本书是上一版畅销书的全新修订版，涵盖了新的安全威胁和防御机制，包括云安全态势管理的概述和对当前威胁形势的评估，另外还重点介绍了新的物联网威胁和加密相关内容。为保持应对外部威胁的安全态势并设计强大的网络安全计划，组织需要了解网络安全的基本知识。本书将介绍在侦察和追踪用户身份方面使用新技术实施网络安全的实践经验，这将使你能够发现系统是如何受到危害的。本书也重点介绍了强化系统安全性的防御策略。你将了解包括Azure Sentinel在内的深度工具以确保在每个网络层中都有安全控制，以及如何执行受损系统的恢复过程。

Azure安全中心高级项目经理 & 2019年网络安全影响力人物荣誉获得者联袂撰写，美亚畅销书全新升级。
涵盖新的安全威胁和防御战略，介绍进行威胁猎杀和处理系统漏洞所需的技术和技能集。

在网络安全威胁形势不断变化的情况下，拥有强大的安全态势变得势在必行，这实际上意味着加强防护、检测和响应。通过本书，你将了解有关攻击方法和模式的知识，以便利用蓝队战术识别组织内的异常行为。你还将学习收集漏洞利用情报、识别风险及展示对红队和蓝队战略的影响的技巧。
读者对象
IT安全领域的IT专业人员、IT渗透测试人员和安全顾问。具备渗透测试的知识有助于阅读本书。
涵盖内容
第1章定义了安全态势组成以及它如何帮助理解拥有良好攻防战略的重要性。
第2章介绍了事件响应流程以及建立事件响应流程的重要性，并阐述了处理事件响应的不同行业标准和最佳实践。
第3章解释了网络战略是什么，为什么需要它，以及企业如何构建有效的网络战略。
第4章介绍了攻击者的思维、攻击的不同阶段，以及在每个阶段通常会发生什么。
第5章讲述了执行侦察的不同策略，以及如何收集数据以获得有关目标的信息以便规划攻击。
第6章阐明了危害系统策略的当前趋势，并解释了如何危害一个系统。
第7章解释了保护用户身份以避免凭证被盗的重要性，并介绍了黑客攻击用户身份的过程。
第8章描述了攻击者在破坏系统后如何执行横向移动。
第9章展示了攻击者如何提升权限以获得对网络系统的管理员访问权限。
第10章重点介绍初始防御策略的不同方面，该策略从精心设计安全策略的重要性开始，详细介绍了安全策略、标准、安全意识培训和核心安全控制的最佳实践。
第11章深入探讨了防御的不同方面，涵盖物理网络分段以及虚拟云和混合云。
第12章详细介绍了帮助组织检测攻击的不同类型的网络传感器。
第13章讲述了源自社区和主要供应商的威胁情报的不同方面。
第14章介绍了两个案例研究（分别针对受损害的内部系统和基于云计算的系统），并展示了安全调查涉及的所有步骤。
第15章重点介绍受损系统的恢复过程，并解释了了解所有可用选项的重要性，因为在某些情况下无法实时恢复系统。
第16章描述了漏洞管理对于避免漏洞利用的重要性，涵盖了当前威胁情况和越来越多利用已知漏洞的勒索软件。
第17章介绍了手动日志分析的不同技术，因为对于读者来说，获得有关如何深入分析不同类型的日志以查找可疑安全活动的知识至关重要。
如何从本书获取最佳收益
我们假设本书读者了解基本的信息安全概念，并熟悉Windows和Linux操作系统。
本书中的一些演示也可以在实验室环境中完成。因此，我们建议你拥有一个包含以下虚拟机的虚拟实验室：Windows Server 2012、Windows 10和Kali Linux。

计算机\安全

本书涵盖了新的安全威胁和防御机制，包括对云安全态势管理（Cloud Security Posture Management，CSPM）的概述和对当前威胁形势的评估，另外还重点介绍了新的物联网威胁和加密的相关内容。
为保持应对外部威胁的安全态势并设计强大的网络安全计划，组织需要了解网络安全的基本知识。本书将带你进入威胁行为者的思维模式，帮助你更好地理解攻击者执行实际攻击的动机和步骤，即网络安全杀伤链。你将获得在侦察和追踪用户身份方面使用新技术实施网络安全策略的实践经验，这能帮助你发现系统是如何受到危害的，并识别、利用你自己系统中的漏洞。
本书也重点介绍了强化系统安全性的防御策略。你将了解包括Azure Sentinel在内的深度工具以确保在每个网络层中都有安全控制，以及如何执行受损系统的恢复过程。

本书涵盖的内容：
