ATT&CK框架實踐指南

定　價：￥148.00

作　者：	張福等著
出版社：	電子工業(yè)出版社
叢編項：
標　簽：	暫缺

購買這本書可以去

ISBN：	9787121424359	出版時間：	2021-11-01	包裝：
開本：	16開	頁數(shù)：		字數(shù)：

內(nèi)容簡介

　　過去，入侵檢測能力的度量是個公認的行業(yè)難題，各個企業(yè)得安全負責(zé)人每年在入侵防護上都投入大量費用，但幾乎沒有人能回答CEO 的問題："買了這么多產(chǎn)品，我們的入侵防御和檢測能力到底怎么樣，能不能防住黑客？”。這個問題很難回答，核心原因是缺乏一個明確的、可衡量、可落地的標準。所以，防守方對于入侵檢測通常會陷入不可知和不確定的狀態(tài)中，既說不清自己的能力高低，也無法有效彌補自己的短板。 Mitre ATT＆CK 的出現(xiàn)解決了這個行業(yè)難題。它給了我們一把尺子，讓我們可以用統(tǒng)一的標準去衡量自己的防御和檢測能力。ATT＆CK并非一個學(xué)院派的理論框架，而是來源于實戰(zhàn)。安全從業(yè)者們在長期的攻防對抗，攻擊溯源，攻擊手法分析的過程中，逐漸提煉總結(jié)，形成了實用性強、可落地、說得清道得明的體系框架。這個框架是先進的、充滿生命力的，而且具備非常高的使用價值。青藤是一家專注于前沿技術(shù)研究的網(wǎng)絡(luò)安全公司，自2017年開始關(guān)注ATT＆CK，經(jīng)過多年系統(tǒng)性的研究、學(xué)習(xí)和探索，積累了相對比較成熟和系統(tǒng)化的資料，涵蓋了ATT＆CK 的設(shè)計思想、核心架構(gòu)、應(yīng)用場景、技術(shù)復(fù)現(xiàn)、對抗實踐、指標評估等多方面的內(nèi)容。研究越深入，愈發(fā)意識到Mitre ATT＆CK 可以為行業(yè)帶來的貢獻。因此編寫本書，作為ATT＆CK 系統(tǒng)性學(xué)習(xí)材料，希望讓更多的人了解ATT＆CK，學(xué)習(xí)先進的理論體系，提升防守方的技術(shù)水平，加強攻防對抗能力。也歡迎大家一起加入到研究中，為這個體系的完善貢獻一份力量。

作者簡介

　　張福張福，青藤云安全創(chuàng)始人、CEO。畢業(yè)于同濟大學(xué)，專注于前沿技術(shù)研究，在安全攻防領(lǐng)域有超過 15 年的探索和實踐。曾先后在國內(nèi)多家知名互聯(lián)網(wǎng)企業(yè)，如第九城市、盛大網(wǎng)絡(luò)、昆侖萬維，擔(dān)任技術(shù)和業(yè)務(wù)安全負責(zé)人。目前，張福擁有 10 余項自主知識產(chǎn)權(quán)發(fā)明專利，30 余項軟件著作權(quán)。榮獲“改革開放 40 年網(wǎng)絡(luò)安全領(lǐng)軍人物”、“中關(guān)村高端領(lǐng)軍人才”、“中關(guān)村創(chuàng)業(yè)之星”等稱號。程度程度，青藤云安全聯(lián)合創(chuàng)始人、COO。畢業(yè)于首都師范大學(xué)，擅長網(wǎng)絡(luò)攻防安全技術(shù)研究和大數(shù)據(jù)算法研究，擁有軟著 18 項、專利 15 項，對云計算安全、機器學(xué)習(xí)領(lǐng)域有極高學(xué)術(shù)造詣，對全球安全市場有深刻理解?，F(xiàn)兼任工信部信通院、全國信息安全標準化技術(shù)委員會外聘專家，《信息安全研究》、《信息網(wǎng)絡(luò)安全》編委。參與多項云安全標準制定、標準審核工作，發(fā)表過多篇論文被國內(nèi)核心期刊收錄，榮獲“OSCAR 尖峰開源技術(shù)杰出貢獻獎”。胡俊胡俊，青藤云安全聯(lián)合創(chuàng)始人、產(chǎn)品副總裁。畢業(yè)于華中科技大學(xué)，中國信息通信研究院可信云專家組成員，武漢東湖高新技術(shù)開發(fā)區(qū)第十一批“3551 光谷人才計劃”。曾在百納信息主導(dǎo)了多款工具應(yīng)用、海豚瀏覽器云服務(wù)的開發(fā)。青藤創(chuàng)立后，主導(dǎo)開發(fā)“青藤萬相·主機自適應(yīng)安全平臺”、“青藤蜂巢·云原生安全平臺”等產(chǎn)品，獲得發(fā)明專利10余項，是國內(nèi)的安全產(chǎn)品專家，曾發(fā)表多篇論文并被中文核心期刊收錄。

