BlackHat2017熱點(diǎn)之?dāng)?shù)據(jù)取證與事件響應(yīng)
美國黑帽大會(Black Hat USA)創(chuàng)辦于1997年,被公認(rèn)為世界信息安全行業(yè)的最高盛會,也是最具技術(shù)性的信息安全會議。大會每年吸引全球來自100多個(gè)國家的超過1萬5千名專業(yè)觀眾參與、250多家展商進(jìn)行產(chǎn)品展示和商務(wù)交流,同期更有180多位知名演講嘉賓帶來技術(shù)干貨以及主辦方精心策劃的幾十場專業(yè)培訓(xùn)。黑帽安全技術(shù)大會始終保持中立和客觀的態(tài)度,通過不同的現(xiàn)場活動(dòng),著眼于最快最好地提出問題的解決方案和操作技巧,始終引領(lǐng)安全思想和技術(shù)走向,成為信息及網(wǎng)絡(luò)安全、計(jì)算機(jī)/電信、金融服務(wù)、民用及軍用防御系統(tǒng),行業(yè)機(jī)構(gòu),企業(yè)以及政府每年必參加的信息安全行業(yè)活動(dòng)首選。(E安全注:Jeff Moss 在1993年創(chuàng)辦 Defcon,1997年創(chuàng)辦Black Hat并于2005 年將Black Hat以1400萬美金賣給 CMP Media。)
Black Hat USA 2017
今年的黑帽大會在美國內(nèi)華達(dá)州拉斯維加斯曼德勒海灣度假酒店舉行。會議包含幾大特色:
- 簡報(bào)(Briefings):了解信息安全風(fēng)險(xiǎn)和最新趨勢。安全專家將分享開創(chuàng)性研究、開源工具、零日漏洞,此外還會發(fā)布最新的攻擊和防御研究。
- 工具庫(Arsenal), 獨(dú)立研究人員和開源社區(qū)將展示最新的開源工具和產(chǎn)品。Arsenal在開放的對話環(huán)境中現(xiàn)場演示工具,講解者能與參會者互動(dòng)提供實(shí)踐經(jīng)驗(yàn)。
- 商業(yè)廳(Business Hall),超過1.5萬名信息安全專業(yè)人士齊聚一堂評估Black Hat主辦方提供的一系列工具和產(chǎn)品。2017年開辦的商業(yè)廳將會為參與者、供應(yīng)商等提供更多機(jī)會。
據(jù)Black Hat官網(wǎng)發(fā)布的信息顯示,Black Hat USA 2017將通過四天的技術(shù)培訓(xùn)(7月22日-7月25日)拉開帷幕,此后會舉辦為期兩天的主要會議(7月26日-7月27日)。
為期六天的大會將提供培訓(xùn)、演講、業(yè)務(wù)拓展和人才招聘等眾多機(jī)遇,滿足不同參會人士的實(shí)際需求。
其中,首席信息安全官(CISO)峰會將邀請全球最知名的網(wǎng)絡(luò)信息安全專家和領(lǐng)導(dǎo)者,從執(zhí)行層的角度和觀點(diǎn)去闡述關(guān)于安全技術(shù)、資源和技術(shù)的發(fā)展和需求,來滿足商業(yè)發(fā)展的步伐。隨著商業(yè)領(lǐng)袖需求應(yīng)用發(fā)展周期的加速,隨著客戶和雇員對數(shù)字裝置需求的提高和多元化,如何提升安全技術(shù)和資源顯得越來越重要。作為企業(yè)首席信息安全官,也必須全面、精細(xì)地了解,以此來更好的為企業(yè)創(chuàng)造價(jià)值、保駕護(hù)航。
Arsenal,將是世界上唯一能夠?yàn)橛脩籼峁┡c最厲害的黑客交流的機(jī)會,并能見到客戶一直以來很依賴的安全設(shè)備的作者。在主辦方指定的現(xiàn)場區(qū)域,將見識到多名獨(dú)立研究者和開源社區(qū)的演示。職業(yè)發(fā)展論壇是為了幫助一些個(gè)人擁有他們在信息安全領(lǐng)域職業(yè)生涯快速發(fā)展的更好機(jī)會,并作出關(guān)于職業(yè)發(fā)展更精準(zhǔn)的決策,對于如何利用自己的技術(shù)優(yōu)勢去強(qiáng)化自己的職業(yè)發(fā)展作出更好的引導(dǎo)。
數(shù)字取證與事件響應(yīng)課程與產(chǎn)品
強(qiáng)大的數(shù)據(jù)取證和事件響應(yīng)能力對檢測和緩解網(wǎng)絡(luò)攻擊至關(guān)重要。多個(gè)訪問點(diǎn)、移動(dòng)和聯(lián)網(wǎng)設(shè)備融合以及海量數(shù)據(jù)使得這項(xiàng)工作十分艱巨。今年的黑帽大會將呈現(xiàn)數(shù)據(jù)取證與數(shù)據(jù)響應(yīng)跟蹤相關(guān)培訓(xùn)、介紹和Arsenal工具。以下為今年黑帽大會幾大備受期待的數(shù)字取證與事件響應(yīng)課程與產(chǎn)品:
