新書推薦:
《
安史之乱:历史、宣传与神话(40幅插图,深度还原安史之乱重要战事)
》
售價:NT$
704.0
《
亚伯拉罕的行李:中世纪印度洋世界的饮食、日用与旅行技艺
》
售價:NT$
602.0
《
中国历代文论要略(全三册)
》
售價:NT$
714.0
《
英歌36( 国家级非遗“英歌舞” 潮阳英歌文化)
》
售價:NT$
347.0
《
汪诘经典著作 时间的形状 相对论史话
》
售價:NT$
398.0
《
世界名校升学规划:让你脱颖而出的9种学习力
》
售價:NT$
356.0
《
大学问·华北村治:权力、话语和制度变迁(1875—1936)
》
售價:NT$
454.0
《
芬尼根的守灵夜 全译注释本
》
售價:NT$
2540.0
|
| 編輯推薦: |
|
本书聚焦网络安全领域,深度融合威胁情报与事件响应。作者结合丰富实战经验,从多视角探索情报主题,阐述其在应急响应中的 “启动” 价值与对流程体系的构建作用,还分享突破威胁情报 “痛苦金字塔” 的实践。书中涵盖 F3EAD、ATT&CK 等模型,通过真实案例展现情报驱动应急响应的力量,为安全从业者提供从基础到战略的全面指导。
|
| 內容簡介: |
|
本书在第1版的基础上对网络分析概念和流程进行了改进,提供了将这些技术整合到事件响应过程中的最佳实践。全书分为三部分:基础知识部分(第1~3章),介绍网络威胁情报、情报流程、事件响应流程,以及它们如何协同工作;实战部分(第4~9章),介绍使用F3EAD流程演练情报驱动事件响应(IDIR)的流程,包括查找、定位、消除、利用、分析和传播;未来之路部分(第10~11章),探索IDIR的未来发展方向,包括战略情报的作用、架构、获取以及如何创建情报计划等。本书可以帮助事件管理人员、恶意软件分析师、逆向工程师、数字取证专家和情报分析师理解、实现这种关系并从中受益。
|
| 關於作者: |
|
Rebekah Brown是一名网络安全专家,在情报分析界深耕20多年,专门研究网络威胁情报、对手战术、技术和安全。Scott J. Roberts是Interpres Security威胁研究负责人,专注于情报预测,发布并贡献了多个威胁情报和恶意软件分析工具。
|
| 目錄:
|
|
目录第 2 版序言 1第 1 版序言 3前言 7第一部分 基础知识第 1 章 概述 151.1 情报作为事件响应的一部分 151.1.1 网络威胁情报的历史 161.1.2 现代网络威胁情报 181.1.3 未来之路 191.2 事件响应作为情报的一部分 191.3 什么是情报驱动的事件响应 201.4 为什么是情报驱动的事件响应 201.4.1 SMN 行动 201.4.2 SolarWinds 211.5 本章小结 22第 2 章 情报原则 232.1 情报与研究 242.2 数据与情报 242.3 来源与方法 252.4 模型 282.4.1 使用模型进行协作 282.4.2 流程模型 292.4.3 情报循环的应用案例 352.5 好情报的质量 362.5.1 收集方法 362.5.2 收集日期 362.5.3 上下文 362.5.4 解决分析中的偏见 372.6 情报级别 372.6.1 战术情报 372.6.2 作战情报 372.6.3 战略情报 382.7 置信级别 382.8 本章小结 39第 3 章 事件响应原则 403.1 事件响应周期 403.1.1 预备 413.1.2 识别 423.1.3 遏制 433.1.4 消除 443.1.5 恢复 453.1.6 反思 453.2 杀伤链 473.2.1 目标定位 493.2.2 侦察跟踪 493.2.3 武器构造 503.2.4 载荷投递 543.2.5 漏洞利用 553.2.6 后门安装 563.2.7 命令和控制 573.2.8 目标行动 573.2.9 杀伤链示例 603.3 钻石模型 613.3.1 基本模型 623.3.2 模型扩展 623.4 ATT&CK 和 D3FEND 633.4.1 ATT&CK 633.4.2 D3FEND 643.5 主动防御 653.5.1 阻断 663.5.2 干扰 663.5.3 降级 663.5.4 欺骗 663.5.5 销毁 673.6 F3EAD 673.6.1 查找 683.6.2 定位 683.6.3 消除 683.6.4 利用 683.6.5 分析 693.6.6 传播 693.6.7 F3EAD 的应用 703.7 选择正确的模型 713.8 场景:走鹃行动 713.9 本章小结 72第二部分 实战篇第 4 章 查找 754.1 围绕行为体查找目标 