持久性与瞬时性威胁情报的技术解析
网络研讨会:持久性 vs. 瞬时性威胁情报
在本期Black Hills信息安全网络研讨会中,John Strand再次剖析了他为何厌恶威胁情报……但同时也重点介绍了一些专注于持久性威胁情报的创新项目。这至关重要,因为许多情报源仅包含域名、哈希值和IP地址。然而,通过持久性威胁情报,我们能够识别那些高度有效但难以拦截的攻击技术。
例如:
- 应用白名单滥用
- 连接配置文件(RITA!)
- PowerShell编码
这些检测方法不依赖于特定时间点的攻击手法,具有长期有效性。John还分享了一些基于ELK栈处理攻击的开源项目。
资源链接:
- 加入Black Hills信息安全Disc讨论服务器:https://discord.gg/aHHh3u5
- 研讨会幻灯片下载:https://www.blackhillsinfosec.com/wp-content/uploads/2020/09/SLIDES_Durable_Ephemeral_Threat_Intel_Strand.pdf
时间轴亮点:
- 0:00 – 友好开场
- 1:06 – 威胁情报的无用性批判
- 7:38 – 痛苦金字塔模型
- 10:55 – 替代方案探讨
- 14:56 – 技术对话实录
- 19:10 – 攻击技术难点分析
- 22:21 – ATT&CK宾果游戏
- 24:33 – 迭代式攻击模拟
- 27:35 – 开源工具介绍(Sigma/Atomic Threat Coverage/PlumHound)
- 32:03 – 威胁模拟警告
- 36:59 – MITRE评分卡
- 45:49 – 技术视角拓展
- 48:02 – DeTT&CT框架
- 48:48 – Sigma检测规则
- 52:29 – Atomic Threat Coverage
- 55:02 – PlumHound工具
- 55:39 – RITA网络分析
- 56:50 – 蜜罐技术
- 58:21 – 观众问答
- 1:07:52 – 技术攻坚总结
进阶学习:
John Strand提供的课程包括SOC核心技能、主动防御与网络欺骗、BHIS与MITRE ATT&CK安全入门、渗透测试基础等,支持直播/虚拟及点播学习。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
浙公网安备 33010602011771号