揭秘網(wǎng)絡(luò)勒索攻擊從基礎(chǔ)知識到應(yīng)對策略全解析
定 價:99.8 元
- 作者:謝莉·達維多夫(Sherri Davidoff) 馬特·杜林(Matt Durrin ) 卡倫·斯普倫格(Karen Sprenger)
- 出版時間:2025/10/1
- ISBN:9787115669964
- 出 版 社:人民郵電出版社
- 中圖法分類:TP393.08
- 頁碼:255
- 紙張:
- 版次:01
- 開本:16開
隨著信息技術(shù)的不斷發(fā)展�����,網(wǎng)絡(luò)勒索事件日益猖獗�����,攻擊手段也不斷升級��,對個人��、企業(yè)和相關(guān)組織都構(gòu)成了嚴重的威脅�。
這是一本幫助讀者應(yīng)對和預(yù)防網(wǎng)絡(luò)勒索攻擊的實用指南,書中不僅介紹了網(wǎng)絡(luò)勒索攻擊的影響和演變過程�����,也揭秘了網(wǎng)絡(luò)勒索攻擊的全流程�。此外,本書還將引導(dǎo)讀者識別網(wǎng)絡(luò)勒索攻擊的早期跡象�����,并深入探討應(yīng)對網(wǎng)絡(luò)勒索攻擊的一系列措施�,包括快速遏制與威脅捕獲、深入調(diào)查與證據(jù)保存�����、談判的藝術(shù)與策略�、贖金支付的抉擇與實踐,以及如何從網(wǎng)絡(luò)勒索攻擊中快速恢復(fù)等�����。最后�,本書強調(diào)建立網(wǎng)絡(luò)安全計劃的重要性,并探討了具體的防御措施��。
通過閱讀本書��,讀者能夠全面了解網(wǎng)絡(luò)勒索攻擊的相關(guān)知識及應(yīng)對策略�����。
別再被動挨打�!你需要一本從防御到反制的“實戰(zhàn)兵法”�����, 讓安全不再“裸奔”
本書不是空談理論�����,而是一線應(yīng)急響應(yīng)專家的實戰(zhàn)復(fù)盤�。
本書不僅教你防御��,更教你攻擊發(fā)生后的談判�、取證與恢復(fù)。
本書不止是作者觀點�,更是融合了大量未公開的真實案例。
謝莉·達維多夫(Sherri Davidof )��,LMG安全公司首席執(zhí)行官�����,著有 Data Breaches,被《紐約時報》譽為“安全大佬”��。她擁有麻省理工學(xué)院計算機科學(xué)與電氣工程學(xué)士學(xué)位�,并且是 GIAC(Global Information Assurance Certification )認證的高級取證分析師(GIAC Certfied Forensic Analyst,GCFA)和滲透測試工程師(GIAC
Penetration Tester,GPEN)
馬特·杜林(Matt Durrin)�����,LMG安全公司培訓(xùn)總監(jiān)和研究總監(jiān)��,是各類會議和培訓(xùn)的熱門演講嘉賓��,其針對惡意軟件的研究成果曾被《NBC 晚間新聞》報道�。
卡倫·斯普倫格(Karen Sprenger)��,LMG 安全公司首席運營官兼首席勒索軟件談判代表�����,擁有近30年的安全/IT 經(jīng)驗��,是知名的網(wǎng)絡(luò)安全行業(yè)專家��、培訓(xùn)師和課程開發(fā)者��,同時也是GIAC認證的數(shù)字取證審查員(GIAC Certified Forensic Examiner�����,GCFE)和國際注冊信息系統(tǒng)安全專家(Certified Information Systems Security Professional,CISSP)�。
第 1章 無孔不入——網(wǎng)絡(luò)勒索攻擊及其危害 1
1.1 網(wǎng)絡(luò)勒索攻擊正在快速蔓延 3
1.2 什么是網(wǎng)絡(luò)勒索攻擊 4
1.2.1 系統(tǒng)安全設(shè)計三要素 5
