About this guide Terms and definitions Incident Response Basics Attack lifecycle (kill chain) Incident response steps Recommended IR process and rules Preparation Identification Incident triggers Prioritization guidelines Analyzing incidents in SIEM Containment Eradication Recovery Lessons learned Incident response example The attack plan The incident response Preparation (example) Identification (example) Containment (example) Eradication and Recovery (example) Lessons learned (example) Recommended tools and utilities Tools for collecting IOC Sysinternals utilities Tools for creating dumps GRR Rapid Response Forensic Toolkit dd utility Belkasoft RAM Capturer Tools for analysis Kaspersky Threat Intelligence Portal Tools for analyzing memory dumps Tools for analyzing hard disk dumps Strings utility Tools for eradication Kaspersky Virus Removal Tool Kaspersky Rescue Disk AO Kaspersky Lab Trademark notices

目录 态势感知 ·概述 ·关键因素 ·关键技术 威胁情报 ·检测中的作用 ·事件响应中的作用 ·预警、预防 小结 威胁情报是现阶段保障态势感知项目实效，最有力的工具 多种类型的威胁情报保障安全生命周期全过程 关联分析平台的作用不仅是攻击溯源，可以通过多种方式对攻击进行定性分析

南人怎么看技术 老生常谈 大数据•(业务,威胁,安全） 大数据安全九宫图 威胁用例、威胁场景 攻击假设矩阵,一个简单的工具 矩阵 攻击假设矩阵 @ 网络拓扑,简单示例 攻击假设矩阵 @ 时间,简单示例 数据资产:一种新型资产的认识 “云物移社大智随”的影响 五际缘的弈局 CPS-Cyber Physical System 信息物理系统 意识-信息-物理系统/空间 从MCPs攻击假设矩阵 看“大数据攻击” 从MCPs攻击假设矩阵 看“大数据攻击” 威胁用例、威胁场景

对于安全防护来说，真正可怕的是自身的无知，知识的不对称导致的威胁发生在身边却不知晓，会让防护者陷入“我已经做的足够好”的Comfort Zone。如何了解这个世界真实地在发生什么？尽快地获取到高质量精准的情报，找准威胁发展的方向就成了不得不面对的问题。蜜罐作为一个投入产出比极高的情报源，在当今快速变化的对抗中被赋予了新的使命。 议题从对蜜罐自身定位重新思考开始，结合现代企业对于蜜罐的需求，通过海量互联网数据支撑和攻击预测模型，跳出原有蜜罐的局限，提出了立体化自适应的蜜罐方案。通过对我们获取到的实际案例进行解读，重新调整我们对于蜜罐系统的期望。展示了现代蜜罐系统如何帮助安全团队更好的理解网络攻击的“黑暗森林”,回答企业内以及互联网上”What’s happening”这一话题。让这一“古老”的技术，在现今的“威胁情报”先导的安全实践中“重焕新生”。 目录 •互联网的黑暗森林 •Think Out Of The Box •自适应的新型蜜罐 •部署与捕获 •展望与未来

谭校长从2015年的IT热点事件中看到背后的安全挑战：由“防护”到“检测”的转变。谭校长提出传统安全感知存在误区，他总结了隐藏在安全态势感知能力背后的四点：海量情报数据、存储计算能力、数据挖掘技术，以及可视化分析技术，还为我们着力介绍了360态势感知系统。

• 全息定义 • 企业全息安全理念 • 产品技术解析 • 未来及趋势

IDC预测云安全、移动安全、威胁情报和安全分析会是未来的大趋势。薛锋从不同角度解释了威胁情报的本质就是帮你快速检测和发现你是否被攻击。面对安全从业者男女性别比悬殊的问题，这既是挑战也是机遇。

本议题将分享一种基于机器学习的威胁情报识别方法及装置。依托自动化流程高效地检测并识别出 APT 攻击中的威胁情报，将会有助于提高 APT 攻击威胁感知系统的效率与精确性，实现对APT攻击的快速发现和回溯。 本议题所介绍的相关流程采用向量机学习算法，依托 360 的多维度海量数据，对多种类型的威胁情报定制相应的策略，具备“自学习、自进化”的能力。通过对海量数据进行类行为特征提取及分析，自动建立数据的行为模型，自动归纳总结出一套机器学习分类算法，建立了恶意程序检测引擎，提高了识别 APT 攻击中威胁情报的效率。该流程在我们发现和追踪 APT 攻击的过程中起到了关键性的作用。

定需求、分析、丰富、验证、存储、共享、行动与总结

目录 何为情报分析 互联网+时代下的安全风险 以攻为守的安全情报分析 Matrix系统架构 应用场景 化被动转换为主动,将主动权放在自 己手上