编辑推荐
教你根据当前威胁形势规划攻防策略。
内容简介
本书涵盖与安全卫生相关的新趋势、MITRE ATT&CK框架在威胁检测和安全态势改善方面的应用,以及新的网络攻防技术。
第1~3章侧重于预防措施,介绍如何通过采取安全措施来降低威胁行为者利用组织环境的可能性,从而改善组织的安全态势;第4~9章引导读者逐步深入了解对手的思维、战术、技术等,开始从对手的角度认识攻击的过程,从而更好地持续改善组织环境的防御策略;从第10章起,针对第4~9章中介绍的内容,告诉我们应如何做好防御策略设置、威胁感知、情报收集、灾难恢复与日志分析等工作。
作者简介
作者尤里·迪奥赫内斯,是微软CxE Microsoft Defender for Cloud团队的首席项目经理,他还是EC-Council大学的教授,讲授网络安全本科课程。他拥有UTICA学院的网络安全情报和取证调查理学硕士学位,目前正在国会技术大学攻读网络安全领导力博士学位。
章节目录
版权信息
译者序
前言
第1章 安全态势
1.1 为什么应将安全卫生列为首要任务
1.2 当前的威胁形势
1.2.1 供应链攻击
1.2.2 勒索软件
1.2.3 凭据——身份验证和授权
1.2.4 应用程序
1.2.5 数据
1.3 网络安全挑战
1.3.1 旧技术和更广泛的结果
1.3.2 威胁形势的转变
1.4 增强安全态势
1.4.1 零信任
1.4.2 云安全态势管理
1.4.3 多云
1.5 红队和蓝队
1.6 小结
第2章 事件响应流程
2.1 事件响应流程概述
2.1.1 实施IR流程的理由
2.1.2 创建IR流程
2.1.3 IR小组
2.1.4 事件生命周期
2.2 事件处置
2.3 事后活动
2.3.1 现实世界场景1
2.3.2 从场景1中吸收的经验教训
2.3.3 现实世界场景2
2.3.4 从场景2中吸收的经验教训
2.4 云中IR的注意事项
2.4.1 更新IR流程以涵盖云
2.4.2 合适的工具集
2.4.3 从云解决方案提供商视角看IR流程
2.5 小结
第3章 网络战略
3.1 如何构建网络战略
3.1.1 了解业务
3.1.2 了解威胁和风险
3.1.3 适当的文档
3.2 为什么需要构建网络战略
3.3 最佳网络攻击战略
3.3.1 外部测试战略
3.3.2 内部测试战略
3.3.3 盲测战略
3.3.4 定向测试战略
3.4 最佳网络防御战略
3.4.1 深度防御
3.4.2 广度防御
3.5 主动的网络安全战略的好处
3.6 企业的顶级网络安全战略
3.7 小结
第4章 网络杀伤链
4.1 了解网络杀伤链
4.1.1 侦察
4.1.2 武器化
4.1.3 投送
4.1.4 利用
4.1.5 安装
4.1.6 指挥控制
4.1.7 针对目标行动
4.1.8 混淆
4.2 用于终结网络杀伤链的安全控制措施
4.2.1 使用UEBA
4.2.2 安全意识
4.3 威胁生命周期管理
4.3.1 取证数据收集
4.3.2 发现
4.3.3 鉴定
4.3.4 调查
4.3.5 消除
4.3.6 恢复
4.4 对网络杀伤链的担忧
4.5 网络杀伤链的进化过程
4.6 网络杀伤链中使用的工具
4.7 使用Comodo AEP:Dragon Platform
4.7.1 准备阶段
4.7.2 入侵阶段
4.7.3 主动破坏阶段
4.8 小结
第5章 侦察
5.1 外部侦察
5.1.1 浏览目标的社交媒体
5.1.2 垃圾搜索
5.1.3 社会工程
5.2 内部侦察
5.3 用于侦察的工具
5.3.1 外部侦察工具
5.3.2 内部侦察工具
5.4 被动侦察与主动侦察
5.5 如何对抗侦察
5.6 如何防止侦察
5.7 小结
第6章 危害系统
6.1 当前趋势分析
6.1.1 勒索攻击
6.1.2 数据篡改攻击
6.1.3 物联网设备攻击
6.1.4 后门
6.1.5 入侵日常设备
6.1.6 攻击云
6.1.7 网络钓鱼
6.1.8 漏洞利用
6.1.9 零日漏洞
6.2 危害系统的执行步骤
6.2.1 部署有效负载
6.2.2 危害操作系统
6.2.3 危害远程系统
6.2.4 危害基于Web的系统
6.3 手机(iOS/Android)攻击
6.3.1 Exodus
6.3.2 SensorID
6.3.3 iPhone黑客:Cellebrite
6.3.4 盘中人
6.3.5 Spearphone(Android上的扬声器数据采集)
6.3.6 NFC漏洞攻击:Tap'n Ghost
6.3.7 iOS植入攻击
6.3.8 用于移动设备的红蓝队工具
6.4 小结
第7章 追踪用户身份
7.1 身份是新的边界
7.2 危害用户身份的策略
7.2.1 获得网络访问权限
7.2.2 收集凭据
7.2.3入侵用户身份
7.2.4 暴力攻击
7.2.5 社会工程学
7.2.6 散列传递
7.2.7 通过移动设备窃取身份信息
7.2.8 入侵身份的其他方法
7.3 小结
第8章 横向移动
8.1 渗透
8.2 网络映射
8.2.1 扫描、关闭/阻止、修复
8.2.2 阻止和降速
8.2.3 检测Namp扫描
8.2.4 技巧运用
8.3 执行横向移动
8.3.1 第1阶段——用户泄露
8.3.2 第2阶段——工作站管理员访问
8.3.3 像黑客一样思考
8.3.4 告警规避
8.3.5 端口扫描
8.3.6 Sysinternals
8.3.7 文件共享
8.3.8 Windows DCOM
8.3.9 远程桌面
8.3.10 PowerShell
8.3.11 Windows管理规范
8.3.12 计划任务
8.3.13 令牌盗窃
8.3.14 失窃凭据
8.3.15 可移动介质
8.3.16 受污染的共享内容
8.3.17 远程注册表
8.3.18 TeamViewer
8.3.19 应用程序部署
8.3.20 网络嗅探
8.3.21 ARP欺骗
8.3.22 AppleScript和IPC(OSX)
8.3.23 受害主机分析
8.3.24 中央管理员控制台
8.3.25 电子邮件掠夺
8.3.26 活动目录
8.3.27 管理共享
8.3.28 票据传递
8.3.29 散列传递
8.3.30 Winlogon
8.3.31 lsass.exe进程
8.4 小结
第9章 权限提升
9.1 渗透
9.1.1 水平权限提升
9.1.2 垂直权限提升
9.1.3 权限提升的原理
9.1.4 凭据利用
9.1.5 错误配置
9.1.6 特权漏洞及利用
9.1.7 社会工程
9.1.8 恶意软件
9.2 告警规避
9.3 执行权限提升
9.3.1 利用漏洞攻击未打补丁的操作系统
9.3.2 访问令牌操控
9.3.3 利用辅助功能
9.3.4 应用程序垫片
9.3.5 绕过用户账户控制
9.3.6 权限提升与容器逃逸漏洞(CVE-2022-0492)
9.3.7 DLL注入
9.3.8 DLL搜索顺序劫持
9.3.9 Dylib劫持
9.3.10 漏洞探索
9.3.11 启动守护进程
9.3.12 Windows目标上的权限提升示例
9.4 转储SAM文件
9.5 对Android系统进行root操作
9.6 使用/etc/passwd文件
9.7 附加窗口内存注入
9.8 挂钩
9.9 计划任务
9.10 新服务
9.11 启动项
9.12 Sudo缓存
9.13 其他权限提升工具
9.13.1 0xsp Mongoose v1.7
9.13.2 Windows平台:0xsp Mongoose RED
9.13.3 Hot Potato
9.14 结论和经验教训
9.15 小结
第10章 安全策略
10.1 安全策略检查
10.2 用户教育
10.2.1 用户社交媒体安全指南
10.2.2 安全意识培训
10.3 策略实施
10.3.1 云上策略
10.3.2 应用程序白名单
10.3.3 安全加固
10.4 合规性监控
10.5 通过安全策略持续推动安全态势增强
10.6 小结
第11章 网络安全
11.1 深度防御方法
11.1.1 基础设施与服务
11.1.2 传输中的文件
11.1.3 端点
11.1.4 微分段
11.2 物理网络分段
11.3 远程访问的网络安全
11.4 虚拟网络分段
11.5 零信任网络
11.6 混合云网络安全
11.7 小结
第12章 主动传感器
12.1 检测能力
12.2 入侵检测系统
12.3 入侵防御系统
12.3.1 基于规则的检测
12.3.2 基于异常的检测
12.4 内部行为分析
12.5 混合云中的行为分析
12.5.1 Microsoft Defender for Cloud
12.5.2 PaaS工作负载分析
12.6 小结
第13章 威胁情报
13.1 威胁情报概述
13.2 用于威胁情报的开源工具
13.2.1 免费威胁情报馈送
13.2.2 使用MITRE ATT&CK
13.3 微软威胁情报
13.4 小结
第14章 事件调查
14.1 确定问题范围
14.2 调查内部失陷系统
14.3 调查混合云中的失陷系统
14.4 主动调查(威胁猎杀)
14.5 经验教训
14.6 小结
第15章 恢复过程
15.1 灾难恢复计划
15.1.1 灾难恢复计划流程
15.1.2 挑战
15.2 现场恢复
15.3 应急计划
15.3.1 IT应急计划流程
15.3.2 风险管理工具
15.4 业务连续性计划
15.4.1 业务持续开发计划
15.4.2 如何制定业务连续性计划
15.4.3 创建有效业务连续性计划的7个步骤
15.5 灾难恢复最佳实践
15.5.1 内部部署
15.5.2 云上部署
15.5.3 混合部署
15.6 小结
第16章 漏洞管理
16.1 创建漏洞管理策略
16.1.1 资产盘点
16.1.2 信息管理
16.1.3 风险评估
16.1.4 漏洞评估
16.1.5 报告和补救跟踪
16.1.6 响应计划
16.2 漏洞策略的要素
16.3 漏洞管理与漏洞评估的区别
16.4 漏洞管理最佳实践
16.5 漏洞管理工具
16.6 结论
16.7 小结
第17章 日志分析
17.1 数据关联
17.2 操作系统日志
17.2.1 Windows日志
17.2.2 Linux日志
17.3 防火墙日志
17.4 Web服务器日志
17.5 AWS日志
17.6 Azure Activity日志
17.7 Google Cloud Platform日志
17.8 小结
红蓝攻防:技术与策略(原书第3版)是2024年由机械工业出版社出版,作者[美] 尤里·迪奥赫内斯。
得书感谢您对《红蓝攻防:技术与策略(原书第3版)》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