为安全态势奠定坚实基础的重要性。
通过网络安全杀伤链了解攻击策略。
通过改进安全政策、强化网络、布置主动传感器和利用威胁情报，提高组织的网络恢复能力。
利用包括Azure Sentinel和零信任网络策略在内的新防御工具。
识别不同类型的网络攻击，如SQL注入、恶意软件和社会工程学威胁（如网络钓鱼电子邮件）。
使用Azure Security Center和Azure Sentinel执行事件调查。
深入了解灾难恢复流程。
了解如何始终如一地监控本地部署云和混合云的安全性并实施漏洞管理策略。
了解如何使用云执行日志（包括来自Amazon Web Services和Azure的日志）分析以识别可疑活动。

网络安全领域有句富有哲理的话，大意是网络本来是安全的，但自从有了研究安全的人，也开始变得不安全了。这句话背后的含义值得玩味。互联网的诞生缘于应用需求的牵引，彼时大家尚不知安全是什么。一直运行得好好的网络，突然有一天出现了安全问题，是人为的还是无意的？最初可能是无意的，这自然引起了专家的关注。无论是人为还是无意，均暴露出网络安全缺陷是真实存在的，这吸引着越来越多的人加入安全研究的行列。伴随着信息化进程的加速深化，接入网络的资产越来越多，数据交互频率越来越高，攻击面也越来越广泛，潜在脆弱性会更多地暴露出来，从而非常容易引发攻击事件。反过来看，攻击事件牵引着安全防御技术、战术、战略的深度发展和广度融合。从攻与防的发展历史来看，它们如同硬币的两面，是一个有机整体，技术发展交错占优、螺旋上升，彼此成就对方。常言道，未知攻焉知防，殊不知，未知防何言攻？这大概就是攻防研究需要并行开展的现实基础。《中华人民共和国网络安全法》也明确要求，网信部门定期组织演练，关键信息基础设施安全保护部门负责本行业、本领域的定期演练。这种演练就是基于红蓝角色的实战化攻防对抗（Attack With Defense，AWD）或者桌面推演（Cyber Table Top，CTT），与本书作者从攻防两个视角讨论现代高级威胁的思路一致。
攻防并举，这是开展网络安全研究的系统性思路。但我们也必须清晰地认识到，攻防在现实中并不对等，而且在目前条件下，不对等中的优势偏向攻者一方，这主要体现在以下几点：一是时间不对等，攻在随机时刻，而防需要时刻在线；二是点位不对等，攻仅需一个点，防则需一个面；三是资源不对等，攻可能仅需一个漏洞利用资源，而防则需要一整套体系资源；四是信息不对等，危害最广、最有效的攻就是掌握了防没掌握的信息，或者攻先于防掌握所需的信息；五是主被动角色不对等，攻大多走在防之前，而防更多的则是跟着攻。就在本译者序撰写之时，全球顶尖的安全公司FireEye 2020年12月8日透露，其内部网络遭受攻击，导致大量红队工具流失。再举一例，在今年一次知名的攻防实战演练中，大量的蓝队安全设备被攻破，且不止一家、不止一型、不止一次。在演练总结时，甚至有人调侃“演练中最安全的网络是那些无钱购置安防设备的蓝队网络”。安全问题就是如此，即使一时认为自己最强大，你也不知道下一刻会发生什么。
鉴于当前的安全态势和上述攻防地位不对等的现状，目前的安全防御理念已逐渐从传统的边界防御、纵深防御向基于威胁情报的感知、监测、检测、响应的方向发展，这意味着将攻击者堵在企业网络边界之外已不再是唯一甚至主要的防御目标了，而且随着现代高级持续性威胁（APT）的泛滥，以堵为主的方式已不再奏效。这就需要引入新的防御理念，像欺骗防御、诱敌深入、以退为攻、以攻促防等防御理念，从防御的战略战术上寻求突破，带动相应技术的发展。
本书作者用17章的篇幅介绍攻防的两面，大致分为三个部分：第一部分包括第1～3章，介绍网络安全态势、事件响应流程及网络安全战略的内涵；第二部分包括第4～9章，介绍APT组织的思维（Mindset）、攻击技术（Technique）、主要战术（Tactic）和攻击过程（Procedure），即MTTP；第三部分包括第10～17章，针对APT典型的MTTP，研究如何开展有效的防御、检测、响应和处置。三个部分刚好形成完备的攻防视角，相比割裂地单方面介绍攻与防，这种组织方式具有更强的实践价值。通过了解和掌握现代威胁的行为特征，开发出相应的对策。眼睛是心灵的窗户，行为是暴露的原罪。攻击者在攻击企图的驱动下，其行为被碎片化地记录在攻击路径上和不断渗透拓展的驿站中，犹如电影桥段中，情报刺探者沿路有意撒下暗号供后续同伙追踪。不过，这里追踪“暗号”的不再是网络攻击者同伙，而是安全响应人员。
