请君入瓮:APT攻防指南之兵不厌诈 [Reverse Deception: Organized Cyber Threat Counter-Exploitation] pdf epub mobi txt 电子书 下载
产品特色
编辑推荐
IDF实验室联合创始人万涛(@黑客老鹰)与安天实验室首席技术架构师江海客(Seak)为本书作序;
IDF实验室联合创始人Archer与安天实验室副总工程师SwordLea执笔翻译;
全面剖析APT攻防的著作;
本书是讲解如何对抗APT(高级持续性威胁)的指南,其中提及的有效的安全技术和真实的案例研究可用于揭露、追踪和惩治APT的罪魁祸首。本书阐述了如何评估网络存在的漏洞,及时锁定目标,并有效地阻止网络入侵;还对如何建立数字陷阱、误导和转移攻击方向、配置蜜罐、缓解加密犯罪件和识别恶意软件组织进行了讲解。本书专家级别的作者还针对诸多法律和道德问题、运营审查和安全团队管理给出了全方位的介绍
内容简介
《请君入瓮:APT攻防指南之兵不厌诈》以全新的视角为读者解释了现在(或将来)会面对的持续性攻击,融合了针对APT(Advanced Persistent Threat,高级持续性威胁)攻击的各种实践方案、工具、技战术,以及作者多年来总结的经验智慧,旨在为网络正在遭受APT攻击或网络存在潜在攻击威胁的用户提供各种应对之策。
《请君入瓮:APT攻防指南之兵不厌诈》共分为3个部分。第1部分介绍了用于网络领域的传统军事欺骗和反间谍技术,介绍了欺骗的历史、网络战与反间谍时代的兴起、反间谍工作的技战术以及重要性等概念性知识。第2部分讨论了防御威胁的技术和方法,教读者深层次地研究和应对高水平的入侵事件,使用欺骗和假情报来反击对手,化被动为主动,立即了解网络犯罪行为背后的不同动机。第3部分则通过案例来分析解读高级威胁的应对方法,以及如何验证反间谍行动的风险和效果。
《请君入瓮:APT攻防指南之兵不厌诈》涵盖知识面广泛,语言直白风趣,适合信息安全从业人员阅读。
作者简介
肖恩伯德莫(Sean Bodmer),CISSP、CEH,就职于犯罪软件检测、安全和研究公司Damballa,任高级威胁情报分析员一职。
Max Kilger,黑客及黑帽社区刑事分析和行为分析方面的专家,也是蜜网项目(Honeynet Project)的创始人。
Gregory Carpenter,CISM,美国军队退役军官,于2007 年获得美国国家安全局年度武官奖。
精彩书评
当APT这个安全业界的“互联网思维”术语日益频繁地出现在我们的视野时,意味着任何网络地址与个人(包括社交网络)都已经沦为暗黑势力的一部分。我们怎能坐视肮脏的洪水淹没自己?他山之石,可以攻玉。本书让我们领略繁荣的互联网的深处的暗潮涌动,你可以从敬畏、惊艳开始,以赞叹、惊讶与兴奋掩卷,并开启你的新的安全征途。
——万涛(@黑客老鹰),IDF互联网威慑情报防御实验室联合创始人
目录
1 网络攻击的现况
1.1 您听说过APT吗
1.2 APT定义
1.3 PT和APT的区别
1.4 APT和PT案例
1.4.1 月光迷宫
1.4.2 思加图
1.4.3 骤雨
1.4.4 风暴蠕虫
1.4.5 幽灵网络
1.4.6 Byzantine Hades/Foothold/Candor/Raptor
1.4.7 极光行动
1.4.8 震网(Stuxnet)
1.4.9 罗斯商业网络(RBN)
1.4.10 面目全非的Botnet
1.4.11 回报行动
1.5 小结
2 兵不厌诈
2.1 “网”上谈兵
2.2 军事行动的六大原则
2.2.1 目标明确
2.2.2 行动导向
2.2.3 统一指挥
2.2.4 保密到位
2.2.5 只争朝夕
2.2.6 协调行动
2.3 军事典故
2.3.1 调虎离山——考彭斯战役
2.3.2 虚张声势——多切斯特高地
2.3.3 瞒天过海——馅饼行动(已经不太可能是Glyndwr Michael的故事了)
2.3.4 偷梁换柱——黑客的虚拟攻击
2.4 为什么要欺骗
2.4.1 美国第一集团军的欺骗战术
2.4.2 俄式欺骗——Maskirovka
2.5 欺骗的准则
2.5.1 马格鲁德原则——利用COG的主观观念
2.5.2 利用死角
2.5.3 “多重惊喜”原则
2.5.4 Jones's Deliemma
2.5.5 择善而从
2.5.6 谨行俭用
2.5.7 按步就班
2.5.8 见机行事
2.5.9 居安思危
2.5.10 祸福相依
2.6 把握全局
2.6.1 半空
2.6.2 半满
2.6.3 主观倾向性问题
