内容简介

本书是上一版畅销书的全新修订版，涵盖了新的安全威胁和防御机制，包括云安全态势管理的概述和对当前威胁形势的评估，另外还重点介绍了新的物联网威胁和加密相关内容。为保持应对外部威胁的安全态势并设计强大的网络安全计划，组织需要了解网络安全的基本知识。本书将介绍在侦察和追踪用户身份方面使用新技术实施网络安全的实践经验，这将使你能够发现系统是如何受到危害的。本书也重点介绍了强化系统安全性的防御策略。你将了解包括Azure Sentinel在内的深度工具以确保在每个网络层中都有安全控制，以及如何执行受损系统的恢复过程。<br>

  目录

  译者序<br/>前言<br/>作者简介<br/>审校者简介<br/>*1章 安全态势    1<br/>1.1 当前的威胁形势    1<br/>1.2 凭据：身份验证和授权    3<br/>1.3 应用程序    4<br/>1.4 网络安全挑战    6<br/>1.4.1 旧技术和更广泛的结果    6<br/>1.4.2 威胁形势的转变    7<br/>1.5 增强安全态势    8<br/>1.6 红队与蓝队    10<br/>1.7 小结    12<br/>1.8 参考文献    13<br/>*2章 事件响应流程    15<br/>2.1 事件响应流程的创建    15<br/>2.1.1 实施事件响应流程的原因    15<br/>2.1.2 创建事件响应流程    17<br/>2.1.3 事件响应小组    19<br/>2.1.4 事件生命周期    19<br/>2.2 处理事件    20<br/>2.3 事后活动    22<br/>2.3.1 真实场景    22<br/>2.3.2 经验教训    23<br/>2.4 云中的事件响应    24<br/>2.4.1 更新事件响应流程以涵盖云    24<br/>2.4.2 合适的工具集    24<br/>2.4.3 从云解决方案提供商视角看事件响应流程    25<br/>2.5 小结    25<br/>2.6 参考文献    26<br/>第3章 什么是网络战略    27<br/>3.1 引言    27<br/>3.2 为什么需要建立网络战略    27<br/>3.3 如何构建网络战略    29<br/>3.3.1 了解业务    29<br/>3.3.2 了解威胁和风险    29<br/>3.3.3 文档    29<br/>3.4 *佳网络攻击战略（红队）    30<br/>3.4.1 外部测试战略    30<br/>3.4.2 内部测试战略    30<br/>3.4.3 盲测战略    31<br/>3.4.4 定向测试战略    31<br/>3.5 *佳网络防御战略（蓝队）    31<br/>3.5.1 深度防御    31<br/>3.5.2 广度防御    33<br/>3.6 小结    33<br/>3.7 延伸阅读    33<br/>第4章 了解网络安全杀伤链    35<br/>4.1 网络杀伤链简介    35<br/>4.2 侦察    36<br/>4.3 武器化    37<br/>4.4 权限提升    37<br/>4.4.1 垂直权限提升    38<br/>4.4.2 水平权限提升    38<br/>4.5 渗出    39<br/>4.5.1 维持    41<br/>4.5.2 袭击    42<br/>4.5.3 混淆    43<br/>4.6 威胁生命周期管理    45<br/>4.6.1 数据收集阶段    46<br/>4.6.2 发现阶段    46<br/>4.6.3 鉴定阶段    47<br/>4.6.4 调查阶段    47<br/>4.6.5 消除阶段    47<br/>4.6.6 恢复阶段    47<br/>4.6.7 共享文件    48<br/>4.7 网络杀伤链阶段使用的工具    48<br/>4.7.1 Nmap    48<br/>4.7.2 Zenmap    49<br/>4.7.3 Metasploit    49<br/>4.7.4 John the Ripper    50<br/>4.7.5 Hydra    51<br/>4.7.6 Wireshark    52<br/>4.7.7 Aircrack-ng    53<br/>4.7.8 Nikto    54<br/>4.7.9 Kismet    55<br/>4.7.10 Airgeddon    56<br/>4.7.11 Deauther Board    56<br/>4.7.12 EvilOSX    57<br/>4.8 网络安全杀伤链小结    58<br/>4.9 实验：通过Evil Twin攻击针对无线网络实施实验室攻击    59<br/>4.9.1 实验场景    59<br/>4.9.2 步骤1：确保拥有“模拟攻击”所需的所有硬件和软件    59<br/>4.9.3 步骤2：在Kali上安装Airgeddon    60<br/>4.9.4 步骤3：配置Airgeddon    61<br/>4.9.5 步骤4：选择目标    62<br/>4.9.6 步骤5：收集握手信息    63<br/>4.9.7 步骤6：设置钓鱼页面    66<br/>4.9.8 步骤7：捕获网络凭据    