无

欢迎来到情报驱动事件响应这个激动人心的世界！情报（具体点说，网络威胁情报）拥有巨大的潜力来帮助网络安全防御者更好地了解和响应攻击者的行为。
本书目的是展示情报如何适配事件响应的过程，帮助响应者了解他们的对手，以减少检测、响应和补救入侵所需的时间。长期以来，网络威胁情报和事件响应都是密切相关的，事实上两者有着千丝万缕的关系。威胁情报可以很好地支撑事件响应，同时事件响应的过程也产生了可以被进一步利用的威胁情报。本书的目的是帮助读者了解、实施情报驱动的事件响应，并从中获益。
我们为什么写这本书
近年来，我们看到一种趋势，事件响应从以前的独立活动到现在成为整体网络安全计划的一个组成部分。与此同时，网络威胁情报正在迅速变得越来越受欢迎，更多的公司和事件响应者正在努力了解如何将威胁情报纳入其业务。对抗是真实的，自从我们学习了如何将传统的情报原则应用于事件响应实践，伴随这个过程而来的痛苦也与日俱增，但是我们知道这是值得的，反之亦然。因此，我们写了这本书将两个世界（威胁情报和事件响应）汇聚在一起，展示它们如何更有力、更有效地相互促进，帮助实践者缩短将其纳入业务的时间。
目标读者
这本书是为安全事件响应从业者撰写的，适合于事件响应经理、恶意软件分析师、逆向工程师、数字取证专家或情报分析师等，也适合于有兴趣深入了解事件响应的人。网络威胁情报吸引人的地方在于，许多人都想了解攻击者，了解他们的动机和运作方式，而事件响应是学习这个领域的最佳方式。但是只有当事件响应采用情报思维方式去实践时，我们才开始真正了解所掌握的信息的价值。你在阅读本书之前，无须成为事件响应或者情报方面的专家，也无须从其他书获取相关背景知识。我们将通过这两个领域的基础知识，展示它们如何相互促进，并提供实用的建议和场景举例来说明这一过程。
本书结构
本书的目录结构如下：
第一部分包括第1～3章，介绍了情报驱动事件响应（IDIR）的概念，以及情报和事件响应领域中的基本原则和正确方法。我们将介绍F3EAD的概念，这是IDIR的重要模型，本书的其余部分将围绕这个概念展开。
第二部分包括第4～9章，第4～6章介绍了F3EAD以事件响应为重点的部分：查找、定位和消除；第7～9章介绍了F3EAD流程中以情报为重点的步骤：利用、分析和传播。
第三部分包括第10、11章，第10章阐述了战略层面的情报及如何将其应用于事件响应和网络安全计划；第11章讨论了情报计划的形式化以及如何建立情报驱动的事件响应计划并取得成功。
附录提供了F3EAD在传播阶段（见第9章）可能用到的情报产品示例。
通常，有兴趣将威胁情报整合到事件响应中的人，往往对其中一个领域非常了解，因此，在阅读时可能会跳过熟悉的知识点而重点关注新的部分，但我们仍建议你不要跳过太多，你将会发现我们使用了一个新的模型或方法来更好地整合这两个领域。
排版约定
本书使用以下印刷格式：
斜体（Italic）
表示新的术语、网址、电子邮件地址、文件名和文件扩展名。
等宽体（Constant width）
用于代码列表，以及段落中引用的代码元素，如变量或函数名称、数据库、数据类型、环境变量、语句和关键字。
加粗等宽体（Constant width bold）
表示用户应直接输入的命令或其他文本。
倾斜等宽体（Constant width italic）
表示此内容应该被替换的，取决于用户输入或由上下文决定。
此图标表示一个提示或建议。
此图标表示一般注释。
此图标表示一个警告或注意。
Safari在线图书
Safari是一个为企业、政府、教育和个人提供的会员制培训、参考平台。
