資產攻擊向量 Asset Attack Vectors: Building Effective Vulnerability Management Strategies to Protect Organizations

在當今動態的網絡環境中，為了保護現代企業中的眾多資產，有必要實施多重防護措施來緩解漏洞並阻止數據泄露。本書對與資產管理相關的威脅分析、風險度量和監管報告等新技術進行瞭解讀，還概括了用於漏洞管理和補丁管理的服務等級協議等內容，可幫助您規劃一個能應對現代網絡威脅的漏洞管理解決方案。

本書主要包括攻擊鏈、漏洞形勢、威脅情報、憑據資產風險、漏洞評估、配置評估、風險度量、漏洞狀態、漏洞機構、滲透測試、修復措施、漏洞管理計劃、漏洞管理設計、漏洞管理開發、漏洞管理部署、漏洞管理運營、漏洞管理架構、漏洞管理計劃示例、合規性、風險管理框架、讓一切都真的發揮作用、實戰故事、最後的建議等內容。

 

[美]莫雷·哈伯（Morey Haber），BeyondTrust公司的首席技术官兼首席信息安全官。他在信息技术行业拥有20多年的工作经验，在Apress出版了3本图书：Privileged Attack Vectors、Asset Attack Vectors和Identity Attack Vectors。2018年，Bomgar收购了BeyondTrust，并保留了BeyondTrust这个名称。2012年，BeyondTrust公司收购eEye数字安全公司后，Morey随之加入BeyondTrust公司。目前，Morey在BeyondTrust公司从事权限访问管理（PAM）和远程访问解决方案的有关工作。

2004年，Morey加入eEye公司，担任安全技术部门主管，负责财富500强企业的经营战略审议和漏洞管理架构。进入eEye之前，Morey曾担任CA公司的开发经理，负责新产品测试以及跟进客户工作。Morey最初被一家开发飞行训练模拟器的政府承包商聘用，担任产品可靠性及可维护工程师，并由此开始了自己的职业生涯。Morey拥有纽约州立大学石溪分校电气工程专业理学学士学位。

 

[加]布拉德·希伯特（Brad Hibbert），首席运营官（COO）、首席战略官（CSO）、Privileged Attack Vectors一书的合著者，在公司内领导并负责解决方案策略、产品管理、开发、服务和支持等方面的工作。他在软件行业有25年以上的管理经验，致力于协调业务团队和技术团队的工作。

Brad之前就职于eEye数字安全公司，负责战略与产品相关的工作，后来随着eEye被收购而进入BeyondTrust公司。在Brad的领导下，eEye推出了多款产品，包括用于云、移动与虚拟化技术的漏洞管理解决方案。在就职于eEye之前，Brad服务于NetPro公司，担任该公司的战略与产品副总裁，直至该公司于2008年被Quest软件公司收购。多年以来，Brad获得了许多行业认证，以支持他的管理、咨询和开发活动。他拥有渥太华大学商学学士学位（管理信息系统专业）和MBA学位。

