新書推薦:
《
紫云村(史杰鹏笔下大唐小吏的生死逃亡,新历史主义小说见微之作,附赠5张与小说内容高度契合的宣纸彩插)
》
售價:HK$
101.2
《
现代吴语的研究(中华现代学术名著3)
》
售價:HK$
66.7
《
天下的当代性:世界秩序的实践与想象(新版)
》
售價:HK$
79.4
《
德国天才4:断裂与承续
》
售價:HK$
112.7
《
妈妈的情绪,决定孩子的未来
》
售價:HK$
43.7
《
推拿纲目
》
售價:HK$
414.0
《
精致考古--山东大学实验室考古项目论文集(一)
》
售價:HK$
250.7
《
从天下到世界——国际法与晚清中国的主权意识
》
售價:HK$
78.2
|
內容簡介: |
过去,入侵检测能力的度量是个公认的行业难题,各个企业得安全负责人每年在入侵防护上都投入大量费用,但几乎没有人能回答CEO 的问题:\买了这么多产品,我们的入侵防御和检测能力到底怎么样,能不能防住黑客?”。这个问题很难回答,核心原因是缺乏一个明确的、可衡量、可落地的标准。所以,防守方对于入侵检测通常会陷入不可知和不确定的状态中,既说不清自己的能力高低,也无法有效弥补自己的短板。 Mitre ATT&CK 的出现解决了这个行业难题。它给了我们一把尺子,让我们可以用统一的标准去衡量自己的防御和检测能力。ATT&CK并非一个学院派的理论框架,而是来源于实战。安全从业者们在长期的攻防对抗,攻击溯源,攻击手法分析的过程中,逐渐提炼总结,形成了实用性强、可落地、说得清道得明的体系框架。这个框架是先进的、充满生命力的,而且具备非常高的使用价值。 青藤是一家专注于前沿技术研究的网络安全公司,自2017年开始关注ATT&CK,经过多年系统性的研究、学习和探索,积累了相对比较成熟和系统化的资料,涵盖了ATT&CK 的设计思想、核心架构、应用场景、技术复现、对抗实践、指标评估等多方面的内容。研究越深入,愈发意识到Mitre ATT&CK 可以为行业带来的贡献。因此编写本书,作为ATT&CK 系统性学习材料,希望让更多的人了解ATT&CK,学习先进的理论体系,提升防守方的技术水平,加强攻防对抗能力。也欢迎大家一起加入到研究中,为这个体系的完善贡献一份力量。
|
關於作者: |
张福张福,青藤云安全创始人、CEO。毕业于同济大学,专注于前沿技术研究,在安全攻防领域有超过 15 年的探索和实践。曾先后在国内多家知名互联网企业,如第九城市、盛大网络、昆仑万维,担任技术和业务安全负责人。目前,张福拥有 10 余项自主知识产权发明专利,30 余项软件著作权。荣获“改革开放 40 年网络安全领军人物”、“中关村高端领军人才”、“中关村创业之星”等称号。程度程度,青藤云安全联合创始人、COO。毕业于首都师范大学,擅长网络攻防安全技术研究和大数据算法研究,拥有软著 18 项、专利 15 项,对云计算安全、机器学习领域有极高学术造诣,对全球安全市场有深刻理解。现兼任工信部信通院、全国信息安全标准化技术委员会外聘专家,《信息安全研究》、《信息网络安全》编委。参与多项云安全标准制定、标准审核工作,发表过多篇论文被国内核心期刊收录,荣获“OSCAR 尖峰开源技术杰出贡献奖”。胡俊胡俊,青藤云安全联合创始人、产品副总裁。毕业于华中科技大学,中国信息通信研究院可信云专家组成员,武汉东湖高新技术开发区第十一批“3551 光谷人才计划”。曾在百纳信息主导了多款工具应用、海豚浏览器云服务的开发。青藤创立后,主导开发“青藤万相·主机自适应安全平台”、“青藤蜂巢·云原生安全平台”等产品,获得发明专利10余项,是国内的安全产品专家,曾发表多篇论文并被中文核心期刊收录。
|
目錄:
|
部分 ATT&CK入门篇第1章 潜心开始MITRE ATT&CK之旅21.1 MITRE ATT&CK是什么31.1.1 MITRE ATT&CK框架概述41.1.2 ATT&CK框架背后的安全哲学91.1.3 ATT&CK框架与Kill Chain模型的对比111.1.4 ATT&CK框架与痛苦金字塔模型的关系131.2 ATT&CK框架的对象关系介绍141.3 ATT&CK框架实例说明181.3.1 ATT&CK战术实例181.3.2 ATT&CK技术实例311.3.3 ATT&CK子技术实例34第2章 新场景示例:针对容器和Kubernetes的ATT&CK攻防矩阵382.1 针对容器的ATT&CK攻防矩阵392.1.1 执行命令行或进程402.1.2 植入恶意镜像实现持久化412.1.3 通过容器逃逸实现权限提升412.1.4 绕过或禁用防御机制412.1.5 基于容器API获取权限访问422.1.6 容器资源发现422.2 针对Kubernetes的攻防矩阵422.2.1 通过漏洞实现对Kubernetes的初始访问432.2.2 恶意代码执行442.2.3 持久化访问权限452.2.4 获取更高访问权限462.2.5 隐藏踪迹绕过检测472.2.6 获取各类凭证482.2.7 发现环境中的有用资源492.2.8 在环境中横向移动502.2.9 给容器化环境造成危害51第3章 数据源:ATT&CK应用实践的前提523.1 当前ATT&CK数据源利用急需解决的问题533.1.1 制定数据源定义543.1.2 标准化命名语法543.1.3 确保平台一致性573.2 升级ATT&CK数据源的使用情况593.2.1 利用数据建模593.2.2 通过数据元素定义数据源613.2.3 整合数据建模和攻击者建模623.2.4 将数据源作为对象集成到ATT&CK框架中623.2.5 扩展ATT&CK数据源对象633.2.6 使用数据组件扩展数据源643.3 