基本信息
- 作者: [西]瓦伦蒂娜·科斯塔-加斯孔(Valentina Costa-Gazcón)
- 丛书名: 网络空间安全技术丛书
- 出版社:机械工业出版社
- ISBN:9787111703068
- 上架时间:2022-4-3
- 出版日期:2022 年4月
- 开本:16开
- 页码:275
- 版次:1-1
- 所属分类:计算机 > 安全 > 网络安全/防火墙/黑客
编辑推荐
资深威胁情报分析师匠心之作,360天枢智库团队领衔翻译,重量级实战专家倾情推荐
基于ATT&CK框架与开源工具,威胁情报和安全数据驱动,让高级持续性威胁无处藏身
内容简介
作译者
关于我们
客户服务
友情链接
客户服务
友情链接
目录
译者序
前言
作者简介
审校者简介
第一部分 网络威胁情报
第1章 什么是网络威胁情报 2
1.1 网络威胁情报概述 2
1.1.1 战略情报 3
1.1.2 运营情报 3
1.1.3 战术情报 4
1.2 情报周期 5
1.2.1 计划与确定目标 7
1.2.2 准备与收集 7
1.2.3 处理与利用 7
1.2.4 分析与生产 7
1.2.5 传播与融合 7
1.2.6 评价与反馈 7
1.3 定义情报需求 8
1.4 收集过程 9
1.4.1 危害指标 10
前言
作者简介
审校者简介
第一部分 网络威胁情报
第1章 什么是网络威胁情报 2
1.1 网络威胁情报概述 2
1.1.1 战略情报 3
1.1.2 运营情报 3
1.1.3 战术情报 4
1.2 情报周期 5
1.2.1 计划与确定目标 7
1.2.2 准备与收集 7
1.2.3 处理与利用 7
1.2.4 分析与生产 7
1.2.5 传播与融合 7
1.2.6 评价与反馈 7
1.3 定义情报需求 8
1.4 收集过程 9
1.4.1 危害指标 10
前言
威胁猎杀是一种假设对手已经在你的环境中,而你必须在其对业务造成重大损害之前主动猎杀它们的行为。威胁猎杀是关于主动测试和强化组织防御能力的行动。本书旨在帮助分析师进行这方面的实践。
本书既适合那些初涉网络威胁情报(Cyber Threat Intelligence,CTI)和威胁猎杀(Threat Hunting,TH)领域的人阅读,也适合那些拥有更高级的网络安全知识但希望从头开始实施TH计划的读者。
本书共分为四部分。第一部分介绍基础知识,帮助你了解威胁情报的概念及如何使用它,如何收集数据及如何通过开发数据模型来理解数据,还会涉及一些基本的网络和操作系统概念,以及一些主要的TH数据源。第二部分介绍如何理解对手。第三部分介绍如何使用开源工具针对TH构建实验室环境,并通过实际示例介绍如何计划猎杀。第一个实践练习是利用Atomic Red Team进行的小型原子猎杀,之后介绍使用情报驱动假设和MITRE ATT&CK框架更深入地研究高级持续性威胁的猎杀。第四部分主要介绍评估数据质量、记录猎杀、定义和选择跟踪指标、与团队沟通猎杀计划以及向高管汇报TH结果等方面的诀窍和技巧。
读者对象
本书面向对TH实战感兴趣的读者,可以指导系统管理员、计算机工程师和安全专业人员等向TH实战迈出第一步。
内容概览
第1章介绍不同类型的威胁之间的区别,如何收集危害指标(Indicators Of Compromise,IOC),以及如何分析收集到的信息。
第2章介绍什么是威胁猎杀,为什么它很重要,以及如何定义猎杀假设。
第3章不仅简要概述威胁猎杀,还介绍计划和设计猎杀计划时可以使用哪些不同的步骤和模型。
第4章介绍上下文,因为要理解收集的信息,我们需要将它放置到适当的上下文中。没有上下文且未经分析的信息不是情报。本章我们将学习如何使用MITRE ATT&CK框架形成情报报告。
第5章介绍创建数据字典的过程,阐述为什么这是威胁猎杀过程的关键部分,以及为什么集中包含终端数据在内的所有数据很关键。
第6章展示如何使用CTI创建威胁行为体仿真计划,并将其与数据驱动的方法相结合来执行猎杀。
第7章介绍如何使用不同的开源工具设置研究环境。我们主要通过创建Windows实验室环境和设置ELK(Elasticsearch, Logstash, Kibana)实例来记录数据。
第8章介绍如何使用Atomic Red Team执行原子猎杀,让你熟悉操作系统和猎杀过程。然后,使用Quasar RAT感染“零号受害者”,演示如何在系统上执行猎杀过程来检测Quasar RAT。
第9章探讨如何将Mordor解决方案集成到ELK/HELK实例中。Mordor项目旨在提供预先记录的事件,模仿威胁行为体的行为。然后,我们使用Mordor APT29数据集加载环境,以APT29 ATT&CK映射为例进行情报驱动的猎杀。最后,使用CALDERA模拟我们自己设计的威胁。
第10章探讨文档。威胁猎杀流程的最后一部分涉及TH流程的记录、自动化和更新。本章还将介绍记录和自动化技巧,这将帮助你把计划提高到一个新的水平。猎杀的自动化是将分析师从反复执行相同猎杀的过程中解放出来的关键,但并不是所有的事情都能够或应当自动化。
第11章讨论评估数据质量的重要性,并利用几个开源工具帮助我们组织和完善数据。
第12章详细介绍在实验室环境之外执行猎杀时可以获得的不同输出,以及如何在需要时改进查询。
第13章分析指标。好的指标应该不仅可以用来评估单个猎杀,还可以用来评估整个猎杀计划是否成功。本章提供了一系列可用来评估猎杀计划成功与否的指标。此外,还将讨论用于TH的MaGMA框架,方便你跟踪结果。
第14章重在强调结果的沟通。成为自己所在领域的专家固然很棒,但如果不善于汇报你的专家行动如何对公司的投资回报产生积极影响,可能就无法走得很远。本章将讨论如何与团队沟通,如何融入事件响应团队,以及如何向上级管理层汇报结果。
本书既适合那些初涉网络威胁情报(Cyber Threat Intelligence,CTI)和威胁猎杀(Threat Hunting,TH)领域的人阅读,也适合那些拥有更高级的网络安全知识但希望从头开始实施TH计划的读者。
本书共分为四部分。第一部分介绍基础知识,帮助你了解威胁情报的概念及如何使用它,如何收集数据及如何通过开发数据模型来理解数据,还会涉及一些基本的网络和操作系统概念,以及一些主要的TH数据源。第二部分介绍如何理解对手。第三部分介绍如何使用开源工具针对TH构建实验室环境,并通过实际示例介绍如何计划猎杀。第一个实践练习是利用Atomic Red Team进行的小型原子猎杀,之后介绍使用情报驱动假设和MITRE ATT&CK框架更深入地研究高级持续性威胁的猎杀。第四部分主要介绍评估数据质量、记录猎杀、定义和选择跟踪指标、与团队沟通猎杀计划以及向高管汇报TH结果等方面的诀窍和技巧。
读者对象
本书面向对TH实战感兴趣的读者,可以指导系统管理员、计算机工程师和安全专业人员等向TH实战迈出第一步。
内容概览
第1章介绍不同类型的威胁之间的区别,如何收集危害指标(Indicators Of Compromise,IOC),以及如何分析收集到的信息。
第2章介绍什么是威胁猎杀,为什么它很重要,以及如何定义猎杀假设。
第3章不仅简要概述威胁猎杀,还介绍计划和设计猎杀计划时可以使用哪些不同的步骤和模型。
第4章介绍上下文,因为要理解收集的信息,我们需要将它放置到适当的上下文中。没有上下文且未经分析的信息不是情报。本章我们将学习如何使用MITRE ATT&CK框架形成情报报告。
第5章介绍创建数据字典的过程,阐述为什么这是威胁猎杀过程的关键部分,以及为什么集中包含终端数据在内的所有数据很关键。
第6章展示如何使用CTI创建威胁行为体仿真计划,并将其与数据驱动的方法相结合来执行猎杀。
第7章介绍如何使用不同的开源工具设置研究环境。我们主要通过创建Windows实验室环境和设置ELK(Elasticsearch, Logstash, Kibana)实例来记录数据。
第8章介绍如何使用Atomic Red Team执行原子猎杀,让你熟悉操作系统和猎杀过程。然后,使用Quasar RAT感染“零号受害者”,演示如何在系统上执行猎杀过程来检测Quasar RAT。
