ATT&CK框架实践指南-图书

推荐0
收藏0
浏览740

ATT&CK框架实践指南

书　　号：978-7-121-42435-9
出版日期：2022-01-06
页　　数：348
开　　本：16(170*240)
出版状态：上市销售
维护人：张春雨

纸质版￥148.00

过去，入侵检测能力的度量是个公认的行业难题，各个企业得安全负责人每年在入侵防护上都投入大量费用，但几乎没有人能回答CEO 的问题：“买了这么多产品，我们的入侵防御和检测能力到底怎么样，能不能防住黑客？”。这个问题很难回答，核心原因是缺乏一个明确的、可衡量、可落地的标准。所以，防守方对于入侵检测通常会陷入不可知和不确定的状态中，既说不清自己的能力高低，也无法有效弥补自己的短板。Mitre ATT&CK 的出现解决了这个行业难题。它给了我们一把尺子，让我们可以用统一的标准去衡量自己的防御和检测能力。ATT&CK并非一个学院派的理论框架，而是来源于实战。安全从业者们在长期的攻防对抗，攻击溯源，攻击手法分析的过程中，逐渐提炼总结，形成了实用性强、可落地、说得清道得明的体系框架。这个框架是先进的、充满生命力的，而且具备非常高的使用价值。青藤是一家专注于前沿技术研究的网络安全公司，自2017年开始关注ATT&CK，经过多年系统性的研究、学习和探索，积累了相对比较成熟和系统化的资料，涵盖了ATT&CK 的设计思想、核心架构、应用场景、技术复现、对抗实践、指标评估等多方面的内容。研究越深入，愈发意识到Mitre ATT&CK 可以为行业带来的贡献。因此编写本书，作为ATT&CK 系统性学习材料，希望让更多的人了解ATT&CK，学习先进的理论体系，提升防守方的技术水平，加强攻防对抗能力。也欢迎大家一起加入到研究中，为这个体系的完善贡献一份力量。

ATT&CK 框架是全球可用的对抗战术与技术知识库，是基于网络社区提供的真实攻击事件和开放源代码研究而建立的，旨在帮助网络防御者了解他们面临的威胁。ATT&CK 框架提供了有关对抗战术、技术和步骤以及如何检测、预防和/或缓解对抗战术、技术和步骤的常识知识，得到了全球各地组织机构的广泛使用。

近年来，我国在“新基建”领域加速布局，并大力推动数字经济的发展。这当中，企业数字化转型是我国推动经济社会发展的重要战略手段，而云计算成为企业进行数字化转型的基石和枢纽。随着万千企业的发展提速换挡，市场对云计算的使用效能提出了新的需求。云原生以其独特的技术特点，很好地契合了云计算发展的本质需求，正在成为驱动云计算质变的技术内核。
云原生的概念最早出现于2013年，由来自Pivotal的Matt Stine提出。概念中包括容器、微服务、DevOps、持续交付、敏捷基础设施等众多组成部分。云原生真正解决的问题是企业级云应用，它在架构设计、开发方式、部署维护等各个阶段和方面都基于云的特点进行重新设计。拥抱云原生应用程序意味着要改变思考、开发和部署应用程序的模式，这种转变不仅是技术应用或观点上的升级转变，更是关乎整个体系流程、开发模式、应用架构、运行平台等方面的升级转变。
伴随这一切的变化而来的是新的安全问题和安全挑战，当传统安全防护手段已然无法解决容器中的安全问题时，云原生安全成为我们不得不关注的重点话题。从某种角度上看，研发和运维人员更关注业务的运营效率，对于安全人员来讲，安全是一切运行的基础和前提，这就需要在两者间寻求一种平衡。DevSecOps更关注安全左移、运行时安全，将安全和运维有机地融合在一起，成为解决以上问题的极佳方式。
兵无常势，水无常形。能因敌变化而取胜者，谓之神。云原生安全的攻防之道，亦是如此。云原生技术本就在快速发展中，在不断变化的漏洞、木马、病毒等的攻击下，企业不仅要做到快速检测识别，还要迅速地做出响应和处理，这样才能更好地保障业务的运行安全和稳定。
本书共分为六部分，由浅入深地阐述了云原生安全的技术实践。其中，前三部分主要介绍了云原生背景下安全行业的发展趋势和产业变革，同时对云原生安全环境的技术和风险进行了详细的分析。第四部分攻击篇，重点介绍了云原生的攻击矩阵和高频攻击的技术案例，例如针对容器和Kubernetes的ATT&CK攻击矩阵都做了详细而全面的介绍。第五部分防御篇，主要讲解如何构建新一代的云原生安全防御体系，并基于金融、运营商和互联网三个重点行业实践进行了深入的剖析。第六部分进化篇，简要介绍了对5G及边缘计算下的云原生安全的新思考。
随着容器、Kubernetes、Serverless等云原生技术在云原生应用程序开发中变得越来越流行，容器安全、镜像安全、ATT&CK攻击矩阵、入侵检测等技术也将持续更新迭代。因此，我们需要对云原生安全的技术实践有更深入系统的了解，这样才能在不断的技术变化中找到最佳的实践路径。
最后，本书内容难免会有纰漏和不足之处，欢迎各位批评指正，与我们一同加入云原生安全的探索与实践中来，共同为数字经济的发展保驾护航。

