描述
开 本: 16开纸 张: 胶版纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787111765196
编辑推荐
本书将带你快速了解威胁评估和安全卫生的关键方面、当前的威胁态势及其挑战,以及如何保持强大的安全态势。 本版对前一版内容进行了全面而细致的修订,不仅介绍了零信任方法、初始事件响应流程和红队战术,还详细讲解了执行必要操作的常用工具的基本语法,以及如何使用强大的工具应用较新的红队技术。同时,引入了蓝队战术,以保护你的系统免受复杂的网络攻击。本书清晰、深入地介绍了防御方法,以及如何在组织内识别异常行为模式。最后,介绍了分析网络和应对恶意软件的方法,以及缓解措施和威胁检测技术。通过阅读本书,你将能够:?学会预防网络安全事件,缓解其带来的影响。?了解安全卫生的重要性和优先保护工作负载的价值。?了解物理和虚拟网络分段、云网络可见性和零信任的注意事项。?采用新方法收集网络情报、识别风险并展示红/蓝队战略的影响。?探索Nmap和Metasploit等工具的使用方法及作用,向红队施压。?了解身份安全以及如何实施安全策略。?将威胁检测系统集成到你的SIEM解决方案中。了解MITRE ATT&CK框架和开源工具以收集情报。
内容简介
本书涵盖与安全卫生相关的新趋势、MITRE ATT&CK框架在威胁检测和安全态势改善方面的应用,以及新的网络攻防技术。第1~3章侧重于预防措施,介绍如何通过采取安全措施来降低威胁行为者利用组织环境的可能性,从而改善组织的安全态势;第4~9章引导读者逐步深入了解对手的思维、战术、技术等,开始从对手的角度认识攻击的过程,从而更好地持续改善组织环境的防御策略;从第10章起,针对第4~9章中介绍的内容,告诉我们应如何做好防御策略设置、威胁感知、情报收集、灾难恢复与日志分析等工作。
目 录
目 录
译者序
前言
第1章 安全态势 1
1.1 为什么应将安全卫生列为首要任务 1
1.2 当前的威胁形势 2
1.2.1 供应链攻击 4
1.2.2 勒索软件 6
1.2.3 凭据—身份验证和授权 9
1.2.4 应用程序 10
1.2.5 数据 11
1.3 网络安全挑战 12
1.3.1 旧技术和更广泛的结果 12
1.3.2 威胁形势的转变 13
1.4 增强安全态势 15
1.4.1 零信任 16
1.4.2 云安全态势管理 17
1.4.3 多云 18
1.5 红队和蓝队 20
1.6 小结 22
第2章 事件响应流程 24
2.1 事件响应流程概述 24
2.1.1 实施IR流程的理由 24
2.1.2 创建IR流程 26
2.1.3 IR小组 28
2.1.4 事件生命周期 28
2.2 事件处置 29
2.3 事后活动 32
2.3.1 现实世界场景1 32
2.3.2 从场景1中吸收的经验教训 33
2.3.3 现实世界场景2 34
2.3.4 从场景2中吸收的经验教训 37
2.4 云中IR的注意事项 37
2.4.1 更新IR流程以涵盖云 38
2.4.2 合适的工具集 39
2.4.3 从云解决方案提供商视角看
IR流程 39
2.5 小结 40
第3章 网络战略 41
3.1 如何构建网络战略 41
3.1.1 了解业务 42
3.1.2 了解威胁和风险 42
3.1.3 适当的文档 42
3.2 为什么需要构建网络战略 43
3.3 最佳网络攻击战略 44
3.3.1 外部测试战略 44
3.3.2 内部测试战略 45
3.3.3 盲测战略 45
3.3.4 定向测试战略 45
3.4 最佳网络防御战略 45
3.4.1 深度防御 46
3.4.2 广度防御 46
3.5 主动的网络安全战略的好处 47
3.6 企业的顶级网络安全战略 48
3.7 小结 51
第4章 网络杀伤链 52
4.1 了解网络杀伤链 52
4.1.1 侦察 53
4.1.2 武器化 54
4.1.3 投送 54
4.1.4 利用 55
4.1.5 安装 57
4.1.6 指挥控制 58
4.1.7 针对目标行动 58
4.1.8 混淆 59
4.2 用于终结网络杀伤链的安全
控制措施 61
4.2.1 使用UEBA 62
4.2.2 安全意识 63
4.3 威胁生命周期管理 64
4.3.1 取证数据收集 65
4.3.2 发现 65
4.3.3 鉴定 65
