新書推薦:
《
古今英国园林
》
售價:NT$
500
《
奇迹时刻:获得全新的认知与领悟,如何爱自己,打破原生家庭限制,找寻真正的自由与自爱
》
售價:NT$
305
《
学会卓越
》
售價:NT$
510
《
365日自我肯定之书:你是你自己人生的主角!增强自我肯定感
》
售價:NT$
356
《
小儿推拿轻松学,脾肺同养百病消
》
售價:NT$
184
《
海洋之思:俄罗斯的海洋观(1997~2021)
》
售價:NT$
653
《
国语(全二册)(中国古代史学丛书)
》
售價:NT$
653
《
新安医学古籍整理发掘研究
》
售價:NT$
500
|
| 編輯推薦: |
(1)作者背景权威:奇安信集团资深网络安全专家领衔撰写,奇安信是中国网络安全领域头部企业,行业影响力深远。
(2)作者经验丰富:第一作者林宝晶从事网络安全工作20余年,在网络实战攻防演习、安全运营、数据安全等领域积累深厚。
(3)理论与实践并重:系统讲解Sqrrl、Endgame、基于TTP的3大威胁狩猎模型,并配套3个真实企业级实践案例。
(4)主动防御新理念:跳出传统被动防御框架,帮助安全从业者从“响应者”转型为“主动防御者”,构建结构化狩猎流程。
(5)附赠实用资源:随书附赠50个威胁狩猎假设模板,覆盖主机、网络、应用等多层面,拿来即用,提升狩猎效率。
(6)业界专家力荐:微众银行、太平洋保险、京东、国泰海通证券等多家头部企业安全负责人联袂推荐。
|
| 內容簡介: |
这是一本从原理、模型和实践三个维度全面讲解威胁狩猎的著作,旨在助力网络安全从业者快速构建结构化的主动威胁狩猎体系。本书由奇安信集团拥有20余年一线实战经验的网络安全专家领衔撰写,凝聚了其在网络实战攻防演习、安全运营等领域的深厚积累;同时汇集了来自大型央企、IT名企的网络安全专家智慧,确保了内容的前沿性与权威性。
本书的价值得到了业界的高度认可,获得了来自微众银行、太平洋保险、京东、国泰海通证券多家头部企业安全负责人的联袂推荐。他们一致认为,本书不仅是一本技术手册,更传递了一种全新的安全理念:真正的防守不是构建无懈可击的壁垒,而是拥有发现威胁的敏锐嗅觉。
全书一共8章,分为原理与实践两部分,握本书内容,您将收获:
1)从零理解威胁狩猎的核心内涵,清晰辨析其与渗透测试、应急响应等相关概念的本质区别;
2)深入掌握Sqrrl、Endgame及基于TTP的3大主流威胁狩猎模型,学会构建结构化的狩猎流程;
3)全面了解10余种关键数据源及5种以上高级分析方法;
4)通过3个真实企业级案例,独立完成从创建假设到狩猎闭环的完整实践;
5)将狩猎成果反哺防御体系,建立“主动发现、主动防御”的核心安全竞争力。
更具价值的是,本书附赠作者团队精心总结的50个威胁狩猎假设,覆盖主机、网络、应用等多个层面,拿来即可直接应用于日常工作。本书历时4年打磨而成,是每一位渴望在网络安全领域精进不休的从业者不容错过的案头必备手册。
|
| 關於作者: |
林宝晶
高级工程师,资深网络安全专家,网络安全全栈工程师,目前就职于奇安信集团。从事网络安全工作 20余年,具有丰富的安全产品研发、产品管理、安全解决方案及安全服务经验,对网络实战攻防演习、安全运营、数据安全、网络安全能力成熟度及威胁狩猎等方面有较深入的理解。
钱钱
网络安全专家,具有丰富的大型央企集团IT运维和安全运维经验,长期研究国内外安全防御体系与模型,对网络安全防御体系有深入的研究。
邹贵军
IT与网络安全领域专家,曾先后效力于国内外多家行业领先企业,从网络安全技术到网络安全商务,积累了极其丰富的网络安全经验。近年来,致力于推动安全范式的演进,开创性地构建了网络风险量化模型,并积极引领网络安全保险的行业生态建设。
|
| 目錄:
|
目 录
前 言
第一部分 威胁狩猎原理
第1章 什么是威胁狩猎 3
1.1 威胁狩猎不是什么 4
1.1.1 威胁狩猎不是应急响应 4
1.1.2 威胁狩猎不是事件分析 5
1.1.3 威胁狩猎不是攻击模拟 5
1.2 威胁狩猎的概念 6
1.3 威胁狩猎的特征 7
1.3.1 主动 7
1.3.2 假设驱动 7
