编辑推荐

一本深入浅出的ATT＆CK学习工具书。

内容简介

本书由浅入深，从原理到实践，从攻到防，循序渐进地介绍了备受信息安全行业青睐的ATT&CK框架，旨在帮助相关企业更好地将ATT&CK框架用于安全防御能力建设。全书分为5部分，共17章，详细介绍了ATT&CK框架的整体架构，如何利用ATT&CK框架检测一些常见的攻击组织、恶意软件和高频攻击技术，以及ATT&CK在实践中的落地应用，最后介绍了MITRE ATT&CK相关的生态项目，包括MITRE Engage以及ATT&CK测评。本书适合网络安全从业人员（包括 CISO、CSO、蓝队人员、红队人员等）、网络安全研究人员等阅读，也可供网络空间安全、信息安全等专业教学、科研、应用人员参考。

作者简介

作者张福，青藤云安全创始人、CEO。毕业于同济大学，专注于前沿技术研究，在安全攻防领域有超过15年的探索和实践。

曾先后在国内多家知名互联网企业，如第九城市、盛大网络、昆仑万维，担任技术和业务安全负责人。目前，张福拥有10余项自主知识产权发明专利，30余项软件著作权。荣获“改革开放40年网络安全领军人物”、“中关村高端领军人才”、“中关村创业之星”等称号。

