generazione di registri okay così
è successo qualcosa di brutto, quindi sono affari miei
dock dock il mio end point sui miei ID ha detto
qualcosa di brutto è successo qui così io
dai un’occhiata ai miei registri e vedo che va bene
Intel quindi Intel è l’intelligenza
quadro in modo che possiamo effettivamente prendere in
si nutre di cose come CrowdStrike
a guardare male conosci noti URL cattivi
noti indirizzi IP errati md5 hash j3 così
quello che stiamo vedendo qui è che noi
in realtà noi stessi sul sensore abbiamo
segnalato e detto che il mio bacino di lavoro è cattivo
dominio quindi non ha bisogno di venire solo da
Gli ID ci sono anche noi in pratica
questo così nel tuo back end come il tuo essere umano
motore in genere avresti un avviso
che dice se qualcosa appare nel
intel log dimmelo
perché non va bene così come ho detto
c’è un numero di feed intel che noi
può prendere open source gratuito disponibile e
cose come colpo di credito eccetera così
questo particolare utente odiava il CDP che erano
scaricando alcune cose e c’è f7
gif ed è stato rilevato come un
eseguibile ora un file gif che è un
eseguibile non è qualcosa di buono così e
dal modo in cui lo rileviamo come un
eseguibile guardando i pacchetti noi
non guardare solo il tipo di mimo, così noi
questa cosa ha scaricato f7 dot gif e
quello che farò è dare un’occhiata a
quello che viene chiamato UID è l’ID univoco
in realtà cuciamo ogni singolo pezzo
connessione insieme perché dire per a
la transazione web contiene le ricerche DNS
ci sono più connessioni HTTP
tira giù le cose così le raggruppiamo
insieme sotto un UID, quindi sto cercando
l’UID e sto guardando effettivamente il
blog di connessione in modo che il log di registrazione è molto
interessante perché è un po ‘come
NetFlow su steroidi mi dice tutto
su quella connessione attraverso il
flusso da te sai iniziare alla fine in termini
di tracciare lo stato della connessione TCP in modo TCP
stato della connessione e la storia di
stato di connessione e se saltiamo su
perché divertente so che sta per
succederà dopo perché l’ho registrato
prima e guardate il Browse
documentazione di eke
ti dicono che ti parlerà di te
conoscere i flag TCP
quindi s0 è importante farlo come demo
più tardi viene inviato TCP syn e la loro risposta
indietro in modo che di solito è un indicatore di
scansione e quindi questo campo cronologico
ci permette di guardare cose come per
prestazioni in realtà non solo sicurezza I
può tenere traccia di una connessione vedere se sto vedendo
un sacco di TCP finestra 0 che significa un server
è troppo occupato in modo che tu possa averne un po ‘
molto dettagliato non solo dati di sicurezza voi
può effettivamente usare questo per le prestazioni
e per la risoluzione dei problemi quindi
conversazione che ho avuto questa mattina con
la regione meridionale della Danimarca ha detto che lo sai
questo è parte di ciò che stiamo facendo
utilizzando effettivamente questi dati di rete con
le squadre ops e le squadre di sicurezza
quindi la f7 che gif l’ abbiamo analizzata
file e in realtà abbiamo generato MD5
hash più una condivisione a 5/6 e sha-1 quindi
se prendo uno sguardo a quel file e la mia
la digitazione non era così eccezionale perché io
non ho avuto il caffè e me ne vado
pompato in virustotal
dirà oh che non sembra molto bello
lo fa
quindi abbiamo abbinato e quello era dove anche
estraendolo in un’estrazione di file
quadro che era proprio quello che facciamo
volare sempre con ogni singolo
file che vediamo generiamo questi md5
hash per ogni file se usi il
gli script di cui ho parlato possiamo
scoprire se è il malware che possiamo anche
rileva il back – end nel tuo motore Hulme
giusto così è successo qualcosa di brutto come me
detto così che il file è cattivo ora lasciami prendere
uno sguardo a cosa sta succedendo con quello
cliente così ok diamo un’occhiata a ciò che il DNS
ricerche che quel cliente sta facendo così se
stavi prestando attenzione era il punto 53
con l’indirizzo IP, quindi sto dicendo
OK percorso DNS e guarda l’IP sorgente
indirizzo di 53 e quindi raggruppiamolo per
la query perché quello che stiamo cercando
è indicazioni di exfiltrazione DNS così
Il DNS è spesso usato per filtrare i dati
malware per rimandarlo così se io
fondamentalmente sai qualcosa che vedo
roba di Windows standard Facebook ma verso il basso
il fondo è di proprietà se così sai
quegli svedesi mmm comunque così che lo faranno
fondamentalmente mostra di conoscere DNS x4
Trazione in modo che ho visto quello da quello
client, quindi nessun malware ne colpisce raramente uno
single si ottiene una workstation è
di solito colpisce gli altri, quindi cerchiamo
movimento laterale quindi ne abbiamo parlato
s zero, quindi cerchiamo quel client
cercando di connettersi ad altri host perché
