第1章　安全態勢 1
1.1　當前的威脅形勢 1
1.2　憑據：身份驗證和授權 3
1.3　應用程序 4
1.4　網絡安全挑戰 6
1.4.1　舊技術和*廣泛的結果 6
1.4.2　威脅形勢的轉變 7
1.5　增強安全態勢 8
1.6　紅隊與藍隊 10
1.7　小結 12
1.8　參考文獻 13
第2章　事件響應流程 15
2.1　事件響應流程的創建 15
2.1.1　實施事件響應流程的原因 15
2.1.2　創建事件響應流程 17
2.1.3　事件響應小組 19
2.1.4　事件生命周期 19
2.2　處理事件 20
2.3　事后活動 22
2.3.1　真實場景 22
2.3.2　經驗教訓 23
2.4　云中的事件響應 24
2.4.1　*新事件響應流程以涵蓋云 24
2.4.2　合適的工具集 24
2.4.3　從云解決方案提供商視角看事件響應流程 25
2.5　小結 25
2.6　參考文獻 26
第3章　什么是網絡戰略 27
3.1　引言 27
3.2　為什么需要建立網絡戰略 27
3.3　如何構建網絡戰略 29
3.3.1　了解業務 29
3.3.2　了解威脅和風險 29
3.3.3　文檔 29
3.4　*佳網絡攻擊戰略（紅隊） 30
3.4.1　外部測試戰略 30
3.4.2　內部測試戰略 30
3.4.3　盲測戰略 31
3.4.4　定向測試戰略 31
3.5　*佳網絡防御戰略（藍隊） 31
3.5.1　深度防御 31
3.5.2　廣度防御 33
3.6　小結 33
3.7　延伸閱讀 33
第4章　了解網絡安全殺傷鏈 35
4.1　網絡殺傷鏈簡介 35
4.2　偵察 36
4.3　**化 37
4.4　權限提升 37
4.4.1　垂直權限提升 38
4.4.2　水平權限提升 38
4.5　滲出 39
4.5.1　維持 41
4.5.2　襲擊 42
4.5.3　混淆 43
4.6　威脅生命周期管理 45
4.6.1　數據收集階段 46
4.6.2　發現階段 46
4.6.3　鑒定階段 47
4.6.4　調查階段 47
4.6.5　消除階段 47
4.6.6　恢復階段 47
4.6.7　共享文件 48
4.7　網絡殺傷鏈階段使用的工具 48
4.7.1　Nmap 48
4.7.2　Zenmap 49
4.7.3　Metasploit 49
4.7.4　John the Ripper 50
4.7.5　Hydra 51
4.7.6　Wireshark 52
4.7.7　Aircrack-ng 53
4.7.8　Nikto 54
4.7.9　Kismet 55
4.7.10　Airgeddon 56
4.7.11　Deauther Board 56
4.7.12　EvilOSX 57
4.8　網絡安全殺傷鏈小結 58
4.9　實驗：通過Evil Twin攻擊針對無線網絡實施實驗室攻擊 59
4.9.1　實驗場景 59
4.9.2　步驟1：確保擁有“模擬攻擊”所需的所有硬件和軟件 59
4.9.3　步驟2：在Kali上安裝Airgeddon 60
4.9.4　步驟3：配置Airgeddon 61
4.9.5　步驟4：選擇目標 62
4.9.6　步驟5：收集握手信息 63
4.9.7　步驟6：設置釣魚頁面 66
4.9.8　步驟7：捕獲網絡憑據 67
4.10　實驗小結 67
4.11　參考文獻 67
4.12　延伸閱讀 69
第5章　偵察 70
5.1　外部偵察 71
5.1.1　Webshag 71
5.1.2　PhoneInfoga 73
5.1.3　電子郵件收集器TheHarvester 74
5.2　Web瀏覽器枚舉工具 75
5.2.1　滲透測試套件 75
5.2.2　Netcraft 75
5.2.3　垃圾箱潛水 76
5.2.4　社交媒體 77
5.2.5　社會工程學 78
5.3　內部偵察 87
5.3.1　Airgraph-ng 87
5.3.2　嗅探和掃描 88
5.3.3　戰爭駕駛 95
5.3.4　Hak5 Plunder Bug 96
5.3.5　CATT 97
5.3.6　Canary令牌鏈接 98
5.4　小結 99
5.5　實驗：谷歌黑客 99
5.5.1　**部分：查找個人信息 99
5.5.2　第2部分：查找服務器 106
5.6　參考文獻 108
第6章　危害系統 110
6.1　當前趨勢分析 111
6.1.1　勒索攻擊 111
6.1.2　數據篡改攻擊 113
6.1.3　物聯網設備攻擊 114
6.1.4　后門 114
6.1.5　移動設備攻擊 115
6.1.6　入侵日常設備 116
6.1.7　攻擊云 117
6.1.8　云攻擊的** 118
6.1.9　CloudTracker 123
6.1.10　云安全建議 123
6.2　網絡釣魚 124
6.3　漏洞利用攻擊 126
6.4　零日漏洞 127
6.4.1　WhatsApp漏洞（CVE-2019-3568） 128
6.4.2　Chrome零日漏洞（CVE-2019-5786） 129
