BlueHat v15宣布日程安排和注册信息

随着第15届BlueHat安全会议的临近，我们很高兴宣布本次活动的演讲者和主题阵容。今年将继续通过扎实的演讲者和主题选择，让工程师、高管和特邀嘉宾参与讨论并解决当今行业面临的一些最棘手问题。通过这次会议，我们的工程团队将从经验丰富的行业专家那里获得关于最新威胁的深度技术信息和教育。

BlueHat定于1月12日星期二至1月13日在微软雷德蒙德园区举行。第一天将设定威胁环境的背景以及当前对客户的影响。第二天分为四个并行轨道（上午两个，下午两个），重点关注保护客户和防御策略，转向帮助客户、软件/服务开发以及野外攻击/利用。

外部邀请已发出，BlueHat v15的注册现已开放。我们期待又一次精彩的会议。

2016年1月12日星期二 | 普通观众

主题演讲

9:00-9:50 AM | Ofir Arkin | Intel
主题演讲：失控世界中的安全
传统安全模型正在失效，因为在一个环境和技术不断变化和进步的世界中，它们变得过时。需要允许任何用户（协作）从任何设备（BYOD）随时随地访问（移动性）企业资源，这挑战了固定边界和传统防御机制的存在。在IT对设备、用户甚至自身基础设施失去控制的世界中，必须建立一种考虑这些新现实的新安全模型。

轨道1 - 设定舞台

10:00-10:50 AM | Nick Carr和Matthew Dunwoody | Mandiant
没有简单的漏洞：Mandiant最具挑战性调查中的挑战和教训
每个事件响应都带来独特的挑战。但是，当攻击者在10万个节点的网络上使用PowerShell、WMI、Kerberos攻击、新颖的持久性机制、看似无限的C2基础设施和半打快速演变的恶意软件家族，以每天10个系统的速度破坏环境时，累积的挑战可能变得压倒性。本次演讲将展示在Mandiant响应过的最大和最先进的漏洞之一中克服的障碍，采用的新颖调查技术，以及让我们帮助修复它的经验教训。

11:00-11:50 AM | Shawn Loveland | Microsoft
网络犯罪的业务
正如PC/计算机/移动设备生态系统在过去几十年中增长一样，网络犯罪行业也在增长，如今比历史上任何时候都更加有组织和有动力。黑帽网络犯罪是一种以利润和可预测的投资回报率为动机的恶意在线行为。将黑帽网络犯罪视为纯粹的技术问题，会使缓解变得困难、昂贵和无效。通过理解攻击者的工具、技术、动机和商业模式，我们可以理解我们的产品、服务和用户如何以及将如何成为黑帽网络犯罪分子的受害者。

轨道2 - 客户影响

1:00-1:50 PM | Daniel Edwards | Microsoft
蜜罐与欺骗 - 我们的Azure客户发生了什么？
今年的演讲主题将关于我在Azure中运行蜜罐的实验，我学到了什么，如何利用这些信息来改进保护，以及行动呼吁。PowerPoint是一个非常基本的提纲，旨在传达演讲的主题。我还没有机会创建所有图表，但我已经拥有所有数据（并且每天继续收集额外数据）我正在谈论。Word文档是我将纳入的分析样本。

2:00-2:50 PM | Alex Weinert和Dana Kaufman | Microsoft
与Microsoft身份保护团队在战壕中的一年
在Microsoft账户（支持Outlook、Xbox、OneDrive等的微软消费者系统）和Azure Active Directory（支持几乎所有企业身份部署）之间，微软的身份团队在每个市场支持超过20亿个身份，每天服务超过140亿次登录。身份保护团队负责确保访问仅授予账户所有者，并且这些账户所有者不是欺诈者。在本节中，我们将概述正在使用的保护系统，我们如何看到欺诈者适应这些系统，以及在高风险攻击遇到高科技自适应对策的世界中的行业趋势。我们将用一些前线恐怖故事来点缀演讲，以及我们对身份保护未来的预测。

