展开全部

主编推荐语

一本深入浅出的ATT&CK学习工具书。

内容简介

本书由浅入深,从原理到实践,从攻到防,循序渐进地介绍了备受信息安全行业青睐的ATT&CK框架,旨在帮助相关企业更好地将ATT&CK框架用于安全防御能力建设。全书分为5部分,共17章,详细介绍了ATT&CK框架的整体架构,如何利用ATT&CK框架检测一些常见的攻击组织、恶意软件和高频攻击技术,以及ATT&CK在实践中的落地应用,最后介绍了MITRE ATT&CK相关的生态项目,包括MITRE Engage以及ATT&CK测评。本书适合网络安全从业人员(包括 CISO、CSO、蓝队人员、红队人员等)、网络安全研究人员等阅读,也可供网络空间安全、信息安全等专业教学、科研、应用人员参考。

目录

  • 版权信息
  • 内容简介
  • 推荐序
  • 推荐语
  • 序言
  • 前言
  • 第一部分 ATT&CK入门篇
  • 第1章 潜心开始MITRE ATT&CK之旅
  • 1.1 MITRE ATT&CK是什么
  • 1.1.1 MITRE ATT&CK框架概述
  • 1.1.2 ATT&CK框架背后的安全哲学
  • 1.1.3 ATT&CK框架与Kill Chain模型的对比
  • 1.1.4 ATT&CK框架与痛苦金字塔模型的关系
  • 1.2 ATT&CK框架七大对象
  • 1.3 ATT&CK框架实例说明
  • 1.3.1 ATT&CK战术实例
  • 1.3.2 ATT&CK技术实例
  • 1.3.3 ATT&CK子技术实例
  • 第2章 基于ATT&CK框架的扩展知识库
  • 2.1 针对容器的ATT&CK攻防知识库
  • 2.1.1 执行命令行或进程
  • 2.1.2 植入恶意镜像实现持久化
  • 2.1.3 通过容器逃逸实现权限提升
  • 2.1.4 绕过或禁用防御机制
  • 2.1.5 基于容器API获取权限访问
  • 2.1.6 容器资源发现
  • 2.2 针对Kubernetes的攻防知识库
  • 2.2.1 通过漏洞实现对Kubernetes的初始访问
  • 2.2.2 执行恶意代码
  • 2.2.3 持久化访问权限
  • 2.2.4 获取更高访问权限
  • 2.2.5 隐藏踪迹绕过检测
  • 2.2.6 获取各类凭证
  • 2.2.7 发现环境中的有用资源
  • 2.2.8 在环境中横向移动
  • 2.2.9 给容器化环境造成危害
  • 2.3 针对内部威胁的TTPs攻防知识库
  • 2.3.1 内部威胁TTPs知识库的研究范围
  • 2.3.2 与ATT&CK矩阵的关系
  • 2.3.3 内部威胁者常用策略
  • 2.3.4 针对内部威胁的防御措施
  • 2.4 针对网络安全对策的知识图谱MITRE D3FEND
  • 2.4.1 建立D3FEND的原因
  • 2.4.2 构建MITRE D3FEND的方法论
  • 2.5 针对软件供应链的ATT&CK框架OSC&R
  • 第二部分 ATT&CK提高篇
  • 第3章 十大攻击组织/恶意软件的分析与检测
  • 3.1 TA551攻击行为的分析与检测
  • 3.2 漏洞利用工具Cobalt Strike的分析与检测
  • 3.3 银行木马Qbot的分析与检测
  • 3.4 银行木马lcedlD的分析与检测
  • 3.5 凭证转储工具Mimikatz的分析与检测
  • 3.6 恶意软件Shlayer的分析与检测
  • 3.7 银行木马Dridex的分析与检测
  • 3.8 银行木马Emotet的分析与检测
  • 3.9 银行木马TrickBot的分析与检测
  • 3.10 蠕虫病毒Gamarue的分析与检测
  • 第4章 十大高频攻击技术的分析与检测
  • 4.1 命令和脚本解析器(T1059)的分析与检测
