红蓝攻防 技术与策略(原书第3版)

本书将带你快速了解威胁评估和安全卫生的关键方面、当前的威胁态势及其挑战，以及如何保持强大的安全态势。 本版对前一版内容进行了全面而细致的修订，不仅介绍了零信任方法、初始事件响应流程和红队战术，还详细讲解了执行必要操作的常用工具的基本语法，以及如何使用强大的工具应用较新的红队技术。同时，引入了蓝队战术，以保护你的系统免受复杂的网络攻击。本书清晰、深入地介绍了防御方法，以及如何在组织内识别异常行为模式。最后，介绍了分析网络和应对恶意软件的方法，以及缓解措施和威胁检测技术。 通过阅读本书，你将能够： ?学会预防网络安全事件，缓解其带来的影响。 ?了解安全卫生的重要性和优先保护工作负载的价值。 ?了解物理和虚拟网络分段、云网络可见性和零信任的注意事项。 ?采用新方法收集网络情报、识别风险并展示红/蓝队战略的影响。 ?探索Nmap和Metasploit等工具的使用方法及作用，向红队施压。 ?了解身份安全以及如何实施安全策略。 ?将威胁检测系统集成到你的SIEM解决方案中。 了解MITRE ATT&CK框架和开源工具以收集情报。

本书将带你快速了解威胁评估和安全卫生的关键方面、当前的威胁态势及其挑战，以及如何保持强大的安全态势。
本版对前一版内容进行了全面而细致的修订，不仅介绍了零信任方法、初始事件响应流程和红队战术，还详细讲解了执行必要操作的常用工具的基本语法，以及如何使用强大的工具应用较新的红队技术。同时，引入了蓝队战术，以保护你的系统免受复杂的网络攻击。本书清晰、深入地介绍了防御方法，以及如何在组织内识别异常行为模式。最后，介绍了分析网络和应对恶意软件的方法，以及缓解措施和威胁检测技术。
通过阅读本书，你将能够：
·学会预防网络安全事件，缓解其带来的影响。
·了解安全卫生的重要性和优先保护工作负载的价值。
·了解物理和虚拟网络分段、云网络可见性和零信任的注意事项。
·采用新方法收集网络情报、识别风险并展示红/蓝队战略的影响。
·探索Nmap和Metasploit等工具的使用方法及作用，向红队施压。
·了解身份安全以及如何实施安全策略。
·将威胁检测系统集成到你的SIEM解决方案中。
·了解MITRE ATT&CK框架和开源工具以收集情报。

译者序
前言
第1章 安全态势 1
1.1 为什么应将安全卫生列为首要任务 1
1.2 当前的威胁形势 2
1.2.1 供应链攻击 4
1.2.2 勒索软件 6
1.2.3 凭据——身份验证和授权 9
1.2.4 应用程序 10
1.2.5 数据 11
1.3 网络安全挑战 12
1.3.1 旧技术和更广泛的结果 12
1.3.2 威胁形势的转变 13
1.4 增强安全态势 15
1.4.1 零信任 16
1.4.2 云安全态势管理 17
1.4.3 多云 18
1.5 红队和蓝队 20
1.6 小结 22
第2章 事件响应流程 24
2.1 事件响应流程概述 24
2.1.1 实施IR流程的理由 24
2.1.2 创建IR流程 26
2.1.3 IR小组 28
2.1.4 事件生命周期 28
2.2 事件处置 29
2.3 事后活动 32
2.3.1 现实世界场景1 32
2.3.2 从场景1中吸收的经验教训 33
2.3.3 现实世界场景2 34
2.3.4 从场景2中吸收的经验教训 37
2.4 云中IR的注意事项 37
2.4.1 更新IR流程以涵盖云 38
2.4.2 合适的工具集 39
2.4.3 从云解决方案提供商视角看IR流程 39
2.5 小结 40
第3章 网络战略 41
3.1 如何构建网络战略 41
3.1.1 了解业务 42
3.1.2 了解威胁和风险 42
3.1.3 适当的文档 42
3.2 为什么需要构建网络战略 43
3.3 最佳网络攻击战略 44
3.3.1 外部测试战略 44
3.3.2 内部测试战略 45
3.3.3 盲测战略 45
3.3.4 定向测试战略 45
3.4 最佳网络防御战略 45
3.4.1 深度防御 46
3.4.2 广度防御 46
3.5 主动的网络安全战略的好处 47
3.6 企业的顶级网络安全战略 48
3.7 小结 51
第4章 网络杀伤链 52
4.1 了解网络杀伤链 52
4.1.1 侦察 53
4.1.2 武器化 54
4.1.3 投送 54
4.1.4 利用 55
4.1.5 安装 57
4.1.6 指挥控制 58
4.1.7 针对目标行动 58
4.1.8 混淆 59
4.2 用于终结网络杀伤链的安全控制措施 61
4.2.1 使用UEBA 62
4.2.2 安全意识 63
4.3 威胁生命周期管理 64
4.3.1 取证数据收集 65
4.3.2 发现 65
4.3.3 鉴定 65
4.3.4 调查 66
4.3.5 消除 66
