發表於2024-11-27
要保證網絡和係統安全,需要做的事情有很多:運行殺毒軟件,安裝防火牆,將所有東西上鎖,遵循嚴格的檢查規定,加密並監視網絡中的所有流量,重金聘請安全顧問,等等。但結果往往讓人失望:公司在安全上投入巨大人力和物力,卻還是會遭受大量的黑客攻擊。很明顯,這裏還存在問題。
本書的目的就是教你將安全看作一個係統問題來考慮,使防禦措施與實際威脅相匹配,讓企業的安全措施不會過於嚴苛而影響生産效率,也不會太過鬆懈給人可趁之機。除瞭安全相關的技術、應對策略,本書還講授如何設計一個架構,來處理安全問題造成的後果。作者基於自己在安全領域豐富的經驗,分享瞭針對SSO、聯閤認證、BYOD、可視化以及雲安全等方麵問題的解決方案。
作者是世界上*受尊重和認可的安全專傢之一,他在本書中提供瞭一種看安全的新視角。本書第1部分從問題定義開始,從係統化的角度看待安全,討論當前安全發展的變化、安全的思維方式、目標,並且分析瞭不同的威脅模型。在此基礎之上,第2部分介紹安全相關的技術,除瞭對技術本身進行介紹之外,作者還很好地考慮瞭不同情況、不同需求,以及在應對不同威脅模型時,各種技術的優勢和可能麵臨的問題。第3部分介紹具體的安全操作,即如何創建安全的係統,考慮瞭包括代碼、設計、架構、管理以及人員等眾多綜閤因素。第4部分分析具體案例,並且對未來的技術發展和應對給齣瞭建議。本書基於作者在安全領域多年的實際經驗,結閤新技術的發展,給齣瞭實用而全麵的安全技術指導,為創建安全係統提供瞭很好的藉鑒。
目錄
第1部分 問題定義
第1章 介紹 3
1.1 變化 3
1.2 適應變化 5
1.3 安全分析 9
1.4 用詞的一點說明 11
第2章 對安全的思考 13
2.1 安全的思維方式 13
2.2 明確你的目標 15
2.3 安全作為一個係統問題 19
2.4 像對手一樣思考 22
第3章 威脅模型 27
3.1 誰是你的敵人 27
3.2 攻擊的分類 30
3.3 高級可持續性威脅 32
3.4 什麼處在威脅之中 36
3.5 期限問題 37
第2部分 技術
第4章 防病毒軟件 41
4.1 特徵 41
4.2 防病毒軟件的養護和培育 46
4.3 隨時都需要防病毒嗎 48
4.4 分析 52
第5章 防火牆和入侵檢測係統 57
5.1 防火牆不做的事 57
5.2 防火牆的原理 58
5.3 入侵檢測係統 65
5.4 入侵防禦係統 66
5.5 泄露檢測 67
5.6 分析 71
第6章 加密和VPN 75
6.1 加密――特效藥 75
6.2 密鑰分發 78
6.3 傳輸層加密 79
6.4 客體加密 82
6.5 VPN 85
6.6 協議、算法和密鑰長度建議 89
6.7 分析 96
第7章 密碼和認證 99
7.1 認證的原則 99
7.2 密碼 100
7.3 存儲密碼:用戶 106
7.4 密碼被盜 110
7.5 忘記密碼 112
7.6 生物特徵 114
7.7 一次性密碼 118
7.8 加密認證 122
7.9 令牌和手機 124
7.10 單點登錄和聯閤認證 126
7.11 存儲密碼:服務器 128
7.12 分析 132
第8章 PKI:公鑰基礎設施 137
8.1 什麼是一個證書 137
8.2 PKI:你相信誰 138
8.3 PKI與pki 142
8.4 證書的過期和撤銷 148
8.5 分析 153
第9章 無綫訪問 157
9.1 無綫不安全的迷思 157
9.2 保持連接 163
9.3 斷開連接 166
9.4 智能手機、平闆電腦、玩具以及移動電話接入 167
9.5 分析 168
第10章 雲和虛擬化 171
10.1 分布式和隔離 171
10.2 虛擬機 172
10.3 沙箱 174
10.4 雲 177
10.5 雲提供商的安全架構 178
10.6 雲計算 180
10.7 雲存儲 181
10.8 分析 183
第3部分 安全操作
第11章 創建安全係統 189
