基本信息
- 作者: (美)克里斯·桑德斯(Chris Sanders) 杰森·史密斯(Jason Smith)
- 译者: 李柏松 李燕宏
- 丛书名: 信息安全技术丛书
- 出版社:机械工业出版社
- ISBN:9787111520092
- 上架时间:2015-12-2
- 出版日期:2016 年1月
- 开本:16开
- 页码:366
- 版次:1-1
- 所属分类:计算机 > 安全 > 网络安全/防火墙/黑客
编辑推荐
国际信息安全技术专家亲力打造,是系统化建立网络安全监控体系的重要参考既详细讲解网络安全监控的相关工具和技术,又通过多个完整的真实案例阐述网络安全监控的关键理念与最佳实践,是由菜鸟到NSM分析师的必备参考
内容简介
书籍
计算机书籍
网络安全监控是建立在“防不胜防”的基础上的。在当前的威胁环境之下,不论你如何努力,目的明确的攻击者总能找到破绽渗透进入你的网络环境。届时,你将面对的是一个小插曲还是一场大火灾难,取决于你对于入侵事件的检测与响应能力。
本书围绕NSM(网络安全监控)的采集、检测和分析三个阶段展开,由多位NSM资深专家亲力打造,给出了NSM的系统化概念与最佳实践,有些知识可以直接派上用场。如果你刚开始NSM分析工作,本书能帮助你掌握为真正的分析师所需的核心概念;如果你已经扮演着分析师的角色,本书可帮你汲取分析技巧,提高分析效果。
面对当前复杂的网络环境,每个人都可能放松警惕、盲目片面,有时还会在阻止攻击者的网络战斗中败下阵来。本书会为你装备好正确的工具,让这些工具帮助你采集所需数据、检测恶意行为,并通过分析理解入侵的性质。单纯的防御措施终将失败,而NSM却不会。
本书主要内容
·探讨部署、执行NSM数据采集策略的恰当方法。
·提供包括Snort、Suricata、Bro-IDS、Silk、PRADS及更多工具在内的实战演练。
·明确提出适用于以结构化和体系化方法进行NSM的综合分析框架。
·内含Security Qnion Linux的多个应用实例。
·配套网站包括作者关于NSM最新进展的实时更新博客,全面补充了书中材料。
计算机书籍
网络安全监控是建立在“防不胜防”的基础上的。在当前的威胁环境之下,不论你如何努力,目的明确的攻击者总能找到破绽渗透进入你的网络环境。届时,你将面对的是一个小插曲还是一场大火灾难,取决于你对于入侵事件的检测与响应能力。
本书围绕NSM(网络安全监控)的采集、检测和分析三个阶段展开,由多位NSM资深专家亲力打造,给出了NSM的系统化概念与最佳实践,有些知识可以直接派上用场。如果你刚开始NSM分析工作,本书能帮助你掌握为真正的分析师所需的核心概念;如果你已经扮演着分析师的角色,本书可帮你汲取分析技巧,提高分析效果。
面对当前复杂的网络环境,每个人都可能放松警惕、盲目片面,有时还会在阻止攻击者的网络战斗中败下阵来。本书会为你装备好正确的工具,让这些工具帮助你采集所需数据、检测恶意行为,并通过分析理解入侵的性质。单纯的防御措施终将失败,而NSM却不会。
本书主要内容
·探讨部署、执行NSM数据采集策略的恰当方法。
·提供包括Snort、Suricata、Bro-IDS、Silk、PRADS及更多工具在内的实战演练。
·明确提出适用于以结构化和体系化方法进行NSM的综合分析框架。
·内含Security Qnion Linux的多个应用实例。
·配套网站包括作者关于NSM最新进展的实时更新博客,全面补充了书中材料。
作译者
About the AuthorChris Sanders,作者Chris Sanders 初是肯塔基州Mayfield的一名信息安全顾问、作家和研究员。那个无名小镇距离一个叫Possum Trot的小镇西南方向30英里,距离一条叫Monkey’s Eyebrow的公路东南方向40英里,刚好位于道路的拐弯处。
