防患未然：实施情报先导的信息安全方法与实践 pdf epub mobi txt 电子书 下载 2025

简体网页||繁体网页

☆☆☆☆☆

[美] 艾伦·利斯卡（AllanLiska） 著，姚军 译

图书标签:

• 信息安全
• 情报驱动安全
• 威胁情报
• 风险管理
• 安全规划
• 预防性安全
• 安全实践
• 网络安全
• 安全架构
• 主动防御

出版社： 机械工业出版社

ISBN：9787111524779

版次：1

商品编码：11853524

品牌：机工出版

包装：平装

丛书名： 信息安全技术丛书

开本：32开

出版时间：2016-01-01

用纸：胶版纸

页数：208

编辑推荐

　　

　　全面介绍情报先导信息安全方法和实践的著作

　　从威胁的种类、历史、特征入手，循序渐进地阐述如何实施情报先导的安全项目，结合内外部情报，拓展态势感知能力

　　传统的网络防御三剑客——防火墙、入侵检测系统和桌面防病毒软件，已经不再能让我们高枕无忧，在敌人大打情报战的时候，我们能怎么办？只有以其人之道还治其人之身——实施情报先导的安全项目，结合内外部情报，拓展态势感知能力，先敌一步采取行动，将攻击扼杀在摇篮之中。

　　网络威胁情报的加入有助于安全团队发现传统安全平台没有发现的事件，将网络上似乎无关的事件关联起来。合理实施的情报还能帮助安全从业人员更有效地排定安全事件的优先级并做出响应，使他们的生活更轻松。本书将介绍如何实施安全信息和事件管理系统、收集和分析日志，以及如何实践真正的网络威胁情报。你将学习如何深入理解网络，可能的方式保护它。

　　提供构建情报先导信息安全项目、保护公司的路线图和方向。

　　学习如何通过日志和用户监控理解网络，有效评估威胁情报、增强态势感知能力。

　　学习如何使用流行框架和工具（如YARA、STIX、TAXII、CyBOX、Hadoop和Splunk），关联不同的信息，制作可行动的网络威胁情报。

　　学习新型威胁情报管理平台，以及它们与现有系统配合改进情报循环的方式。

内容简介

　　

　　本书由资深网络安全专家Allan Liska亲笔撰写，从威胁的种类、历史、特征入手，循序渐进地阐述了情报的类型和重要性、网络安全情报模型、数据收集、内外部情报源等情报先导信息安全的重要概念及方法，为在各种网络攻击面前苦于招架的安全团队带来了一剂良药。

　　本书的篇幅虽不算大，内涵却十分丰富，不是泛泛地介绍各种工具，而是系统地介绍各种网络安全方法，包括攻击链模型、网络安全情报模型，以及各种行业ISAC等组织的讲解，足以令读者茅塞顿开，在安全领域开辟新的道路。

作者简介

　　Allan Liska，是iSIGHT Partners技术联盟项目主管，在信息安全领域有逾15年的从业经验。凭借在攻击和防御网络上的经验，Allan提出了有关威胁状态的独特观点。他还是《The Practice of Network Security》的作者。

