世界一流的威胁情报技术论坛讲点啥?(附PPT)
作者: 日期:2016年09月29日 阅:4,690

上个月召开的2016中国互联网安全大会上,只是分论坛就有十几个,其中安全牛承办的威胁情报论坛,五个演讲中英语演讲的嘉宾就占了三位。议题内容涵盖漏洞利用工具包分析、动态DNS、PDNS、被动威胁感知和APT真实案例五个方面。

1434573482800

据论坛执行主席宫一鸣介绍,这三位老外的演讲内容放到其它世界级的安全大会上,如RSA或Defcon上都毫不逊色。比如,John Bambenek 的EK(漏洞利用工具包)议题已经被安全技术圈专业类难度很大的 VB Conference会议选中,在本次ISC上是首次公开介绍。此外,两个中文演讲也均在技术上比较有新意。

一、跟踪漏洞利用工具包

演讲嘉宾是Fidelis公司的威胁情报专家 John Bambenek。John的牛叉之处就不过多介绍了,这里稍稍透露一下,国际刑警破获网络犯罪组织宙斯,就有他提供数据的贡献。

John在去年的互联网安全大会威胁情报论坛上就是演讲者,当时他讲的是域名算法生成(DGA)。这次再登威胁情报论坛,John带来的是对漏洞利用工具包(EK,Exploit Kits)的技术分析。

12

网络犯罪已经是一个成熟的产业链,即便打倒一些流行的恶意软件,新的恶意软件很快就会出现。但几乎所有的恶意软件都通过两种方法传播,一是发送垃圾邮件的僵尸网络,二是EK。因此,斩蛇斩七寸,直接捣毁恶意软件的生态系统才是上策。一个明显的例子,就是当时排名第一的漏洞利用工具包Angler的操纵者Lurking团伙,在被俄罗斯警方抓获后,Angler一夜间从网上消失。

John的演讲对几个EK的样本从多个维度进行了技术分析,详细讲解了如何使用威胁情报来追踪并捕获EK。

下载地址:

http://101.201.73.9/201609/1.ppt

二、APT攻击中的虚假情报

360追日团队的胡星儒在演讲中,介绍了APT的发展现状。胡星儒认为,全球APT攻击依然活跃,针对中国的APT攻击持续增长,而且难以定性,并存在嫁祸、假情报等情况。0

 

在相关真实案例分析环节,对洋葱狗、ICEFOG、DUQU2.0等恶意软件,SWIFT、DNC邮件门、美人鱼行动等攻击事件,以及国外情报机构的活动进行了分析。演讲的最后介绍了APT的影响和应对之法。

下载地址:

http://101.201.73.9/201609/2.ppt

三、动态DNS的滥用

堪称全球骨干网核心路分析的老大,全球最大的动态DNS解析服务商之一DYN公司的高级数据分析师 Chris Baker,从四个方面介绍了动态DNS技术的相关问题:

动态DNS服务(犯罪成本模型);有效数据分析;交互模式;应用方法论(Jscript感染、DNS信标)。

22

在真实案例介绍中,Chris以苹果钓鱼页面为例,从多个维度分析了网络犯罪分子的作案过程和方法。

下载地址:

http://101.201.73.9/201609/3.ppt

四、网络空间被动威胁感知技术

灯塔实验室高级研究员王启蒙,从基础威胁情报谈起,介绍了如何从各个维度收集威胁情报,包括物联网搜索引擎Shodan的利用,同时也介绍了他们的被动威胁感知架构体系。

31

从演讲内容中可以看出,灯塔实验室对威胁情报,对工控安全方面的研究全面深入详实,非常值得借鉴和参考。

下载地址:

http://101.201.73.9/201609/4.ppt

五、Passive DNS 的多元解决方案

Passive DNS 技术的开山鼻祖威胁情报公司Farsight,其最大的优势就是域名数据的积累。此次在ISC威胁情报论坛演讲的是Farsight首席技术官 Merike Kaeo 女士。

Merike从PDNS的典型使用、难点、多元解决方案、Whois与地理位置和恶意活动的真实案例等几个方面进行阐述。

41

Merike认为随着PDNS应用的广泛,大家正在找出新的方法使用这些数据。恶意软件的利用者通过掩盖他们的痕迹,令调查追踪工作更加困难,但同时PDNS也是一种高效的工具,可以丰富威胁情报,提升数据调查工作。理解PDNS的使用技术,可以帮助企业走在威胁的前面。

下载地址:

http://101.201.73.9/201609/5.ppt

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章