安全技術運營：方法與實踐

程虎，財付通支付科技有限公司安全總監，騰訊安全專家工程師，是一位有16年安全攻防經驗具備系統化思維的安全技術專家。曾經參與或負責金山毒霸、金山清理專家、金山網盾、金山密保、手機毒霸、騰訊電腦管家、禦點企業防毒軟件、禦界NTA、禦見SOC、安圖威脅情報、零信任iOA、公有雲主機安全、雲端防火牆、雲端SOC等產品的安全能力建置與運作。

前言
第1章什麼是安全技術運營1
1.1 網絡威脅簡介1
1.1.1 什麼是惡意程序1
1.1.2 經典網絡攻擊7
1.1.3 業務安全攻擊12
1.2 安全運營簡介14
1.2.1 安全運營的定義14
1.2.2 安全運營發展史14
1.2.3 惡意程序對抗17
1.2.4 雲查殺和雲主防介紹20
1.2.5 大數據應用介紹21
1.3 技術運營必備的6種思維23
1.3.1 邏輯思維25
1.3.2 水平思維27
1.3.3 全局思維29
1.3.4 系統性思維32
1.3.5 大數據思維36
1.3.6 算法思維38
第2章威脅發現42
2.1 特徵識別技術42
2.1.1 特徵定位42
2.1.2 啟發式發掘48
2.1.3 特徵空間和有監督學習52
2.2 行為識別技術55
2.2.1 行為遙測探針55
2.2.2 動態分析系統58
2.2.3 行為規則和決策樹62
2.3 機器智能初探：使用大數據發現
威脅70
2.3.1 模式匹配71
2.3.2 基線感知76
2.3.3 模式匹配實時感知系統80
2.3.4 監督學習應用優化81
2.3.5 應用機器智能解決檢測難點84
2.3.6 應用機器智能發現相似威脅88
2.3.7 惡意家族監控89
2.3.8 安全基線建模93
第3章威脅分析100
3.1 人工分析應具備的技能100
3.1.1 定性分析101
3.1.2 溯源分析105
3.1.3 趨勢分析111
3.2 機器智能進階：自動化分析技術116
3.2.1 動態分析模型118
3.2.2 社區發現模型128
3.2.3 基於家族/社團的memTTP
模型133
3.2.4 定性分析的其他模型134
3.2.5 基於企業實體行為的事件調查
分析136
第4章威脅處理142
4.1 威脅情報142
4.1.1 應用級IOC情報143
4.1.2 運營級TTP情報148
4.2 網絡威脅解決方案151
4.2.1 邊界防護152
4.2.2 威脅審計156
4.2.3 安全重保162
4.3 終端威脅解決方案167
4.3.1 遙測探針169
4.3.2 雲主防170
4.3.3 病毒查殺173
4.3.4 系統加固175
4.3.5 入侵檢測176
4.3.6 安全管理177
4.3.7 端點檢測與響應系統180
4.4 企業安全解決方案181
4.4.1 中小企業安全解決方案182
4.4.2 大型企業安全解決方案183
4.4.3 雲原生安全解決方案185
第5章安全運營體系188
5.1 產品視角的安全運營體系188
5.1.1 安全能力中臺188
5.1.2 應急指揮中心192
5.1.3 安全運營中心197
5.1.4 企業安全運維203
5.2 企業視角的安全運營體系206
5.2.1 資產攻擊面管理體系207
5.2.2 縱深防禦體系208
5.3 XDR 209
5.3.1 MITRE ATT&CK評測209
5.3.2 什麼是XDR 211
5.3.3 XDR安全運營體系212