会员可以访问数以千计的书籍、培训视频、学习路径、互动教程以及来自250多个出版社策划的播放列表，包括O扲eilly Media、Harvard Business Review、Prentice Hall Professional、Addison-Wesley Professional、Microsoft Press、Sams、Que、Peachpit Press、Adobe、Focal Press、Cisco Press、John Wiley & Sons、Syngress、Morgan Kaufmann、IBM Redbooks、Packt、Adobe Press、FT Press、Apress、Manning、New Riders、McGraw-Hill、Jones & Bartlett，以及其他在线技术。
更多信息请访问：http://oreilly.com/safari。
联系我们
对于本书，如果有任何意见或疑问，请按照以下地址联系本书出版商。
美国：
O'Reilly Media，Inc.
1005 Gravenstein Highway North
Sebastopol，CA 95472
中国：
北京市西城区西直门南大街2号成铭大厦C座807室（100035）
奥莱利技术咨询（北京）有限公司
要询问技术问题或对本书提出建议，请发送电子邮件至：
bookquestions@oreilly.com
要获得更多关于我们的书籍、会议、资源中心和O'Reilly网络的信息，请参见我们的网站：
http://www.oreilly.com
http://www.oreilly.com.cn
我们在Facebook上的主页：http://facebook.com/oreilly
我们在Twitter上的主页：http://twitter.com/oreillymedia
我们在YouTube上的主页：http://www.youtube.com/oreillymedia
致谢
Rebekah的致谢：
我的棒棒的老姐们：Emma、Caitlyn和Colin，一直鼓励着我，并提供不少如何捕捉黑客的有用建议。
我的父母，兄弟姐妹以及其他家庭成员对我写书工作的支持。
我的同事：Jen、Wade、Rachel、Jordan、Bob、Derek（人太多，写不过来！）永远相信我，你们没有（大声）说我写书是种疯狂的行为。你们是我生活中的“饭醉团伙”，让我保持着滋润、打鸡血以及愉悦的状态，并时不时提醒我按时交作业。
我的合著者：Scott，是一个极其优秀的男子汉。
最后，致谢波特兰的23 Hoyt（餐吧名）、亚历山大的Trademark（餐吧名）以及它们的全体工作人员，在无数次的差旅途中，给我提供一个舒适的写书环境。
Scott的致谢：
我那传奇的太太Kessa：如果没有你的鼓励和高瞻远瞩，我不会坚持写完这本书，更别提当初你灵光一闪激发我做的尝试。感谢你全天候无条件的默默支持。多么希望我能为你分担家庭的琐事，但你却独力撑起了一切。
我的父母Steve和Janet：从我的第一台电脑到现在一个史诗般的写作项目，你们一直满足我的好奇心并帮助我到达彼岸。没有你们，我不可能取得今天的成就。
GitHub安全团队：你给了我学习、写作以及分享的自由，让我明白一切皆有可能。
Kyle：所有这一切都离不开你的指导。我很感激，当我开始有了这个雄心勃勃的疯狂想法的时候，你告诉我不管怎样都要实现它。
多年以来我的许多朋友和导师们：我猜，你们中的大多数人都不知道你们的每次交谈以及愿意听我分享激情的耐性对我来说都是满满的正能量。
我优秀的合著者Rebekah，君乃吾所需，而非吾所求。没有你，我无法独自完成这一切；没有你，这本书也不会如此精彩。
O扲eilly的员工，你们优秀的商业能力，帮助我们将想法变成了现实。
最后，感谢Columbus的Mission Coffee公司的咖啡和精致的百吉饼，给了我不少创作的灵感。
第一部分
基础知识
当你开始涉猎情报驱动的事件响应时，请务必对情报与事件响应的流程有一个清晰的了解。第一部分介绍了网络威胁情报、情报的产生过程、事件响应流程，以及如何将它们整合在一起。

