ATT&CK框架实践指南
  • 书名

    ATT&CK框架实践指南

    青藤云安全
  • 作者张福程度胡俊
  • 出版社电子工业出版社 / 2022-01
  • ISBN书号9787121424359
  • 字数约 136,000 字
  • 全本定价¥103.60
免费试读

作品简介

《ATT&CK框架实践指南》对备受信息安全行业青睐的ATT&CK框架进行了详细的介绍,并通过丰富的实践案例帮助读者了解ATT&CK框架,更好地将ATT&CK框架用于提高企业的安全防御能力建设。

《ATT&CK框架实践指南》由浅入深,从原理到实践,从攻到防,循序渐进地介绍了ATT&CK框架。全书分为4部分共13个章节,详细介绍了ATT&CK框架的整体架构,如何利用ATT&CK框架检测一些常见的攻击组织、恶意软件和高频攻击技术,以及ATT&CK在实践中的落地应用,最后介绍了MITRE ATT&CK相关的生态项目,包括MITRE Shield以及ATT&CK测评。

《ATT&CK框架实践指南》适合网络安全从业人员(包括CISO、CSO、蓝队人员、红队人员等)、网络安全研究人员等阅读,也可供网络空间安全、信息安全等专业教学、科研、应用人员参考阅读。

张福,青藤云安全创始人、CEO。毕业于同济大学,专注于前沿技术研究,在安全攻防领域有超过15年的探索和实践。曾先后在国内多家知名互联网企业,如第九城市、盛大网络、昆仑万维,担任技术和业务安全负责人。目前,张福拥有10余项自主知识产权发明专利,30余项软件著作权。荣获“改革开放40年网络安全领军人物”、“中关村高端领军人才”、“中关村创业之星”等称号。

程度,青藤云安全联合创始人、COO。毕业于首都师范大学,擅长网络攻防安全技术研究和大数据算法研究,拥有软著18项、专利15项,对云计算安全、机器学习领域有极高学术造诣,对全球安全市场有深刻理解。现兼任工信部信通院、全国信息安全标准化技术委员会外聘专家,《信息安全研究》、《信息网络安全》编委。参与多项云安全标准制定、标准审核工作,发表过多篇论文被国内核心期刊收录,荣获“OSCAR尖峰开源技术杰出贡献奖”。

胡俊,青藤云安全联合创始人、产品副总裁。毕业于华中科技大学,中国信息通信研究院可信云专家组成员,武汉东湖高新技术开发区第十一批“3551光谷人才计划”。曾在百纳信息主导了多款工具应用、海豚浏览器云服务的开发。青藤创立后,主导开发“青藤万相·主机自适应安全平台”、“青藤蜂巢·云原生安全平台”等产品,获得发明专利10余项,是国内顶尖的安全产品专家,曾发表多篇论文并被中文核心期刊收录。

