书籍详情
![《ATT&CK框架实践指南张福》[20M]百度网盘|亲测有效|pdf下载](/uploads/2024-01-20/88a7d0280e9c26c2.jpg)
ATT&CK框架实践指南张福
- 出版社:古韵图书专营店
- 热度:12238
- 上架时间:2024-06-30 09:38:03
- 价格:0.0
书籍下载
书籍预览
免责声明
本站支持尊重有效期内的版权/著作权,所有的资源均来自于互联网网友分享或网盘资源,一旦发现资源涉及侵权,将立即删除。希望所有用户一同监督并反馈问题,如有侵权请联系站长或发送邮件到ebook666@outlook.com,本站将立马改正
内容介绍
| 商品基本信息,请以下列介绍为准 | |
| 商品名称: | ATT&CK框架实践指南 |
| 作者: | 张福 |
| 定价: | 148.0 |
| 出版社: | 电子工业出版社 |
| 出版日期: | 2022-01-01 |
| ISBN: | 9787121424359 |
| 印次: | 1 |
| 版次: | 1 |
| 装帧: | |
| 开本: | 16开 |
| 内容简介 | |
| 过去,入侵检测能力的度量是个公认的行业难题,各个企业得负责人每年在入侵防护上都投入大量费用,但几乎没有人能回答CEO 的问题:"买了这么多产品,我们的入侵防御和检测能力到底怎么样,能不能防住黑客?”。这个问题很难回答,核心原因是缺乏一个明确的、可衡量、可落地的标准。所以,防守方对于入侵检测通常会陷入不可知和不确定的状态中,既说不清自己的能力高低,也无法有效弥补自己的短板。 Mitre ATT&CK 的出现解决了这个行业难题。它给了我们一把尺子,让我们可以用统一的标准去衡量自己的防御和检测能力。ATT&CK并非一个学院派的理论框架,而是来源于实战。从业者们在长期的攻防对抗,攻击溯源,攻击手法分析的过程中,逐渐提结,形成了实用性强、可落地、说得清道得明的体系框架。这个框架是的、充满生命力的,而且具备高的使用价值。 青藤是一家专注于前沿技术研究的网络公司,自2017年开始关注ATT&CK,经过多年系统性的研究、学习和探索,积累了相对比较成熟和系统化的资料,涵盖了ATT&CK 的设计思想、核心架构、应用场景、技术复现、对抗实践、指标评估等多方面的内容。研究越深入,愈发意识到Mitre ATT&CK 可以为行业带来的贡献。因此编写本书,作为ATT&CK 系统性学习材料,希望让更多的人了解ATT&CK,学理论体系,提升防守方的技术,加强攻防对抗能力。也欢迎大家一起加入到研究中,为这个体系的完善贡献一份力量。 |
| 目录 | |
| 部分 ATT&CK入门篇 第1章 潜心开始MITRE ATT&CK之旅 2 1.1 MITRE ATT&CK是什么 3 1.1.1 MITRE ATT&CK框架概述 4 1.1.2 ATT&CK框架背后的哲学 9 1.1.3 ATT&CK框架与Kill Chain模型的对比 11 1.1.4 ATT&CK框架与痛苦金字塔模型的关系 13 1.2 ATT&CK框架的对象关系介绍 14 1.3 ATT&CK框架实例说明 18 1.3.1 ATT&CK战术实例 18 1.3.2 ATT&CK技术实例 31 1.3.3 ATT&CK子技术实例 34 第2章 新场景示例:针对容器和Kubernetes的ATT&CK攻防矩阵 38 2.1 针对容器的ATT&CK攻防矩阵 39 2.1.1 执行命令行程 40 2.1.2 植入恶意镜像实现持久化 41 2.1.3 通过容器逃逸实现权限提升 41 2.1.4 绕过或禁用防御机制 41 2.1.5 基于容器API获取权限访问 42 2.1.6 容器资源发现 42 2.2 针对Kubernetes的攻防矩阵 42 2.2.1 通过漏洞实现对Kubernetes的初始访问 43 2.2.2 恶意代码执行 44 2.2.3 持久化访问权限 45 2.2.4 获取更高访问权限 46 2.2.5 隐藏踪迹绕过检测 47 2.2.6 获取各类凭证 48 2.2.7 发现环境中的有用资源 49 2.2.8 在环境中横向移动 50 2.2.9 给容器化环境造成危害 51 第3章 数据源:ATT&CK应用实践的前提 52 3.1 当前ATT&CK数据源利用急需解决的问题 53 3.1.1 制定数据源定义 54 3.1.2 标准化命名语法 54 3.1.3 确台一致性 57 3.2 升级ATT&CK数据源的使用情况 59 3.2.1 利用数据建模 59 