發表於2024-11-23
全麵介紹情報先導信息安全方法和實踐的著作
從威脅的種類、曆史、特徵入手,循序漸進地闡述如何實施情報先導的安全項目,結閤內外部情報,拓展態勢感知能力
傳統的網絡防禦三劍客——防火牆、入侵檢測係統和桌麵防病毒軟件,已經不再能讓我們高枕無憂,在敵人大打情報戰的時候,我們能怎麼辦?隻有以其人之道還治其人之身——實施情報先導的安全項目,結閤內外部情報,拓展態勢感知能力,先敵一步采取行動,將攻擊扼殺在搖籃之中。
網絡威脅情報的加入有助於安全團隊發現傳統安全平颱沒有發現的事件,將網絡上似乎無關的事件關聯起來。閤理實施的情報還能幫助安全從業人員更有效地排定安全事件的優先級並做齣響應,使他們的生活更輕鬆。本書將介紹如何實施安全信息和事件管理係統、收集和分析日誌,以及如何實踐真正的網絡威脅情報。你將學習如何深入理解網絡,可能的方式保護它。
提供構建情報先導信息安全項目、保護公司的路綫圖和方嚮。
學習如何通過日誌和用戶監控理解網絡,有效評估威脅情報、增強態勢感知能力。
學習如何使用流行框架和工具(如YARA、STIX、TAXII、CyBOX、Hadoop和Splunk),關聯不同的信息,製作可行動的網絡威脅情報。
學習新型威脅情報管理平颱,以及它們與現有係統配閤改進情報循環的方式。
本書由資深網絡安全專傢Allan Liska親筆撰寫,從威脅的種類、曆史、特徵入手,循序漸進地闡述瞭情報的類型和重要性、網絡安全情報模型、數據收集、內外部情報源等情報先導信息安全的重要概念及方法,為在各種網絡攻擊麵前苦於招架的安全團隊帶來瞭一劑良藥。
本書的篇幅雖不算大,內涵卻十分豐富,不是泛泛地介紹各種工具,而是係統地介紹各種網絡安全方法,包括攻擊鏈模型、網絡安全情報模型,以及各種行業ISAC等組織的講解,足以令讀者茅塞頓開,在安全領域開闢新的道路。
Allan Liska,是iSIGHT Partners技術聯盟項目主管,在信息安全領域有逾15年的從業經驗。憑藉在攻擊和防禦網絡上的經驗,Allan提齣瞭有關威脅狀態的獨特觀點。他還是《The Practice of Network Security》的作者。
譯者序
前 言
第1章 理解威脅 1
1.1 引言 1
1.2 網絡安全簡史 2
1.2.1 Morris蠕蟲 2
1.2.2 防火牆 3
1.2.3 入侵檢測係統 4
1.2.4 颱式機 5
1.2.5 郵件過濾器和代理 7
1.2.6 分布式拒絕服務攻擊 10
1.2.7 統一威脅管理 11
1.3 理解當前的威脅 12
1.3.1 惡意軟件行業 13
1.3.2 惡意軟件商品化 15
1.3.3 攻擊之王—網絡釣魚 17
1.3.4 攻擊麵正在擴大 19
1.3.5 雲的興起 21
1.4 即將齣現的威脅 22
1.5 小結 24
1.6 參考書目 24
第2章 什麼是情報 27
2.1 引言 27
2.2 情報的定義 28
2.3 情報循環 29
2.4 情報類型 33
2.5 專業分析師 34
2.6 拒止與欺騙 38
2.7 古往今來的情報 40
2.7.1 孫子 41
2.7.2 凱撒大帝 43
2.7.3 喬治·華盛頓 44
2.7.4 布萊奇利莊園 45
2.8 小結 47
2.9 參考書目 47
第3章 構建網絡安全情報模型 49
3.1 引言 49
3.2 網絡威脅情報的定義 50
3.3 攻擊剖析 51
3.4 從不同的角度接近網絡攻擊 55
3.5 在安全工作流中加入情報生命期 60
3.5.1 情報是有活力的 62
3.5.2 一圖勝韆言 63
3.6 自動化 65
3.7 小結 68
3.8 參考書目 68
第4章 收集數據 69
4.1 引言 69
4.2 連續監控框架 70
4.3 NIST網絡安全框架 73
4.3.1 框架核心 73
4.3.2 框架實施層次 75
4.3.3 框架配置文件 78
4.4 安全性+情報 79
4.5 安全性的業務方麵 82
4.6 規劃分階段方法 85
4.6.1 目標 85
4.6.2 初始評估 85
4.6.3 分析當前安全狀態 87
4.6.4 進入下一階段 89
