BlueHat v16 日程公布
今年夏季,我们对BlueHat v16的论文征集收到了热烈响应。特别感谢所有提交论文的人员。内容范围和内容质量都非常出色。因此,今天我们很高兴宣布大会普通观众部分的日程。
2016年11月3日,星期四 | 普通观众
主题演讲
9:00 - 9:50 AM | David Kennedy | TrustedSec和Binary Defense Systems
安全领域的蒙提·派森与圣杯
在蒙提·派森中,寻找圣杯的目标明确——找到能解决所有世界问题并带来世界和平的圣杯。虽然是一部喜剧,但我们在安全领域面临同样的问题。今天,寻找安全圣杯的旅程仍在继续。本演讲聚焦于红队和蓝队双方都有效的攻防策略,深入探讨当今攻击仍然有效的方法、社会工程学手段,以及真正阻止我们进入组织的因素。
轨道1 - 开场
10:00 - 10:50 AM | Alex Weinert和Dana Kaufman | Microsoft
大规模身份保护 - 与Microsoft身份保护团队的一年实战
Microsoft是全球最大的身份提供商之一。本会话将概述保护系统,包括新的Azure Active Directory身份保护产品,欺诈者如何适应不同保护系统,以及行业趋势。
11:00 - 11:50 AM | Daniel Edwards和Stirling McBride | Microsoft
什么是威胁情报?
本演讲将带您了解从数据生成威胁情报的过程,以及如何将此类数据源集成到服务中。
轨道1 - 威胁格局
1:00 - 1:50 PM | Peter Hlavaty | Tencent
你没看到它来了吗?“硬化Windows内核的黎明”
过去几年,我们的团队专注于不同操作系统,包括Microsoft Windows内核。本演讲将介绍选择方法,以及Microsoft Windows加固工作如何将攻击者逼入角落。
2:00 - 2:50 PM | Genghis Karimov | Microsoft
Win32k安全改进:过去与现在
Win32k是Windows OS的大型子系统,负责UI、图形和输入任务。本演讲将追溯代码库在主要版本中的发展,Win32k特定漏洞的技术概述及其缓解措施。
3:00 - 3:50 PM | Jessy Campo | ESET
访问熊窝
Sednit,又名Fancy Bear/APT28/Sofacy,是一个自2006年以来运作的攻击者团体。本演讲展示了对Sednit两年追踪的结果,深入分析其最令人印象深刻的组件技术细节。
4:00 - 4:50 PM | Cooper Quintin | 电子前沿基金会
我前几天收到政府的一封信…揭露哈萨克斯坦的恐吓、绑架和恶意软件活动
本报告涵盖了我们命名为“Operation Manul”的网络钓鱼和恶意软件活动。本演讲将详细覆盖报告,深入探讨常用于记者和异议人士的低技术、不复杂的攻击方法。
2016年11月4日,星期五 | 普通观众
轨道1 - 云
9:00 - 9:50 AM | Satoshi Tanda | Crowdstrike
工具箱中的虚拟机监控程序:使用HyperPlatform监控和控制系统事件
本演讲介绍HyperPlatform,一个为Windows设计的薄型虚拟机监控程序,作为VM-exit过滤平台。
10:00 - 10:50 AM | Saruhan Karademir | Microsoft
早期破坏:设计安全容器
在Windows Server 2016中,我们引入了Windows Server容器。本演讲讨论Windows容器的架构,突出Hyper-V容器和Windows Server容器之间的差异。
11:00 - 11:50 AM | Pete Loveless和Fred Aaron | Microsoft
作为Azure服务的内存妥协检测
Azure崩溃转储的安全分析是一项新的Azure威胁检测服务。本演讲探索它发现的一些最复杂的恶意软件,概述服务如何在Azure中运行。
11:30 - 11:55 AM | Michael Scovetta和Jan Vandenbos | Microsoft
Microsoft开源安全
Microsoft使用大量且不断增加的开源组件向客户提供产品和服务。本会话涵盖以下挑战及我们如何解决它们。
轨道1 - 利用、格挡、打击
1:00 - 1:50 PM | Haifei Li | Intel Security
从用户角度分析Microsoft Office的攻击面
本演讲探讨Microsoft Office上未探索的攻击面,从真实用户角度检查基于Office的威胁如何传递到个人计算机或组织。
