2017SANS网络威胁情报峰会

第五届SANS网络威胁情报峰会，这个月初刚刚举行完，最近大部分PPT已经公开了。从这些议题看，跟往年主要讨论各种情报标准、情报平台不一样，今年的很多议题重点都在探讨如何提高indicator的价值，如何使用，如何更好利用indicator帮助发现和阻止攻击上。

Keynote

今年的keynote是Clifford Stoll讲，他是《布谷鸟的蛋：通过计算机谍报迷宫跟踪间谍》（The Cuckoo's Egg: Tracking a Spy through the Maze of Computer Espionage）的作者，据了解这本书已经有些年代了，80年代末，他是国家实验室的一名unix管理员，他从发现有人使用计算机资源却没有付款开始，最终揪出当时西德黑客窃取机密情报卖给苏联的克格勃。所以这书被誉为最真实的黑客小说。这起事件的调查始末可以看看之前Richard Bejtlich的一份PPT有很详细的叙述(见下载附件)。他的这个故事也许最贴合不过当今威胁情报的背景了，不过PPT并没公开，准确的说是现场演讲根本就没有PPT，就期待官方放出视频吧。

Threat Intelligence At Microsoft: A Look Inside

这个议题介绍微软的威胁情报实践、流程、工具方面。从公开的ppt可以看到微软的情报数据来源数量情况

情报在各个产品之间的运用流转流程

从Kill Chain维度，情报发挥的作用以及微软能够提供防御的一些对应产品。

估计现场还有很多干货没有体现在PPT中，毕竟微软这么多个产品这么多个部门的情报整合起来。同样期待官方出视频。

Pen-To-Paperand The Finished Report: The (Often Overlooked) Key To Generating ThreatIntelligence

从笔到paper，这个议题讲报告在情报环节可以给决策者提供更为全面明确的视野了解威胁的情况。所以情报分析的最后写报告需要很多技巧。INSA（Intelligenceand National Security Alliance）列举情报需要的一些核心技能，当中沟通相关的就是跟写最终报告密切相关

例如面对孟加拉央行的SWIFT攻击事件，DNC被黑，灰熊草原-俄罗斯的恶意网络活动这些16年发生的重点安全事件，会衍生出一系列疑问

编写情报报告的三大核心要素，报告结构，报告风格，这份报告意味着什么？

报告中应该说清楚情报目前知道什么，不知道什么，情报的分析判断评估结论是什么。

Hunting Cyber Threat Actors with TLS Certificates

这个议题比较具体，讲述如何利用TLS/SSL数据来追踪攻击者。过去通过pDSN，whois数据来追踪攻击者。攻击者也开始学聪明了，所以防守方现在通过scans.io，censys.io等网站的开源数据，来协助判断分析攻击者。先通过网络流量分析，抓取TLS的指纹信息，再利用开源或者商业TLS数据做关联，例如从IP到证书，从证书到IP的关联

Using CTI to Profile and Defend Against the World’s Most Successful Email Scam

这个议题讲述了如何从一封钓鱼邮件开始关联出更多相关攻击的一些情报分析技巧。Metadata信息，钓鱼PDF文件名称，从一个钓鱼邮件的PDF文件关联发现其他16个PDF文档作者，29篇相关PDF文件，9个的银行信息

最后推荐用到的一些工具/平台——Excel，Threat_note，MISP，CRITS把threat tracking工作做得更好（归纳统计起来）

不过核心问题如何防御这类钓鱼邮件，感觉提供的方法不是太靠谱，毕竟业务一多，里面的几个choke point问题都不好管理和回答。

The Threat Intel Victory Garden: Creating, Capturing, and Using Your Own ThreatIntelligence Using Open Source Tools

Splunk的研究员分享通过splunk用好企业自身数据作为情报数据源，例如pishme钓鱼邮件的测试数据，pdns，SAT安全意识培训的中招数据，google alert发现企业基础设施的漏洞等等

通过phisme对员工进行安全意识培训，用这些数据丰富在事件调查时对该员工属性的判断

通过google alert发现跟splunk相关的漏洞利用情况

议题还提供了一些splunk上可以提供的具体情报资源，还有用于社工的平台，https://bitbucket.org/LaNMaSteR53/recon-ng

Location-SpecificCyber Risk: Where You are Affects How Badly You’ll be Hacked

来自KPMG和IMF两个研究者分享基于物理位置的网络威胁风险评估方法论。五大类攻击角色（APT，政府监控，网络犯罪，黑客主义组织，内部威胁）其场景，目标，企图，能力都不一样。这个议题主要分享了一套评估方法论。从而可以做出威胁等级的评估，最终影响技术控制手段、流程控制手段和网络安全上投入的多少

最后附上了各个层面的网络威胁的一些情报源

Wave Your False Flags! Deception Tactics Muddying Attribution in Targeted Attacks

卡巴斯基的议题，有关False Flags和DeceptionTactics的研究，针对这套理论，举了很多APT攻击案例的分析例子。不过PPT没看到公开。卡巴去年有一份论文就是讲这个议题的内容，https://kas.pr/kp49，有关APT攻击溯源过程中经常使用的一些属性信息会存在欺骗的成分。论文内容比较详细，研究恶意软件的可以认真读读。

除了以上一些高大上或者实操性比较强的议题，其他的议题单从PPT没法了解太多细节详情，只能挑几个页比较有价值的看看。例如

Inglorious Threat Intelligence，由Rick Holland讲，跟往年纵观情报行业市场情况的材料不一样，今年的材料讲了很多二战的故事。其中一页列举了一些使用情报的潜在用户

Effective Threat Intel Management，是情报公司Anomali讲的有关ioc生命期，indicator，情报价值衡量方面的。

Using Intelligence to Heighten Your Defense，这个议题是福特公司，讲情报的ioc也开始泛滥，会有很多误报，但是放弃就会丢掉了发现攻击的机会。于是建议把高价值的资产和低价值的indicator相结合来分析，而不是盲目的放弃分析低价值的indicator。使用情报过程中对indicator的feedback反馈也就显得很重要

给出一些高价值资产的评估参考建议，理论都很好，可惜从PPT里看不到很具体的落地工具或者方法

The Use of Conventional Intelligence Analysis Methodologies in Cyber ThreatIntelligence，分析传统军事领域的情报如何运用到网络威胁情报中，例如这个竞争性假设分析法（ACH）

Knowing When to Consume Intelligence and When to Generate It，是Robert MLee 的议题，似乎讲很多情报和主动防御方面的问题。提到一些观点挺有意思

• IOCs are research and scoping tools, not detection tools

• Finding unknowns unknowns” isnt the best intelligence requirement

Integrating Cyber Threat Intelligence Using Classic Intel Techniques，

Noblis-NSP公司讲的把情报周期与企业实际相整合的话题

三种情报使用的保鲜期，按天算的tactical情报，按周算的operational和按年算的strategic

目前官方一共提供了15个议题材料。除此以外，这里还收集了上面议题中引用的一些书籍、背景材料，例如

NISA在2015年发表的《Cyber intelligence Preparing today's talent fortomorrow's threats》介绍了情报的技能表

CIA官网都有介绍的认知科学与情报分析《Thinking and Writing: Cognitive Science andIntelligence Analysis》

还有卡巴的论文报告和keynote中布谷鸟之蛋的故事原型“cooking the cucko egg”

议题及材料：

 http://pan.baidu.com/s/1skV9B7f

提取:srv2