第9章探讨如何将Mordor解决方案集成到ELK/HELK实例中。Mordor项目旨在提供预先记录的事件,模仿威胁行为体的行为。然后,我们使用Mordor APT29数据集加载环境,以APT29 ATT&CK映射为例进行情报驱动的猎杀。最后,使用CALDERA模拟我们自己设计的威胁。
第10章探讨文档。威胁猎杀流程的最后一部分涉及TH流程的记录、自动化和更新。本章还将介绍记录和自动化技巧,这将帮助你把计划提高到一个新的水平。猎杀的自动化是将分析师从反复执行相同猎杀的过程中解放出来的关键,但并不是所有的事情都能够或应当自动化。
第11章讨论评估数据质量的重要性,并利用几个开源工具帮助我们组织和完善数据。
第12章详细介绍在实验室环境之外执行猎杀时可以获得的不同输出,以及如何在需要时改进查询。
第13章分析指标。好的指标应该不仅可以用来评估单个猎杀,还可以用来评估整个猎杀计划是否成功。本章提供了一系列可用来评估猎杀计划成功与否的指标。此外,还将讨论用于TH的MaGMA框架,方便你跟踪结果。
第14章重在强调结果的沟通。成为自己所在领域的专家固然很棒,但如果不善于汇报你的专家行动如何对公司的投资回报产生积极影响,可能就无法走得很远。本章将讨论如何与团队沟通,如何融入事件响应团队,以及如何向上级管理层汇报结果。
媒体评论
网络安全形势日渐严峻,攻防对抗风起云涌,目标网络若遭攻陷,威胁猎杀势在必行。本书立足情报分析和猎杀实践,深入阐述ATT&CK框架及相关开源工具机理与实战应用。作者专业精深,译者妙笔生花,读来令人欲罢不能。
—— 闫怀志 北京理工大学计算机学院网络攻防对抗研究所所长
突破层层威胁检测与安全防护手段对目标进行有效控守和驻留的网络攻击行为,往往是具有高隐蔽性、高技术对抗性和独特技法的高水平攻击组织或黑客所为,基于ATT&CK模型进行威胁猎杀是应对这种高强度对抗的必然选择。对于有志于解决网络攻击挑战的网络安全从业者或管理者来说,本书值得学习和借鉴!在网络安全行业从合规要求向高对抗能力要求转变的过程中,本书是帮助读者打开高级威胁体系化能力建设的一把“金钥匙”。
—— 李术夫 东巽科技董事长
在未知木马已经入侵系统时,怎样快速发现、定位并清除威胁?或许你能在这本书中找到灵感,结合开源框架构建威胁猎杀模型,收集网络中木马威胁特征进行防护。本书非常值得一读。
—— 葛军 安徽云探索网络科技有限公司战略咨询顾问
详述使用开源工具搜情溯源、狩猎追踪的书籍并不多,最早在CIA、FBI等情报部门中可看到它们的身影。随着互联网的发展,人们开始注重自己的隐私,同时情报狩猎方式也在发生变化。本书的内容在网络威胁情报领域具有独创性,跟随本书,你将逐步走进威胁情报领域。
—— 刘永发 华盟信安学校名誉校长
—— 闫怀志 北京理工大学计算机学院网络攻防对抗研究所所长
突破层层威胁检测与安全防护手段对目标进行有效控守和驻留的网络攻击行为,往往是具有高隐蔽性、高技术对抗性和独特技法的高水平攻击组织或黑客所为,基于ATT&CK模型进行威胁猎杀是应对这种高强度对抗的必然选择。对于有志于解决网络攻击挑战的网络安全从业者或管理者来说,本书值得学习和借鉴!在网络安全行业从合规要求向高对抗能力要求转变的过程中,本书是帮助读者打开高级威胁体系化能力建设的一把“金钥匙”。
—— 李术夫 东巽科技董事长
在未知木马已经入侵系统时,怎样快速发现、定位并清除威胁?或许你能在这本书中找到灵感,结合开源框架构建威胁猎杀模型,收集网络中木马威胁特征进行防护。本书非常值得一读。
—— 葛军 安徽云探索网络科技有限公司战略咨询顾问
详述使用开源工具搜情溯源、狩猎追踪的书籍并不多,最早在CIA、FBI等情报部门中可看到它们的身影。随着互联网的发展,人们开始注重自己的隐私,同时情报狩猎方式也在发生变化。本书的内容在网络威胁情报领域具有独创性,跟随本书,你将逐步走进威胁情报领域。
—— 刘永发 华盟信安学校名誉校长
