資產(chǎn)攻擊向量

第 1章 攻擊鏈 1
第 2章 漏洞形勢 3
2.1　漏洞 3
2.2　配置 5
2.3　漏洞利用 6
2.4　誤報 6
2.5　漏報 7
2.6　惡意軟件 8
2.7　社交工程 8
2.8　網(wǎng)絡(luò)釣魚 11
2.8.1　好奇害死貓 11
2.8.2　不會有事的 12
2.8.3　您知道他們從字典上刪去了“輕信”二字嗎 13
2.8.4　這不會發(fā)生在我身上 13
2.8.5　如何確定您收到的電子郵件是不是一次網(wǎng)絡(luò)釣魚攻擊 13
2.9　勒索軟件 14
2.10　內(nèi)部人員威脅 16
2.11　外部威脅 19
2.12　漏洞披露 20
第3章 威脅情報 23
第4章 憑據(jù)資產(chǎn)風(fēng)險 27
第5章 漏洞評估 29
5.1　主動漏洞掃描 29
5.2　被動掃描程序 29
5.3　侵入式漏洞掃描 30
5.4　非侵入式掃描 31
5.5　漏洞掃描的局限性與不足 32
第6章 配置評估 33
6.1　法規(guī) 33
6.2　框架 34
6.3　基準(zhǔn) 34
6.4　配置評估工具 34
6.5　SCAP 36
第7章 風(fēng)險度量 38
7.1　CVE 40
7.2　CVSS 41
7.3　STIG 42
7.4　OVAL 43
7.5　IAVA 44
第8章 漏洞狀態(tài) 45
8.1　根據(jù)狀態(tài)確定漏洞風(fēng)險 46
8.2　漏洞的三種狀態(tài) 47
8.2.1　活躍漏洞 48
8.2.2　休眠漏洞 48
8.2.3　潛在漏洞 48
8.2.4　狀態(tài)優(yōu)先級排序 49
第9章 漏洞權(quán)威機構(gòu) 51
第 10章 滲透測試 52
第 11章 修復(fù)措施 56
11.1　微軟 56
11.2　蘋果 57
11.3　思科 58
11.4　谷歌 59
11.5　甲骨文 59
11.6　Red Hat 60
11.7　Adobe 60
11.8　開源產(chǎn)品 61
11.9　其他各方 62
第 12章 漏洞管理計劃 63
12.1　設(shè)計 64
12.2　開發(fā) 64
12.3　部署 64
12.4　運營 65
12.5　成熟度 65
12.6　成熟度分類 66
12.7　描述 67
第 13章 漏洞管理設(shè)計 68
13.1　爬、走、跑和沖刺 69
13.2　落實今天的工作，為明天做計劃 70
13.3　一切出于商業(yè)價值 70
第 14章 漏洞管理開發(fā) 72
14.1　漏洞管理范圍 73
14.1.1　操作系統(tǒng) 73
14.1.2　客戶端應(yīng)用 74
14.1.3　Web應(yīng)用 74
14.1.4　網(wǎng)絡(luò)設(shè)備 76
14.1.5　數(shù)據(jù)庫 76
14.1.6　平面文件數(shù)據(jù)庫 76
14.1.7　虛擬機管理器 78
14.1.8　IaaS和PaaS 78
14.1.9　移動設(shè)備 79
14.1.10　IoT 81
14.1.11　工業(yè)控制系統(tǒng)（ICS）和SCADA 81
14.1.12　DevOps 82
14.1.13　Docker與容器 83
14.1.14　代碼評審 83
14.1.15　工具選擇 84
14.2　漏洞管理流程 85
14.2.1　評估 86
14.2.2　度量 86
14.2.3　修復(fù) 87
14.2.4　沖洗和重復(fù)（循環(huán)） 87
14.2.5　生命周期終止 87
14.3　漏洞生命周期中的常見錯誤 88
14.3.1　錯誤1：漏洞管理脫節(jié) 88
14.3.2　錯誤2：僅依賴遠程評估 89
14.3.3　錯誤3：0day漏洞沒有得到保護 90
14.3.4　錯誤4：分散的可見性 90
14.3.5　錯誤5：為了合規(guī)犧牲安全 91
14.4　常見的挑戰(zhàn) 91
14.4.1　老化的基礎(chǔ)設(shè)施 92
14.4.2　計劃的深度與廣度 92
14.5　制定計劃 93
14.5.1　步驟1：要評估什么 93
14.5.2　步驟2：評估配置 93