Chris 是InGuardians的高级安全分析师。他有支持多个政府、军事机构以及财富500强企业的丰富经验。在美国国防部的众多角色中,他有效地促进了计算机网络防御服务提供商(CNDSP)模型的角色作用,协助创建了多种NSM模型以及多款目前在用智能化工具,以保卫国家的利益不受侵害。
Chris 曾撰写了多本书籍和学术文章,其中包括国际畅销书《Practical Packet Analysis》,目前已发布了第2版。Chris 目前拥有多项业界认证,包括 SANS、GSE以及CISSP。
2008年,Chris 创立农村科技基金(RTF)。RTF是一个501(c)(3)非营利组织,为来自农村地区攻读计算机技术学位的学生提供奖学金机会。该组织还通过各种支持计划促进了技术在农村地区的宣传。RTF目前已为农村学生提供成千上万美元的奖学金和帮助支持。
当Chris不埋头于数据包分析的时候,他喜欢观看肯塔基大学野猫篮球队的比赛,擅长BBQ(美国真人秀节目),业余无人机制作爱好者,在海滩上消磨时光。Chris目前与他的妻子Ellen居住在南卡罗来纳州的Charleston。
Chris的博客地址为http://www.appliednsm.com 和 http://www.chrissanders.org。他的推特账号为 @chrissanders88。
Jason Smith,合著者Jason Smith 白天是一名入侵检测分析师,晚上则是一名垃圾场工程师。起初来自于肯塔基州的Bowling Green,作为一名有潜质的物理学家,Jason以大数据挖掘和有限元分析为切入点开始他的职业生涯。偶然的运气,对数据挖掘的热爱将他引向了信息安全和网络安全监控,一个让他痴迷于数据处理和自动化的领域。
Jason有很长一段时间都在帮助州和联邦机构强化他们的防御功能,现在在Mandiant担任安全工程师。在部分开发工作中,他创建了诸多开源项目,很多已成为DISA CNDSP计划的佳实践工具。
Jason经常在车库里度过周末,从街机柜到开轮式赛车,他都可以建造。其他爱好诸如家居自动化、枪械、大富翁游戏、吉他以及美食。Jason对美国乡村有着深沉的爱,热衷于驾驶,同时对学习有着孜孜不倦的欲望。Jason现在生活在肯塔基州的Framkfort。
Jason的博客地址为 http://www.appliednsm.com。他的推特账号为 @automayt。
David J. Bianco,贡献者David在Mandiant担任一名狩猎团队领导之前,花了5年的时间为一个财富500强企业建设了一套智能驱动的检测响应系统。在那里,他为一个部署了近600个NSM传感器覆盖超过160个国家的网络设置了检测策略,主导响应了一些国家遭受到的严重的针对式攻击事件。他在安全社区、博客、演讲和写作上持续活跃着。
他经常在家看《Doctor Who》节目,或演奏他的四套风笛,或与孩子们一起玩耍。他还喜欢在除了海滩之外的任何地方长走。
David的博客地址为 http://detect-respond.blogspot.com。他的推特账号为 @DavidJBianco。
Liam Randall,贡献者Liam Randall 是旧金山Broala LLC(Bro核心团队专家组)的首席合伙人。初,他来自于肯塔基州的Louisville,在Xavier大学以系统管理员角色为学校工作,同时也获得了学校的计算机科学学士学位。在那里,他次开始了设备驱动安全编程和基于XFS的自动柜员机软件研发。
目前他正为财富500强企业、研究机构和教育网络、军队服务分支、其他安全焦点小组提供高容量安全解决方案咨询。他曾在Shmoocon、Derbycon和MIRcon等会议做过演讲,并经常在安全事件上做Bro训练班的培训。
作为一名丈夫和父亲,Liam在周末时做发酵酒,在他的花园里工作,修理小工具,或制作奶酪。作为一名户外运动爱好者,他和他的妻子喜欢铁人三项,长距离游泳,享受他们的社区活动。
