情报驱动应急响应网络安全管理书籍 pdf下载

 书   名:  情报驱动应急响应

 图书定价:  79元

 作 者:  [美] 斯科特·罗伯茨 (Scott J.Roberts) 利百加·布朗( Rebekah Brown)

 出 版 社:  机械工业出版社

 出版日期:  2018-09-04

 ISBN 号:  9787111608004

 开   本: 16开

 页   数: 235

 版   次: 1-1

 

20多年前，我次参与了应急响应，应对俄罗斯黑客组织“Moonlight Maze”的大规模入侵。我在美国空军特别调查办公室的工作是帮助收集数据、解析并分析网络中的恶意行为和受感染的系统。我们分析了针对很多目标的多次攻击行为后了解到，除非把这些被黑系统的电源拔掉，不然对手不会善罢甘休。对手非常有耐心，一旦发现我们采取了应对措施，他们可以在数周之内不再访问相同的目标。攻击者在网络中横向渗透多个目标并留下后门来维持网络访问权限。在同一个攻击者的多次入侵中，团队成员开始建立一个档案，记录这个对手是谁，他们如何操作以及他们过去的历史。这个档案帮助了美国国防部在全球各地的网络防御。“Moonlight Maze”入侵事件的袭击范围之广，破坏程度之大，*终促使美国成立了计算机网络防御联合特遣部队（JTF-CND），后来发展成为了美国网络作战司令部（United States Cyber Command，USCYBERCOM）。

我们从20世纪90年代末应对了很多高级攻击，并从中学到了很多。首先，我们得知，为了侦察对手，我们不得不向对手学习。早期发现的入侵工具和行为特征，将使我们能够在其他网络攻击中识别出同一个对手。这个信息可以帮助我们提前防范并检测特定攻击者的入侵。网络威胁情报也成为继入侵检测系统、防火墙等安全产品后，信息安全领域的重要发展产物。

这些年来在美国国防部、政府机构、Mandiant公司以及自己公司的职业生涯中，我经历了数百次安全事件的应急响应，我们一直强调的一件事是，事件响应者的主要目标是利用这个机会了解攻击你的对手。有了这些信息，我们便可以观察并判断对手是否也入侵了另一个网络。这样的情报为我们建立针对定向攻击的防御方案奠定了方法论基础。企业所受到的攻击不太可能是单个黑客的攻击，攻击者很可能是一个黑客组织，在他们的攻击清单中有你的企业名称。没有网络威胁情报作为事件响应数据的主要来源，安全防御将难以得到有效改善，也就无法减少对手攻入网络后的驻留时间。

威胁情报在20多年前已显得至关重要，这始于Cliff Stoll撰写的Cuckoo抯 Egg一书中讲述的故事。但至今为止，绝大多数企业仍在采用过去的方法。其中有部分原因是团队没有可参考的业界标杆，另一个原因是安全厂商的误导。对我们来说幸运的是，这本书终于出现了。本书给读者传递正确的威胁情报概念、策略和能力，企业可以采用这些概念、策略和能力来发展自己的安全实践。阅读本书后，企业的安全运营可以向情报驱动的方向发展，这个方法在检测并减少潜在安全威胁造成的影响上，将会比以往任何时候都更有效率。

我是SANS机构的数字取证和事件响应课程的主任和负责人，多年来我一直在强调正确的威胁评估和情报的重要性。许多分析师认为，情报对于阻止对手的作用是“如有更好”或“不太重要”，但学习情报之后，都会觉得如果没有威胁情报，能采取的消除措施非常有限。

多年来，我已经建议许多高管把更多的金钱花费在获取正确的威胁情报上，而不是购买供应商的那些可能无法检测下一次入侵的硬件，这些硬件通常不会将信标（入侵特征）的学习和提取作为威胁情报分析过程的环节。这个建议有部分是来自于与本书作者Scott 和Rebekah的对话。

Scott和我曾一同在Mandiant公司（麦迪安，美国知名网络安全公司）工作，我们一直是很好的朋友。多年来我一直关注他，是他的论文和文章的狂热读者。Scott目前是SANS 机构网络威胁情报课程（FOR578）的讲师之一。多年来听Scott讲这个课题，我总是觉得在呼吸智慧的空气，这可不亚于听到沃伦·巴菲特给予的财务咨询。当我阅读本书时，我甚至可以听到Scott在我脑海里的声音。

