Webcast: 持久性 vs. 临时性威胁情报 - Black Hills Information Security, Inc.

在这场Black Hills Information Security网络讲座中，John再次阐述了他为什么讨厌威胁情报……
但他也分解了一些专注于持久性威胁情报的酷炫新项目。这一点很关键，因为许多情报源仅仅是域名、哈希和IP地址。然而，通过持久性威胁情报，我们可以看到那些非常有效但不易被阻止的攻击技术。
例如，应用白名单滥用、连接配置文件（RITA！）、PowerShell编码都是你可以使用的检测方法，这些方法不局限于特定时间点的攻击手法。
John还分享了一些非常酷的开源项目，这些项目使用ELK以这种方式处理攻击。
加入Black Hills Information Security Discord讨论服务器 — https://discord.gg/aHHh3u5
本讲座的幻灯片可以在这里找到：https://www.blackhillsinfosec.com/wp-content/uploads/2020/09/SLIDES_Durable_Ephemeral_Threat_Intel_Strand.pdf

时间线：
0:00 – 彼此友好相待
1:06 – 威胁情报：无用的咆哮
7:38 – 痛苦金字塔
10:55 – 你还有另一根弦
14:56 – 与自负的John对话
19:10 – 黑客攻击并不容易
22:21 – ATT&CK宾果游戏™
24:33 – 迭代模拟
27:35 – 一些开源工具
32:03 – 威胁模拟警告
36:59 – MITRE记分卡
45:49 – 一点视角
48:02 – DeTT&CT
48:48 – Sigma
52:29 – 原子威胁覆盖
55:02 – PlumHound
55:39 – RITA
56:50 – 蜜罐
58:21 – 提问时间
1:07:52 – 打破大门

想要提升技能并从John本人那里学习更多？你可以查看以下他的课程！

• SOC核心技能
• 主动防御与网络欺骗
• 通过BHIS和MITRE ATT&CK开始安全之旅
• 渗透测试入门

提供实时/虚拟和点播形式。