Liam的博客地址为 http://liamrandall.com/。他的推特账号为 @Hectaman。
Chris 是InGuardians的高级安全分析师。他有支持多个政府、军事机构以及财富500强企业的丰富经验。在美国国防部的众多角色中,他有效地促进了计算机网络防御服务提供商(CNDSP)模型的角色作用,协助创建了多种NSM模型以及多款目前在用智能化工具,以保卫国家的利益不受侵害。
Chris 曾撰写了多本书籍和学术文章,其中包括国际畅销书《Practical Packet Analysis》,目前已发布了第2版。Chris 目前拥有多项业界认证,包括 SANS、GSE以及CISSP。
2008年,Chris 创立农村科技基金(RTF)。RTF是一个501(c)(3)非营利组织,为来自农村地区攻读计算机技术学位的学生提供奖学金机会。该组织还通过各种支持计划促进了技术在农村地区的宣传。RTF目前已为农村学生提供成千上万美元的奖学金和帮助支持。
当Chris不埋头于数据包分析的时候,他喜欢观看肯塔基大学野猫篮球队的比赛,擅长BBQ(美国真人秀节目),业余无人机制作爱好者,在海滩上消磨时光。Chris目前与他的妻子Ellen居住在南卡罗来纳州的Charleston。
Chris的博客地址为http://www.appliednsm.com 和 http://www.chrissanders.org。他的推特账号为 @chrissanders88。
Jason Smith,合著者Jason Smith 白天是一名入侵检测分析师,晚上则是一名垃圾场工程师。起初来自于肯塔基州的Bowling Green,作为一名有潜质的物理学家,Jason以大数据挖掘和有限元分析为切入点开始他的职业生涯。偶然的运气,对数据挖掘的热爱将他引向了信息安全和网络安全监控,一个让他痴迷于数据处理和自动化的领域。
Jason有很长一段时间都在帮助州和联邦机构强化他们的防御功能,现在在Mandiant担任安全工程师。在部分开发工作中,他创建了诸多开源项目,很多已成为DISA CNDSP计划的佳实践工具。
Jason经常在车库里度过周末,从街机柜到开轮式赛车,他都可以建造。其他爱好诸如家居自动化、枪械、大富翁游戏、吉他以及美食。Jason对美国乡村有着深沉的爱,热衷于驾驶,同时对学习有着孜孜不倦的欲望。Jason现在生活在肯塔基州的Framkfort。
Jason的博客地址为 http://www.appliednsm.com。他的推特账号为 @automayt。
David J. Bianco,贡献者David在Mandiant担任一名狩猎团队领导之前,花了5年的时间为一个财富500强企业建设了一套智能驱动的检测响应系统。在那里,他为一个部署了近600个NSM传感器覆盖超过160个国家的网络设置了检测策略,主导响应了一些国家遭受到的严重的针对式攻击事件。他在安全社区、博客、演讲和写作上持续活跃着。
他经常在家看《Doctor Who》节目,或演奏他的四套风笛,或与孩子们一起玩耍。他还喜欢在除了海滩之外的任何地方长走。
David的博客地址为 http://detect-respond.blogspot.com。他的推特账号为 @DavidJBianco。
Liam Randall,贡献者Liam Randall 是旧金山Broala LLC(Bro核心团队专家组)的首席合伙人。初,他来自于肯塔基州的Louisville,在Xavier大学以系统管理员角色为学校工作,同时也获得了学校的计算机科学学士学位。在那里,他次开始了设备驱动安全编程和基于XFS的自动柜员机软件研发。
目前他正为财富500强企业、研究机构和教育网络、军队服务分支、其他安全焦点小组提供高容量安全解决方案咨询。他曾在Shmoocon、Derbycon和MIRcon等会议做过演讲,并经常在安全事件上做Bro训练班的培训。