目录

译者序
前　言
第1章　理解威胁 1
1.1　引言 1
1.2　网络安全简史 2
1.2.1　Morris蠕虫 2
1.2.2　防火墙 3
1.2.3　入侵检测系统 4
1.2.4　台式机 5
1.2.5　邮件过滤器和代理 7
1.2.6　分布式拒绝服务攻击 10
1.2.7　统一威胁管理 11
1.3　理解当前的威胁 12
1.3.1　恶意软件行业 13
1.3.2　恶意软件商品化 15
1.3.3　攻击之王—网络钓鱼 17
1.3.4　攻击面正在扩大 19
1.3.5　云的兴起 21
1.4　即将出现的威胁 22
1.5　小结 24
1.6　参考书目 24
第2章　什么是情报 27
2.1　引言 27
2.2　情报的定义 28
2.3　情报循环 29
2.4　情报类型 33
2.5　专业分析师 34
2.6　拒止与欺骗 38
2.7　古往今来的情报 40
2.7.1　孙子 41
2.7.2　凯撒大帝 43
2.7.3　乔治·华盛顿 44
2.7.4　布莱奇利庄园 45
2.8　小结 47
2.9　参考书目 47
第3章　构建网络安全情报模型 49
3.1　引言 49
3.2　网络威胁情报的定义 50
3.3　攻击剖析 51
3.4　从不同的角度接近网络攻击 55
3.5　在安全工作流中加入情报生命期 60
3.5.1　情报是有活力的 62
3.5.2　一图胜千言 63
3.6　自动化 65
3.7　小结 68
3.8　参考书目 68
第4章　收集数据 69
4.1　引言 69
4.2　连续监控框架 70
4.3　NIST网络安全框架 73
4.3.1　框架核心 73
4.3.2　框架实施层次 75
4.3.3　框架配置文件 78
4.4　安全性+情报 79
4.5　安全性的业务方面 82
4.6　规划分阶段方法 85
4.6.1　目标 85
4.6.2　初始评估 85
4.6.3　分析当前安全状态 87
4.6.4　进入下一阶段 89
4.7　小结 90
4.8　参考书目 90
第5章　内部情报来源 93
5.1　引言 93
5.2　资产、漏洞和配置管理 94
5.3　网络日志记录 101
5.3.1　SIEM带来的麻烦 102
5.3.2　SIEM的能力 105
5.3.3　托管安全服务提供商 108
5.3.4　访问控制 110
5.4　网络监控 111
5.5　小结 114
5.6　参考书目 115
第6章　外部情报来源 117
6.1　引言 117
6.2　品牌监控与情报的对比 118
6.3　资产、漏洞和配置管理 121
6.4　网络日志记录 127
6.4.1　作为中心点的IP地址 129
6.4.2　作为中心点的域名 133
6.4.3　作为中心点的文件散列 137
6.4.4　以MSSP警报为中心 140
6.5　网络监控 141
6.6　防范零日攻击 143
6.7　事故响应和情报 146
6.8　协作式威胁研究 147
6.9　小结 148
6.10　参考书目 149
第7章　融合内部和外部情报 151
7.1　引言 151
7.2　安全意识培训 152
7.3　OpenIOC、CyBOX、STIX和TAXII 156
7.3.1　OpenIOC 156
7.3.2　CyBOX 157
7.3.3　STIX和TAXII 159
7.4　威胁情报管理平台 161
7.5　大数据安全分析 166
7.6　小结 168
7.7　参考书目 169
第8章　CERT、ISAC和情报共享社区 171
8.1　引言 171
8.2　CERT和CSIRT 172
8.2.1　CERT/协调中心 173
8.2.2　US-CERT和国家级CSIRT 174
8.2.3　公司级CSIRT 175
8.3　ISAC 176
8.4　情报共享社区 182
8.5　小结 185
8.6　参考书目 185
第9章　高级情报能力 187
9.1　引言 187
9.2　恶意软件分析 188
9.2.1　为什么这是个坏主意 188
9.2.2　建立恶意软件实验室 189
9.3　蜜罐 199
9.3.1　为什么这是个坏主意 200
9.3.2　蜜罐的布设 201
9.3.3　建立计划 202
9.3.4　蜜罐类型 203
9.3.5　选择蜜罐 204
9.4　入侵诱骗 206
9.4.1　为什么这是个坏主意 206
9.4.2　入侵诱骗的工作原理 207
9.5　小结 208
9.6　参考书目 208

前言/序言

　　2015年2月，我参加了RSA大会，这是我多年来第一次参加这项会议，会上我被网络安全领域在很短时间内发生的巨大变化深深打动。更确切地说，在很短的时间内，网络安全市场发生的巨大变化触动了我。

　　在RSA大会上，几乎每一家网络安全供应商都在兜售他们的情报，不管是供应商在平台中直接提供的原生情报，还是供应商与第三方情报提供上的集成。别误解，我坚信情报是在安全事故成为大问题之前识别和解决它们的最佳手段。但是情报不是一个数据摘要，也不是一系列指标。相反，情报是获得这些指标、使它们可以付诸行动，并提供指标背后威胁的来龙去脉的全过程。

　　实际上，编写本书的动机来自于RSA会议期间一个雨夜中与本书技术编辑Tim Gallo关于这一主题的一次交谈。本书不是关于系统配置的纯技术书籍，它的目标是帮助读者决定如何调整组织内部的安全过程，以容纳情报循环，并考虑所得情报的注入点。在使用得当的情况下，情报越好，给网络带来的保护越好。

