安全技術運營：方法與實踐

前言
第1章　什么是安全技術運營　　1
1.1　網絡威脅簡介　　1
1.1.1　什么是惡意程序　　1
1.1.2　經典網絡攻擊　　7
1.1.3　業(yè)務安全攻擊　　12
1.2　安全運營簡介　　14
1.2.1　安全運營的定義　　14
1.2.2　安全運營發(fā)展史　　14
1.2.3　惡意程序對抗　　17
1.2.4　云查殺和云主防介紹　　20
1.2.5　大數(shù)據應用介紹　　21
1.3　技術運營必備的6種思維　　23
1.3.1　邏輯思維　　25
1.3.2　水平思維　　27
1.3.3　全局思維　　29
1.3.4　系統(tǒng)性思維　　32
1.3.5　大數(shù)據思維　　36
1.3.6　算法思維　　38
第2章　威脅發(fā)現(xiàn)　　42
2.1　特征識別技術　　42
2.1.1　特征定位　　42
2.1.2　啟發(fā)式發(fā)掘　　48
2.1.3　特征空間和有監(jiān)督學習　　52
2.2　行為識別技術　　55
2.2.1　行為遙測探針　　55
2.2.2　動態(tài)分析系統(tǒng)　　58
2.2.3　行為規(guī)則和決策樹　　62
2.3　機器智能初探：使用大數(shù)據發(fā)現(xiàn)
威脅　　70
2.3.1　模式匹配　　71
2.3.2　基線感知　　76
2.3.3　模式匹配實時感知系統(tǒng)　　80
2.3.4　監(jiān)督學習應用優(yōu)化　　81
2.3.5　應用機器智能解決檢測難點　　84
2.3.6　應用機器智能發(fā)現(xiàn)相似威脅　　88
2.3.7　惡意家族監(jiān)控　　89
2.3.8　安全基線建模　　93
第3章　威脅分析　　100
3.1　人工分析應具備的技能　　100
3.1.1　定性分析　　101
3.1.2　溯源分析　　105
3.1.3　趨勢分析　　111
3.2　機器智能進階：自動化分析技術　　116
3.2.1　動態(tài)分析模型　　118
3.2.2　社區(qū)發(fā)現(xiàn)模型　　128
3.2.3　基于家族/社團的memTTP
模型　　133
3.2.4　定性分析的其他模型　　134
3.2.5　基于企業(yè)實體行為的事件調查
分析　　136
第4章　威脅處理　　142
4.1　威脅情報　　142
4.1.1　應用級IOC情報　　143
4.1.2　運營級TTP情報　　148
4.2　網絡威脅解決方案　　151
4.2.1　邊界防護　　152
4.2.2　威脅審計　　156
4.2.3　安全重?！　?62
4.3　終端威脅解決方案　　167
4.3.1　遙測探針　　169
4.3.2　云主防　　170
4.3.3　病毒查殺　　173
4.3.4　系統(tǒng)加固　　175
4.3.5　入侵檢測　　176
4.3.6　安全管理　　177
4.3.7　端點檢測與響應系統(tǒng)　　180
4.4　企業(yè)安全解決方案　　181
4.4.1　中小企業(yè)安全解決方案　　182
4.4.2　大型企業(yè)安全解決方案　　183
4.4.3　云原生安全解決方案　　185
第5章　安全運營體系　　188
5.1　產品視角的安全運營體系　　188
5.1.1　安全能力中臺　　188
5.1.2　應急指揮中心　　192
5.1.3　安全運營中心　　197
5.1.4　企業(yè)安全運維　　203
5.2　企業(yè)視角的安全運營體系　　206
5.2.1　資產攻擊面管理體系　　207
5.2.2　縱深防御體系　　208
5.3　XDR　　209
5.3.1　MITRE ATT&CK評測　　209
5.3.2　什么是XDR　　211
5.3.3　XDR安全運營體系　　212