作为一名丈夫和父亲,Liam在周末时做发酵酒,在他的花园里工作,修理小工具,或制作奶酪。作为一名户外运动爱好者,他和他的妻子喜欢铁人三项,长距离游泳,享受他们的社区活动。
Liam的博客地址为 http://liamrandall.com/。他的推特账号为 @Hectaman。
目录
译者序
作者简介
序 言
前 言
第1章 网络安全监控应用实践 1
1.1 关键NSM术语 2
1.1.1 资产 2
1.1.2 威胁 2
1.1.3 漏洞 3
1.1.4 利用 3
1.1.5 风险 3
1.1.6 异常 3
1.1.7 事故 3
1.2 入侵检测 4
1.3 网络安全监控 4
1.4 以漏洞为中心vs以威胁为中心 7
1.5 NSM周期:收集、检测和分析 7
1.5.1 收集 7
1.5.2 检测 8
1.5.3 分析 8
作者简介
序 言
前 言
第1章 网络安全监控应用实践 1
1.1 关键NSM术语 2
1.1.1 资产 2
1.1.2 威胁 2
1.1.3 漏洞 3
1.1.4 利用 3
1.1.5 风险 3
1.1.6 异常 3
1.1.7 事故 3
1.2 入侵检测 4
1.3 网络安全监控 4
1.4 以漏洞为中心vs以威胁为中心 7
1.5 NSM周期:收集、检测和分析 7
1.5.1 收集 7
1.5.2 检测 8
1.5.3 分析 8
译者序
一直以来,在企业网络安全的攻、防对抗中,防御者都是处于不利位置的。这不仅因为攻、防双方力量对比悬殊,更重要的是,防御方往往需要全面防守,一着不慎则满盘皆输;攻击方只需要单点成功突破,借助内网横向渗透手段,就可以在企业网络环境中肆无忌惮地获取所需资源。另外,“敌在暗,我在明”,防御者往往无法及时发现、分析、处置网络安全事件,只能在安全事件发生后,被动响应,收拾残局。假设防御方能够有效地部署网络安全监控产品,全面地收集网络数据,准确地检测安全威胁,深入地分析调查安全事件出现的原因,就可以及时发现防御工事的脆弱之处,有针对性地调整防御策略。
本书全面地介绍了网络安全监控“收集、检测、分析”各环节的技术要点。对于一些关键步骤,作者结合大量的实战案例,详细地讲解具体操作方法。即使是初学者,也可以在本书的指导之下轻松上手。对于具有一定基础的分析人员,书中提供了大量的实用脚本和公共网络资源,以及作者根据多年实战经验总结出的若干最佳实践。虽然这是一本专业性较强的技术书籍,但作者行文生动活泼、语调轻松诙谐,读起来饶有趣味。
值得一提的是,在本书第12章 “使用金丝雀蜜罐进行检测”中,作者介绍了蜜罐文档(Honeydoc)的使用方法,这是一个简便易行的攻击者溯源的技术手段,能够以极低的实施成本,在一定程度上对网络安全事件作出预警,甚至可以辅助定位到攻击者。在2015年度中国互联网安全大会(ISC2015)的“APT与新威胁论坛”中,我曾在相关议题中介绍了作者提出的这种思路。另外,在本书第15章 “分析流程”中,作者创造性地将刑侦调查和医学诊断这两套分析模型应用于网络安全事件的分析中。这两个模型的引入,将原本错综复杂的分析方法解释得通俗易懂。
由于译者水平有限,译文中难免存在纰漏,恳请读者批评、指正。读者在阅读本书的过程中,如果对译文有任何意见或建议,或者对书中(尤其是对检测、分析这两部分的内容)提及的技术手段、实现方法有什么想法或思路,欢迎给我发邮件: libaisong@antiy.cn,或通过我的新浪微博“@安天李柏松”深入交流。
最后,感谢家人给我的支持,感谢安天的同事们给我的帮助,感谢吴怡编辑和合译者燕宏给我的鼓励。
李柏松
2015年10月25日于哈尔滨
本书全面地介绍了网络安全监控“收集、检测、分析”各环节的技术要点。对于一些关键步骤,作者结合大量的实战案例,详细地讲解具体操作方法。即使是初学者,也可以在本书的指导之下轻松上手。对于具有一定基础的分析人员,书中提供了大量的实用脚本和公共网络资源,以及作者根据多年实战经验总结出的若干最佳实践。虽然这是一本专业性较强的技术书籍,但作者行文生动活泼、语调轻松诙谐,读起来饶有趣味。