　　本书是介绍这一复杂主题的第一次尝试，如果你愿意，可以把它称作版本1.0。我十分感谢任何反馈，不管它们是正面的还是负面的，都可以帮助下一版本变得更好。你可以通过allan@allan.org和我联系，并提供任何意见。

　　致谢本书的首要主题之一是信息共享的重要性。如果无法根据情报采取行动，或者情报没有及时交到需要根据它采取行动的人手中，那么情报就是毫无意义的。如果没有那么多网络威胁情报社区的人和我分享他们的知识，本书就不可能出版。

　　我要特别感谢一些人的帮助：Cisco的Brian Tillett，Carbon Black的Ben Johnson和Jeffrey Guy，CrowdStrike的Mike Cryer和Scott Fuselier，Palantir的Geoff Stowe，Symantec的Sean Murphy，Mandiant的Justin Bajko，Recorded Future的Jeson Hines，DomainTools的Tim Chen，Schweitzer Engineering Laboratories的Laura Scheweitzer，Reservoir Labs的Patrick Clancy，LockPath的Chris Goodwin和Chris Caldwell，ThreatConnect的Andy Pendergast和Michele Perry，eSentire的Sean Blenkhorn，以及ThreatQuotient的Wayne Chiang。

　　我还要感谢iSIGHT Partners的同事们，感谢所有人在这段时间的支持。他们的支持、建议、想法和交流使我可以写出一本真正对广大读者有帮助的书。

　　除了广泛的社区支持之外，我还要感谢Tim Gallo出色的技术编辑工作。Tim和我一起花费了很长的时间，提炼我们关于在组织中有效利用网络威胁情报的方法，因此，他对这本书的贡献和我一样多。实际上，本书中许多最巧妙的段落直接归功于他的编辑。

　　最后，如果没有Syngress的Chris Katsaropoulos和Ben Rearick的辛勤工作，本书就无法出版。感谢Chris相信我的想法并且帮助把它们转化成文字。感谢Ben帮我控制进度，在遇到阻力时鼓励我。他们两位使本书的出版过程比10年前轻松很多。

　　作者简介Allan Liska是iSIGHT Partners的技术联盟项目主管，是一位“事故”安全性专家。虽然Allan总是擅长破坏性的工作，但是他最早的专业工作是担任Genie在线服务（AOL早期竞争者，已消亡多年）的客户服务代表，当时他将业余时间花在理解用户如何在未授权状态下访问系统、驱逐这些访问者并让开发人员知道需要打补丁的地方。在不知不觉中，这些工作使其走上了安全专家的道路。之后，他供职于UUNET和Symantec等公司，帮助各大公司加固网络安全。他还曾经在波音公司工作，尝试攻破公司的网络。今天，Allan帮助各大公司实施情报工作，使所有安全设备相互通信，加大情报覆盖面。

　　除了将时间花在安全边界两端之外，Allan还撰写了大量有关安全的书籍，包括《The Practice of Network Security》。此外，他还是《Apache Administrator抯 Handbook》的合著者。

　　技术编辑简介Tim Gallo是Symantec的现场工程师。他在Symantec有11年的工作经验，而在信息技术和IT安全方面已经有16年的经验。作为Symantec网络安全组的现场工程师，他为Symantec的客户提供策略和指导，帮助他们利用情报收集和传播建立具有前瞻性的保护方案。他还在其他方面为Symantec提供服务，包括Symantec情报服务的技术产品管理、全球服务与工程团队中的运营和交付任务，以及领导公司高级网络安全产品支持战略。在就职于Symantec之前，Tim曾在一家领先的工业制造企业担任美国地区安全官员，负责战略性策略开发、测试和数据中心运营。作为当前工作的一部分，Tim是安全策略、情报计划和威胁及安全漏洞管理领域的思想领袖。

