前言
2015年2月,我参加了RSA大会,这是我多年来第一次参加这项会议,会上我被网络安全领域在很短时间内发生的巨大变化深深打动。更确切地说,在很短的时间内,网络安全市场发生的巨大变化触动了我。
在RSA大会上,几乎每一家网络安全供应商都在兜售他们的情报,不管是供应商在平台中直接提供的原生情报,还是供应商与第三方情报提供上的集成。别误解,我坚信情报是在安全事故成为大问题之前识别和解决它们的最佳手段。但是情报不是一个数据摘要,也不是一系列指标。相反,情报是获得这些指标、使它们可以付诸行动,并提供指标背后威胁的来龙去脉的全过程。
实际上,编写本书的动机来自于RSA会议期间一个雨夜中与本书技术编辑Tim Gallo关于这一主题的一次交谈。本书不是关于系统配置的纯技术书籍,它的目标是帮助读者决定如何调整组织内部的安全过程,以容纳情报循环,并考虑所得情报的注入点。在使用得当的情况下,情报越好,给网络带来的保护越好。
目录
前 言
[第1章 理解威胁
1.1 引言 ]( https://yq.aliyun.com/articles/108223)
[1.2 网络安全简史
1.2.1 Morris蠕虫
1.2.2 防火墙
1.2.3 入侵检测系统
1.2.4 台式机
1.2.5 邮件过滤器和代理
1.2.6 分布式拒绝服务攻击
1.2.7 统一威胁管理 ]( https://yq.aliyun.com/articles/108230)
[1.3 理解当前的威胁
1.3.1 恶意软件行业
1.3.2 恶意软件商品化
1.3.3 攻击之王—网络钓鱼
1.3.4 攻击面正在扩大
1.3.5 云的兴起 ]( https://yq.aliyun.com/articles/108237)
1.4 即将出现的威胁
1.5 小结
1.6 参考书目
[第2章 什么是情报
2.1 引言 ]( https://yq.aliyun.com/articles/108246)
2.2 情报的定义
2.3 情报循环
2.4 情报类型
2.5 专业分析师
2.6 拒止与欺骗
[2.7 古往今来的情报
2.7.1 孙子
2.7.2 凯撒大帝
2.7.3 乔治·华盛顿
2.7.4 布莱奇利庄园 ]( https://yq.aliyun.com/articles/108260)
2.8 小结
2.9 参考书目
[第3章 构建网络安全情报模型
3.1 引言 ]( https://yq.aliyun.com/articles/108311)
3.2 网络威胁情报的定义
3.3 攻击剖析
3.4 从不同的角度接近网络攻击
3.5 在安全工作流中加入情报生命期
3.5.1 情报是有活力的
3.5.2 一图胜千言
3.6 自动化
3.7 小结
3.8 参考书目
第4章 收集数据
4.1 引言
4.2 连续监控框架
4.3 NIST网络安全框架
4.3.1 框架核心
4.3.2 框架实施层次
4.3.3 框架配置文件
4.4 安全性+情报
4.5 安全性的业务方面
4.6 规划分阶段方法
4.6.1 目标
4.6.2 初始评估
4.6.3 分析当前安全状态
4.6.4 进入下一阶段
4.7 小结
4.8 参考书目
第5章 内部情报来源
5.1 引言
5.2 资产、漏洞和配置管理
5.3 网络日志记录
5.3.1 SIEM带来的麻烦
5.3.2 SIEM的能力
5.3.3 托管安全服务提供商
5.3.4 访问控制
5.4 网络监控
5.5 小结
5.6 参考书目
第6章 外部情报来源
6.1 引言
6.2 品牌监控与情报的对比
6.3 资产、漏洞和配置管理
6.4 网络日志记录
6.4.1 作为中心点的IP地址
6.4.2 作为中心点的域名
6.4.3 作为中心点的文件散列
6.4.4 以MSSP警报为中心
6.5 网络监控
6.6 防范零日攻击
6.7 事故响应和情报
6.8 协作式威胁研究
6.9 小结
6.10 参考书目
第7章 融合内部和外部情报
7.1 引言
7.2 安全意识培训
7.3 OpenIOC、CyBOX、STIX和TAXII
7.3.1 OpenIOC
7.3.2 CyBOX
7.3.3 STIX和TAXII
7.4 威胁情报管理平台
7.5 大数据安全分析
7.6 小结
7.7 参考书目
第8章 CERT、ISAC和情报共享社区
8.1 引言
8.2 CERT和CSIRT
8.2.1 CERT/协调中心
8.2.2 US-CERT和国家级CSIRT
8.2.3 公司级CSIRT
8.3 ISAC
8.4 情报共享社区
8.5 小结
8.6 参考书目
第9章 高级情报能力
9.1 引言
9.2 恶意软件分析
9.2.1 为什么这是个坏主意
9.2.2 建立恶意软件实验室
9.3 蜜罐
9.3.1 为什么这是个坏主意
9.3.2 蜜罐的布设
9.3.3 建立计划
9.3.4 蜜罐类型
9.3.5 选择蜜罐
9.4 入侵诱骗
9.4.1 为什么这是个坏主意
9.4.2 入侵诱骗的工作原理
9.5 小结
9.6 参考书目