圖書目錄

部分 ATT＆CK入門篇
第1章潛心開始MITRE ATT＆CK之旅 2
1.1 MITRE ATT＆CK是什么 3
1.1.1 MITRE ATT＆CK框架概述 4
1.1.2 ATT＆CK框架背后的安全哲學(xué) 9
1.1.3 ATT＆CK框架與Kill Chain模型的對比 11
1.1.4 ATT＆CK框架與痛苦金字塔模型的關(guān)系 13
1.2 ATT＆CK框架的對象關(guān)系介紹 14
1.3 ATT＆CK框架實例說明 18
1.3.1 ATT＆CK戰(zhàn)術(shù)實例 18
1.3.2 ATT＆CK技術(shù)實例 31
1.3.3 ATT＆CK子技術(shù)實例 34
第2章新場景示例：針對容器和Kubernetes的ATT＆CK攻防矩陣 38
2.1 針對容器的ATT＆CK攻防矩陣 39
2.1.1 執(zhí)行命令行或進程 40
2.1.2 植入惡意鏡像實現(xiàn)持久化 41
2.1.3 通過容器逃逸實現(xiàn)權(quán)限提升 41
2.1.4 繞過或禁用防御機制 41
2.1.5 基于容器API獲取權(quán)限訪問 42
2.1.6 容器資源發(fā)現(xiàn) 42
2.2 針對Kubernetes的攻防矩陣 42
2.2.1 通過漏洞實現(xiàn)對Kubernetes的初始訪問 43
2.2.2 惡意代碼執(zhí)行 44
2.2.3 持久化訪問權(quán)限 45
2.2.4 獲取更高訪問權(quán)限 46
2.2.5 隱藏蹤跡繞過檢測 47
2.2.6 獲取各類憑證 48
2.2.7 發(fā)現(xiàn)環(huán)境中的有用資源 49
2.2.8 在環(huán)境中橫向移動 50
2.2.9 給容器化環(huán)境造成危害 51
第3章數(shù)據(jù)源：ATT＆CK應(yīng)用實踐的前提 52
3.1 當前ATT＆CK數(shù)據(jù)源利用急需解決的問題 53
3.1.1 制定數(shù)據(jù)源定義 54
3.1.2 標準化命名語法 54
3.1.3 確保平臺一致性 57
3.2 升級ATT＆CK數(shù)據(jù)源的使用情況 59
3.2.1 利用數(shù)據(jù)建模 59
3.2.2 通過數(shù)據(jù)元素定義數(shù)據(jù)源 61
3.2.3 整合數(shù)據(jù)建模和攻擊者建模 62
3.2.4 將數(shù)據(jù)源作為對象集成到ATT＆CK框架中 62
3.2.5 擴展ATT＆CK數(shù)據(jù)源對象 63
3.2.6 使用數(shù)據(jù)組件擴展數(shù)據(jù)源 64
3.3 ATT＆CK數(shù)據(jù)源的運用示例 65
3.3.1 改進進程監(jiān)控 65
3.3.2 改進Windows事件日志 70
3.3.3 子技術(shù)用例 73
第二部分 ATT＆CK提高篇
第4章十大攻擊組織和惡意軟件的分析與檢測 78
4.1 TA551攻擊行為的分析與檢測 79
4.2 漏洞利用工具Cobalt Strike的分析與檢測 81
4.3 銀行木馬Qbot的分析與檢測 83
4.4 銀行木馬lcedlD的分析與檢測 84
4.5 憑證轉(zhuǎn)儲工具Mimikatz的分析與檢測 86
4.6 惡意軟件Shlayer的分析與檢測 88
4.7 銀行木馬Dridex的分析與檢測 89
4.8 銀行木馬Emotet的分析與檢測 91
4.9 銀行木馬TrickBot的分析與檢測 92
4.10 蠕蟲病毒Gamarue的分析與檢測 93
第5章十大高頻攻擊技術(shù)的分析與檢測 95
5.1 命令和腳本解析器（T1059）的分析與檢測 96
5.1.1 PowerShell（T1059.001）的分析與檢測 96
5.1.2 Windows Cmd Shell（T1059.003）的分析與檢測 98
5.2 利用已簽名二進制文件代理執(zhí)行（T1218）的分析與檢測 100
5.2.1 Rundll32（T1218.011）的分析與檢測 100
5.2.2 Mshta（T1218.005）的分析與檢測 104
5.3 創(chuàng)建或修改系統(tǒng)進程（T1543）的分析與檢測 108
5.4 計劃任務(wù)/作業(yè)（T1053）的分析與檢測 111
5.5 OS憑證轉(zhuǎn)儲（T1003）的分析與檢測 114
5.6 進程注入（T1055）的分析與檢測 117
5.7 混淆文件或信息（T1027）的分析與檢測 120
5.8 入口工具轉(zhuǎn)移（T1105）的分析與檢測 122
5.9 系統(tǒng)服務(wù)（T1569）的分析與檢測 124
5.10 偽裝（T1036）的分析與檢測 126