Ho detto che il malware in genere farà così cosa
Sto dicendo che mi mostra tutte le connessioni
con s 0 in modo che significa un syn TCP inviato
ma nulla rimandato e raggrupparli
ID di origine e verranno ordinati in base alle tue esigenze
vedere il punto 53 è lì ma hey c’è un
un sacco di altri là così 54 1
a 8 stanno facendo anche molto laterale
movimento quindi significa che ho un problema
ma non è solo una workstation che ho
abbiamo quattro o cinque anni, dobbiamo dare un’occhiata
diamo un’occhiata alla exfiltrazione DNS
in tutto l’ ambiente, quindi questo è
una corda più lunga, quindi l’ho semplicemente infilato
una query salvata e dice mostrami tutto
Query DNS che sono molto bene fondamentalmente
basta solo raggrupparli perché la query DNS
dovrebbe essere davvero di circa 60 caratteri o
meno così il tipo di query DNS che sono
vedere è un intero gruppo di non leggibili
e poi è che posso vedere che è a
almeno due indirizzi e quel punto 30 quello
10.30 Non l’avevo visto prima, quindi è così
un po ‘di cattiveria lì che mostra che ho
è successo un esfiltrazione di Dinah
quindi andiamo a saltare ai cruscotti in a
minuto okay in modo che il file Intel che io
parlato di e j-3 quindi se cerco su
il file Intel e dico mi mostra
qualcosa che corrisponde a j-3 quindi un successo
su j-3 ne ho trovate alcune in parte cattive
segnato cattivo Joffre quindi basta accenderlo
Formato JSON e vedrai che c’è
quella impronta digitale a 32 caratteri JA
che è stato abbinato a causa di Intel
feed che sta andando nel mio sensore
e posso quindi usarlo per sapere l’uso
un numero di diversi database come
abusare di CH che posso ottenere, okay
cruscotti Mettiamoci al cruscotto presto
va bene
quindi abbiamo costruito in Hulme voi
cruscotto utile quindi non devi
fai solo le domande quindi abbiamo parlato di DNS
così in alto a destra conta per
non esistenza se vedo un sacco di DNS
andare in posti insoliti che sta per
essere un indicatore per me che c’è
qualcosa forse male dentro la mia
ambiente guardando HTTP, quindi facciamolo
guarda quali Haiti gli agenti, quindi cosa
browser e conosco il mio ambiente se io
sappi che ho una miscela standard di
user agent e sto vedendo alcuni rari
agenti insoliti che forse ho
alcuni malware potrebbe essere lo sai
è solo qualcosa che non sapevo
su questo è legittimo, ma consente
a me solo da una visualizzazione dashboard a
arrivare a queste informazioni Intel
struttura
quindi di nuovo parlami di a
le visualizzazioni della dashboard che sto ottenendo
contro quelle quelle intelligenze
framework o malware alimenta IP non valido
indirizzi noti hash D5 cattiva cielo
noto male jj3 ah e questo caso d’uso qui
veniamo al sì X.509 così sir Tex ardente
e soggetti rari quindi se stai vedendo
certificati x.509 insoliti che spesso
sottolinea il fatto che tu hai
malware che utilizza fondamentalmente il comando
e controllo all’interno di tls / ssl crittografato
traffico e questo è solo attraverso a
visualizzazione dashboard ora non andare in
tutta la segnalazione ma la segnalazione è molto
importante perché con motore humo e
altri puoi creare avvisi che dicono se
mi ha mandato qualcosa di insolito
un avviso in diversi modi interessanti
quindi Helio ti permette di fare cose del genere
integrazione del canale lento, così è possibile
avere un canale lento che AB AC spinge
alcune cose giù in per dire a voi
squadra di sicurezza devi andare a dare un’occhiata
a questo puoi anche fare integrazione con
sai come i motori di orchestrazione
fantasma per esempio potresti dire se io
sto vedendo il traffico DNS
sembra l’ exfiltrazione DNS che voglio
cambia la mia regola del firewall sul mio Palo Alto
firewall in modo che blocchi quel traffico
da quello da quel cliente, quindi puoi farlo
un sacco di integrazione interessante con
con il back end con allarmi sono solo
guardando il tempo che posso posso saltarne addosso
altri demo ma lasciami solo lasciarmi solo
Penso che le domande e le risposte siano
probabilmente è bello che tu abbia il tempo di annuire
con me in otto minuti va bene così
sono appena tornato a parlare dell’open
comunità di origine e come continuiamo a
sostenere l’Apollo era quello
utile sì ok bene e così di supporto
la comunità open source e c’è a
Workshop di Zeke se per quelli nel
pubblico che effettivamente usa bro / a Zeke
o considerando la distribuzione e all’interno del tuo
ambiente questo sta accadendo in aprile
2000 e 19 e io sono sicuramente
interessato perché è al CERN e tu
arrivare a fare un giro per un tour del Grande
Hadron Collider è il tipo di a
bonus per presentarsi al workshop di Zeke
nell’Aprile 2000 e 19 e siamo ovviamente
fornendo supporto finanziario per questo aperto
fonte di iniziativa e domande e
risposte se le hai digitate
tu, Nina, l’hai presa, grazie
Diamo prima una mano
tu
Please follow and like us: