ATT&CK框架實(shí)踐指南

定　價(jià)：￥148.00

作　者：	張福等著
出版社：	電子工業(yè)出版社
叢編項(xiàng)：
標(biāo)　簽：	暫缺

購(gòu)買這本書可以去

ISBN：	9787121424359	出版時(shí)間：	2021-11-01	包裝：
開本：	16開	頁(yè)數(shù)：		字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　過(guò)去，入侵檢測(cè)能力的度量是個(gè)公認(rèn)的行業(yè)難題，各個(gè)企業(yè)得安全負(fù)責(zé)人每年在入侵防護(hù)上都投入大量費(fèi)用，但幾乎沒(méi)有人能回答CEO 的問(wèn)題："買了這么多產(chǎn)品，我們的入侵防御和檢測(cè)能力到底怎么樣，能不能防住黑客？”。這個(gè)問(wèn)題很難回答，核心原因是缺乏一個(gè)明確的、可衡量、可落地的標(biāo)準(zhǔn)。所以，防守方對(duì)于入侵檢測(cè)通常會(huì)陷入不可知和不確定的狀態(tài)中，既說(shuō)不清自己的能力高低，也無(wú)法有效彌補(bǔ)自己的短板。 Mitre ATT＆CK 的出現(xiàn)解決了這個(gè)行業(yè)難題。它給了我們一把尺子，讓我們可以用統(tǒng)一的標(biāo)準(zhǔn)去衡量自己的防御和檢測(cè)能力。ATT＆CK并非一個(gè)學(xué)院派的理論框架，而是來(lái)源于實(shí)戰(zhàn)。安全從業(yè)者們?cè)陂L(zhǎng)期的攻防對(duì)抗，攻擊溯源，攻擊手法分析的過(guò)程中，逐漸提煉總結(jié)，形成了實(shí)用性強(qiáng)、可落地、說(shuō)得清道得明的體系框架。這個(gè)框架是先進(jìn)的、充滿生命力的，而且具備非常高的使用價(jià)值。青藤是一家專注于前沿技術(shù)研究的網(wǎng)絡(luò)安全公司，自2017年開始關(guān)注ATT＆CK，經(jīng)過(guò)多年系統(tǒng)性的研究、學(xué)習(xí)和探索，積累了相對(duì)比較成熟和系統(tǒng)化的資料，涵蓋了ATT＆CK 的設(shè)計(jì)思想、核心架構(gòu)、應(yīng)用場(chǎng)景、技術(shù)復(fù)現(xiàn)、對(duì)抗實(shí)踐、指標(biāo)評(píng)估等多方面的內(nèi)容。研究越深入，愈發(fā)意識(shí)到Mitre ATT＆CK 可以為行業(yè)帶來(lái)的貢獻(xiàn)。因此編寫本書，作為ATT＆CK 系統(tǒng)性學(xué)習(xí)材料，希望讓更多的人了解ATT＆CK，學(xué)習(xí)先進(jìn)的理論體系，提升防守方的技術(shù)水平，加強(qiáng)攻防對(duì)抗能力。也歡迎大家一起加入到研究中，為這個(gè)體系的完善貢獻(xiàn)一份力量。