67<br/>4.10 实验小结    67<br/>4.11 参考文献    67<br/>4.12 延伸阅读    69<br/>第5章 侦察    70<br/>5.1 外部侦察    71<br/>5.1.1 Webshag    71<br/>5.1.2 PhoneInfoga    73<br/>5.1.3 电子邮件收集器TheHarvester    74<br/>5.2 Web浏览器枚举工具    75<br/>5.2.1 渗透测试套件    75<br/>5.2.2 Netcraft    75<br/>5.2.3 垃圾箱潜水    76<br/>5.2.4 社交媒体    77<br/>5.2.5 社会工程学    78<br/>5.3 内部侦察    87<br/>5.3.1 Airgraph-ng    87<br/>5.3.2 嗅*和扫描    88<br/>5.3.3 战争驾驶    95<br/>5.3.4 Hak5 Plunder Bug    96<br/>5.3.5 CATT    97<br/>5.3.6 Canary令牌链接    98<br/>5.4 小结    99<br/>5.5 实验：谷歌黑客    99<br/>5.5.1 *1部分：查找个人信息    99<br/>5.5.2 *2部分：查找服务器    106<br/>5.6 参考文献    108<br/>第6章 危害系统    110<br/>6.1 当前趋势分析    111<br/>6.1.1 勒索攻击    111<br/>6.1.2 数据篡改攻击    113<br/>6.1.3 物联网设备攻击    114<br/>6.1.4 后门    114<br/>6.1.5 移动设备攻击    115<br/>6.1.6 入侵日常设备    116<br/>6.1.7 攻击云    117<br/>6.1.8 云攻击的诱惑    118<br/>6.1.9 CloudTracker    123<br/>6.1.10 云安全建议    123<br/>6.2 网络钓鱼    124<br/>6.3 漏洞利用攻击    126<br/>6.4 零日漏洞    127<br/>6.4.1 WhatsApp漏洞（CVE-2019-3568）    128<br/>6.4.2 Chrome零日漏洞（CVE-2019-5786）    129<br/>6.4.3 Windows 10权限提升    129<br/>6.4.4 Windows权限提升漏洞（CVE-2019-1132）    129<br/>6.4.5 模糊测试    129<br/>6.4.6 源代码分析    130<br/>6.4.7 零日漏洞利用的类型    131<br/>6.5 危害系统的执行步骤    132<br/>6.5.1 安装使用漏洞扫描器    133<br/>6.5.2 使用Metasploit部署载荷    134<br/>6.5.3 危害操作系统    135<br/>6.5.4 危害远程系统    139<br/>6.5.5 危害基于Web的系统    140<br/>6.6 移动电话（iOS/Android攻击）    145<br/>6.6.1 Exodus    146<br/>6.6.2 SensorID    147<br/>6.6.3 Cellebrite攻击iPhone    148<br/>6.6.4 盘中人    148<br/>6.6.5 Spearphone（Android上的扬声器数据采集）    149<br/>6.6.6 Tap n Ghost    149<br/>6.6.7 适用于移动设备的红蓝队工具    149<br/>6.7 实验1：在Windows中构建红队PC    152<br/>6.8 实验2：合法入侵wangzhan    156<br/>6.8.1 bWAPP    157<br/>6.8.2 HackThis ！！    157<br/>6.8.3 OWASP Juice Shop项目    157<br/>6.8.4 Try2Hack    157<br/>6.8.5 Google Gruyere    157<br/>6.8.6 易受攻击的Web应用程序    158<br/>6.9 小结    159<br/>6.10 参考文献    160<br/>6.11 延伸阅读    161<br/>第7章 追踪用户身份    162<br/>7.1 身份是新的边界    162<br/>7.2 危害用户身份的策略    164<br/>7.2.1 获取网络访问权限    165<br/>7.2.2 获取凭据    166<br/>7.2.3 入侵用户身份    167<br/>7.2.4 暴力攻击    167<br/>7.2.5 社会工程学    169<br/>7.2.6 散列传递    174<br/>7.2.7 通过移动设备窃取身份信息    176<br/>7.2.8 入侵身份的其他方法    176<br/>7.3 小结    176<br/>7.4 参考文献    177<br/>第8章 横向移动    178<br/>8.1 渗出    178<br/>8.2 网络测绘    179<br/>8.3 规避告警    180<br/>8.4 执行横向移动    