计算机\安全

在网络安全事件发生后，借助精心制定的事件响应计划，你的团队可以找出攻击者，并从攻击者的行动中吸取教训。不过，只有从网络威胁情报的观念出发开展事件响应，你才能真正理解这类信息的价值所在。本书将介绍情报分析的基础知识，以及将各种技术纳入事件响应流程的最佳方式。

威胁情报与事件响应两者相辅相成：威胁情报是事件响应的依据和助力，而事件响应又会反过来产生有价值的威胁情报。本书有助于事件响应管理人员、恶意代码分析人员、逆向工程师、数字取证专家以及情报分析人员理解两者之间的关系，付诸实践并从中获益。

本书分为三个部分，包括：
?基础知识：认识网络威胁情报、情报流程、事件响应流程，以及流程之间如何协同工作。
?实际应用：介绍情报驱动事件响应的F3EAD流程（查找、定位、消除、利用、分析和传播），以及实施细节。
?未来之路：从宏观战略层面探讨情报驱动事件响应的优越之处，以及如何组建情报团队并更好地实施计划。


“本书提供了消除网络安全与传统情报概念隔阂的基础知识。”
--Chris Sanders
应用网络防御公司创始人

“这本优秀的威胁情报启蒙书，证明了威胁情报与事件响应并非水火难容，有效的威胁情报方案与情

报响应流程是相辅相成的，扩展信息采集与威胁情报可以齐头并进。”
--Steve Ragan
信息安全媒体记者

作者简介
Scott J Roberts　 GitHub公司的“捕快”，曾就职于大型安全厂商、政府安全机构以及财务服务安全公司等。他曾发布并贡献多个威胁情报及恶意软件分析工具。
Rebekah Brown　　Rapid7公司威胁情报部门主管。Rapid7是一家提供数据支持帮助网络安全技术人员、安全专家识别安全风险的公司。她曾在美国国家安全局担任网络战分析员，也是美国海军陆战队网络小组的行动负责人。

20多年前，我第一次参与了应急响应，应对俄罗斯黑客组织“Moonlight Maze”的大规模入侵。我在美国空军特别调查办公室的工作是帮助收集数据、解析并分析网络中的恶意行为和受感染的系统。我们分析了针对很多目标的多次攻击行为后了解到，除非把这些被黑系统的电源拔掉，不然对手不会善罢甘休。对手非常有耐心，一旦发现我们采取了应对措施，他们可以在数周之内不再访问相同的目标。攻击者在网络中横向渗透多个目标并留下后门来维持网络访问权限。在同一个攻击者的多次入侵中，团队成员开始建立一个档案，记录这个对手是谁，他们如何操作以及他们过去的历史。这个档案帮助了美国国防部在全球各地的网络防御。“Moonlight Maze”入侵事件的袭击范围之广，破坏程度之大，最终促使美国成立了计算机网络防御联合特遣部队（JTF-CND），后来发展成为了美国网络作战司令部（United States Cyber Command，USCYBERCOM）。
我们从20世纪90年代末应对了很多高级攻击，并从中学到了很多。首先，我们得知，为了侦察对手，我们不得不向对手学习。早期发现的入侵工具和行为特征，将使我们能够在其他网络攻击中识别出同一个对手。这个信息可以帮助我们提前防范并检测特定攻击者的入侵。网络威胁情报也成为继入侵检测系统、防火墙等安全产品后，信息安全领域的重要发展产物。
这些年来在美国国防部、政府机构、Mandiant公司以及自己公司的职业生涯中，我经历了数百次安全事件的应急响应，我们一直强调的一件事是，事件响应者的主要目标是利用这个机会了解攻击你的对手。有了这些信息，我们便可以观察并判断对手是否也入侵了另一个网络。这样的情报为我们建立针对定向攻击的防御方案奠定了方法论基础。企业所受到的攻击不太可能是单个黑客的攻击，攻击者很可能是一个黑客组织，在他们的攻击清单中有你的企业名称。没有网络威胁情报作为事件响应数据的主要来源，安全防御将难以得到有效改善，也就无法减少对手攻入网络后的驻留时间。