作者簡(jiǎn)介

　　張福張福，青藤云安全創(chuàng)始人、CEO。畢業(yè)于同濟(jì)大學(xué)，專注于前沿技術(shù)研究，在安全攻防領(lǐng)域有超過(guò) 15 年的探索和實(shí)踐。曾先后在國(guó)內(nèi)多家知名互聯(lián)網(wǎng)企業(yè)，如第九城市、盛大網(wǎng)絡(luò)、昆侖萬(wàn)維，擔(dān)任技術(shù)和業(yè)務(wù)安全負(fù)責(zé)人。目前，張福擁有 10 余項(xiàng)自主知識(shí)產(chǎn)權(quán)發(fā)明專利，30 余項(xiàng)軟件著作權(quán)。榮獲“改革開放 40 年網(wǎng)絡(luò)安全領(lǐng)軍人物”、“中關(guān)村高端領(lǐng)軍人才”、“中關(guān)村創(chuàng)業(yè)之星”等稱號(hào)。程度程度，青藤云安全聯(lián)合創(chuàng)始人、COO。畢業(yè)于首都師范大學(xué)，擅長(zhǎng)網(wǎng)絡(luò)攻防安全技術(shù)研究和大數(shù)據(jù)算法研究，擁有軟著 18 項(xiàng)、專利 15 項(xiàng)，對(duì)云計(jì)算安全、機(jī)器學(xué)習(xí)領(lǐng)域有極高學(xué)術(shù)造詣，對(duì)全球安全市場(chǎng)有深刻理解?，F(xiàn)兼任工信部信通院、全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)外聘專家，《信息安全研究》、《信息網(wǎng)絡(luò)安全》編委。參與多項(xiàng)云安全標(biāo)準(zhǔn)制定、標(biāo)準(zhǔn)審核工作，發(fā)表過(guò)多篇論文被國(guó)內(nèi)核心期刊收錄，榮獲“OSCAR 尖峰開源技術(shù)杰出貢獻(xiàn)獎(jiǎng)”。胡俊胡俊，青藤云安全聯(lián)合創(chuàng)始人、產(chǎn)品副總裁。畢業(yè)于華中科技大學(xué)，中國(guó)信息通信研究院可信云專家組成員，武漢東湖高新技術(shù)開發(fā)區(qū)第十一批“3551 光谷人才計(jì)劃”。曾在百納信息主導(dǎo)了多款工具應(yīng)用、海豚瀏覽器云服務(wù)的開發(fā)。青藤創(chuàng)立后，主導(dǎo)開發(fā)“青藤萬(wàn)相·主機(jī)自適應(yīng)安全平臺(tái)”、“青藤蜂巢·云原生安全平臺(tái)”等產(chǎn)品，獲得發(fā)明專利10余項(xiàng)，是國(guó)內(nèi)的安全產(chǎn)品專家，曾發(fā)表多篇論文并被中文核心期刊收錄。

