情报驱动应急响应 pdf下载

在网络安全事件响应的过程中，威胁情报发挥了重要作用。以情报驱动的事件响应，能帮助响应者了解对手，减少检测、响应和补救入侵所需的时间。威胁情报可以很好地支撑事件响应，同时事件响应的过程也产生了可以进一步利用的威胁情报。

本书恰恰就是这样一本让人相见恨晚的实用指南。作者基于情报周期和事件响应周期提出的“F3EAD”流程，将情报团队和事件响应团队的工作有机地贯穿起来，并结合具体案例，深入浅出地阐述各阶段工作要点、注意事项。值得一提的是，作者在第8章专门讨论了分析过程中容易出现的各种偏见和消除偏见的办法，在第9章专门讨论了情报产品的目标、受众及篇幅等问题，甚至提供了大量情报产品模板。

　　本书不仅适合企业安全运营中心的事件响应人员阅读，而且也是网络安全厂商的专业分析团队的必读书目。但由于译者水平有限，译文中难免存在纰漏，恳请读者批评、指正。

序言1

前言4

第一部分 基础知识

第1章 概述11

1.1 情报作为事件响应的一部分11

1.1.1 网络威胁情报的历史11

1.1.2 现代网络威胁情报12

1.1.3 未来之路13

1.2 事件响应作为情报的一部分13

1.3 什么是情报驱动的事件响应14

1.4 为什么是情报驱动的事件响应14

1.4.1 SMN行动14

1.4.2 极光行动15

1.5 本章小结16

第2章 情报原则17

2.1 数据与情报17

2.2 来源与方法18

2.3 流程模型21

2.3.1 OODA循环21

2.3.2 情报周期23

2.3.3 情报周期的应用案例27

2.4 有质量的情报28

2.5 情报级别29

2.5.1 战术情报29

2.5.2 作业情报29

2.5.3 战略情报30

2.6 置信级别30

2.7 本章小结31

第3章 事件响应原则32

3.1 事件响应周期32

3.1.1 预备33

3.1.2 识别34

3.1.3 遏制35

3.1.4 消除35

3.1.5 恢复36

3.1.6 反思37

3.2 杀伤链38

3.2.1 目标定位40

3.2.2 侦查跟踪40

3.2.3 武器构造41

3.2.4 载荷投递45

3.2.5 漏洞利用46

3.2.6 后门安装46

3.2.7 命令与控制47

3.2.8 目标行动47

3.2.9 杀伤链举例49

3.3 钻石模型50

3.3.1 基本模型50

3.3.2 模型扩展51

3.4 主动防御51

3.4.1 阻断52

3.4.2 干扰52

3.4.3 降级52

3.4.4 欺骗53

3.4.5 破坏53

3.5 F3EAD53

3.5.1 查找54

3.5.2 定位54

3.5.3 消除55

3.5.4 利用55

3.5.5 分析55

3.5.6 传播56

3.5.7 F3EAD的应用56

3.6 选择正确的模型57

3.7 场景案例：玻璃巫师57

3.8 本章小结58

第二部分 实战篇

第4章 查找61

4.1 围绕攻击者查找目标61

4.1.1 从已知信息着手63

4.1.2 查找有效信息63

4.2 围绕资产查找目标69

4.3 围绕新闻查找目标70

4.4 根据第三方通知查找目标71

4.5 设定优先级72

4.5.1 紧迫性72

4.5.2 既往事件72

4.5.3 严重性73

4.6 定向活动的组织73

4.6.1 精确线索73

4.6.2 模糊线索73

4.6.3 相关线索分组74

4.6.4 线索存储74

4.7 信息请求过程75

4.8 本章小结75

第5章 定位77

5.1 入侵检测77

5.1.1 网络告警78

5.1.2 系统告警82

5.1.3 定位“玻璃巫师”84

5.2 入侵调查86

5.2.1 网络分析86

5.2.2 实时响应92

5.2.3 内存分析93

5.2.4 磁盘分析94

5.2.5 恶意软件分析95

5.3 确定范围97

5.4 追踪98

5.4.1 线索开发98

5.4.2 线索验证99

5.5 本章小结99

第6章 消除100

6.1 消除并非反击100

6.2 消除的各阶段101

6.2.1 缓解101

6.2.2 修复104

6.2.3 重构106

6.3 采取行动107

6.3.1 阻止107

6.3.2 干扰108

6.3.3 降级108

6.3.4 欺骗108

6.3.5 销毁109

6.4 事件数据的组织109

6.4.1 行动跟踪工具110

6.4.2 专用工具112

6.5 评估损失113

6.6 监控生命周期113

6.7 本章小结115

第7章 利用116

7.1 什么可以利用117

7.2 信息收集117

7.3 威胁信息存储118

7.3.1 信标的数据标准与格式118