1.3.3 发现 8
1.3.4 入侵痕迹和攻击行动 9
1.4 为什么需要威胁狩猎 10
1.4.1 安全产品的局限性 10
1.4.2 高级攻击手段层出不穷 15
1.4.3 缩短攻击者的内网驻留
时间 16
1.4.4 内部失陷环境感知能力
不足 17
1.5 威胁狩猎的内涵 18
1.6 威胁狩猎的认识误区 20
1.7 本章小结 21
第2章 Sqrrl威胁狩猎环 22
2.1 Sqrrl威胁狩猎环模型简介 22
2.2 创建假设 23
2.2.1 基于威胁情报创建假设 24
2.2.2 基于态势感知创建假设 26
2.2.3 基于领域知识创建假设 30
2.3 通过工具与技术手段开展
调查 38
2.4 发现新威胁或者攻击TTP 40
2.5 通知协作并提高自动化分析
水平 42
2.6 增强型Sqrrl威胁狩猎环 43
2.7 本章小结 45
第3章 Endgame威胁狩猎环 46
3.1 Endgame威胁狩猎环概述 46
3.2 调查阶段 48
3.2.1 选择资产 48
3.2.2 监控资产 50
3.3 加固阶段 51
3.4 检测阶段 52
3.4.1 检测攻击 53
3.4.2 分析 54
3.5 响应阶段 55
3.5.1 清除攻击 55
3.5.2 威胁狩猎报告 56
3.6 本章小结 57
第4章 基于TTP的威胁狩猎 58
4.1 基于TTP的威胁狩猎概述 59
4.1.1 理解TTP 59
4.1.2 分析空间 69
4.1.3 检测方法 70
4.1.4 数据类型 71
4.2 模型介绍 72
4.2.1 恶意行为特征化 74
4.2.2 过滤 79
4.2.3 威胁狩猎执行 80
4.2.4 报告 94
4.3 本章小结 95
第二部分 威胁狩猎实践
第5章 威胁狩猎数据源与分析
方法 99
5.1 确定数据源 99
5.2 网络数据源 103
5.2.1 防火墙日志 103
5.2.2 NAT日志 104
5.2.3 NIDS/IPS日志 104
5.2.4 WAF日志 105
5.2.5 流量威胁检测系统 106
5.3 终端/主机数据 108
5.3.1 终端防病毒日志 108
5.3.2 EDR数据 108
5.4 应用安全数据 115
5.4.1 邮件安全网关 115
5.4.2 准入系统日志 116
5.4.3 DHCP日志 117
5.4.4 DNS日志 117
5.5 威胁狩猎分析方法 118
5.5.1 搜索 118
5.5.2 聚类 119
5.5.3 分组 129
5.5.4 堆叠 130
5.6 本章小结 137
第6章 Endgame威胁狩猎环实践 138
6.1 案例背景 138
6.2 准备 139
6.2.1 资产选择 140
6.2.2 回顾有效的IT资产和网
络信息 141
6.2.3 理解网络中的正常
行为 143
6.2.4 配置和部署威胁狩猎
探针 144
6.3 调查 144
6.3.1 调查范围确定 144
6.3.2 采集并分析数据 149
6.3.3 扩展调查 151
6.3.4 重新调整威胁狩猎优
先级 152
6.4 攻击者移除 154
6.5 威胁狩猎报告 155
6.5.1 威胁狩猎行动概要 155
6.5.2 编写威胁狩猎报告 156
6.6 本章小结 156
第7章 Sqrrl威胁狩猎环实践 157
7.1 案例背景 157
7.2 创建假设 158
7.3 开展调查 158
7.3.1 在主机上发现异常的命令
执行 159
7.3.2 在流量数据中找到内
存马 161
7.4 攻击特征提取 171
7.5 自动化分析 172
7.6 本章小结 172
第8章 基于TTP的威胁狩猎环
实践 173
8.1 常见的基于TTP的威胁狩猎
方法 173
8.1.1 针对执行阶段的威胁狩猎
方法 173
8.1.2 针对命令与控制阶段的威
胁狩猎方法 176
8.1.3 针对横向移动阶段的威胁
狩猎方法 182
8.1.4 针对数据渗出阶段的威胁
狩猎方法 187
8.2 基于TTP的威胁狩猎完整
案例 190
8.2.1 案例背景 190
