防患未然：实施情报先导的信息安全方法与实践

全面介绍情报先导信息安全方法和实践的著作

从威胁的种类、历史、特征入手，循序渐进地阐述如何实施情报先导的安全项目，结合内外部情报，拓展态势感知能力

传统的网络防御三剑客——防火墙、入侵检测系统和桌面防病毒软件，已经不再能让我们高枕无忧，在敌人大打情报战的时候，我们能怎么办？只有以其人之道还治其人之身——实施情报先导的安全项目，结合内外部情报，拓展态势感知能力，先敌一步采取行动，将攻击扼杀在摇篮之中。

网络威胁情报的加入有助于安全团队发现传统安全平台没有发现的事件，将网络上似乎无关的事件关联起来。合理实施的情报还能帮助安全从业人员更有效地排定安全事件的优先级并做出响应，使他们的生活更轻松。本书将介绍如何实施安全信息和事件管理系统、收集和分析日志，以及如何实践真正的网络威胁情报。你将学习如何深入理解网络，以*可能的方式保护它。

提供构建情报先导信息安全项目、保护公司的路线图和方向。

学习如何通过日志和用户监控理解网络，有效评估威胁情报、增强态势感知能力。

学习如何使用流行框架和工具（如YARA、STIX、TAXII、CyBOX、Hadoop和Splunk），关联不同的信息，制作可行动的网络威胁情报。

学习新型威胁情报管理平台，以及它们与现有系统配合改进情报循环的方式。

本书由资深网络安全专家Allan Liska亲笔撰写，从威胁的种类、历史、特征入手，循序渐进地阐述了情报的类型和重要性、网络安全情报模型、数据收集、内外部情报源等情报先导信息安全的重要概念及方法，为在各种网络攻击面前苦于招架的安全团队带来了一剂良药。

本书的篇幅虽不算大，内涵却十分丰富，不是泛泛地介绍各种工具，而是系统地介绍各种网络安全方法，包括攻击链模型、网络安全情报模型，以及各种行业ISAC等组织的讲解，足以令读者茅塞顿开，在安全领域开辟新的道路。

Allan Liska，是iSIGHT Partners技术联盟项目主管，在信息安全领域有逾15年的从业经验。凭借在攻击和防御网络上的经验，Allan提出了有关威胁状态的独特观点。他还是《The Practice of Network Security》的作者。

译者序
前言
第1章理解威胁 1
1.1引言 1
1.2网络安全简史 2
1.2.1Morris蠕虫 2
1.2.2防火墙 3
1.2.3入侵检测系统 4
1.2.4台式机 5
1.2.5邮件过滤器和代理 7
1.2.6分布式拒绝服务攻击 10
1.2.7统一威胁管理 11
1.3理解当前的威胁 12
1.3.1恶意软件行业 13
1.3.2恶意软件商品化 15
1.3.3攻击之王—网络钓鱼 17
1.3.4攻击面正在扩大 19
1.3.5云的兴起 21
1.4即将出现的威胁 22
1.5小结 24
1.6参考书目 24
第2章什么是情报 27
2.1引言 27
2.2情报的定义 28
2.3情报循环 29
2.4情报类型 33
2.5专业分析师 34
2.6拒止与欺骗 38
2.7古往今来的情报 40
2.7.1孙子 41
2.7.2凯撒大帝 43
2.7.3乔治·华盛顿 44
2.7.4布莱奇利庄园 45
2.8小结 47
2.9参考书目 47
第3章构建网络安全情报模型 49
3.1引言 49
3.2网络威胁情报的定义 50
3.3攻击剖析 51
3.4从不同的角度接近网络攻击 55
3.5在安全工作流中加入情报生命期 60
3.5.1情报是有活力的 62
3.5.2一图胜千言 63
3.6自动化 65
3.7小结 68
3.8参考书目 68
第4章收集数据 69
4.1引言 69
4.2连续监控框架 70
4.3NIST网络安全框架 73
4.3.1框架核心 73
4.3.2框架实施层次 75
4.3.3框架配置文件 78
4.4安全性+情报 79
4.5安全性的业务方面 82
4.6规划分阶段方法 85
4.6.1目标 85
4.6.2初始评估 85
4.6.3分析当前安全状态 87
4.6.4进入下一阶段 89
4.7小结 90
4.8参考书目 90
第5章内部情报来源 93
5.1引言 93
5.2资产、漏洞和配置管理 94
5.3网络日志记录 101
5.3.1SIEM带来的麻烦 102
5.3.2SIEM的能力 105
5.3.3托管安全服务提供商 108
5.3.4访问控制 110
5.4网络监控 111
5.5小结 114
5.6参考书目 115
第6章外部情报来源 117
6.1引言 117
6.2品牌监控与情报的对比 118
6.3资产、漏洞和配置管理 121
6.4网络日志记录 127
6.4.1作为中心点的IP地址 129
6.4.2作为中心点的域名 133
6.4.3作为中心点的文件散列 137
6.4.4以MSSP警报为中心 140
6.5网络监控 141
6.6防范零日攻击 143
6.7事故响应和情报 146
6.8协作式威胁研究 147
6.9小结 148
6.10参考书目 149
第7章融合内部和外部情报 151
7.1引言 151
7.2安全意识培训 152
7.3OpenIOC、CyBOX、STIX和TAXII 156
7.3.1OpenIOC 156
7.3.2CyBOX 157
7.3.3STIX和TAXII 159
7.4威胁情报管理平台 161
7.5大数据安全分析 166
7.6小结 168
7.7参考书目 169
第8章CERT、ISAC和情报共享社区 171
8.1引言 171
8.2CERT和CSIRT 172
8.2.1CERT/协调中心 173
8.2.2US-CERT和国家级CSIRT 174
8.2.3公司级CSIRT 175
8.3ISAC 176
8.4情报共享社区 182
8.5小结 185
8.6参考书目 185
第9章高级情报能力 187
9.1引言 187
9.2恶意软件分析 188
9.2.1为什么这是个坏主意 188
9.2.2建立恶意软件实验室 189
9.3蜜罐 199
9.3.1为什么这是个坏主意 200
9.3.2蜜罐的布设 201
9.3.3建立计划 202
9.3.4蜜罐类型 203
9.3.5选择蜜罐 204
9.4入侵诱骗 206
9.4.1为什么这是个坏主意 206
9.4.2入侵诱骗的工作原理 207
9.5小结 208
9.6参考书目 208