值得一提的是,在本书第12章 “使用金丝雀蜜罐进行检测”中,作者介绍了蜜罐文档(Honeydoc)的使用方法,这是一个简便易行的攻击者溯源的技术手段,能够以极低的实施成本,在一定程度上对网络安全事件作出预警,甚至可以辅助定位到攻击者。在2015年度中国互联网安全大会(ISC2015)的“APT与新威胁论坛”中,我曾在相关议题中介绍了作者提出的这种思路。另外,在本书第15章 “分析流程”中,作者创造性地将刑侦调查和医学诊断这两套分析模型应用于网络安全事件的分析中。这两个模型的引入,将原本错综复杂的分析方法解释得通俗易懂。
由于译者水平有限,译文中难免存在纰漏,恳请读者批评、指正。读者在阅读本书的过程中,如果对译文有任何意见或建议,或者对书中(尤其是对检测、分析这两部分的内容)提及的技术手段、实现方法有什么想法或思路,欢迎给我发邮件: libaisong@antiy.cn,或通过我的新浪微博“@安天李柏松”深入交流。
最后,感谢家人给我的支持,感谢安天的同事们给我的帮助,感谢吴怡编辑和合译者燕宏给我的鼓励。
李柏松
2015年10月25日于哈尔滨
前言
我喜欢抓坏人。当我还是个小孩子的时候,就想以某些方式抓住坏人。例如,就近找一条毛巾披上作斗篷,与小伙伴们满屋子跑,玩警察抓小偷的游戏。长大后,每当看到为百姓伸张正义,让各种坏蛋得到应有的惩罚,我都特别开心。但不管我多努力去尝试,我的愤怒也无法让我变成一个绿巨人,不管我被多少蜘蛛咬了,我也无法从我的手臂里发射出蜘蛛网。我也很快意识到我并不适合做执法工作。
自从认识到这个现实,我意识到我没有足够的财富建一堆华丽的小工具,并身着蝙蝠衣在夜里绕飞巡逻,所以我结束了一切幻想,将我的注意力转向了我的电脑。事隔多年,我已走出了童年梦想中想活捉坏蛋的角色,那已不是我最初想象的那种感觉。
通过网络安全监控(NSM)的实战抓住坏人,这也是本书的主旨。NSM是基于防范最终失效的原则,就是说无论你在保护你的网络中投入多少时间,坏人都有可能获胜。当这种情况发生时,你必须在组织上和技术上的位置,检测到入侵者的存在并及时做出响应,使事件可以得到及时通报,并以最小代价减小入侵者的破坏。
“我要怎样做才能在网络上发现坏人?”
走上NSM实践的道路通常始于这个问题。NSM的问题其实是一种实践,而这个领域的专家则是NSM的实践者。
科学家们通常被称作科技领域的实战者。在最近的上世纪80年代,医学上认为牛奶是治疗溃疡的有效方法。随着时间的推移,科学家们发现溃疡是由幽门螺旋杆菌引起的,而奶制品实际上会进一步加剧溃疡的恶化。虽然我们愿意相信大多数科学是准确的,但有时不是这样。所有科学研究是基于当时可用的最佳数据,当随着时间的推移出现新的数据时,老问题的答案就会改变,并且重新定义了过去曾经被认为是事实的结论。这是医学研究的现实,也是作为NSM从业者面对的现实。
遗憾的是,当我开始涉猎NSM时,关于这个话题并没有太多参考资料可用。坦白地说,现在也没有。除了行业先驱者们偶尔写的博客以及一些特定的书籍外,大多数试图学习这个领域的人都被限制在他们自己设备的范围内。我觉得这是一个合适的时机来澄清一个重要误解,以消除我先前说法的潜在疑惑。市面上有各式各样的关于TCP/IP、包分析和各种入侵检测系统(IDS)话题的书籍。尽管这些书本中提及的概念是NSM的重要方面,但它们并不构成NSM的全过程。这就好比说,一本关于扳手的书,会教你如何诊断汽车,但不会教你如何启动。
本书致力于阐述NSM的实践。这意味着本书并不只是简单地提供NSM的工具或个别组件的概述,而是将讲解NSM的流程以及这些工具和组件是如何应用于实践的。
目标读者
本书最终将作为执业NSM分析师的指南。我每天的职责也包括对新分析师的培训,因此本书不仅为读者提供教育素材,也为培训过程提供支持性教材。既然如此,我的期望是读者们能将本书从头到尾阅览,对成为一名优秀分析师的核心概念能有入门级的掌握。
