- ISBN:9787121424359
- 装帧:一般胶版纸
- 册数:暂无
- 重量:暂无
- 开本:16开
- 页数:348
- 出版时间:2021-11-01
- 条形码:9787121424359 ; 978-7-121-42435-9
本书特色
√ 全方位介绍ATT&CK在威胁情报、检测分析、模拟攻击、评估改进等方面的工具与应用,给出有效防御措施建议。 √ 本书体系框架来源于长期攻防对抗、攻击溯源、攻击手法分析的实战过程,实用性强、可落地、说得清、道得明。 √ 攻击视角下的战术与技术知识库,帮助企业开发、组织和使用基于威胁信息的防御策略及评估网络防御能力差距。 √ 构建较细粒度的攻击行为模型和更易共享的抽象框架,可用于攻击与防御能力评估、APT情报分析及攻防演练等。
内容简介
《ATT&CK框架实践指南》对备受信息安全行业青睐的ATT&CK框架进行了详细的介绍,并通过丰富的实践案例帮助读者了解ATT&CK框架,更好地将ATT&CK框架用于提高企业的安全防御能力建设。 《ATT&CK框架实践指南》由浅入深,从原理到实践,从攻到防,循序渐进地介绍了ATT&CK框架。全书分为4部分共13个章节,详细介绍了ATT&CK框架的整体架构,如何利用ATT&CK框架检测一些常见的攻击组织、恶意软件和高频攻击技术,以及ATT&CK在实践中的落地应用,*后介绍了MITRE ATT&CK相关的生态项目,包括MITRE Shield以及ATT&CK测评。 《ATT&CK框架实践指南》适合网络安全从业人员(包括CISO、CSO、蓝队人员、红队人员等)、网络安全研究人员等阅读,也可供网络空间安全、信息安全等专业教学、科研、应用人员参考阅读。
目录
**部分 ATT&CK入门篇
第1章 潜心开始MITRE ATT&CK之旅 2
1.1 MITRE ATT&CK是什么 3
1.2 ATT&CK框架的对象关系介绍 14
1.3 ATT&CK框架实例说明 18
第2章 新场景示例:针对容器和Kubernetes的ATT&CK攻防矩阵 38
2.1 针对容器的ATT&CK攻防矩阵 39
2.2 针对Kubernetes的攻防矩阵 42
第3章 数据源:ATT&CK应用实践的前提 52
3.1 当前ATT&CK数据源利用急需解决的问题 53
3.2 升级ATT&CK数据源的使用情况 59
3.3 ATT&CK数据源的运用示例 65
第二部分 ATT&CK提高篇
第4章 十大攻击组织和恶意软件的分析与检测 78
4.1 TA551攻击行为的分析与检测 79
4.2 漏洞利用工具Cobalt Strike的分析与检测 81
4.3 银行木马Qbot的分析与检测 83
4.4 银行木马lcedlD的分析与检测 84
4.5 凭证转储工具Mimikatz的分析与检测 86
4.6 恶意软件Shlayer的分析与检测 88
4.7 银行木马Dridex的分析与检测 89
4.8 银行木马Emotet的分析与检测 91
4.9 银行木马TrickBot的分析与检测 92
4.10 蠕虫病毒Gamarue的分析与检测 93
第5章 十大高频攻击技术的分析与检测 95
5.1 命令和脚本解析器(T1059)的分析与检测 96
5.1.1 PowerShell(T1059.001)的分析与检测 96
5.1.2 Windows Cmd Shell(T1059.003)的分析与检测 98
5.2 利用已签名二进制文件代理执行(T1218)的分析与检测 100
5.3 创建或修改系统进程(T1543)的分析与检测 108
5.4 计划任务/作业(T1053)的分析与检测 111
5.5 OS凭证转储(T1003)的分析与检测 114
5.6 进程注入(T1055)的分析与检测 117
5.7 混淆文件或信息(T1027)的分析与检测 120
5.8 入口工具转移(T1105)的分析与检测 122
5.9 系统服务(T1569)的分析与检测 124
5.10 伪装(T1036)的分析与检测 126
第6章 红队视角:典型攻击技术的复现 129
6.1 基于本地账户的初始访问 130
6.2 基于WMI执行攻击技术 131
6.3 基于浏览器插件实现持久化 132
6.4 基于进程注入实现提权 134
6.5 基于Rootkit实现防御绕过 135
6.6 基于暴力破解获得凭证访问权限 136
6.7 基于操作系统程序发现系统服务 138
6.8 基于SMB实现横向移动 139
6.9 自动化收集内网数据 141
6.10 通过命令与控制通道传递攻击载荷 142
6.11 成功窃取数据 143
6.12 通过停止服务造成危害 144
第7章 蓝队视角:攻击技术的检测示例 145
7.1 执行:T1059命令和脚本解释器的检测 146
