新書推薦:
《
广东省博物馆藏品大系 端砚卷
》
售價:NT$
2540
《
你的降落伞是什么颜色:就业市场不是一场录用游戏,而是一场淘汰游戏,直到准备充分的人胜出
》
售價:NT$
383
《
美国军事战略研究
》
售價:NT$
857
《
一对一沟通
》
售價:NT$
561
《
南海:历史与现实
》
售價:NT$
704
《
变局与变奏:两次全球化与中国复兴
》
售價:NT$
653
《
沉默的皖北:明清国家治理与地方社会(精)
》
售價:NT$
347
《
国画牡丹 La Magnifique pivoine
》
售價:NT$
163
|
| 內容簡介: |
译者序
随着互联网和信息技术的飞速发展,网络安全已经成为当今社会不可忽视的关键问题。近年来,企业网络安全作为企业安全的重要组成部分,面临着越来越复杂的威胁和挑战。《企业网络安全 —— 风险识别与漏洞赏金计划》一书,正是在这一背景下应运而生。该书旨在为企业提供全面的网络安全解决方案,帮助其有效识别和应对各种网络风险,从而提升企业的整体防御能力。
本书内容涵盖了从风险识别到漏洞管理的各个方面,尤其突出了漏洞赏金计划这一创新的网络安全手段。漏洞赏金计划近年来在全球范围内得到了广泛应用,成为企业主动防御体系中的重要一环。通过激励安全研究人员和黑客积极发现并报告系统漏洞,企业不仅能够及时修复潜在威胁,还可以借此机会提升内部安全团队的技术水平。本书详细介绍了漏洞赏金计划的实施策略、管理流程及其在实际操作中的成功案例,为企业如何有效实施这一计划提供了翔实的指导。
原书作者在网络安全领域拥有丰富的实践经验和深厚的理论基础。在书中,作者通过深入分析并给出翔实数据,为读者呈现了网络安全的全貌。同时,也为企业在网络安全领域的制定管理战略提供了重要参考。书中既有宏观层面的战略探讨,也有微观操作中的技术细节,内容涵盖广泛,极具实用性。此外,作者还结合了当下的技术发展趋势,对未来网络安全的挑战和应对策略进行了前瞻性的分析,这无疑为读者理解和应对未来的网络安全风险提供了宝贵的视角。
在此,译者特别感谢国防工业出版社的编辑团队,感谢他们在本书的出版过程中给予的支持与帮助。他们在稿件的审校、排版、设计等各个环节都表现出了很强的专业性,使得本书的出版得以顺利进行。
最后,译者建议读者在阅读本书时,结合自身企业的实际情况,灵活应用书中提出的策略和方法。网络安全是一项动态且持续发展的工作,面对不断变化的威胁和挑战,企业需要不断学习、调整和优化自身的安全策略,才能在复杂多变的网络环境中立于不败之地。本书提供的知识和经验,虽然不能一劳永逸地解决所有问题,但无疑为企业应对网络安全挑战提供了重要的指导和参考。
希望本书的出版能够为中国企业在网络安全领域的探索和实践提供有益的帮助,助力企业在全球化背景下的安全发展。译者2025 年 3 月
|
| 目錄:
|
目录
第一部分 漏洞赏金概述
第 1 章 漏洞赏金计划的演变
1.1 起源1.2 保守和抵制心理1.3 威胁行为者活动增加1.4 安全研究人员欺诈1.5 应用程序的安全性被轻视1.6 巨额预算需求1.7 优先考虑其他安全工具1.8 漏洞披露计划与漏洞赏金计划1.8.1 漏洞披露计划1.8.2 漏洞赏金计划1.9 计划管理者 / 项目经理1.10 法律1.11 重新定义安全研究1.12 采取行动1.12.1 了解安全研究人员1.12.2 公平公正的解决方案1.12.3 漏洞披露管理1.12.4 纠正误解1.12.5 特定社群参与第二部分 项目评估
第 2 章 评估当前漏洞管理流程
2.1 由谁运营漏洞赏金计划2.2 确定安全态势2.3 团队管理2.3.1 软件工程部门2.3.2 信息安全部门2.3.3 基础设施部门2.3.4 法务部门2.3.5 外联团队2.4 重要问题2.5 软件工程部门2.5.1 是否制定了安全编码流程?软件工程师是否了解降低(由含漏洞代码导致的)风险的重要性?2.5.2 当前沟通流程是否有效?如果发现漏洞,能否得到快速解决?2.5.3 企业 Web 和移动应用程序有多少?在软件开发生命周期中,工程师使用哪些开发流程?2.6 信息安全部门2.6.1 安全运维团队如何应对突发事件?如果威胁行为者成功利用应用程序漏洞,安全运维团队是否会向员工提供协助?他们准备了哪些工具?2.6.2 反欺诈团队如何防止恶意活动?他们发现了多少次诸如账户盗用之类的问题,以及这些问题是否可能造成应用程序漏洞?2.6.3 是否有任何合规性要求,如果有,它们如何影响漏洞管理流程?