《风控之眼：预见风险，驾驭未来——企业安全情报赋能新纪元》 一、 时代浪潮下的安全挑战与隐忧 数字经济的飞速发展，以前所未有的速度重塑着商业格局，同时也带来了错综复杂的安全挑战。网络攻击的手段日新月异，从传统的病毒、木马，到如今的勒索软件、APT攻击，攻击者的组织性、技术性和隐蔽性不断增强。数据泄露、知识产权侵犯、供应链风险、地缘政治冲突对企业运营的干扰，以及日益严峻的合规性压力，都让企业面临着前所未有的生存危机。 传统的安全策略，往往是“被动防御”模式。即等到攻击发生、损失已经造成后，才着手补救。这种模式如同“亡羊补牢”，不仅成本高昂，而且难以弥补造成的声誉损害和业务中断。更令人担忧的是，许多企业对潜在风险的认知不足，缺乏前瞻性的预警机制，如同在迷雾中航行，随时可能触礁。 信息安全不再仅仅是IT部门的技术问题，它已经上升到企业战略层面，直接关系到企业的生死存亡。企业需要一种更主动、更智能、更具前瞻性的安全管理模式，能够洞察潜在威胁，预判风险走向，从而在风险真正发生之前，就采取有效的防范措施。 二、 “情报先导”：主动安全的新范式 《风控之眼：预见风险，驾驭未来》一书，正是为了应对这一时代挑战而诞生的。它 propon了一套全新的企业安全管理理念——“情报先导”。与被动防御不同，“情报先导”的核心在于“预见”。它强调将信息安全的主动权牢牢掌握在企业手中，通过构建一个强大的、持续运作的安全情报体系，让企业能够“看得更远”、“看得更清”、“看得更准”。 本书并非泛泛而谈的理论堆砌，而是深入剖析了“情报先导”理念在实践中的落地方法与关键要素。它将复杂的安全情报工作，分解为可执行、可操作的步骤，为企业构建一套系统性的安全风险管理框架。 三、 情报体系构建：五大支柱，协同作战 本书的核心内容，聚焦于构建一个强大且灵活的情报体系。这个体系并非孤立存在，而是由五个相互关联、协同作战的关键支柱构成： 1. 威胁情报（Threat Intelligence）： 这是“情报先导”的基石。本书详细阐述了如何收集、分析和应用来自各种渠道的威胁情报，包括但不限于： 技术层面的威胁： 新兴的攻击技术、漏洞信息、恶意软件家族、攻击者的TTPs（战术、技术和过程）。 行为层面的威胁： 攻击者的动机、目标、行为模式，以及可能存在的内部威胁。 行业层面的威胁： 特定行业面临的独特风险、目标性攻击的趋势。 全球层面的威胁： 地缘政治因素对网络安全的潜在影响。 本书将指导读者如何从开源情报（OSINT）、商业情报源、政府公告、安全社区论坛等多种渠道，获取有价值的威胁情报，并运用自动化工具和人工分析，将原始数据转化为可操作的洞察。 2. 风险情报（Risk Intelligence）： 威胁情报关注“谁在攻击我们，用什么方式攻击”，而风险情报则聚焦于“我们可能面临哪些风险，风险有多大，影响有多深远”。本书深入探讨了如何识别和评估企业自身的脆弱性，以及外部环境可能带来的风险。这包括： 资产风险评估： 识别和梳理企业关键资产（数据、系统、知识产权、品牌声誉等），并评估其面临的风险暴露程度。 供应链风险分析： 评估第三方供应商、合作伙伴带来的潜在安全风险，包括其自身安全状况、数据共享等。 合规性与法律风险： 梳理企业面临的国内外数据保护法规、行业监管要求，以及潜在的合规性风险。 地缘政治与运营风险： 分析宏观经济、政治环境变化可能对企业安全带来的间接影响。 3. 态势感知（Situational Awareness）： 这是一个动态的过程，是将收集到的情报转化为对当前安全状况的全面理解。本书强调了态势感知的重要性，以及如何通过以下方式实现： 统一的情报平台： 构建一个集中的平台，整合各类情报数据，实现可视化展示和实时监控。 关联分析： 将不同来源、不同类型的情报进行关联分析，发现潜在的攻击链和风险趋势。 可视化仪表盘： 设计直观的仪表盘，清晰地呈现关键安全指标、风险等级、潜在威胁等信息，便于决策者快速掌握全局。 场景化分析： 针对不同业务场景和威胁类型，进行定制化的态势感知分析。 4. 情报驱动的防御（Intelligence-Driven Defense）： 这是“情报先导”的核心应用环节。本书强调，情报的价值在于指导防御行动。如何将情报洞察转化为具体的安全策略和行动，是本书的重点。这包括： 主动的威胁狩猎（Threat Hunting）： 基于情报线索，主动在企业网络中搜寻潜在的、未被发现的威胁。 精准的漏洞管理： 优先修复情报指向的、最可能被利用的漏洞。 高效的事件响应： 利用情报信息，更快地识别、遏制和清除安全事件。 智能的安全策略优化： 基于对风险和威胁的深入理解，动态调整安全策略和技术部署。 安全意识培训的精准化： 根据情报揭示的最新攻击手法，有针对性地开展员工安全意识培训。 5. 持续改进与演进（Continuous Improvement and Evolution）： 安全情报是一个动态的、不断发展的领域。本书强调了建立持续改进机制的必要性： 情报生命周期管理： 确保情报的收集、处理、分析、分发和失效都有明确的流程。 效果评估与反馈： 定期评估情报工作的有效性，收集用户反馈，不断优化情报收集方向、分析方法和应用策略。 技术与人才发展： 关注新兴技术在情报工作中的应用，并持续培养具备高级分析和洞察能力的安全人才。 四、 赋能企业，驾驭未来 《风控之眼：预见风险，驾驭未来》一书，不仅仅是一本关于信息安全的技术手册，更是一本关于企业战略转型和风险管理的启示录。它旨在帮助企业： 从被动响应转向主动预警： 在威胁触及企业之前，就能识别并消除风险。 从“猜谜”转向“知情”： 建立基于事实和数据的安全决策体系。 从“盲点”转向“全景”： 获得对企业安全态势的清晰洞察。 从“单兵作战”转向“协同作战”： 打通安全、IT、业务部门之间的壁垒，形成全员参与的安全文化。 最大化安全投资回报： 将有限的安全资源投入到最关键的风险点上。 无论您的企业规模大小，无论您身处哪个行业，本书都将为您提供一套切实可行的指导，帮助您构建一个强大的“风控之眼”，在复杂多变的数字世界中，从容应对挑战，把握机遇，实现可持续的创新与发展。本书将引领您进入企业安全新纪元，让您不再是被动的防御者，而是洞察先机、主动出击的驾驭者。