1.2.2 常見的網(wǎng)絡(luò)勒索攻擊 5
1.2.3 復(fù)合型網(wǎng)絡(luò)勒索攻擊 6
1.3 現(xiàn)代網(wǎng)絡(luò)勒索攻擊的影響 6
1.3.1 運營中斷 7
1.3.2 財務(wù)損失 8
1.3.3 聲譽受損 11
1.3.4 法律訴訟 11
1.4 選擇攻擊目標 13
1.4.1 隨機性攻擊 13
1.4.2 針對性攻擊 15
1.4.3 混合性攻擊 15
1.5 利用技術(shù)供應(yīng)鏈擴大威脅范圍 16
1.5.1 托管服務(wù)提供商 16
1.5.2 技術(shù)制造商 17
1.5.3 軟件漏洞 18
1.5.4 云服務(wù)提供商 19
1.6 結(jié)論 20
1.7 模擬演練 20
第 2章 暗流涌動——網(wǎng)絡(luò)勒索攻擊的演變 23
2.1 歷史起源 23
2.2 加密病毒勒索攻擊 25
2.3 早期的勒索攻擊 26
2.4 關(guān)鍵技術(shù)的進步 27
2.4.1 非對稱加密 27
2.4.2 加密貨幣 29
2.4.3 洋蔥路由 31
2.5 勒索軟件快速發(fā)展 32
2.6 “勒索軟件即服務(wù)”模式 33
2.7 曝光型網(wǎng)絡(luò)勒索攻擊 34
2.8 雙重型網(wǎng)絡(luò)勒索攻擊 36
2.9 網(wǎng)絡(luò)勒索攻擊領(lǐng)域的“工業(yè) 革命” 37
2.9.1 團隊的分工 38
2.9.2 團隊的人員構(gòu)成 39
2.9.3 自動建立受害者門戶網(wǎng)站 41
2.9.4 特許經(jīng)營模式 41
2.9.5 利用公共關(guān)系 44
2.9.6 標準化的操作手冊和工具包 48
2.10 結(jié)論 49
2.11 模擬演練 50
第3章 一探究竟——網(wǎng)絡(luò)勒索攻擊全過程揭秘 52
3.1 網(wǎng)絡(luò)勒索攻擊的結(jié)構(gòu)概述 52
3.2 入侵 54
3.2.1 釣魚 55
3.2.2 遠程登錄 57
3.2.3 軟件漏洞 58
3.2.4 技術(shù)供應(yīng)商攻擊 59
3.3 擴散 60
3.3.1 持久化控制 61
3.3.2 進行偵察 62
3.3.3 更新攻擊策略并提升訪問權(quán)限 63
3.4 評估 64
3.5 清場 64
3.5.1 防病毒軟件和安全軟件 65
3.5.2 正在運行的進程和應(yīng)用程序 65
3.5.3 事件日志與監(jiān)控軟件 66
3.5.4 賬戶和權(quán)限 67
3.6 施加影響 67
3.6.1 引爆勒索軟件 68
3.6.2 數(shù)據(jù)外泄 69
3.7 實施勒索 72
3.7.1 被動通知 72
3.7.2 主動通知 73
3.7.3 讓第三方介入 73
3.7.4 直接公開 74
3.8 結(jié)論 74
3.9 模擬演練 74
第4章 危機降臨——初始響應(yīng)與分診策略 76
4.1 網(wǎng)絡(luò)勒索攻擊是一場危機 77
4.2 對網(wǎng)絡(luò)勒索攻擊進行檢測 78
4.3 對網(wǎng)絡(luò)勒索攻擊進行響應(yīng) 79
4.4 實施分診 82
4.4.1 為什么“分診”十分重要 83
4.4.2 “分診”框架示例 83
4.4.3 對當前狀態(tài)進行評估 84
4.4.4 考慮恢復(fù)目標 85
4.4.5 確定下一步 86
4.5 評估組織的資源 86
4.5.1 財務(wù) 87
4.5.2 保險 87
4.5.3 證據(jù) 88
4.5.4 工作人員 88
4.5.5 技術(shù)資源 88
4.5.6 文檔 89
4.6 制定初始響應(yīng)策略 89
4.6.1 建立目標 89
4.6.2 創(chuàng)建行動計劃 90
4.6.3 分配職責 90
4.6.4 預(yù)算方案——工作量和成本 91