4.3.6 恢复 66
4.4 对网络杀伤链的担忧 67
4.5 网络杀伤链的进化过程 67
4.6 网络杀伤链中使用的工具 68
4.7 使用Comodo AEP：Dragon Platform 78
4.7.1 准备阶段 78
4.7.2 入侵阶段 80
4.7.3 主动破坏阶段 82
4.8 小结 83
第5章 侦察 84
5.1 外部侦察 84
5.1.1 浏览目标的社交媒体 85
5.1.2 垃圾搜索 86
5.1.3 社会工程 87
5.2 内部侦察 92
5.3 用于侦察的工具 93
5.3.1 外部侦察工具 93
5.3.2 内部侦察工具 109
5.4 被动侦察与主动侦察 119
5.5 如何对抗侦察 120
5.6 如何防止侦察 120
5.7 小结 121
第6章 危害系统 122
6.1 当前趋势分析 122
6.1.1 勒索攻击 123
6.1.2 数据篡改攻击 126
6.1.3 物联网设备攻击 127
6.1.4 后门 128
6.1.5 入侵日常设备 130
6.1.6 攻击云 131
6.1.7 网络钓鱼 138
6.1.8 漏洞利用 140
6.1.9 零日漏洞 141
6.2 危害系统的执行步骤 147
6.2.1 部署有效负载 148
6.2.2 危害操作系统 151
6.2.3 危害远程系统 154
6.2.4 危害基于Web的系统 155
6.3 手机（iOS/Android）攻击 161
6.3.1 Exodus 162
6.3.2 SensorID 163
6.3.3 iPhone黑客：Cellebrite 164
6.3.4 盘中人 164
6.3.5 Spearphone（Android上的扬声器数据采集） 165
6.3.6 NFC漏洞攻击：Tap’n Ghost 165
6.3.7 iOS 植入攻击 166
6.3.8 用于移动设备的红蓝队工具 166
6.4 小结 168
第7章 追踪用户身份 170
7.1 身份是新的边界 170
7.2 危害用户身份的策略 172
7.2.1 获得网络访问权限 173
7.2.2 收集凭据 174
7.2.3 入侵用户身份 175
7.2.4 暴力攻击 175
7.2.5 社会工程学 177
7.2.6 散列传递 183
7.2.7 通过移动设备窃取身份信息 184
7.2.8 入侵身份的其他方法 185
7.3 小结 185
第8章 横向移动 186
8.1 渗透 186
8.2 网络映射 187
8.2.1 扫描、关闭/阻止、修复 189
8.2.2 阻止和降速 191
8.2.3 检测Namp扫描 192
8.2.4 技巧运用 192
8.3 执行横向移动 194
8.3.1 第1阶段——用户泄露 194
8.3.2 第2阶段——工作站管理员访问 195
8.3.3 像黑客一样思考 195
8.3.4 告警规避 196
8.3.5 端口扫描 197
8.3.6 Sysinternals 197
8.3.7 文件共享 200
8.3.8 Windows DCOM 201
8.3.9 远程桌面 201
8.3.10 PowerShell 203
8.3.11 Windows管理规范 204
8.3.12 计划任务 206
8.3.13 令牌盗窃 207
8.3.14 失窃凭据 207
8.3.15 可移动介质 207
8.3.16 受污染的共享内容 208
8.3.17 远程注册表 208
8.3.18 TeamViewer 208
8.3.19 应用程序部署 209
8.3.20 网络嗅探 209
8.3.21 ARP欺骗 210
8.3.22 AppleScript和IPC（OS X） 210
8.3.23 受害主机分析 210
8.3.24 中央管理员控制台 210
8.3.25 电子邮件掠夺 211
8.3.26 活动目录 211
8.3.27 管理共享 213
8.3.28 票据传递 213
8.3.29 散列传递 213
8.3.30 Winlogon 215
8.3.31 lsass.exe进程 215
8.4 小结 217
第9章 权限提升 218
9.1 渗透 218
9.1.1 水平权限提升 219
9.1.2 垂直权限提升 220
9.1.3 权限提升的原理 220
9.1.4 凭据利用 221
9.1.5 错误配置 222
9.1.6 特权漏洞及利用 222
9.1.7 社会工程 224
9.1.8 恶意软件 224
9.2 告警规避 224
9.3 执行权限提升 225
9.3.1 利用漏洞攻击未打补丁的操作系统 227
9.3.2 访问令牌操控 228
9.3.3 利用辅助功能 229
9.3.4 应用程序垫片 231