3:00-3:50 PM | Jonathan Birch | Microsoft
意外认证
对不受信任服务的意外认证是Windows应用程序中常见但 largely ignored的问题。在本次演讲中，我将解释这种类型的漏洞如何发生，以及为什么其潜在和当前的利用创建了应用程序开发人员应立即努力缓解的风险。为了提供参考示例，我将讨论两个这种类型的漏洞发生并在Microsoft Office中修复的案例。最后，我将演示如何测试和修复意外认证问题，以及可用于防止它们被引入产品的最佳实践。

4:00-4:50 PM | Matt Graeber | Veris Group
Windows管理规范 - 无处不在的攻击和防御平台
一个足智多谋的攻击者寻求最大化其入侵/努力比率，自然会针对同质环境中存在的任何无处不在的技术。Windows管理规范（WMI）就是这样一种技术，存在于每个Windows操作系统中，可追溯到Windows 95。WMI是一种强大的远程管理技术，用于获取/设置系统信息、执行命令和响应事件执行操作。虽然它是铁杆微软系统管理员熟知和广泛使用的技术，但攻击者（即铁杆 unintended系统管理员）发现这种内置技术诱人，尤其是那些希望在其目标环境中保持最小足迹的人。实际上，定向和犯罪行为者在野外大量使用WMI，防御者需要从进攻和防御的角度了解其能力。本次演讲旨在让观众了解WMI的基础知识、野外攻击、理论攻击场景，以及防御者如何利用WMI事件系统对抗攻击者。

2016年1月13日星期三 | 普通观众

轨道1 – 开发

9:00-9:50 AM | Lee Holmes | Microsoft
攻击者猎杀系统管理员。是时候反击了
NSA、APT组织和普通攻击者有什么共同点？他们。猎杀。系统管理员。毕竟，有什么比针对那些对 entire infrastructure拥有完全和无约束访问权限的人更好的方式来破坏整个基础设施？是时候反击了。在本次演讲中，我们将介绍PowerShell Just Enough Administration，这是一种强大的平台能力，让您向现有的基于PowerShell的远程管理基础设施添加基于角色的访问控制。

10:00-10:50 AM | Laura Bell | SafeStack
保护我们的人员（尴尬的边界）
人员在安全方面是有问题的。我们都知道并嘲笑我们可以轻易地对周围的人撒谎、欺骗和偷窃，同时 stubbornly拒绝承认同样的骗局可能对我们起作用。跨越几十年的恐惧和负面后果文化给了我们一个不仅害怕被攻击，而且害怕在看到威胁或做错事时说话的员工队伍。

那么我们如何改变这一点？我们能否启用、授权和 engage _我们所有的人员来保护自己和周围的人？更重要的是，我们能否在不破坏隐私或让这些人处于风险的情况下做到这一点？这不是销售宣传。这不是奇迹疗法。这是试图保护我们的人员和实现这一目标的困难道路的故事。

11:00-11:25 AM | Shawn Hernan | Microsoft
因子半认证
许多保护密码存储表示的传统技术通过使密码验证操作昂贵来获得安全性。例如，服务器可能多次哈希密码作为减缓对密码数据库离线副本的暴力攻击的一种方式。在这种方案中，可接受的密码安全可能导致不可接受的登录时间性能。像scrypt这样的内存密集型函数在必须支持大量同时登录尝试的服务器上可能无法很好地扩展。基于多因子认证的方案提供了针对困扰可重用密码的许多常见问题的保护。不幸的是，MFA的采用率普遍较低，许多系统昂贵或存在可用性问题。本次演讲提出了一个认证系统“因子半认证”来解决其中一些问题。因子半认证包括“你知道的东西”和“你创建的东西”，以及客户端和服务器之间的初始设置和验证协议和政策管理。

11:30-11:55 AM | Scott Longheyer | Microsoft
网络防御 - 隔离执行
有些东西 meant to be shared，有些不是。从专用网络到软件定义网络，我们讨论在现代解决方案中在极其动态、 often exposed、单租户或多租户托管环境中执行网络隔离。工具正在变得更好，让我们 wield它们。参加不需要网络认证。

轨道2 - 转向帮助客户

1:00-1:50 PM | Amit Hilbuch | Microsoft
云端欺诈风暴的早期检测
云计算资源有时被劫持用于欺诈用途。虽然一些欺诈用途表现为小规模资源消耗，但更严重的欺诈类型是欺诈风暴，这是大规模欺诈使用的事件。这些事件始于欺诈用户发现注册过程中的新漏洞，然后他们大规模利用。执行这些风暴的早期检测是任何基于云的公共计算系统的关键组成部分。