同时，本书作者指出：多年以来，企业在安全方面的投入从建议性投资逐渐演变成必要性投资。换句话说，网络安全从企业发展的附庸地位逐渐走向前台，成为健康发展必不可少的一部分。在某些领域，网络安全甚至已经成为能够决定企业命运的关键；在能源、交通、电力、通信、用水等关键基础设施领域，在工业制造、武器系统等大量涉及工业控制系统、信息物理系统等典型应用的场景，网络安全更是关系到人的生命安全。许多国家都发布了自己的国家网络安全战略，将网络安全作为信息化建设的一部分，同步规划、同步实施、同步发展。深刻认识网络安全的重要性，重塑新型的、超越传统防御思维的理念，对加强全面、有效的网络防御具有重要意义。美国国防部今年发布新的采办声明，要求今后采办合同商必须通过武器系统的网络安全试验评估，否则将不能成为DoD的合格供货商。我们有理由相信，对网络安全的要求会更多地融入企业发展和产品的必要属性之中，犹如产品的关键功能一般，不可或缺。
参与本书翻译的除封面署名译者赵宏伟、王建国、韩春侠及姚领田外，还有姚相名、刘璐、贺丹、涂佳彤、陈展、杨坤、王旭峰、蒋蓓等。本书中文版得以出版，还要感谢机械工业出版社华章分社的刘锋、张秀华两位编辑，与他们的合作令人轻松、愉悦。译者的研究领域主要涵盖威胁建模仿真、网络靶场技术及应用、武器系统网络安全试验与评估等方面，欢迎读者就本书中涉及的具体问题及上述领域内容与译者积极交流，共同学习进步。联系邮箱fogsec@qq.com。

姚领田
2020年12月

译者序
前言
作者简介
审校者简介
第1章　安全态势 1
1.1　当前的威胁形势 1
1.2　凭据：身份验证和授权 3
1.3　应用程序 4
1.4　网络安全挑战 6
1.4.1　旧技术和更广泛的结果 6
1.4.2　威胁形势的转变 7
1.5　增强安全态势 8
1.6　红队与蓝队 10
1.7　小结 12
1.8　参考文献 13
第2章　事件响应流程 15
2.1　事件响应流程的创建 15
2.1.1　实施事件响应流程的原因 15
2.1.2　创建事件响应流程 17
2.1.3　事件响应小组 19
2.1.4　事件生命周期 19
2.2　处理事件 20
2.3　事后活动 22
2.3.1　真实场景 22
2.3.2　经验教训 23
2.4　云中的事件响应 24
2.4.1　更新事件响应流程以涵盖云 24
2.4.2　合适的工具集 24
2.4.3　从云解决方案提供商视角看事件响应流程 25
2.5　小结 25
2.6　参考文献 26
第3章　什么是网络战略 27
3.1　引言 27
3.2　为什么需要建立网络战略 27
3.3　如何构建网络战略 29
3.3.1　了解业务 29
3.3.2　了解威胁和风险 29
3.3.3　文档 29
3.4　最佳网络攻击战略（红队） 30
3.4.1　外部测试战略 30
3.4.2　内部测试战略 30
3.4.3　盲测战略 31
3.4.4　定向测试战略 31
3.5　最佳网络防御战略（蓝队） 31
3.5.1　深度防御 31
3.5.2　广度防御 33
3.6　小结 33
3.7　延伸阅读 33
第4章　了解网络安全杀伤链 35
4.1　网络杀伤链简介 35
4.2　侦察 36
4.3　武器化 37
4.4　权限提升 37
4.4.1　垂直权限提升 38
4.4.2　水平权限提升 38
4.5　渗出 39
4.5.1　维持 41
4.5.2　袭击 42
4.5.3　混淆 43
4.6　威胁生命周期管理 45
4.6.1　数据收集阶段 46
4.6.2　发现阶段 46
4.6.3　鉴定阶段 47
4.6.4　调查阶段 47
4.6.5　消除阶段 47
4.6.6　恢复阶段 47
4.6.7　共享文件 48
4.7　网络杀伤链阶段使用的工具 48
4.7.1　Nmap 48
4.7.2　Zenmap 49
4.7.3　Metasploit 49
4.7.4　John the Ripper 50
4.7.5　Hydra 51
