红蓝攻防：技术与策略（原书第3版）

本书涵盖与安全卫生相关的新趋势、MITRE ATT&CK框架在威胁检测和安全态势改善方面的应用，以及新的网络攻防技术。第1～3章侧重于预防措施，介绍如何通过采取安全措施来降低威胁行为者利用组织环境的可能性，从而改善组织的安全态势；第4～9章引导读者逐步深入了解对手的思维、战术、技术等，开始从对手的角度认识攻击的过程，从而更好地持续改善组织环境的防御策略；从第10章起，针对第4～9章中介绍的内容，告诉我们应如何做好防御策略设置、威胁感知、情报收集、灾难恢复与日志分析等工作。

尤里·迪奥赫内斯（Yuri Diogenes）是微软CxE Microsoft Defender for Cloud团队的首席项目经理，他还是EC-Council大学的教授，讲授网络安全本科课程。他拥有UTICA学院的网络安全情报和取证调查理学硕士学位，目前正在国会技术大学攻读网络安全领导力博士学位。他还拥有MBA学位和许多IT/安全行业认证，包括CISSP、MITRE ATT&CK网络威胁情报认证、E|CND、E|CEH、E|CSA、E|CHFI、CompTIA Security+、CySA+、Network+、CASP和CyberSec First Responder。他已经出版了26本书，主要涉及信息安全和微软技术。<br /><br />埃达尔·奥兹卡（Erdal Ozkaya）博士是一位充满激情、专注于解决方案的专家，在信息技术、信息安全和网络安全领域拥有丰富的经验。他还是一位著名的演说家、屡获殊荣的技术专家、20多本书的作者和认证作家。他近期获得的一些奖项包括：年度全球网络安全领袖奖（InfoSec Awards）、思科最佳IT博客奖（Top 5）、银行和金融行业最佳CISO奖、IDC最佳50位技术领袖奖、CIO Online奖和微软最有价值专家奖。他致力于提供准确、可访问的资源，呼吁个人和组织关注互联网时代网络安全和隐私问题。

目　　录<br />译者序<br />前言<br />第1章　安全态势　　1<br />1.1　为什么应将安全卫生列为首要任务　　1<br />1.2　当前的威胁形势　　2<br />1.2.1　供应链攻击　　4<br />1.2.2　勒索软件　　6<br />1.2.3　凭据—身份验证和授权　　9<br />1.2.4　应用程序　　10<br />1.2.5　数据　　11<br />1.3　网络安全挑战　　12<br />1.3.1　旧技术和更广泛的结果　　12<br />1.3.2　威胁形势的转变　　13<br />1.4　增强安全态势　　15<br />1.4.1　零信任　　16<br />1.4.2　云安全态势管理　　17<br />1.4.3　多云　　18<br />1.5　红队和蓝队　　20<br />1.6　小结　　22<br />第2章　事件响应流程　　24<br />2.1　事件响应流程概述　　24<br />2.1.1　实施IR流程的理由　　24<br />2.1.2　创建IR流程　　26<br />2.1.3　IR小组　　28<br />2.1.4　事件生命周期　　28<br />2.2　事件处置　　29<br />2.3　事后活动　　32<br />2.3.1　现实世界场景1　　32<br />2.3.2　从场景1中吸收的经验教训　　33<br />2.3.3　现实世界场景2　　34<br />2.3.4　从场景2中吸收的经验教训　　37<br />2.4　云中IR的注意事项　　37<br />2.4.1　更新IR流程以涵盖云　　38<br />2.4.2　合适的工具集　　39<br />2.4.3　从云解决方案提供商视角看<br />IR流程　　39<br />2.5　小结　　40<br />第3章　网络战略　　41<br />3.1　如何构建网络战略　　41<br />3.1.1　了解业务　　42<br />3.1.2　了解威胁和风险　　42<br />3.1.3　适当的文档　　42<br />3.2　为什么需要构建网络战略　　43<br />3.3　最佳网络攻击战略　　44<br />3.3.1　外部测试战略　　44<br />3.3.2　内部测试战略　　45<br />3.3.3　盲测战略　　45<br />3.3.4　定向测试战略　　45<br />3.4　最佳网络防御战略　　45<br />3.4.1　深度防御　　46<br />3.4.2　广度防御　　46<br />3.5　主动的网络安全战略的好处　　47<br />3.6　企业的顶级网络安全战略　　48<br />3.7　小结　　51<br />第4章　网络杀伤链　　52<br />4.1　了解网络杀伤链　　52<br />4.1.1　侦察　　53<br />4.1.2　武器化　　54<br />4.1.3　投送　　54<br />4.1.4　利用　　55<br />4.1.5　安装　　57<br />4.1.6　指挥控制　　58<br />4.1.7　针对目标行动　　58<br />4.1.8　混淆　　59<br />4.2　用于终结网络杀伤链的安全<br />控制措施　　61<br />4.2.1　使用UEBA　　62<br />4.2.2　安全意识　　63<br />4.3　威胁生命周期管理　　64<br />4.3.1　取证数据收集　　65<br />4.3.2　发现　　65<br />4.3.3　鉴定　　65<br />4.3.4　调查　　66<br />4.3.5　消除　　66<br />4.3.6　恢复　　66<br />4.4　对网络杀伤链的担忧　　67<br />4.5　网络杀伤链的进化过程　　67<br />4.6　网络杀伤链中使用的工具　　68<br />4.7　使用Comodo AEP：Dragon <br />Platform　　78<br />4.7.1　准备阶段　　78<br />4.7.2　入侵阶段　　80<br />4.7.3　主动破坏阶段　　82<br />4.8　小结　　83<br />第5章　侦察　　84<br />5.1　外部侦察　　84<br />5.1.1　浏览目标的社交媒体　　85<br />5.1.2　垃圾搜索　　86<br />5.1.3　社会工程　　87<br />5.2　内部侦察　　92<br />5.3　用于侦察的工具　　93<br />5.3.1　外部侦察工具　　93<br />5.3.2　内部侦察工具　　109<br />5.4　被动侦察与主动侦察　　119<br />5.5　如何对抗侦察　　120<br />5.6　如何防止侦察　　120<br />5.7　小结　　121<br />第6章　危害系统　　122<br />6.1　当前趋势分析　　122<br />6.1.1　勒索攻击　　123<br />6.1.2　数据篡改攻击　　126<br />6.1.3　物联网设备攻击　　127<br />6.1.4　后门　　128<br />6.1.5　入侵日常设备　　130<br />6.1.6　攻击云　　131<br />6.1.7　网络钓鱼　　138<br />6.1.8　漏洞利用　　140<br />6.1.9　零日漏洞　　141<br />6.2　危害系统的执行步骤　　147<br />6.2.1　部署有效负载　　148<br />6.2.2　危害操作系统　　151<br />6.2.3　危害远程系统　　154<br />6.2.4　危害基于Web的系统　　155<br />6.3　手机（iOS/Android）攻击　　161<br />6.3.1　Exodus　　162<br />6.3.2　SensorID　　163<br />6.3.3　iPhone黑客：Cellebrite　　164<br />6.3.4　盘中人　　164<br />6.3.5　Spearphone（Android上的<br />扬声器数据采集）　　165<br />6.3.6　NFC漏洞攻击：Tap’n Ghost　　165<br />6.3.7　iOS 植入攻击　　166<br />6.3.8　用于移动设备的红蓝队工具　　166<br />6.4　小结　　168<br />第7章　追踪用户身份　　170<br />7.1　身份是新的边界　　170<br />7.2　危害用户身份的策略　　172<br />7.2.1　获得网络访问权限　　173<br />7.2.2　收集凭据　　174<br />7.2.3　入侵用户身份　　175<br />7.2.4　暴力攻击　　175<br />7.2.5　社会工程学　　177<br />7.2.6　散列传递　　183<br />7.2.7　通过移动设备窃取身份信息　　184<br />7.2.8　入侵身份的其他方法　　185<br />7.3　小结　　185<br />第8章　横向移动　　186<br />8.1　渗透　　186<br />8.2　网络映射　　187<br />8.2.1　扫描、关闭/阻止、修复　　189<br />8.2.2　阻止和降速　　191<br />8.2.3　检测Namp扫描　　192<br />8.2.4　技巧运用　　192<br />8.3　