2:00 - 2:50 PM | Yunhai Zhang | NSFOCUS
如何避免实现利用友好的JIT
JIT编译在现代软件中广泛使用以提高性能。本演讲讨论几种滥用JIT编译来利用的缓解绕过技术。
3:00 - 3:50 PM | Daniel Bohannon | Mandiant
Invoke-Obfuscation:PowerShell混淆技术及如何(尝试)检测它们
本演讲重点介绍十几种从未见过的混淆PowerShell命令行参数的技术。
4:00 - 4:50 PM | David Weston、Matt Miller和Peleus Uhley | Microsoft/Adobe
一年硬化Adobe Flash Player
Adobe Flash Player已成为过去一年半浏览器攻击的首选目标。本演讲分析攻击时间线和趋势,描述所做的硬化改进。
轨道2 - 发现
9:00 - 9:50 AM | Alex Ionescu | Crowdstrike
在Windows上获得Linux二进制文件的可见性 - 如何防御和理解WSL
Windows Subsystem for Linux (WSL)的发布为Windows生态系统带来了激动人心的变化。本演讲揭示处理WSL进程在取证、IR和端点检测与响应方面的困难。
10:00 - 10:50 AM | Andrea Allievi和Richard Johnson | Microsoft/Cisco Systems
利用Windows上的Intel Processor Trace进行漏洞发现
本演讲探索Intel Processor Trace,Intel Skylake处理器中包含的新硬件分支跟踪功能。
11:00 - 11:25 AM | Casey Smith | Veris Group ATD
信任的执行事物
随着组织拥抱新的白名单模型,理解您信任的应用程序变得至关重要。本演讲描述多个已发现的以意外方式执行代码的实用程序。
11:30 - 11:55 AM | John Booth | Microsoft
检测恶意伪装进程
每年有数千组织成为网络攻击的受害者。本演讲讨论一种方法,扫描大量Windows进程创建事件数据以检测一些攻击者策略。
轨道2 - 格局反应
1:00 - 1:50 PM | Michiko Short | Microsoft
Windows凭证保护:我们现在在哪里?
要理解如何防止凭证盗窃和横向遍历攻击(Pass-the-Hash),我们需要理解凭证盗窃所需的条件。
2:00 - 2:50 PM | Stephen Hufnagel和Sven Groot | Microsoft
Windows Subsystem for Linux (WSL)
Windows Subsystem for Linux (WSL)允许通过模拟Linux内核接口在Windows NT内核上执行未修改的Linux二进制文件。本演讲讨论WSL周围的安全模型和安全测试使用的技术。
3:00 - 3:25 PM | Jon DeHart | Microsoft
用即时网络访问重新设计边缘
随着内置应用层安全的发展,网络安全也必须进步。本演讲概念性讨论用由集中逻辑引擎管理的基于请求的ACL更改替换边缘防火墙的机会。
3:30 - 3:55 PM | Marianne Malle和Patrick Estavillo | Microsoft
勒索软件威胁格局与回顾
仅2016年,勒索软件活动变得更加突出。本BlueHat会话分享过去10个月勒索软件威胁格局的关键总结,以及它如何继续成为客户日益增长的问题。
4:00 - 4:50 PM | David Molnar | Microsoft
模糊测试云“Project Springfield”
模糊测试是发现安全漏洞的有效方法,但获得结果很棘手,因为它需要专业知识、机器能力和流程更改来部署。“Project Springfield”将Microsoft的最佳实践与十年机器推理和“白盒模糊测试”研究打包成云服务。
关于BlueHat
我们的第十六届BlueHat安全会议定于2016年11月3-4日在雷德蒙德的Microsoft会议中心举行。BlueHat是Microsoft工程师和安全社区齐聚一堂,了解当前威胁格局并挑战我们在安全方面的思考和行动的独特机会。今年1月,有来自世界各地的1,000名参与者参与了这个论坛。
Phillip Misner,
Principal Security Group Manager, MSRC