4.7.6　Wireshark 52
4.7.7　Aircrack-ng 53
4.7.8　Nikto 54
4.7.9　Kismet 55
4.7.10　Airgeddon 56
4.7.11　Deauther Board 56
4.7.12　EvilOSX 57
4.8　网络安全杀伤链小结 58
4.9　实验：通过Evil Twin攻击针对无线网络实施实验室攻击 59
4.9.1　实验场景 59
4.9.2　步骤1：确保拥有“模拟攻击”所需的所有硬件和软件 59
4.9.3　步骤2：在Kali上安装Airgeddon 60
4.9.4　步骤3：配置Airgeddon 61
4.9.5　步骤4：选择目标 62
4.9.6　步骤5：收集握手信息 63
4.9.7　步骤6：设置钓鱼页面 66
4.9.8　步骤7：捕获网络凭据 67
4.10　实验小结 67
4.11　参考文献 67
4.12　延伸阅读 69
第5章　侦察 70
5.1　外部侦察 71
5.1.1　Webshag 71
5.1.2　PhoneInfoga 73
5.1.3　电子邮件收集器TheHarvester 74
5.2　Web浏览器枚举工具 75
5.2.1　渗透测试套件 75
5.2.2　Netcraft 75
5.2.3　垃圾箱潜水 76
5.2.4　社交媒体 77
5.2.5　社会工程学 78
5.3　内部侦察 87
5.3.1　Airgraph-ng 87
5.3.2　嗅探和扫描 88
5.3.3　战争驾驶 95
5.3.4　Hak5 Plunder Bug 96
5.3.5　CATT 97
5.3.6　Canary令牌链接 98
5.4　小结 99
5.5　实验：谷歌黑客 99
5.5.1　第1部分：查找个人信息 99
5.5.2　第2部分：查找服务器 106
5.6　参考文献 108
第6章　危害系统 110
6.1　当前趋势分析 111
6.1.1　勒索攻击 111
6.1.2　数据篡改攻击 113
6.1.3　物联网设备攻击 114
6.1.4　后门 114
6.1.5　移动设备攻击 115
6.1.6　入侵日常设备 116
6.1.7　攻击云 117
6.1.8　云攻击的诱惑 118
6.1.9　CloudTracker 123
6.1.10　云安全建议 123
6.2　网络钓鱼 124
6.3　漏洞利用攻击 126
6.4　零日漏洞 127
6.4.1　WhatsApp漏洞（CVE-2019-3568） 128
6.4.2　Chrome零日漏洞（CVE-2019-5786） 129
6.4.3　Windows 10权限提升 129
6.4.4　Windows权限提升漏洞（CVE-2019-1132） 129
6.4.5　模糊测试 129
6.4.6　源代码分析 130
6.4.7　零日漏洞利用的类型 131
6.5　危害系统的执行步骤 132
6.5.1　安装使用漏洞扫描器 133
6.5.2　使用Metasploit部署载荷 134
6.5.3　危害操作系统 135
6.5.4　危害远程系统 139
6.5.5　危害基于Web的系统 140
6.6　移动电话（iOS/Android攻击） 145
6.6.1　Exodus 146
6.6.2　SensorID 147
6.6.3　Cellebrite攻击iPhone 148
6.6.4　盘中人 148
6.6.5　Spearphone（Android上的扬声器数据采集） 149
6.6.6　Tap n Ghost 149
6.6.7　适用于移动设备的红蓝队工具 149
6.7　实验1：在Windows中构建红队PC 152
6.8　实验2：合法入侵网站 156
6.8.1　bWAPP 157
6.8.2　HackThis ！！ 157
6.8.3　OWASP Juice Shop项目 157
6.8.4　Try2Hack 157
6.8.5　Google Gruyere 157
6.8.6　易受攻击的Web应用程序 158
6.9　小结 159
6.10　参考文献 160
6.11　延伸阅读 161
第7章　追踪用户身份 162
7.1　身份是新的边界 162