14.5.3　步驟3：評估頻率 94
14.5.4　步驟4：確定所有權(quán) 94
14.5.5　步驟5：數(shù)據(jù)與風(fēng)險優(yōu)先級排序 95
14.5.6　步驟6：報告 95
14.5.7　步驟7：修復(fù)管理 96
14.5.8　步驟8：驗證與度量 96
14.5.9　步驟9：第三方集成 97
第 15章 漏洞管理部署 98
15.1　方法1：僅針對關(guān)鍵和高風(fēng)險漏洞 98
15.2　方法2：統(tǒng)計抽樣 99
15.3　方法3：根據(jù)業(yè)務(wù)功能針對性掃描 100
15.4　團隊溝通 101
15.5　網(wǎng)絡(luò)掃描程序 104
15.5.1　防火墻 105
15.5.2　IPS/IDS 105
15.5.3　封包整形 106
15.5.4　QoS 107
15.5.5　Tarpit 107
15.5.6　蜜罐 107
15.5.7　認證 108
15.5.8　空會話 109
15.5.9　憑據(jù) 109
15.5.10　權(quán)限集成 110
15.6　代理 112
15.7　第三方集成 113
15.8　補丁管理 114
15.9　虛擬補丁 115
15.10　威脅檢測 115
15.11　持續(xù)監(jiān)控 116
15.12　性能 117
15.12.1　線程 118
15.12.2　完成時間 119
15.12.3　帶寬 120
15.12.4　端口 120
15.12.5　掃描窗口 121
15.12.6　掃描池化 121
15.12.7　目標(biāo)隨機化 121
15.12.8　容錯 122
15.12.9　掃描程序鎖定 123
第 16章 漏洞管理運營 124
16.1　發(fā)現(xiàn) 125
16.2　分析 125
16.3　報告 126
16.4　修復(fù) 126
16.5　度量 127
第 17章 漏洞管理架構(gòu) 128
第 18章 漏洞管理計劃示例 131
18.1　漏洞管理解決方案與修復(fù)的服務(wù)等級 131
18.2　漏洞掃描目標(biāo) 132
18.3　漏洞掃描頻率/計劃 132
18.4　漏洞報告 133
18.5　修復(fù)管理 134
18.6　例外管理 135
18.7　排除在評估之外 137
第 19章 合規(guī)性 138
第 20章 風(fēng)險管理框架 141
第 21章 讓一切都真的發(fā)揮作用 144
21.1　知道您的網(wǎng)絡(luò)上有什么 144
21.2　自動化憑據(jù)掃描 146
21.3　找出潛藏在陰影之中的東西 146
21.4　清晰看待數(shù)據(jù) 148
21.5　找出威脅中的軟目標(biāo) 149
21.6　注意您的漏洞缺口 150
21.7　統(tǒng)一漏洞與權(quán)限情報 150
21.8　威脅分析 151
21.9　合理化補丁流程 151
21.10　共享和協(xié)作 153
第 22章 實戰(zhàn)故事 155
22.1　丟失的企業(yè)客戶 155
22.2　只是一場勝利 157
22.3　太多了，無法管理 159
22.4　過時 160
22.5　復(fù)雜的才是最好的 161
22.6　棄賽 162
22.7　聆聽技巧 163
22.8　承包商 164
22.9　流氓設(shè)備 165
22.10　大魚 166
22.11　所有機器都被Rootkit控制了 167
22.12　不是唯一 168
22.13　我最喜歡的故事 168
22.14　有多少個B類網(wǎng)絡(luò) 169
22.15　來自地獄的博客 170
22.16　漂亮的門戶，寶貝 171
22.17　網(wǎng)上銀行 172
22.18　謊言 173
22.19　說到比較 174
22.20　理清事實 175
22.21　保形涂層 176
22.22　依賴性 177
22.23　軼聞趣事 179
第 23章 最后的建議 181
第 24章 結(jié)語 183
附錄A 請求建議書（RFP）示例 184
附錄B 請求建議書（RFP）數(shù)據(jù)表格 206