内容简介
本书在第1版的基础上对网络分析概念和流程进行了改进,提供了将这些技术整合到事件响应过程中的实践。全书分为三部分:基础知识部分(第1~3章),介绍网络威胁情报、情报流程、事件响应流程,以及它们如何协同工作;实战部分(第4~9章),介绍使用F3EAD流程演练情报驱动事件响应(IDIR)的流程,包括查找、定位、消除、利用、分析和传播;未来之路部分(第10~11章),探索IDIR的未来发展方向,包括战略情报的作用、架构、获取以及如何创建情报计划等。本书可以帮助事件管理人员、恶意软件分析师、逆向工程师、数字取证专家和情报分析师理解、实现这种关系并从中受益。
目录
目录
第 2 版序言 1
第 1 版序言 3
前言 7
第一部分 基础知识
第 1 章 概述 15
1.1 情报作为事件响应的一部分 15
1.1.1 网络威胁情报的历史 16
1.1.2 现代网络威胁情报 18
1.1.3 未来之路 19
1.2 事件响应作为情报的一部分 19
1.3 什么是情报驱动的事件响应 20
1.4 为什么是情报驱动的事件响应 20
1.4.1 SMN 行动 20
1.4.2 SolarWinds 21
1.5 本章小结 22
第 2 章 情报原则 23
2.1 情报与研究 24
2.2 数据与情报 24
2.3 来源与方法 25
2.4 模型 28
2.4.1 使用模型进行协作 28
2.4.2 流程模型 29
2.4.3 情报循环的应用案例 35
2.5 好情报的质量 36
2.5.1 收集方法 36
2.5.2 收集日期 36
2.5.3 上下文 36
2.5.4 解决分析中的偏见 37
2.6 情报级别 37
2.6.1 战术情报 37
2.6.2 作战情报 37
2.6.3 战略情报 38
2.7 置信级别 38
2.8 本章小结 39
第 3 章 事件响应原则 40
3.1 事件响应周期 40
3.1.1 预备 41
3.1.2 识别 42
3.1.3 遏制 43
3.1.4 消除 44
3.1.5 恢复 45
3.1.6 反思 45
3.2 杀伤链 47
3.2.1 目标定位 49
3.2.2 侦察跟踪 49
3.2.3 武器构造 50
3.2.4 载荷投递 54
3.2.5 漏洞利用 55
3.2.6 后门安装 56
3.2.7 命令和控制 57
3.2.8 目标行动 57
3.2.9 杀伤链示例 60
3.3 钻石模型 61
3.3.1 基本模型 62
3.3.2 模型扩展 62
3.4 ATT&CK 和 D3FEND 63
3.4.1 ATT&CK 63
3.4.2 D3FEND 64
3.5 主动防御 65
3.5.1 阻断 66
3.5.2 干扰 66
3.5.3 降级 66
3.5.4 欺骗 66
3.5.5 销毁 67
3.6 F3EAD 67
3.6.1 查找 68
3.6.2 定位 68
3.6.3 消除 68
3.6.4 利用 68
3.6.5 分析 69
3.6.6 传播 69
3.6.7 F3EAD 的应用 70
3.7 选择正确的模型 71
3.8 场景:走鹃行动 71
3.9 本章小结 72
第二部分 实战篇
第 4 章 查找 75
4.1 围绕行为体查找目标 75
4.1.1 从已知信息着手 77
4.1.2 查找阶段的有效信息 77
4.1.3 杀伤链的使用 79
4.1.4 攻击目标 82
4.2 围绕受害者查找目标 83
4.3 围绕资产查找目标 85
4.4 围绕能力查找目标 87
4.5 围绕媒体查找目标 88
4.6 根据第三方通知查找目标 89
4.7 设定优先级 90
4.7.1 紧迫性 90
4.7.2 既往事件 90
4.7.3 严重性 91
4.8 定向活动的组织 91
4.8.1 精确线索 91
4.8.2 模糊线索 91
4.8.3 相关线索分组 91
4.8.4 线索存储和记录 92
4.9 信息请求过程 92
4.10 本章小结 93
第 5 章 定位 94
5.1 入侵检测 95
5.1.1 网络告警 95
5.1.2 系统告警 101
5.1.3 定位走鹃行动 103
5.2 入侵调查 105
5.2.1 网络分析 105
5.2.2 实时响应 111
5.2.3 内存分析 112
5.2.4 磁盘分析 113
5.2.5 企业检测和响应 115
5.2.6 恶意软件分析 116
5.3 范围确定 120
5.4 威胁狩猎 120
5.4.1 提出假设 121
5.4.2 验证假设 121
5.5 本章小结 121
第 6 章 消除 123
6.1 消除并非反击 123
6.2 消除的各阶段 124
6.2.1 缓解 125
6.2.2 修复 127
6.2.3 重构 130
6.3 采取行动 131
6.3.1 阻止 131
6.3.2 干扰 132
6.3.3 降级 133
6.3.4 欺骗 133
6.3.5 销毁 134
6.4 事件数据的组织 134
6.4.1 行动跟踪工具 134
6.4.2 专用工具 137
6.5 评估损失 137
6.6 监控生命周期 138
6.6.1 创建 138
6.6.2 测试 138
6.6.3 部署 139
6.6.4 改进 139
6.6.5 退役 139
6.7 本章小结 140
第 7 章 利用 141
7.1 战术与战略 OODA 循环 142
7.2 什么可以利用 143
