2018 SANS網路威脅情報峰會初探

作者：zsfnotes

更多文章，請訪問 --http://www.sec-un.org

2018年的SANS 網路威脅情報峰會Cyber Threat Intelligence Summit剛剛在美國華盛頓開完，議題大部分都已經可以公開下載了（兩天18個議題，只有一個涉及敏感歷史話題沒有公開）。PPT可以自行學習了，這裡把圍觀到的一些其他知識點簡單總結一下。第六個年頭，老美的威脅情報圈子更多的在討論情報分析的思考方法，從傳統軍事領域尋求思路，用於網路安全領域中，對情報的作用、落地、用法更多的是集中在戰略層面（道）的討論而不是僅僅是具體的技術層面（術），從請的演講嘉賓可見一斑——不少以前都是有從事military intelligence background的。

01-Survival Heuristics: My Favorite Techniques for Avoiding Intelligence Traps

02-There Is MOAR To Structured Analytic Techniques Than Just ACH!

第一天開篇的兩個重要議題都是有關SAT（structured analytic techniques）結構化分析的。一個是前CIA副局長，一個是Digital Shadows情報公司CISO（也是多年的CTI峰會出品人）。CIA副局長的議題Survival Heuristics: My Favorite Techniques for Avoiding Intelligence Traps講各種情報分析時應避免的一些陷阱，主要是思維方式上，PPT都是大字報，此處只能略過了。第二個議題是CISO，Rick Holland講的SAT，不只僅局限於 「競爭假設分析法」ACH。總的來說核心不在於如何結構化的思考，而是通過結構化幫助更好的思考。這個提議後續會放出視頻，關於結構化分析技術，他推薦了一本書——《Cases in Intelligence Analysis; Structured Analytic Techniques in Action》，之前的威脅情報峰會他也曾推薦過《情報分析心理學》，後來被各種場合引用過。

03-I Can Haz Requirements?: Requirements and Cyber Threat Intelligence Program Success

第三個議題是邁克菲的高級研究員Michael Rea講的「情報需求」RFI，Requirement For Intelligence。各種CTI流程介紹的第一步都是講requirement，但是沒有幾個公司或者安全廠商討論這個第一步。這個議題就是在論述確定requirement的重要性以及如何去確定，找哪些人去確定，怎樣才算是好的的需求。以前Robert M. Lee的培訓課就曾經講過這個問題。CEO，董事會，藍軍，SOC，IR團隊，品牌保護等等都是很好的需求來源方。Robert M. Lee還曾給過一條tips，實在找不到，情報團隊也應從業務上去分析，業務上直接跟公司收益密切相關的方面找出一些需求，這樣情報才能圍繞需求展開下一步工作。這個PPT裡頭全是文字加各種搞笑配圖，只能參考一下裡面的關鍵字自行理解了。這裡筆者舉個通俗的例子。IR團隊可能很容易通過防火牆IPS成功攔截了一起異常流量的攻擊，但是為什麼突然會有這樣的攻擊呢？是惡意攻擊？還是流彈誤傷？後續能不能預測什麼時候還有攻擊呢？是誰攻擊的？這個時候其實就是對情報團隊的需求，IR團隊負責響應，情報團隊負責深挖背後原因，通過更深入發散原始日誌關聯更多內外部線索去解答這些問題了。情報的豐富上下文信息，攻擊者團伙歸類溯源等等後續工作都為此而展開。

04-Intelligence Preparation of the Cyber Environment

第四個議題是把軍事領域裡面IPB（Intelligence Preparation for the Battlefield）的理念運用到網路安全領域，主要講了在網路安全領域進行IPB評估發一套方法論體（IPCE， Intelligence Preparation of the Cyber Environment）。演講者Rob Dartnall就是有Military IntelligenceBackground的經驗。IPCE的四個步驟裡面，對環境的評估就佔了很多一部分，而他認為Situational Awareness雖然是個美好的事情，但是永遠都無法達到，因為環境一直在變化。想要對環境的評估分析取得成功的關鍵是用敵人的視角去評估。這又是一套軍事理論用於網路安全的借鑒。每個環節，每個步驟，PPT裡頭還是有比較詳細的說明的，值得深入研究一下。

05-Event Threat Assessments: G20 as a Case Study for Using Strategic Cyber Threat Intelligence to Improve Security

第五個議題來自國際貨幣基金組織（IMF）的威脅情報官的議題，也是有10多年在美軍做Military Intelligence的。議題以G20峰會為例，講解戰略情報、ACH（Analysis of Competing Hypotheses）的運用。看上去是個很不錯的case study，通過Recorded Future之類的工具到真正輸出一份切實可行的報告，結合各種假設、預測、分析得出評估報告，最終使得峰會工作有序開展。現在大到國家，小到公司的各種重要首腦峰會都要求網路安全團隊提供安全保障了，像FIRST年會也有關於巴西里約奧運會的網路安全保障的議題，而這一個是從網路威脅情報角度的分析，PPT內容只有一個大概，如果有視頻放出後續也可以作為一個參考學習了。

---------開始有些戰術層面實踐類的---------

06-Hunting Hidden Empires with TLS-Certified Hypotheses（推薦）

第六議題是splunk研究員結合splunk&機器學習對TLS分析來識別惡意的流量。實戰性很強，提供了不少分析TLS的資源。也舉了搜捕PowerShell Empire惡意軟體為例子。這個PPT可以詳細研究

07-Intelligent Hunting: Using Threat Intelligence to Guide Your Hunts（推薦）

第七個議題來自專註做hunting的Sqrrl公司（最近被amazon收購了）的研究員，如何利用更高層級（情報金字塔Pyramid of Pain上層）的情報來發現入侵活動。每年CTI峰會都有些很實在的議題，雖然是商業公司的研究員但是也會提供很多open source的方案。比如這個The Hunting ELK，還有通過ELK檢測Minikatz的。通過結合hunting的流程中使用威脅情報