Rebekah与我的背景相似，以前是个军人，一直全职工作在网络行动中。她以前是美国海军公司的网络统一运营总监，她还是国防部网络安全运营教练员、NSA网络战分析师，她还为“财富”500强企业和信息安全领域供应商提供威胁情报。Rebekah专业而敏锐，拥有在国防部（情报与网络空间社区）以及许多公司的内外部工作经验，她比任何人都知晓并理解这一领域。Rebekah根据她的联合攻防网络安全运营理论，向白宫提供了许多网络威胁情报。能够结识Rebekah非常荣幸，特别是当我继续学习如何将传统的情报方法应用于网络安全运营分析时。同时，我也要很自豪地强调，Rebekah也是SANS机构网络威胁情报课程（FOR578）的作者和讲师。

总之，Scott 和Rebekah已将他们的思想凝结于纸上，这是你目前能读到的*知名的网络安全运营战略指南之一。建议你将本书作为企业网络分析师的必修课之一。 这本书位于我的网络安全分析师推荐阅读清单之首。本书所表达的观点并不是解决技术挑战、攻击战术或安全防御部署，而是侧重于在内部改进企业网络安全运营的态势、检测以及响应方面的思路。

本书对于网络安全管理来讲*重要的章节之一是如何建立威胁情报计划。回顾Scott和Rebekah之前在许多企业的经历，实在令人印象深刻。从他们的知识中受益的企业已经明白，“威胁情报”不是简单的三言两语，他们的方法论以及每个步骤的要求都值得读上几遍。

对于安全分析师，本书的主体内容会逐步讲解适当的事件响应方法论以及利用威胁情报思维方式。 一旦你畅游于本书中的信息海洋，会从根本上改变自身作为企业网络安全分析师的工作方式。它将使你从一个普通分析师转变为具有先进运营技能的分析师，并给你的职业生涯带来持续的回报。

多么希望20年前当我次调查俄罗斯黑客的入侵事件（Moonlight Maze）时能拥有这本书。 幸运的是，今天我们有了这本书，当我的学生想要实现战术级响应的超越时，我都会建议他们好好阅读这本书，并将所学知识应用于所有的框架和策略。

—Rob Lee

Harbingers Security公司创始人

SANS 机构DFIR主管

 

 