作品目录

  • 推荐序
  • 推荐语
  • 序言
  • 前言
  • 第一部分 ATT&CK入门篇
  • 第1章 潜心开始MITRE ATT&CK之旅
  • 1.1 MITRE ATT&CK是什么
  • 1.2 ATT&CK框架的对象关系介绍
  • 1.3 ATT&CK框架实例说明
  • 1.3.1.2 恶意软件WannaCry的战术分析
  • 第2章 新场景示例:针对容器和Kubernetes的ATT&CK攻防矩阵
  • 2.1 针对容器的ATT&CK攻防矩阵
  • 2.2 针对Kubernetes的攻防矩阵
  • 第3章 数据源:ATT&CK应用实践的前提
  • 3.1 当前ATT&CK数据源利用急需解决的问题
  • 3.2 升级ATT&CK数据源的使用情况
  • 3.3 ATT&CK数据源的运用示例
  • 第二部分 ATT&CK提高篇
  • 第4章 十大攻击组织和恶意软件的分析与检测
  • 4.1 TA551攻击行为的分析与检测
  • 4.2 漏洞利用工具Cobalt Strike的分析与检测
  • 4.3 银行木马Qbot的分析与检测
  • 4.4 银行木马lcedlD的分析与检测
  • 4.5 凭证转储工具Mimikatz的分析与检测
  • 4.6 恶意软件Shlayer的分析与检测
  • 4.7 银行木马Dridex的分析与检测
  • 4.8 银行木马Emotet的分析与检测
  • 4.9 银行木马TrickBot的分析与检测
  • 4.10 蠕虫病毒Gamarue的分析与检测
  • 第5章 十大高频攻击技术的分析与检测
  • 5.1 命令和脚本解析器(T1059)的分析与检测
  • 5.2 利用已签名二进制文件代理执行(T1218)的分析与检测
  • 5.3 创建或修改系统进程(T1543)的分析与检测
  • 5.4 计划任务/作业(T1053)的分析与检测
  • 5.5 OS凭证转储(T1003)的分析与检测
  • 5.6 进程注入(T1055)的分析与检测
  • 5.7 混淆文件或信息(T1027)的分析与检测
  • 5.8 入口工具转移(T1105)的分析与检测
  • 5.9 系统服务(T1569)的分析与检测
  • 5.10 伪装(T1036)的分析与检测
  • 第6章 红队视角:典型攻击技术的复现
  • 6.1 基于本地账户的初始访问
  • 6.2 基于WMI执行攻击技术
  • 6.3 基于浏览器插件实现持久化
  • 6.4 基于进程注入实现提权
  • 6.5 基于Rootkit实现防御绕过
  • 6.6 基于暴力破解获得凭证访问权限
  • 6.7 基于操作系统程序发现系统服务
  • 6.8 基于SMB实现横向移动
  • 6.9 自动化收集内网数据
  • 6.10 通过命令与控制通道传递攻击载荷
  • 6.11 成功窃取数据
  • 6.12 通过停止服务造成危害
  • 第7章 蓝队视角:攻击技术的检测示例
  • 7.1 执行:T1059命令和脚本解释器的检测
  • 7.2 持久化:T1543.003创建或修改系统进程(Windows服务)的检测
  • 7.3 权限提升:T1546.015组件对象模型劫持的检测
  • 7.4 防御绕过:T1055.001 DLL注入的检测
  • 7.5 凭证访问:T1552.002注册表中的凭证的检测
  • 7.6 发现:T1069.002域用户组的检测
  • 7.7 横向移动:T1550.002哈希传递攻击的检测
  • 7.8 收集:T1560.001通过程序压缩的检测
  • 第三部分 ATT&CK实践篇
  • 第8章 ATT&CK应用工具与项目
  • 8.1 ATT&CK三个关键工具
  • 8.2 ATT&CK实践应用项目
  • 第9章 ATT&CK场景实践
  • 9.1 ATT&CK的四大使用场景
  • 9.2 ATT&CK实践的常见误区
  • 第10章 基于ATT&CK的安全运营
  • 10.1 基于ATT&CK的运营流程
  • 10.2 基于ATT&CK的运营实践
  • 10.3 基于ATT&CK的模拟攻击
  • 第11章 基于ATT&CK的威胁狩猎
  • 11.1 威胁狩猎的开源项目
  • 11.2 ATT&CK与威胁狩猎
  • 11.3 威胁狩猎的行业实战
  • 第四部分 ATT&CK生态篇
  • 第12章 MITRE Shield主动防御框架
  • 12.1 MITRE Shield背景介绍
  • 12.2 MITRE Shield矩阵模型
  • 12.3 MITRE Shield与ATT&CK的映射
  • 12.4 MITRE Shield使用入门
  • 第13章 ATT&CK测评
  • 13.1 测评方法
  • 13.2 测评流程
  • 13.3 测评内容
  • 13.4 测评结果
  • 13.5 总结
  • 附录AATT&CK战术及场景实践
  • A.1 侦察
  • A.2 资源开发
  • A.3 初始访问
  • A.4 执行
  • A.5 持久化
  • A.6 权限提升
  • A.7 防御绕过
  • A.8 凭证访问
  • A.9 发现
  • A.10 横向移动
  • A.11 收集
  • A.12 命令与控制
  • A.13 数据窃取
  • A.14 危害
  • 附录BATT&CK攻击与SHIELD防御映射图
展开全部
声明:本站不产生/存储任何数据,所有资源均来自网络。