08-Homemade Ramen & Threat Intelligence: A Recipe for Both（推薦）

最後一個議題（第一天）是Scott J. Roberts和Matt Bromiley的自製拉麵和威脅情報的食譜。議題名稱跟Scott J. Roberts一貫演講內容風格一樣都是兼顧了通俗易懂還能落地。Scott J. Roberts還是《情報驅動的應急響應》作者（Intelligence-Driven Incident Response）。這個議題同樣提供了不少開源方案，從落地的工具，情報數據源，流程（還是之前提的F3EAD）梳理出「情報食譜」。工具上像Maltego，DomainTools，Passive Total，Shodan這些大家可能都早已耳熟能詳了。這次還推薦了YETI，https://yeti-platform.github.io/ 一個集ioc管理，攻擊活動跟蹤，feed數據還有調查分析的情報平台。此前的情報社區裡頭的threat_note，也有類似大部分功能，但是從功能介紹看，threat_note更側重於情報數據的管理，而YETI還多了個分析的功能。另外似乎threat_note已經很久沒有更新過了。threat_note當時也可謂是ThreatConnect的開源版本，作為情報平台推廣最直觀可用的demo。

第二天的議題繼續從戰略層面開始

09-Attributing Active Measures, Then and Now

第二天的Keynote是Thomas Rid講，大學教授，戰爭學系，專註於戰略研究。這個議題也是唯一沒有公開PPT的議題。其中議題題目裡頭Attributing Active其實是一個專有名詞，專門指蘇聯時期通過秘密的或欺騙性的行動包括製造虛假信息或蓄意傳播謊言而影響世界性事件的一些列行動。這個演講裡頭披露了一個未曾公開的歷史事件Operation Swastika（大致是1959~1960年間蘇聯/東德在西德製造反猶太行動，然後嫁禍給西方國家！？）這個歷史事件就是具有很明顯的製作虛假和誤導的意圖在裡面。演講大意是以這個角度，從intelligence operations, active measures, misinformation幾個方面說明情報在分析過程中證據收集、意圖猜測都很容易掉入敵人的圈套中。這個Keynote跟這天其他兩個議題都有相似的論調——情報中的「misinformation」。

10-The Challenge of Adversary Intent and Deriving Value Out of It

第二個議題是Robert M. Lee的「對手的意圖」，很多管理層對情報的初期的期望就是確定敵人/對手的意圖（intent），然而其實是對情報一個很大的挑戰。議題簡介里說通過具體的use cases來講述如何應對這個挑戰。但是從實際的演講看，似乎也沒有什麼大招。主要是要認清「收集」本身是偏見的。感知意圖其實也是有限的，更應該聚焦於實際發生了什麼。

11-Legal Implications of Threat Intelligence Sharing

第三個議題外包法律處理公司UnitedLex的首席隱私官Jason Straight從法律角度討論情報共享。還有CISA（Cybersecurity Information Sharing Act）方面的，關注法律法規，共享風險，共享合規性方面的可以關注一下。

12-Leveraging Curiosity to Enhance Analytic Technique

第四個議題，這個也是個「道」上思考問題的議題。關於curiosity好奇心，認知，思考思路對情報分析的影響。認識人思考過程是怎樣形成的以幫助更好的「分析」。結論都在倒是第二頁PPT了。

13-AlphaBay Market: Lessons From Underground Intelligence Analysis

第五個議題，埃森哲安全顧問對AlphaBay暗網的研究。

14-Determining the Fit and Impact of Cyber Threat Intelligence Indicators on Your Monitoring Pipeline (TIQ-Test 2.0)

第六個，Alex Pinto的TIQ-Test 2.0，每年必講。

15-Upgrading Your Cyber Threat Intelligence to Track Down Criminal Hosting Infrastructures（推薦）

第七個，思科的OpenDNS安全研究主管Dhia Mahjoub，講追蹤「Bullet Proof Hosting」（可以理解為惡意/非法內容的hosting服務商吧，什麼垃圾郵件在線賭博等等）演講者說不到2000刀就可以建立起自己的bullet proof hosting。

16-ElasticIntel: Building an Open-Source, Low-Cost, Scalable, and Performant Threat Intel Aggregation Platform（推薦）

第九個，Matt Jane，ElasticIntel，一個基於AWS構建的開源威脅情報源聚合平台。主要是IOC的收集平台，收集了情報源，並用API提供出來。

17-Information Anarchy: A Survival Guide for the Misinformation Age

最後一個，是Rapid7的女演講者，也是Intelligence-Driven Incident Response書聯合作者。這個議題跟keynote類似，也在講Misinformation，講Information Anarchy（信息的無政府狀態），信息爆炸的時代，缺乏有效的控制檢驗消息源的真實性，很難基於此而做決定。議題里提供了個工具http://newsdiffs.org/ 跟蹤新聞媒體改了什麼內容，看到信息是如何一步步修正得更準確的。還有她GitHub上一個Word lists去分析這些公開媒體的消息內容。

最後一個小八卦，兩天的兩個Keynote演講者都是出書的大拿，而且竟然都已經有中文譯本了。一本是《優秀的叛逆者：引領組織變革的力量》，提出叛逆思想的人如何在組織團隊里影響其他人影響上級。一本是《網路戰爭:不會發生》，不產生真正的傷亡不算是戰爭。

議題打包下載地址：https://pan.baidu.com/s/1kW9HGaF 密碼：62py

推薦閱讀：