防患未然：实施情报先导的信息安全方法与实践

作者: [美] 艾伦·利斯卡（AllanLiska）著 , 姚军译

出版社: 机械工业出版社

出版时间: 2016-01

版次: 1

ISBN: 9787111524779

定价: 49.00

装帧: 平装

开本: 32开

纸张: 胶版纸

页数: 208页

字数: 197千字

丛书: 信息安全技术丛书

分类: 计算机与互联网

24人买过

　　本书由资深网络安全专家Allan Liska亲笔撰写，从威胁的种类、历史、特征入手，循序渐进地阐述了情报的类型和重要性、网络安全情报模型、数据收集、内外部情报源等情报先导信息安全的重要概念及方法，为在各种网络攻击面前苦于招架的安全团队带来了一剂良药。　　本书的篇幅虽不算大，内涵却十分丰富，不是泛泛地介绍各种工具，而是系统地介绍各种网络安全方法，包括攻击链模型、网络安全情报模型，以及各种行业ISAC等组织的讲解，足以令读者茅塞顿开，在安全领域开辟新的道路。　　Allan Liska，是iSIGHT Partners技术联盟项目主管，在信息安全领域有逾15年的从业经验。凭借在攻击和防御网络上的经验，Allan提出了有关威胁状态的独特观点。他还是《The Practice of Network Security》的作者。译者序
前　言
第1章　理解威胁 1
1.1　引言 1
1.2　网络安全简史 2
1.2.1　Morris蠕虫 2
1.2.2　防火墙 3
1.2.3　入侵检测系统 4
1.2.4　台式机 5
1.2.5　邮件过滤器和代理 7
1.2.6　分布式拒绝服务攻击 10
1.2.7　统一威胁管理 11
1.3　理解当前的威胁 12
1.3.1　恶意软件行业 13
1.3.2　恶意软件商品化 15
1.3.3　攻击之王—网络钓鱼 17
1.3.4　攻击面正在扩大 19
1.3.5　云的兴起 21
1.4　即将出现的威胁 22
1.5　小结 24
1.6　参考书目 24
第2章　什么是情报 27
2.1　引言 27
2.2　情报的定义 28
2.3　情报循环 29
2.4　情报类型 33
2.5　专业分析师 34
2.6　拒止与欺骗 38
2.7　古往今来的情报 40
2.7.1　孙子 41
2.7.2　凯撒大帝 43
2.7.3　乔治·华盛顿 44
2.7.4　布莱奇利庄园 45
2.8　小结 47
2.9　参考书目 47
第3章　构建网络安全情报模型 49
3.1　引言 49
3.2　网络威胁情报的定义 50
3.3　攻击剖析 51
3.4　从不同的角度接近网络攻击 55
3.5　在安全工作流中加入情报生命期 60
3.5.1　情报是有活力的 62
3.5.2　一图胜千言 63
3.6　自动化 65
3.7　小结 68
3.8　参考书目 68
第4章　收集数据 69
4.1　引言 69
4.2　连续监控框架 70
4.3　NIST网络安全框架 73
4.3.1　框架核心 73
4.3.2　框架实施层次 75
4.3.3　框架配置文件 78
4.4　安全性+情报 79
4.5　安全性的业务方面 82
4.6　规划分阶段方法 85
4.6.1　目标 85
4.6.2　初始评估 85
4.6.3　分析当前安全状态 87
4.6.4　进入下一阶段 89
4.7　小结 90
4.8　参考书目 90
第5章　内部情报来源 93
5.1　引言 93
5.2　资产、漏洞和配置管理 94
5.3　网络日志记录 101
5.3.1　SIEM带来的麻烦 102
5.3.2　SIEM的能力 105
5.3.3　托管安全服务提供商 108
5.3.4　访问控制 110
5.4　网络监控 111
5.5　小结 114
5.6　参考书目 115
第6章　外部情报来源 117
6.1　引言 117
6.2　品牌监控与情报的对比 118
6.3　资产、漏洞和配置管理 121
6.4　网络日志记录 127
6.4.1　作为中心点的IP地址 129
6.4.2　作为中心点的域名 133
6.4.3　作为中心点的文件散列 137
6.4.4　以MSSP警报为中心 140
6.5　网络监控 141
6.6　防范零日攻击 143
6.7　事故响应和情报 146
6.8　协作式威胁研究 147
6.9　小结 148
6.10　参考书目 149
第7章　融合内部和外部情报 151
7.1　引言 151
7.2　安全意识培训 152
7.3　OpenIOC、CyBOX、STIX和TAXII 156
7.3.1　OpenIOC 156
7.3.2　CyBOX 157
7.3.3　STIX和TAXII 159
7.4　威胁情报管理平台 161
7.5　大数据安全分析 166
7.6　小结 168
7.7　参考书目 169
第8章　CERT、ISAC和情报共享社区 171
8.1　引言 171
8.2　CERT和CSIRT 172
8.2.1　CERT/协调中心 173
8.2.2　US-CERT和国家级CSIRT 174
8.2.3　公司级CSIRT 175
8.3　ISAC 176
8.4　情报共享社区 182
8.5　小结 185
8.6　参考书目 185
第9章　高级情报能力 187
9.1　引言 187
9.2　恶意软件分析 188
9.2.1　为什么这是个坏主意 188
9.2.2　建立恶意软件实验室 189
9.3　蜜罐 199
9.3.1　为什么这是个坏主意 200
9.3.2　蜜罐的布设 201
9.3.3　建立计划 202
9.3.4　蜜罐类型 203