7.3 信息收集 144
7.3.1 信息收集的类型 145
7.3.2 挖掘既往事件 145
7.3.3 收集外部信息(或进行文献综述) 146
7.4 威胁数据的提取与存储 146
7.4.1 存储威胁数据的标准 146
7.4.2 信标的数据标准与格式 147
7.4.3 战略信息的数据标准与格式 150
7.4.4 信息提取流程 152
7.5 信息管理 153
7.6 本章小结 156
<
前言/序言
前言
欢迎来到情报驱动事件响应这个激动人心的世界!情报,具体点说,网络威胁情报,拥有巨大的潜力来帮助网络防御者更好地了解和响应攻击者对网络发起的攻击行为。
在第 1 版中,我们的目标是阐述情报如何融入事件响应过程,并采用当时看上去较新的方法来了解攻击者并减少检测、响应和补救入侵所需的时间。自第 1 版发布以来的几年里,我们看到了该领域在数量和能力方面的快速发展,在第 2 版中,我们的目标是继续与该领域一起成长,添加额外的技术、方法、经验教训和案例研究,将这些概念更无缝地整合到每天正在进行的关键工作中,进一步提升我们日常所依赖的技术。
无论你处于旅程的哪个阶段,无论你是刚刚开始从事网络安全工作,还是正在从另一个安全领域过渡到网络安全威胁情报方向,乃至你是一位经验丰富的专业人士,我们都希望你能够发现本书是一个有价值的工具,可以帮助你完成让世界变得更加安全的使命。
我们为什么写这本书
近年来,我们看到一种趋势 — 事件响应从以前的独立活动到现在被视为整体网络安全计划的一个组成部分。与此同时,网络威胁情报正在迅速变得越来越受欢迎,更多的公司和事件响应者正在努力了解如何将威胁情报纳入其业务。对抗是真实的,自从我们学习了如何将传统的情报原则应用于事件响应实践,这个过程伴随而来的痛苦也与日俱增,但是我们知道这是值得的。因此,我们在本书中将威胁情报和事件响应汇聚在一起,展示它们如何更强大、更有效地相互促进,帮助实践者缩短将其纳入运营的时间。
目标读者
这本书是为安全事件响应从业者撰写的,读者可能是事件经理、恶意软件分析师、逆向工程师、数字取证专家或情报分析师。本书也适合那些有兴趣深入了解事件响应的读者阅读。网络威胁情报吸引人的地方在于,许多人都想了解攻击者,了解他们的动机和运作方式,而事件响应是了解这个领域的最佳方式。但是只有当事件响应采用情报思维方式去实践时,我们才开始真正了解所掌握的信息的价值。你在阅读本书之前,无须成为事件响应或者情报方面的专家,也无须从其他书获取相关背景知识。我们将介绍这两个领域的基础知识,展示它们如何相互促进,并提供实用的建议和场景案例来说明这一过程。
本书结构
本书的内容结构如下:
第一部分包括第 1~3 章,介绍情报驱动的事件响应(IDIR)的概念以及情报和事件响应学科的概述。我们将介绍 F3EAD 的概念,它是 IDIR 的重要模型,本书的其余部分将围绕它展开。
第二部分包括第 4~9 章,其中第 4~6 章介绍 F3EAD 中以事件响应为重点的部分,即查找、定位和消除;第 7~9 章介绍 F3EAD 流程中以情报为重点的步骤,即利用、分析和传播。
第三部分包括第 10~11 章,第 10 章阐述战略层面的情报以及如何将其应用于事件响应和网络安全计划;第 11 章讨论情报计划的形式化以及如何建立情报驱动的事件响应计划并取得成功。
通常,有兴趣将威胁情报整合到事件响应中的人,往往在其中一个领域中具有较强的背景。因此,你在阅读时可能会跳过熟悉的知识点,重点关注新的部分。即使你认为你已经懂了,我们也建议你不要跳过太多,你会发现我们使用了一个新的模型或方法来更好地整合这两个领域!
排版约定
本书使用以下排版约定:
斜体(Italic):表示新的术语、URL、电子邮件地址、文件名和文件扩展名。
等宽字体(Constant width):用于程序清单,以及段落中的程序元素,如变量或函数名称、数据库、数据类型、环境变量、语句以及关键字。
等宽粗体(Constant width bold):表示应由用户直接输入的命令或其他文本。
等宽斜体(Constant width italic):表示应由用户提供的值或由上下文决定的值替换的文本。
该图示表示一般性说明。
该图示表示警告或注意。
O’Reilly 在线学习平台(O’Reilly Online Learning)
40 多年来,O’Reilly Media 致力于提供技术和商业培训、知识和卓越见解,来帮助众多公司取得成功。
我们拥有独*无二的专家和革新者组成的庞大网络,他们通过图书、文章、会议和我们的在线学习平台分享他们的知识和经验。O’Reilly 的在线学习平台允许你按需访问现场培训课程、深入的学习路径、交互式编程环境,以及 O’Reilly 和 200 多家其他出版商提供的大量文本和视频资源。*
如何联系我们
对于本书,如果有任何意见或疑问,请按照以下地址联系本书出版商。
美国:
O’Reilly Media,Inc.
1005 Gravenstein Highway North
Sebastopol,CA 95472
中国:
北京市西城区西直门南大街 2 号成铭大厦 C 座 807 室(100035)
奥莱利技术咨询(北京)有限公司
本书配套网站https://oreil.ly/intelligence-driven-incident-response-2e上列出了勘误表、示例以及其他信息。
关于书籍和课程的新闻和信息,请访问我们的
