買這商品的人也買了...
-
$534$507 -
$505風控要略 — 互聯網業務反欺詐之路
-
$806$758 -
$768$730 -
$594$564 -
$880$695 -
$510雲原生安全技術實踐指南
-
$1,368$1,300 -
$505CTF 實戰從入門到提升
-
$403惡意代碼逆向分析基礎詳解
-
$654$621 -
$774$735 -
$774$735 -
$880$695 -
$1,200$792 -
$708$673 -
$954$906 -
$880$695 -
$539$512 -
$510X-SDP:零信任新紀元
-
$650$507 -
$352二進制安全基礎
-
$704零信任安全從入門到精通
-
$654$621 -
$354$336
相關主題
商品描述
本書由淺入深,從原理到實踐,從攻到防,循序漸進地介紹了備受信息安全行業青睞的ATT&CK 框架,旨在幫助相關企業更好地將 ATT&CK 框架用於安全防禦能力建設。全書分為5 部分,共 17 章,詳細介紹了 ATT&CK 框架的整體架構,如何利用 ATT&CK 框架檢測一些常見的攻擊組織、惡意軟件和高頻攻擊技術,以及 ATT&CK 在實踐中的落地應用,最後介紹了MITRE ATT&CK 相關的生態項目,包括 MITRE Engage 以及 ATT&CK 測評。本書適合網絡安全從業人員(包括 CISO、CSO、藍隊人員、紅隊人員等)、網絡安全研究人員等閱讀,也可供網絡空間安全、信息安全等專業教學、科研、應用人員參考。
目錄大綱
第一部分 ATT&CK 入門篇
第 1 章 潛心開始 MITRE ATT&CK 之旅 ............................................ 2
1.1 MITRE ATT&CK 是什麽 .............................................................................. 3
1.1.1 MITRE ATT&CK 框架概述 .............................................................. 4
1.1.2 ATT&CK 框架背後的安全哲學 ....................................................... 9
1.1.3 ATT&CK 框架與 Kill Chain 模型的對比 ...................................... 11
1.1.4 ATT&CK 框架與痛苦金字塔模型的關系 ..................................... 13
1.2 ATT&CK 框架七大對象 ............................................................................. 13
1.3 ATT&CK 框架實例說明 ............................................................................. 21
1.3.1 ATT&CK 戰術實例 ......................................................................... 21
1.3.2 ATT&CK 技術實例 ......................................................................... 34
1.3.3 ATT&CK 子技術實例 ..................................................................... 37
第 2 章 基於 ATT&CK 框架的擴展知識庫 .......................................... 41
2.1 針對容器的 ATT&CK 攻防知識庫 ............................................................ 42
2.1.1 執行命令行或進程 .......................................................................... 43
2.1.2 植入惡意鏡像實現持久化 .............................................................. 44
2.1.3 通過容器逃逸實現權限提升 .......................................................... 44
2.1.4 繞過或禁用防禦機制 ...................................................................... 44
2.1.5 基於容器 API 獲取權限訪問 .......................................................... 45
2.1.6 容器資源發現 .................................................................................. 45
2.2 針對 Kubernetes 的攻防知識庫 .................................................................. 46
2.2.1 通過漏洞實現對 Kubernetes 的初始訪問 ...................................... 47
2.2.2 執行惡意代碼 .................................................................................. 48
2.2.3 持久化訪問權限 .............................................................................. 48
2.2.4 獲取更高訪問權限 .......................................................................... 49
2.2.5 隱藏蹤跡繞過檢測 .......................................................................... 50
2.2.6 獲取各類憑證 .................................................................................. 51
2.2.7 發現環境中的有用資源 .................................................................. 52
2.2.8 在環境中橫向移動 .......................................................................... 53
2.2.9 給容器化環境造成危害 .................................................................. 54
2.3 針對內部威脅的 TTPs 攻防知識庫 ............................................................ 55
2.3.1 內部威脅 TTPs 知識庫的研究範圍 ............................................... 56
2.3.2 與 ATT&CK 矩陣的關系 ................................................................ 57
2.3.3 內部威脅者常用策略 ...................................................................... 58
2.3.4 針對內部威脅的防禦措施 .............................................................. 60
2.4 針對網絡安全對策的知識圖譜 MITRE D3FEND ..................................... 60
2.4.1 建立 D3FEND 的原因 ..................................................................... 61
2.4.2 構建 MITRE D3FEND 的方法論 ................................................... 61
2.5 針對軟件供應鏈的 ATT&CK 框架 OSC&R .............................................. 67
第二部分 ATT&CK 提高篇
第 3 章 十大攻擊組織/惡意軟件的分析與檢測 ...................................... 72
3.1 TA551 攻擊行為的分析與檢測 .................................................................. 73
3.2 漏洞利用工具 Cobalt Strike 的分析與檢測 ............................................... 75
3.3 銀行木馬 Qbot 的分析與檢測 .................................................................... 77
3.4 銀行木馬 lcedlD 的分析與檢測 .................................................................. 78
3.5 憑證轉儲工具 Mimikatz 的分析與檢測 ..................................................... 80
3.6 惡意軟件 Shlayer 的分析與檢測 ................................................................ 82
3.7 銀行木馬 Dridex 的分析與檢測 ................................................................. 83
3.8 銀行木馬 Emotet 的分析與檢測 ................................................................. 85
3.9 銀行木馬 TrickBot 的分析與檢測 .............................................................. 86
3.10 蠕蟲病毒 Gamarue 的分析與檢測 ............................................................ 87
第 4 章 十大高頻攻擊技術的分析與檢測 ............................................. 89
4.1 命令和腳本解析器(T1059)的分析與檢測 ............................................ 90
4.1.1 PowerShell(T1059.001)的分析與檢測 ...................................... 90
4.1.2 Windows Cmd Shell(T1059.003)的分析與檢測 ........................ 92
4.2 利用已簽名二進制文件代理執行(T1218)的分析與檢測 .................... 94
4.2.1 Rundll32(T1218.011)的分析與檢測 .......................................... 94
4.2.2 Mshta(T1218.005)的分析與檢測 ............................................... 98