  • 4.1.1 PowerShell(T1059.001)的分析与检测
  • 4.1.2 Windows Cmd Shell(T1059.003)的分析与检测
  • 4.2 利用已签名二进制文件代理执行(T1218)的分析与检测
  • 4.2.1 Rundll32(T1218.011)的分析与检测
  • 4.2.2 Mshta(T1218.005)的分析与检测
  • 4.3 创建或修改系统进程(T1543)的分析与检测
  • 4.4 计划任务/作业(T1053)的分析与检测
  • 4.5 OS凭证转储(T1003)的分析与检测
  • 4.6 进程注入(T1055)的分析与检测
  • 4.7 混淆文件或信息(T1027)的分析与检测
  • 4.8 入口工具转移(T1105)的分析与检测
  • 4.9 系统服务(T1569)的分析与检测
  • 4.10 伪装(T1036)的分析与检测
  • 第5章 红队视角: 典型攻击技术的复现
  • 5.1 基于本地账户的初始访问
  • 5.2 基于WMI执行攻击技术
  • 5.3 基于浏览器插件实现持久化
  • 5.4 基于进程注入实现提权
  • 5.5 基于Rootkit实现防御绕过
  • 5.6 基于暴力破解获得凭证访问权限
  • 5.7 基于操作系统程序发现系统服务
  • 5.8 基于SMB实现横向移动
  • 5.9 自动化收集内网数据
  • 5.10 通过命令与控制通道传递攻击载荷
  • 5.11 成功窃取数据
  • 5.12 通过停止服务造成危害
  • 第6章 蓝队视角:攻击技术的检测示例
  • 6.1 执行:T1059命令和脚本解释器的检测
  • 6.2 持久化:T1543.003创建或修改系统进程(Windows服务)的检测
  • 6.3 权限提升:T1546.015组件对象模型劫持的检测
  • 6.4 防御绕过:T1055.001 DLL注入的检测
  • 6.5 凭证访问:T1552.002注册表中的凭证的检测
  • 6.6 发现:T1069.002域用户组的检测
  • 6.7 横向移动:T1550.002哈希传递攻击的检测
  • 6.8 收集:T1560.001通过程序压缩的检测
  • 第7章 不同形式的攻击模拟
  • 7.1 基于红蓝对抗的全流程攻击模拟
  • 7.1.1 模拟攻击背景
  • 7.1.2 模拟攻击流程
  • 7.2 微模拟攻击的概述与应用
  • 7.2.1 微模拟攻击计划概述
  • 7.2.2 微模拟攻击的应用
  • 第三部分 ATT&CK场景与工具篇
  • 第8章 ATT&CK应用工具与应用项目
  • 8.1 ATT&CK四个关键项目工具
  • 8.1.1 Navigator项目
  • 8.1.2 CARET项目
  • 8.1.3 TRAM项目
  • 8.1.4 Workbench项目
  • 8.2 ATT&CK实践应用项目
  • 8.2.1 红队使用项目
  • 8.2.2 蓝队使用项目
  • 8.2.3 CTI团队使用
  • 8.2.4 CSO使用项目
  • 第9章 ATT&CK四大实践场景
  • 9.1 ATT&CK的四大使用场景
  • 9.1.1 威胁情报
  • 9.1.2 检测分析
  • 9.1.3 模拟攻击
  • 9.1.4 评估改进
  • 9.2 ATT&CK实践的常见误区
  • 第四部分 ATT&CK运营实战篇
  • 第10章 数据源是应用ATT&CK的前提
  • 10.1 当前ATT&CK数据源急需解决的问题
  • 10.1.1 定义数据源
  • 10.1.2 标准化命名语法
  • 10.1.3 确保平台一致性
  • 10.2 改善ATT&CK数据源的使用情况
  • 10.2.1 利用数据建模
  • 10.2.2 通过数据元素定义数据源
  • 10.2.3 整合数据建模和攻击者建模