181<br/>8.4.1 像黑客一样思考    183<br/>8.4.2 端口扫描    183<br/>8.4.3 Sysinternals    184<br/>8.4.4 文件共享    186<br/>8.4.5 Windows DCOM    187<br/>8.4.6 远程桌面    188<br/>8.4.7 PowerShell    190<br/>8.4.8 Windows管理规范    191<br/>8.4.9 计划任务    192<br/>8.4.10 令牌窃取    193<br/>8.4.11 被盗凭据    193<br/>8.4.12 可移动介质    194<br/>8.4.13 受污染的共享内容    194<br/>8.4.14 远程注册表    194<br/>8.4.15 TeamViewer    194<br/>8.4.16 应用程序部署    195<br/>8.4.17 网络嗅*    195<br/>8.4.18 ARP欺骗    195<br/>8.4.19 AppleScript和IPC（OS X）    196<br/>8.4.20 受害主机分析    196<br/>8.4.21 中央管理员控制台    197<br/>8.4.22 电子邮件掠夺    197<br/>8.4.23 活动目录    197<br/>8.4.24 管理共享    199<br/>8.4.25 票据传递    199<br/>8.4.26 散列传递    199<br/>8.4.27 Winlogon    201<br/>8.4.28 Lsass.exe进程    201<br/>8.5 实验：在没有反病毒措施的情况下搜寻恶意软件    203<br/>8.6 小结    213<br/>8.7 参考文献    214<br/>8.8 延伸阅读    214<br/>第9章 权限提升    215<br/>9.1 渗透    215<br/>9.1.1 水平权限提升    216<br/>9.1.2 垂直权限提升    217<br/>9.2 规避告警    217<br/>9.3 执行权限提升    218<br/>9.3.1 利用漏洞攻击未打补丁的操作系统    220<br/>9.3.2 访问令牌操控    221<br/>9.3.3 利用辅助功能    222<br/>9.3.4 应用程序垫片    223<br/>9.3.5 绕过用户账户控制    226<br/>9.3.6 DLL注入    228<br/>9.3.7 DLL搜索顺序劫持    228<br/>9.3.8 dylib劫持    229<br/>9.3.9 漏洞探索    230<br/>9.3.10 启动守护进程    231<br/>9.4 Windows目标上权限提升示例    231<br/>9.5 权限提升技术    233<br/>9.5.1 转储SAM文件    233<br/>9.5.2 root安卓    234<br/>9.5.3 使用/etc/passwd文件    235<br/>9.5.4 额外的窗口内存注入    236<br/>9.5.5 挂钩    236<br/>9.5.6 新服务    237<br/>9.5.7 计划任务    237<br/>9.6 Windows引导顺序    237<br/>9.6.1 启动项    237<br/>9.6.2 sudo缓存    244<br/>9.7 结论和教训    245<br/>9.8 小结    246<br/>9.9 实验 1    246<br/>9.10 实验 2    252<br/>9.10.1 *1部分：从LSASS获取密码    252<br/>9.10.2 *2部分：用PowerSploit转储散列    256<br/>9.11 实验 3：HackTheBox    259<br/>9.12 参考文献    264<br/>*10章 安全策略    266<br/>10.1 安全策略检查    266<br/>10.2 用户教育    267<br/>10.2.1 用户社交媒体安全指南    268<br/>10.2.2 安全意识培训    269<br/>10.3 策略实施    269<br/>10.3.1 应用程序白名单    271<br/>10.3.2 安全加固    273<br/>10.4 合规性监控    276<br/>10.5 通过安全策略持续推动安全态势增强    279<br/>10.6 小结    280<br/>10.7 延伸阅读    281<br/>*11章 网络分段    282<br/>11.1 深度防御方法    282<br/>11.1.1 基础设施和服务    283<br/>11.1.2 传输中的文档    284<br/>11.1.3 端点    284<br/>11.2 物理网络分段    285<br/>11.3 远程网络的访问安全    288<br/>11.4 虚拟网络分段    290<br/>11.5 零信任网络    292<br/>11.6 混合云网络安全    293<br/>11.7 小结    297<br/>11.8 延伸阅读    298<br/>*12章 主动传感器    299<br/>12.1 检测能力    