章节目录

版权信息

内容简介

推荐序

推荐语

序言

前言

第一部分ATT&CK入门篇

第1章潜心开始MITRE ATT&CK之旅

1.1　MITRE ATT&CK是什么

1.1.1　MITRE ATT&CK框架概述

1.1.2　ATT&CK框架背后的安全哲学

1.1.3　ATT&CK框架与Kill Chain模型的对比

1.1.4　ATT&CK框架与痛苦金字塔模型的关系

1.2　ATT&CK框架七大对象

1.3　ATT&CK框架实例说明

1.3.1　ATT&CK战术实例

1.3.2　ATT&CK技术实例

1.3.3　ATT&CK子技术实例

第2章基于ATT&CK框架的扩展知识库

2.1　针对容器的ATT&CK攻防知识库

2.1.1　执行命令行或进程

2.1.2　植入恶意镜像实现持久化

2.1.3　通过容器逃逸实现权限提升

2.1.4　绕过或禁用防御机制

2.1.5　基于容器API获取权限访问

2.1.6　容器资源发现

2.2　针对Kubernetes的攻防知识库

2.2.1　通过漏洞实现对Kubernetes的初始访问

2.2.2　执行恶意代码

2.2.3　持久化访问权限

2.2.4　获取更高访问权限

2.2.5　隐藏踪迹绕过检测

2.2.6　获取各类凭证

2.2.7　发现环境中的有用资源

2.2.8　在环境中横向移动

2.2.9　给容器化环境造成危害

2.3　针对内部威胁的TTPs攻防知识库

2.3.1　内部威胁TTPs知识库的研究范围

2.3.2　与ATT&CK矩阵的关系

2.3.3　内部威胁者常用策略

2.3.4　针对内部威胁的防御措施

2.4　针对网络安全对策的知识图谱MITRE D3FEND

2.4.1　建立D3FEND的原因

2.4.2　构建MITRE D3FEND的方法论

2.5　针对软件供应链的ATT&CK框架OSC&R

第二部分ATT&CK提高篇

第3章十大攻击组织/恶意软件的分析与检测

3.1　TA551攻击行为的分析与检测

3.2　漏洞利用工具Cobalt Strike的分析与检测

3.3　银行木马Qbot的分析与检测

3.4　银行木马lcedlD的分析与检测

3.5　凭证转储工具Mimikatz的分析与检测

3.6　恶意软件Shlayer的分析与检测

3.7　银行木马Dridex的分析与检测

3.8　银行木马Emotet的分析与检测

3.9　银行木马TrickBot的分析与检测

3.10　蠕虫病毒Gamarue的分析与检测

第4章十大高频攻击技术的分析与检测

4.1　命令和脚本解析器（T1059）的分析与检测

4.1.1　PowerShell（T1059.001）的分析与检测

4.1.2　Windows Cmd Shell（T1059.003）的分析与检测

4.2　利用已签名二进制文件代理执行（T1218）的分析与检测

4.2.1　Rundll32（T1218.011）的分析与检测

4.2.2　Mshta（T1218.005）的分析与检测

4.3　创建或修改系统进程（T1543）的分析与检测

4.4　计划任务/作业（T1053）的分析与检测

4.5　OS凭证转储（T1003）的分析与检测

4.6　进程注入（T1055）的分析与检测

4.7　混淆文件或信息（T1027）的分析与检测

4.8　入口工具转移（T1105）的分析与检测

4.9　系统服务（T1569）的分析与检测

4.10　伪装（T1036）的分析与检测

第5章红队视角：典型攻击技术的复现

5.1　基于本地账户的初始访问

5.2　基于WMI执行攻击技术

5.3　基于浏览器插件实现持久化

5.4　基于进程注入实现提权

5.5　基于Rootkit实现防御绕过

5.6　基于暴力破解获得凭证访问权限

5.7　基于操作系统程序发现系统服务

5.8　基于SMB实现横向移动

5.9　自动化收集内网数据

5.10　通过命令与控制通道传递攻击载荷

5.11　成功窃取数据

5.12　通过停止服务造成危害

第6章蓝队视角：攻击技术的检测示例

6.1　执行：T1059命令和脚本解释器的检测

6.2　持久化：T1543.003创建或修改系统进程（Windows服务）的检测

6.3　权限提升：T1546.015组件对象模型劫持的检测

6.4　防御绕过：T1055.001 DLL注入的检测

6.5　凭证访问：T1552.002注册表中的凭证的检测

6.6　发现：T1069.002域用户组的检测

6.7　横向移动：T1550.002哈希传递攻击的检测

6.8　收集：T1560.001通过程序压缩的检测

第7章不同形式的攻击模拟

7.1　基于红蓝对抗的全流程攻击模拟

7.1.1　模拟攻击背景

7.1.2　模拟攻击流程

7.2　微模拟攻击的概述与应用

7.2.1　微模拟攻击计划概述

7.2.2　微模拟攻击的应用

第三部分ATT&CK场景与工具篇

第8章ATT&CK应用工具与应用项目

8.1　ATT&CK四个关键项目工具

8.1.1　Navigator项目

8.1.2　CARET项目

8.1.3　TRAM项目

8.1.4　Workbench项目

8.2　ATT&CK实践应用项目

8.2.1　红队使用项目

8.2.2　蓝队使用项目

8.2.3　CTI团队使用

8.2.4　CSO使用项目

第9章ATT&CK四大实践场景

9.1　ATT&CK的四大使用场景

9.1.1　威胁情报

9.1.2　检测分析

9.1.3　模拟攻击

9.1.4　评估改进

9.2　ATT&CK实践的常见误区

第四部分ATT&CK运营实战篇

第10章数据源是应用ATT&CK的前提

10.1　当前ATT&CK数据源急需解决的问题

10.1.1　定义数据源

10.1.2　标准化命名语法

10.1.3　确保平台一致性

10.2　改善ATT&CK数据源的使用情况

10.2.1　利用数据建模

10.2.2　通过数据元素定义数据源

10.2.3　整合数据建模和攻击者建模

10.2.4　扩展ATT&CK数据源对象

10.2.5　使用数据组件扩展数据源

10.3　ATT&CK数据源的标准化定义与运用示例

10.3.1　改进进程监控

10.3.2　改进Windows事件日志

10.3.3　子技术用例

10.4　数据源在安全运营中的运用

第11章MITRE ATT&CK映射实践

11.1　将事件报告映射到MITRE ATT&CK

11.2　将原始数据映射到MITRE ATT&CK

11.3　映射到MITRE ATT&CK时的常见错误与偏差

11.4　通过MITRE ATT&CK编写事件报告

11.5　ATT&CK for ICS的映射建议

第12章基于ATT&CK的安全运营

12.1　基于ATT&CK的运营流程

12.1.1　知己：分析现有数据源缺口

12.1.2　知彼：收集网络威胁情报

12.1.3　实践：分析测试

12.2　基于ATT&CK的运营评估

12.2.1　将ATT&CK应用于SOC的步骤

12.2.2　将ATT&CK应用于SOC的技巧

第13章基于ATT&CK的威胁狩猎

13.1　ATT&CK让狩猎过程透明化

13.2　基于TTPs的威胁狩猎

13.2.1　检测方法和数据类型分析

13.2.2　威胁狩猎的方法实践

13.3　基于重点战术的威胁狩猎

13.3.1　内部侦察的威胁狩猎

13.3.2　持久化的威胁狩猎

13.3.3　横向移动的威胁狩猎

第14章多行业的威胁狩猎实战

14.1　金融行业的威胁狩猎

14.2　企业机构的威胁狩猎

第五部分ATT&CK生态篇

第15章攻击行为序列数据模型Attack Flow

15.1　Attack Flow的组成要素

15.2　Attack Flow用例

15.3　Attack Flow的使用方法

第16章主动作战框架MITRE Engage

16.1　MITRE Engage介绍

16.1.1　详解MITRE Engage矩阵结构

16.1.2　MITRE Engage与MITRE ATT&CK的映射关系

16.1.3　Engage与传统网络阻断、网络欺骗间的关系

16.2　MITRE Engage矩阵入门实践

16.2.1　如何将Engage矩阵整合到企业网络战略中来

16.2.2　Engage实践的四要素

16.2.3　Engage实践落地流程：收集、分析、确认、实施

16.2.4　对抗作战实施：10步流程法

第17章ATT&CK测评

17.1　测评方法

17.2　测评流程

17.3　测评内容

17.3.1　ATT&CK for Enterprise测评

17.3.2　ATT&CK for ICS测评

17.3.3　托管服务测评

17.3.4　欺骗类测评

17.4　测评结果

17.5　总结

附录AATT&CK战术及场景实践

附录BATT&CK版本更新情况

ATT＆CK框架实践指南（第2版）是2023年由电子工业出版社出版,作者胡俊。

得书感谢您对《ATT＆CK框架实践指南（第2版）》关注和支持，如本书内容有不良信息或侵权等情形的，请联系本网站。