如果你已经是一名执业分析师,那么我希望本书将为你打下一个良好基础,让你可以增强分析技能,提升现有的工作效率。目前我已与数名优秀分析师共事,他们将成长为伟大的分析师,因为他们可以用本书中提及的一些技术和信息去提高他们的效率。
NSM的有效实践需要对各类工具有一定程度的熟练运用。因此,本书将会讨论到数款工具,但仅限于从分析师的立场去讨论。当我讨论Snort IDS、SiLK分析工具集或其他工具时,那些负责安装维护这些工具的人会发现我并不会很长篇大论地讲这些过程。但在有需要的时候,我会将其他相关资源补充进来。
此外,本书完全专注于免费和开源工具。这不仅是为了吸引更多可能没有预算来购买诸如NetWitness、Arcsight等商业分析工具的人,也是为了展示使用基于开源分析设计的工具带来的内在优势,因为它们在数据交互的过程能够提供更高的透明度。
所需基础知识
最成功的NSM分析师在开始安全相关工作之前,通常在其他信息技术领域已经拥有丰富的经验。这是因为他们已经具备了作为一名分析师的其他重要技能,比如对系统、网络管理的理解。如果没有这样的经历,建议阅读一些书,我罗列了一份我十分喜爱的主要书籍清单,我认为这些书能够帮助读者深入了解一名分析师必备的重要技能。我已尽了最大努力,让读者在不需要太多基础知识的前提下阅读本书。但如果读者感兴趣,我强烈推荐阅读部分书籍作为本书的补充。
《TCP/IP 详解,卷1,协议》,作者 Kevin Fall 和 Dr. Richard Stevens (Addison Wesley出版社,2011)。对TCP/IP的核心理解是让NSM更加有效的重要技能之一。早期Dr. Richard Stevens 的经典文著已经被Kevin Fall更新,增加了最新的协议、标准、最佳实践、IPv6、协议安全,等等。
《The Tao of Network Security Monitoring》,作者 Richard Bejtlich (Addison Wesley出版社,2004)。Richard Bejtlich 帮助定义了很多概念,这些概念奠定了NSM实践的基础。基于这样的事实,我在整本书中会经常引用他的书或博客的内容。尽管Richard的书已经有将近10年的历史,但书中的许多材料仍然使它成为NSM范畴内相关文案。
《Practical Packet Analysis》 作者 Chris Sanders(No Starch Press出版社,2010)。我不是王婆卖瓜。鉴于 Dr. Stevens 的书已为TCP/IP协议提供全面深入的阐述,这本书则是使用Wireshark作为首选工具从实践层面讨论数据包分析。我们在书中讲述如何做数据包检测,如果你之前从未看过数据包,我建议你将此书作为基础。
《Counter Hack Reloaded》 作者Ed Skoudis 和 Tom Lison(Prentice Hall出版社,2006)。我一直认为这本书绝对是最佳常规安全书籍之一。它覆盖的范围非常广,我向任何经验级别的读者都推荐此书。如果你从未做过安全相关的工作,那么我会说《Counter Hack Reloaded》是必读的一本书。
本书的组织
自从认识到这个现实,我意识到我没有足够的财富建一堆华丽的小工具,并身着蝙蝠衣在夜里绕飞巡逻,所以我结束了一切幻想,将我的注意力转向了我的电脑。事隔多年,我已走出了童年梦想中想活捉坏蛋的角色,那已不是我最初想象的那种感觉。
通过网络安全监控(NSM)的实战抓住坏人,这也是本书的主旨。NSM是基于防范最终失效的原则,就是说无论你在保护你的网络中投入多少时间,坏人都有可能获胜。当这种情况发生时,你必须在组织上和技术上的位置,检测到入侵者的存在并及时做出响应,使事件可以得到及时通报,并以最小代价减小入侵者的破坏。
“我要怎样做才能在网络上发现坏人?”