威胁情报在20多年前已显得至关重要，这始于Cliff Stoll撰写的Cuckoo抯 Egg一书中讲述的故事。但至今为止，绝大多数企业仍在采用过去的方法。其中有部分原因是团队没有可参考的业界标杆，另一个原因是安全厂商的误导。对我们来说幸运的是，这本书终于出现了。本书给读者传递正确的威胁情报概念、策略和能力，企业可以采用这些概念、策略和能力来发展自己的安全实践。阅读本书后，企业的安全运营可以向情报驱动的方向发展，这个方法在检测并减少潜在安全威胁造成的影响上，将会比以往任何时候都更有效率。
我是SANS机构的数字取证和事件响应课程的主任和负责人，多年来我一直在强调正确的威胁评估和情报的重要性。许多分析师认为，情报对于阻止对手的作用是“如有更好”或“不太重要”，但学习情报之后，都会觉得如果没有威胁情报，能采取的消除措施非常有限。
多年来，我已经建议许多高管把更多的金钱花费在获取正确的威胁情报上，而不是购买供应商的那些可能无法检测下一次入侵的硬件，这些硬件通常不会将信标（入侵特征）的学习和提取作为威胁情报分析过程的环节。这个建议有部分是来自于与本书作者Scott 和Rebekah的对话。
Scott和我曾一同在Mandiant公司（麦迪安，美国知名网络安全公司）工作，我们一直是很好的朋友。多年来我一直关注他，是他的论文和文章的狂热读者。Scott目前是SANS 机构网络威胁情报课程（FOR578）的讲师之一。多年来听Scott讲这个课题，我总是觉得在呼吸智慧的空气，这可不亚于听到沃伦·巴菲特给予的财务咨询。当我阅读本书时，我甚至可以听到Scott在我脑海里的声音。
Rebekah与我的背景相似，以前是个军人，一直全职工作在网络行动中。她以前是美国海军公司的网络统一运营总监，她还是国防部网络安全运营教练员、NSA网络战分析师，她还为“财富”500强企业和信息安全领域供应商提供威胁情报。Rebekah专业而敏锐，拥有在国防部（情报与网络空间社区）以及许多公司的内外部工作经验，她比任何人都知晓并理解这一领域。Rebekah根据她的联合攻防网络安全运营理论，向白宫提供了许多网络威胁情报。能够结识Rebekah非常荣幸，特别是当我继续学习如何将传统的情报方法应用于网络安全运营分析时。同时，我也要很自豪地强调，Rebekah也是SANS机构网络威胁情报课程（FOR578）的作者和讲师。
总之，Scott 和Rebekah已将他们的思想凝结于纸上，这是你目前能读到的最知名的网络安全运营战略指南之一。建议你将本书作为企业网络分析师的必修课之一。 这本书位于我的网络安全分析师推荐阅读清单之首。本书所表达的观点并不是解决技术挑战、攻击战术或安全防御部署，而是侧重于在内部改进企业网络安全运营的态势、检测以及响应方面的思路。
本书对于网络安全管理来讲最重要的章节之一是如何建立威胁情报计划。回顾Scott和Rebekah之前在许多企业的经历，实在令人印象深刻。从他们的知识中受益的企业已经明白，“威胁情报”不是简单的三言两语，他们的方法论以及每个步骤的要求都值得读上几遍。
对于安全分析师，本书的主体内容会逐步讲解适当的事件响应方法论以及利用威胁情报思维方式。 一旦你畅游于本书中的信息海洋，会从根本上改变自身作为企业网络安全分析师的工作方式。它将使你从一个普通分析师转变为具有先进运营技能的分析师，并给你的职业生涯带来持续的回报。
多么希望20年前当我第一次调查俄罗斯黑客的入侵事件（Moonlight Maze）时能拥有这本书。 幸运的是，今天我们有了这本书，当我的学生想要实现战术级响应的超越时，我都会建议他们好好阅读这本书，并将所学知识应用于所有的框架和策略。

