防患未然：實施情報先導的信息安全方法與實踐

目錄　
譯者序
前　言
第1章　理解威脅 1
1.1　引言 1
1.2　網絡安全簡史 2
1.2.1　Morris蠕蟲 2
1.2.2　防火墻 3
1.2.3　入侵檢測系統(tǒng) 4
1.2.4　臺式機 5
1.2.5　郵件過濾器和代理 7
1.2.6　分布式拒絕服務攻擊 10
1.2.7　統(tǒng)一威脅管理 11
1.3　理解當前的威脅 12
1.3.1　惡意軟件行業(yè) 13
1.3.2　惡意軟件商品化 15
1.3.3　攻擊之王—網絡釣魚 17
1.3.4　攻擊面正在擴大 19
1.3.5　云的興起 21
1.4　即將出現的威脅 22
1.5　小結 24
1.6　參考書目 24
第2章　什么是情報 27
2.1　引言 27
2.2　情報的定義 28
2.3　情報循環(huán) 29
2.4　情報類型 33
2.5　專業(yè)分析師 34
2.6　拒止與欺騙 38
2.7　古往今來的情報 40
2.7.1　孫子 41
2.7.2　凱撒大帝 43
2.7.3　喬治·華盛頓 44
2.7.4　布萊奇利莊園 45
2.8　小結 47
2.9　參考書目 47
第3章　構建網絡安全情報模型 49
3.1　引言 49
3.2　網絡威脅情報的定義 50
3.3　攻擊剖析 51
3.4　從不同的角度接近網絡攻擊 55
3.5　在安全工作流中加入情報生命期 60
3.5.1　情報是有活力的 62
3.5.2　一圖勝千言 63
3.6　自動化 65
3.7　小結 68
3.8　參考書目 68
第4章　收集數據 69
4.1　引言 69
4.2　連續(xù)監(jiān)控框架 70
4.3　NIST網絡安全框架 73
4.3.1　框架核心 73
4.3.2　框架實施層次 75
4.3.3　框架配置文件 78
4.4　安全性+情報 79
4.5　安全性的業(yè)務方面 82
4.6　規(guī)劃分階段方法 85
4.6.1　目標 85
4.6.2　初始評估 85
4.6.3　分析當前安全狀態(tài) 87
4.6.4　進入下一階段 89
4.7　小結 90
4.8　參考書目 90
第5章　內部情報來源 93
5.1　引言 93
5.2　資產、漏洞和配置管理 94
5.3　網絡日志記錄 101
5.3.1　SIEM帶來的麻煩 102
5.3.2　SIEM的能力 105
5.3.3　托管安全服務提供商 108
5.3.4　訪問控制 110
5.4　網絡監(jiān)控 111
5.5　小結 114
5.6　參考書目 115
第6章　外部情報來源 117
6.1　引言 117
6.2　品牌監(jiān)控與情報的對比 118
6.3　資產、漏洞和配置管理 121
6.4　網絡日志記錄 127
6.4.1　作為中心點的IP地址 129
6.4.2　作為中心點的域名 133
6.4.3　作為中心點的文件散列 137
6.4.4　以MSSP警報為中心 140
6.5　網絡監(jiān)控 141
6.6　防范零日攻擊 143
6.7　事故響應和情報 146
6.8　協(xié)作式威脅研究 147
6.9　小結 148
6.10　參考書目 149
第7章　融合內部和外部情報 151
7.1　引言 151
7.2　安全意識培訓 152
7.3　OpenIOC、CyBOX、STIX和TAXII 156
7.3.1　OpenIOC 156
7.3.2　CyBOX 157
7.3.3　STIX和TAXII 159
7.4　威脅情報管理平臺 161
7.5　大數據安全分析 166
7.6　小結 168
7.7　參考書目 169
第8章　CERT、ISAC和情報共享社區(qū) 171
8.1　引言 171
8.2　CERT和CSIRT 172
8.2.1　CERT/協(xié)調中心 173
8.2.2　US-CERT和***CSIRT 174
8.2.3　公司級CSIRT 175
8.3　ISAC 176
8.4　情報共享社區(qū) 182
8.5　小結 185
8.6　參考書目 185
第9章　高級情報能力 187
9.1　引言 187
9.2　惡意軟件分析 188
9.2.1　為什么這是個壞主意 188
9.2.2　建立惡意軟件實驗室 189
9.3　蜜罐 199
9.3.1　為什么這是個壞主意 200
9.3.2　蜜罐的布設 201
9.3.3　建立計劃 202
9.3.4　蜜罐類型 203
9.3.5　選擇蜜罐 204
9.4　入侵誘騙 206
9.4.1　為什么這是個壞主意 206
9.4.2　入侵誘騙的工作原理 207
9.5　小結 208
9.6　參考書目 208