7.2 持久化:T1543.003创建或修改系统进程(Windows服务)的检测 147
7.3 权限提升:T1546.015组件对象模型劫持的检测 149
7.4 防御绕过:T1055.001 DLL注入的检测 150
7.5 凭证访问:T1552.002注册表中的凭证的检测 152
7.6 发现:T1069.002域用户组的检测 153
7.7 横向移动:T1550.002哈希传递攻击的检测 154
7.8 收集:T1560.001通过程序压缩的检测 155
第三部分 ATT&CK实践篇
第8章 ATT&CK应用工具与项目 158
8.1 ATT&CK三个关键工具 159
8.2 ATT&CK实践应用项目 164
第9章 ATT&CK场景实践 175
9.1 ATT&CK的四大使用场景 178
9.2 ATT&CK实践的常见误区 190
第10章 基于ATT&CK的安全运营 193
10.1 基于ATT&CK的运营流程 195
10.2 基于ATT&CK的运营实践 200
10.3 基于ATT&CK的模拟攻击 206
第11章 基于ATT&CK的威胁狩猎 218
11.1 威胁狩猎的开源项目 219
11.2 ATT&CK与威胁狩猎 224
11.3 威胁狩猎的行业实战 231
第四部分 ATT&CK生态篇
第12章 MITRE Shield主动防御框架 246
12.1 MITRE Shield背景介绍 247
12.2 MITRE Shield矩阵模型 249
12.3 MITRE Shield与ATT&CK的映射 253
12.4 MITRE Shield使用入门 254
第13章 ATT&CK测评 259
13.1 测评方法 260
13.2 测评流程 262
13.3 测评内容 264
13.4 测评结果 266
附录A ATT&CK战术及场景实践 271
附录B ATT&CK攻击与SHIELD防御映射图 292
作者简介
张福 青藤云安全创始人&CEO。毕业于同济大学,专注于前沿技术研究,在安全攻防领域有超过 15 年的探索和实践。曾先后在国内多家知名互联网企业,如第九城市、盛大网络、昆仑万维,担任技术和业务安全负责人。目前,张福拥有 10 余项自主知识产权发明专利,30 余项软件著作权。曾荣获“改革开放 40 年网络安全领军人物”“中关村高端领军人才”“中关村创业之星”等称号。 程度 青藤云安全联合创始人&COO,毕业于首都师范大学,擅长网络攻防安全技术研究和大数据算法研究,在云计算安全、机器学习领域有很高的学术造诣,参与多项云安全标准制定和标准审核工作,现兼任《信息安全研究》《信息网络安全》编委,曾发表多篇论文,并被国内核心期刊收录,曾获“OSCAR尖峰开源技术杰出贡献奖”。 胡俊 青藤云安全联合创始人&产品副总裁,毕业于华中科技大学,中国信息通信研究院可信云专家组成员,入选武汉东湖高新技术开发区第十一批“3551光谷人才计划”,曾在百纳信息主导了多款工具应用、海豚浏览器云服务的开发。青藤云安全创立后,主导开发“青藤万相·主机自适应安全平台”“青藤蜂巢·云原生安全平台”等产品,获得发明专利10余项,是公认的安全产品专家,曾发表多篇论文,并被中文核心期刊收录。
-
机器学习
¥59.4¥108.0 -
AI绘画+AI摄影+AI短视频从入门到精通
¥46.3¥79.8 -
企业AI之旅
¥43.5¥79.0 -
ANSYS WORKBENCH中文版超级学习手册
¥69.9¥99.8 -
乡村振兴新技术:新时代农村短视频编辑技术基础入门
¥11.2¥32.0 -
C Primer Plus 第6版 中文版
¥68.0¥108.0 -
基于知识蒸馏的图像去雾技术
¥61.6¥88.0 -
基于深度学习的人体行为识别算法研究
¥37.2¥62.0 -
粒子群算法在优化选取问题中的应用研究
¥40.8¥68.0 -
智能优化算法MATLAB仿真实例
¥54.0¥90.0 -
Web前端开发基础
¥36.5¥57.0 -
Photoshop图像处理
¥25.5¥49.0 -
网络工程师考试大纲(全国计算机技术与软件专业技术资格(水平)考试用书)
¥11.3¥15.0 -
网络工程师教程(第6版)(全国计算机技术与软件专业技术资格(水平)考试用书)
¥62.3¥89.0 -
SNS信息传播分析
¥48.3¥69.0 -
R语言医学数据分析实践
¥72.3¥99.0 -
大模型推荐系统:算法原理、代码实战与案例分析
¥62.3¥89.0 -
HARMONYOS NEXT启程:零基础构建纯血鸿蒙应用
¥81.0¥108.0 -
剪映 从入门到精通
¥25.7¥59.8 -
游戏造梦师----游戏场景开发与设计
¥67.6¥98.0