數(shù)字取證與事件響應(yīng)
這次黑帽大會將通過“數(shù)字取證與事件響應(yīng)”培訓(xùn)深入探究基本取證方法。培訓(xùn)者使用現(xiàn)實(shí)世界的調(diào)查補(bǔ)充理論解釋,并廣泛了解程序,提升技能。在為期四天的培訓(xùn)課程(7月22日-7月25日)中,培訓(xùn)者可以綜合了解文件系統(tǒng)理論、應(yīng)用分析、電子郵件和照片取證、事件日志審查等知識,并了解Windows 8、Windows 10和其它操作系統(tǒng)的數(shù)字取證與事件響應(yīng)。
Windows企業(yè)事件響應(yīng)
“Windows企業(yè)事件響應(yīng)”(7月22日-7月23日)將介紹最新的Windows調(diào)查工具。實(shí)驗(yàn)室和模擬攻擊提供操縱Windows系統(tǒng)和服務(wù)器的直接體驗(yàn),同時(shí)提供能用于任何系統(tǒng)的自適應(yīng)技術(shù)。培訓(xùn)將初始分析和查詢轉(zhuǎn)移到單個(gè)系統(tǒng)和企業(yè)環(huán)境中的發(fā)現(xiàn)與響應(yīng)。課程覆蓋了入侵過程和緩解的分析、記錄與宣傳,從而以全面的視角了解威脅形勢。
網(wǎng)絡(luò)取證:持續(xù)監(jiān)控與測量
“網(wǎng)絡(luò)取證:持續(xù)監(jiān)控與測量”培訓(xùn)(7月22日-7月25日)將介紹相關(guān)工具,并幫助培訓(xùn)者了解如何提取并保存安全、隔離環(huán)境中的網(wǎng)絡(luò)證據(jù)。課程依賴培訓(xùn)者對TCP/IP網(wǎng)絡(luò)和Linux系統(tǒng)的了解防止社會工程攻擊,并接收網(wǎng)絡(luò)取證專家專為網(wǎng)絡(luò)取證培訓(xùn)者設(shè)計(jì)的全負(fù)荷取證工作站。
撤銷-混淆:借助學(xué)科實(shí)現(xiàn)PowerShell 混淆檢測(與規(guī)避)
“撤銷-混淆:借助學(xué)科實(shí)現(xiàn)PowerShell 混淆檢測(與規(guī)避)”(Revoke-Obfuscation: PowerShell Obfuscation Detection (And Evasion):7月27日|5:00pm-6:00pm)將解決PowerShell漏洞,以及規(guī)避嵌入式安全和惡意利用的機(jī)會。雖然PowerShell配備了反惡意軟件檢測工具,但多個(gè)逃避途徑仍能使攻擊得逞。研究人員介紹了撤銷-混淆---利用統(tǒng)計(jì)分析、字符分配和命令調(diào)用檢查的PowerShell框架,并發(fā)布了檢測混淆的新技術(shù)。
Ochko123---美國政府如何抓捕俄羅斯黑客羅曼·謝列茲尼奧夫
“Ochko123---美國政府如何抓捕俄羅斯黑客羅曼·謝列茲尼奧夫”(Ochko123 - How the Feds Caught Russian Mega-Carder Roman Seleznev:7月26日| 4:00pm-4:50pm)將分享追蹤謝列茲尼奧夫的方法。這名俄羅斯黑客因參與一系列網(wǎng)絡(luò)計(jì)劃導(dǎo)致美國企業(yè)損失逾1.69億美元被判27年監(jiān)禁。安全專家將通過該主題介紹調(diào)查人員獲取證據(jù)使用的工具和過程,并模擬追蹤數(shù)字足跡,以及美國聯(lián)邦政府具備的權(quán)限以及NSA使用的工具。
海量數(shù)據(jù)使事件檢測與響應(yīng)復(fù)雜化。黑帽大會Arsenal將通過開源工具提升取證分析和響應(yīng)能力。
CyBot---開源威脅情報(bào)聊天機(jī)器人
CyBot---開源威脅情報(bào)聊天機(jī)器人(7月26 | 4:00pm-5:20pm):以低于35美元的價(jià)格匯總多個(gè)端點(diǎn)的數(shù)據(jù)。
DefPloreX---大規(guī)模網(wǎng)絡(luò)犯罪取證的機(jī)器學(xué)習(xí)工具
DefPloreX---大規(guī)模網(wǎng)絡(luò)犯罪取證的機(jī)器學(xué)習(xí)工具(7月27 | 1:00pm-2:20pm):使用機(jī)器學(xué)習(xí)和可視化技術(shù)匯總開源庫的數(shù)據(jù),從而提供事件、攻擊和漏洞的實(shí)時(shí)信息。
Yalda---自動(dòng)批量智能收集工具
Arsenal還將介紹一款工具Yalda---自動(dòng)批量智能收集工具(7月26日 | 10:00am-11:20am):幫助用戶借助自動(dòng)化掃描、測試和編目文件擴(kuò)展數(shù)據(jù)挖掘。
