给留守到最后的人给火车上的人解解闷，SANS网络威胁情报峰会(CTIsummit2016)在美国时间2月3日-4日刚刚举行完。今年没机会去现场，刷了两天墙外的现场报道。

情报熟了

今年还是在华盛顿举行，主持还是Forrester的Rick Holland和洛克希德·马丁Mike Cloppert，两天大概20来个议题。分享的人跟去年有不少重合的。撑起这场会议的speaker主要还是我上一篇公众号《如何选择威胁情报厂商》里提到那些厂商。一如今年议题里面出现比较多的一个字眼“Maturity”，似乎情报已经热熟了，也没有太多新的东西了。更多的是讨论现有基础上如何做成熟，做得好。不过今年是多了几家大厂商像mandiant，像CrowdStrike上去讲。

议题一瞥

• The Levels of Threat Intelligence

洛克希德·马丁Mike讲第一个议题。看上去是科普性的介绍一下情报的层级，历史以及应用情况。

• An End User’s Perspective on the ThreatIntelligence Industry

摩根银行 CISO讲金融机构怎么运用威胁情报。

• Threat Intelligence Awakens

Forrester的Rick讲情报市场的醒觉。（这个议题已经有PPT）

• Plumbing’s Done! Now What Do We Do With AllThis Water

国土安全部的高级技术官讲一个已经成功在使用的CTI应用。估计主要应该偏向于STIX/TAXII标准的落地情况。

• Turning Malicious VBA into a Source ofThreat Intelligence

洛克希德·马丁赞助的午餐，讲了他们那套文件IDS LaikaBOSS

• Multivariate Solutions to Emerging PassiveDNS Challenges

还是Dr. PaulVixie讲，去年他也有个类似的议题。

• Data Mining Malware for Fun and Profit:Building a Historical Encyclopedia of Adversary Information

这个议题比较有意思，讲述基于VirusTotal的大量历史数据，如何关联出历史的攻击情况。怎样用这些数据构建情报系统。

• Community Intelligence &Open Source Tools: Building an Actionable Pipeline

Scott J. Roberts去年也有讲，每场他讲的内容都不一样，每次都有新鲜的东西，这次也不例外。从收集、分析、利用等阶段讲述如何通过开源工具构建情报系统。

• Six Years of Threat Intel: Have We Learned Nothing?

从当年google的极光事件就开始提出APT的概念，作者利用情报金字塔的理论回顾过去6年的公开情报报告。从中检查这些报告里面含有的情报，有哪些一直没变的或者变化的。

• Data-Driven Threat Intelligence: Metrics on Indicator Dissemination and Sharing

还是Alex Pinto讲他的MLSec和Niddel计划。快速翻了一下他的材料，很多都跟去年的差不多。可能今年更侧重于讲讲他项目运作一年收到的情报和问题吧。这个议题的PPT也有了。

• You Got 99 Problems and a Budget’s One

这个议题是Rapid7的美女来讲，讲了不少high level层面东西。又提到了四个层面的威胁情报strategic -> operational -> tactical -> technical

跟管理层汇报情报的要多看看这个议题。

• The Revolution in Private Sector Intelligence

作为第二天的第一个议题，由mandiant的网红Richard Bejtlich来讲情报掀起的这场革命的情况。

• Hide and Seek: How Threat Actors Respond in the Face of Public Exposure

这个议题也很有意思，由FireEye讲那些公开了的APT报告对攻击方的影响。Fireeye发布那么多APT报告，这个话题由他们来讲讲应该挺合适的。讲述APT报告公开后如何影响攻击者的在策略，时间线，还有使用的资源上的改变。

• There Can Be Only One!: Last CTI Vendor Standing Pitch

大概是个圆桌会议吧，有4个厂商，主持人给四个情报厂商每人10分钟时间说服听众用他们的情报。DomainTools的，RecordedFuture的，Centripetal Networks和UpLevel Security。

• Anticipating Novel Cyber Espionage Threats

iSight讲的一个议题。攻击总是无可避免，如何基于历史的趋势，评估哪些攻击团伙才是真正对企业构成大的危害。

• Cyber Threat Intel: Maturity and Metrics

这个议题讲述如何基于情报周期，来评判一个成熟的情报项目应该是怎样的。这个PPT也有公开了。

• Borderless Threat Intelligence: Proactive Monitoring your Supply chain and Customers for Signs of Compromise

情报厂商ThreatStream讲的如何通过情报防护和警惕“队友”被攻击对自己造成的威胁。“队友”是例如供应商、大量被泄露的账户密码，客户，可信的第三方合作伙伴。

• We Can Rebuild Him; We Have the Technology

情报厂商ThreatConnect谈他们的情报平台，和处理分析步骤。关键字“YARA hunting & Sandboxing”

• From the Cyber Nerdery to the Board Room

最后一个议题由CrowdStrike讲传统的情报训练如何适应现代业务的需求来运用到信息安全领域。

有些议题看上去还是很有吸引力的，不过大部分现在都还没看到PPT，所以都是白说。所以还刷点现场分享的“干货”

各种CC地址、域名的免费feed，更新还挺及时的：（后来经提醒其实很早就有这个资源了）

http://osint.bambenekconsulting.com/feeds/

情报的四个层级的参考来源：

参考：http://www.cpni.gov.uk/advice/cyber/Threat-Intelligence/

各种常见的远控RAT工具：

https://github.com/kevthehermit/RATDecoders

几个已经找到的PPT放到网盘了：

http://pan.baidu.com/s/1i4dIWID

提取密码：mcye

顺祝各位猴年大吉！新年快乐！

欢迎关注zsfnotes的公众号