网络安全与攻防策略:现代威胁应对之道:原书第2版电子书

译者序

前言

作者简介

审校者简介

第1章 安全态势

1.1 当前的威胁形势

1.2 凭据：身份验证和授权

1.3 应用程序

1.4 网络安全挑战

1.4.1 旧技术和更广泛的结果

1.4.2 威胁形势的转变

1.5 增强安全态势

1.6 红队与蓝队

1.7 小结

1.8 参考文献

第2章 事件响应流程

2.1 事件响应流程的创建

2.1.1 实施事件响应流程的原因

2.1.2 创建事件响应流程

2.1.3 事件响应小组

2.1.4 事件生命周期

2.2 处理事件

2.3 事后活动

2.3.1 真实场景

2.3.2 经验教训

2.4 云中的事件响应

2.4.1 更新事件响应流程以涵盖云

2.4.2 合适的工具集

2.4.3 从云解决方案提供商视角看事件响应流程

2.5 小结

2.6 参考文献

第3章 什么是网络战略

3.1 引言

3.2 为什么需要建立网络战略

3.3 如何构建网络战略

3.3.1 了解业务

3.3.2 了解威胁和风险

3.3.3 文档

3.4 最佳网络攻击战略（红队）

3.4.1 外部测试战略

3.4.2 内部测试战略

3.4.3 盲测战略

3.4.4 定向测试战略

3.5 最佳网络防御战略（蓝队）

3.5.1 深度防御

3.5.2 广度防御

3.6 小结

3.7 延伸阅读

第4章 了解网络安全杀伤链

4.1 网络杀伤链简介

4.2 侦察

4.3 武器化

4.4 权限提升

4.4.1 垂直权限提升

4.4.2 水平权限提升

4.5 渗出

4.5.1 维持

4.5.2 袭击

4.5.3 混淆

4.6 威胁生命周期管理

4.6.1 数据收集阶段

4.6.2 发现阶段

4.6.3 鉴定阶段

4.6.4 调查阶段

4.6.5 消除阶段

4.6.6 恢复阶段

4.6.7 共享文件

4.7 网络杀伤链阶段使用的工具

4.7.1 Nmap

4.7.2 Zenmap

4.7.3 Metasploit

4.7.4 John the Ripper

4.7.5 Hydra

4.7.6 Wireshark

4.7.7 Aircrack-ng

4.7.8 Nikto

4.7.9 Kismet

4.7.10 Airgeddon

4.7.11 Deauther Board

4.7.12 EvilOSX

4.8 网络安全杀伤链小结

4.9 实验：通过Evil Twin攻击针对无线网络实施实验室攻击

4.9.1 实验场景

4.9.2 步骤1：确保拥有“模拟攻击”所需的所有硬件和软件

4.9.3 步骤2：在Kali上安装Airgeddon

4.9.4 步骤3：配置Airgeddon

4.9.5 步骤4：选择目标

4.9.6 步骤5：收集握手信息

4.9.7 步骤6：设置钓鱼页面

4.9.8 步骤7：捕获网络凭据

4.10 实验小结

4.11 参考文献

4.12 延伸阅读

第5章 侦察

5.1 外部侦察

5.1.1 Webshag

5.1.2 PhoneInfoga

5.1.3 电子邮件收集器TheHarvester

5.2 Web浏览器枚举工具

5.2.1 渗透测试套件

5.2.2 Netcraft

5.2.3 垃圾箱潜水

5.2.4 社交媒体

5.2.5 社会工程学

5.3 内部侦察

5.3.1 Airgraph-ng

5.3.2 嗅探和扫描

5.3.3 战争驾驶

5.3.4 Hak5 Plunder Bug

5.3.5 CATT

5.3.6 Canary令牌链接

5.4 小结

5.5 实验：谷歌黑客

5.5.1 第1部分：查找个人信息

5.5.2 第2部分：查找服务器

5.6 参考文献

第6章 危害系统

6.1 当前趋势分析

6.1.1 勒索攻击

6.1.2 数据篡改攻击

6.1.3 物联网设备攻击

6.1.4 后门

6.1.5 移动设备攻击

6.1.6 入侵日常设备

6.1.7 攻击云

6.1.8 云攻击的诱惑

6.1.9 CloudTracker

6.1.10 云安全建议

