安全技术运营：方法与实践

作品简介

这是一本从实践角度讲解安全技术运营方法和安全运营体系构建的著作。

作者是国内较早的一批安全领域从业者，在金山、腾讯等大厂从事安全技术、产品、运营等方面的工作16年，先后参与或主导了数十个安全产品的能力建设和运营，从零构建了完整的安全运营体系，经验非常丰富。

本书是作者经验的总结，核心内容包括如下几个方面：

（1）全面认识安全技术运营：包括安全技术运营的定义、发展历史以及6种运营思维。

（2）威胁发现的技术和方法：包括特征识别、行为识别、大数据挖掘等发现威胁的方法。

（3）威胁分析的技术和方法：主要介绍了传统的人工方法和基于人工智能的算法建模新方法。

（4）威胁处理的技术和方法：主要介绍了威胁情报、网络威胁解决方案、终端威胁解决方案，以及为不同规模的企业定制的安全解决方案。

（5）安全运营体系构建：从产品视角、企业视角以及XDR的视角讲解了安全运营体系的能力模型与构建方法。

本书适合从事安全产品研发的项目经理、产品经理、安全开发、安全策略运营、安全技术咨询，从事企业安全建设的安全工程师、IT运维人员，以及网络信息安全专业的学生和安全技术爱好者。

作品目录

• 前言
• 第1章 什么是安全技术运营
• 1.1 网络威胁简介
• 1.1.1 什么是恶意程序
• 1.1.2 经典网络攻击
• 1.1.3 业务安全攻击
• 1.2 安全运营简介
• 1.2.1 安全运营的定义
• 1.2.2 安全运营发展史
• 1.2.3 恶意程序对抗
• 1.2.4 云查杀和云主防介绍
• 1.2.5 大数据应用介绍
• 1.3 技术运营必备的6种思维
• 1.3.1 逻辑思维
• 1.3.2 水平思维
• 1.3.3 全局思维
• 1.3.4 系统性思维
• 1.3.5 大数据思维
• 1.3.6 算法思维
• 第2章 威胁发现
• 2.1 特征识别技术
• 2.1.1 特征定位
• 2.1.2 启发式发掘
• 2.1.3 特征空间和有监督学习
• 2.2 行为识别技术
• 2.2.1 行为遥测探针
• 2.2.2 动态分析系统
• 2.2.3 行为规则和决策树
• 2.3 机器智能初探：使用大数据发现威胁
• 2.3.1 模式匹配
• 2.3.2 基线感知
• 2.3.3 模式匹配实时感知系统
• 2.3.4 监督学习应用优化
• 2.3.5 应用机器智能解决检测难点
• 2.3.6 应用机器智能发现相似威胁
• 2.3.7 恶意家族监控
• 2.3.8 安全基线建模
• 第3章 威胁分析
• 3.1 人工分析应具备的技能
• 3.1.1 定性分析
• 3.1.2 溯源分析
• 3.1.3 趋势分析
• 3.2 机器智能进阶：自动化分析技术
• 3.2.1 动态分析模型
• 3.2.2 社区发现模型
• 3.2.3 基于家族/社团的memTTP模型
• 3.2.4 定性分析的其他模型
• 3.2.5 基于企业实体行为的事件调查分析
• 第4章 威胁处理
• 4.1 威胁情报
• 4.1.1 应用级IOC情报
• 4.1.2 运营级TTP情报
• 4.2 网络威胁解决方案
• 4.2.1 边界防护
• 4.2.2 威胁审计
• 4.2.3 安全重保
• 4.3 终端威胁解决方案
• 4.3.1 遥测探针
• 4.3.2 云主防
• 4.3.3 病毒查杀
• 4.3.4 系统加固
• 4.3.5 入侵检测
• 4.3.6 安全管理
• 4.3.7 端点检测与响应系统
• 4.4 企业安全解决方案
• 4.4.1 中小企业安全解决方案
• 4.4.2 大型企业安全解决方案
• 4.4.3 云原生安全解决方案
• 第5章 安全运营体系
• 5.1 产品视角的安全运营体系
• 5.1.1 安全能力中台
• 5.1.2 应急指挥中心
• 5.1.3 安全运营中心
• 5.1.4 企业安全运维
• 5.2 企业视角的安全运营体系
• 5.2.1 资产攻击面管理体系
• 5.2.2 纵深防御体系
• 5.3 XDR
• 5.3.1 MITRE ATT&CK评测
• 5.3.2 什么是XDR
• 5.3.3 XDR安全运营体系