美國黑帽大會(Black Hat USA)創辦于1997年，被公認為世界信息安全行業的最高盛會，也是最具技術性的信息安全會議。大會每年吸引全球來自100多個國家的超過1萬5千名專業觀眾參與、250多家展商進行產品展示和商務交流，同期更有180多位知名演講嘉賓帶來技術干貨以及主辦方精心策劃的幾十場專業培訓。黑帽安全技術大會始終保持中立和客觀的態度，通過不同的現場活動，著眼于最快最好地提出問題的解決方案和操作技巧，始終引領安全思想和技術走向，成為信息及網絡安全、計算機/電信、金融服務、民用及軍用防御系統，行業機構，企業以及政府每年必參加的信息安全行業活動首選。(E安全注：Jeff Moss 在1993年創辦 Defcon，1997年創辦Black Hat并于2005 年將Black Hat以1400萬美金賣給 CMP Media。)

Black Hat USA 2017

[[198407]]

今年的黑帽大會在美國內華達州拉斯維加斯曼德勒海灣度假酒店舉行。會議包含幾大特色：

• 簡報(Briefings)：了解信息安全風險和最新趨勢。安全專家將分享開創性研究、開源工具、零日漏洞，此外還會發布最新的攻擊和防御研究。
• 工具庫(Arsenal)， 獨立研究人員和開源社區將展示最新的開源工具和產品。Arsenal在開放的對話環境中現場演示工具，講解者能與參會者互動提供實踐經驗。
• 商業廳(Business Hall)，超過1.5萬名信息安全專業人士齊聚一堂評估Black Hat主辦方提供的一系列工具和產品。2017年開辦的商業廳將會為參與者、供應商等提供更多機會。

據Black Hat官網發布的信息顯示，Black Hat USA 2017將通過四天的技術培訓(7月22日-7月25日)拉開帷幕，此后會舉辦為期兩天的主要會議(7月26日-7月27日)。

為期六天的大會將提供培訓、演講、業務拓展和人才招聘等眾多機遇，滿足不同參會人士的實際需求。

其中，首席信息安全官(CISO)峰會將邀請全球最知名的網絡信息安全專家和領導者，從執行層的角度和觀點去闡述關于安全技術、資源和技術的發展和需求，來滿足商業發展的步伐。隨著商業領袖需求應用發展周期的加速，隨著客戶和雇員對數字裝置需求的提高和多元化，如何提升安全技術和資源顯得越來越重要。作為企業首席信息安全官，也必須全面、精細地了解，以此來更好的為企業創造價值、保駕護航。

Arsenal，將是世界上唯一能夠為用戶提供與最厲害的黑客交流的機會，并能見到客戶一直以來很依賴的安全設備的作者。在主辦方指定的現場區域，將見識到多名獨立研究者和開源社區的演示。職業發展論壇是為了幫助一些個人擁有他們在信息安全領域職業生涯快速發展的更好機會，并作出關于職業發展更精準的決策，對于如何利用自己的技術優勢去強化自己的職業發展作出更好的引導。

數字取證與事件響應課程與產品

強大的數據取證和事件響應能力對檢測和緩解網絡攻擊至關重要。多個訪問點、移動和聯網設備融合以及海量數據使得這項工作十分艱巨。今年的黑帽大會將呈現數據取證與數據響應跟蹤相關培訓、介紹和Arsenal工具。以下為今年黑帽大會幾大備受期待的數字取證與事件響應課程與產品：

數字取證與事件響應

這次黑帽大會將通過“數字取證與事件響應”培訓深入探究基本取證方法。培訓者使用現實世界的調查補充理論解釋，并廣泛了解程序，提升技能。在為期四天的培訓課程(7月22日-7月25日)中，培訓者可以綜合了解文件系統理論、應用分析、電子郵件和照片取證、事件日志審查等知識，并了解Windows 8、Windows 10和其它操作系統的數字取證與事件響應。

Windows企業事件響應

“Windows企業事件響應”(7月22日-7月23日)將介紹最新的Windows調查工具。實驗室和模擬攻擊提供操縱Windows系統和服務器的直接體驗，同時提供能用于任何系統的自適應技術。培訓將初始分析和查詢轉移到單個系統和企業環境中的發現與響應。課程覆蓋了入侵過程和緩解的分析、記錄與宣傳，從而以全面的視角了解威脅形勢。

網絡取證：持續監控與測量

“網絡取證：持續監控與測量”培訓(7月22日-7月25日)將介紹相關工具，并幫助培訓者了解如何提取并保存安全、隔離環境中的網絡證據。課程依賴培訓者對TCP/IP網絡和Linux系統的了解防止社會工程攻擊，并接收網絡取證專家專為網絡取證培訓者設計的全負荷取證工作站。

撤銷-混淆：借助學科實現PowerShell 混淆檢測(與規避)

“撤銷-混淆：借助學科實現PowerShell 混淆檢測(與規避)”(Revoke-Obfuscation: PowerShell Obfuscation Detection (And Evasion)：7月27日|5:00pm-6:00pm)將解決PowerShell漏洞，以及規避嵌入式安全和惡意利用的機會。雖然PowerShell配備了反惡意軟件檢測工具，但多個逃避途徑仍能使攻擊得逞。研究人員介紹了撤銷-混淆---利用統計分析、字符分配和命令調用檢查的PowerShell框架，并發布了檢測混淆的新技術。

Ochko123---美國政府如何抓捕俄羅斯黑客羅曼·謝列茲尼奧夫

“Ochko123---美國政府如何抓捕俄羅斯黑客羅曼·謝列茲尼奧夫”(Ochko123 - How the Feds Caught Russian Mega-Carder Roman Seleznev：7月26日| 4:00pm-4:50pm)將分享追蹤謝列茲尼奧夫的方法。這名俄羅斯黑客因參與一系列網絡計劃導致美國企業損失逾1.69億美元被判27年監禁。安全專家將通過該主題介紹調查人員獲取證據使用的工具和過程，并模擬追蹤數字足跡，以及美國聯邦政府具備的權限以及NSA使用的工具。

海量數據使事件檢測與響應復雜化。黑帽大會Arsenal將通過開源工具提升取證分析和響應能力。

CyBot---開源威脅情報聊天機器人

CyBot---開源威脅情報聊天機器人(7月26 | 4:00pm-5:20pm)：以低于35美元的價格匯總多個端點的數據。

DefPloreX---大規模網絡犯罪取證的機器學習工具

DefPloreX---大規模網絡犯罪取證的機器學習工具(7月27 | 1:00pm-2:20pm)：使用機器學習和可視化技術匯總開源庫的數據，從而提供事件、攻擊和漏洞的實時信息。

Yalda---自動批量智能收集工具

Arsenal還將介紹一款工具Yalda---自動批量智能收集工具(7月26日 | 10:00am-11:20am)：幫助用戶借助自動化掃描、測試和編目文件擴展數據挖掘。