299<br/>12.2 入侵检测系统    302<br/>12.3 入侵防御系统    304<br/>12.3.1 基于规则的检测    304<br/>12.3.2 基于异常的检测    305<br/>12.4 内部行为分析    305<br/>12.5 混合云中的行为分析    308<br/>12.5.1 Azure Security Center    308<br/>12.5.2 PaaS工作负载分析    311<br/>12.6 小结    313<br/>12.7 延伸阅读    313<br/>*13章 威胁情报    314<br/>13.1 威胁情报简介    314<br/>13.2 用于威胁情报的开源工具    317<br/>13.3 微软威胁情报    323<br/>13.4 利用威胁情报调查可疑活动    324<br/>13.5 小结    326<br/>13.6 延伸阅读    327<br/>*14章 事件调查    328<br/>14.1 确定问题范围    328<br/>14.2 调查内部失陷系统    332<br/>14.3 调查混合云中的失陷系统    335<br/>14.4 主动调查（威胁猎杀）    342<br/>14.5 经验教训    344<br/>14.6 小结    344<br/>14.7 延伸阅读    344<br/>*15章 恢复过程    345<br/>15.1 灾难恢复计划    345<br/>15.1.1 灾难恢复计划流程    346<br/>15.1.2 挑战    349<br/>15.2 应急计划    349<br/>15.2.1?开发应急计划策略    350<br/>15.2.2?进行业务影响分析    350<br/>15.2.3?确定预防性控制    351<br/>15.2.4?业务连续性与灾难恢复    352<br/>15.2.5?制定恢复策略    353<br/>15.3 现场恢复    355<br/>15.3.1 维护计划    356<br/>15.3.2 现场网络事件恢复示例    356<br/>15.3.3 风险管理工具    357<br/>15.4 恢复计划*佳实践    359<br/>15.5 灾难恢复*佳实践    359<br/>15.5.1 内部部署    359<br/>15.5.2?云上部署    359<br/>15.5.3?混合部署    360<br/>15.5.4?关于网络弹性的建议    360<br/>15.6 小结    361<br/>15.7 灾难恢复计划资源    362<br/>15.8 参考文献    362<br/>15.9 延伸阅读    363<br/>*16章 漏洞管理    364<br/>16.1 创建漏洞管理策略    364<br/>16.1.1 资产盘点    365<br/>16.1.2 信息管理    365<br/>16.1.3 风险评估    366<br/>16.1.4 漏洞评估    369<br/>16.1.5 报告和补救跟踪    370<br/>16.1.6 响应计划    371<br/>16.2 漏洞管理工具    372<br/>16.2.1 资产盘点工具    372<br/>16.2.2 信息管理工具    374<br/>16.2.3 风险评估工具    374<br/>16.2.4 漏洞评估工具    375<br/>16.2.5 报告和补救跟踪工具    375<br/>16.2.6 响应计划工具    376<br/>16.3 实施漏洞管理    376<br/>16.4 漏洞管理*佳实践    377<br/>16.5 漏洞管理工具示例    379<br/>16.5.1 Intruder    379<br/>16.5.2 Patch Manager Plus    380<br/>16.5.3 InsightVM    380<br/>16.5.4 Azure Threat & Vulnerability Management    381<br/>16.6 使用Nessus实施漏洞管理    382<br/>16.6.1 OpenVAS    388<br/>16.6.2 Qualys    388<br/>16.6.3 Acunetix    390<br/>16.7 实验    390<br/>16.7.1 实验1：使用Acunetix执行在线漏洞扫描    390<br/>16.7.2 实验2：使用GFI LanGuard进行网络安全扫描    397<br/>16.8 小结    401<br/>16.9 参考文献    401<br/>*17章 日志分析    403<br/>17.1 数据关联    403<br/>17.2 操作系统日志    404<br/>17.2.1 Windows日志    404<br/>17.2.2 Linux日志    407<br/>17.3 防火墙日志    408<br/>17.4 Web服务器日志    409<br/>17.5 Amazon Web Services日志    410<br/>17.6 Azure Activity日志    413<br/>17.7 小结    416<br/>17.8 延伸阅读    416