754.1.1 从已知信息着手 774.1.2 查找阶段的有效信息 774.1.3 杀伤链的使用 794.1.4 攻击目标 824.2 围绕受害者查找目标 834.3 围绕资产查找目标 854.4 围绕能力查找目标 874.5 围绕媒体查找目标 884.6 根据第三方通知查找目标 894.7 设定优先级 904.7.1 紧迫性 904.7.2 既往事件 904.7.3 严重性 914.8 定向活动的组织 914.8.1 精确线索 914.8.2 模糊线索 914.8.3 相关线索分组 914.8.4 线索存储和记录 924.9 信息请求过程 924.10 本章小结 93第 5 章 定位 945.1 入侵检测 955.1.1 网络告警 955.1.2 系统告警 1015.1.3 定位走鹃行动 1035.2 入侵调查 1055.2.1 网络分析 1055.2.2 实时响应 1115.2.3 内存分析 1125.2.4 磁盘分析 1135.2.5 企业检测和响应 1155.2.6 恶意软件分析 1165.3 范围确定 1205.4 威胁狩猎 1205.4.1 提出假设 1215.4.2 验证假设 1215.5 本章小结 121第 6 章 消除 1236.1 消除并非反击 1236.2 消除的各阶段 1246.2.1 缓解 1256.2.2 修复 1276.2.3 重构 1306.3 采取行动 1316.3.1 阻止 1316.3.2 干扰 1326.3.3 降级 1336.3.4 欺骗 1336.3.5 销毁 1346.4 事件数据的组织 1346.4.1 行动跟踪工具 1346.4.2 专用工具 1376.5 评估损失 1376.6 监控生命周期 1386.6.1 创建 1386.6.2 测试 1386.6.3 部署 1396.6.4 改进 1396.6.5 退役 1396.7 本章小结 140第 7 章 利用 1417.1 战术与战略 OODA 循环 1427.2 什么可以利用 1437.3 信息收集 1447.3.1 信息收集的类型 1457.3.2 挖掘既往事件 1457.3.3 收集外部信息(或进行文献综述) 1467.4 威胁数据的提取与存储 1467.4.1 存储威胁数据的标准 1467.4.2 信标的数据标准与格式 1477.4.3 战略信息的数据标准与格式 1507.4.4 信息提取流程 1527.5 信息管理 1537.6 本章小结 156第 8 章 分析 1578.1 分析的基本原理 1578.1.1 双重过程思维 1588.1.2 演绎推理、归纳推理和溯因推理 1598.2 分析过程与方法 1628.2.1 结构化分析方法 1628.2.2 以目标为中心的分析 1708.3 进行分析 1738.3.1 分析什么 1738.3.2 拓线数据 1758.3.3 利用信息共享 1788.3.4 提出假设 1788.3.5 评估关键假设 1798.4 使你出错的事情(分析偏见) 1808.5 判断和结论 1838.6 本章小结 183第 9 章 传播 1859.1 情报客户的目标 1869.2 受众 1869.2.1 行政领导类客户 1869.2.2 内部技术客户 1889.2.3 外部技术客户 1899.2.4 设定客户画像 1919.3 作者 1939.4 可操作性 1949.5 写作步骤 1969.5.1 规划 1969.5.2 起草 1969.5.3 编辑 1979.6 情报产品 1999.6.1 短篇幅情报产品 2009.6.2 长篇幅情报产品 2049.6.3 信息请求流程 2109.6.4 自动使用型情报产品 2139.7 节奏安排 2179.7.1 分发 2189.7.2 反馈 2189.7.3 定期发布产品 2199.8 本章小结 219第三部分 未来之路第 10 章 战略情报 22310.1 什么是战略情报 22410.2 战略情报在情报驱动的事件响应中的角色 22510.3 事件响应之外的情报 22610.3.1 红队 22610.3.2 漏洞管理 22710.3.3 架构和工程 22810.3.4 隐私、安全和物理安全性 22910.4 利用战略情报构建框架 22910.5 战略情报循环 23510.5.1 战略需求的设定 23510.5.2 收集 23610.5.3 分析 23810.5.4 传播 24110.6 朝着预期情报前进 24110.7 本章小结 242第 11 章 建立情报计划 24411.1 你准备好了吗 24411.2 规划情报计划 24611.2.1 定义利益相关者 24611.2.2 