应用程序安全团队必须做些什么才能帮助企业实现相关法规符合性?2.6.4 使用什么工具来防止边界攻击?企业应用程序是否会因物联网设备而面临被利用的风险?2.6.5 漏洞管理团队多久推送一次更新?漏洞管理团队如何确保企业应用程序所驻留的服务器是安全的?2.7 基础设施部门2.7.1 基础设施团队如何确保最佳安全实践?当服务器端 Web 应用程序被利用时,或者发生子域名接管漏洞发生时,基础设施团队需要多长时间才能解决严重问题?2.7.2 基础设施、漏洞管理、安全运维以及终端检测和响应之间是否存在有效的沟通?2.8 法务部门2.8.1 应用程序安全团队与法务部门之间的关系磨合程度如何?2.8.2 将设定哪些问题升级的标准?2.8.3 法务部门是否了解漏洞赏金计划管理的必要性?2.9 外联团队2.9.1 外联团队是否曾与安全研究人员交流?是否了解其重要性?2.9.2 外联团队是否了解漏洞赏金计划的预期?2.10 工程师2.11 计划准备第 3 章 评估计划运营
3.1 不能 “一刀切”3.2 真实计划场景模拟3.3 临时计划3.4 免责声明3.5 应用情景3.5.1 情景 13.5.2 情景 23.5.3 情景 33.6 众包平台3.7 平台定价与服务3.8 托管服务3.9 退出托管服务3.10 按需渗透测试第三部分 计划制定
第 4 章 界定计划范围和赏金
4.1 什么是赏金4.2 什么是范围4.3 如何界定范围4.4 通配符是什么4.4.1 子域名4.4.2 域名4.4.3 特定域名路径或特定子域名路径4.5 确定资产范围4.6 资产风险4.7 超出范围是什么4.8 漏洞类型4.8.1 拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击4.8.2 社会工程学攻击4.8.3 暴力破解或速率限制攻击4.8.4 账户和电子邮件枚举4.8.5 Self-XSS4.8.6 点击劫持4.8.7 其他4.9 如何确定资产是否超出计划范围4.10 “庄家” 赢了吗4.11 公正评判赏金4.12 事后分析4.13 认知缺失和声誉风险4.14 把这一切放在一起4.15 漏洞赏金支付4.15.1 确定赏金4.15.2 额外赏金4.15.3 非金钱奖励第 5 章 了解安全港和服务等级协议
5.1 什么是 “安全港”?5.1.1 安全港的现实情况5.1.2 畏惧和抗拒情绪5.1.3 编写安全港协议5.1.4 安全港协议示例5.2 对恶意研究员(网络犯罪或威胁 / 恶意行为者)的反制措施5.3 服务等级协议5.3.1 解决时间5.3.2 分级时间第 6 章 计划设置
6.1 理解选项6.2 Bugcrowd 平台6.2.1 创建计划6.2.2 计划概述6.2.3 高级计划配置和修改6.2.4 配置文件设置6.2.5 企业 “配置文件” 设置6.3 HackerOne 平台6.3.1 计划设置6.3.2 账单6.3.3 计划6.3.4 收件箱6.4 总结第四部分 漏洞报告和披露
第 7 章 漏洞验证与管理
7.1 理解分类筛选7.1.1 验证7.1.2 经验教训7.1.3 漏洞事故7.1.4 托管服务7.1.5 自助服务7.2 漏洞管理7.2.1 漏洞优先级7.2.2 漏洞示例7.3 答案7.3.1 漏洞评级测试摘要7.3.2 复杂性与评级7.3.3 预计评级7.3.4 工单和内部 SLA第 8 章 漏洞披露信息
8.1 了解公开披露8.1.1 作出决策8.2 CVE 责任8.2.1 什么是 CVE?8.2.2 计划管理者职责8.2.3 硬件 CVE8.2.4 软件和产品 CVE8.2.5 第三方 CVE8.3 提交选项8.3.1 内部提交8.3.2 计划管理提交和不干涉提交第五部分 内部和外部沟通
第 9 章 开发和应用程序安全协作
9.1 关键角色之间的差异9.1.1 应用程序安全工程师9.1.2 开发9.2 响应时间9.3 有意义的漏洞报告9.4 沟通期望9.5 倒退、升级和例外情况9.5.1 内部步骤9.5.2 外部步骤9.5.3 升级9.5.4 摘要9.6 持续问责制9.6.1 跟踪9.6.2 错过了最后期限第 10 章 研究人员和计划互动要点
10.1 理解黑客10.1.1 金钱,道德,还是两者都有?10.1.2 案例研究分析10.2 确认无效的漏洞误报10.2.1 过程和突发消息10.2.2 处理恶意的研究人员10.3 托管计划注意事项10.4 内部计划10.5 敲诈勒索或潜在威胁行为者10.6 公开威胁或信息披露10.7 计划警告消息10.8 是威胁行为者还是安全研究员?10.9 信息研究人员10.9.1 安全研究员的采访10.9.2 漏洞赏金计划管理者采访10.10 总结第六部分 评估和扩展