9.3.5 绕过用户账户控制 234
9.3.6 权限提升与容器逃逸漏洞（CVE-2022- 0492） 236
9.3.7 DLL注入 236
9.3.8 DLL搜索顺序劫持 237
9.3.9 Dylib劫持 238
9.3.10 漏洞探索 238
9.3.11 启动守护进程 239
9.3.12 Windows目标上的权限提升示例 240
9.4 转储SAM文件 241
9.5 对Android系统进行root操作 242
9.6 使用/etc/passwd文件 243
9.7 附加窗口内存注入 243
9.8 挂钩 243
9.9 计划任务 244
9.10 新服务 244
9.11 启动项 245
9.12 Sudo缓存 245
9.13 其他权限提升工具 246
9.13.1 0xsp Mongoose v1.7 246
9.13.2 Windows平台：0xsp Mongoose RED 247
9.13.3 Hot Potato 247
9.14 结论和经验教训 248
9.15 小结 248
第10章 安全策略 249
10.1 安全策略检查 249
10.2 用户教育 251
10.2.1 用户社交媒体安全指南 252
10.2.2 安全意识培训 253
10.3 策略实施 253
10.3.1 云上策略 255
10.3.2 应用程序白名单 257
10.3.3 安全加固 260
10.4 合规性监控 261
10.5 通过安全策略持续推动安全态势增强 263
10.6 小结 265
第11章 网络安全 266
11.1 深度防御方法 266
11.1.1 基础设施与服务 267
11.1.2 传输中的文件 268
11.1.3 端点 269
11.1.4 微分段 270
11.2 物理网络分段 270
11.3 远程访问的网络安全 274
11.4 虚拟网络分段 276
11.5 零信任网络 277
11.6 混合云网络安全 279
11.7 小结 284
第12章 主动传感器 285
12.1 检测能力 285
12.2 入侵检测系统 290
12.3 入侵防御系统 292
12.3.1 基于规则的检测 292
12.3.2 基于异常的检测 292
12.4 内部行为分析 293
12.5 混合云中的行为分析 295
12.5.1 Microsoft Defender for Cloud 296
12.5.2 PaaS工作负载分析 298
12.6 小结 300
第13章 威胁情报 301
13.1 威胁情报概述 301
13.2 用于威胁情报的开源工具 304
13.2.1 免费威胁情报馈送 308
13.2.2 使用MITRE ATT&CK 311
13.3 微软威胁情报 315
13.4 小结 317
第14章 事件调查 318
14.1 确定问题范围 318
14.2 调查内部失陷系统 322
14.3 调查混合云中的失陷系统 326
14.4 主动调查（威胁猎杀） 334
14.5 经验教训 337
14.6 小结 337
第15章 恢复过程 338
15.1 灾难恢复计划 338
15.1.1 灾难恢复计划流程 339
15.1.2 挑战 342
15.2 现场恢复 342
15.3 应急计划 343
15.3.1 IT应急计划流程 344
15.3.2 风险管理工具 348
15.4 业务连续性计划 349
15.4.1 业务持续开发计划 350
15.4.2 如何制定业务连续性计划 350
15.4.3 创建有效业务连续性计划的7个步骤 351
15.5 灾难恢复最佳实践 352
15.5.1 内部部署 353
15.5.2 云上部署 353
15.5.3 混合部署 354
15.6 小结 354
第16章 漏洞管理 355
16.1 创建漏洞管理策略 355
16.1.1 资产盘点 356
16.1.2 信息管理 356
16.1.3 风险评估 358
16.1.4 漏洞评估 361
16.1.5 报告和补救跟踪 362
16.1.6 响应计划 363
16.2 漏洞策略的要素 363
16.3 漏洞管理与漏洞评估的区别 364
16.4 漏洞管理最佳实践 365
16.5 漏洞管理工具 368
16.6 结论 386
16.7 小结 386
第17章 日志分析 388
17.1 数据关联 388
17.2 操作系统日志 389
17.2.1 Windows日志 389
17.2.2 Linux日志 391
17.3 防火墙日志 392
17.4 Web服务器日志 394
17.5 AWS日志 395
17.6 Azure Activity日志 398
17.7 Google Cloud Platform日志 400
17.8 小结 402