定义目标 24811.2.3 定义成功标准 24811.2.4 确定需求和限制 24911.2.5 战略性思考 25011.2.6 定义度量标准 25011.3 利益相关者档案 25111.4 战术用例 25211.4.1 SOC 支持 25211.4.2 指标管理 25311.5 运营用例 25411.6 战略用例 25511.6.1 架构支持 25511.6.2 风险评估 — 战略态势感知 25611.7 从战略到战术还是从战术到战略 25611.8 情报团队 25711.8.1 建立多元化团队 25711.8.2 团队建设和流程开发 25811.9 展示情报计划的价值 25911.10 本章小结 260
|
| 內容試閱:
|
|
前言欢迎来到情报驱动事件响应这个激动人心的世界!情报,具体点说,网络威胁情报,拥有巨大的潜力来帮助网络防御者更好地了解和响应攻击者对网络发起的攻击行为。在第 1 版中,我们的目标是阐述情报如何融入事件响应过程,并采用当时看上去较新的方法来了解攻击者并减少检测、响应和补救入侵所需的时间。自第 1 版发布以来的几年里,我们看到了该领域在数量和能力方面的快速发展,在第 2 版中,我们的目标是继续与该领域一起成长,添加额外的技术、方法、经验教训和案例研究,将这些概念更无缝地整合到每天正在进行的关键工作中,进一步提升我们日常所依赖的技术。无论你处于旅程的哪个阶段,无论你是刚刚开始从事网络安全工作,还是正在从另一个安全领域过渡到网络安全威胁情报方向,乃至你是一位经验丰富的专业人士,我们都希望你能够发现本书是一个有价值的工具,可以帮助你完成让世界变得更加安全的使命。我们为什么写这本书近年来,我们看到一种趋势 — 事件响应从以前的独立活动到现在被视为整体网络安全计划的一个组成部分。与此同时,网络威胁情报正在迅速变得越来越受欢迎,更多的公司和事件响应者正在努力了解如何将威胁情报纳入其业务。对抗是真实的,自从我们学习了如何将传统的情报原则应用于事件响应实践,这个过程伴随而来的痛苦也与日俱增,但是我们知道这是值得的。因此,我们在本书中将威胁情报和事件响应汇聚在一起,展示它们如何更强大、更有效地相互促进,帮助实践者缩短将其纳入运营的时间。目标读者这本书是为安全事件响应从业者撰写的,读者可能是事件经理、恶意软件分析师、逆向工程师、数字取证专家或情报分析师。本书也适合那些有兴趣深入了解事件响应的读者阅读。网络威胁情报吸引人的地方在于,许多人都想了解攻击者,了解他们的动机和运作方式,而事件响应是了解这个领域的最佳方式。但是只有当事件响应采用情报思维方式去实践时,我们才开始真正了解所掌握的信息的价值。你在阅读本书之前,无须成为事件响应或者情报方面的专家,也无须从其他书获取相关背景知识。我们将介绍这两个领域的基础知识,展示它们如何相互促进,并提供实用的建议和场景案例来说明这一过程。本书结构本书的内容结构如下:第一部分包括第 1~3 章,介绍情报驱动的事件响应(IDIR)的概念以及情报和事件响应学科的概述。我们将介绍 F3EAD 的概念,它是 IDIR 的重要模型,本书的其余部分将围绕它展开。第二部分包括第 4~9 章,其中第 4~6 章介绍 F3EAD 中以事件响应为重点的部分,即查找、定位和消除;第 7~9 章介绍 F3EAD 流程中以情报为重点的步骤,即利用、分析和传播。第三部分包括第 10~11 章,第 10 章阐述战略层面的情报以及如何将其应用于事件响应和网络安全计划;第 11 章讨论情报计划的形式化以及如何建立情报驱动的事件响应计划并取得成功。通常,有兴趣将威胁情报整合到事件响应中的人,往往在其中一个领域中具有较强的背景。因此,你在阅读时可能会跳过熟悉的知识点,重点关注新的部分。即使你认为你已经懂了,我们也建议你不要跳过太多,你会发现我们使用了一个新的模型或方法来更好地整合这两个领域!排版约定本书使用以下排版约定:斜体(Italic):表示新的术语、URL、电子邮件地址、文件名和文件扩展名。等宽字体(Constant width):用于程序清单,以及段落中的程序元素,如变量或函数名称、数据库、数据类型、环境变量、语句以及关键字。等宽粗体(Constant width bold):表示应由用户直接输入的命令或其他文本。等宽斜体(Constant width italic):表示应由用户提供的值或由上下文决定的值替换的文本。该图示表示一般性说明。该图示表示警告或注意。O’Reilly 在线学习平台(O’Reilly Online Learning)40 多年来,O’Reilly Media 致力于提供技术和商业培训、知识和卓越见解,来帮助众多公司取得成功。