走上NSM实践的道路通常始于这个问题。NSM的问题其实是一种实践,而这个领域的专家则是NSM的实践者。
科学家们通常被称作科技领域的实战者。在最近的上世纪80年代,医学上认为牛奶是治疗溃疡的有效方法。随着时间的推移,科学家们发现溃疡是由幽门螺旋杆菌引起的,而奶制品实际上会进一步加剧溃疡的恶化。虽然我们愿意相信大多数科学是准确的,但有时不是这样。所有科学研究是基于当时可用的最佳数据,当随着时间的推移出现新的数据时,老问题的答案就会改变,并且重新定义了过去曾经被认为是事实的结论。这是医学研究的现实,也是作为NSM从业者面对的现实。
遗憾的是,当我开始涉猎NSM时,关于这个话题并没有太多参考资料可用。坦白地说,现在也没有。除了行业先驱者们偶尔写的博客以及一些特定的书籍外,大多数试图学习这个领域的人都被限制在他们自己设备的范围内。我觉得这是一个合适的时机来澄清一个重要误解,以消除我先前说法的潜在疑惑。市面上有各式各样的关于TCP/IP、包分析和各种入侵检测系统(IDS)话题的书籍。尽管这些书本中提及的概念是NSM的重要方面,但它们并不构成NSM的全过程。这就好比说,一本关于扳手的书,会教你如何诊断汽车,但不会教你如何启动。
本书致力于阐述NSM的实践。这意味着本书并不只是简单地提供NSM的工具或个别组件的概述,而是将讲解NSM的流程以及这些工具和组件是如何应用于实践的。
目标读者
本书最终将作为执业NSM分析师的指南。我每天的职责也包括对新分析师的培训,因此本书不仅为读者提供教育素材,也为培训过程提供支持性教材。既然如此,我的期望是读者们能将本书从头到尾阅览,对成为一名优秀分析师的核心概念能有入门级的掌握。
如果你已经是一名执业分析师,那么我希望本书将为你打下一个良好基础,让你可以增强分析技能,提升现有的工作效率。目前我已与数名优秀分析师共事,他们将成长为伟大的分析师,因为他们可以用本书中提及的一些技术和信息去提高他们的效率。
NSM的有效实践需要对各类工具有一定程度的熟练运用。因此,本书将会讨论到数款工具,但仅限于从分析师的立场去讨论。当我讨论Snort IDS、SiLK分析工具集或其他工具时,那些负责安装维护这些工具的人会发现我并不会很长篇大论地讲这些过程。但在有需要的时候,我会将其他相关资源补充进来。
此外,本书完全专注于免费和开源工具。这不仅是为了吸引更多可能没有预算来购买诸如NetWitness、Arcsight等商业分析工具的人,也是为了展示使用基于开源分析设计的工具带来的内在优势,因为它们在数据交互的过程能够提供更高的透明度。
所需基础知识
最成功的NSM分析师在开始安全相关工作之前,通常在其他信息技术领域已经拥有丰富的经验。这是因为他们已经具备了作为一名分析师的其他重要技能,比如对系统、网络管理的理解。如果没有这样的经历,建议阅读一些书,我罗列了一份我十分喜爱的主要书籍清单,我认为这些书能够帮助读者深入了解一名分析师必备的重要技能。我已尽了最大努力,让读者在不需要太多基础知识的前提下阅读本书。但如果读者感兴趣,我强烈推荐阅读部分书籍作为本书的补充。
《TCP/IP 详解,卷1,协议》,作者 Kevin Fall 和 Dr. Richard Stevens (Addison Wesley出版社,2011)。对TCP/IP的核心理解是让NSM更加有效的重要技能之一。早期Dr. Richard Stevens 的经典文著已经被Kevin Fall更新,增加了最新的协议、标准、最佳实践、IPv6、协议安全,等等。
《The Tao of Network Security Monitoring》,作者 Richard Bejtlich (Addison Wesley出版社,2004)。Richard Bejtlich 帮助定义了很多概念,这些概念奠定了NSM实践的基础。基于这样的事实,我在整本书中会经常引用他的书或博客的内容。尽管Richard的书已经有将近10年的历史,但书中的许多材料仍然使它成为NSM范畴内相关文案。
《Practical Packet Analysis》 作者 Chris Sanders(No Starch Press出版社,2010)。我不是王婆卖瓜。鉴于 Dr. Stevens 的书已为TCP/IP协议提供全面深入的阐述,这本书则是使用Wireshark作为首选工具从实践层面讨论数据包分析。我们在书中讲述如何做数据包检测,如果你之前从未看过数据包,我建议你将此书作为基础。
