Infrastructure Automation for a Malware Analysis Platform in OpenStack

Abstract

Dette prosjektet presenterer utviklingen og implementeringen av en modulær, automatisert plattform for skadevareanalyse satt opp i et OpenStack-miljø ved bruk av moderne Development and Operation (DevOps)-metoder. Systemet in- tegrerer kjernekomponenter som CAPEv2, Strelka og Malware Information Shar- ing Platform (MISP), noe som muliggjør skalerbare og reproduserbare arbeidsprosesser for trusselanalyse gjennom automatisert infrastrukturprovisjonering og konfigur- asjonsadministrasjon. En Continuous Integration (CI)/Continuous Development (CD)-flyt ble utviklet for å effektivisere oppsett og fremtidige oppdateringer, noe som støtter vedlikeholdbarhet og driftseffektivitet. Selv om full integrasjon mellom alle komponenter – spesielt integrering av CAPEv2 med den utviklede Strelka- og MISP-integrasjonen – fortsatt er en oppgave for fremtidig arbeid, oppfyller den nåværende implementeringen de primære målene om automatisering, skalerbarhet og brukervennlighet. Prosjektets utviklingsprosess la vekt på tilpasningsevne fremfor rigide prosjektledelsesrammeverk, og frem- hever effektiviteten av smidig tenkning, samarbeid og kontinuerlig evaluering i levering av komplekse tekniske løsninger.

Den resulterende plattformen gir et solid grunnlag for Norwegian University of Science and Technology (NTNU) sin Security Operations Center (SOC) for å ut- føre skadevareanalyse. Samtidig forblir produktet fleksibelt for fremtidige for- bedringer, inkludert distribuert implementasjonsmodus for CAPEv2-applikasjonen og tilleggsintegrasjoner som Snort3 og Cisco Secure Malware Analytics (CSMA). Dette arbeidet demonstrerer anvendeligheten av DevOps-praksiser i cybersikker- hetsinfrastruktur, og legger grunnlaget for operasjonell bruk og utvikling.

This project presents the development and implementation of a modular, auto- mated malware analysis platform deployed within an OpenStack environment using modern Development and Operation (DevOps) methodologies. The sys- tem integrates core components such as CAPEv2, Strelka, and Malware Informa- tion Sharing Platform (MISP), enabling scalable and reproducible threat analysis workflows through automated infrastructure provisioning and configuration man- agement. A Continuous Integration (CI)/Continuous Development (CD) pipeline was developed to streamline deployment and future updates, supporting main- tainability and operational efficiency. While full integration between all components – particularly integrating CAPEv2 with the developed Strelka and Malware Information Sharing Platform (MISP) integration – remains a task for future work, the current implementation meets the primary objectives of automation, scalability, and usability. The project’s de- velopment process emphasized adaptability over rigid project management frame- works, highlighting the effectiveness of agile thinking, collaboration, and continuous evaluation in delivering complex technical solutions.

The resulting platform provides a solid foundation for the Norwegian University of Science and Technology (NTNU) Security Operations Center (SOC) to con- duct malware analysis. Simultaneously, the product remains flexible for future im- provements, including distributed deployment mode for the CAPEv2 application and additional integrations such as Snort3 and Cisco Secure Malware Analytics (CSMA). This work demonstrates the applicability of DevOps practices in cyber- security infrastructure, and enables operational use and further development.