4.7 小結 90
4.8 參考書目 90
第5章 內部情報來源 93
5.1 引言 93
5.2 資産、漏洞和配置管理 94
5.3 網絡日誌記錄 101
5.3.1 SIEM帶來的麻煩 102
5.3.2 SIEM的能力 105
5.3.3 托管安全服務提供商 108
5.3.4 訪問控製 110
5.4 網絡監控 111
5.5 小結 114
5.6 參考書目 115
第6章 外部情報來源 117
6.1 引言 117
6.2 品牌監控與情報的對比 118
6.3 資産、漏洞和配置管理 121
6.4 網絡日誌記錄 127
6.4.1 作為中心點的IP地址 129
6.4.2 作為中心點的域名 133
6.4.3 作為中心點的文件散列 137
6.4.4 以MSSP警報為中心 140
6.5 網絡監控 141
6.6 防範零日攻擊 143
6.7 事故響應和情報 146
6.8 協作式威脅研究 147
6.9 小結 148
6.10 參考書目 149
第7章 融閤內部和外部情報 151
7.1 引言 151
7.2 安全意識培訓 152
7.3 OpenIOC、CyBOX、STIX和TAXII 156
7.3.1 OpenIOC 156
7.3.2 CyBOX 157
7.3.3 STIX和TAXII 159
7.4 威脅情報管理平颱 161
7.5 大數據安全分析 166
7.6 小結 168
7.7 參考書目 169
第8章 CERT、ISAC和情報共享社區 171
8.1 引言 171
8.2 CERT和CSIRT 172
8.2.1 CERT/協調中心 173
8.2.2 US-CERT和國傢級CSIRT 174
8.2.3 公司級CSIRT 175
8.3 ISAC 176
8.4 情報共享社區 182
8.5 小結 185
8.6 參考書目 185
第9章 高級情報能力 187
9.1 引言 187
9.2 惡意軟件分析 188
9.2.1 為什麼這是個壞主意 188
9.2.2 建立惡意軟件實驗室 189
9.3 蜜罐 199
9.3.1 為什麼這是個壞主意 200
9.3.2 蜜罐的布設 201
9.3.3 建立計劃 202
9.3.4 蜜罐類型 203
9.3.5 選擇蜜罐 204
9.4 入侵誘騙 206
9.4.1 為什麼這是個壞主意 206
9.4.2 入侵誘騙的工作原理 207
9.5 小結 208
9.6 參考書目 208
2015年2月,我參加瞭RSA大會,這是我多年來第一次參加這項會議,會上我被網絡安全領域在很短時間內發生的巨大變化深深打動。更確切地說,在很短的時間內,網絡安全市場發生的巨大變化觸動瞭我。
在RSA大會上,幾乎每一傢網絡安全供應商都在兜售他們的情報,不管是供應商在平颱中直接提供的原生情報,還是供應商與第三方情報提供上的集成。彆誤解,我堅信情報是在安全事故成為大問題之前識彆和解決它們的最佳手段。但是情報不是一個數據摘要,也不是一係列指標。相反,情報是獲得這些指標、使它們可以付諸行動,並提供指標背後威脅的來龍去脈的全過程。
實際上,編寫本書的動機來自於RSA會議期間一個雨夜中與本書技術編輯Tim Gallo關於這一主題的一次交談。本書不是關於係統配置的純技術書籍,它的目標是幫助讀者決定如何調整組織內部的安全過程,以容納情報循環,並考慮所得情報的注入點。在使用得當的情況下,情報越好,給網絡帶來的保護越好。
本書是介紹這一復雜主題的第一次嘗試,如果你願意,可以把它稱作版本1.0。我十分感謝任何反饋,不管它們是正麵的還是負麵的,都可以幫助下一版本變得更好。你可以通過allan@allan.org和我聯係,並提供任何意見。
緻謝本書的首要主題之一是信息共享的重要性。如果無法根據情報采取行動,或者情報沒有及時交到需要根據它采取行動的人手中,那麼情報就是毫無意義的。如果沒有那麼多網絡威脅情報社區的人和我分享他們的知識,本書就不可能齣版。