3.2.2 通过数据元素定义数据源 61 3.2.3 整合数据建模和攻击者建模 62 3.2.4 将数据源作为对象集成到ATT&CK框架中 62 3.2.5 扩展ATT&CK数据源对象 63 3.2.6 使用数据组件扩展数据源 64 3.3 ATT&CK数据源的运用示例 65 3.3.1 程监控 65 3.3.2 Windows事件日志 70 3.3.3 子技术用例 73 第二部分 ATT&CK提高篇 第4章 十大攻击组织和恶意软件的分析与检测 78 4.1 TA551攻击行为的分析与检测 79 4.2 漏洞利用工具Cobalt Strike的分析与检测 81 4.3 银行木马Qbot的分析与检测 83 4.4 银行木马lcedlD的分析与检测 84 4.5 凭证转储工具Mimikatz的分析与检测 86 4.6 恶意软件Shlayer的分析与检测 88 4.7 银行木马Dridex的分析与检测 89 4.8 银行木马Emotet的分析与检测 91 4.9 银行木马TrickBot的分析与检测 92 4.10 蠕虫病毒Gamarue的分析与检测 93 第5章 十大高频攻击技术的分析与检测 95 5.1 命令和脚本解析器(T1059)的分析与检测 96 5.1.1 PowerShell(T1059.001)的分析与检测 96 5.1.2 Windows Cmd Shell(T1059.003)的分析与检测 98 5.2 利用已签名制文件代理执行(T1218)的分析与检测 100 5.2.1 Rundll32(T1218.011)的分析与检测 100 5.2.2 Mshta(T1218.005)的分析与检测 104 5.3 创建或修改系程(T1543)的分析与检测 108 5.4 计划任务/作业(T1053)的分析与检测 111 5.5 OS凭证转储(T1003)的分析与检测 114 5.6 程注入(T1055)的分析与检测 117 5.7 混淆文件或信息(T1027)的分析与检测 120 5.8 入口工具转移(T1105)的分析与检测 122 5.9 系统服务(T1569)的分析与检测 124 5.10 伪装(T1036)的分析与检测 126 第6章 红队视角:典型攻击技术的复现 129 6.1 基于本地账户的初始访问 130 6.2 基于WMI执行攻击技术 131 6.3 基于浏览器插件实现持久化 132 6.4 基程注入实现提权 134 6.5 基于Rootkit实现防御绕过 135 6.6 基于破解获得凭证访问权限 136 6.7 基于操作系统程序发现系统服务 138 6.8 基于SMB实现横向移动 139 6.9 自动化收集内网数据 141 6.10 通过命令与控制通道传递攻击载荷 142 6.11 窃取数据 143 6.12 通过停止服务造成危害 144 第7章 蓝队视角:攻击技术的检测示例 145 7.1 执行:T1059命令和脚本解释器的检测 146 7.2 持久化:T1543.003创建或修改系程(Windows服务)的检测 147 7.3 权限提升:T1546.015组件对象模型劫持的检测 149 7.4 防御绕过:T1055.001 DLL注入的检测 150 7.5 凭证访问:T1552.002注册表中的凭证的检测 152 7.6 发现:T1069.002域用户组的检测 153 7.7 横向移动:T1550.002哈希传递攻击的检测 154 7.8 收集:T1560.001通过程序压缩的检测 155 第三部分 ATT&CK实践篇 第8章 ATT&CK应用工具与项目 158 8.1 ATT&CK三个关键工具 159 8.1.1 ATT&CK Navigator项目 159 8.1.2 ATT&CK的CARET项目 161 8.1.3 TRAM项目 162 8.2 ATT&CK实践应用项目 164 8.2.1 红队使用项目 164 8.2.2 蓝队使用项目 167 8.2.3 CTI团队使用 169 8.2.4 CSO使用项目 173 第9章 ATT&CK场景实践 175 9.1 ATT&CK的四大使用场景 178 9.1.1 威胁情报 178 9.1.2 检测分析 181 9.1.3 模拟攻击 183 9.1.4 评估 186 9.2 ATT&CK实践的常见误区 190 第10章 基于ATT&CK的运营 193 10.1 基于ATT&CK的运营流程 195 10.1.1 知彼:收集网络威胁情报 195 10.1.2 知己:分析现有数据源缺口 196 