ATT&CK数据源的运用示例653.3.1 改进进程监控653.3.2 改进Windows事件日志703.3.3 子技术用例73第二部分 ATT&CK提高篇第4章 十大攻击组织和恶意软件的分析与检测784.1 TA551攻击行为的分析与检测794.2 漏洞利用工具Cobalt Strike的分析与检测814.3 银行木马Qbot的分析与检测834.4 银行木马lcedlD的分析与检测844.5 凭证转储工具Mimikatz的分析与检测864.6 恶意软件Shlayer的分析与检测884.7 银行木马Dridex的分析与检测894.8 银行木马Emotet的分析与检测914.9 银行木马TrickBot的分析与检测924.10 蠕虫病毒Gamarue的分析与检测93第5章 十大高频攻击技术的分析与检测955.1 命令和脚本解析器(T1059)的分析与检测965.1.1 PowerShell(T1059.001)的分析与检测965.1.2 Windows Cmd Shell(T1059.003)的分析与检测985.2 利用已签名二进制文件代理执行(T1218)的分析与检测1005.2.1 Rundll32(T1218.011)的分析与检测1005.2.2 Mshta(T1218.005)的分析与检测1045.3 创建或修改系统进程(T1543)的分析与检测1085.4 计划任务/作业(T1053)的分析与检测1115.5 OS凭证转储(T1003)的分析与检测1145.6 进程注入(T1055)的分析与检测1175.7 混淆文件或信息(T1027)的分析与检测1205.8 入口工具转移(T1105)的分析与检测1225.9 系统服务(T1569)的分析与检测1245.10 伪装(T1036)的分析与检测126第6章 红队视角:典型攻击技术的复现1296.1 基于本地账户的初始访问1306.2 基于WMI执行攻击技术1316.3 基于浏览器插件实现持久化1326.4 基于进程注入实现提权1346.5 基于Rootkit实现防御绕过1356.6 基于暴力破解获得凭证访问权限1366.7 基于操作系统程序发现系统服务1386.8 基于SMB实现横向移动1396.9 自动化收集内网数据1416.10 通过命令与控制通道传递攻击载荷1426.11 成功窃取数据1436.12 通过停止服务造成危害144第7章 蓝队视角:攻击技术的检测示例1457.1 执行:T1059命令和脚本解释器的检测1467.2 持久化:T1543.003创建或修改系统进程(Windows服务)的检测1477.3 权限提升:T1546.015组件对象模型劫持的检测1497.4 防御绕过:T1055.001 DLL注入的检测1507.5 凭证访问:T1552.002注册表中的凭证的检测1527.6 发现:T1069.002域用户组的检测1537.7 横向移动:T1550.002哈希传递攻击的检测1547.8 收集:T1560.001通过程序压缩的检测155第三部分 ATT&CK实践篇第8章 ATT&CK应用工具与项目1588.1 ATT&CK三个关键工具1598.1.1 ATT&CK Navigator项目1598.1.2 ATT&CK的CARET项目1618.1.3 TRAM项目1628.2 ATT&CK实践应用项目1648.2.1 红队使用项目1648.2.2 蓝队使用项目1678.2.3 CTI团队使用1698.2.4 CSO使用项目173第9章 ATT&CK场景实践1759.1 ATT&CK的四大使用场景1789.1.1 威胁情报1789.1.2 检测分析1819.1.3 模拟攻击1839.1.4 评估改进1869.2 ATT&CK实践的常见误区190第10章 基于ATT&CK的安全运营19310.1 基于ATT&CK的运营流程19510.1.1 知彼:收集网络威胁情报19510.1.2 知己:分析现有数据源缺口19610.1.3 实践:分析测试19710.2 基于ATT&CK的运营实践20010.2.1 将ATT&CK应用于SOC的步骤20010.2.2 将ATT&CK应用于SOC的技巧20410.3 基于ATT&CK的模拟攻击20610.3.1 模拟攻击背景20610.3.2 模拟攻击流程207第11章 基于ATT&CK的威胁狩猎21811.1 威胁狩猎的开源项目21911.1.1 Splunk App Threat Hunting22011.1.2 HELK22211.2 ATT&CK与威胁狩猎22411.2.1 3个未知的问题22411.2.2 基于TTP的威胁狩猎22611.2.3 ATT&CK让狩猎过程透明化22811.3 威胁狩猎的行业实战23111.3.1 金融行业的威胁狩猎23111.3.2 企业机构的威胁狩猎239第四部分 ATT&CK生态篇第12章 MITRE Shield主动防御框架24612.1 MITRE Shield背景介绍24712.2 MITRE Shield矩阵模型24912.2.1 主动防御战术25012.2.2 主动防御技术25212.3 MITRE Shield与ATT&CK的映射25312.4 MITRE Shield使用入门25412.4.1 Level 1示例25512.4.2 Level 2示例25712.4.3 Level 3示例258第13章 ATT&CK测评25913.1 测评方法26013.2 测评流程26213.3 测评内容26413.4 测评结果266附录A ATT&CK战术及场景实践271附录B ATT&CK攻击与SHIELD防御映射图292
|
|