第 11 章 内部评估
11.1 内部评估简介11.2 主动测试与被动测试11.3 被动测试11.3.1 Shodan11.3.2 Amass/crt.sh11.4 主动测试11.4.1 NmapAutomator.sh11.4.2 Sn1per11.4.3 OWASP ZAP11.4.4 Dalfox11.4.5 Dirsearch11.5 被动 / 主动总结11.6 其他注意事项:专业测试和第三方风险第 12 章 扩大范围
12.1 与团队沟通12.2 扩张费用12.3 何时扩大范围12.4 范围扩展的替代方案12.5 管理扩展第 13 章 公开发布
13.1 了解公共计划13.2 “正确的” 时机13.3 建议发布时机13.4 回滚13.5 总结
|
| 內容試閱:
|
前言
当前,信息安全及相关产业已迅速成为一个庞大且不断增长的全球产业。与其他技术工作一样,适应新形势的能力是帮助企业跟上发展的主要因素。在信息安全方面,企业需要不断调整策略以应对恶意攻击者,争取在攻击发生前识别(并修复)漏洞,从而尽可能确保更加安全。
从信息安全专业角度,我们应该考虑安全事件 “何时发生” 而不是 “是否会发生”。世界上没有绝对安全的系统,但我们工作的目的就是不断健全安全体系,主动防范潜在威胁。由于零日漏洞始终存在,我们需要让企业的信息安全防护措施保持最新态势并尽可能提升安全等级。这对于不完全了解信息安全,且(在多数情况下)不愿为达到专业防护标准投入必要预算的企业,往往意味着高昂的成本。
信息安全(或网络安全)仍处于初级阶段,这个说法非常准确,但对于其他行业来说可能会令人感到震惊。许多大学直到近几年才开始设置网络安全领域的学位课程,而许多现在被认为是企业纵深防御 “” 的软件在短短几年前甚至都还不存在。
许多担任着网络安全专家岗位的行业专业人员,往往曾从事一般信息技术工作。我曾与众多私营和公共部门的机构合作过,目前据我所见,仅有极少数安全专业人员接受过正规的安全教育,他们主要依靠认证证书来证明自己对该领域的理解。这对那些希望快速获得证书,而不想花费多年时间在大学学习的人来说是一件幸事。然而,对于那些仅持有证书却缺乏实际经验的人来说,这却成为一种桎梏。任何企业都希望员工尽可能专业,这样就能尽快提高信息安全成熟度,但事实是绝大多数专业人士都在工作中边做边学。
完善的信息安全计划需要多方协同运作。由于安全团队以外的人员普遍缺乏安全意识,因此安全专家最关键的职责之一就是如何在有限资源的情况下,持续改进安全项目的成熟度,同时应对每天都可能出现的新漏洞 —— 这是每个企业都面临的严峻挑战。
目前,软件安全和 Web 应用程序安全是网络安全领域中快速增长的部分。每个企业都会运营自己的网站和使用软件,个人用户在日常生活中也会频繁使用软件和 Web 应用程序,这些资产包含个人身份信息,其内容敏感性差异很大。
尽管通过持续测试能有效识别漏洞,但许多企业缺乏相应的资源或预算来实施。在寻找替代措施时,许多人在考虑制定或加入漏洞赏金计划,当然,选择该方法的动机并非仅限于资源和预算限制。该方法并不代表就一定出于资源和预算问题,因为很多大型企业也有自己的漏洞赏金计划。对于许多大企业来说,无论是在企业内部还是通过第三方,设立漏洞赏金计划正迅速成为一种标准配置。
漏洞赏金计划虽然是新兴事物,却迅速受到了积极寻求安全性提升的组织青睐。2013 年,凯蒂?穆苏里斯(Katie Moussouris)制定了微软第一个漏洞赏金计划。2016 年 3 月,穆苏里斯还参与制定美国国防部 “攻破五角大楼” 试点计划,该计划是美国联邦政府第一个漏洞赏金计划。漏洞赏金计划因其正面效果远大于负面影响而广受欢迎,其中许多优点在本书中都有清晰阐述。作为第一本广泛发行的相关书籍,本书旨在介绍如何制定和管理漏洞赏金计划。
对于试图了解如何制定和运营漏洞赏金计划的专业人员来说,这本书内容非常重要。信息安全专家可以使用这本书作为制定漏洞赏金计划的指南。各个安全领域的专业人士都可以通过这本书快速吸收多年实践积累的经验,从而深入了解该领域,并为各自团队提供更多价值。罗伯特?威利斯(Robert Willis)
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