在这项工作中，我们分析来自Microsoft Azure的遥测数据以检测欺诈风暴并对欺诈使用的突然增加发出早期警报。使用机器学习方法识别此类异常事件涉及两个固有挑战：这些事件的稀缺性，以及同时云系统中异常事件的高频率。我们将监督方法的性能与无监督、多变量异常检测框架实现的性能进行比较。我们进一步评估系统性能，考虑在存在缺失值的情况下的鲁棒性和最小化模型数据收集周期的实际考虑。这项工作描述了系统以及应用的底层机器学习算法。系统的测试版已部署并用于持续控制Azure中的欺诈水平。

2:00-2:50 PM | Christiaan Beek | Intel Security
勒索软件彩虹尽头有一罐金子
勒索软件是我们在过去几年中看到 rising的威胁之一，在2014年 huge resurfacing。主要是Windows平台，但Linux、移动和OSX操作系统也成为这些活动的目标。在本演示中，我们将从概述过去几年中看到的不同加密勒索软件开始，结合行业中一些使这种商业模式非常有利可图的技术发展。我们继续 with一些深度分析行为模式的例子，我们在某些家族中发现这些模式帮助我们识别和分类它们。除了恶意软件本身，我们还将 highlight关于演员一般如何操作、他们建立的基础设施、金融基础设施、利润以及与其他网络犯罪操作的联系的一些见解。

3:00-3:50 PM | Jasika Bawa、Costas Boulis和Roman Porter | Microsoft
推进SmartScreen以破坏漏洞利用工具包经济
Microsoft SmartScreen与Internet Explorer、Microsoft Edge和Windows集成，自Internet Explorer 7发布以来，一直帮助保护用户免受社会工程攻击，如钓鱼和恶意软件下载。随着时间的推移，对URL的SmartScreen信誉检查以及浏览器和Windows中的SmartScreen应用程序信誉保护 significantly改变了社会工程攻击 landscape，使此类攻击处于历史低点。然而，攻击者继续适应—进入漏洞利用工具包（EKs），这是在线增长最快的威胁之一。

EKs通常起源于受信任的网站，并针对客户每天使用的软件中的漏洞。此外，基于EK的攻击不需要任何用户交互—没有什么可点击，没有什么可下载—感染是 invisible的。大约三分之二的新恶意软件现在由EKs提供， hardly surprising given that a single EK on a popular site can infect thousands of people in less than an hour。例如，最近分析的Angler EK被发现每天针对近90,000名无辜受害者，每年为网络犯罪分子赚取 potentially more than $30 million，进一步证明EK空间是一个极其 financially lucrative的空间。但并非 all is lost！从11月发布的Windows 10开始，Microsoft SmartScreen将开始保护用户免受Internet Explorer和Microsoft Edge中的EK攻击。在本次演讲中，我们将讨论 growing EK landscape，它如何影响我们的客户，以及如何通过新的同步块 for EKs，SmartScreen再次旨在继续增加攻击者的利用成本。

4:00-4:50 PM | Mark Novak和Dave Probert | Microsoft
虚拟安全模式和屏蔽虚拟机
虚拟安全模式是一种新的虚拟化辅助安全技术，在Windows 10中首次亮相。本次演讲将描述VSM的迷人安全属性，并涵盖借助其构建的两种新技术：屏蔽虚拟机和凭证保护。对在其项目中利用VSM感兴趣的Microsoft开发人员应与WDG的人员交谈。

2016年1月13日星期三 | 普通观众

轨道3 - 保护与防御

9:00-9:50 AM | Nils Sommer | Bytegeist
Windows内核模糊测试
攻击者 often rely on Windows内核漏洞来突破应用程序沙箱和提升权限。为了快速识别此类漏洞，我们 adapted浏览器模糊测试技术来评估内核，并向Microsoft报告了许多关键问题。模糊测试器的所有方面，从测试用例生成到测试用例最小化，都是高度分布式的，它产生高质量的测试用例用于 reproduction。本次演讲将讨论我们模糊测试Windows内核的方法，从评估内核的攻击面和有效的测试用例生成，到设计和高