给留守到最后的人给火车上的人解解闷,SANS网络威胁情报峰会(CTIsummit2016)在美国时间2月3日-4日刚刚举行完。今年没机会去现场,刷了两天墙外的现场报道。
情报熟了
今年还是在华盛顿举行,主持还是Forrester的Rick Holland和洛克希德·马丁Mike Cloppert,两天大概20来个议题。分享的人跟去年有不少重合的。撑起这场会议的speaker主要还是我上一篇公众号《如何选择威胁情报厂商》里提到那些厂商。一如今年议题里面出现比较多的一个字眼“Maturity”,似乎情报已经热熟了,也没有太多新的东西了。更多的是讨论现有基础上如何做成熟,做得好。不过今年是多了几家大厂商像mandiant,像CrowdStrike上去讲。
议题一瞥
The Levels of Threat Intelligence
洛克希德·马丁Mike讲第一个议题。看上去是科普性的介绍一下情报的层级,历史以及应用情况。
An End User’s Perspective on the ThreatIntelligence Industry
摩根银行 CISO讲金融机构怎么运用威胁情报。
Threat Intelligence Awakens
Forrester的Rick讲情报市场的醒觉。(这个议题已经有PPT)
Plumbing’s Done! Now What Do We Do With AllThis Water
国土安全部的高级技术官讲一个已经成功在使用的CTI应用。估计主要应该偏向于STIX/TAXII标准的落地情况。
Turning Malicious VBA into a Source ofThreat Intelligence
洛克希德·马丁赞助的午餐,讲了他们那套文件IDS LaikaBOSS
Multivariate Solutions to Emerging PassiveDNS Challenges
还是Dr. PaulVixie讲,去年他也有个类似的议题。
Data Mining Malware for Fun and Profit:Building a Historical Encyclopedia of Adversary Information
这个议题比较有意思,讲述基于VirusTotal的大量历史数据,如何关联出历史的攻击情况。怎样用这些数据构建情报系统。
Community Intelligence &Open Source Tools: Building an Actionable Pipeline
Scott J. Roberts去年也有讲,每场他讲的内容都不一样,每次都有新鲜的东西,这次也不例外。从收集、分析、利用等阶段讲述如何通过开源工具构建情报系统。
Six Years of Threat Intel: Have We Learned Nothing?
从当年google的极光事件就开始提出APT的概念,作者利用情报金字塔的理论回顾过去6年的公开情报报告。从中检查这些报告里面含有的情报,有哪些一直没变的或者变化的。
Data-Driven Threat Intelligence: Metrics on Indicator Dissemination and Sharing
还是Alex Pinto讲他的MLSec和Niddel计划。快速翻了一下他的材料,很多都跟去年的差不多。可能今年更侧重于讲讲他项目运作一年收到的情报和问题吧。这个议题的PPT也有了。
You Got 99 Problems and a Budget’s One
这个议题是Rapid7的美女来讲,讲了不少high level层面东西。又提到了四个层面的威胁情报strategic -> operational -> tactical -> technical
跟管理层汇报情报的要多看看这个议题。
The Revolution in Private Sector Intelligence
作为第二天的第一个议题,由mandiant的网红Richard Bejtlich来讲情报掀起的这场革命的情况。
Hide and Seek: How Threat Actors Respond in the Face of Public Exposure
这个议题也很有意思,由FireEye讲那些公开了的APT报告对攻击方的影响。Fireeye发布那么多APT报告,这个话题由他们来讲讲应该挺合适的。讲述APT报告公开后如何影响攻击者的在策略,时间线,还有使用的资源上的改变。
There Can Be Only One!: Last CTI Vendor Standing Pitch
大概是个圆桌会议吧,有4个厂商,主持人给四个情报厂商每人10分钟时间说服听众用他们的情报。DomainTools的,RecordedFuture的,Centripetal Networks和UpLevel Security。
Anticipating Novel Cyber Espionage Threats
iSight讲的一个议题。攻击总是无可避免,如何基于历史的趋势,评估哪些攻击团伙才是真正对企业构成大的危害。
Cyber Threat Intel: Maturity and Metrics
这个议题讲述如何基于情报周期,来评判一个成熟的情报项目应该是怎样的。这个PPT也有公开了。
Borderless Threat Intelligence: Proactive Monitoring your Supply chain and Customers for Signs of Compromise
情报厂商ThreatStream讲的如何通过情报防护和警惕“队友”被攻击对自己造成的威胁。“队友”是例如供应商、大量被泄露的账户密码,客户,可信的第三方合作伙伴。
We Can Rebuild Him; We Have the Technology
情报厂商ThreatConnect谈他们的情报平台,和处理分析步骤。关键字“YARA hunting & Sandboxing”
From the Cyber Nerdery to the Board Room
最后一个议题由CrowdStrike讲传统的情报训练如何适应现代业务的需求来运用到信息安全领域。
有些议题看上去还是很有吸引力的,不过大部分现在都还没看到PPT,所以都是白说。所以还刷点现场分享的“干货”
各种CC地址、域名的免费feed,更新还挺及时的:(后来经提醒其实很早就有这个资源了)
http://osint.bambenekconsulting.com/feeds/
情报的四个层级的参考来源:
参考:http://www.cpni.gov.uk/advice/cyber/Threat-Intelligence/
各种常见的远控RAT工具:
https://github.com/kevthehermit/RATDecoders
几个已经找到的PPT放到网盘了:
http://pan.baidu.com/s/1i4dIWID
提取密码:mcye
顺祝各位猴年大吉!新年快乐!
欢迎关注zsfnotes的公众号