4.3 創建或修改系統進程(T1543)的分析與檢測 ...................................... 102
4.4 計劃任務/作業(T1053)的分析與檢測 ................................................. 105
4.5 OS 憑證轉儲(T1003)的分析與檢測 .................................................... 108
4.6 進程註入(T1055)的分析與檢測 .......................................................... 111
4.7 混淆文件或信息(T1027)的分析與檢測 .............................................. 114
4.8 入口工具轉移(T1105)的分析與檢測 .................................................. 117
4.9 系統服務(T1569)的分析與檢測 .......................................................... 119
4.10 偽裝(T1036)的分析與檢測 ................................................................ 121
第 5 章 紅隊視角:典型攻擊技術的復現 ........................................... 123
5.1 基於本地賬戶的初始訪問 ........................................................................ 124
5.2 基於 WMI 執行攻擊技術 ......................................................................... 125
5.3 基於瀏覽器插件實現持久化 .................................................................... 126
5.4 基於進程註入實現提權 ............................................................................ 128
5.5 基於 Rootkit 實現防禦繞過 ...................................................................... 129
5.6 基於暴力破解獲得憑證訪問權限 ............................................................ 130
5.7 基於操作系統程序發現系統服務 ............................................................ 132
5.8 基於 SMB 實現橫向移動 .......................................................................... 133
5.9 自動化收集內網數據 ................................................................................ 135
5.10 通過命令與控制通道傳遞攻擊載荷 ...................................................... 136
5.11 成功竊取數據 .......................................................................................... 137
5.12 通過停止服務造成危害 .......................................................................... 138
第 6 章 藍隊視角:攻擊技術的檢測示例 ........................................... 139
6.1 執行:T1059 命令和腳本解釋器的檢測 ................................................. 140
6.2 持久化:T1543.003 創建或修改系統進程(Windows 服務)的檢測 .. 141
6.3 權限提升:T1546.015 組件對象模型劫持的檢測 .................................. 143
6.4 防禦繞過:T1055.001 DLL 註入的檢測 ................................................. 144
6.5 憑證訪問:T1552.002 註冊表中的憑證的檢測 ...................................... 146
6.6 發現:T1069.002 域用戶組的檢測 .......................................................... 147
6.7 橫向移動:T1550.002 哈希傳遞攻擊的檢測 .......................................... 148
6.8 收集:T1560.001 通過程序壓縮的檢測 .................................................. 149
第 7 章 不同形式的攻擊模擬 .......................................................... 150
7.1 基於紅藍對抗的全流程攻擊模擬 ............................................................ 151
7.1.1 模擬攻擊背景 ................................................................................ 152
7.1.2 模擬攻擊流程 ................................................................................ 153
7.2 微模擬攻擊的概述與應用 ........................................................................ 162
7.2.1 微模擬攻擊計劃概述 .................................................................... 163
7.2.2 微模擬攻擊的應用 ........................................................................ 164
第三部分 ATT&CK 場景與工具篇
第 8 章 ATT&CK 應用工具與應用項目 ........................................... 176
8.1 ATT&CK 四個關鍵項目工具 ................................................................... 177
8.1.1 Navigator 項目 ............................................................................... 177
8.1.2 CARET 項目 .................................................................................. 180
8.1.3 TRAM 項目 ................................................................................... 181
8.1.4 Workbench 項目 ............................................................................. 182
8.2 ATT&CK 實踐應用項目 ........................................................................... 186
8.2.1 紅隊使用項目 ................................................................................ 186
8.2.2 藍隊使用項目 ................................................................................ 188
8.2.3 CTI 團隊使用 ................................................................................ 190
8.2.4 CSO 使用項目 ............................................................................... 195
第 9 章 ATT&CK 四大實踐場景 .................................................... 197
9.1 ATT&CK 的四大使用場景 ....................................................................... 200
9.1.1 威脅情報 ........................................................................................ 200
9.1.2 檢測分析 ........................................................................................ 203
9.1.3 模擬攻擊 ........................................................................................ 205
9.1.4 評估改進 ........................................................................................ 208
9.2 ATT&CK 實踐的常見誤區 ....................................................................... 213
第四部分 ATT&CK 運營實戰篇
第 10 章 數據源是應用 ATT&CK 的前提 ......................................... 218
10.1 當前 ATT&CK 數據源急需解決的問題 ................................................ 219
10.1.1 定義數據源 .................................................................................. 220
10.1.2 標準化命名語法 .......................................................................... 220
10.1.3 確保平臺一致性 .......................................................................... 222
10.2 改善 ATT&CK 數據源的使用情況 ........................................................ 224
