2016SANS网络威胁情报峰会一瞥
给留守到最后的人给火车上的人解解闷,SANS网络威胁情报峰会(CTIsummit2016)在美国时间2月3日-4日刚刚举行完。今年没机会去现场,刷了两天墙外的现场报道。
情报熟了
今年还是在华盛顿举行,主持还是Forrester的Rick Holland和洛克希德·马丁Mike Cloppert,两天大概20来个议题。分享的人跟去年有不少重合的。撑起这场会议的speaker主要还是我上一篇公众号《如何选择威胁情报厂商》里提到那些厂商。一如今年议题里面出现比较多的一个字眼“Maturity”,似乎情报已经热熟了,也没有太多新的东西了。更多的是讨论现有基础上如何做成熟,做得好。不过今年是多了几家大厂商像mandiant,像CrowdStrike上去讲。
议题一瞥
- The Levels of Threat Intelligence
洛克希德·马丁Mike讲第一个议题。看上去是科普性的介绍一下情报的层级,历史以及应用情况。
- An End User’s Perspective on the ThreatIntelligence Industry
摩根银行 CISO讲金融机构怎么运用威胁情报。
- Threat Intelligence Awakens
Forrester的Rick讲情报市场的醒觉。(这个议题已经有PPT)
- Plumbing’s Done! Now What Do We Do With AllThis Water
国土安全部的高级技术官讲一个已经成功在使用的CTI应用。估计主要应该偏向于STIX/TAXII标准的落地情况。
- Turning Malicious VBA into a Source ofThreat Intelligence
洛克希德·马丁赞助的午餐,讲了他们那套文件IDS LaikaBOSS
- Multivariate Solutions to Emerging PassiveDNS Challenges
还是Dr. PaulVixie讲,去年他也有个类似的议题。
- Data Mining Malware for Fun and Profit:Building a Historical Encyclopedia of Adversary Information
这个议题比较有意思,讲述基于VirusTotal的大量历史数据,如何关联出历史的攻击情况。怎样用这些数据构建情报系统。
- Community Intelligence &Open Source Tools: Building an Actionable Pipeline
Scott J. Roberts去年也有讲,每场他讲的内容都不一样,每次都有新鲜的东西,这次也不例外。从收集、分析、利用等阶段讲述如何通过开源工具构建情报系统。
- Six Years of Threat Intel: Have We Learned Nothing?
从当年google的极光事件就开始提出APT的概念,作者利用情报金字塔的理论回顾过去6年的公开情报报告。从中检查这些报告里面含有的情报,有哪些一直没变的或者变化的。
- Data-Driven Threat Intelligence: Metrics on Indicator Dissemination and Sharing
还是Alex Pinto讲他的MLSec和Niddel计划。快速翻了一下他的材料,很多都跟去年的差不多。可能今年更侧重于讲讲他项目运作一年收到的情报和问题吧。这个议题的PPT也有了。
- You Got 99 Problems and a Budget’s One
这个议题是Rapid7的美女来讲,讲了不少high level层面东西。又提到了四个层面的威胁情报strategic -> operational -> tactical -> technical
跟管理层汇报情报的要多看看这个议题。
-
The Revolution in Private Sector Intelligence
作为第二天的第一个议题,由mandiant的网红Richard Bejtlich来讲情报掀起的这场革命的情况。
- Hide and Seek: How Threat Actors Respond in the Face of Public Exposure
这个议题也很有意思,由FireEye讲那些公开了的APT报告对攻击方的影响。Fireeye发布那么多APT报告,这个话题由他们来讲讲应该挺合适的。讲述APT报告公开后如何影响攻击者的在策略,时间线,还有使用的资源上的改变。
- There Can Be Only One!: Last CTI Vendor Standing Pitch
大概是个圆桌会议吧,有4个厂商,主持人给四个情报厂商每人10分钟时间说服听众用他们的情报。DomainTools的,RecordedFuture的,Centripetal Networks和UpLevel Security。
- Anticipating Novel Cyber Espionage Threats
iSight讲的一个议题。攻击总是无可避免,如何基于历史的趋势,评估哪些攻击团伙才是真正对企业构成大的危害。
- Cyber Threat Intel: Maturity and Metrics
这个议题讲述如何基于情报周期,来评判一个成熟的情报项目应该是怎样的。这个PPT也有公开了。
- Borderless Threat Intelligence: Proactive Monitoring your Supply chain and Customers for Signs of Compromise
情报厂商ThreatStream讲的如何通过情报防护和警惕“队友”被攻击对自己造成的威胁。“队友”是例如供应商、大量被泄露的账户密码,客户,可信的第三方合作伙伴。
- We Can Rebuild Him; We Have the Technology
情报厂商ThreatConnect谈他们的情报平台,和处理分析步骤。关键字“YARA hunting & Sandboxing”
- From the Cyber Nerdery to the Board Room
最后一个议题由CrowdStrike讲传统的情报训练如何适应现代业务的需求来运用到信息安全领域。
有些议题看上去还是很有吸引力的,不过大部分现在都还没看到PPT,所以都是白说。所以还刷点现场分享的“干货”
各种CC地址、域名的免费feed,更新还挺及时的:(后来经提醒其实很早就有这个资源了)
http://osint.bambenekconsulting.com/feeds/
情报的四个层级的参考来源:
参考:http://www.cpni.gov.uk/advice/cyber/Threat-Intelligence/
各种常见的远控RAT工具:
https://github.com/kevthehermit/RATDecoders
几个已经找到的PPT放到网盘了:
http://pan.baidu.com/s/1i4dIWID
提取密码:mcye
顺祝各位猴年大吉!新年快乐!
欢迎关注zsfnotes的公众号