2015年2月，我参加了RSA大会，这是我多年来第一次参加这项会议，会上我被网络安全领域在很短时间内发生的巨大变化深深打动。更确切地说，在很短的时间内，网络安全市场发生的巨大变化触动了我。

在RSA大会上，几乎每一家网络安全供应商都在兜售他们的情报，不管是供应商在平台中直接提供的原生情报，还是供应商与第三方情报提供上的集成。别误解，我坚信情报是在安全事故成为大问题之前识别和解决它们的最佳手段。但是情报不是一个数据摘要，也不是一系列指标。相反，情报是获得这些指标、使它们可以付诸行动，并提供指标背后威胁的来龙去脉的全过程。

实际上，编写本书的动机来自于RSA会议期间一个雨夜中与本书技术编辑Tim Gallo关于这一主题的一次交谈。本书不是关于系统配置的纯技术书籍，它的目标是帮助读者决定如何调整组织内部的安全过程，以容纳情报循环，并考虑所得情报的注入点。在使用得当的情况下，情报越好，给网络带来的保护越好。

本书是介绍这一复杂主题的第一次尝试，如果你愿意，可以把它称作版本1.0。我十分感谢任何反馈，不管它们是正面的还是负面的，都可以帮助下一版本变得更好。你可以通过allan@allan.org和我联系，并提供任何意见。

致谢本书的首要主题之一是信息共享的重要性。如果无法根据情报采取行动，或者情报没有及时交到需要根据它采取行动的人手中，那么情报就是毫无意义的。如果没有那么多网络威胁情报社区的人和我分享他们的知识，本书就不可能出版。

我要特别感谢一些人的帮助：Cisco的Brian Tillett，Carbon Black的Ben Johnson和Jeffrey Guy，CrowdStrike的Mike Cryer和Scott Fuselier，Palantir的Geoff Stowe，Symantec的Sean Murphy，Mandiant的Justin Bajko，Recorded Future的Jeson Hines，DomainTools的Tim Chen，Schweitzer Engineering Laboratories的Laura Scheweitzer，Reservoir Labs的Patrick Clancy，LockPath的Chris Goodwin和Chris Caldwell，ThreatConnect的Andy Pendergast和Michele Perry，eSentire的Sean Blenkhorn，以及ThreatQuotient的Wayne Chiang。

我还要感谢iSIGHT Partners的同事们，感谢所有人在这段时间的支持。他们的支持、建议、想法和交流使我可以写出一本真正对广大读者有帮助的书。

除了广泛的社区支持之外，我还要感谢Tim Gallo出色的技术编辑工作。Tim和我一起花费了很长的时间，提炼我们关于在组织中有效利用网络威胁情报的方法，因此，他对这本书的贡献和我一样多。实际上，本书中许多最巧妙的段落直接归功于他的编辑。

最后，如果没有Syngress的Chris Katsaropoulos和Ben Rearick的辛勤工作，本书就无法出版。感谢Chris相信我的想法并且帮助把它们转化成文字。感谢Ben帮我控制进度，在遇到阻力时鼓励我。他们两位使本书的出版过程比10年前轻松很多。

作者简介Allan Liska是iSIGHT Partners的技术联盟项目主管，是一位“事故”安全性专家。虽然Allan总是擅长破坏性的工作，但是他最早的专业工作是担任Genie在线服务（AOL早期竞争者，已消亡多年）的客户服务代表，当时他将业余时间花在理解用户如何在未授权状态下访问系统、驱逐这些访问者并让开发人员知道需要打补丁的地方。在不知不觉中，这些工作使其走上了安全专家的道路。之后，他供职于UUNET和Symantec等公司，帮助各大公司加固网络安全。他还曾经在波音公司工作，尝试攻破公司的网络。今天，Allan帮助各大公司实施情报工作，使所有安全设备相互通信，加大情报覆盖面。

除了将时间花在安全边界两端之外，Allan还撰写了大量有关安全的书籍，包括《The Practice of Network Security》。此外，他还是《Apache Administrator抯 Handbook》的合著者。

技术编辑简介Tim Gallo是Symantec的现场工程师。他在Symantec有11年的工作经验，而在信息技术和IT安全方面已经有16年的经验。作为Symantec网络安全组的现场工程师，他为Symantec的客户提供策略和指导，帮助他们利用情报收集和传播建立具有前瞻性的保护方案。他还在其他方面为Symantec提供服务，包括Symantec情报服务的技术产品管理、全球服务与工程团队中的运营和交付任务，以及领导公司高级网络安全产品支持战略。在就职于Symantec之前，Tim曾在一家领先的工业制造企业担任美国地区安全官员，负责战略性策略开发、测试和数据中心运营。作为当前工作的一部分，Tim是安全策略、情报计划和威胁及安全漏洞管理领域的思想领袖。