7.2　危害用户身份的策略 164
7.2.1　获取网络访问权限 165
7.2.2　获取凭据 166
7.2.3　入侵用户身份 167
7.2.4　暴力攻击 167
7.2.5　社会工程学 169
7.2.6　散列传递 174
7.2.7　通过移动设备窃取身份信息 176
7.2.8　入侵身份的其他方法 176
7.3　小结 176
7.4　参考文献 177
第8章　横向移动 178
8.1　渗出 178
8.2　网络测绘 179
8.3　规避告警 180
8.4　执行横向移动 181
8.4.1　像黑客一样思考 183
8.4.2　端口扫描 183
8.4.3　Sysinternals 184
8.4.4　文件共享 186
8.4.5　Windows DCOM 187
8.4.6　远程桌面 188
8.4.7　PowerShell 190
8.4.8　 Windows管理规范 191
8.4.9　计划任务 192
8.4.10　令牌窃取 193
8.4.11　被盗凭据 193
8.4.12　可移动介质 194
8.4.13　受污染的共享内容 194
8.4.14　远程注册表 194
8.4.15　TeamViewer 194
8.4.16　应用程序部署 195
8.4.17　网络嗅探 195
8.4.18　ARP欺骗 195
8.4.19　AppleScript和IPC（OS X） 196
8.4.20　受害主机分析 196
8.4.21　 中央管理员控制台 197
8.4.22　电子邮件掠夺 197
8.4.23　活动目录 197
8.4.24　管理共享 199
8.4.25　票据传递 199
8.4.26　散列传递 199
8.4.27　Winlogon 201
8.4.28　Lsass.exe进程 201
8.5　实验：在没有反病毒措施的情况下搜寻恶意软件 203
8.6　小结 213
8.7　参考文献 214
8.8　延伸阅读 214
第9章　权限提升 215
9.1　渗透 215
9.1.1　水平权限提升 216
9.1.2　垂直权限提升 217
9.2　规避告警 217
9.3　执行权限提升 218
9.3.1　利用漏洞攻击未打补丁的操作系统 220
9.3.2　访问令牌操控 221
9.3.3　利用辅助功能 222
9.3.4　应用程序垫片 223
9.3.5　绕过用户账户控制 226
9.3.6　DLL注入 228
9.3.7　DLL搜索顺序劫持 228
9.3.8　dylib劫持 229
9.3.9　漏洞探索 230
9.3.10　 启动守护进程 231
9.4　Windows目标上权限提升示例 231
9.5　权限提升技术 233
9.5.1　转储SAM文件 233
9.5.2　root安卓 234
9.5.3　使用/etc/passwd文件 235
9.5.4　额外的窗口内存注入 236
9.5.5　挂钩 236
9.5.6　新服务 237
9.5.7　计划任务 237
9.6　Windows引导顺序 237
9.6.1　启动项 237
9.6.2　sudo缓存 244
9.7　结论和教训 245
9.8　小结 246
9.9　实验 1 246
9.10　实验 2 252
9.10.1　第1部分：从LSASS获取密码 252
9.10.2　第2部分：用PowerSploit转储散列 256
9.11　实验 3：HackTheBox 259
9.12　参考文献 264
第10章　安全策略 266
10.1　安全策略检查 266
10.2　用户教育 267
10.2.1　用户社交媒体安全指南 268
10.2.2　安全意识培训 269
10.3　策略实施 269
10.3.1　应用程序白名单 271
10.3.2　安全加固 273
10.4　合规性监控 276
10.5　通过安全策略持续推动安全态势增强 279
10.6　小结 280
10.7　延伸阅读 281
第11章　网络分段 282
11.1　深度防御方法 282
11.1.1　基础设施和服务 283
11.1.2　传输中的文档 284
11.1.3　端点 284
11.2　物理网络分段 285