4.3.4 调查 66
4.3.5 消除 66
4.3.6 恢复 66
4.4 对网络杀伤链的担忧 67
4.5 网络杀伤链的进化过程 67
4.6 网络杀伤链中使用的工具 68
4.7 使用Comodo AEP:Dragon
Platform 78
4.7.1 准备阶段 78
4.7.2 入侵阶段 80
4.7.3 主动破坏阶段 82
4.8 小结 83
第5章 侦察 84
5.1 外部侦察 84
5.1.1 浏览目标的社交媒体 85
5.1.2 垃圾搜索 86
5.1.3 社会工程 87
5.2 内部侦察 92
5.3 用于侦察的工具 93
5.3.1 外部侦察工具 93
5.3.2 内部侦察工具 109
5.4 被动侦察与主动侦察 119
5.5 如何对抗侦察 120
5.6 如何防止侦察 120
5.7 小结 121
第6章 危害系统 122
6.1 当前趋势分析 122
6.1.1 勒索攻击 123
6.1.2 数据篡改攻击 126
6.1.3 物联网设备攻击 127
6.1.4 后门 128
6.1.5 入侵日常设备 130
6.1.6 攻击云 131
6.1.7 网络钓鱼 138
6.1.8 漏洞利用 140
6.1.9 零日漏洞 141
6.2 危害系统的执行步骤 147
6.2.1 部署有效负载 148
6.2.2 危害操作系统 151
6.2.3 危害远程系统 154
6.2.4 危害基于Web的系统 155
6.3 手机(iOS/Android)攻击 161
6.3.1 Exodus 162
6.3.2 SensorID 163
6.3.3 iPhone黑客:Cellebrite 164
6.3.4 盘中人 164
6.3.5 Spearphone(Android上的
扬声器数据采集) 165
6.3.6 NFC漏洞攻击:Tap’n Ghost 165
6.3.7 iOS 植入攻击 166
6.3.8 用于移动设备的红蓝队工具 166
6.4 小结 168
第7章 追踪用户身份 170
7.1 身份是新的边界 170
7.2 危害用户身份的策略 172
7.2.1 获得网络访问权限 173
7.2.2 收集凭据 174
7.2.3 入侵用户身份 175
7.2.4 暴力攻击 175
7.2.5 社会工程学 177
7.2.6 散列传递 183
7.2.7 通过移动设备窃取身份信息 184
7.2.8 入侵身份的其他方法 185
7.3 小结 185
第8章 横向移动 186
8.1
译者序
前言
第1章 安全态势 1
1.1 为什么应将安全卫生列为首要任务 1
1.2 当前的威胁形势 2
1.2.1 供应链攻击 4
1.2.2 勒索软件 6
1.2.3 凭据—身份验证和授权 9
1.2.4 应用程序 10
1.2.5 数据 11
1.3 网络安全挑战 12
1.3.1 旧技术和更广泛的结果 12
1.3.2 威胁形势的转变 13
1.4 增强安全态势 15
1.4.1 零信任 16
1.4.2 云安全态势管理 17
1.4.3 多云 18
1.5 红队和蓝队 20
1.6 小结 22
第2章 事件响应流程 24
2.1 事件响应流程概述 24
2.1.1 实施IR流程的理由 24
2.1.2 创建IR流程 26
2.1.3 IR小组 28
2.1.4 事件生命周期 28
2.2 事件处置 29
2.3 事后活动 32
2.3.1 现实世界场景1 32
2.3.2 从场景1中吸收的经验教训 33
2.3.3 现实世界场景2 34
2.3.4 从场景2中吸收的经验教训 37
2.4 云中IR的注意事项 37
2.4.1 更新IR流程以涵盖云 38
2.4.2 合适的工具集 39
2.4.3 从云解决方案提供商视角看
IR流程 39
2.5 小结 40
第3章 网络战略 41
3.1 如何构建网络战略 41
3.1.1 了解业务 42
3.1.2 了解威胁和风险 42
3.1.3 适当的文档 42
3.2 为什么需要构建网络战略 43
3.3 最佳网络攻击战略 44
3.3.1 外部测试战略 44
3.3.2 内部测试战略 45
3.3.3 盲测战略 45
3.3.4 定向测试战略 45
3.4 最佳网络防御战略 45
3.4.1 深度防御 46
3.4.2 广度防御 46