执行横向移动　　194<br />8.3.1　第1阶段—用户泄露　　194<br />8.3.2　第2阶段—工作站管理员<br />访问　　195<br />8.3.3　像黑客一样思考　　195<br />8.3.4　告警规避　　196<br />8.3.5　端口扫描　　197<br />8.3.6　Sysnternals　　197<br />8.3.7　文件共享　　200<br />8.3.8　Windows DCOM　　201<br />8.3.9　远程桌面　　201<br />8.3.10　PowerShell　　203<br />8.3.11　Windows管理规范　　204<br />8.3.12　计划任务　　206<br />8.3.13　令牌盗窃　　207<br />8.3.14　失窃凭据　　207<br />8.3.15　可移动介质　　207<br />8.3.16　受污染的共享内容　　208<br />8.3.17　远程注册表　　208<br />8.3.18　TeamViewer　　208<br />8.3.19　应用程序部署　　209<br />8.3.20　网络嗅探　　209<br />8.3.21　ARP欺骗　　210<br />8.3.22　AppleScript和IPC（OS X）　　210<br />8.3.23　受害主机分析　　210<br />8.3.24　中央管理员控制台　　210<br />8.3.25　电子邮件掠夺　　211<br />8.3.26　活动目录　　211<br />8.3.27　管理共享　　213<br />8.3.28　票据传递　　213<br />8.3.29　散列传递　　213<br />8.3.30　Winlogon　　215<br />8.3.31　lsass.exe进程　　215<br />8.4　小结　　217<br />第9章　权限提升　　218<br />9.1　渗透　　218<br />9.1.1　水平权限提升　　219<br />9.1.2　垂直权限提升　　220<br />9.1.3　权限提升的原理　　220<br />9.1.4　凭据利用　　221<br />9.1.5　错误配置　　222<br />9.1.6　特权漏洞及利用　　222<br />9.1.7　社会工程　　224<br />9.1.8　恶意软件　　224<br />9.2　告警规避　　224<br />9.3　执行权限提升　　225<br />9.3.1　利用漏洞攻击未打补丁的<br />操作系统　　227<br />9.3.2　访问令牌操控　　228<br />9.3.3　利用辅助功能　　229<br />9.3.4　应用程序垫片　　231<br />9.3.5　绕过用户账户控制　　234<br />9.3.6　权限提升与容器逃逸漏洞<br />（CVE-2022- 0492）　　236<br />9.3.7　DLL注入　　236<br />9.3.8　DLL搜索顺序劫持　　237<br />9.3.9　Dylib劫持　　238<br />9.3.10　漏洞探索　　238<br />9.3.11　启动守护进程　　239<br />9.3.12　Windows目标上的权限<br />提升示例　　240<br />9.4　转储SAM文件　　241<br />9.5　对Android系统进行root<br />操作　　242<br />9.6　使用/etc/passwd文件　　243<br />9.7　附加窗口内存注入　　243<br />9.8　挂钩　　243<br />9.9　计划任务　　244<br />9.10　新服务　　244<br />9.11　启动项　　245<br />9.12　Sudo缓存　　245<br />9.13　其他权限提升工具　　246<br />9.13.1　0xsp Mongoose v1.7　　246<br />9.13.2　Windows平台：0xsp <br />Mongoose RED　　247<br />9.13.3　Hot Potato　　 247<br />9.14　结论和经验教训　　248<br />9.15　小结　　248<br />第10章　安全策略　　249<br />10.1　安全策略检查　　249<br />10.2　用户教育　　251<br />10.2.1　用户社交媒体安全指南　　252<br />10.2.2　安全意识培训　　253<br />10.3　策略实施　　253<br />10.3.1　云上策略　　255<br />10.3.2　