BlueHat 2023:连接安全研究社区与微软的技术盛会

BlueHat 2023是微软安全响应中心(MSRC)主办的安全研究盛会,汇聚全球400多名安全专家,讨论AI/机器学习安全、硬件漏洞、基础设施防护等前沿技术议题,旨在构建更安全的世界。

BlueHat 2023:连接安全研究社区与微软

我们很高兴欢迎来自全球的400多名安全研究社区成员来到华盛顿州雷德蒙市参加BlueHat 2023。由微软安全响应中心(MSRC)主办,BlueHat是安全研究社区和微软安全专业人士作为同行聚集在一起,连接、分享、学习和交流想法的地方,旨在为所有人创造一个更安全的世界。

为期两天的会议建立连接,提供学习机会,并加强安全研究社区、客户和合作伙伴之间的信任。BlueHat还展示了研究和漏洞发现与缓解领域的思想领导力,并为内部微软和外部受众提供关于当前和新兴安全威胁与技术的见解。BlueHat与会者将有机会聆听我们出色的主题演讲嘉宾Charlie Bell(微软安全部门执行副总裁)、Mark Russinovich(Azure CTO和微软技术院士)以及MSRC领导人Aanchal Gupta(微软副CISO和工程CVP)。会议参与者还将听取27位安全思想领袖讨论广泛的安全主题,包括基于AI/机器学习的安全、高级硬件安全、研究并保护基础设施等。除了演讲环节,BlueHat还将举办一系列闪电演讲,来自微软、Grammarly、Tiktok、Intuit和Meta的新兴安全专业人士将分享可操作的信息,涉及公司和组织当前面临的主要威胁和担忧。

除了主题演讲、演讲环节和闪电演讲,BlueHat与会者来自26个国家,代表184家公司或组织,将与全球安全研究社区建立和重新建立联系,建立个人和专业关系,同时获得宝贵见解,这些想法将为所有人创造一个更安全的世界。网络和连接机会包括8个BlueHat村庄,如后量子村庄、网络培训村庄、AI/ML村庄等。

我们非常兴奋地举办自2019年以来的首次面对面BlueHat会议。在Twitter上关注MSFTBlueHat获取更新和公告,并使用#BlueHat加入对话。BlueHat 2023结束后,我们将分享主题演讲和演讲环节的录制内容。

会议议程

2月8日,星期三

主题演讲 Charlie Bell,微软安全部门执行副总裁和Aanchal Gupta,微软副CISO和工程CVP(Twitter)

更强 Together:庆祝微软研究社区 演讲者:Dr. Abhilasha Bhargav-Spantzel - 合作伙伴安全架构师(Twitter);Dr. Andre Alfred - Azure安全合作伙伴总监;David Weston - 企业和操作系统安全副总裁(Twitter);Cristin Goodwin - 总经理兼副总法律顾问(Twitter),由Stephanie Calabrese,首席PM经理(Twitter)主持

MSTIC幽灵故事:威胁情报年度回顾 演讲者:Eunsil Han(Twitter)、Emily Hacker(Twitter | LinkedIn)、Terri Forslof,微软(Twitter | LinkedIn) 摘要:微软威胁情报中心(MSTIC)每天发现、跟踪并破坏世界上最具影响力和资源充足的威胁,从国家支持的行为者到经济动机的犯罪分子。作为这一使命的一部分,MSTIC跨微软安全信号工作,获得威胁行为者技术方法和能力的第一手见解。MSTIC产生的情报注入到微软所做的一切中,从安全产品到通用产品路线图,BlueHat也不例外。 在一个难得的机会中,BlueHat与会者有机会听到MSTIC关于2022年最重要观察的娱乐性和教育性叙述。该演讲将回顾过去一年的技术威胁数据,涵盖各种动机的全球威胁行为者,以提供区域趋势、见解和从未听过的调查故事,来自我们保护客户的工作。本演讲中的观察最终旨在告知未来,赋能全球人民和组织实现更多,并安全地这样做。本演示中涵盖的示例包括:

  • 过去一年中国使用的多个趋势概述
  • DEV-0228利用供应链关系针对以色列航运公司
  • 乌克兰来自STRONTIUM和IRIDIUM的入侵活动激增,导致间谍活动、网络支持的影响操作和破坏性攻击
  • 与多个朝鲜团体(包括ZINC)相关的显著趋势/活动

0-Day firmWarez 演讲者:Nate Warfield,Eclypsium(Twitter | LinkedIn) 摘要:固件是现代计算的基础。它是计算机启动时执行的第一段代码,管理硬件,运行关键基础设施,控制我们生活中几乎每个部分的系统,并存在于今天销售的大多数电子产品中。它也是技术中最脆弱、维护最差和最不频繁修补的组件之一。 在本演讲中,我们将讨论最近高调的固件漏洞和攻击,包括在MegaRAC基板管理控制器(BMC)软件中发现的一系列漏洞,该软件为全球数百万台服务器提供动力。我们将探索远程攻击面、由于固件在设备上的位置带来的风险,以及攻击者滥用的防御弱点。除了服务器固件,我们还将涵盖网络硬件和IoT设备风险和威胁。 在演讲的后半部分,我们将展示组织可以用来分析设备固件、识别未修补漏洞、弱安全控制和找到硬编码凭据的开源工具。这部分的目標不是构建漏洞利用,而是赋能组织更好地理解其连接系统上固件带来的风险。这些工具不需要大量技能或时间使用,并提供关于安全状况记录不佳(如果有的话)的设备的有价值信息。 与会者将更好地理解如何威胁建模其环境,以及可能需要哪些额外步骤来保护其基础设施。他们还将获得对真实世界攻击的见解,以更好地防御它们并在发生时识别它们。