我们拥有独一无二的专家和革新者组成的庞大网络,他们通过图书、文章、会议和我们的在线学习平台分享他们的知识和经验。O’Reilly 的在线学习平台允许你按需访问现场培训课程、深入的学习路径、交互式编程环境,以及 O’Reilly 和 200 多家其他出版商提供的大量文本和视频资源。有关的更多信息,请访问http://oreilly.com。如何联系我们对于本书,如果有任何意见或疑问,请按照以下地址联系本书出版商。美国:O’Reilly Media,Inc.1005 Gravenstein Highway NorthSebastopol,CA 95472中国:北京市西城区西直门南大街 2 号成铭大厦 C 座 807 室(100035)奥莱利技术咨询(北京)有限公司针对中文版的勘误请发送电子邮件至 errata@oreilly.com.cn。本书配套网站https://oreil.ly/intelligence-driven-incident-response-2e上列出了勘误表、示例以及其他信息。关于书籍和课程的新闻和信息,请访问我们的网站https://oreilly.com。我们在 Facebook 上的地址:https://facebook.com/oreilly。我们在 Twitter(现为 X)上的地址:https://twitter.com/oreillymedia。我们在 YouTube 上的地址:https://www.youtube.com/oreillymedia。致谢Rebekah Brown 想感谢以下人士:首先,感谢才华横溢、坚定不移的搭档 Gordon 一直支持我,即使我不得不放弃咖啡六个月,这对我来说是艰难的。你的爱和鼓励让我把脑海中的梦想变成现实。感谢我了不起的孩子们,你们已经成长为了不起的人,每天都在激励我让世界(虚拟空间和现实世界)变得更美好。感谢我的父母和 Ramey 家族的其他成员,谢谢你们让我的一生成为一次大冒险。感谢 “Big Fam” 群聊组,当我们无法出门时,它让我们所有人都保持联系。感谢这些年来我共事过的所有了不起的人。大家都知道,我是团队力量的拥护者,我为能与这么多聪明的人一起工作而感到荣幸,你们帮助我成为一个更好的人和分析师。致我的 ShameCon 团队,我们的故事版本可能不一致,但我同样爱你们。对于 Scott J. Roberts,我该对我的挚友说什么呢?谢谢你成为我最具创意的合著者,感谢你总是愿意和我就复杂的话题进行头脑风暴。我们在新冠疫情期间撰写了本书的大部分更新内容,因此我还要感谢这个过程中的医疗急救人员和工作人员,你们在帮助他人的过程中将自己置于危险之中。特别感谢 Bellden Café 的领导和工作人员,感谢你们提供的无咖啡因拿铁和鳄梨吐司,这些为我们写作本书提供了动力。Scott J. Roberts 想感谢以下人士(和组织):Kessa:我的伴侣、灵感来源、挑战者和支持者。我们一起面对过许多挑战,一起做过许多事情,你从来没有逼迫过我,但看到你的努力,会让我每天想做得更多。我每天都更爱你!SJR4:嘿,小不点儿!尽管你现在不会读到这篇文章,未来一段时间也不会读,但你是其中的一部分。希望你会看到当一个人全神贯注并追随他们的激情时,他们能做些什么。我迫不及待地想看看你会做什么!在那之前,谢谢你所有的笑容。我的家人:我现在离大本营很远(虽然离山更近),但我会永远感激你们提供的这个坚实后盾。你们为我提供的硬件支持非常好,从我们家的第一台 Apple Ⅱ 到 Palm Pilots,再到我的第一台笔记本电脑。尽管如此,家人在情感和智力上的支持更重要,而且永远不会过时。师长们:感谢我遇到的许多朋友、同事、导师和经理,你们挑战我、激励我,并帮助我探索这个疯狂行业的方方面面。你们帮助我成为现在的分析师、工程师、应急响应专家和作家。犹他州立大学(Utah State University,USU):我曾以为自己一直都会是宾夕法尼亚州立大学尼塔尼雄狮队(Nittany Lion)的狂热球迷,但现在,我彻底成了宾夕法尼亚州立大学 Aggie 队的球迷。我非常荣幸能参与一些顶级的项目,从网络安全情报预测中心到 Huntsman 商学院的 SOC 数据分析创新(DAIS)项目。在我 20 年的职业生涯中,没有什么能比这些项目更颠覆我的世界观。Rebekah Brown:我认为你现在绝对是我技术上的亲密战友。无论在哪里,我都无法找到一个比你更好的合著者、工作伙伴、灵魂伴侣和朋友。
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