7.3.2 战略信息的数据标准与格式121

7.3.3 维护信息123

7.3.4 威胁情报平台124

7.4 本章小结126

第8章 分析127

8.1 分析的基本原理127

8.2 可以分析什么129

8.3 进行分析130

8.3.1 拓线数据131

8.3.2 提出假设134

8.3.3 评估关键假设135

8.3.4 判断和结论138

8.4 分析过程与方法138

8.4.1 结构化分析138

8.4.2 以目标为中心的分析140

8.4.3 竞争性假设分析法141

8.4.4 图形分析143

8.4.5 反向分析方法144

8.5 本章小结145

第9章 传播146

9.1 情报客户的目标147

9.2 受众147

9.2.1 管理人员/领导类客户147

9.2.2 内部技术客户150

9.2.3 外部技术客户151

9.2.4 设定客户角色152

9.3 作者154

9.4 可行动性156

9.5 写作步骤157

9.5.1 规划158

9.5.2 草稿158

9.5.3 编辑159

9.6 情报产品版式161

9.6.1 简易格式产品161

9.6.2 完整格式产品165

9.6.3 情报需求流程173

9.6.4 自动使用型产品176

9.7 节奏安排180

9.7.1 分发180

9.7.2 反馈181

9.7.3 定期发布产品181

9.8 本章小结182

第三部分 未来之路

第10章 战略情报185

10.1 什么是战略情报186

10.2 战略情报周期189

10.2.1 战略需求的设定189

10.2.2 收集190

10.2.3 分析192

10.2.4 传播195

10.3 本章小结196

第11章 建立情报计划197

11.1 你准备好了吗197

11.2 规划情报计划199

11.2.1 定义利益相关者199

11.2.2 定义目标200

11.2.3 定义成功标准201

11.2.4 确定需求和限制201

11.2.5 定义度量203

11.3 利益相关者档案203

11.4 战术用例204

11.4.1 SOC支持204

11.4.2 指标管理205

11.5 运营用例206

11.6 战略用例207

11.6.1 架构支持207

11.6.2 风险评估/战略态势感知208

11.7 从战略到战术还是从战术到战略208

11.8 雇用一个情报团队209

11.9 展示情报计划的价值209

11.10 本章小结210

附录 威胁情报内容211

欢迎来到情报驱动事件响应这个激动人心的世界！情报（具体点说，网络威胁情报）拥有巨大的潜力来帮助网络安全防御者更好地了解和响应攻击者的行为。

本书目的是展示情报如何适配事件响应的过程，帮助响应者了解他们的对手，以减少检测、响应和补救入侵所需的时间。长期以来，网络威胁情报和事件响应都是密切相关的，事实上两者有着千丝万缕的关系。威胁情报可以很好地支撑事件响应，同时事件响应的过程也产生了可以被进一步利用的威胁情报。本书的目的是帮助读者了解、实施情报驱动的事件响应，并从中获益。

我们为什么写这本书

近年来，我们看到一种趋势，事件响应从以前的独立活动到现在成为整体网络安全计划的一个组成部分。与此同时，网络威胁情报正在迅速变得越来越受欢迎，更多的公司和事件响应者正在努力了解如何将威胁情报纳入其业务。对抗是真实的，自从我们学习了如何将传统的情报原则应用于事件响应实践，伴随这个过程而来的痛苦也与日俱增，但是我们知道这是值得的，反之亦然。因此，我们写了这本书将两个世界（威胁情报和事件响应）汇聚在一起，展示它们如何更有力、更有效地相互促进，帮助实践者缩短将其纳入业务的时间。

目标读者

这本书是为安全事件响应从业者撰写的，适合于事件响应经理、恶意软件分析师、逆向工程师、数字取证专家或情报分析师等，也适合于有兴趣深入了解事件响应的人。网络威胁情报吸引人的地方在于，许多人都想了解攻击者，了解他们的动机和运作方式，而事件响应是学习这个领域的最佳方式。但是只有当事件响应采用情报思维方式去实践时，我们才开始真正了解所掌握的信息的价值。你在阅读本书之前，无须成为事件响应或者情报方面的专家，也无须从其他书获取相关背景知识。我们将通过这两个领域的基础知识，展示它们如何相互促进，并提供实用的建议和场景举例来说明这一过程。

本书结构

本书的目录结构如下：

第一部分包括第1～3章，介绍了情报驱动事件响应（IDIR）的概念，以及情报和事件响应领域中的基本原则和正确方法。我们将介绍F3EAD的概念，这是IDIR的重要模型，本书的其余部分将围绕这个概念展开。

第二部分包括第4～9章，第4～6章介绍了F3EAD以事件响应为重点的部分：查找、定位和消除；第7～9章介绍了F3EAD流程中以情报为重点的步骤：利用、分析和传播。