11.1 正確的編碼 190
11.2 設計問題 194
11.3 外部鏈接 196
11.4 可信方 200
11.5 原始係統 203
11.6 結構化防禦 204
11.7 安全評估 207
第12章 選擇軟件 211
12.1 質量問題 211
12.2 明智地選擇軟件 214
第13章 及時更新軟件 219
13.1 漏洞和補丁 219
13.2 補丁的問題 222
13.3 如何打補丁 223
第14章 人 227
14.1 雇員、培訓和教育 228
14.2 用戶 231
14.3 社會工程 233
14.4 可用性 235
14.5 人的因素 240
第15章 係統管理 243
15.1 係統管理員:你最重要的安全資源 243
15.2 走正確的路 244
15.3 係統管理工具和架構 247
15.4 將係統管理外包 250
15.5 黑暗麵是權力 251
第16章 安全過程 255
16.1 計劃 255
16.2 安全策略 256
16.3 記錄和報告 259
16.4 事件響應 262
第4部分 關於未來
第17章 案例分析 267
17.1 小型的醫療實踐 267
17.2 電子商務網站 269
17.3 加密的弱點 272
17.4 物聯網 274
第18章 恰當的做法 281
18.1 過時 281
18.2 新設備 282
18.3 新的挑戰 283
18.4 新的防禦 284
18.5 考慮隱私 285
18.6 整體考慮 286
參考文獻 287
序言
多數計算機安全類書籍隻告訴大傢應當做什麼和不應當做什麼。而本書將會告訴你為什麼。
要保證安全,需要做的事情有很多:運行殺毒軟件,安裝防火牆,將所有東西上鎖,遵循嚴格的檢查規定,加密並監視網絡中的所有流量,重金聘請安全顧問,等等。可結果卻是相當讓人失望的:公司在安全上投入巨大,卻還是會遭受大量的計算機相關的攻擊。很明顯,這裏還存在問題。
問題的根源具有兩麵性:我們在保護(以及在保護上投資)錯誤的東西,我們在這個過程中影響瞭生産效率。與汽車的車鎖不同,有瞭汽車車鎖就能夠將車停在不安全的地方,從而加強瞭汽車的使用功能。而計算機安全似乎是在限製用戶做事情,而不是讓用戶能夠在不安全的地方做事情。人們——尤其是雇員——希望能夠提高生産效率,當安全措施影響生産效率時,猜測一下什麼會被犧牲掉?沒錯,就是安全。
解決方法同樣也有兩麵性:保護正確的事情,並且讓雇員能夠很容易地做正確的事情。這不僅僅需要一個列錶,還需要對於實際威脅和技術的瞭解。這就是這本書的內容,如何來思考安全。
保護正確的事情
安全始於知道保護什麼,以及保護其不受何種威脅。這也就意味著,任何安全建議,如果沒有以這兩個問題開始,都是沒有意義的。你將會花太多精力在錯誤的事情上麵。如果你是在保護國傢的安全機密信息不受外國情報機構的探測,可能就需要應用所有現有的防護方法,以及一些還未齣現的防護措施。此外,你還需要保護其不受“3B”的威脅,“3B”即盜竊(Burglary)、賄賂(Bribery)和勒索(Blackmail)。
大多數人都不像對手那樣有一些間諜(盡管新聞報道稱情況正在改變[Barrett 2015])。當今的典型黑客都是受利益驅使的,需要問的問題是,黑客是如何利用你的計算機和網絡來獲益的。如果你在銀行工作,那麼答案就很明顯;用大傢都知道的話說,因為銀行是錢在的地方。但是壞人可以利用任何一颱計算機來盜竊我們個人的東西,因此我們不能放鬆防禦。這些攻擊更多可能是隨機的,而不是針對特定目標的。即使這樣,風險程度也可以劃分為不同等級。
這就造成一個結果,防禦也是利益相關的。花費比原物價值更多的費用來保護原物是沒有意義的。一種值得記住的說法是[Schiffman 2007]“業餘人士擔心算法,專業人士擔心經濟”。你的目標並不是讓一個係統無法被滲透,而是提高被滲透的代價,讓敵人不願付齣高額代價去做,同時降低自己的投入。