6.4.3　Windows 10權限提升 129
6.4.4　Windows權限提升漏洞（CVE-2019-1132） 129
6.4.5　模糊測試 129
6.4.6　源代碼分析 130
6.4.7　零日漏洞利用的類型 131
6.5　危害系統的執行步驟 132
6.5.1　安裝使用漏洞掃描器 133
6.5.2　使用Metasploit部署載荷 134
6.5.3　危害操作系統 135
6.5.4　危害遠程系統 139
6.5.5　危害基于Web的系統 140
6.6　移動電話（iOS/Android攻擊） 145
6.6.1　Exodus 146
6.6.2　SensorID 147
6.6.3　Cellebrite攻擊iPhone 148
6.6.4　盤中人 148
6.6.5　Spearphone（Android上的揚聲器數據采集） 149
6.6.6　Tap n Ghost 149
6.6.7　適用于移動設備的紅藍隊工具 149
6.7　實驗1：在Windows中構建紅隊PC 152
6.8　實驗2：合法入侵網站 156
6.8.1　bWAPP 157
6.8.2　HackThis ！！ 157
6.8.3　OWASP Juice Shop項目 157
6.8.4　Try2Hack 157
6.8.5　Google Gruyere 157
6.8.6　易受攻擊的Web應用程序 158
6.9　小結 159
6.10　參考文獻 160
6.11　延伸閱讀 161
第7章　追蹤用戶身份 162
7.1　身份是新的邊界 162
7.2　危害用戶身份的策略 164
7.2.1　獲取網絡訪問權限 165
7.2.2　獲取憑據 166
7.2.3　入侵用戶身份 167
7.2.4　暴力攻擊 167
7.2.5　社會工程學 169
7.2.6　散列傳遞 174
7.2.7　通過移動設備竊取身份信息 176
7.2.8　入侵身份的其他方法 176
7.3　小結 176
7.4　參考文獻 177
第8章　橫向移動 178
8.1　滲出 178
8.2　網絡測繪 179
8.3　規避告警 180
8.4　執行橫向移動 181
8.4.1　像黑客一樣思考 183
8.4.2　端口掃描 183
8.4.3　Sysinternals 184
8.4.4　文件共享 186
8.4.5　Windows DCOM 187
8.4.6　遠程桌面 188
8.4.7　PowerShell 190
8.4.8　 Windows管理規范 191
8.4.9　計劃任務 192
8.4.10　令牌竊取 193
8.4.11　被盜憑據 193
8.4.12　可移動介質 194
8.4.13　受污染的共享內容 194
8.4.14　遠程注冊表 194
8.4.15　TeamViewer 194
8.4.16　應用程序部署 195
8.4.17　網絡嗅探 195
8.4.18　ARP欺騙 195
8.4.19　AppleScript和IPC（OS X） 196
8.4.20　受害主機分析 196
8.4.21　 中央管理員控制臺 197
8.4.22　電子郵件掠奪 197
8.4.23　活動目錄 197
8.4.24　管理共享 199
8.4.25　票據傳遞 199
8.4.26　散列傳遞 199
8.4.27　Winlogon 201
8.4.28　Lsass.exe進程 201
8.5　實驗：在沒有反病毒措施的情況下搜尋惡意軟件 203
8.6　小結 213
8.7　參考文獻 214
8.8　延伸閱讀 214
第9章　權限提升 215
9.1　滲透 215
9.1.1　水平權限提升 216
9.1.2　垂直權限提升 217
9.2　規避告警 217
9.3　執行權限提升 218
9.3.1　利用漏洞攻擊未打補丁的操作系統 220
9.3.2　訪問令牌操控 221
9.3.3　利用輔助功能 222
9.3.4　應用程序墊片 223
9.3.5　繞過用戶賬戶控制 226
9.3.6　DLL注入 228
9.3.7　DLL搜索順序劫持 228
9.3.8　dylib劫持 229
9.3.9　漏洞探索 230
9.3.10　 啟動守護進程 231
9.4　Windows目標上權限提升示例 231
9.5　權限提升技術 233
9.5.1　轉儲SAM文件 233
9.5.2　root安卓 234
9.5.3　使用/etc/passwd文件 235
9.5.4　額外的窗口內存注入 236
9.5.5　掛鉤 236
9.5.6　新服務 237
9.5.7　計劃任務 237
9.6　Windows引導順序 237
9.6.1　啟動項 237
9.6.2　sudo緩存 244
9.7　結論和教訓 245
9.8　小結 246
9.9　實驗 1 246
9.10　實驗 2 252
9.10.1　**部分：從LSASS獲取密碼 252
9.10.2　第2部分：用PowerSploit轉儲散列 256
