請(qǐng)君入甕：APT攻防指南之兵不厭詐

目　錄
1　網(wǎng)絡(luò)攻擊的現(xiàn)況　1
1．1　您聽(tīng)說(shuō)過(guò)APT嗎　2
1．2　APT定義　2
1．3　PT和APT的區(qū)別　4
1．4　APT和PT案例　7
1．4．1　月光迷宮　8
1．4．2　思加圖　9
1．4．3　驟雨　11
1．4．4　風(fēng)暴蠕蟲(chóng)　12
1．4．5　幽靈網(wǎng)絡(luò)　13
1．4．6　Byzantine Hades/Foothold/Candor/Raptor　14
1．4．7　極光行動(dòng)　15
1．4．8　震網(wǎng)(Stuxnet)　16
1．4．9　羅斯商業(yè)網(wǎng)絡(luò)(RBN)　17
1．4．10　面目全非的Botnet　19
1．4．11　回報(bào)行動(dòng)　20
1．5　小結(jié)　22
2　兵不厭詐　25
2．1 “網(wǎng)”上談兵　26
2．2　軍事行動(dòng)的六大原則　27
2．2．1　目標(biāo)明確　27
2．2．2　行動(dòng)導(dǎo)向　28
2．2．3　統(tǒng)一指揮　28
2．2．4　保密到位　29
2．2．5　只爭(zhēng)朝夕　29
2．2．6　協(xié)調(diào)行動(dòng)　30
2．3　軍事典故　30
2．3．1　調(diào)虎離山——考彭斯戰(zhàn)役　30
2．3．2　虛張聲勢(shì)——多切斯特高地　32
2．3．3　瞞天過(guò)?！W餅行動(dòng)(已經(jīng)不太可能是Glyndwr Michael的故事了)　33
2．3．4　偷梁換柱——黑客的虛擬攻擊　34
2．4　為什么要欺騙　37
2．4．1　美國(guó)第一集團(tuán)軍的欺騙戰(zhàn)術(shù)　38
2．4．2　俄式欺騙——Maskirovka　40
2．5　欺騙的準(zhǔn)則　41
2．5．1　馬格魯?shù)略瓌t——利用COG的主觀觀念　41
2．5．2　利用死角　42
2．5．3　“多重驚喜”原則　43
2．5．4　Jones’s Deliemma　43
2．5．5　擇善而從　43
2．5．6　謹(jǐn)行儉用　44
2．5．7　按步就班　44
2．5．8　見(jiàn)機(jī)行事　44
2．5．9　居安思?！?4
2．5．10　禍福相依　45
2．6　把握全局　45
2．6．1　半空　46
2．6．2　半滿　46
2．6．3　主觀傾向性問(wèn)題　47
2．6．4　全滿　48
2．6．5　反思之一　49
2．6．6　反思之二　49
2．7　小結(jié)　50
3　網(wǎng)絡(luò)諜戰(zhàn)　53
3．1　核心競(jìng)爭(zhēng)力　54
3．2　在網(wǎng)絡(luò)對(duì)抗中應(yīng)用CI思想　66
3．3　稽查PT和APT　66
3．3．1　初期規(guī)模　68
3．3．2　波及程度　69
3．3．3　風(fēng)險(xiǎn)承受力　70
3．3．4　時(shí)間進(jìn)度　71
3．3．5　技巧和手段　73
3．3．6　行動(dòng)措施　74
3．3．7　最終目標(biāo)　75
3．3．8　后勤資源　76
3．3．9　知識(shí)來(lái)源　77
3．4　小結(jié)　86
4　刑事分析　87
4．1　刑事分析學(xué)簡(jiǎn)史　89
4．2　網(wǎng)絡(luò)刑事分析的興起　92
4．3　特殊群體的研究　94
4．4　行為分析的作用　98
4．5　行為分析的本質(zhì)　100
4．6　分析方法的分類　101
4．7　歸納法和演繹法　104
4．8　刑事分析學(xué)的信息向量　105
4．8．1　時(shí)間　105
4．8．2　地點(diǎn)　107
4．8．3　技能　108
4．8．4　動(dòng)機(jī)　109
4．8．5　武器　110
4．8．6　人脈　112
4．9　小結(jié)　116
4．10　參考資料　117
5　法律行動(dòng)　121
5．1　與律師共事　123
5．2　法學(xué)研究　125
5．2．1　網(wǎng)上資源　125
5．2．2　常見(jiàn)術(shù)語(yǔ)　129
5．2．3　(美)法制體系　131
5．2．4　法律條款的研究方法　131
5．2．5　自學(xué)法律的基本方法　132
5．3　開(kāi)卷并不易　132
5．4　溝通有技巧　133
5．5　法律與道德　134
5．6　總結(jié)　136
6　威脅(攻擊者)諜報(bào)技術(shù)　137
6．1　威脅分類　138
6．1．1　定向攻擊　140
6．1．2　隨機(jī)攻擊　142
6．1．3　隨機(jī)攻擊轉(zhuǎn)為定向攻擊(Opportunistic Turning Targeted)　146
6．2　攻擊方法的演進(jìn)　147
6．3　揭秘網(wǎng)絡(luò)犯罪集團(tuán)　150
6．4　犯罪工具與技術(shù)　152
6．4．1　定制有效服務(wù)　152
6．4．2　學(xué)術(shù)研究濫用　156
6．4．3　信任圈　157
6．4．4　注入方法　159
6．5　小結(jié)　164
7　欺騙實(shí)戰(zhàn)　165
7．1　騙者為王　167
7．2　荒誕故事1　171
7．3　荒誕故事2　176
7．4　荒誕故事3　181
7．5　荒誕故事4　185
7．5．1　蜜罐1　186
7．5．2　事后剖析　190