6.2 网络钓鱼

6.3 漏洞利用攻击

6.4 零日漏洞

6.4.1 WhatsApp漏洞（CVE-2019-3568）

6.4.2 Chrome零日漏洞（CVE-2019-5786）

6.4.3 Windows 10权限提升

6.4.4 Windows权限提升漏洞（CVE-2019-1132）

6.4.5 模糊测试

6.4.6 源代码分析

6.4.7 零日漏洞利用的类型

6.5 危害系统的执行步骤

6.5.1 安装使用漏洞扫描器

6.5.2 使用Metasploit部署载荷

6.5.3 危害操作系统

6.5.4 危害远程系统

6.5.5 危害基于Web的系统

6.6 移动电话（iOS/Android攻击）

6.6.1 Exodus

6.6.2 SensorID

6.6.3 Cellebrite攻击iPhone

6.6.4 盘中人

6.6.5 Spearphone（Android上的扬声器数据采集）

6.6.6 Tap n Ghost

6.6.7 适用于移动设备的红蓝队工具

6.7 实验1：在Windows中构建红队PC

6.8 实验2：合法入侵网站

6.8.1 bWAPP

6.8.2 HackThis!!

6.8.3 OWASP Juice Shop项目

6.8.4 Try2Hack

6.8.5 Google Gruyere

6.8.6 易受攻击的Web应用程序

6.9 小结

6.10 参考文献

6.11 延伸阅读

第7章 追踪用户身份

7.1 身份是新的边界

7.2 危害用户身份的策略

7.2.1 获取网络访问权限

7.2.2 获取凭据

7.2.3 入侵用户身份

7.2.4 暴力攻击

7.2.5 社会工程学

7.2.6 散列传递

7.2.7 通过移动设备窃取身份信息

7.2.8 入侵身份的其他方法

7.3 小结

7.4 参考文献

第8章 横向移动

8.1 渗出

8.2 网络测绘

8.3 规避告警

8.4 执行横向移动

8.4.1 像黑客一样思考

8.4.2 端口扫描

8.4.3 Sysinternals

8.4.4 文件共享

8.4.5 Windows DCOM

8.4.6 远程桌面

8.4.7 PowerShell

8.4.8 Windows管理规范

8.4.9 计划任务

8.4.10 令牌窃取

8.4.11 被盗凭据

8.4.12 可移动介质

8.4.13 受污染的共享内容

8.4.14 远程注册表

8.4.15 TeamViewer

8.4.16 应用程序部署

8.4.17 网络嗅探

8.4.18 ARP欺骗

8.4.19 AppleScript和IPC（OS X）

8.4.20 受害主机分析

8.4.21 中央管理员控制台

8.4.22 电子邮件掠夺

8.4.23 活动目录

8.4.24 管理共享

8.4.25 票据传递

8.4.26 散列传递

8.4.27 Winlogon

8.4.28 Lsass.exe进程

8.5 实验：在没有反病毒措施的情况下搜寻恶意软件

8.6 小结

8.7 参考文献

8.8 延伸阅读

第9章 权限提升

9.1 渗透

9.1.1 水平权限提升

9.1.2 垂直权限提升

9.2 规避告警

9.3 执行权限提升

9.3.1 利用漏洞攻击未打补丁的操作系统

9.3.2 访问令牌操控

9.3.3 利用辅助功能

9.3.4 应用程序垫片

9.3.5 绕过用户账户控制

9.3.6 DLL注入

9.3.7 DLL搜索顺序劫持

9.3.8 dylib劫持

9.3.9 漏洞探索

9.3.10 启动守护进程

9.4 Windows目标上权限提升示例

9.5 权限提升技术

9.5.1 转储SAM文件

9.5.2 root安卓

9.5.3 使用/etc/passwd文件

9.5.4 额外的窗口内存注入

9.5.5 挂钩

9.5.6 新服务

9.5.7 计划任务

9.6 Windows引导顺序

9.6.1 启动项

9.6.2 sudo缓存

9.7 结论和教训

9.8 小结

9.9 实验1

9.10 实验2