9.11　實驗 3：HackTheBox 259
9.12　參考文獻 264
**0章　安全策略 266
10.1　安全策略檢查 266
10.2　用戶教育 267
10.2.1　用戶社交媒體安全指南 268
10.2.2　安全意識培訓 269
10.3　策略實施 269
10.3.1　應用程序白名單 271
10.3.2　安全加固 273
10.4　合規性監控 276
10.5　通過安全策略持續推動安全態勢增強 279
10.6　小結 280
10.7　延伸閱讀 281
**1章　網絡分段 282
11.1　深度防御方法 282
11.1.1　基礎設施和服務 283
11.1.2　傳輸中的文檔 284
11.1.3　端點 284
11.2　物理網絡分段 285
11.3　遠程網絡的訪問安全 288
11.4　虛擬網絡分段 290
11.5　零信任網絡 292
11.6　混合云網絡安全 293
11.7　小結 297
11.8　延伸閱讀 298
**2章　主動傳感器 299
12.1　檢測能力 299
12.2　入侵檢測系統 302
12.3　入侵防御系統 304
12.3.1　基于規則的檢測 304
12.3.2　基于異常的檢測 305
12.4　內部行為分析 305
12.5　混合云中的行為分析 308
12.5.1　Azure Security Center 308
12.5.2　PaaS工作負載分析 311
12.6　小結 313
12.7　延伸閱讀 313
**3章　威脅情報 314
13.1　威脅情報簡介 314
13.2　用于威脅情報的開源工具 317
13.3　微軟威脅情報 323
13.4　利用威脅情報調查可疑活動 324
13.5　小結 326
13.6　延伸閱讀 327
**4章　事件調查 328
14.1　確定問題范圍 328
14.2　調查內部失陷系統 332
14.3　調查混合云中的失陷系統 335
14.4　主動調查（威脅獵殺） 342
14.5　經驗教訓 344
14.6　小結 344
14.7　延伸閱讀 344
**5章　恢復過程 345
15.1　災難恢復計劃 345
15.1.1　災難恢復計劃流程 346
15.1.2　挑戰 349
15.2　應急計劃 349
15.2.1?開發應急計劃策略 350
15.2.2?進行業務影響分析 350
15.2.3?確定預防性控制 351
15.2.4?業務連續性與災難恢復 352
15.2.5?制定恢復策略 353
15.3　現場恢復 355
15.3.1　維護計劃 356
15.3.2　現場網絡事件恢復示例 356
15.3.3　風險管理工具 357
15.4　恢復計劃*佳實踐 359
15.5　災難恢復*佳實踐 359
15.5.1　內部部署 359
15.5.2?云上部署 359
15.5.3?混合部署 360
15.5.4?關于網絡彈性的建議 360
15.6　小結 361
15.7　災難恢復計劃資源 362
15.8　參考文獻 362
15.9　延伸閱讀 363
**6章　漏洞管理 364
16.1　創建漏洞管理策略 364
16.1.1　資產盤點 365
16.1.2　信息管理 365
16.1.3　風險評估 366
16.1.4　漏洞評估 369
16.1.5　報告和補救跟蹤 370
16.1.6　響應計劃 371
16.2　漏洞管理工具 372
16.2.1　資產盤點工具 372
16.2.2　信息管理工具 374
16.2.3　風險評估工具 374
16.2.4　漏洞評估工具 375
16.2.5　報告和補救跟蹤工具 375
16.2.6　響應計劃工具 376
16.3　實施漏洞管理 376
16.4　漏洞管理*佳實踐 377
16.5　漏洞管理工具示例 379
16.5.1　Intruder 379
16.5.2　Patch Manager Plus 380
16.5.3　InsightVM 380
16.5.4　Azure Threat & Vulnerability Management 381
16.6　使用Nessus實施漏洞管理 382
16.6.1　OpenVAS 388
16.6.2　Qualys 388
16.6.3　Acunetix 390
16.7　實驗 390
16.7.1　實驗1：使用Acunetix執行在線漏洞掃描 390
16.7.2　實驗2：使用GFI LanGuard進行網絡安全掃描 397
16.8　小結 401
16.9　參考文獻 401<br/gt;**7章　日志分析 403
17.1　數據關聯 403
17.2　操作系統日志 404
17.2.1　Windows日志 404
17.2.2　Linux日志 407
17.3　防火墻日志 408
17.4　Web服務器日志 409
17.5　*** Web Services日志 410
17.6　Azure Activity日志 413
17.7　小結 416
17.8　延伸閱讀 416