10.2.1 利用數據建模 .............................................................................. 225
10.2.2 通過數據元素定義數據源 .......................................................... 226
10.2.3 整合數據建模和攻擊者建模 ...................................................... 226
10.2.4 擴展 ATT&CK 數據源對象 ........................................................ 227
10.2.5 使用數據組件擴展數據源 .......................................................... 228
10.3 ATT&CK 數據源的標準化定義與運用示例 ......................................... 230
10.3.1 改進進程監控 .............................................................................. 231
10.3.2 改進 Windows 事件日誌 ............................................................. 236
10.3.3 子技術用例 .................................................................................. 239
10.4 數據源在安全運營中的運用 .................................................................. 241
第 11 章 MITRE ATT&CK 映射實踐.............................................. 244
11.1 將事件報告映射到 MITRE ATT&CK .................................................... 245
11.2 將原始數據映射到 MITRE ATT&CK .................................................... 249
11.3 映射到 MITRE ATT&CK 時的常見錯誤與偏差 ................................... 251
11.4 通過 MITRE ATT&CK 編寫事件報告 ................................................... 254
11.5 ATT&CK for ICS 的映射建議 ................................................................ 257
第 12 章 基於 ATT&CK 的安全運營 ............................................... 260
12.1 基於 ATT&CK 的運營流程 .................................................................... 262
12.1.1 知己:分析現有數據源缺口 ...................................................... 262
12.1.2 知彼:收集網絡威脅情報 .......................................................... 263
12.1.3 實踐:分析測試 .......................................................................... 264
12.2 基於 ATT&CK 的運營評估 .................................................................... 267
12.2.1 將 ATT&CK 應用於 SOC 的步驟 .............................................. 267
12.2.2 將 ATT&CK 應用於 SOC 的技巧 .............................................. 271
第 13 章 基於 ATT&CK 的威脅狩獵 ............................................... 274
13.1 ATT&CK 讓狩獵過程透明化 ................................................................. 277
13.2 基於 TTPs 的威脅狩獵 ........................................................................... 280
13.2.1 檢測方法和數據類型分析 .......................................................... 281
13.2.2 威脅狩獵的方法實踐 .................................................................. 283
13.3 基於重點戰術的威脅狩獵 ...................................................................... 302
13.3.1 內部偵察的威脅狩獵 .................................................................. 303
13.3.2 持久化的威脅狩獵 ...................................................................... 305
13.3.3 橫向移動的威脅狩獵 .................................................................. 311
第 14 章 多行業的威脅狩獵實戰 ..................................................... 316
14.1 金融行業的威脅狩獵 .............................................................................. 317
14.2 企業機構的威脅狩獵 .............................................................................. 324
第五部分 ATT&CK 生態篇
第 15 章 攻擊行為序列數據模型 Attack Flow .................................. 332
15.1 Attack Flow 的組成要素 ......................................................................... 333
15.2 Attack Flow 用例 ..................................................................................... 333
15.3 Attack Flow 的使用方法 ......................................................................... 335
第 16 章 主動作戰框架 MITRE Engage ......................................... 341
16.1 MITRE Engage 介紹 ................................................................................ 342
16.1.1 詳解 MITRE Engage 矩陣結構 ................................................... 342
16.1.2 MITRE Engage 與 MITRE ATT&CK 的映射關系 ..................... 344
16.1.3 Engage 與傳統網絡阻斷、網絡欺騙間的關系 ......................... 344
16.2 MITRE Engage 矩陣入門實踐 ................................................................ 346
16.2.1 如何將 Engage 矩陣整合到企業網絡戰略中來 ........................ 346
16.2.2 Engage 實踐的四要素 ................................................................. 346
16.2.3 Engage 實踐落地流程:收集、分析、確認、實施 ................. 347
16.2.4 對抗作戰實施:10 步流程法 ..................................................... 348
第 17 章 ATT&CK 測評 ............................................................... 352
17.1 測評方法 .................................................................................................. 353
17.2 測評流程 .................................................................................................. 355
17.3 測評內容 .................................................................................................. 357
17.3.1 ATT&CK for Enterprise 測評 ...................................................... 358
17.3.2 ATT&CK for ICS 測評 ................................................................ 361
17.3.3 托管服務測評 .............................................................................. 364
17.3.4 欺騙類測評 .................................................................................. 367
17.4 測評結果 .................................................................................................. 369
17.5 總結 .......................................................................................................... 372
附錄 A ATT&CK 戰術及場景實踐 .................................................. 374
附錄 B ATT&CK 版本更新情況 ..................................................... 395