2.6.4 全满
2.6.5 反思之一
2.6.6 反思之二
2.7 小结
3 网络谍战
3.1 核心竞争力
3.2 在网络对抗中应用CI思想
3.3 稽查PT和APT
3.3.1 初期规模
3.3.2 波及程度
3.3.3 风险承受力
3.3.4 时间进度
3.3.5 技巧和手段
3.3.6 行动措施
3.3.7 最终目标
3.3.8 后勤资源
3.3.9 知识来源
3.4 小结
4 刑事分析
4.1 刑事分析学简史
4.2 网络刑事分析的兴起
4.3 特殊群体的研究
4.4 行为分析的作用
4.5 行为分析的本质
4.6 分析方法的分类
4.7 归纳法和演绎法
4.8 刑事分析学的信息向量
4.8.1 时间
4.8.2 地点
4.8.3 技能
4.8.4 动机
4.8.5 武器
4.8.6 人脉
4.9 小结
4.10 参考资料
5 法律行动
5.1 与律师共事
5.2 法学研究
5.2.1 网上资源
5.2.2 常见术语
5.2.3 (美)法制体系
5.2.4 法律条款的研究方法
5.2.5 自学法律的基本方法
5.3 开卷并不易
5.4 沟通有技巧
5.5 法律与道德
5.6 总结
6 威胁(攻击者)谍报技术
6.1 威胁分类
6.1.1 定向攻击
6.1.2 随机攻击
6.1.3 随机攻击转为定向攻击(Opportunistic Turning Targeted)
6.2 攻击方法的演进
6.3 揭秘网络犯罪集团
6.4 犯罪工具与技术
6.4.1 定制有效服务
6.4.2 学术研究滥用
6.4.3 信任圈
6.4.4 注入方法
6.5 小结
7 欺骗实战
7.1 骗者为王
7.2 荒诞故事1
7.3 荒诞故事2
7.4 荒诞故事3
7.5 荒诞故事4
7.5.1 蜜罐1
7.5.2 事后剖析
7.6 小结
8 工具及战术
8.1 检测技术
8.2 基于主机的工具
8.2.1 反病毒
8.2.2 数字取证
8.2.3 安全管理工具
8.3 基于网络的工具
8.3.1 防火墙
8.3.2 入侵检测/防御系统
8.4 欺骗技术
8.4.1 蜜网网关
8.4.2 蜜网:深度防御的一部分
8.4.3 研究型蜜网与生产型蜜网的对比
8.4.4 蜜网架构
8.4.5 蜜网网关认证
8.4.6 内容分段
8.4.7 内容填充
8.4.8 蜜网培训
8.4.9 蜜网目标
8.4.10 蜜网存在的风险和问题
8.5 安全贵在未雨绸缪
8.5.1 您的物理安全处于何种状态
8.5.2 您的线网络状况如何
8.5.3 您的网络活动有哪些
8.5.4 您的主机或服务器安全吗
8.5.5 您的密码还安全吗
8.5.6 您的运行安全如何
8.6 犯罪软件/分析检测系统
8.6.1 您的机器发生了什么事情
8.6.2 这些恶意软件做了什么
8.7 小结
9 攻击鉴定技术
9.1 事后识别
9.2 另一个荒诞故事
9.2.1 追根溯源
9.2.2 恶意软件
9.2.3 尘埃落定
9.3 真实案例
9.3.1 对抗主动威胁
9.3.2 流量、目标以及聚类
9.3.3 处理结果
9.4 结论
10 攻击归因
10.1 目标呈现信息级别概述
10.2 刑事分析因素
10.2.1 时间
10.2.2 动机
10.2.3 社交网络
10.2.4 技术水平
10.2.5 刑事分析因素小结
10.3 刑事分析技术的战略应用
10.4 实例研究:黑客社区的社会结构变迁
10.5 微观及宏观层面分析
10.6 全民皆兵的崛起
全民皆兵的潜在威胁
10.7 结论
10.8 参考资料
11 APT的价值
11.1 间谍活动
11.2 网络间谍活动的代价
11.3 价值网络分析
11.4 APT与价值网络
11.4.1 RSA案例
11.4.2 “极光行动”案例
11.4.3 APT投资
11.5 APT及互联网价值链
11.5.1 一切均是商品
11.5.2 比特币的未来
11.6 结论
12 审时度势
12.1 确定威胁的严重性
12.1.1 应用程序漏洞场景
12.1.2 定向攻击场景
12.2 产生严重后果时怎么办
12.2.1 阻断还是监视
12.2.2 与问题隔离
12.2.3 区分威胁目的
12.2.4 可行动情报的响应
12.3 网络威胁采集
12.3.1 区分不同的威胁
12.3.2 处理已收集情报
12.3.3 确定可用的应对策略
12.4 威胁对抗
12.4.1 企业内部
12.4.2 企业外部
12.4.3 与执法机构合作
12.5 反击还是忍受
12.5.1 目的何在
12.5.2 了解界限(不要越线)
12.6 结论