应用程序白名单　　257<br />10.3.3　安全加固　　260<br />10.4　合规性监控　　261<br />10.5　通过安全策略持续推动安全<br />态势增强　　263<br />10.6　小结　　265<br />第11章　网络安全　　266<br />11.1　深度防御方法　　266<br />11.1.1　基础设施与服务　　267<br />11.1.2　传输中的文件　　268<br />11.1.3　端点　　269<br />11.1.4　微分段　　270<br />11.2　物理网络分段　　270<br />11.3　远程访问的网络安全　　274<br />11.4　虚拟网络分段　　276<br />11.5　零信任网络　　277<br />11.6　混合云网络安全　　279<br />11.7　小结　　284<br />第12章　主动传感器　　285<br />12.1　检测能力　　285<br />12.2　入侵检测系统　　290<br />12.3　入侵防御系统　　292<br />12.3.1　基于规则的检测　　292<br />12.3.2　基于异常的检测　　292<br />12.4　内部行为分析　　293<br />12.5　混合云中的行为分析　　295<br />12.5.1　Microsoft Defender for Cloud　　296<br />12.5.2　PaaS工作负载分析　　298<br />12.6　小结　　300<br />第13章　威胁情报　　301<br />13.1　威胁情报概述　　301<br />13.2　用于威胁情报的开源工具　　304<br />13.2.1　免费威胁情报馈送　　308<br />13.2.2　使用MITRE ATT&CK　　311<br />13.3　微软威胁情报　　315<br />13.4　小结　　317<br />第14章　事件调查　　318<br />14.1　确定问题范围　　318<br />14.2　调查内部失陷系统　　322<br />14.3　调查混合云中的失陷系统　　326<br />14.4　主动调查（威胁猎杀）　　334<br />14.5　经验教训　　337<br />14.6　小结　　337<br />第15章　恢复过程　　338<br />15.1　灾难恢复计划　　338<br />15.1.1　灾难恢复计划流程　　339<br />15.1.2　挑战　　342<br />15.2　现场恢复　　342<br />15.3　应急计划　　343<br />15.3.1　IT应急计划流程　　344<br />15.3.2　风险管理工具　　348<br />15.4　业务连续性计划　　349<br />15.4.1　业务持续开发计划　　350<br />15.4.2　如何制定业务连续性计划　　350<br />15.4.3　创建有效业务连续性计划<br />的7个步骤　　351<br />15.5　灾难恢复最佳实践　　352<br />15.5.1　内部部署　　353<br />15.5.2　云上部署　　353<br />15.5.3　混合部署　　354<br />15.6　小结　　354<br />第16章　漏洞管理　　355<br />16.1　创建漏洞管理策略　　355<br />16.1.1　资产盘点　　356<br />16.1.2　信息管理　　356<br />16.1.3　风险评估　　358<br />16.1.4　漏洞评估　　361<br />16.1.5　报告和补救跟踪　　362<br />16.1.6　响应计划　　363<br />16.2　漏洞策略的要素　　363<br />16.3　漏洞管理与漏洞评估的区别　　364<br />16.4　漏洞管理最佳实践　　365<br />16.5　漏洞管理工具　　368<br />16.6　结论　　386<br />16.7　小结　　386<br />第17章　日志分析　　388<br />17.1　数据关联　　388<br />17.2　操作系统日志　　389<br />17.2.1　Windows日志　　389<br />17.2.2　Linux日志　　391<br />17.3　防火墙日志　　392<br />17.4　Web服务器日志　　394<br />17.5　AWS日志　　395<br />17.6　Azure Activity日志　　398<br />17.7　Google Cloud Platform日志　　400<br />17.8　小结　　402