4.7 溝通計劃 91
4.7.1 針對響應(yīng)團隊 92
4.7.2 針對受影響的各方 93
4.7.3 針對社會公眾 95
4.8 結(jié)論 95
4.9 模擬演練 95
第5章 釜底抽薪——快速遏制與威脅捕獲 98
5.1 速度的重要性 98
5.2 獲得技術(shù)環(huán)境的訪問權(quán) 99
5.3 阻止網(wǎng)絡(luò)勒索攻擊的加密和刪除行為 100
5.3.1 修改文件訪問權(quán)限 101
5.3.2 斷開電源 102
5.3.3 關(guān)掉惡意進程 102
5.4 辨別持久性機制 103
5.4.1 監(jiān)控進程 104
5.4.2 計劃任務(wù) 104
5.4.3 自啟動項 105
5.5 阻止數(shù)據(jù)外泄 105
5.6 應(yīng)對拒絕服務(wù)攻擊 106
5.7 將黑客拒之門外 106
5.7.1 關(guān)閉遠程連接服務(wù) 107
5.7.2 重置密碼 107
5.7.3 審計賬戶 108
5.7.4 多因素身份驗證 109
5.7.5 限制邊界通信 109
5.7.6 盡量減少第三方訪問 110
5.7.7 降低受損軟件帶來的危害 110
5.8 威脅捕獲 111
5.8.1 方法 111
5.8.2 證據(jù)來源 112
5.8.3 工具和技術(shù) 112
5.8.4 人員 113
5.8.5 結(jié)果 113
5.9 事后復(fù)盤 114
5.10 結(jié)論 115
5.11 模擬演練 115
第6章 抽絲剝繭——深入調(diào)查與證據(jù)保存 117
6.1 研究“對手” 118
6.1.1 行動情報 118
6.1.2 識別技巧 120
6.1.3 惡意軟件種類 123
6.1.4 戰(zhàn)術(shù)、技術(shù)和程序 124
6.2 確定調(diào)查的范圍 125
6.2.1 要回答的問題 125
6.2.2 調(diào)查過程 126
6.2.3 時間和結(jié)果 127
6.2.4 可交付成果 127
6.3 進行數(shù)據(jù)泄露調(diào)查 128
6.3.1 確定法律�、監(jiān)管和合同義務(wù) 128
6.3.2 決定是否要進一步調(diào)查 129
6.3.3 繼續(xù)調(diào)查 129
6.3.4 調(diào)查結(jié)果 130
6.4 保存證據(jù) 130
6.4.1 證據(jù)來源 131
6.4.2 證據(jù)易失性的順序 136
6.4.3 第三方證據(jù)保存 137
6.4.4 保存證據(jù)的副本 137
6.5 結(jié)論 138
6.6 模擬演練 138
第7章 以退為進——談判的藝術(shù)與策略 140
7.1 特殊的“商業(yè)行為” 140
7.2 建立談判目標 142
7.2.1 預(yù)算 142
7.2.2 時間框架 143
7.2.3 信息安全 144
7.3 潛在結(jié)果 145
7.3.1 購買解密工具 145
7.3.2 防止數(shù)據(jù)的發(fā)布或銷售 146
7.4 溝通方式 147
7.4.1 電子郵件 148
7.4.2 門戶網(wǎng)站 148
7.4.3 聊天應(yīng)用程序 149
7.5 施壓策略 150
7.6 語氣、及時性和信任 151
7.6.1 語氣 152
7.6.2 及時性 152
7.6.3 信任 153
7.7 第 一次接觸 154
7.7.1 最初的外聯(lián)消息 154
7.7.2 “對手”的最初回應(yīng) 154
7.8 分享信息 155
7.8.1 不應(yīng)分享的內(nèi)容 156
7.8.2 可以分享的內(nèi)容 157
7.8.3 后續(xù)可能用到的信息 158
7.9 談判者常犯的錯誤 158
7.10 生存證明 159
7.10.1 目標和局限性 159