高级硬件黑客 演讲者:Sick Codes(Twitter | LinkedIn) 摘要:在现代硬件中寻找漏洞的现代技术:本演讲将向您展示评估大多数设备的技术、工具和概念,特别是那些值得黑客攻击的设备。Sick Codes将带您了解黑客攻击全新智能电视、手表、拖拉机、汽车、游戏机等的确切方法。能够识别并黑客攻击任何新硬件。

高风险用户及其所在位置 演讲者:Masha Sedova,Elevate Security(Twitter | LinkedIn) 摘要:如果您能预测并最终预防组织中的大多数事件呢?82%的攻击源于人为失误,但如果没有能力精确定位我们风险最高的用户,有效的风险管理方法是不可能的。来自一个30万员工数据集跨越8年的研究发现揭示了最脆弱人群的趋势。我们将分享8%的劳动力如何负责大多数事件,并深入探讨什么使工人高风险,这些高风险用户在哪里花费时间,他们的风险行为是什么,以及这可能对您组织的安全意味着什么。从那里,演讲将探讨安全专业人员如何有效测量其自己组织中的用户风险,并根据这些发现采取行动以加强其网络防御。通过应用用户风险管理的不同阶段,从反馈到量身定制的保障措施和访问,学习如何保持劳动力安全和业务高效。

2月9日,星期四

主题演讲 Mark Russinovich,Azure CTO和微软技术院士(Twitter),由Aanchal Gupta,微软副CISO和工程CVP(Twitter)开场致辞

狩猎Qakbot 演讲者:Dan Taylor(LinkedIn)和Ben Magee(Twitter | LinkedIn) 摘要:当谈到攻击面时,很少有像NHS英格兰的Microsoft Defender for Endpoint庄园那样大的。在一个跨越医疗保健服务数千个独立组织的租户中,有近170万个端点注册,它呈现了一个独特挑战性的环境来保护——一个网络事件可能产生非常真实、人类后果的环境。 那么我们如何防御一个如此庞大和复杂的IT庄园呢? 这是一个挑战,没有比与Qakbot的永恒战斗更好地说明。交付机制和TTPs每周变化,一个从访问销售到勒索软件部署的剧目,并且其操作者没有道德顾忌针对医疗保健组织,Qakbot确实是一个强大的对手。 在本演讲中,我们将走过:

  • NHS的简要概述以及NHS Digital CSOC在其防御中的作用
  • 安全团队面临的挑战规模,负责保护NHS免受Qakbot等威胁,以及为什么常见恶意软件构成如此严重的威胁
  • 威胁狩猎(和情报)在该防御中的关键作用,带有Qakbot TTPs的技术分解,我们用来保持领先的方法,以及Microsoft Defender for Endpoint提供的关键优势
  • 在与Qakbot及其同类的永恒战斗中的错误、成功、险情和关键教训示例

终端的胡迪尼 演讲者:David Leadbeater,G-Research(Twitter | LinkedIn) 摘要:基于文本的终端自至少1970年代以来就以某种形式使用转义序列。Windows长期以来对它们的支持相当有限,使用不同的方法执行带外消息传递。由于为Windows Subsystem for Linux (WSL)添加的支持,Windows获得了对常见终端转义序列的支持,现在它们是格式化和相关功能的首选方法。 就像XSS一样,如果一个转义序列未经净化发送到终端,它可以用来做意外的事情。这可以从改变格式化到文本应插入区域之外,或者如果终端有漏洞,从DoS到远程代码执行任何事情。 这种风险在Unix终端中存在多年,例如20年前发现终端的标题可以被读回,在某些情况下可能导致代码执行。终端现在默认禁用此功能或不实现它。 我们将探索超过20年的终端漏洞,从通过Apache日志文件攻击到通过Kubernetes攻击。 我们的研究发现了常见终端中的几个严重错误,我们使用它们执行从Kubernetes集群低权限到获取管理员机器RCE的链式漏洞利用。这建立在CyberArk在2022年初所做的研究之上,该研究发现了原始的kubectl错误(CVE-2021-25743)。 在此过程中,我们将讨论我们在Windows和Unix实用程序中发现的其他一些错误,以及如何实现一定程度的深度防御来对抗这种威胁。

通过客人的眼睛 演讲者:Callum Carney(Twitter) 摘要:本演讲将带您走过数月的外部研究,关于身份在微软内部系统中如何被错误处理,从发现一种不寻常的方式获得特权Azure AD租户访问,到导航多个具有对客户数据和机密信息无限制访问的系统,一直到尝试制造足够的噪音以提高意识并与MSRC合作修复问题。

在授权眼中捉住我 演讲者:Cameron Vincent(Twitter)和Sean Hinchee,微软 摘要:是否曾想知道微软漏洞赏金计划的一位顶级参与者如何多年来在Azure上发现安全问题?或者另一面呢?是否曾想知道处理这些提交并找到更全面方法的MSRC安全工程师的视角?在本演讲中,您将获得两全其美。您不仅会听到前全职漏洞赏金猎人的进攻方,还会听到处理这些提交的MSRC工程师的第一手经验。本演讲将讨论的具体类型问题是AuthZ/授权相关问题。这是一个极其常见的领域,许多服务和企业一直失败。在本演讲中,Cameron Vincent将讨论他如何跨微软和其他服务狩猎这些类型的问题。他将讨论一些示例和技术,这些在狩猎特定AuthZ/授权问题时多年来使用。Sean Hinchee然后将谈论防御方的情况。然后他将深入探讨一些他开发的开源工具,以帮助尝试在更自动化的规模上捕获这些类型的授权问题。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次