《Counter Hack Reloaded》 作者Ed Skoudis 和 Tom Lison(Prentice Hall出版社,2006)。我一直认为这本书绝对是最佳常规安全书籍之一。它覆盖的范围非常广,我向任何经验级别的读者都推荐此书。如果你从未做过安全相关的工作,那么我会说《Counter Hack Reloaded》是必读的一本书。
本书的组织
序言
学习如何建设与运营一个网络安全监控基础设施是一项艰巨的任务。Chris Sanders 和他的团队制定了NSM的框架,为读者编纂了一个将网络安全监控付诸实践的有效计划。
大中型组织正面临令人崩溃的大量数据。面对着某些情况下过亿的事件量,有一个可扩展的监控框架和标准化运营流程是当务之急。
寻找即寻见,反之亦然。数据收集工作本身没有太大意义,甚至对检测环节来说很可能也一样,而分析工作却非常重要。这本书将给你一把钥匙,打开NSM的大门,展示其中的每一步骤:收集、检测和分析。
在20世纪30年代末期,许多民间飞行员主张使用他们的技能来捍卫国家。如今,民间组织积极投身保卫国家的时代再次到来。我们常常无故遭到攻击,制造业、化工业、石油和天然气行业、能源业以及我们社会中许多重要领域,在一系列有协作有计划的攻击中首当其冲。当专家们已在思考未来爆发网络战争的可能性时,身处一线的从业者们仍对其重视不足。
当然,我不是在宣扬战争,而是想强调分析的重要性。你的系统被root提权了?那么你必须分析你的日志。大多数网络攻击会留下痕迹,这得靠每一个系统管理员对入侵迹象做日志审查。尽管如此,管理员查看日志大多数是为了提升系统性能和商业分析。单单提升系统性能就可以帮助企业获得投资上的回报,而正手上的商业分析就更加不用说了,能为企业带来的价值无法估量。
在InGuardians公司,我们常被叫去响应网络安全事故以防止大规模数据破坏。大多数组织现在通常是从核心网络的设备、代理、防火墙、系统和应用中保存了相关数据,这些数据已存储了相当长的一段时间,看不到明显的投资回报率。在大多数情况下,我们通过独立的日志分析就可以识别出现在或过去发生的数据泄漏事件。
当你在你的控制台上回溯一些日志时,可能会手足无措地想:“我不知道要寻找些什么”。请立足于你所知道的,所理解的,不要再去想其他,勇敢面对,一切都将是有趣的。
Semper Vigilans
Mike Poor
大中型组织正面临令人崩溃的大量数据。面对着某些情况下过亿的事件量,有一个可扩展的监控框架和标准化运营流程是当务之急。
寻找即寻见,反之亦然。数据收集工作本身没有太大意义,甚至对检测环节来说很可能也一样,而分析工作却非常重要。这本书将给你一把钥匙,打开NSM的大门,展示其中的每一步骤:收集、检测和分析。
在20世纪30年代末期,许多民间飞行员主张使用他们的技能来捍卫国家。如今,民间组织积极投身保卫国家的时代再次到来。我们常常无故遭到攻击,制造业、化工业、石油和天然气行业、能源业以及我们社会中许多重要领域,在一系列有协作有计划的攻击中首当其冲。当专家们已在思考未来爆发网络战争的可能性时,身处一线的从业者们仍对其重视不足。
当然,我不是在宣扬战争,而是想强调分析的重要性。你的系统被root提权了?那么你必须分析你的日志。大多数网络攻击会留下痕迹,这得靠每一个系统管理员对入侵迹象做日志审查。尽管如此,管理员查看日志大多数是为了提升系统性能和商业分析。单单提升系统性能就可以帮助企业获得投资上的回报,而正手上的商业分析就更加不用说了,能为企业带来的价值无法估量。
在InGuardians公司,我们常被叫去响应网络安全事故以防止大规模数据破坏。大多数组织现在通常是从核心网络的设备、代理、防火墙、系统和应用中保存了相关数据,这些数据已存储了相当长的一段时间,看不到明显的投资回报率。在大多数情况下,我们通过独立的日志分析就可以识别出现在或过去发生的数据泄漏事件。
当你在你的控制台上回溯一些日志时,可能会手足无措地想:“我不知道要寻找些什么”。请立足于你所知道的,所理解的,不要再去想其他,勇敢面对,一切都将是有趣的。
Semper Vigilans
Mike Poor
