持久性与瞬时性威胁情报的技术解析

网络研讨会：持久性 vs. 瞬时性威胁情报

在本期Black Hills信息安全网络研讨会中，John Strand再次剖析了他为何厌恶威胁情报……但同时也重点介绍了一些专注于持久性威胁情报的创新项目。这至关重要，因为许多情报源仅包含域名、哈希值和IP地址。然而，通过持久性威胁情报，我们能够识别那些高度有效但难以拦截的攻击技术。

例如：

• 应用白名单滥用
• 连接配置文件（RITA!）
• PowerShell编码

这些检测方法不依赖于特定时间点的攻击手法，具有长期有效性。John还分享了一些基于ELK栈处理攻击的开源项目。

资源链接：

• 加入Black Hills信息安全Disc讨论服务器：https://discord.gg/aHHh3u5
• 研讨会幻灯片下载：https://www.blackhillsinfosec.com/wp-content/uploads/2020/09/SLIDES_Durable_Ephemeral_Threat_Intel_Strand.pdf

时间轴亮点：

• 0:00 – 友好开场
• 1:06 – 威胁情报的无用性批判
• 7:38 – 痛苦金字塔模型
• 10:55 – 替代方案探讨
• 14:56 – 技术对话实录
• 19:10 – 攻击技术难点分析
• 22:21 – ATT&CK宾果游戏
• 24:33 – 迭代式攻击模拟
• 27:35 – 开源工具介绍（Sigma/Atomic Threat Coverage/PlumHound）
• 32:03 – 威胁模拟警告
• 36:59 – MITRE评分卡
• 45:49 – 技术视角拓展
• 48:02 – DeTT&CT框架
• 48:48 – Sigma检测规则
• 52:29 – Atomic Threat Coverage
• 55:02 – PlumHound工具
• 55:39 – RITA网络分析
• 56:50 – 蜜罐技术
• 58:21 – 观众问答
• 1:07:52 – 技术攻坚总结

进阶学习：

John Strand提供的课程包括SOC核心技能、主动防御与网络欺骗、BHIS与MITRE ATT&CK安全入门、渗透测试基础等，支持直播/虚拟及点播学习。