我們以典型的密碼為例。30多年來,一直有人不斷地告訴我們弱密碼是不安全的[Morris and Thompson 1979]。毫無疑問這是正確的,由於弱密碼造成的安全問題十分常見。也有人不斷告訴我們不應當把密碼記下來。但是,自從1979年以來,世界在各個方麵都有瞭很大的變化。
假如我設置瞭一個很強的密碼,並且我不隻是設置瞭一個很強的密碼,而是對於需要登錄的不同網站,設置瞭很多個不同的強密碼。我不可能記住所有的密碼,一定會忘掉幾個,因此我必須采取密碼恢復機製。什麼是密碼恢復機製呢?對於很多網站來說,它們會把新密碼通過郵件發送給我。那麼我的賬號安全就取決於郵箱的安全瞭,對嗎?不僅如此,還存在一些其他的問題。
對很多人來說,真正的威脅不是密碼猜測,而是按鍵記錄器。也就是說,有人在計算機上安裝瞭一些惡意軟件。這些軟件記錄瞭鍵盤按鍵的所有行為,包括密碼。即使你設置瞭一個很強的密碼,也記住瞭這個密碼,但隻要你通過鍵盤輸入這個密碼,那麼你的賬戶就可能被攻破[D. Florêncio, Herley, andCoskun 2007]。與之對應,如果密碼是通過一個恢復郵件發送給你,你使用瞭復製粘貼輸入,而不是鍵盤輸入,那麼你就會更安全。很多人的郵箱密碼都是自動保存的,同樣不需要用鍵盤輸入。但是如果用鍵盤輸入瞭郵箱密碼,那麼所有的對於網站的密碼加強機製都會失效,因為壞人會通過盜用郵箱密碼來恢復所有網站的密碼。
因此,密碼安全問題遠比一個簡單的檢查錶更加復雜。你必須要有很強的密碼,必須用正確的方式,保護密碼不受威脅。沒有什麼方法是完美的。要做齣最佳決定,需要理解交互、取捨以及威脅。換句話說,僅遵循一個檢查錶的規定是不夠的,你還需要理解為什麼要做檢查錶所列的事情。
做正確的事情
在撥號訪問時期,矽榖有一傢公司擔心自己的安全。他們擔心“戰爭撥號”,即黑客撥叫一個交換區內所有電話號碼,找到一個調製解調器,然後進行密碼猜測攻擊,因此禁用瞭調製解調器。
禁用的問題與矽榖流行的習慣産生瞭衝突,矽榖的研發人員都習慣瞭衣著隨意的在一天的任意時間內工作。研發人員也做瞭一件事:他們到隔壁商場的計算機專櫃,花29.95美元買瞭一個調製解調器接到公司電話綫上,然後一整天都開著。公司的安全人員意識到這個問題,於是安裝瞭一個數字電話係統,使得研發人員無法在這個係統中隨時使用調製解調器。要使用一個普通的模擬電話綫路,需要公司副總經理簽字。看起來問題解決瞭,但是安全人員沒有禁止其他的能夠連接調製解調器的綫路:傳真機。因此,一下子很多工程師都提齣辦公室需要一颱傳真機,這樣的請求被批準瞭。這些29.95美元的調製解調器能夠發送和接收傳真,當然也並不是100%的需求造假。
大傢都很高興。安全人員很高興,因為他們以為沒有撥號綫路瞭;工程師很高興,因為他們能夠隨意登錄。一切都很順利,直到一個心懷不滿的前雇員攻擊瞭這些不安全的防護。而安全人員十分不解,因為他們還以為沒有調製解調器呢!
想象一下,如果換一種方式,采用一個集中管理的調製解調器池,通過恰當的認證和登錄列錶連接到部門人員數據庫。這種方式會更加安全,並且會提高生産力,而不是驅使員工去破壞規則。
安全:不需要太多,不需要太少,剛剛好
這兩個情形有很多共同之處。更重要的是,它們都說明瞭安全決策無法憑空産生。這裏麵有很大一部分人的因素,不與人的行為相匹配的安全解決方案,不管好方案還是壞方案,都會失敗。
另外一個相似點是,這些防禦通常與實際威脅之間沒有匹配好。強密碼無法防護按鍵記錄器;此外,無數的用戶都認為遵循強密碼規則太麻煩。更糟糕的是,他們必須遵守很多套規則,每一套都略有不同。強密碼更容易忘記,因此必須依賴密碼恢復機製。這些機製通常比原有的認證機製更不安全,Sarah Palin在電子郵件賬號被黑客攻擊之後得齣瞭這個結論[Zetter 2010]。她使用的網站花費瞭很多努力來設計恢復方法、收集和存儲數據,以及提齣相關問題。從很大程度上講,他們不得不這麼做;人會忘記密碼,但是問題是不是首先齣現在對強密碼的依賴上呢?
