1.SANS是“谁”？

在网络安全行业，如果我们想了解网络安全产业/行业发展趋势、学术界最新研究成果、安全产品、安全技术新趋势、行业最佳实践，通常我们会关注以色列、RSA大会、四大顶会（ACM CSS、IEEE S&P、NDSS与USENIX Security）、咨询机构（Gartner、Forrest）、SANS峰会及调研报告等。

此外，如果朋友们对网络空间国际治理、美国网络安全、欧盟网络安全、信息战、网络战、网络冲突等方面感兴趣，建议关注《现代院》、《清华大学战略与安全研究中心》、《天御智库》（本号）等智库。

SANS最广为人知的是其培训和安全会议，其实SANS是一个完整的生态，培训+认证+教育、安全会议（覆盖安全各个方向）、合作研究，此外还有针对政府和军方的培训。可惜国内没有这样的平台，国内要么单独作培训，如i春秋，要么媒体+培训，如安全牛，要么安全厂商+校企合作。确实可以想一想如何做一个类似SANS这样的平台。（有这方面想法的朋友可以交流交流。）

笔者看过一些SANS的培训课程，从我的经验来看，SANS的课程质量也是良莠不齐，关键要看讲师是谁，比如FOR572: 高级网络取证：威胁狩猎、分析与事件响应（Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response）这门课程有一位讲师是David Bianco（也就是痛苦金字塔/The Pyramid of Pain的作者），非常有激情的一个人。同样的概念不同的人讲出来效果完全不一样，而且每个人都会有个人的偏好，有的人比较容易接受某人讲的，有些人则比较容易接受其他人讲的。

2.《SANS FOR578：网络威胁情报》课程介绍

《SANS FOR578: Cyber Threat Intelligence》是SANS针对网络威胁情报（Cyber Threat Intelligence，CTI）方向的培训课程。内容涉及战略/战术/运营情报应用，情报收集、分析，入侵分析和APT归因，网空杀伤链、钻石模型、ATT&CK框架，情报共享等主题，通过考试可获得GIAC网络威胁情报（GCTI）专业认证。

“恶意软件只是对手的工具，真正的威胁是人类，而网络威胁情报侧重于通过赋予和训练有能力的防御者来对抗这些灵活而持久的人为威胁。在针对性攻击中，组织需要一支顶尖且处于前沿的威胁狩猎或事件响应团队，他们掌握必要的威胁情报，了解对手的操作方式并对抗威胁。《SANS FOR578：网络威胁情报》将培训您和您的团队掌握战术、运营和战略层面的网络威胁情报技能和技巧，从而提高安全团队的能力、提高威胁狩猎的准确性、提高事件响应的效果，并让组织更加了解不断演变的威胁形势。”

3.《SANS FOR578：网络威胁情报》课程大纲

FOR578.1: 网络威胁情报和情报需求

网络威胁情报是一个迅速发展的领域。然而，在"网络"一词进入词汇表之前，情报就是一门职业。了解情报术语、技艺和影响的关键要点对于理解和使用网络威胁情报至关重要。本节介绍了情报、分析技艺和威胁情报级别的最重要概念，以及它们对组织的价值。它还着重于通过规划、指导和生成情报需求来正确启动您的情报计划。与所有其他章节一样，本课程章节包括沉浸式的实践实验，以确保学生能够将理论转化为实践。

FOR578.2: 入侵分析

入侵分析是威胁情报的核心。对于任何希望采用更全面方法解决安全问题的安全从业人员来说，这是一项基本技能。评估对手入侵的三个最常用模型是Kill Chain、Diamond Model和MITRE ATT&CK。这些模型作为框架和结构化方案，用于分析入侵并提取对手行为和恶意指标等模式。在本节中，学生将逐步了解并参与多阶段的入侵，从对对手活动的初始通知到完成事件分析。本节还强调了这一过程在构建和定义对手活动中的重要性。

FOR578.3: 情报收集来源

网络威胁情报分析师必须能够审问并充分理解他们的收集来源。举个例子，分析师不需要成为恶意软件逆向工程师，但至少要了解这项工作，并知道可以寻找哪些数据。本节继续从前一节中确定分析师的关键收集来源。还介绍了大量常被称为开放源情报（OSINT）的内容。在本节中，学生将学习如何从域名、外部数据集、恶意软件、TLS/SSL证书等获取和利用信息。学生还将对数据进行结构化处理，以便内部和外部共享之用。

FOR578.4: 情报分析于与生产

伴随着大量数据而来的是对分析的高度期望。现在学生已经熟悉了不同的入侵来源和收集方式，重要的是要对如何使用这些信息进行分析进行严谨的应用，以满足长期分析的情报需求。将单一入侵转化为群体，并追踪对手的攻击活动，对于保持对手之前至关重要。在本节中，学生将学习如何使用诸如MISP之类的工具来长期结构化和存储信息；如何利用分析工具识别逻辑谬误和认知偏见；如何在团队中进行结构化分析技术，如竞争性假设分析；以及如何将入侵聚类成威胁组。

FOR578.5: 情报传递与APT归因

情报如果不被传播和利用，就是无用的。在本节中，学生将学习关于在各个战术、运营和战略层面上进行传播的知识。实验室将使学生能够创建YARA规则，利用STIX/TAXII，建立长期追踪对手的攻击活动热图，并分析情报报告。学生还将学习国家级对手追溯，包括何时有价值以及何时仅是一种干扰。我们将介绍之前确定的攻击活动中的国家级追溯，并让学生对迄今为止的网络威胁情报行业有一个更全面的视角。本节将以关于使用威胁情报和可行的行动方案的讨论结束，这样学生在完成课程后就能在组织中进行重大改变。

FOR578.6: 实战（Capstone）

FOR578的毕业项目侧重于分析。学生将被分成小组，给予技术工具和案例的输出，然后努力从单一入侵中拼凑出相关信息，以解开更广泛的攻击活动。学生将获得实践经验，满足从帮助事件响应团队到满足国家级归因目标的情报需求。这个分析过程将对学生的思维进行考验，而不是过分强调使用技术工具。最后，小组将展示他们对发现的多重攻击威胁的分析结果。

4.《SANS FOR578：网络威胁情报》课程下载

说了这么多，估计朋友们心里有点冲动想更深入了解这门课程了？四哥前几天科普了一下如何下载电子书，文章链接：电子书下载站Z-Library使用简介（https://mp.weixin.qq.com/s/gDW0dqoII7h6QKqnQXGv0Q）

访问https://zlibrary-africa.se/，然后搜索“SANS 578”

5.花絮