基本信息
- 出版社 : 机械工业出版社; 第1版 (2018年9月7日)
- 出版日期 : 2018年8月1日
- 品牌 : 北京华章图文信息有限公司
- 语言 : 简体中文
- 文件大小 : 15006 KB
- 纸书页数 : 371页
- 作者:斯科特·罗伯茨(Scott J.Roberts), 利百加·布朗(Rebekah Brown), 译者:李柏松 , 李燕宏
- 下载格式:azw3、epub、mobi
内容简介
本书目的是展示情报如何适配事件响应的过程,帮助响应者了解他们的对手,以减少检测、响应和补救入侵所需的时间。长期以来,网络威胁情报和事件响应都是密切相关的,事实上两者有着千丝万缕的关系。威胁情报可以很好地支撑事件响应,同时事件响应的过程也产生了可以被进一步利用的威胁情报。本书的目的是帮助读者了解、实施情报驱动的事件响应,并从中获益。
精彩书摘
当你开始涉猎情报驱动的事件响应时,请务必对情报与事件响应的流程有一个清晰的了解。第一部分介绍了网络威胁情报、情报的产生过程、事件响应流程,以及如何将它们整合在一起。
“But I think the real tension lies in the relationship between what you might call the pursuer and his quarry,whether it’s the writer or the spy.”
——John le Carre
在深入了解情报驱动事件响应之前,我们需要明白为何网络威胁情报对事件响应如此重要。本章介绍了网络威胁情报的基础知识,包括其历史和未来发展方向,并为本书其余部分讨论的概念奠定了基础。
只要有斗争冲突,就有那些研究、分析和努力去了解对手的人。一场战争的输赢,取决于你对对手的了解,研究对手的思维方式、动机和战术,并根据理解做出或大或小的决策。无论是什么类型的斗争冲突,不管是国家之间的战争还是对敏感网络的秘密入侵,威胁情报都指导着双方。只要掌握威胁情报的艺术及其科学的一面,分析对手的意图、能力和时机等信息,胜利总是会站在你这一边。
1.1.1 网络威胁情报的历史
1986年,Cliff Stoll是美国加州Lawrence Berkley国家实验室的博士生。有一天,他注意到计算机实验室有一笔75美分的计费差异,这表明有人没有付费便在使用实验室的计算机系统。在现代化的今天,那些强大的网络安全产品可以轻易发现“未经授权的访问”并快速预警。但在1986年,这几乎很难引起人们的关注。那时候的网络入侵系统并不像今天这样每天能触发告警消息,无法及时发现数百万甚至数十亿美元被盗。在那一年,网络抓包工具tcpdump才刚刚启动,常见的网络发现工具(如Nmap)过了十年才出现,而渗透框架如Metasploit则又过了15年才出现。当时大多数连接“互联网”的电脑属于政府和研究机构,而不是普通用户。如果发现有人使用电脑而没有付费,往往会被认为是软件的bug或记账功能错误。