第1部分趋势篇
云原生时代的产业变革与安全重构
第1章云原生的发展促进了产业变革 2
1.1 云原生相关概念 2
1.2 企业正加速向云原生发展 5
1.3 云原生给组织带来的变化 7
1.3.1 体系流程的变化 7
1.3.2 开发模式的变化 8
1.3.3 应用架构的变化 11
1.3.4 运行平台的变化 15
第2章云原生时代安全需要重构 16
2.1 组织重构 17
2.2 技术重构 20
第2部分概念篇
云原生场景中关键概念解析
第3章容器安全技术概念 28
3.1 容器与镜像基础概念 28
3.1.1 容器基础概念 28
3.1.2 镜像基础概念 29
3.2 容器与镜像安全原则 30
3.2.1 容器安全原则 30
3.2.2 镜像安全原则 31
3.3 容器隔离限制技术 32
3.3.1 容器两大限制技术 32
3.3.2 容器五大隔离技术 33
3.4 镜像安全控制技术 37
第4章编排工具安全技术概念 41
4.1 Kubernetes基础概念 41
4.1.1 Kubernetes功能 42
4.1.2 Kubernetes架构 42
4.1.3 Kubernetes对象 45
4.2 Kubernetes安全原则 46
4.2.1 Kubernetes主体最小权限 46
4.2.2 Kubernetes工作负载最小权限 50
4.3 Kubernetes安全控制技术 54
4.3.1 Kubernetes认证 55
4.3.2 Kubernetes授权 61
4.3.3 准入控制器 65
第5章应用安全技术概念 69
5.1 微服务安全 69
5.1.1 微服务安全框架 70
5.1.2 微服务实例说明 73
5.2 API安全 74
5.2.1 API基础概念 75
5.2.2 API常见类型 76
5.2.3 API安全方案 78
5.3 Serverless安全 82
5.3.1 Serverless基础概念 82
5.3.2 Serverless架构及实例 84
5.3.3 Serverless安全控制技术 86
第3部分风险篇
云原生安全的风险分析
第6章容器风险分析 90
6.1 容器威胁建模 90
6.2 容器加固 93
6.2.1 镜像风险 94
6.2.2 镜像仓库风险 96
6.2.3 容器风险 98
6.2.4 主机操作系统风险 100
第7章编排风险分析 102
7.1 Kubernetes威胁建模 102
7.2 安全加固 104
7.2.1 Pod安全 104
7.2.2 网络隔离与加固 106
7.2.3 认证与授权 108
7.2.4 日志审计与威胁检测 109
第8章应用风险分析 113
8.1 微服务风险分析 113
8.1.1 Spring Cloud安全分析 114
8.1.2 Istio安全分析 118
8.2 API风险分析 122
8.3 Serverless风险分析 128
第4部分攻击篇
云原生攻击矩阵与实战案例
第9章针对云原生的ATT&CK攻击矩阵 134
9.1 针对容器的ATT&CK攻击矩阵 134
9.2 针对Kubernetes的ATT&CK攻击矩阵 138
第10章云原生高频攻击战术的攻击案例 146
10.1 容器逃逸攻击案例 146
10.1.1 容器运行时逃逸漏洞 147
10.1.2 Linux内核漏洞 149
10.1.3 挂载宿主机Procfs文件系统的利用 153
10.1.4 SYS_PTRACE权限利用 156
10.2 镜像攻击案例 157
10.2.1 通过运行恶意镜像实现初始化访问 157
10.2.2 创建后门镜像 159
10.3 Kubernetes攻击案例 162
10.3.1 通过API Server实现初始访问 162
10.3.2 在容器中实现恶意执行 165
10.3.3 创建特权容器实现持久化 170
10.3.4 清理Kubernetes日志绕过防御 172
10.3.5 窃取Kubernetes secret 173
第5部分防御篇
新一代云原生安全防御体系
第11章云原生安全防御原则与框架 178
11.1 云原生安全四大原则 178
11.1.1 零信任 178
11.1.2 左移 180
11.1.3 持续监控&响应 181
11.1.4 工作负载可观测 182
11.2 新一代云原生安全框架 183
第12章基于行业的云原生安全防御实践 185
12.1 通信行业云原生安全防御实践 185
12.2 金融行业云原生安全防御实践 188
12.3 互联网行业云原生安全防御实践 191
第6部分进化篇
新兴场景下的云原生安全新思考
第13章 5G场景下的容器安全 196
13.1 检测5G云横向移动 197
13.2 网络资源隔离 200
第14章边缘计算场景下的容器安全 203
14.1 容器与边缘计算 204
14.1.1 边缘计算工作原理 204
14.1.2 边缘计算与云计算的区别 205
14.1.3 边缘计算对隐私和安全的重要性 206
14.2 将Kubernetes工作负载带到边缘 207
14.2.1 在Kubernetes中管理边缘工作负载 207
14.2.2 边缘容器 208
14.2.3 WebAssembly和Wasi 209
14.3 边缘计算环境下的容器数据安全 211