10.1.3 实践:分析测试 197 10.2 基于ATT&CK的运营实践 200 10.2.1 将ATT&CK应用于SOC的步骤 200 10.2.2 将ATT&CK应用于SOC的技巧 204 10.3 基于ATT&CK的模拟攻击 206 10.3.1 模拟攻击背景 206 10.3.2 模拟攻击流程 207 第11章 基于ATT&CK的威胁狩猎 218 11.1 威胁狩猎的开源项目 219 11.1.1 Splunk App Threat Hunting 220 11.1.2 HELK 222 11.2 ATT&CK与威胁狩猎 224 11.2.1 3个未知的问题 224 11.2.2 基于TTP的威胁狩猎 226 11.2.3 ATT&CK让狩猎过程透明化 228 11.3 威胁狩猎的行业实战 231 11.3.1 金融行业的威胁狩猎 231 11.3.2 企业机构的威胁狩猎 239 第四部分 ATT&CK生态篇 第12章 MITRE Shield主动防御框架 246 12.1 MITRE Shield背景介绍 247 12.2 MITRE Shield矩阵模型 249 12.2.1 主动防御战术 250 12.2.2 主动防御技术 252 12.3 MITRE Shield与ATT&CK的映射 253 12.4 MITRE Shield使用入门 254 12.4.1 Level 1示例 255 12.4.2 Level 2示例 257 12.4.3 Level 3示例 258 第13章 ATT&CK测评 259 13.1 测评方法 260 13.2 测评流程 262 13.3 测评内容 264 13.4 测评结果 266 附录A ATT&CK战术及场景实践 271 附录B ATT&CK攻击与SHIELD防御映射图 292 |
| 媒体评论 | |
| 领域首著,工程院院士携国家信息中心|信息标准化委员会|部||国家互联网应急中心安集团|中通快递|杭州安恒|绿盟科技负集体力荐 √ 介绍ATT&CK在威胁情报、检测分析、模拟攻击、评估等方面的工具与应用,给出有效防御措施建议。 √ 本书体系框架来源于长期攻防对抗、攻击溯源、攻击手法分析的实战过程,实用性强、可落地、说得清、道得明。 √ 攻击视角下的战术与技术知识库,帮助企业开发、组织和使用基于威胁信息的防御策略及评估网络防御能力差距。 √ 构建较细粒度的攻击行为模型和更易共享的抽象框架,可用于攻击与防御能力评估、APT情报分析及攻防演练等。 随着互联网形势日益严峻,网络已上升为国家战略,其重要性也日益提升。对此,网络从业者承担的责任和压力与日俱增,不仅要脚踏实地确保现有网络系统的正常运行,更要关注前沿技术的研究与创新,应对未来可能的网络风险。本书是国内首度聚焦ATT&CK框架的读物,希望它能对网络从业一步了解、认识、使用ATT&CK框架提供帮助。 李新友 国家信息中心首席工程师 《信息研究》社长 ATT&CK框架来源于实战,是从业者们在长期攻防对抗、攻击溯源、攻击手法分析的过程中,提结形成的实用性强、可落地、说得清、道得明的体系框架。ATT&CK提供了一套多个组织机构和企业迫切需要的共识标准、共享情报、同语境沟通、操作性强等防御的方法论和实战场景。同时,它的出现也给了从业者一把尺子,可以用统一的标准去衡量网络经营主体的防御效果和发现威胁的能力,这种实用性防御方法和体系框架值得网络业内的专业人士深入研究与实践。本书作为青藤云多年的研究成果,由浅入深地对ATT&CK技术和框架从入门篇到提高篇,从实践篇到生态篇,结合附录的战术及场景实践,详细介绍了攻击事件复现、利用ATT&CK框架提升企业防护手段等技术,值得从业者深入研读。。 李京春 国家信息技术研究中心工程师 中国技术与认证中心 中央党政云审查专家组副组长 全国信息标准化技术委员会(TC260)评估组组长 ATT&CK框架作为攻击视角下的战术与技术知识库,不仅能有效帮助企业开发、组织和使用基于威胁信息的防御策略,还为企业评估网络防御能力差距提供了一个有用的工具。青藤云凭借多年的ATT&CK研究与实践,围绕多个维度编制本书,为我国网络从业人员更加深入了解、引用ATT&CK框架提供了一把“钥匙”。 顾健 部第三研究员/一级警监 国家网络与信息系统产品检验检测中心副主任 ATT&CK既是网络攻防对抗的战术和技术知识库,也可以是分析一系列攻击行为组织属性的技术基础,还可以是评估一个组织能力态势的框架基础,年来发展快、热度极高的网络对抗技术框架。