威胁追踪（hunting）之三：从SANS的会议看Hunting厂商

（一）简介

第一篇关于威胁追踪（hunting）的文章主要是介绍了其基本概念、为什么需要追踪，何时进行威胁追踪，成熟度如何，如何开始以及谁负责实施。第二篇主要介绍了追踪的第一步“进行假设”，介绍了三种典型的假设来源：威胁情报、态势感知、领域专长。

本文主要从SANS最近的一次“Threat Hunting and IR Summit”的日程介绍，来看看美国的主要的hunting的一些厂商。

（二）Threat Hunting and IR 会议日程

Threat Hunting and IR Summit (April 2017)是20174月18日 举办的，应该是SANS组织的关于威胁追踪的最近的一次会议。（PPT都可以在https://digital-forensics.sans.org/community/summits下载）

• Hunting on AWS
  Alex Maestretti and Forest Monsen

• So Many Ducks, So Little Time
  Michel Coene and Maxim Deweerdt

• Threat Hunting in Security Operations
  Chris Crowley

• Biting into the Jawbreaker – Pushing the Boundaries of Threat Hunting Automation
  Alex Pinto

• The Myth of Automated Hunting and Case Studies in ICS-SCADA Networks
  Robert M Lee

• Toppling the Stack – Outlier Detection for Threat Hunters
  David J. Bianco

• Hunting Webshells on Microsoft Exchange Server
  Josh Bryant

• Keynote 
  Huntworld, Rob Lee

• Enrich All the Things – The Future of Threat Hunting
  Mark Kendrick

• Framing Threat Hunting in the Enterprise
  Joe Ten Eyck

• Threat Hunting: From Fudd to Terminators
  Heather Adkins

• Real-Time Threat Hunting
  Tim Crothers

• ShimCache and AmCache Enterprise-Wide Hunting
  Matias Bevilacqua

• Sorry, but There is No Magic Fairy Dust
  JJ Guy

• Taking Hunting to the Next Level – Hunting in Memory
  Jared Atkinson and Joe Desimone

• The Mind of a Hunter – A Cognitive, Data-Driven Approach
  Chris Sanders

• Threat Hunting with Network Flow
  Austin Whisnant

• Deriving Successful Hunting Strategies with the Diamond Model
  Sergio Caltagirone

• Systemic Threat Hunting: Using Continuous Detection Improvement to Find Bad Things
  Joe Moles and Jared Myers

（三）厂商介绍

3.1 SANS

SANS作为组织者，由Rob Lee主持，他就是The Who, What, Where, When, Why and How of Effective Threat Hunting（我翻译的第一篇威胁追踪入门的文章）的作者，以前是政府执法机构的计算机取证和安全开发部门工作。

3.2 Target Corporation

甲方代表，是类似于沃尔玛的零售百货集团

3.3 Niddel

这是公司主页首页就是主打威胁hunting，没有具体产品的介绍和demo，但是提到了一个研究项目，其产品应该是在MLSec项目转换出来的，是一个使用机器学习和数据科学解决信息安全问题的项目（http://www.mlsecproject.org/）。

3.4  Carbon Black

一家主要做终端安全的安全公司

3.5 Dragos Inc.

一个主要关注工控安全的公司，主要介绍的是在工控网络上进行追踪威胁。

3.6  Center for Cyber Security Belgium (CCB/CERT.BE)

是比利时网络安全中心，政府机构，演讲者提倡从利用好免费的工具，使用ELK就可以开始。

3.7 Netflix

这个是类似于优酷的

3.8 Microsoft

3.9 Mandiant

这个不用介绍了吧，被fireeye收购的

3.10 Veris Group  和  Endgame

都是信息安全服务商

3.11 ANOMALI

就是新兴的情报厂商，融了不少钱，发布免费的情报工具STRAXX的

3.12  DomainTools

15年的whois和域名信息

3.13 ILLUSIVE

这个公司挺好玩的，前几天我翻译的那个用欺骗的网络拖延对手的那个厂商，也是大量使用机器学习

3.14  Recorded Future

不用介绍了，已经成名的情报相关的公司

3.15 FireEye

不介绍了

3.16 Software Engineering Institute

学术研究机构

3.17 Google

Google是压轴的

（四）赞助方

赞助方里面有几家上面没有，列一下

1、CYBEREASON

以色列的安全公司，在Cybersecurity 500中排名130.

2、sqrrl

在Cybersecurity 500中排名409，公司主打hunting业务

3、cisco

4、Infoarmor 安全公司

5、THREATQUOTIENT

在Cybersecurity 500中排名189，公司主打情报业务，2016年B轮融资1200万。

6、最后加一个公司，虽不是赞助商，但是常年占在Cybersecurity 500中第一名的位置，root9b，其的主打产品之一ORION 是 root9B’s Active Adversary Pursuit (HUNT) 平台。