—Rob Lee
Harbingers Security公司创始人
SANS 机构DFIR主管

李柏松 李燕宏 译：暂无简介

2010年7月，我和安天CERT（安天安全研究与应急处理中心的简称）的同事们在酷暑之中挥汗如雨地开始了Stuxnet蠕虫的紧张分析工作。虽然团队的每个人对恶意代码分析都有丰富的经验，但随着分析工作的不断推进，当我们发现待分析的样本实体文件已经超过了600个的时候，还是感到有些一筹莫展。Stuxnet蠕虫专门用于攻击西门子的数据采集与监控系统，被认为是首个直接破坏现实世界工业基础设施的恶意代码，无论是蠕虫所利用的0 day漏洞（包括MS10-046、MS10-061），还是遭受攻击的工业控制系统（SIMATIC WinCC），其分析难度对团队而言都是严峻的挑战，遑论这种前所未闻的高度复杂的攻击手法。Stuxnet蠕虫的攻击事件很快得到国内外多家媒体的相继报道，管理部门、产品用户也都在不停地询问我们的分析进展。在这种情况下，有同事建议先从样本之间的衍生关系入手。经过对已完成的多份零散分析报告的梳理、整合，很快形成了样本衍生关系图（见下图）。在这张图的帮助之下，工程师们明确分工、各司其职，分析工作得以有序展开。但是，在后面溯源事件背后的攻击组织、分析作业意图和还原攻击路径的过程中，团队走了许多弯路，其中的主要原因就是分析人员存在种种偏见。参与分析的多位工程师都有自己不同的视角，大家在集体讨论时提出的种种假设，有时会在未经充分论证的情况下成为别人的判断依据，且往往要等到不断推演出来的某个结论显得匪夷所思时，才会发现前面的某个判断依据根本不能成立。尽管已经投入了大量的分析时间，这时也只好推倒重来。就这样，经过连续两个多月的艰苦分析，终于进入报告发布阶段。但是，在报告的受众定位、行文风格以及技术细节暴露程度等方面，团队成员开始产生分歧。经过不断斟酌、反复修改，报告的最终版本译注1最终于2010年9月30日14时公开发布。该报告是安天公开发布的第一份APT攻击事件深度分析报告。
今天，在团队经历了Duqu木马、Flame蠕虫、“方程式”（EQUATION）攻击组织、APT-TOCS（即“海莲花”）攻击组织以及“白象”攻击组织的分析之后，再去回顾8年前的那次APT样本分析任务，不由得感慨万千。虽然那是安天CERT第一次分析APT攻击级别的样本，但如果借助一套有效的分析模型，分析工作就不会进展得那么缓慢，不会走那么多弯路，团队也不必那么辛苦。在当时，哪怕只是一张简陋的样本衍生关系图，也可以为后面的分析工作铺平道路，使分析人员可以在错综复杂的样本集合中按图索骥。

Stuxnet蠕虫衍生关系图
本书恰恰就是这样一本让人相见恨晚的实用指南。作者基于情报周期和事件响应周期提出的“F3EAD”流程，将情报团队和事件响应团队的工作有机地贯穿起来，并结合具体案例，深入浅出地阐述各阶段工作要点、注意事项。值得一提的是，作者在第8章专门讨论了分析过程中容易出现的各种偏见和消除偏见的办法，在第9章专门讨论了情报产品的目标、受众及篇幅等问题，甚至提供了大量情报产品模板。
本书不仅适合企业安全运营中心的事件响应人员阅读，而且也是网络安全厂商的专业分析团队的必读书目。但由于译者水平有限，译文中难免存在纰漏，恳请读者批评、指正。
最后，感谢黄晟和李滨两位老师以及作者Scott Roberts为本书翻译所提供的指导，感谢安天的同事们对我的帮助，感谢家人给我的支持，感谢吴怡编辑和合译者燕宏给我的鼓励。
李柏松
2018年4月8日于哈尔滨