我要特彆感謝一些人的幫助:Cisco的Brian Tillett,Carbon Black的Ben Johnson和Jeffrey Guy,CrowdStrike的Mike Cryer和Scott Fuselier,Palantir的Geoff Stowe,Symantec的Sean Murphy,Mandiant的Justin Bajko,Recorded Future的Jeson Hines,DomainTools的Tim Chen,Schweitzer Engineering Laboratories的Laura Scheweitzer,Reservoir Labs的Patrick Clancy,LockPath的Chris Goodwin和Chris Caldwell,ThreatConnect的Andy Pendergast和Michele Perry,eSentire的Sean Blenkhorn,以及ThreatQuotient的Wayne Chiang。
我還要感謝iSIGHT Partners的同事們,感謝所有人在這段時間的支持。他們的支持、建議、想法和交流使我可以寫齣一本真正對廣大讀者有幫助的書。
除瞭廣泛的社區支持之外,我還要感謝Tim Gallo齣色的技術編輯工作。Tim和我一起花費瞭很長的時間,提煉我們關於在組織中有效利用網絡威脅情報的方法,因此,他對這本書的貢獻和我一樣多。實際上,本書中許多最巧妙的段落直接歸功於他的編輯。
最後,如果沒有Syngress的Chris Katsaropoulos和Ben Rearick的辛勤工作,本書就無法齣版。感謝Chris相信我的想法並且幫助把它們轉化成文字。感謝Ben幫我控製進度,在遇到阻力時鼓勵我。他們兩位使本書的齣版過程比10年前輕鬆很多。
作者簡介Allan Liska是iSIGHT Partners的技術聯盟項目主管,是一位“事故”安全性專傢。雖然Allan總是擅長破壞性的工作,但是他最早的專業工作是擔任Genie在綫服務(AOL早期競爭者,已消亡多年)的客戶服務代錶,當時他將業餘時間花在理解用戶如何在未授權狀態下訪問係統、驅逐這些訪問者並讓開發人員知道需要打補丁的地方。在不知不覺中,這些工作使其走上瞭安全專傢的道路。之後,他供職於UUNET和Symantec等公司,幫助各大公司加固網絡安全。他還曾經在波音公司工作,嘗試攻破公司的網絡。今天,Allan幫助各大公司實施情報工作,使所有安全設備相互通信,加大情報覆蓋麵。
除瞭將時間花在安全邊界兩端之外,Allan還撰寫瞭大量有關安全的書籍,包括《The Practice of Network Security》。此外,他還是《Apache Administrator抯 Handbook》的閤著者。
技術編輯簡介Tim Gallo是Symantec的現場工程師。他在Symantec有11年的工作經驗,而在信息技術和IT安全方麵已經有16年的經驗。作為Symantec網絡安全組的現場工程師,他為Symantec的客戶提供策略和指導,幫助他們利用情報收集和傳播建立具有前瞻性的保護方案。他還在其他方麵為Symantec提供服務,包括Symantec情報服務的技術産品管理、全球服務與工程團隊中的運營和交付任務,以及領導公司高級網絡安全産品支持戰略。在就職於Symantec之前,Tim曾在一傢領先的工業製造企業擔任美國地區安全官員,負責戰略性策略開發、測試和數據中心運營。作為當前工作的一部分,Tim是安全策略、情報計劃和威脅及安全漏洞管理領域的思想領袖。
防患未然:實施情報先導的信息安全方法與實踐 下載 mobi pdf epub txt 電子書 格式 2024
防患未然:實施情報先導的信息安全方法與實踐 下載 mobi epub pdf 電子書十個字呀十個字 還不錯
評分一直都在京東購買,挺放心的。
評分快遞快,東西好,非常不錯,值得購買!
評分購買方便,比書店便宜!
評分經常買的,非常好的東西
評分書在印刷質量很不錯,內容更加好!!!
評分還可以,值得看一看,多多學習
評分東西不錯,贊一個。。。。。。
評分物流速度也很快,還會購買
防患未然:實施情報先導的信息安全方法與實踐 mobi epub pdf txt 電子書 格式下載 2024