- 推荐0
- 收藏0
- 浏览41
ATT&CK框架实践指南(第2版)
- 书 号:9787121453182
- 出版日期:2023-08-01
- 页 数:
- 开 本:
- 出版状态:上市销售
- 维护人:博文小编
《ATT&CK框架实践指南(第2版)》由浅入深,从原理到实践,从攻到防,循序渐进地介绍了备受信息安全行业青睐的ATT&CK 框架,旨在帮助相关企业更好地将 ATT&CK 框架用于安全防御能力建设。全书分为5 部分,共 17 章,详细介绍了 ATT&CK 框架的整体架构,如何利用 ATT&CK 框架检测一些常见的攻击组织、恶意软件和高频攻击技术,以及 ATT&CK 在实践中的落地应用,最后介绍了MITRE ATT&CK 相关的生态项目,包括 MITRE Engage 以及 ATT&CK 测评。
《ATT&CK框架实践指南(第2版)》适合网络安全从业人员(包括 CISO、CSO、蓝队人员、红队人员等)、网络安全研究人员等阅读,也可供网络空间安全、信息安全等专业教学、科研、应用人员参考。
《ATT&CK框架实践指南(第2版)》适合网络安全从业人员(包括 CISO、CSO、蓝队人员、红队人员等)、网络安全研究人员等阅读,也可供网络空间安全、信息安全等专业教学、科研、应用人员参考。
领域首著,工程院院士携国家信息中心|信息安全标准化委员会|公安部|教育部|国家互联网应急中心|平安集团|杭州安恒|绿盟科技负责领导集体力荐
MITRE 发起的对抗战术和技术知识库——ATT&CK 始于 2015 年,其目标是提供一个“基于现实世界观察的、全球可访问的对抗战术和技术知识库”。ATT&CK 一经问世,便迅速风靡信息安全行业。全球各地的许多安全厂商和信息安全团队都迅速采用了 ATT&CK 框架。在他们看来,ATT&CK 框架是近年来信息安全领域最有用也是最急需的一个框架。ATT&CK 框架提供了许多企业过去一直在努力实现的关键能力:开发、组织和使用基于威胁信息的防御策略,以便让合作伙伴、行业、安全厂商能够以一种标准化的方式进行沟通交流。
在 ATT&CK 框架出现之前,评估组织机构的安全态势是一件很麻烦的事情。当然,安全团队可以利用威胁情报来验证他们可以检测到哪些特定的攻击方法,但始终有一个问题萦绕在他们的心头:“如果我漏掉了某些攻击,会产生什么后果?”但如果安全团队验证了很多攻击方法,就很容易产生一种虚假的安全感,并对自己的防御能力过于自信。毕竟,我们很难了解“未知的未知”。
幸运的是,ATT&CK 框架的出现解决了这一问题。MITRE 公司经过大量的研究和整理工作,建立了 ATT&CK 框架。ATT&CK 框架创建了一个包括所有已知攻击方法的分类列表,将其与使用这些方法的攻击组织、实现这些方法的软件以及遏制其使用的缓解措施和检测方法结合起来,可以有效减轻组织机构对上文所述安全评估的焦虑感。ATT&CK 框架旨在成为一个不断更新的数据集,一旦行业内出现了经过验证的最新信息,数据集就会持续更新,从而将 ATT&CK 打造成为所有安全人员心目中最全面、最值得信赖的安全框架。
虽然 ATT&CK 框架在评估安全态势、增强安全防御能力等诸多场景下都能发挥重大作用,但国内安全从业人员受限于时间、精力、语言差异等因素,很难深入地、系统化地研究该框架。为了让相关从业人员了解该框架,作者编写了本书。本书的上一版面世以来,受到了广大安全从业人员的喜爱,曾连续数月蝉联京东计算机类图书周榜第 1 名,并受台湾出版社之邀,发行了繁体版本。ATT&CK框架每年都会更新两个版本,自本书上一版出版后,ATT&CK 框架的内容发生了重大变化。与此同时,作者在探索应用 ATT&CK 方面也积累了更为丰富的实践经验。鉴于此,第二版做了大量更新。