|
| 內容簡介: |
|
本书由浅入深,从原理到实践,从攻到防,循序渐进地介绍了备受信息安全行业青睐的ATT&CK 框架,旨在帮助相关企业更好地将 ATT&CK 框架用于安全防御能力建设。全书分为5 部分,共 17 章,详细介绍了 ATT&CK 框架的整体架构,如何利用 ATT&CK 框架检测一些常见的攻击组织、恶意软件和高频攻击技术,以及 ATT&CK 在实践中的落地应用,最后介绍了MITRE ATT&CK 相关的生态项目,包括 MITRE Engage 以及 ATT&CK 测评。本书适合网络安全从业人员(包括 CISO、CSO、蓝队人员、红队人员等)、网络安全研究人员等阅读,也可供网络空间安全、信息安全等专业教学、科研、应用人员参考。
|
| 關於作者: |
|
张福,青藤云安全联合创始人&CEO,毕业于同济大学,专注于前沿技术研究,在安全攻防领域有超过15年的探索和实践,曾先后在国内多家知名互联网企业,如第九城市、盛大网络、昆仑万维,担任技术和业务安全负责人。目前,张福拥有10余项自主知识产权发明专利、30余项软件著作权,曾荣获“改革开放40年网络安全领军人物”“ 中关村高端领军人才”“中关村创业之星”等称号。程度,青藤云安全联合创始人&COO,毕业于首都师范大学,擅长网络攻防安全技术研究和大数据算法研究,在云计算安全、机器学习领域有很高的学术造诣,参与多项云安全标准制定和标准审核工作,现兼任《信息安全研究》《信息网络安全》编委,曾发表多篇论文,并被国内核心期刊收录,曾获“OSCAR尖峰开源技术杰出贡献奖”。胡俊,青藤云安全联合创始人&产品副总裁,毕业于华中科技大学,中国信息通信研究院可信云专家组成员,入选武汉东湖高新技术开发区第十一批“3551光谷人才计划\,曾在百纳信息主导了多款工具应用、海豚浏览器云服务的开发。青藤云安全创立后,主导开发“青藤万相·主机自适应安全平台”“ 青藤蜂巢·云原生安全平台”等产品,获得发明专利10余项,是国家级安全产品专家,曾发表多篇论文,并被中文核心期刊收录。
|
| 目錄:
|
|
第一部分 ATT&CK 入门篇第 1 章 潜心开始 MITRE ATT&CK 之旅 ............................................ 21.1 MITRE ATT&CK 是什么 .............................................................................. 31.1.1 MITRE ATT&CK 框架概述 .............................................................. 41.1.2 ATT&CK 框架背后的安全哲学 ....................................................... 91.1.3 ATT&CK 框架与 Kill Chain 模型的对比 ...................................... 111.1.4 ATT&CK 框架与痛苦金字塔模型的关系 ..................................... 131.2 ATT&CK 框架七大对象 ............................................................................. 131.3 ATT&CK 框架实例说明 ............................................................................. 211.3.1 ATT&CK 战术实例 ......................................................................... 211.3.2 ATT&CK 技术实例 ......................................................................... 341.3.3 ATT&CK 子技术实例 ..................................................................... 37第 2 章 基于 ATT&CK 框架的扩展知识库 .......................................... 412.1 针对容器的 ATT&CK 攻防知识库 ............................................................ 422.1.1 执行命令行或进程 .......................................................................... 432.1.2 植入恶意镜像实现持久化 .............................................................. 442.1.3 通过容器逃逸实现权限提升 .......................................................... 442.1.4 绕过或禁用防御机制 ...................................................................... 442.1.5 基于容器 API 获取权限访问 .......................................................... 452.1.6 容器资源发现 .................................................................................. 452.2 针对 Kubernetes 的攻防知识库 .................................................................. 462.2.1 通过漏洞实现对 Kubernetes 的初始访问 ...................................... 472.2.2 执行恶意代码 .................................................................................. 482.2.3 持久化访问权限 .............................................................................. 482.2.4 获取更高访问权限 .......................................................................... 492.2.5 隐藏踪迹绕过检测 .......................................................................... 502.2.6 获取各类凭证 .................................................................................. 512.2.7 发现环境中的有用资源 .................................................................. 522.2.8 在环境中横向移动 .......................................................................... 532.2.9 给容器化环境造成危害 .................................................................. 542.3 针对内部威胁的 TTPs 攻防知识库 ............................................................ 552.3.1 内部威胁 TTPs 知识库的研究范围 ............................................... 562.3.2 与 ATT&CK 矩阵的关系 ................................................................ 572.3.3 内部威胁者常用策略 ...................................................................... 582.3.4 针对内部威胁的防御措施 .............................................................. 