长亭百川云 - 文章详情

2016SANS网络威胁情报峰会一瞥

张三丰的疯言疯语

49

2024-07-13

 给留守到最后的人给火车上的人解解闷,SANS网络威胁情报峰会(CTIsummit2016)在美国时间2月3日-4日刚刚举行完。今年没机会去现场,刷了两天墙外的现场报道。

情报熟了

今年还是在华盛顿举行,主持还是Forrester的Rick Holland和洛克希德·马丁Mike Cloppert,两天大概20来个议题。分享的人跟去年有不少重合的。撑起这场会议的speaker主要还是我上一篇公众号《如何选择威胁情报厂商》里提到那些厂商。一如今年议题里面出现比较多的一个字眼“Maturity”,似乎情报已经热熟了,也没有太多新的东西了。更多的是讨论现有基础上如何做成熟,做得好。不过今年是多了几家大厂商像mandiant,像CrowdStrike上去讲。

议题一瞥

  • The Levels of Threat Intelligence

洛克希德·马丁Mike讲第一个议题。看上去是科普性的介绍一下情报的层级,历史以及应用情况。

  • An End User’s Perspective on the ThreatIntelligence Industry

摩根银行 CISO讲金融机构怎么运用威胁情报

  • Threat Intelligence Awakens

Forrester的Rick讲情报市场的醒觉。(这个议题已经有PPT)

  • Plumbing’s Done! Now What Do We Do With AllThis Water

国土安全部的高级技术官讲一个已经成功在使用的CTI应用。估计主要应该偏向于STIX/TAXII标准的落地情况。

  • Turning Malicious VBA into a Source ofThreat Intelligence

洛克希德·马丁赞助的午餐,讲了他们那套文件IDS LaikaBOSS

  • Multivariate Solutions to Emerging PassiveDNS Challenges

还是Dr. PaulVixie讲,去年他也有个类似的议题。

  • Data Mining Malware for Fun and Profit:Building a Historical Encyclopedia of Adversary Information

这个议题比较有意思,讲述基于VirusTotal的大量历史数据,如何关联出历史的攻击情况。怎样用这些数据构建情报系统。

  • Community Intelligence &Open Source Tools: Building an Actionable Pipeline

Scott J. Roberts去年也有讲,每场他讲的内容都不一样,每次都有新鲜的东西,这次也不例外。从收集、分析、利用等阶段讲述如何通过开源工具构建情报系统。

  • Six Years of Threat Intel: Have We Learned Nothing?

从当年google的极光事件就开始提出APT的概念,作者利用情报金字塔的理论回顾过去6年的公开情报报告。从中检查这些报告里面含有的情报,有哪些一直没变的或者变化的。

  • Data-Driven Threat Intelligence: Metrics on Indicator Dissemination and Sharing

还是Alex Pinto讲他的MLSec和Niddel计划。快速翻了一下他的材料,很多都跟去年的差不多。可能今年更侧重于讲讲他项目运作一年收到的情报和问题吧。这个议题的PPT也有了。

  • You Got 99 Problems and a Budget’s One

这个议题是Rapid7的美女来讲,讲了不少high level层面东西。又提到了四个层面的威胁情报strategic -> operational -> tactical -> technical

跟管理层汇报情报的要多看看这个议题。

  • The Revolution in Private Sector Intelligence

作为第二天的第一个议题,由mandiant的网红Richard Bejtlich来讲情报掀起的这场革命的情况。

  • Hide and Seek: How Threat Actors Respond in the Face of Public Exposure

这个议题也很有意思,由FireEye讲那些公开了的APT报告对攻击方的影响。Fireeye发布那么多APT报告,这个话题由他们来讲讲应该挺合适的。讲述APT报告公开后如何影响攻击者的在策略,时间线,还有使用的资源上的改变

  • There Can Be Only One!: Last CTI Vendor Standing Pitch

大概是个圆桌会议吧,有4个厂商,主持人给四个情报厂商每人10分钟时间说服听众用他们的情报。DomainTools的,RecordedFuture的,Centripetal Networks和UpLevel Security。

  • Anticipating Novel Cyber Espionage Threats

iSight讲的一个议题。攻击总是无可避免,如何基于历史的趋势,评估哪些攻击团伙才是真正对企业构成大的危害

  • Cyber Threat Intel: Maturity and Metrics

这个议题讲述如何基于情报周期,来评判一个成熟的情报项目应该是怎样的。这个PPT也有公开了。

  • Borderless Threat Intelligence: Proactive Monitoring your Supply chain and Customers for Signs of Compromise

情报厂商ThreatStream讲的如何通过情报防护和警惕“队友”被攻击对自己造成的威胁。“队友”是例如供应商、大量被泄露的账户密码,客户,可信的第三方合作伙伴。

  • We Can Rebuild Him; We Have the Technology

情报厂商ThreatConnect谈他们的情报平台,和处理分析步骤。关键字“YARA hunting & Sandboxing

  • From the Cyber Nerdery to the Board Room

最后一个议题由CrowdStrike讲传统的情报训练如何适应现代业务的需求来运用到信息安全领域

有些议题看上去还是很有吸引力的,不过大部分现在都还没看到PPT,所以都是白说。所以还刷点现场分享的“干货”

各种CC地址、域名的免费feed,更新还挺及时的:(后来经提醒其实很早就有这个资源了)

http://osint.bambenekconsulting.com/feeds/

情报的四个层级的参考来源:

参考:http://www.cpni.gov.uk/advice/cyber/Threat-Intelligence/

各种常见的远控RAT工具:

https://github.com/kevthehermit/RATDecoders

几个已经找到的PPT放到网盘了:

http://pan.baidu.com/s/1i4dIWID

提取密码:mcye


顺祝各位猴年大吉!新年快乐!

欢迎关注zsfnotes的公众号

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2