序言1
前言4
第一部分 基础知识
第1章 概述11
1.1 情报作为事件响应的一部分11
1.1.1 网络威胁情报的历史11
1.1.2 现代网络威胁情报12
1.1.3 未来之路13
1.2 事件响应作为情报的一部分13
1.3 什么是情报驱动的事件响应14
1.4 为什么是情报驱动的事件响应14
1.4.1 SMN行动14
1.4.2 极光行动15
1.5 本章小结16
第2章 情报原则17
2.1 数据与情报17
2.2 来源与方法18
2.3 流程模型21
2.3.1 OODA循环21
2.3.2 情报周期23
2.3.3 情报周期的应用案例27
2.4 有质量的情报28
2.5 情报级别29
2.5.1 战术情报29
2.5.2 作业情报29
2.5.3 战略情报30
2.6 置信级别30
2.7 本章小结31
第3章 事件响应原则32
3.1 事件响应周期32
3.1.1 预备33
3.1.2 识别34
3.1.3 遏制35
3.1.4 消除35
3.1.5 恢复36
3.1.6 反思37
3.2 杀伤链38
3.2.1 目标定位40
3.2.2 侦查跟踪40
3.2.3 武器构造41
3.2.4 载荷投递45
3.2.5 漏洞利用46
3.2.6 后门安装46
3.2.7 命令与控制47
3.2.8 目标行动47
3.2.9 杀伤链举例49
3.3 钻石模型50
3.3.1 基本模型50
3.3.2 模型扩展51
3.4 主动防御51
3.4.1 阻断52
3.4.2 干扰52
3.4.3 降级52
3.4.4 欺骗53
3.4.5 破坏53
3.5 F3EAD53
3.5.1 查找54
3.5.2 定位54
3.5.3 消除55
3.5.4 利用55
3.5.5 分析55
3.5.6 传播56
3.5.7 F3EAD的应用56
3.6 选择正确的模型57
3.7 场景案例：玻璃巫师57
3.8 本章小结58
第二部分 实战篇
第4章 查找61
4.1 围绕攻击者查找目标61
4.1.1 从已知信息着手63
4.1.2 查找有效信息63
4.2 围绕资产查找目标69
4.3 围绕新闻查找目标70
4.4 根据第三方通知查找目标71
4.5 设定优先级72
4.5.1 紧迫性72
4.5.2 既往事件72
4.5.3 严重性73
4.6 定向活动的组织73
4.6.1 精确线索73
4.6.2 模糊线索73
4.6.3 相关线索分组74
4.6.4 线索存储74
4.7 信息请求过程75
4.8 本章小结75
第5章 定位77
5.1 入侵检测77
5.1.1 网络告警78
5.1.2 系统告警82
5.1.3 定位“玻璃巫师”84
5.2 入侵调查86
5.2.1 网络分析86
5.2.2 实时响应92
5.2.3 内存分析93
5.2.4 磁盘分析94
5.2.5 恶意软件分析95
5.3 确定范围97
5.4 追踪98
5.4.1 线索开发98
5.4.2 线索验证99
5.5 本章小结99
第6章 消除100
6.1 消除并非反击100
6.2 消除的各阶段101
6.2.1 缓解101
6.2.2 修复104
6.2.3 重构106
6.3 采取行动107
6.3.1 阻止107
6.3.2 干扰108
6.3.3 降级108
6.3.4 欺骗108
6.3.5 销毁109
6.4 事件数据的组织109
6.4.1 行动跟踪工具110
6.4.2 专用工具112
6.5 评估损失113
6.6 监控生命周期113
6.7 本章小结115
第7章 利用116
7.1 什么可以利用117
7.2 信息收集117
7.3 威胁信息存储118
7.3.1 信标的数据标准与格式118
7.3.2 战略信息的数据标准与格式121
7.3.3 维护信息123
7.3.4 威胁情报平台124
7.4 本章小结126
第8章 分析127
8.1 分析的基本原理127
8.2 可以分析什么129
8.3 进行分析130
8.3.1 拓线数据131
8.3.2 提出假设134
8.3.3 评估关键假设135
8.3.4 判断和结论138
8.4 分析过程与方法138
8.4.1 结构化分析138
8.4.2 以目标为中心的分析140
8.4.3 竞争性假设分析法141
8.4.4 图形分析143
8.4.5 反向分析方法144
8.5 本章小结145
第9章 传播146
9.1 情报客户的目标147
9.2 受众147
9.2.1 管理人员/领导类客户147
9.2.2 内部技术客户150
9.2.3 外部技术客户151
9.2.4 设定客户角色152
9.3 作者154
9.4 可行动性156
9.5 写作步骤157
9.5.1 规划158
9.5.2 草稿158
9.5.3 编辑159
9.6 情报产品版式161
9.6.1 简易格式产品161
9.6.2 完整格式产品165
9.6.3 情报需求流程173
9.6.4 自动使用型产品176
9.7 节奏安排180
9.7.1 分发180
9.7.2 反馈181
9.7.3 定期发布产品181
9.8 本章小结182
第三部分 未来之路
第10章 战略情报185
10.1 什么是战略情报186
10.2 战略情报周期189
10.2.1 战略需求的设定189
10.2.2 收集190
10.2.3 分析192
10.2.4 传播195
10.3 本章小结196
第11章 建立情报计划197
11.1 你准备好了吗197
11.2 规划情报计划199
11.2.1 定义利益相关者199
11.2.2 定义目标200
11.2.3 定义成功标准201
11.2.4 确定需求和限制201
11.2.5 定义度量203
11.3 利益相关者档案203
11.4 战术用例204
11.4.1 SOC支持204
11.4.2 指标管理205
11.5 运营用例206
11.6 战略用例207
11.6.1 架构支持207
11.6.2 风险评估/战略态势感知208
11.7 从战略到战术还是从战术到战略208
11.8 雇用一个情报团队209
11.9 展示情报计划的价值209
11.10 本章小结210
附录 威胁情报内容211