13 实施及验证
13.1 行动审查
13.1.1 审查欺骗计划
13.1.2 审查欺骗中的认知一致性
13.1.3 实战审查
13.2 在专业人士指导下使用本书
13.3 如何评估成功
13.4 结束游戏
13.5 结论
术语表
精彩书摘
《请君入瓮:APT攻防指南之兵不厌诈》:
4.5 行为分析的本质
本质上讲,刑事分析工作就是进行筛选。调查人员从全部可能的嫌疑犯着手,仔细辨别体貌和行为的证据,从而对嫌犯的特征进行基本的推测。分析人员提炼的每个特征,都有助于缩小犯罪嫌疑人的范围。例如,如果能够确定罪犯是男性,那么至少排除大约一半的犯罪嫌疑人;如果能够确定罪犯在15~29岁,那么就排除了全美3/4的人。如果某个案件的罪犯同时符合上述两个条件,那么就排除了全美87%的人。
如果调查人员能够确认罪犯的居住地区——例如说某个4000居民的郊区,那么只会有520名男性符合上述特征。如果能够将嫌疑犯的搜索空间确定到这种程度,那么就可以让当地警局根据其他的条件(例如时间)进一步缩小排查范围,找到可疑度较高的嫌疑犯进行面谈和审讯。
非常不幸的是,犯罪嫌疑人的筛选工作基本上不会那么顺利。例如,如果不能确定嫌疑人的地域,调查工作实际上不得不在所有的美国人中搜索一个子集。例如,我们设定嫌犯群体为“(美国)男性不良黑客”。那么好消息就是您这个分析结果将犯罪嫌疑人的范围从全美3亿人缩小到大约(比方说)10万人;坏消息是不良黑客的男女比例大约是9:1,也就是说您仅排除了10%的黑客。
第二个问题来自于统计数据,各种统计数据的特征并不独立1。虽然布伦特·特维(BrentTurvey)确实说过,您可以将人口统计学特征概率与罪犯特征的数据放在一起的相乘,来获得总体的犯罪嫌疑人数量(特维,2008);但是实际的统计数字并不独立。这种情况下简单使用乘法原理在理论上就有问题,会产生错误的估算结果;由此方法估算出的嫌犯人群的总数也没有实用的价值。
在借助于统计学来估算嫌犯时,使用单个特征的数据(例如人口统计学数据)而得到的嫌犯总数,肯定离谱得让人敬而远之。分析人员需要经常综合其他类型的证据,结合体貌和行为的双重特征,进行罪犯分析。在传统的分析案例中,案发时间往往是白天。在4.8节,您将看到时间元素在传统分析和网络刑事案件分析中的作用。
传统犯罪现场的周边环境也可能成为分析人员了解肇事者的线索。开放地带发生的暴力犯罪,如果周边经常有行人或车辆经过,那么基本可以推断这是未经策划就发生的个案。如果案件发生在更为偏僻的地带,说明其中有更多的策划成分。在计算机犯罪的案例里实际情况则恰恰相反,发生在高负载、多入口网段的案例却通常是有计划的犯罪。
4.6 分析方法的分类
邦加特指出,罪犯分析有两种基本方法:回顾性分析和前瞻性分析(邦加特,2010)。回顾性分析指的是:在被认为是由同一个(或一组)人犯下的案件中,依据一起或多起案件中的行为和体貌证据进行人物分析的传统方法。回顾性分析的重点是,在调查(和解决)一个(或一组)已经发生的刑事案件时,使用传统调查手段逐步细化罪犯的体貌特征和心理特征。
前瞻性分析则以过去的案例及犯罪现场的特征(数据)为基础,建立一个刑事分析的分类系统,旨在为未来的案件分析提供参考依据(罪犯可能有哪些特征等)。如此一来,“未来罪犯”就很难有统一的定义了。在某种意义上说,未来的罪犯可能指的是分类标准完善之前就已经作案的肇事者——在未来会被识别出来的罪犯。在这种情况下,分类标准有助于突出罪犯可能具备的特点,以协助司法人员调查、逮捕犯罪行为人。
在前瞻性分析中,“未来罪犯”还有一种解释。套用以往罪犯和犯罪的特点,在预测模型中推测特定人员犯罪的概率。在这种情况下,研究人员使用历史案件中的各种特征分析特定的自然人,预测他已经实施犯罪或未来实施犯罪行为的概率。这种工作存在纠葛不清的法律问题和道德问题。但是将特定群体的潜在的现行罪犯、未来罪犯按照风险级别进行分类(例如,中、低、高风险人群),特别符合情报工作的目标和宗旨。这种分类手段也能有效地集中分配各机构资源,重点排查现行的或未来的威胁。
……
前言/序言
请君入瓮:APT攻防指南之兵不厌诈 [Reverse Deception: Organized Cyber Threat Counter-Exploitation] 电子书 下载 mobi epub pdf txt
请君入瓮:APT攻防指南之兵不厌诈 [Reverse Deception: Organized Cyber Threat Counter-Exploitation] pdf epub mobi txt 电子书 下载