3.5 主动的网络安全战略的好处 47
3.6 企业的顶级网络安全战略 48
3.7 小结 51
第4章 网络杀伤链 52
4.1 了解网络杀伤链 52
4.1.1 侦察 53
4.1.2 武器化 54
4.1.3 投送 54
4.1.4 利用 55
4.1.5 安装 57
4.1.6 指挥控制 58
4.1.7 针对目标行动 58
4.1.8 混淆 59
4.2 用于终结网络杀伤链的安全
控制措施 61
4.2.1 使用UEBA 62
4.2.2 安全意识 63
4.3 威胁生命周期管理 64
4.3.1 取证数据收集 65
4.3.2 发现 65
4.3.3 鉴定 65
4.3.4 调查 66
4.3.5 消除 66
4.3.6 恢复 66
4.4 对网络杀伤链的担忧 67
4.5 网络杀伤链的进化过程 67
4.6 网络杀伤链中使用的工具 68
4.7 使用Comodo AEP:Dragon
Platform 78
4.7.1 准备阶段 78
4.7.2 入侵阶段 80
4.7.3 主动破坏阶段 82
4.8 小结 83
第5章 侦察 84
5.1 外部侦察 84
5.1.1 浏览目标的社交媒体 85
5.1.2 垃圾搜索 86
5.1.3 社会工程 87
5.2 内部侦察 92
5.3 用于侦察的工具 93
5.3.1 外部侦察工具 93
5.3.2 内部侦察工具 109
5.4 被动侦察与主动侦察 119
5.5 如何对抗侦察 120
5.6 如何防止侦察 120
5.7 小结 121
第6章 危害系统 122
6.1 当前趋势分析 122
6.1.1 勒索攻击 123
6.1.2 数据篡改攻击 126
6.1.3 物联网设备攻击 127
6.1.4 后门 128
6.1.5 入侵日常设备 130
6.1.6 攻击云 131
6.1.7 网络钓鱼 138
6.1.8 漏洞利用 140
6.1.9 零日漏洞 141
6.2 危害系统的执行步骤 147
6.2.1 部署有效负载 148
6.2.2 危害操作系统 151
6.2.3 危害远程系统 154
6.2.4 危害基于Web的系统 155
6.3 手机(iOS/Android)攻击 161
6.3.1 Exodus 162
6.3.2 SensorID 163
6.3.3 iPhone黑客:Cellebrite 164
6.3.4 盘中人 164
6.3.5 Spearphone(Android上的
扬声器数据采集) 165
6.3.6 NFC漏洞攻击:Tap’n Ghost 165
6.3.7 iOS 植入攻击 166
6.3.8 用于移动设备的红蓝队工具 166
6.4 小结 168
第7章 追踪用户身份 170
7.1 身份是新的边界 170
7.2 危害用户身份的策略 172
7.2.1 获得网络访问权限 173
7.2.2 收集凭据 174
7.2.3 入侵用户身份 175
7.2.4 暴力攻击 175
7.2.5 社会工程学 177
7.2.6 散列传递 183
7.2.7 通过移动设备窃取身份信息 184
7.2.8 入侵身份的其他方法 185
7.3 小结 185
第8章 横向移动 186
8.1
前 言
前 言
时代的发展推动了组织加快数字化转型的速度,组织必须迅速采用更灵活的策略来支持远程工作。这种新环境为组织带来了一系列网络安全挑战,也为威胁行为者提供了实施恶意操作的新机会。在本书中,你将学习安全态势管理对提高防御能力的重要性,了解攻击方法,以及使用蓝队战术识别组织内异常行为的模式。此外,本书还将教你收集、利用情报和识别风险的技术,并展示红/蓝队活动的影响。
读者对象
本书面向IT安全领域的专业人员、渗透测试人员、安全顾问或希望成为道德黑客的人,具备计算机网络、云计算和操作系统的知识对学习本书内容会很有帮助。
本书主要内容
第1章定义什么是好的安全态势,并探讨拥有一个好的防御和攻击策略的重要性。
第2章介绍事件响应流程和建立一致计划的重要性,涵盖处理事件响应的不同行业标准和最佳实践。
第3章解释什么是网络战略、为什么需要网络战略,以及如何构建有效的企业网络战略。
第4章让读者了解攻击者的思维模式、攻击的不同阶段,以及每个阶段通常会发生的情况。
第5章涵盖执行侦察的不同策略,介绍如何收集数据以获得关于目标的信息,以及这些信息会如何被用于计划攻击。