圖書目錄

部分 ATT＆CK入門篇
第1章潛心開始MITRE ATT＆CK之旅 2
1.1 MITRE ATT＆CK是什么 3
1.1.1 MITRE ATT＆CK框架概述 4
1.1.2 ATT＆CK框架背后的安全哲學(xué) 9
1.1.3 ATT＆CK框架與Kill Chain模型的對(duì)比 11
1.1.4 ATT＆CK框架與痛苦金字塔模型的關(guān)系 13
1.2 ATT＆CK框架的對(duì)象關(guān)系介紹 14
1.3 ATT＆CK框架實(shí)例說(shuō)明 18
1.3.1 ATT＆CK戰(zhàn)術(shù)實(shí)例 18
1.3.2 ATT＆CK技術(shù)實(shí)例 31
1.3.3 ATT＆CK子技術(shù)實(shí)例 34
第2章新場(chǎng)景示例：針對(duì)容器和Kubernetes的ATT＆CK攻防矩陣 38
2.1 針對(duì)容器的ATT＆CK攻防矩陣 39
2.1.1 執(zhí)行命令行或進(jìn)程 40
2.1.2 植入惡意鏡像實(shí)現(xiàn)持久化 41
2.1.3 通過(guò)容器逃逸實(shí)現(xiàn)權(quán)限提升 41
2.1.4 繞過(guò)或禁用防御機(jī)制 41
2.1.5 基于容器API獲取權(quán)限訪問(wèn) 42
2.1.6 容器資源發(fā)現(xiàn) 42
2.2 針對(duì)Kubernetes的攻防矩陣 42
2.2.1 通過(guò)漏洞實(shí)現(xiàn)對(duì)Kubernetes的初始訪問(wèn) 43
2.2.2 惡意代碼執(zhí)行 44
2.2.3 持久化訪問(wèn)權(quán)限 45
2.2.4 獲取更高訪問(wèn)權(quán)限 46
2.2.5 隱藏蹤跡繞過(guò)檢測(cè) 47
2.2.6 獲取各類憑證 48
2.2.7 發(fā)現(xiàn)環(huán)境中的有用資源 49
2.2.8 在環(huán)境中橫向移動(dòng) 50
2.2.9 給容器化環(huán)境造成危害 51
第3章數(shù)據(jù)源：ATT＆CK應(yīng)用實(shí)踐的前提 52
3.1 當(dāng)前ATT＆CK數(shù)據(jù)源利用急需解決的問(wèn)題 53
3.1.1 制定數(shù)據(jù)源定義 54
3.1.2 標(biāo)準(zhǔn)化命名語(yǔ)法 54
3.1.3 確保平臺(tái)一致性 57
3.2 升級(jí)ATT＆CK數(shù)據(jù)源的使用情況 59
3.2.1 利用數(shù)據(jù)建模 59
3.2.2 通過(guò)數(shù)據(jù)元素定義數(shù)據(jù)源 61
3.2.3 整合數(shù)據(jù)建模和攻擊者建模 62
3.2.4 將數(shù)據(jù)源作為對(duì)象集成到ATT＆CK框架中 62
3.2.5 擴(kuò)展ATT＆CK數(shù)據(jù)源對(duì)象 63
3.2.6 使用數(shù)據(jù)組件擴(kuò)展數(shù)據(jù)源 64
3.3 ATT＆CK數(shù)據(jù)源的運(yùn)用示例 65
3.3.1 改進(jìn)進(jìn)程監(jiān)控 65
3.3.2 改進(jìn)Windows事件日志 70
3.3.3 子技術(shù)用例 73
第二部分 ATT＆CK提高篇
第4章十大攻擊組織和惡意軟件的分析與檢測(cè) 78
4.1 TA551攻擊行為的分析與檢測(cè) 79
4.2 漏洞利用工具Cobalt Strike的分析與檢測(cè) 81
4.3 銀行木馬Qbot的分析與檢測(cè) 83
4.4 銀行木馬lcedlD的分析與檢測(cè) 84
4.5 憑證轉(zhuǎn)儲(chǔ)工具M(jìn)imikatz的分析與檢測(cè) 86
4.6 惡意軟件Shlayer的分析與檢測(cè) 88
4.7 銀行木馬Dridex的分析與檢測(cè) 89
4.8 銀行木馬Emotet的分析與檢測(cè) 91
4.9 銀行木馬TrickBot的分析與檢測(cè) 92
4.10 蠕蟲病毒Gamarue的分析與檢測(cè) 93
第5章十大高頻攻擊技術(shù)的分析與檢測(cè) 95
5.1 命令和腳本解析器（T1059）的分析與檢測(cè) 96
5.1.1 PowerShell（T1059.001）的分析與檢測(cè) 96
5.1.2 Windows Cmd Shell（T1059.003）的分析與檢測(cè) 98
5.2 利用已簽名二進(jìn)制文件代理執(zhí)行（T1218）的分析與檢測(cè) 100
5.2.1 Rundll32（T1218.011）的分析與檢測(cè) 100
5.2.2 Mshta（T1218.005）的分析與檢測(cè) 104
5.3 創(chuàng)建或修改系統(tǒng)進(jìn)程（T1543）的分析與檢測(cè) 108
5.4 計(jì)劃任務(wù)/作業(yè)（T1053）的分析與檢測(cè) 111
5.5 OS憑證轉(zhuǎn)儲(chǔ)（T1003）的分析與檢測(cè) 114
5.6 進(jìn)程注入（T1055）的分析與檢測(cè) 117
5.7 混淆文件或信息（T1027）的分析與檢測(cè) 120
5.8 入口工具轉(zhuǎn)移（T1105）的分析與檢測(cè) 122
5.9 系統(tǒng)服務(wù)（T1569）的分析與檢測(cè) 124
5.10 偽裝（T1036）的分析與檢測(cè) 126
第6章紅隊(duì)視角：典型攻擊技術(shù)的復(fù)現(xiàn) 129