9.10.1 第1部分：从LSASS获取密码

9.10.2 第2部分：用PowerSploit转储散列

9.11 实验3：HackTheBox

9.12 参考文献

第10章 安全策略

10.1 安全策略检查

10.2 用户教育

10.2.1 用户社交媒体安全指南

10.2.2 安全意识培训

10.3 策略实施

10.3.1 应用程序白名单

10.3.2 安全加固

10.4 合规性监控

10.5 通过安全策略持续推动安全态势增强

10.6 小结

10.7 延伸阅读

第11章 网络分段

11.1 深度防御方法

11.1.1 基础设施和服务

11.1.2 传输中的文档

11.1.3 端点

11.2 物理网络分段

11.3 远程网络的访问安全

11.4 虚拟网络分段

11.5 零信任网络

11.6 混合云网络安全

11.7 小结

11.8 延伸阅读

第12章 主动传感器

12.1 检测能力

12.2 入侵检测系统

12.3 入侵防御系统

12.3.1 基于规则的检测

12.3.2 基于异常的检测

12.4 内部行为分析

12.5 混合云中的行为分析

12.5.1 Azure Security Center

12.5.2 PaaS工作负载分析

12.6 小结

12.7 延伸阅读

第13章 威胁情报

13.1 威胁情报简介

13.2 用于威胁情报的开源工具

13.3 微软威胁情报

13.4 利用威胁情报调查可疑活动

13.5 小结

13.6 延伸阅读

第14章 事件调查

14.1 确定问题范围

14.2 调查内部失陷系统

14.3 调查混合云中的失陷系统

14.4 主动调查（威胁猎杀）

14.5 经验教训

14.6 小结

14.7 延伸阅读

第15章 恢复过程

15.1 灾难恢复计划

15.1.1 灾难恢复计划流程

15.1.2 挑战

15.2 应急计划

15.2.1 开发应急计划策略

15.2.2 进行业务影响分析

15.2.3 确定预防性控制

15.2.4 业务连续性与灾难恢复

15.2.5 制定恢复策略

15.3 现场恢复

15.3.1 维护计划

15.3.2 现场网络事件恢复示例

15.3.3 风险管理工具

15.4 恢复计划最佳实践

15.5 灾难恢复最佳实践

15.5.1 内部部署

15.5.2 云上部署

15.5.3 混合部署

15.5.4 关于网络弹性的建议

15.6 小结

15.7 灾难恢复计划资源

15.8 参考文献

15.9 延伸阅读

第16章 漏洞管理

16.1 创建漏洞管理策略

16.1.1 资产盘点

16.1.2 信息管理

16.1.3 风险评估

16.1.4 漏洞评估

16.1.5 报告和补救跟踪

16.1.6 响应计划

16.2 漏洞管理工具

16.2.1 资产盘点工具

16.2.2 信息管理工具

16.2.3 风险评估工具

16.2.4 漏洞评估工具

16.2.5 报告和补救跟踪工具

16.2.6 响应计划工具

16.3 实施漏洞管理

16.4 漏洞管理最佳实践

16.5 漏洞管理工具示例

16.5.1 Intruder

16.5.2 Patch Manager Plus

16.5.3 InsightVM

16.5.4 Azure Threat & Vulnerability Management

16.6 使用Nessus实施漏洞管理

16.6.1 OpenVAS

16.6.2 Qualys

16.6.3 Acunetix

16.7 实验

16.7.1 实验1：使用Acunetix执行在线漏洞扫描

16.7.2 实验2：使用GFI LanGuard进行网络安全扫描

16.8 小结

16.9 参考文献

第17章 日志分析

17.1 数据关联

17.2 操作系统日志

17.2.1 Windows日志

17.2.2 Linux日志

17.3 防火墙日志

17.4 Web服务器日志

17.5 Amazon Web Services日志

17.6 Azure Activity日志

17.7 小结

17.8 延伸阅读