禁用調製解調器是為瞭防止那些惡意撥號的人。他們忽略瞭內部的威脅,同時也犧牲瞭一些生産力。他們同樣受到其他問題的睏擾,例如在零售商那裏購買瞭太多的調製解調器,並且為額外的電話綫花費太多。
可能在未來的幾年,你的老闆將會讀到新的Herkawat攻擊的信息,以及Kushghab.com的軟件如何來阻止這些攻擊。你要買他們的産品嗎?如何做齣選擇呢?我希望你能通過閱讀本書,得到這些問題的答案,不僅僅是針對那些隨機密碼生成器造成的攻擊和相關産品是否購買的答案。
對迷惘的一些引導
這本書並非一本安全類的介紹書籍。本書麵嚮的讀者對象是係統管理員、IT管理員、首席安全官以及係統架構師。閱讀本書,讀者要熟悉防火牆,瞭解對稱加密與非對稱加密之間的區彆。你可能見過常用的安全檢查錶,可能獲得瞭某個安全證書,並且擁有證書中描述的能力。我不會告訴你如何避免緩存溢齣、跨站腳本攻擊,以及SQL攻擊等,因為已經有很多關於這些內容的書籍瞭。本書的目的是教會你如何考慮安全決策的內涵,以及如何設計一個架構,來處理安全問題造成的後果。我不知道十年後,網絡會變成什麼樣子,會齣現哪些流行的服務和設備。我很確定會有很多新東西齣現,一些現在我們想都想不到的東西。你如何保護自己,保護這些新東西,以及保護自己不受新東西的威脅呢?安全檢查錶是對於知道正確答案的人來說的,但是有時候,正確答案尚未齣現。
本書的第1部分是關於理論的。討論瞭如何進行思考,同時包含瞭一些對於可能的威脅的討論。
第2部分討論一些基本的技術,不僅包括安全技術,例如防火牆,而且包括其他針對無綫通信獨有特徵的技術。
第3部分討論如何創建並且運行實時係統。我們生活在一個不完美的世界,我們需要現在就解決這些問題。
第4部分通過對一些案例的學習來掌握這些原則,並且提齣對這個領域未來的一些想法。
鏈接失效說明
George R.R. Martin寫過[G. R. R. Martin 2000]“凡人皆需伺奉,凡人皆有一死”。同樣的,網頁鏈接也會失效。我在2015年8月檢查瞭這本書中的所有URL,但是當你看到這本書的時候,可能有些鏈接已經失效瞭。即使美國最高法院也受這個問題的睏擾[Zittrain, Albert, and Lessig2014]。目前,沒有什麼好辦法,試著使用時光機器(https://www.archive.org)可能是最好的選擇。
緻謝
計算機安全科學不是我創建的,我也不是自學的。我要感謝三位學術泰鬥,從他們身上我學到瞭很多:貝爾實驗室的Fred Grampp、NSA國傢計算機安全中心的Bob Morris,以及北卡羅萊納大學教堂山分校的Fred Brooks。從Grampp那裏我學到瞭密碼、日誌文件以及社會工程學,這很重要。Morris教會我在展示安全操作係統設計時,考慮其功能,“你如何進行備份和恢復?”他的係統是安全的嗎?Morris還告訴我在評估安全時,經濟所處的角色。Brooks教會我如何考慮軟件係統,並讓我意識到鬆散的編碼是多麼令人痛苦的問題。
我還要感謝在寫本書時給過我幫助的所有人。按字母順序,這些人包括(不僅僅是這些人):Randy Bush、Bill Cheswick、Richard Clayton、Greg Conti、Simson Garfinkel、Levi Gundert、Paul Hoffman、Russ Housley、Mar
阻擊黑客:技術、策略與案例 下載 mobi pdf epub txt 電子書 格式 2024
阻擊黑客:技術、策略與案例 下載 mobi epub pdf 電子書嗯好。。。。。。。。
評分好好好好好好好好好好好好好好好好好好
評分值得購買的書籍
評分還不錯,做活動買還算便宜。。
評分活動時買的,不錯,夠看一陣子瞭
評分還好吧,感覺很多內容《黑客大曝光》裏也有,這個隻是注重瞭防,那個為攻
評分對付黑客,前提就是自己成為黑客。
評分書很好 很有用 還有送貨很快
評分東西不錯,買的值得,給好評
阻擊黑客:技術、策略與案例 mobi epub pdf txt 電子書 格式下載 2024