评分☆☆☆☆☆

我是一名在网络安全一线摸爬滚打多年的技术人员，深知信息安全工作的艰辛和挑战。很多时候，我们都在疲于应对层出不穷的安全事件，而这本书的出现，让我看到了另一种可能性——主动出击，防患于未然。作者提出的“情报先导”理念，在我看来，是对传统安全模式的一次重要革新。我迫切希望书中能够深入剖析，如何构建一个能够持续运作的、具有实战价值的情报体系。这不仅仅是技术的堆砌，更需要战略的规划和流程的优化。我想了解，在实际操作中，如何将不同来源的情报进行整合和关联，从中发现攻击者的意图和手法？如何将这些情报转化为具体的防御措施，例如调整防火墙规则、加强特定系统的监控、优化访问控制策略等等？书中提到的“实践”部分，我非常看重，希望能看到一些真实的案例，例如某公司是如何通过情报提前发现并阻止了一次大规模的DDoS攻击，或者是如何通过分析零日漏洞情报，及时升级了系统，避免了数据泄露。

评分☆☆☆☆☆

翻开这本书，首先映入眼帘的是作者在引言部分对当前网络安全形势的深刻洞察。作者以一种不容置疑的语气，勾勒出了一个充满挑战的数字时代，信息安全不再是简单的技术防护，而是一场关乎企业生死存亡的战略博弈。书中所提出的“情报先导”理念，在我看来，是颠覆性的。它不仅仅是信息的堆积，更是一种思维模式的转变，是从“事后诸葛亮”到“事前预警者”的升华。我一直在思考，在信息爆炸的时代，如何才能从海量的数据中提炼出真正有价值的安全情报？这本书似乎提供了答案。我希望书中能详细阐述情报的来源、分类、分析方法，以及如何建立一个高效的情报分析团队。更重要的是，我期待书中能够提供一套完整的实施框架，指导读者如何将这些情报有效地融入到现有的信息安全体系中，形成一个闭环的管理流程。书中关于“实践”的承诺，也让我充满了期待，希望能够看到一些行业内的最佳实践案例，学习其他组织是如何成功运用情报来应对安全威胁的，甚至是如何在零星的线索中发现潜在的攻击的。