序言1

前言4

部分 基础知识

第1章 概述11

1.1 情报作为事件响应的一部分11

1.1.1 网络威胁情报的历史11

1.1.2 现代网络威胁情报12

1.1.3 未来之路13

1.2 事件响应作为情报的一部分13

1.3 什么是情报驱动的事件响应14

1.4 为什么是情报驱动的事件响应14

1.4.1 SMN行动14

1.4.2 极光行动15

1.5 本章小结16

第2章 情报原则17

2.1 数据与情报17

2.2 来源与方法18

2.3 流程模型21

2.3.1 OODA循环21

2.3.2 情报周期23

2.3.3 情报周期的应用案例27

2.4 有质量的情报28

2.5 情报级别29

2.5.1 战术情报29

2.5.2 作业情报29

2.5.3 战略情报30

2.6 置信级别30

2.7 本章小结31

第3章 事件响应原则32

3.1 事件响应周期32

3.1.1 预备33

3.1.2 识别34

3.1.3 遏制35

3.1.4 消除35

3.1.5 恢复36

3.1.6 反思37

3.2 杀伤链38

3.2.1 目标定位40

3.2.2 侦查跟踪40

3.2.3 武器构造41

3.2.4 载荷投递45

3.2.5 漏洞利用46

3.2.6 后门安装46

3.2.7 命令与控制47

3.2.8 目标行动47

3.2.9 杀伤链举例49

3.3 钻石模型50

3.3.1 基本模型50

3.3.2 模型扩展51

3.4 主动防御51

3.4.1 阻断52

3.4.2 干扰52

3.4.3 降级52

3.4.4 欺骗53

3.4.5 破坏53

3.5 F3EAD53

3.5.1 查找54

3.5.2 定位54

3.5.3 消除55

3.5.4 利用55

3.5.5 分析55

3.5.6 传播56

3.5.7 F3EAD的应用56

3.6 选择正确的模型57

3.7 场景案例：玻璃巫师57

3.8 本章小结58

第二部分 实战篇

第4章 查找61

4.1 围绕攻击者查找目标61

4.1.1 从已知信息着手63

4.1.2 查找有效信息63

4.2 围绕资产查找目标69

4.3 围绕新闻查找目标70

4.4 根据第三方通知查找目标71

4.5 设定优先级72

4.5.1 紧迫性72

4.5.2 既往事件72

4.5.3 严重性73

4.6 定向活动的组织73

4.6.1 精确线索73

4.6.2 模糊线索73

4.6.3 相关线索分组74

4.6.4 线索存储74

4.7 信息请求过程75

4.8 本章小结75

第5章 定位77

5.1 入侵检测77

5.1.1 网络告警78

5.1.2 系统告警82

5.1.3 定位“玻璃巫师”84

5.2 入侵调查86

5.2.1 网络分析86

5.2.2 实时响应92

5.2.3 内存分析93

5.2.4 磁盘分析94

5.2.5 恶意软件分析95

5.3 确定范围97

5.4 追踪98

5.4.1 线索开发98

5.4.2 线索验证99

5.5 本章小结99

第6章 消除100

6.1 消除并非反击100

6.2 消除的各阶段101

6.2.1 缓解101

6.2.2 修复104

6.2.3 重构106

6.3 采取行动107

6.3.1 阻止107

6.3.2 干扰108

6.3.3 降级108

6.3.4 欺骗108

6.3.5 销毁109

6.4 事件数据的组织109

6.4.1 行动跟踪工具110

6.4.2 专用工具112

6.5 评估损失113

6.6 监控生命周期113

6.7 本章小结115

第7章 利用116

7.1 什么可以利用117

7.2 信息收集117

7.3 威胁信息存储118

7.3.1 信标的数据标准与格式118

7.3.2 战略信息的数据标准与格式121

7.3.3 维护信息123

7.3.4 威胁情报平台124

7.4 本章小结126

第8章 分析127

8.1 分析的基本原理127

8.2 可以分析什么129

8.3 进行分析130

8.3.1 拓线数据131

8.3.2 提出假设134

8.3.3 评估关键假设135

8.3.4 判断和结论138

8.4 分析过程与方法138

8.4.1 结构化分析138

8.4.2 以目标为中心的分析140

8.4.3 竞争性假设分析法141

8.4.4 图形分析143

8.4.5 反向分析方法144

8.5 本章小结145

第9章 传播146

9.1 情报客户的目标147

9.2 受众147

9.2.1 管理人员/领导类客户147

9.2.2 内部技术客户150

9.2.3 外部技术客户151

9.2.4 设定客户角色152

9.3 作者154

9.4 可行动性156

9.5 写作步骤157

9.5.1 规划158

9.5.2 草稿158

9.5.3 编辑159

9.6 情报产品版式161

9.6.1 简易格式产品161

9.6.2 完整格式产品165

9.6.3 情报需求流程173

9.6.4 自动使用型产品176

9.7 节奏安排180

9.7.1 分发180

9.7.2 反馈181

9.7.3 定期发布产品181

9.8 本章小结182

第三部分 未来之路

第10章 战略情报185

10.1 什么是战略情报186

10.2 战略情报周期189

10.2.1 战略需求的设定189

10.2.2 收集190

10.2.3 分析192

10.2.4 传播195

10.3 本章小结196

第11章 建立情报计划197

11.1 你准备好了吗197

11.2 规划情报计划199

11.2.1 定义利益相关者199

11.2.2 定义目标200

11.2.3 定义成功标准201

11.2.4 确定需求和限制201

11.2.5 定义度量203

11.3 利益相关者档案203

11.4 战术用例204

11.4.1 SOC支持204

11.4.2 指标管理205

11.5 运营用例206

11.6 战略用例207

11.6.1 架构支持207

11.6.2 风险评估/战略态势感知208

11.7 从战略到战术还是从战术到战略208

11.8 雇用一个情报团队209

11.9 展示情报计划的价值209

11.10 本章小结210