第6章紅隊視角：典型攻擊技術(shù)的復(fù)現(xiàn) 129
6.1 基于本地賬戶的初始訪問 130
6.2 基于WMI執(zhí)行攻擊技術(shù) 131
6.3 基于瀏覽器插件實現(xiàn)持久化 132
6.4 基于進程注入實現(xiàn)提權(quán) 134
6.5 基于Rootkit實現(xiàn)防御繞過 135
6.6 基于暴力破解獲得憑證訪問權(quán)限 136
6.7 基于操作系統(tǒng)程序發(fā)現(xiàn)系統(tǒng)服務(wù) 138
6.8 基于SMB實現(xiàn)橫向移動 139
6.9 自動化收集內(nèi)網(wǎng)數(shù)據(jù) 141
6.10 通過命令與控制通道傳遞攻擊載荷 142
6.11 成功竊取數(shù)據(jù) 143
6.12 通過停止服務(wù)造成危害 144
第7章藍隊視角：攻擊技術(shù)的檢測示例 145
7.1 執(zhí)行：T1059命令和腳本解釋器的檢測 146
7.2 持久化：T1543.003創(chuàng)建或修改系統(tǒng)進程（Windows服務(wù)）的檢測 147
7.3 權(quán)限提升：T1546.015組件對象模型劫持的檢測 149
7.4 防御繞過：T1055.001 DLL注入的檢測 150
7.5 憑證訪問：T1552.002注冊表中的憑證的檢測 152
7.6 發(fā)現(xiàn)：T1069.002域用戶組的檢測 153
7.7 橫向移動：T1550.002哈希傳遞攻擊的檢測 154
7.8 收集：T1560.001通過程序壓縮的檢測 155
第三部分 ATT＆CK實踐篇
第8章 ATT＆CK應(yīng)用工具與項目 158
8.1 ATT＆CK三個關(guān)鍵工具 159
8.1.1 ATT＆CK Navigator項目 159
8.1.2 ATT＆CK的CARET項目 161
8.1.3 TRAM項目 162
8.2 ATT＆CK實踐應(yīng)用項目 164
8.2.1 紅隊使用項目 164
8.2.2 藍隊使用項目 167
8.2.3 CTI團隊使用 169
8.2.4 CSO使用項目 173
第9章 ATT＆CK場景實踐 175
9.1 ATT＆CK的四大使用場景 178
9.1.1 威脅情報 178
9.1.2 檢測分析 181
9.1.3 模擬攻擊 183
9.1.4 評估改進 186
9.2 ATT＆CK實踐的常見誤區(qū) 190
第10章基于ATT＆CK的安全運營 193
10.1 基于ATT＆CK的運營流程 195
10.1.1 知彼：收集網(wǎng)絡(luò)威脅情報 195
10.1.2 知己：分析現(xiàn)有數(shù)據(jù)源缺口 196
10.1.3 實踐：分析測試 197
10.2 基于ATT＆CK的運營實踐 200
10.2.1 將ATT＆CK應(yīng)用于SOC的步驟 200
10.2.2 將ATT＆CK應(yīng)用于SOC的技巧 204
10.3 基于ATT＆CK的模擬攻擊 206
10.3.1 模擬攻擊背景 206
10.3.2 模擬攻擊流程 207
第11章基于ATT＆CK的威脅狩獵 218
11.1 威脅狩獵的開源項目 219
11.1.1 Splunk App Threat Hunting 220
11.1.2 HELK 222
11.2 ATT＆CK與威脅狩獵 224
11.2.1 3個未知的問題 224
11.2.2 基于TTP的威脅狩獵 226
11.2.3 ATT＆CK讓狩獵過程透明化 228
11.3 威脅狩獵的行業(yè)實戰(zhàn) 231
11.3.1 金融行業(yè)的威脅狩獵 231
11.3.2 企業(yè)機構(gòu)的威脅狩獵 239
第四部分 ATT＆CK生態(tài)篇
第12章 MITRE Shield主動防御框架 246
12.1 MITRE Shield背景介紹 247
12.2 MITRE Shield矩陣模型 249
12.2.1 主動防御戰(zhàn)術(shù) 250
12.2.2 主動防御技術(shù) 252
12.3 MITRE Shield與ATT＆CK的映射 253
12.4 MITRE Shield使用入門 254
12.4.1 Level 1示例 255
12.4.2 Level 2示例 257
12.4.3 Level 3示例 258
第13章 ATT＆CK測評 259
13.1 測評方法 260
13.2 測評流程 262
13.3 測評內(nèi)容 264
13.4 測評結(jié)果 266
附錄A ATT＆CK戰(zhàn)術(shù)及場景實踐 271
附錄B ATT＆CK攻擊與SHIELD防御映射圖 292