第6章介绍危害系统策略的当前趋势,并解释一些利用系统漏洞的技术。
第7章解释保护用户身份以避免凭据被盗的重要性,并涵盖用于破坏用户身份的主要策略,所有这些都旨在提高你的身份防护水平。
第8章描述攻击者在获得系统访问权限后如何执行横向移动操作。
第9章展示攻击者如何提升权限以获得系统的管理权限。
第10章关注初始防御策略的不同方面,首先介绍在部署管道开始时建立防护栏的重要性,然后回顾最佳实践、安全意识培训和关键安全控制。
第11章深入探讨防御的不同方面,涵盖物理网络分段以及虚拟和混合云。
第12章解释拥有能够根据模式和行为发出威胁告警的网络传感器的重要性,还将介绍不同类型的网络传感器以及一些用例。
第13章讨论威胁情报的不同方面,既有来自社区的,也有来自主要供应商的。
第14章介绍事件调查的步骤,探讨调查内部事件与基于云的事件的区别,并以几个案例研究结束本章讨论。
第15章重点介绍受损系统的恢复步骤和程序,并解释可用选项的重要性以及如何评估最佳恢复选项。
第16章描述漏洞管理对于防止利用已知漏洞的重要性。
第17章介绍手动进行日志分析的不同技术,因为对于读者来说,了解如何深入分析不同类型的日志以发现可疑的安全活动至关重要。
如何阅读本书
我们假设本书读者了解基本的信息安全概念,熟悉Windows和Linux操作系统,以及核心网络基础设施术语和关键的云计算概念。
本书中的一些演示也可以在实验室环境中完成,因此,我们建议建立一个虚拟实验室,其中虚拟机运行Windows Server 2019、Windows 10/11和Kali Linux。
时代的发展推动了组织加快数字化转型的速度,组织必须迅速采用更灵活的策略来支持远程工作。这种新环境为组织带来了一系列网络安全挑战,也为威胁行为者提供了实施恶意操作的新机会。在本书中,你将学习安全态势管理对提高防御能力的重要性,了解攻击方法,以及使用蓝队战术识别组织内异常行为的模式。此外,本书还将教你收集、利用情报和识别风险的技术,并展示红/蓝队活动的影响。
读者对象
本书面向IT安全领域的专业人员、渗透测试人员、安全顾问或希望成为道德黑客的人,具备计算机网络、云计算和操作系统的知识对学习本书内容会很有帮助。
本书主要内容
第1章定义什么是好的安全态势,并探讨拥有一个好的防御和攻击策略的重要性。
第2章介绍事件响应流程和建立一致计划的重要性,涵盖处理事件响应的不同行业标准和最佳实践。
第3章解释什么是网络战略、为什么需要网络战略,以及如何构建有效的企业网络战略。
第4章让读者了解攻击者的思维模式、攻击的不同阶段,以及每个阶段通常会发生的情况。
第5章涵盖执行侦察的不同策略,介绍如何收集数据以获得关于目标的信息,以及这些信息会如何被用于计划攻击。
第6章介绍危害系统策略的当前趋势,并解释一些利用系统漏洞的技术。
第7章解释保护用户身份以避免凭据被盗的重要性,并涵盖用于破坏用户身份的主要策略,所有这些都旨在提高你的身份防护水平。
第8章描述攻击者在获得系统访问权限后如何执行横向移动操作。
第9章展示攻击者如何提升权限以获得系统的管理权限。
第10章关注初始防御策略的不同方面,首先介绍在部署管道开始时建立防护栏的重要性,然后回顾最佳实践、安全意识培训和关键安全控制。
第11章深入探讨防御的不同方面,涵盖物理网络分段以及虚拟和混合云。
第12章解释拥有能够根据模式和行为发出威胁告警的网络传感器的重要性,还将介绍不同类型的网络传感器以及一些用例。
第13章讨论威胁情报的不同方面,既有来自社区的,也有来自主要供应商的。
第14章介绍事件调查的步骤,探讨调查内部事件与基于云的事件的区别,并以几个案例研究结束本章讨论。
第15章重点介绍受损系统的恢复步骤和程序,并解释可用选项的重要性以及如何评估最佳恢复选项。
第16章描述漏洞管理对于防止利用已知漏洞的重要性。
第17章介绍手动进行日志分析的不同技术,因为对于读者来说,了解如何深入分析不同类型的日志以发现可疑的安全活动至关重要。
如何阅读本书
我们假设本书读者了解基本的信息安全概念,熟悉Windows和Linux操作系统,以及核心网络基础设施术语和关键的云计算概念。
本书中的一些演示也可以在实验室环境中完成,因此,我们建议建立一个虚拟实验室,其中虚拟机运行Windows Server 2019、Windows 10/11和Kali Linux。
评论
还没有评论。