评分☆☆☆☆☆

这本书的封面设计非常有质感，整体色调偏沉稳，字体选择也显得专业且不失力量感。我一直对信息安全领域有着浓厚的兴趣，尤其是那些能够真正提升防御能力、防患于未然的策略。从书名《防患未然：实施情报先导的信息安全方法与实践》来看，它似乎直指核心问题——如何从被动防御转向主动预警，并且强调了“情报先导”这一概念。我个人认为，在当前网络安全威胁日益复杂和多变的背景下，传统的被动防御模式已经越来越难以应对，建立一套能够预测、识别并及时规避潜在风险的体系至关重要。这本书的出现，恰好满足了我对这一前沿课题的探索需求。我特别期待书中能够深入剖析情报在信息安全中的具体应用，比如如何收集、分析、利用各种安全情报，以及如何将其融入日常的安全管理和决策流程中。同时，书中提到的“方法与实践”也让我对如何将理论付诸实践产生了浓厚的兴趣，希望能看到一些具有指导意义的案例分析和落地方法，帮助我理解如何将这些概念转化为切实可行的安全措施，从而真正实现“防患于未然”。

评分☆☆☆☆☆

这本书的书名本身就充满了吸引力，“防患未然”是所有安全从业者追求的终极目标，而“情报先导”则为这个目标指明了方向。我一直认为，信息安全不仅仅是技术问题，更是战略问题。如何利用情报来预测和规避风险，是提升安全能力的关键。我期待这本书能够深入探讨情报在整个信息安全生命周期中的作用，从威胁情报的收集、分析、到应用，再到与风险管理、事件响应等环节的联动。我希望书中能够提供清晰的框架和具体的指导，帮助读者理解如何构建一个主动、智能、并且具有前瞻性的安全体系。特别地，我对书中关于“实践”的部分非常感兴趣，希望能看到一些落地性强的建议，例如如何建立一个高效的情报团队，如何利用现有的技术和工具来支持情报工作，以及如何衡量情报先导模式的成效。这本书的出现，无疑为我们提供了一个新的视角和一套新的方法论，去思考和实践信息安全。

评分☆☆☆☆☆

这本书给我的第一印象是其前瞻性。在信息安全领域，技术更新迭代的速度非常快，很多理论和实践很快就会被淘汰。而《防患未然》这本书，通过“情报先导”这一概念，似乎为信息安全提供了一个更高维度的思考路径。我一直觉得，真正的安全不是靠补丁和防火墙堆砌出来的，而是需要对威胁有深刻的理解和预判。作者在书中应该会深入探讨如何建立一个持续的情报收集和分析机制，以应对那些尚未显现的、但潜在极具威胁的攻击。我希望书中能够提供一套系统性的方法论，帮助企业理解如何构建属于自己的情报能力，包括从哪里获取情报，如何对情报进行有效的评估和排序，以及如何将这些情报转化为可执行的安全策略。我尤其感兴趣的是，书中是否会涉及一些自动化和智能化的工具，来辅助情报的收集和分析，毕竟人工分析的效率和覆盖面是有限的。同时，对于“实践”部分，我期待看到一些具体的部署指南，以及如何衡量情报先导模式的有效性，例如通过降低事件响应时间、减少安全事件数量等方面。

评分☆☆☆☆☆

安全从业可以读读

评分☆☆☆☆☆

快速翻了一下。有些想法还是值得借鉴的

评分☆☆☆☆☆

质量不错，价格也算合适，内容也很好

评分☆☆☆☆☆

快递快，东西好，非常不错，值得购买！

评分☆☆☆☆☆

好评！！！！！！！！！

评分☆☆☆☆☆

还可以，值得看一看，多多学习

评分☆☆☆☆☆

很多专业术语，收货不大

评分☆☆☆☆☆

买了立马就用到了，理论作指导，实践为修正！很好很轻大

评分☆☆☆☆☆

书很小，很薄，内容多为理念性的