7．6　小結(jié)　190
8　工具及戰(zhàn)術(shù)　193
8．1　檢測(cè)技術(shù)　195
8．2　基于主機(jī)的工具　196
8．2．1　反病毒　197
8．2．2　數(shù)字取證　197
8．2．3　安全管理工具　198
8．3　基于網(wǎng)絡(luò)的工具　199
8．3．1　防火墻　199
8．3．2　入侵檢測(cè)/防御系統(tǒng)　200
8．4　欺騙技術(shù)　201
8．4．1　蜜網(wǎng)網(wǎng)關(guān)　202
8．4．2　蜜網(wǎng)：深度防御的一部分　212
8．4．3　研究型蜜網(wǎng)與生產(chǎn)型蜜網(wǎng)的對(duì)比　212
8．4．4　蜜網(wǎng)架構(gòu)　214
8．4．5　蜜網(wǎng)網(wǎng)關(guān)認(rèn)證　218
8．4．6　內(nèi)容分段　218
8．4．7　內(nèi)容填充　220
8．4．8　蜜網(wǎng)培訓(xùn)　220
8．4．9　蜜網(wǎng)目標(biāo)　221
8．4．10　蜜網(wǎng)存在的風(fēng)險(xiǎn)和問(wèn)題　222
8．5　安全貴在未雨綢繆　224
8．5．1　您的物理安全處于何種狀態(tài)　224
8．5．2　您的線網(wǎng)絡(luò)狀況如何　225
8．5．3　您的網(wǎng)絡(luò)活動(dòng)有哪些　227
8．5．4　您的主機(jī)或服務(wù)器安全嗎　228
8．5．5　您的密碼還安全嗎　230
8．5．6　您的運(yùn)行安全如何　232
8．6　犯罪軟件/分析檢測(cè)系統(tǒng)　234
8．6．1　您的機(jī)器發(fā)生了什么事情　234
8．6．2　這些惡意軟件做了什么　235
8．7　小結(jié)　236
9　攻擊鑒定技術(shù)　237
9．1　事后識(shí)別　238
9．2　另一個(gè)荒誕故事　240
9．2．1　追根溯源　240
9．2．2　惡意軟件　242
9．2．3　塵埃落定　243
9．3　真實(shí)案例　244
9．3．1　對(duì)抗主動(dòng)威脅　244
9．3．2　流量、目標(biāo)以及聚類　253
9．3．3　處理結(jié)果　263
9．4　結(jié)論　263
10　攻擊歸因　265
10．1　目標(biāo)呈現(xiàn)信息級(jí)別概述　267
10．2　刑事分析因素　269
10．2．1　時(shí)間　269
10．2．2　動(dòng)機(jī)　271
10．2．3　社交網(wǎng)絡(luò)　279
10．2．4　技術(shù)水平　284
10．2．5　刑事分析因素小結(jié)　287
10．3　刑事分析技術(shù)的戰(zhàn)略應(yīng)用　287
10．4　實(shí)例研究：黑客社區(qū)的社會(huì)結(jié)構(gòu)變遷　288
10．5　微觀及宏觀層面分析　291
10．6　全民皆兵的崛起　292
全民皆兵的潛在威脅　293
10．7　結(jié)論　294
10．8　參考資料　294
11　 APT的價(jià)值　297
11．1　間諜活動(dòng)　298
11．2　網(wǎng)絡(luò)間諜活動(dòng)的代價(jià)　299
11．3　價(jià)值網(wǎng)絡(luò)分析　300
11．4　APT與價(jià)值網(wǎng)絡(luò)　301
11．4．1　RSA案例　303
11．4．2 “極光行動(dòng)”案例　305
11．4．3　APT投資　308
11．5　APT及互聯(lián)網(wǎng)價(jià)值鏈　309
11．5．1　一切均是商品　309
11．5．2　比特幣的未來(lái)　311
11．6　結(jié)論　312
12　審時(shí)度勢(shì)　315
12．1　確定威脅的嚴(yán)重性　316
12．1．1　應(yīng)用程序漏洞場(chǎng)景　317
12．1．2　定向攻擊場(chǎng)景　317
12．2　產(chǎn)生嚴(yán)重后果時(shí)怎么辦　318
12．2．1　阻斷還是監(jiān)視　318
12．2．2　與問(wèn)題隔離　319
12．2．3　區(qū)分威脅目的　320
12．2．4　可行動(dòng)情報(bào)的響應(yīng)　320
12．3　網(wǎng)絡(luò)威脅采集　322
12．3．1　區(qū)分不同的威脅　322
12．3．2　處理已收集情報(bào)　331
12．3．3　確定可用的應(yīng)對(duì)策略　331
12．4　威脅對(duì)抗　332
12．4．1　企業(yè)內(nèi)部　332
12．4．2　企業(yè)外部　333
12．4．3　與執(zhí)法機(jī)構(gòu)合作　333
12．5　反擊還是忍受　334
12．5．1　目的何在　335
12．5．2　了解界限(不要越線)　336
12．6　結(jié)論　336
13　實(shí)施及驗(yàn)證　337
13．1　行動(dòng)審查　338
13．1．1　審查欺騙計(jì)劃　340
13．1．2　審查欺騙中的認(rèn)知一致性　341
13．1．3　實(shí)戰(zhàn)審查　343
13．2　在專業(yè)人士指導(dǎo)下使用本書(shū)　346
13．3　如何評(píng)估成功　348
13．4　結(jié)束游戲　349
13．5　結(jié)論　359
術(shù)語(yǔ)表　361