资产攻击向量

1.企业安全保障实用工具书。帮助企业制定完整的评估和风险识别策略与规程，为企业资产建立有效的防御措施。 2.方法简便有效，易实施。通过9个简单的步骤实施完整的漏洞管理工作流程，开发、部署和维护自定义的以及商业的漏洞管理程序。 3.结合真实案例，在实践中掌握漏洞管理技术，了解应用成功的策略并揭示潜在陷阱的方法。 4.帮助读者构建一套漏洞管理体系，培养威胁预判能力，提前应对，为组织中的网络安全打下坚实的基础。

在当今动态的网络环境中，为了保护现代企业中的众多资产，有必要实施多重防护措施来缓解漏洞并阻止数据泄露。本书对与资产管理相关的威胁分析、风险度量和监管报告等新技术进行了解读，还概括了用于漏洞管理和补丁管理的服务等级协议等内容，可帮助您规划一个能应对现代网络威胁的漏洞管理解决方案。 本书主要包括攻击链、漏洞形势、威胁情报、凭据资产风险、漏洞评估、配置评估、风险度量、漏洞状态、漏洞机构、渗透测试、修复措施、漏洞管理计划、漏洞管理设计、漏洞管理开发、漏洞管理部署、漏洞管理运营、漏洞管理架构、漏洞管理计划示例、合规性、风险管理框架、让一切都真的发挥作用、实战故事、最后的建议等内容。

[美]莫雷·哈伯（Morey Haber），BeyondTrust公司的首席技术官兼首席信息安全官。他在信息技术行业拥有20多年的工作经验，在Apress出版了3本图书：Privileged Attack Vectors、Asset Attack Vectors和Identity Attack Vectors。2018年，Bomgar收购了BeyondTrust，并保留了BeyondTrust这个名称。2012年，BeyondTrust公司收购eEye数字安全公司后，Morey随之加入BeyondTrust公司。目前，Morey在BeyondTrust公司从事权限访问管理（PAM）和远程访问解决方案的有关工作。 2004年，Morey加入eEye公司，担任安全技术部门主管，负责财富500强企业的经营战略审议和漏洞管理架构。进入eEye之前，Morey曾担任CA公司的开发经理，负责新产品测试以及跟进客户工作。Morey最初被一家开发飞行训练模拟器的政府承包商聘用，担任产品可靠性及可维护工程师，并由此开始了自己的职业生涯。Morey拥有纽约州立大学石溪分校电气工程专业理学学士学位。 [加]布拉德·希伯特（Brad Hibbert），首席运营官（COO）、首席战略官（CSO）、Privileged Attack Vectors一书的合著者，在公司内领导并负责解决方案策略、产品管理、开发、服务和支持等方面的工作。他在软件行业有25年以上的管理经验，致力于协调业务团队和技术团队的工作。 Brad之前就职于eEye数字安全公司，负责战略与产品相关的工作，后来随着eEye被收购而进入BeyondTrust公司。在Brad的领导下，eEye推出了多款产品，包括用于云、移动与虚拟化技术的漏洞管理解决方案。在就职于eEye之前，Brad服务于NetPro公司，担任该公司的战略与产品副总裁，直至该公司于2008年被Quest软件公司收购。多年以来，Brad获得了许多行业认证，以支持他的管理、咨询和开发活动。他拥有渥太华大学商学学士学位（管理信息系统专业）和MBA学位。