8.2.2 基于情报收集数据 190
8.2.3 检测恶意行为与调查 196
8.2.4 发现新特征和TTP 205
8.3 本章小结 207
后记 208
附录 210
|
| 內容試閱:
|
前 言
为什么写这本书
近年来,国内网络安全实战攻防演习热度不断攀升,网络攻击和0Day漏洞成为网络安全行业的热门话题。许多网络安全从业者开始学习渗透测试技术,希望成为一名网络挖洞高手。各种渗透测试、网络攻击与防御的书籍如雨后春笋般涌现。但是,笔者的一些从事渗透测试和红队相关工作的朋友在个人职业发展方面遇到了一些困惑。首先,由于渗透测试和红队项目的特点,从业者经常需要利用时间差开展工作,即选择企业防守薄弱的时间点进行网络攻击。这意味着从业者常常需要花费大量时间,随着年龄的增长,许多人感到力不从心。其次,不少从业者的知识体系过于聚焦于漏洞挖掘,缺乏时间学习其他网络安全知识,导致后期职业转型时遇到瓶颈。从笔者的视角来看,拥有丰富网络攻击思维的从业者在网络安全技术防守方面具有天然优势。他们能够利用自身的知识和经验,更容易地从海量数据中发现真正的攻击行为——这正是威胁狩猎的核心所在。
此外,伴随网络实战攻防演习的演变,传统的攻击手段开始逐步失效。所谓“道高一尺,魔高一丈”,网络实战攻防演习中红队使用了大量高级攻击手段,如“0Day漏洞”“供应链污染”等。笔者在为企业客户提供服务的过程中,经常面临如下问题:
如何防范“0Day漏洞”的攻击?
如何保障供应链安全?
如何应对APT攻击?
目前,安全厂商在“0Day漏洞”检测与发现方面,缺乏成熟的技术与解决方案,难以帮助企业用户应对“0Day漏洞”攻击。纵观当前网络安全技术的发展趋势,笔者认为在相当长的一段时间内,“0Day漏洞”仍将是网络安全行业的痛点。但是,在相对成熟的网络安全防御体系下,结合数据分析技术持续开展威胁搜索活动以发现已经渗透到内部的攻击威胁,可以降低“0Day漏洞”带来的负面影响,从而有效应对“0Day漏洞”攻击。
所以,编写《威胁狩猎:原理与实践》这本书,笔者首先希望更多的网络安全从业者能够聚焦于网络防御体系或网络安全对抗(防守),为自身职业发展奠定技术基础。同时,笔者也希望通过介绍威胁狩猎,为企业客户在防御APT攻击以及“0Day漏洞”应对方面提供建设性思路。
“威胁狩猎”这个词汇相对较新,但其本质性工作并不新颖。很多从业者在日常工作中或多或少都有所接触,却未必意识到这就是威胁狩猎。笔者希望能够让更多企业了解威胁狩猎活动,并建立一套结构化、常态化的威胁狩猎流程,从而提升企业的网络安全防御能力。
读者对象
本书适合正在或希望从事网络威胁狩猎建设的相关人员阅读。同时,本书也旨在为从事渗透测试工作的人员提供职业转型的学习参考,主要的读者对象包括:
安全运营分析师
威胁狩猎分析师
渗透测试工程师
红队人员
首席网络安全专家
如何阅读本书
本书从逻辑上分为两个部分。
第一部分(第1~4章)主要介绍威胁狩猎原理,阐述其与应急响应、事件分析和攻击模拟的区别,并深入讲解威胁狩猎的概念、特征与模型,帮助读者对这些模型建立初步认识。通过对威胁狩猎模型理论知识的讲解,笔者希望从事威胁狩猎工作的同行,可以基于某一个模型帮助企业或者团队构建结构化的威胁狩猎流程,从而提升威胁狩猎水平。
第二部分(第5~8章)详细介绍威胁狩猎实践,让读者不仅可以从理论上了解和掌握威胁狩猎知识,还可以通过实践案例,学习如何应用某个威胁狩猎模型开展结构化的威胁狩猎活动,并可以与自身威胁狩猎工作结合,实现灵活运用。
勘误和支持
由于笔者水平有限,书中难免出现一些错误或不当之处,恳请读者批评指正。联系邮箱:tylin@126.com,微信:richardlin1220 。
致谢
威胁狩猎涉及大量的技术工作。在写作期间,我们遇到了许多困难,历经四年才艰难完成。在此期间,许多朋友和同事给予了我们大量支持。借此机会,感谢所有对本书顺利出版提供帮助的朋友和家人。正是你们一点一滴的鼓励、支持与建议,让我们有信心完成这本书的编写。
林宝晶
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