9.3.5　选择蜜罐 204
9.4　入侵诱骗 206
9.4.1　为什么这是个坏主意 206
9.4.2　入侵诱骗的工作原理 207
9.5　小结 208
9.6　参考书目 208
内容简介:
　　本书由资深网络安全专家Allan Liska亲笔撰写，从威胁的种类、历史、特征入手，循序渐进地阐述了情报的类型和重要性、网络安全情报模型、数据收集、内外部情报源等情报先导信息安全的重要概念及方法，为在各种网络攻击面前苦于招架的安全团队带来了一剂良药。　　本书的篇幅虽不算大，内涵却十分丰富，不是泛泛地介绍各种工具，而是系统地介绍各种网络安全方法，包括攻击链模型、网络安全情报模型，以及各种行业ISAC等组织的讲解，足以令读者茅塞顿开，在安全领域开辟新的道路。
作者简介:
　　Allan Liska，是iSIGHT Partners技术联盟项目主管，在信息安全领域有逾15年的从业经验。凭借在攻击和防御网络上的经验，Allan提出了有关威胁状态的独特观点。他还是《The Practice of Network Security》的作者。
目录:
译者序
前　言
第1章　理解威胁 1
1.1　引言 1
1.2　网络安全简史 2
1.2.1　Morris蠕虫 2
1.2.2　防火墙 3
1.2.3　入侵检测系统 4
1.2.4　台式机 5
1.2.5　邮件过滤器和代理 7
1.2.6　分布式拒绝服务攻击 10
1.2.7　统一威胁管理 11
1.3　理解当前的威胁 12
1.3.1　恶意软件行业 13
1.3.2　恶意软件商品化 15
1.3.3　攻击之王—网络钓鱼 17
1.3.4　攻击面正在扩大 19
1.3.5　云的兴起 21
1.4　即将出现的威胁 22
1.5　小结 24
1.6　参考书目 24
第2章　什么是情报 27
2.1　引言 27
2.2　情报的定义 28
2.3　情报循环 29
2.4　情报类型 33
2.5　专业分析师 34
2.6　拒止与欺骗 38
2.7　古往今来的情报 40
2.7.1　孙子 41
2.7.2　凯撒大帝 43
2.7.3　乔治·华盛顿 44
2.7.4　布莱奇利庄园 45
2.8　小结 47
2.9　参考书目 47
第3章　构建网络安全情报模型 49
3.1　引言 49
3.2　网络威胁情报的定义 50
3.3　攻击剖析 51
3.4　从不同的角度接近网络攻击 55
3.5　在安全工作流中加入情报生命期 60
3.5.1　情报是有活力的 62
3.5.2　一图胜千言 63
3.6　自动化 65
3.7　小结 68
3.8　参考书目 68
第4章　收集数据 69
4.1　引言 69
4.2　连续监控框架 70
4.3　NIST网络安全框架 73
4.3.1　框架核心 73
4.3.2　框架实施层次 75
4.3.3　框架配置文件 78
4.4　安全性+情报 79
4.5　安全性的业务方面 82
4.6　规划分阶段方法 85
4.6.1　目标 85
4.6.2　初始评估 85
4.6.3　分析当前安全状态 87
4.6.4　进入下一阶段 89
4.7　小结 90
4.8　参考书目 90
第5章　内部情报来源 93
5.1　引言 93
5.2　资产、漏洞和配置管理 94
5.3　网络日志记录 101
5.3.1　SIEM带来的麻烦 102
5.3.2　SIEM的能力 105
5.3.3　托管安全服务提供商 108
5.3.4　访问控制 110
5.4　网络监控 111
5.5　小结 114
5.6　参考书目 115
第6章　外部情报来源 117
6.1　引言 117
6.2　品牌监控与情报的对比 118
6.3　资产、漏洞和配置管理 121
6.4　网络日志记录 127
6.4.1　作为中心点的IP地址 129
6.4.2　作为中心点的域名 133
6.4.3　作为中心点的文件散列 137
6.4.4　以MSSP警报为中心 140
6.5　网络监控 141
6.6　防范零日攻击 143
6.7　事故响应和情报 146
6.8　协作式威胁研究 147
6.9　小结 148
6.10　参考书目 149
第7章　融合内部和外部情报 151
7.1　引言 151
7.2　安全意识培训 152
7.3　OpenIOC、CyBOX、STIX和TAXII 156
7.3.1　OpenIOC 156
7.3.2　CyBOX 157
7.3.3　STIX和TAXII 159
7.4　威胁情报管理平台 161
7.5　大数据安全分析 166
7.6　小结 168
7.7　参考书目 169
第8章　CERT、ISAC和情报共享社区 171
8.1　引言 171
8.2　CERT和CSIRT 172
8.2.1　CERT/协调中心 173
8.2.2　US-CERT和国家级CSIRT 174
8.2.3　公司级CSIRT 175
8.3　ISAC 176
8.4　情报共享社区 182
8.5　小结 185
8.6　参考书目 185
第9章　高级情报能力 187
9.1　引言 187
9.2　恶意软件分析 188
9.2.1　为什么这是个坏主意 188
9.2.2　建立恶意软件实验室 189
9.3　蜜罐 199
9.3.1　为什么这是个坏主意 200
9.3.2　蜜罐的布设 201
9.3.3　建立计划 202
9.3.4　蜜罐类型 203
9.3.5　选择蜜罐 204
9.4　入侵诱骗 206
9.4.1　为什么这是个坏主意 206
9.4.2　入侵诱骗的工作原理 207
9.5　小结 208
9.6　参考书目 208