6.1 基于本地賬戶的初始訪問(wèn) 130
6.2 基于WMI執(zhí)行攻擊技術(shù) 131
6.3 基于瀏覽器插件實(shí)現(xiàn)持久化 132
6.4 基于進(jìn)程注入實(shí)現(xiàn)提權(quán) 134
6.5 基于Rootkit實(shí)現(xiàn)防御繞過(guò) 135
6.6 基于暴力破解獲得憑證訪問(wèn)權(quán)限 136
6.7 基于操作系統(tǒng)程序發(fā)現(xiàn)系統(tǒng)服務(wù) 138
6.8 基于SMB實(shí)現(xiàn)橫向移動(dòng) 139
6.9 自動(dòng)化收集內(nèi)網(wǎng)數(shù)據(jù) 141
6.10 通過(guò)命令與控制通道傳遞攻擊載荷 142
6.11 成功竊取數(shù)據(jù) 143
6.12 通過(guò)停止服務(wù)造成危害 144
第7章藍(lán)隊(duì)視角：攻擊技術(shù)的檢測(cè)示例 145
7.1 執(zhí)行：T1059命令和腳本解釋器的檢測(cè) 146
7.2 持久化：T1543.003創(chuàng)建或修改系統(tǒng)進(jìn)程（Windows服務(wù)）的檢測(cè) 147
7.3 權(quán)限提升：T1546.015組件對(duì)象模型劫持的檢測(cè) 149
7.4 防御繞過(guò)：T1055.001 DLL注入的檢測(cè) 150
7.5 憑證訪問(wèn)：T1552.002注冊(cè)表中的憑證的檢測(cè) 152
7.6 發(fā)現(xiàn)：T1069.002域用戶組的檢測(cè) 153
7.7 橫向移動(dòng)：T1550.002哈希傳遞攻擊的檢測(cè) 154
7.8 收集：T1560.001通過(guò)程序壓縮的檢測(cè) 155
第三部分 ATT＆CK實(shí)踐篇
第8章 ATT＆CK應(yīng)用工具與項(xiàng)目 158
8.1 ATT＆CK三個(gè)關(guān)鍵工具 159
8.1.1 ATT＆CK Navigator項(xiàng)目 159
8.1.2 ATT＆CK的CARET項(xiàng)目 161
8.1.3 TRAM項(xiàng)目 162
8.2 ATT＆CK實(shí)踐應(yīng)用項(xiàng)目 164
8.2.1 紅隊(duì)使用項(xiàng)目 164
8.2.2 藍(lán)隊(duì)使用項(xiàng)目 167
8.2.3 CTI團(tuán)隊(duì)使用 169
8.2.4 CSO使用項(xiàng)目 173
第9章 ATT＆CK場(chǎng)景實(shí)踐 175
9.1 ATT＆CK的四大使用場(chǎng)景 178
9.1.1 威脅情報(bào) 178
9.1.2 檢測(cè)分析 181
9.1.3 模擬攻擊 183
9.1.4 評(píng)估改進(jìn) 186
9.2 ATT＆CK實(shí)踐的常見誤區(qū) 190
第10章基于ATT＆CK的安全運(yùn)營(yíng) 193
10.1 基于ATT＆CK的運(yùn)營(yíng)流程 195
10.1.1 知彼：收集網(wǎng)絡(luò)威脅情報(bào) 195
10.1.2 知己：分析現(xiàn)有數(shù)據(jù)源缺口 196
10.1.3 實(shí)踐：分析測(cè)試 197
10.2 基于ATT＆CK的運(yùn)營(yíng)實(shí)踐 200
10.2.1 將ATT＆CK應(yīng)用于SOC的步驟 200
10.2.2 將ATT＆CK應(yīng)用于SOC的技巧 204
10.3 基于ATT＆CK的模擬攻擊 206
10.3.1 模擬攻擊背景 206
10.3.2 模擬攻擊流程 207
第11章基于ATT＆CK的威脅狩獵 218
11.1 威脅狩獵的開源項(xiàng)目 219
11.1.1 Splunk App Threat Hunting 220
11.1.2 HELK 222
11.2 ATT＆CK與威脅狩獵 224
11.2.1 3個(gè)未知的問(wèn)題 224
11.2.2 基于TTP的威脅狩獵 226
11.2.3 ATT＆CK讓狩獵過(guò)程透明化 228
11.3 威脅狩獵的行業(yè)實(shí)戰(zhàn) 231
11.3.1 金融行業(yè)的威脅狩獵 231
11.3.2 企業(yè)機(jī)構(gòu)的威脅狩獵 239
第四部分 ATT＆CK生態(tài)篇
第12章 MITRE Shield主動(dòng)防御框架 246
12.1 MITRE Shield背景介紹 247
12.2 MITRE Shield矩陣模型 249
12.2.1 主動(dòng)防御戰(zhàn)術(shù) 250
12.2.2 主動(dòng)防御技術(shù) 252
12.3 MITRE Shield與ATT＆CK的映射 253
12.4 MITRE Shield使用入門 254
12.4.1 Level 1示例 255
12.4.2 Level 2示例 257
12.4.3 Level 3示例 258
第13章 ATT＆CK測(cè)評(píng) 259
13.1 測(cè)評(píng)方法 260
13.2 測(cè)評(píng)流程 262
13.3 測(cè)評(píng)內(nèi)容 264
13.4 測(cè)評(píng)結(jié)果 266
附錄A ATT＆CK戰(zhàn)術(shù)及場(chǎng)景實(shí)踐 271
附錄B ATT＆CK攻擊與SHIELD防御映射圖 292