11.3　远程网络的访问安全 288
11.4　虚拟网络分段 290
11.5　零信任网络 292
11.6　混合云网络安全 293
11.7　小结 297
11.8　延伸阅读 298
第12章　主动传感器 299
12.1　检测能力 299
12.2　入侵检测系统 302
12.3　入侵防御系统 304
12.3.1　基于规则的检测 304
12.3.2　基于异常的检测 305
12.4　内部行为分析 305
12.5　混合云中的行为分析 308
12.5.1　Azure Security Center 308
12.5.2　PaaS工作负载分析 311
12.6　小结 313
12.7　延伸阅读 313
第13章　威胁情报 314
13.1　威胁情报简介 314
13.2　用于威胁情报的开源工具 317
13.3　微软威胁情报 323
13.4　利用威胁情报调查可疑活动 324
13.5　小结 326
13.6　延伸阅读 327
第14章　事件调查 328
14.1　确定问题范围 328
14.2　调查内部失陷系统 332
14.3　调查混合云中的失陷系统 335
14.4　主动调查（威胁猎杀） 342
14.5　经验教训 344
14.6　小结 344
14.7　延伸阅读 344
第15章　恢复过程 345
15.1　灾难恢复计划 345
15.1.1　灾难恢复计划流程 346
15.1.2　挑战 349
15.2　应急计划 349
15.2.1?开发应急计划策略 350
15.2.2?进行业务影响分析 350
15.2.3?确定预防性控制 351
15.2.4?业务连续性与灾难恢复 352
15.2.5?制定恢复策略 353
15.3　现场恢复 355
15.3.1　维护计划 356
15.3.2　现场网络事件恢复示例 356
15.3.3　风险管理工具 357
15.4　恢复计划最佳实践 359
15.5　灾难恢复最佳实践 359
15.5.1　内部部署 359
15.5.2?云上部署 359
15.5.3?混合部署 360
15.5.4?关于网络弹性的建议 360
15.6　小结 361
15.7　灾难恢复计划资源 362
15.8　参考文献 362
15.9　延伸阅读 363
第16章　漏洞管理 364
16.1　创建漏洞管理策略 364
16.1.1　资产盘点 365
16.1.2　信息管理 365
16.1.3　风险评估 366
16.1.4　漏洞评估 369
16.1.5　报告和补救跟踪 370
16.1.6　响应计划 371
16.2　漏洞管理工具 372
16.2.1　资产盘点工具 372
16.2.2　信息管理工具 374
16.2.3　风险评估工具 374
16.2.4　漏洞评估工具 375
16.2.5　报告和补救跟踪工具 375
16.2.6　响应计划工具 376
16.3　实施漏洞管理 376
16.4　漏洞管理最佳实践 377
16.5　漏洞管理工具示例 379
16.5.1　Intruder 379
16.5.2　Patch Manager Plus 380
16.5.3　InsightVM 380
16.5.4　Azure Threat & Vulnerability Management 381
16.6　使用Nessus实施漏洞管理 382
16.6.1　OpenVAS 388
16.6.2　Qualys 388
16.6.3　Acunetix 390
16.7　实验 390
16.7.1　实验1：使用Acunetix执行在线漏洞扫描 390
16.7.2　实验2：使用GFI LanGuard进行网络安全扫描 397
16.8　小结 401
16.9　参考文献 401
第17章　日志分析 403
17.1　数据关联 403
17.2　操作系统日志 404
17.2.1　Windows日志 404
17.2.2　Linux日志 407
17.3　防火墙日志 408
17.4　Web服务器日志 409
17.5　Amazon Web Services日志 410
17.6　Azure Activity日志 413
17.7　小结 416
17.8　延伸阅读 416