602.4 针对网络安全对策的知识图谱 MITRE D3FEND ..................................... 602.4.1 建立 D3FEND 的原因 ..................................................................... 612.4.2 构建 MITRE D3FEND 的方法论 ................................................... 612.5 针对软件供应链的 ATT&CK 框架 OSC&R .............................................. 67第二部分 ATT&CK 提高篇第 3 章 十大攻击组织/恶意软件的分析与检测 ...................................... 723.1 TA551 攻击行为的分析与检测 .................................................................. 733.2 漏洞利用工具 Cobalt Strike 的分析与检测 ............................................... 753.3 银行木马 Qbot 的分析与检测 .................................................................... 773.4 银行木马 lcedlD 的分析与检测 .................................................................. 783.5 凭证转储工具 Mimikatz 的分析与检测 ..................................................... 803.6 恶意软件 Shlayer 的分析与检测 ................................................................ 823.7 银行木马 Dridex 的分析与检测 ................................................................. 833.8 银行木马 Emotet 的分析与检测 ................................................................. 853.9 银行木马 TrickBot 的分析与检测 .............................................................. 863.10 蠕虫病毒 Gamarue 的分析与检测 ............................................................ 87第 4 章 十大高频攻击技术的分析与检测 ............................................. 894.1 命令和脚本解析器(T1059)的分析与检测 ............................................ 904.1.1 PowerShell(T1059.001)的分析与检测 ...................................... 904.1.2 Windows Cmd Shell(T1059.003)的分析与检测 ........................ 924.2 利用已签名二进制文件代理执行(T1218)的分析与检测 .................... 944.2.1 Rundll32(T1218.011)的分析与检测 .......................................... 944.2.2 Mshta(T1218.005)的分析与检测 ............................................... 984.3 创建或修改系统进程(T1543)的分析与检测 ...................................... 1024.4 计划任务/作业(T1053)的分析与检测 ................................................. 1054.5 OS 凭证转储(T1003)的分析与检测 .................................................... 1084.6 进程注入(T1055)的分析与检测 .......................................................... 1114.7 混淆文件或信息(T1027)的分析与检测 .............................................. 1144.8 入口工具转移(T1105)的分析与检测 .................................................. 1174.9 系统服务(T1569)的分析与检测 .......................................................... 1194.10 伪装(T1036)的分析与检测 ................................................................ 121第 5 章 红队视角:典型攻击技术的复现 ........................................... 1235.1 基于本地账户的初始访问 ........................................................................ 1245.2 基于 WMI 执行攻击技术 ......................................................................... 1255.3 基于浏览器插件实现持久化 .................................................................... 1265.4 基于进程注入实现提权 ............................................................................ 1285.5 基于 Rootkit 实现防御绕过 ...................................................................... 1295.6 基于暴力破解获得凭证访问权限 ............................................................ 1305.7 基于操作系统程序发现系统服务 ............................................................ 1325.8 基于 SMB 实现横向移动 .......................................................................... 1335.9 自动化收集内网数据 ................................................................................ 1355.10 通过命令与控制通道传递攻击载荷 ...................................................... 1365.11 成功窃取数据 .......................................................................................... 1375.12 通过停止服务造成危害 .......................................................................... 138第 6 章 蓝队视角:攻击技术的检测示例 ........................................... 1396.1 执行:T1059 命令和脚本解释器的检测 ................................................. 1406.2 持久化:T1543.003 创建或修改系统
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