第1章攻击链1
第2章漏洞形势3
2．1漏洞3
2．2配置5
2．3漏洞利用6
2．4误报6
2．5漏报7
2．6恶意软件8
2．7社交工程8
2．8网络钓鱼11
2．8．1好奇害死猫11
2．8．2不会有事的12
2．8．3您知道他们从字典上删去了“轻信”二字吗13
2．8．4这不会发生在我身上13
2．8．5如何确定您收到的电子邮件是不是一次网络钓鱼攻击13
2．9勒索软件14
2．10内部人员威胁16
2．11外部威胁19
2．12漏洞披露20
第3章威胁情报23
第4章凭据资产风险27
第5章漏洞评估29
5．1主动漏洞扫描29
5．2被动扫描程序29
5．3侵入式漏洞扫描30
5．4非侵入式扫描31
5．5漏洞扫描的局限性与不足32
第6章配置评估33
6．1法规33
6．2框架34
6．3基准34
6．4配置评估工具34
6．5SCAP36
第7章风险度量38
7．1CVE40
7．2CVSS41
7．3STIG42
7．4OVAL43
7．5IAVA44
第8章漏洞状态45
8．1根据状态确定漏洞风险46
8．2漏洞的三种状态47
8．2．1活跃漏洞48
8．2．2休眠漏洞48
8．2．3潜在漏洞48
8．2．4状态优先级排序49
第9章漏洞权威机构51
第10章渗透测试52
第11章修复措施56
11．1微软56
11．2苹果57
11．3思科58
11．4谷歌59
11．5甲骨文59
11．6RedHat60
11．7Adobe60
11．8开源产品61
11．9其他各方62
第12章漏洞管理计划63
12．1设计64
12．2开发64
12．3部署64
12．4运营65
12．5成熟度65
12．6成熟度分类66
12．7描述67
第13章漏洞管理设计68
13．1爬、走、跑和冲刺69
13．2落实今天的工作，为明天做计划70
13．3一切出于商业价值70
第14章漏洞管理开发72
14．1漏洞管理范围73
14．1．1操作系统73
14．1．2客户端应用74
14．1．3Web应用74
14．1．4网络设备76
14．1．5数据库76
14．1．6平面文件数据库76
14．1．7虚拟机管理器78
14．1．8IaaS和PaaS78
14．1．9移动设备79
14．1．10IoT81
14．1．11工业控制系统（ICS）和SCADA81
14．1．12DevOps82
14．1．13Docker与容器83
14．1．14代码评审83
14．1．15工具选择84
14．2漏洞管理流程85
14．2．1评估86
14．2．2度量86
14．2．3修复87
14．2．4冲洗和重复（循环）87
14．2．5生命周期终止87
14．3漏洞生命周期中的常见错误88
14．3．1错误1：漏洞管理脱节88
14．3．2错误2：仅依赖远程评估89
14．3．3错误3：0day漏洞没有得到保护90
14．3．4错误4：分散的可见性90
14．3．5错误5：为了合规牺牲安全91
14．4常见的挑战91
14．4．1老化的基础设施92
14．4．2计划的深度与广度92
14．5制定计划93
14．5．1步骤1：要评估什么93
14．5．2步骤2：评估配置93
14．5．3步骤3：评估频率94
14．5．4步骤4：确定所有权94
14．5．5步骤5：数据与风险优先级排序95
14．5．6步骤6：报告95
14．5．7步骤7：修复管理96
14．5．8步骤8：验证与度量96
14．5．9步骤9：第三方集成97
第15章漏洞管理部署98
15．1方法1：仅针对关键和高风险漏洞98
15．2方法2：统计抽样99
15．3方法3：根据业务功能针对性扫描100
15．4团队沟通101
15．5网络扫描程序104
15．5．1防火墙105
15．5．2IPS/IDS105
15．5．3封包整形106
15．5．4QoS107
15．5．5Tarpit107
15．5．6蜜罐107
15．5．7认证108
15．5．8空会话109
15．5．9凭据109
15．5．10权限集成110
15．6代理112
15．7第三方集成113
15．8补丁管理114
15．9虚拟补丁115
15．10威胁检测115
15．11持续监控116
15．12性能117
15．12．1线程118
15．12．2完成时间119
15．12．3带宽120
15．12．4端口120
15．12．5扫描窗口121
15．12．6扫描池化121
15．12．7目标随机化121
15．12．8容错122
15．12．9扫描程序锁定123
第16章漏洞管理运营124
16．1发现125
16．2分析125
16．3报告126
16．4修复126
16．5度量127
第17章漏洞管理架构128
第18章漏洞管理计划示例131
18．1漏洞管理解决方案与修复的服务等级131
18．2漏洞扫描目标132
18．3漏洞扫描频率/计划132
18．4漏洞报告133
18．5修复管理134
18．6例外管理135
18．7排除在评估之外137
第19章合规性138
第20章风险管理框架141
第21章让一切都真的发挥作用144
21．1知道您的网络上有什么144
21．2自动化凭据扫描146
21．3找出潜藏在阴影之中的东西146
21．4清晰看待数据148
21．5找出威胁中的软目标149
21．6注意您的漏洞缺口150
21．7统一漏洞与权限情报150
21．8威胁分析151
21．9合理化补丁流程151
21．10共享和协作153
第22章实战故事155
22．1丢失的企业客户155
22．2只是一场胜利157
22．3太多了，无法管理159
22．4过时160
22．5复杂的才是优选的161
22．6弃赛162
22．7聆听技巧163
22．8承包商164
22．9流氓设备165
22．10大鱼166
22．11所有机器都被Rootkit控制了167
22．12不是专享168
22．13我最喜欢的故事168
22．14有多少个B类网络169
22．15来自地狱的博客170
22．16漂亮的门户，宝贝171
22．17网上银行172
22．18谎言173
22．19说到比较174
22．20理清事实175
22．21保形涂层176
22．22依赖性177
22．23轶闻趣事179
第23章最后的建议181
第24章结语183
附录A请求建议书（RFP）示例184
附录B请求建议书（RFP）数据表格206