  • 10.2.4 扩展ATT&CK数据源对象
  • 10.2.5 使用数据组件扩展数据源
  • 10.3 ATT&CK数据源的标准化定义与运用示例
  • 10.3.1 改进进程监控
  • 10.3.2 改进Windows事件日志
  • 10.3.3 子技术用例
  • 10.4 数据源在安全运营中的运用
  • 第11章 MITRE ATT&CK映射实践
  • 11.1 将事件报告映射到MITRE ATT&CK
  • 11.2 将原始数据映射到MITRE ATT&CK
  • 11.3 映射到MITRE ATT&CK时的常见错误与偏差
  • 11.4 通过MITRE ATT&CK编写事件报告
  • 11.5 ATT&CK for ICS的映射建议
  • 第12章 基于ATT&CK的安全运营
  • 12.1 基于ATT&CK的运营流程
  • 12.1.1 知己:分析现有数据源缺口
  • 12.1.2 知彼:收集网络威胁情报
  • 12.1.3 实践:分析测试
  • 12.2 基于ATT&CK的运营评估
  • 12.2.1 将ATT&CK应用于SOC的步骤
  • 12.2.2 将ATT&CK应用于SOC的技巧
  • 第13章 基于ATT&CK的威胁狩猎
  • 13.1 ATT&CK让狩猎过程透明化
  • 13.2 基于TTPs的威胁狩猎
  • 13.2.1 检测方法和数据类型分析
  • 13.2.2 威胁狩猎的方法实践
  • 13.3 基于重点战术的威胁狩猎
  • 13.3.1 内部侦察的威胁狩猎
  • 13.3.2 持久化的威胁狩猎
  • 13.3.3 横向移动的威胁狩猎
  • 第14章 多行业的威胁狩猎实战
  • 14.1 金融行业的威胁狩猎
  • 14.2 企业机构的威胁狩猎
  • 第五部分 ATT&CK生态篇
  • 第15章 攻击行为序列数据模型 Attack Flow
  • 15.1 Attack Flow的组成要素
  • 15.2 Attack Flow用例
  • 15.3 Attack Flow的使用方法
  • 第16章 主动作战框架MITRE Engage
  • 16.1 MITRE Engage介绍
  • 16.1.1 详解MITRE Engage矩阵结构
  • 16.1.2 MITRE Engage与MITRE ATT&CK的映射关系
  • 16.1.3 Engage与传统网络阻断、网络欺骗间的关系
  • 16.2 MITRE Engage矩阵入门实践
  • 16.2.1 如何将Engage矩阵整合到企业网络战略中来
  • 16.2.2 Engage实践的四要素
  • 16.2.3 Engage实践落地流程:收集、分析、确认、实施
  • 16.2.4 对抗作战实施:10步流程法
  • 第17章 ATT&CK测评
  • 17.1 测评方法
  • 17.2 测评流程
  • 17.3 测评内容
  • 17.3.1 ATT&CK for Enterprise测评
  • 17.3.2 ATT&CK for ICS测评
  • 17.3.3 托管服务测评
  • 17.3.4 欺骗类测评
  • 17.4 测评结果
  • 17.5 总结
  • 附录A ATT&CK战术及场景实践
  • 附录B ATT&CK版本更新情况
展开全部

评分及书评

评分不足
1个评分

出版方

电子工业出版社

电子工业出版社成立于1982年10月,是国务院独资、工信部直属的中央级科技与教育出版社,是专业的信息技术知识集成和服务提供商。经过三十多年的建设与发展,已成为一家以科技和教育出版、期刊、网络、行业支撑服务、数字出版、软件研发、软科学研究、职业培训和教育为核心业务的现代知识服务集团。出版物内容涵盖了电子信息技术的各个分支及工业技术、经济管理、科普与少儿、社科人文等领域,综合出版能力位居全国出版行业前列。