本书按照由浅入深的顺序分为五部分,第一部分为 ATT&CK 入门篇,介绍了 ATT&CK 框架的整体架构,并详细介绍了近几年来基于 ATT&CK 框架的扩展知识库,例如针对容器和 K8S 的知识库、针对内部威胁的 TTPs 知识库,以及针对网络安全对策的知识图谱 MITRE D3FEND;第二部分为 ATT&CK 提高篇,介绍了如何结合 ATT&CK 框架来检测一些常见的攻击组织、恶意软件和高频攻击技术,并分别从红队视角和蓝队视角对一些攻击技术进行了复现和检测分析;第三部分为 ATT&CK 场景与工具篇,介绍了 ATT&CK的一些应用工具与项目,以及如何利用这些工具进行实践(实践场景包括威胁情报、检测分析、模拟攻击、评估改进);第四部分为 ATT&CK 运营实战篇,主要介绍了数据源的应用、ATT&CK 的映射实践、基于 ATT&CK 的运营和威胁狩猎;第五部分为 ATT&CK 生态篇,介绍了 ATT&CK 生态内的几个重点项目,包括攻击行为序列数据模型 Attack Flow、主动作战框架 MITRE Engage,以及旨在验证安全工具检测能力的 ATT&CK 测评。
最后,本书主要基于 ATT&CK 框架相关的开源资料,以及作者的 ATT&CK框架实践经验总结而来,旨在为那些限于时间、精力、语言等原因而未能深入研究 ATT&CK 的人员提供便利,帮助大家利用这一框架筑牢安全屏障。但由于作者能力和精力有限,书中难免有错漏之处,恳请广大读者批评指正。
在 ATT&CK 框架出现之前,评估组织机构的安全态势是一件很麻烦的事情。当然,安全团队可以利用威胁情报来验证他们可以检测到哪些特定的攻击方法,但始终有一个问题萦绕在他们的心头:“如果我漏掉了某些攻击,会产生什么后果?”但如果安全团队验证了很多攻击方法,就很容易产生一种虚假的安全感,并对自己的防御能力过于自信。毕竟,我们很难了解“未知的未知”。
幸运的是,ATT&CK 框架的出现解决了这一问题。MITRE 公司经过大量的研究和整理工作,建立了 ATT&CK 框架。ATT&CK 框架创建了一个包括所有已知攻击方法的分类列表,将其与使用这些方法的攻击组织、实现这些方法的软件以及遏制其使用的缓解措施和检测方法结合起来,可以有效减轻组织机构对上文所述安全评估的焦虑感。ATT&CK 框架旨在成为一个不断更新的数据集,一旦行业内出现了经过验证的最新信息,数据集就会持续更新,从而将 ATT&CK 打造成为所有安全人员心目中最全面、最值得信赖的安全框架。
虽然 ATT&CK 框架在评估安全态势、增强安全防御能力等诸多场景下都能发挥重大作用,但国内安全从业人员受限于时间、精力、语言差异等因素,很难深入地、系统化地研究该框架。为了让相关从业人员了解该框架,作者编写了本书。本书的上一版面世以来,受到了广大安全从业人员的喜爱,曾连续数月蝉联京东计算机类图书周榜第 1 名,并受台湾出版社之邀,发行了繁体版本。ATT&CK框架每年都会更新两个版本,自本书上一版出版后,ATT&CK 框架的内容发生了重大变化。与此同时,作者在探索应用 ATT&CK 方面也积累了更为丰富的实践经验。鉴于此,第二版做了大量更新。本书按照由浅入深的顺序分为五部分,第一部分为 ATT&CK 入门篇,介绍了 ATT&CK 框架的整体架构,并详细介绍了近几年来基于 ATT&CK 框架的扩展知识库,例如针对容器和 K8S 的知识库、针对内部威胁的 TTPs 知识库,以及针对网络安全对策的知识图谱 MITRE D3FEND;第二部分为 ATT&CK 提高篇,介绍了如何结合 ATT&CK 框架来检测一些常见的攻击组织、恶意软件和高频攻击技术,并分别从红队视角和蓝队视角对一些攻击技术进行了复现和检测分析;第三部分为 ATT&CK 场景与工具篇,介绍了 ATT&CK的一些应用工具与项目,以及如何利用这些工具进行实践(实践场景包括威胁情报、检测分析、模拟攻击、评估改进);第四部分为 ATT&CK 运营实战篇,主要介绍了数据源的应用、ATT&CK 的映射实践、基于 ATT&CK 的运营和威胁狩猎;第五部分为 ATT&CK 生态篇,介绍了 ATT&CK 生态内的几个重点项目,包括攻击行为序列数据模型 Attack Flow、主动作战框架 MITRE Engage,以及旨在验证安全工具检测能力的 ATT&CK 测评。
最后,本书主要基于 ATT&CK 框架相关的开源资料,以及作者的 ATT&CK框架实践经验总结而来,旨在为那些限于时间、精力、语言等原因而未能深入研究 ATT&CK 的人员提供便利,帮助大家利用这一框架筑牢安全屏障。但由于作者能力和精力有限,书中难免有错漏之处,恳请广大读者批评指正。