美国黑帽大会(Black Hat USA)创办于1997年,被公认为世界信息安全行业的最高盛会,也是最具技术性的信息安全会议。大会每年吸引全球来自100多个国家的超过1万5千名专业观众参与、250多家展商进行产品展示和商务交流,同期更有180多位知名演讲嘉宾带来技术干货以及主办方精心策划的几十场专业培训。黑帽安全技术大会始终保持中立和客观的态度,通过不同的现场活动,着眼于最快最好地提出问题的解决方案和操作技巧,始终引领安全思想和技术走向,成为信息及网络安全、计算机/电信、金融服务、民用及军用防御系统,行业机构,企业以及政府每年必参加的信息安全行业活动首选。(E安全注:Jeff Moss 在1993年创办 Defcon,1997年创办Black Hat并于2005 年将Black Hat以1400万美金卖给 CMP Media。)
Black Hat USA 2017
今年的黑帽大会在美国内华达州拉斯维加斯曼德勒海湾度假酒店举行。会议包含几大特色:
- 简报(Briefings):了解信息安全风险和最新趋势。安全专家将分享开创性研究、开源工具、零日漏洞,此外还会发布最新的攻击和防御研究。
- 工具库(Arsenal), 独立研究人员和开源社区将展示最新的开源工具和产品。Arsenal在开放的对话环境中现场演示工具,讲解者能与参会者互动提供实践经验。
- 商业厅(Business Hall),超过1.5万名信息安全专业人士齐聚一堂评估Black Hat主办方提供的一系列工具和产品。2017年开办的商业厅将会为参与者、供应商等提供更多机会。
据Black Hat官网发布的信息显示,Black Hat USA 2017将通过四天的技术培训(7月22日-7月25日)拉开帷幕,此后会举办为期两天的主要会议(7月26日-7月27日)。
为期六天的大会将提供培训、演讲、业务拓展和人才招聘等众多机遇,满足不同参会人士的实际需求。
其中,首席信息安全官(CISO)峰会将邀请全球最知名的网络信息安全专家和领导者,从执行层的角度和观点去阐述关于安全技术、资源和技术的发展和需求,来满足商业发展的步伐。随着商业领袖需求应用发展周期的加速,随着客户和雇员对数字装置需求的提高和多元化,如何提升安全技术和资源显得越来越重要。作为企业首席信息安全官,也必须全面、精细地了解,以此来更好的为企业创造价值、保驾护航。
Arsenal,将是世界上唯一能够为用户提供与最厉害的黑客交流的机会,并能见到客户一直以来很依赖的安全设备的作者。在主办方指定的现场区域,将见识到多名独立研究者和开源社区的演示。职业发展论坛是为了帮助一些个人拥有他们在信息安全领域职业生涯快速发展的更好机会,并作出关于职业发展更精准的决策,对于如何利用自己的技术优势去强化自己的职业发展作出更好的引导。
数字取证与事件响应课程与产品
强大的数据取证和事件响应能力对检测和缓解网络攻击至关重要。多个访问点、移动和联网设备融合以及海量数据使得这项工作十分艰巨。今年的黑帽大会将呈现数据取证与数据响应跟踪相关培训、介绍和Arsenal工具。以下为今年黑帽大会几大备受期待的数字取证与事件响应课程与产品:
数字取证与事件响应
这次黑帽大会将通过“数字取证与事件响应”培训深入探究基本取证方法。培训者使用现实世界的调查补充理论解释,并广泛了解程序,提升技能。在为期四天的培训课程(7月22日-7月25日)中,培训者可以综合了解文件系统理论、应用分析、电子邮件和照片取证、事件日志审查等知识,并了解Windows 8、Windows 10和其它操作系统的数字取证与事件响应。
Windows企业事件响应
“Windows企业事件响应”(7月22日-7月23日)将介绍最新的Windows调查工具。实验室和模拟攻击提供操纵Windows系统和服务器的直接体验,同时提供能用于任何系统的自适应技术。培训将初始分析和查询转移到单个系统和企业环境中的发现与响应。课程覆盖了入侵过程和缓解的分析、记录与宣传,从而以全面的视角了解威胁形势。
网络取证:持续监控与测量
“网络取证:持续监控与测量”培训(7月22日-7月25日)将介绍相关工具,并帮助培训者了解如何提取并保存安全、隔离环境中的网络证据。课程依赖培训者对TCP/IP网络和Linux系统的了解防止社会工程攻击,并接收网络取证专家专为网络取证培训者设计的全负荷取证工作站。
撤销-混淆:借助学科实现PowerShell 混淆检测(与规避)
“撤销-混淆:借助学科实现PowerShell 混淆检测(与规避)”(Revoke-Obfuscation: PowerShell Obfuscation Detection (And Evasion):7月27日|5:00pm-6:00pm)将解决PowerShell漏洞,以及规避嵌入式安全和恶意利用的机会。虽然PowerShell配备了反恶意软件检测工具,但多个逃避途径仍能使攻击得逞。研究人员介绍了撤销-混淆---利用统计分析、字符分配和命令调用检查的PowerShell框架,并发布了检测混淆的新技术。
Ochko123---美国政府如何抓捕俄罗斯黑客罗曼·谢列兹尼奥夫
“Ochko123---美国政府如何抓捕俄罗斯黑客罗曼·谢列兹尼奥夫”(Ochko123 - How the Feds Caught Russian Mega-Carder Roman Seleznev:7月26日| 4:00pm-4:50pm)将分享追踪谢列兹尼奥夫的方法。这名俄罗斯黑客因参与一系列网络计划导致美国企业损失逾1.69亿美元被判27年监禁。安全专家将通过该主题介绍调查人员获取证据使用的工具和过程,并模拟追踪数字足迹,以及美国联邦政府具备的权限以及NSA使用的工具。
海量数据使事件检测与响应复杂化。黑帽大会Arsenal将通过开源工具提升取证分析和响应能力。
CyBot---开源威胁情报聊天机器人
CyBot---开源威胁情报聊天机器人(7月26 | 4:00pm-5:20pm):以低于35美元的价格汇总多个端点的数据。
DefPloreX---大规模网络犯罪取证的机器学习工具
DefPloreX---大规模网络犯罪取证的机器学习工具(7月27 | 1:00pm-2:20pm):使用机器学习和可视化技术汇总开源库的数据,从而提供事件、攻击和漏洞的实时信息。
Yalda---自动批量智能收集工具
Arsenal还将介绍一款工具Yalda---自动批量智能收集工具(7月26日 | 10:00am-11:20am):帮助用户借助自动化扫描、测试和编目文件扩展数据挖掘。
作者:佚名
来源:51CTO