青藤云公司作为网络领域技术创新领军企业的代表,很早就开始研究ATT&CK技术,此次出版的《ATT&CK框架实践指南》对于ATT&CK初学者入门,或有一定基础的网络工作一步做到“知己知彼”、提升网络防护能力提供了重要参考资料。 严寒冰 国家互联网应急中心处长 MITRE ATT&CK自2015年发布至今,一方面得到业界广泛的关注和青睐,另一方面迭代更新了十个版本,攻防技战术知识体系内容不断扩展,庞大到难以透彻地学习和掌握。青藤云公司在自身研究与实践的基础上编写了这本书,为业界学习和掌握MITRE ATT&CK框架和体系,提供了从入门阶、从实践到生态的循序的指引,对组织和个人系统地提升攻防对抗能力也具有十分重要的帮助。 陈钟 北京大学教授 网络与信息实验室主任 张福、胡俊、程度三位年轻作者,来自国内网络新锐青藤云,有多年网络一线服务和实战经验,对ATT&CK有着丰富经验、案例和实践感悟,并愿意把自己使用ATT&CK的经验整理成书,分享给更多网络爱好者,这种分享精神值得学习。本书从ATT&CK框架入门,到核心架构、应用场景、技术复现、对抗实践、指标评估等多个层面做了深度解析,通过阅读本书能够帮助运营者、网络服务者,以及从业者深入、系统、全面地了解、认识和使用ATT&CK框架网络实战模型,不断提升网络防护体系及运营能力。ATT&CK框架是一种不断持续更新的对抗战术和技术知识库,其涵盖了几十种攻击战术和上百种攻击技术,这些技术也适合网络高年级的学生学习和实践,对网络人才培养将大有益处。 封化民 高等学校网络专业教指委秘书长 ATT&CK构建了一套较细粒度的攻击行为模型和更易共享的抽象框架,可用于攻击与防御能力评估、APT情报分析及攻防演练等。本书对ATT&CK框行深度解析,给出了实例分析,列举场景实践项目,利于读者研习,可供网络空间、信息等专业的教学、科研、应用人员参考使用。 罗森林 北京理工大学信息与电子学院教授 随着企业面临的网络空间威胁越来越多、监管合规的要求越来越高,企业在信息方面投入越来越多,在基础体系建设初见成效后,更加关注企业实战攻防能力的建设,入侵防御和检测能力则是其中重要的一部分。ATT&CK在这一领域是很有借鉴意义的:一方面ATT&CK可以有效地体系化衡量入侵防御和检测能力而指引企业在薄弱领行提高;另一方面也可以指导蓝军更加全面系统地开展工作,制定研究路线,不断提高攻击能力。本书不仅由浅入深地介绍了ATT&CK框架技术,还从实践和生态的角度展开论述。对于企业网络建设而言,有着不错的参考价值。 陈建 安集团首监 该指南值得甲方朋友研读。本书提供了一个建立防御体系的全局视角,不仅有经过精心提炼的方法论,还有具体的战术、知识库、开源工具、生态项目和数据集的构建及分析方法,难能可贵的是以上内容在线上都是免费开源且保持更新的,如已发布容器和K8S的攻防矩阵,而这一切又都是从攻击视角经过实践检验的经验沉淀,可以帮助甲方有效评估自身的建设成熟度及查漏补缺。 伏明明 中通快递信息负责人 在整个行业,鲜有集实战应用与理论指导于一身的ATT&CK框架相关图书,本书的出现很好地填补了这一空白:该书由浅入深地向读者介绍了ATT&CK框架体系及其在战略战术上的指导意义,其第二部分第六、第七章关于红队视角及蓝队视角尤为精彩,攻防切换,视角互转,能够真切地感受到红蓝对抗及“军备”升级的过程中散发出的无声的硝烟。除此之外,还有关于APT组织常用的恶意软件分析及高频攻击手法分析,基于运营场景如何有效应用ATT&CK框架,基于SO行蓝军视角的实战堪称经典。对于阅读这本书的从业者来讲,可谓是一场饕餮盛宴,对于初入行业和有志于从事行业的读者,在构建及完善自我知识框架体系方面会给予极大地帮助。 袁明坤 杭州安恒信息技术股份有限公司高级裁 ATT&CK自面世伊始就引起了业界的关注,目前仍在不断和完善中。本书深入浅出,介绍了ATT&CK的背景与框架,从实战入手,给出了基于ATT&CK技术的主流攻击组织、恶意软件的攻击手段和相应检测机制。如果希望了解如何利用ATT&CK技术评估第三方厂商方案的能力或提升运营和威胁狩猎中的检测防护效率,本书将是一个很好的选择。 刘文懋 绿盟科技 |
| 作者简介 | |
| 张福,青藤云创始人、CEO。毕业于同济大学,专注于前沿技术研究,在攻防领域有超过 15 年的探索和实践。曾先后在国内多家知名互联网企业,如第九城市、盛大网络、昆仑万维,担任技术和业务负责人。目前,张福拥有 10 余项自主知识产权发明专利,30 余项软件著作权。荣获“改革开放 40 年网络领物”、“中关村高端领才”、“中关村创业之星”等称号。 |