第三部分包括第10、11章，第10章阐述了战略层面的情报及如何将其应用于事件响应和网络安全计划；第11章讨论了情报计划的形式化以及如何建立情报驱动的事件响应计划并取得成功。

附录提供了F3EAD在传播阶段（见第9章）可能用到的情报产品示例。

通常，有兴趣将威胁情报整合到事件响应中的人，往往对其中一个领域非常了解，因此，在阅读时可能会跳过熟悉的知识点而重点关注新的部分，但我们仍建议你不要跳过太多，你将会发现我们使用了一个新的模型或方法来更好地整合这两个领域。

排版约定

本书使用以下印刷格式：

斜体（Italic）

表示新的术语、网址、电子邮件地址、文件名和文件扩展名。

等宽体（Constant width）

用于代码列表，以及段落中引用的代码元素，如变量或函数名称、数据库、数据类型、环境变量、语句和关键字。

加粗等宽体（Constant width bold）

表示用户应直接输入的命令或其他文本。

倾斜等宽体（Constant width italic）

表示此内容应该被替换的，取决于用户输入或由上下文决定。

此图标表示一个提示或建议。

此图标表示一般注释。

此图标表示一个警告或注意。

Safari在线图书

Safari是一个为企业、政府、教育和个人提供的会员制培训、参考平台。

会员可以访问数以千计的书籍、培训视频、学习路径、互动教程以及来自250多个出版社策划的播放列表，包括O扲eilly Media、Harvard Business Review、Prentice Hall Professional、Addison-Wesley Professional、Microsoft Press、Sams、Que、Peachpit Press、Adobe、Focal Press、Cisco Press、John Wiley & Sons、Syngress、Morgan Kaufmann、IBM Redbooks、Packt、Adobe Press、FT Press、Apress、Manning、New Riders、McGraw-Hill、Jones & Bartlett，以及其他在线技术。

更多信息请访问：http://oreilly.com/safari。

联系我们

对于本书，如果有任何意见或疑问，请按照以下地址联系本书出版商。

美国：

O'Reilly Media，Inc.

1005 Gravenstein Highway North

Sebastopol，CA 95472

中国：

北京市西城区西直门南大街2号成铭大厦C座807室（100035）

奥莱利技术咨询（北京）有限公司

要询问技术问题或对本书提出建议，请发送电子邮件至：

bookquestions@oreilly.com

要获得更多关于我们的书籍、会议、资源中心和O'Reilly网络的信息，请参见我们的网站：

http://www.oreilly.com

http://www.oreilly.com.cn

我们在Facebook上的主页：http://facebook.com/oreilly

我们在Twitter上的主页：http://twitter.com/oreillymedia

我们在YouTube上的主页：http://www.youtube.com/oreillymedia

致谢

Rebekah的致谢：

我的棒棒的老姐们：Emma、Caitlyn和Colin，一直鼓励着我，并提供不少如何捕捉黑客的有用建议。

我的父母，兄弟姐妹以及其他家庭成员对我写书工作的支持。

我的同事：Jen、Wade、Rachel、Jordan、Bob、Derek（人太多，写不过来！）永远相信我，你们没有（大声）说我写书是种疯狂的行为。你们是我生活中的“饭醉团伙”，让我保持着滋润、打鸡血以及愉悦的状态，并时不时提醒我按时交作业。

我的合著者：Scott，是一个极其优秀的男子汉。

最后，致谢波特兰的23 Hoyt（餐吧名）、亚历山大的Trademark（餐吧名）以及它们的全体工作人员，在无数次的差旅途中，给我提供一个舒适的写书环境。

Scott的致谢：

我那传奇的太太Kessa：如果没有你的鼓励和高瞻远瞩，我不会坚持写完这本书，更别提当初你灵光一闪激发我做的尝试。感谢你全天候无条件的默默支持。多么希望我能为你分担家庭的琐事，但你却独力撑起了一切。

我的父母Steve和Janet：从我的第一台电脑到现在一个史诗般的写作项目，你们一直满足我的好奇心并帮助我到达彼岸。没有你们，我不可能取得今天的成就。

GitHub安全团队：你给了我学习、写作以及分享的自由，让我明白一切皆有可能。

Kyle：所有这一切都离不开你的指导。我很感激，当我开始有了这个雄心勃勃的疯狂想法的时候，你告诉我不管怎样都要实现它。

多年以来我的许多朋友和导师们：我猜，你们中的大多数人都不知道你们的每次交谈以及愿意听我分享激情的耐性对我来说都是满满的正能量。

我优秀的合著者Rebekah，君乃吾所需，而非吾所求。没有你，我无法独自完成这一切；没有你，这本书也不会如此精彩。

O扲eilly的员工，你们优秀的商业能力，帮助我们将想法变成了现实。

最后，感谢Columbus的Mission Coffee公司的咖啡和精致的百吉饼，给了我不少创作的灵感。