第 1章 攻擊鏈 1

第 2章 漏洞形勢 3

2.1　漏洞 3

2.2　配置 5

2.3　漏洞利用 6

2.4　誤報 6

2.5　漏報 7

2.6　惡意軟件 8

2.7　社交工程 8

2.8　網絡釣魚 11

2.8.1　好奇害死貓 11

2.8.2　不會有事的 12

2.8.3　您知道他們從字典上刪去了“輕信”二字嗎 13

2.8.4　這不會發生在我身上 13

2.8.5　如何確定您收到的電子郵件是不是一次網絡釣魚攻擊 13

2.9　勒索軟件 14

2.10　內部人員威脅 16

2.11　外部威脅 19

2.12　漏洞披露 20

第3章 威脅情報 23

第4章 憑據資產風險 27

第5章 漏洞評估 29

5.1　主動漏洞掃描 29

5.2　被動掃描程序 29

5.3　侵入式漏洞掃描 30

5.4　非侵入式掃描 31

5.5　漏洞掃描的局限性與不足 32

第6章 配置評估 33

6.1　法規 33

6.2　框架 34

6.3　基準 34

6.4　配置評估工具 34

6.5　SCAP 36

第7章 風險度量 38

7.1　CVE 40

7.2　CVSS 41

7.3　STIG 42

7.4　OVAL 43

7.5　IAVA 44

第8章 漏洞狀態 45

8.1　根據狀態確定漏洞風險 46

8.2　漏洞的三種狀態 47

8.2.1　活躍漏洞 48

8.2.2　休眠漏洞 48

8.2.3　潛在漏洞 48

8.2.4　狀態優先級排序 49

第9章 漏洞權威機構 51

第 10章 滲透測試 52

第 11章 修復措施 56

11.1　微軟 56

11.2　蘋果 57

11.3　思科 58

11.4　谷歌 59

11.5　甲骨文 59

11.6　Red Hat 60

11.7　Adobe 60

11.8　開源產品 61

11.9　其他各方 62

第 12章 漏洞管理計劃 63

12.1　設計 64

12.2　開發 64

12.3　部署 64

12.4　運營 65

12.5　成熟度 65

12.6　成熟度分類 66

12.7　描述 67

第 13章 漏洞管理設計 68

13.1　爬、走、跑和沖刺 69

13.2　落實今天的工作，為明天做計劃 70

13.3　一切出於商業價值 70

第 14章 漏洞管理開發 72

14.1　漏洞管理範圍 73

14.1.1　操作系統 73

14.1.2　客戶端應用 74

14.1.3　Web應用 74

14.1.4　網絡設備 76

14.1.5　數據庫 76

14.1.6　平面文件數據庫 76

14.1.7　虛擬機管理器 78

14.1.8　IaaS和PaaS 78

14.1.9　移動設備 79

14.1.10　IoT 81

14.1.11　工業控制系統（ICS）和SCADA 81

14.1.12　DevOps 82

14.1.13　Docker與容器 83

14.1.14　代碼評審 83

14.1.15　工具選擇 84

14.2　漏洞管理流程 85

14.2.1　評估 86

14.2.2　度量 86

14.2.3　修復 87

14.2.4　沖洗和重復（循環） 87

14.2.5　生命周期終止 87

14.3　漏洞生命周期中的常見錯誤 88

14.3.1　錯誤1：漏洞管理脫節 88

14.3.2　錯誤2：僅依賴遠程評估 89

14.3.3　錯誤3：0day漏洞沒有得到保護 90

14.3.4　錯誤4：分散的可見性 90

14.3.5　錯誤5：為了合規犧牲安全 91

14.4　常見的挑戰 91

14.4.1　老化的基礎設施 92

14.4.2　計劃的深度與廣度 92

14.5　制定計劃 93

14.5.1　步驟1：要評估什麽 93

14.5.2　步驟2：評估配置 93

14.5.3　步驟3：評估頻率 94

14.5.4　步驟4：確定所有權 94

14.5.5　步驟5：數據與風險優先級排序 95

14.5.6　步驟6：報告 95

14.5.7　步驟7：修復管理 96

14.5.8　步驟8：驗證與度量 96

14.5.9　步驟9：第三方集成 97

第 15章 漏洞管理部署 98

15.1　方法1：僅針對關鍵和高風險漏洞 98

15.2　方法2：統計抽樣 99

15.3　方法3：根據業務功能針對性掃描 100

15.4　團隊溝通 101

15.5　網絡掃描程序 104

15.5.1　防火牆 105

15.5.2　IPS/IDS 105

15.5.3　封包整形 106

15.5.4　QoS 107

15.5.5　Tarpit 107

15.5.6　蜜罐 107

15.5.7　認證 108

15.5.8　空會話 109

15.5.9　憑據 109

15.5.10　權限集成 110

15.6　代理 112

15.7　第三方集成 113

15.8　補丁管理 114

15.9　虛擬補丁 115

15.10　威脅檢測 115

15.11　持續監控 116

15.12　性能 117

15.12.1　線程 118

15.12.2　完成時間 119

15.12.3　帶寬 120

15.12.4　埠 120

15.12.5　掃描窗口 121

15.12.6　掃描池化 121

15.12.7　目標隨機化 121

15.12.8　容錯 122

15.12.9　掃描程序鎖定 123

第 16章 漏洞管理運營 124

16.1　發現 125

16.2　分析 125

16.3　報告 126

16.4　修復 126

16.5　度量 127

第 17章 漏洞管理架構 128

第 18章 漏洞管理計劃示例 131

18.1　漏洞管理解決方案與修復的服務等級 131

18.2　漏洞掃描目標 132

18.3　漏洞掃描頻率/計劃 132

18.4　漏洞報告 133

18.5　修復管理 134

18.6　例外管理 135

18.7　排除在評估之外 137

第 19章 合規性 138

第 20章 風險管理框架 141

第 21章 讓一切都真的發揮作用 144

21.1　知道您的網絡上有什麽 144

21.2　自動化憑據掃描 146

21.3　找出潛藏在陰影之中的東西 146

21.4　清晰看待數據 148

21.5　找出威脅中的軟目標 149

21.6　註意您的漏洞缺口 150

21.7　統一漏洞與權限情報 150

21.8　威脅分析 151

21.9　合理化補丁流程 151

21.10　共享和協作 153

第 22章 實戰故事 155

22.1　丟失的企業客戶 155

22.2　只是一場勝利 157

22.3　太多了，無法管理 159

22.4　過時 160

22.5　復雜的才是最好的 161

22.6　棄賽 162

22.7　聆聽技巧 163

22.8　承包商 164

22.9　流氓設備 165

22.10　大魚 166

22.11　所有機器都被Rootkit控制了 167

22.12　不是唯一 168

22.13　我最喜歡的故事 168

22.14　有多少個B類網絡 169

22.15　來自地獄的博客 170

22.16　漂亮的門戶，寶貝 171

22.17　網上銀行 172

22.18　謊言 173

22.19　說到比較 174

22.20　理清事實 175

22.21　保形塗層 176

22.22　依賴性 177

22.23　軼聞趣事 179

第 23章 最後的建議 181

第 24章 結語 183

附錄A 請求建議書（RFP）示例 184

附錄B 請求建議書（RFP）數據表格 206