7.10.2 拒絕服務(wù)型勒索攻擊案例 160
7.10.3 曝光型勒索攻擊案例 160
7.10.4 如果“對手”拒絕提供“生存證明”�����,怎么辦 161
7.11 討價還價 161
7.11.1 詢問折扣 162
7.11.2 設(shè)定價格 163
7.11.3 還價 163
7.11.4 權(quán)衡 164
7.12 完成交易 165
7.12.1 如何完成交易 165
7.12.2 中途變卦 165
7.12.3 交易結(jié)束后 166
7.13 結(jié)論 166
7.14 模擬演練 166
第8章 權(quán)衡利弊——贖金支付的抉擇與實踐 169
8.1 支付還是不支付 169
8.1.1 支付贖金可行嗎 170
8.1.2 反對支付贖金的依據(jù) 170
8.1.3 支持支付贖金的依據(jù) 171
8.2 付款方式 172
8.3 禁止支付的情況 173
8.3.1 合規(guī)性 174
8.3.2 例外 175
8.3.3 豁免因素 175
8.4 中介機構(gòu) 175
8.5 時間問題 176
8.5.1 資金轉(zhuǎn)移延遲 177
8.5.2 保險審批流程 177
8.5.3 加密貨幣價格的波動 177
8.6 付款之后 178
8.7 結(jié)論 179
8.8 模擬演練 179
第9章 重整旗鼓——從網(wǎng)絡(luò)勒索攻擊中恢復(fù) 181
9.1 備份重要數(shù)據(jù) 182
9.2 構(gòu)建恢復(fù)環(huán)境 183
9.2.1 網(wǎng)段 183
9.2.2 網(wǎng)絡(luò)設(shè)備 184
9.3 設(shè)置監(jiān)測和日志 185
9.3.1 監(jiān)測目標 186
9.3.2 時間安排 186
9.3.3 組件 187
9.3.4 監(jiān)測和響應(yīng)過程 188
9.4 建立恢復(fù)各個計算機的流程 189
9.5 按操作順序開展恢復(fù)工作 190
9.5.1 域控制器 191
9.5.2 高價值的服務(wù)器 192
9.5.3 網(wǎng)絡(luò)架構(gòu) 193
9.5.4 工作站 194
9.6 恢復(fù)數(shù)據(jù) 195
9.6.1 傳輸數(shù)據(jù) 196
9.6.2 從備份中恢復(fù) 196
9.6.3 從當前生產(chǎn)系統(tǒng)中收集 197
9.6.4 重新錄入和創(chuàng)建數(shù)據(jù) 198
9.7 解密 198
9.7.1 解密過程概述 199
9.7.2 解密工具的類型 200
9.7.3 解密工具的風險 201
9.7.4 測試解密工具 202
9.7.5 解密操作 203
9.7.6 驗證文件完整性 203
9.7.7 檢查惡意軟件 204
9.7.8 將數(shù)據(jù)傳輸?shù)缴a(chǎn)網(wǎng)絡(luò) 204
9.8 行動尚未結(jié)束 205
9.9 進一步調(diào)整 205
9.10 結(jié)論 206
9.11 模擬演練 207
第 10章 防患未然——網(wǎng)絡(luò)勒索攻擊的預(yù)防 209
10.1 執(zhí)行有效的網(wǎng)絡(luò)安全計劃 210
10.1.1 知道你要保護的是什么 210
10.1.2 了解你的義務(wù) 211
10.1.3 管理你的風險 212
10.1.4 監(jiān)測風險 217
10.2 防止入侵 218
10.2.1 網(wǎng)絡(luò)釣魚防御 218
10.2.2 強身份驗證 220
10.2.3 安全的遠程接入解決方案 221
10.2.4 補丁管理 222
10.3 檢測和消除威脅 225
10.3.1 端點檢測和響應(yīng) 225
10.3.2 網(wǎng)絡(luò)檢測和響應(yīng) 226
10.3.3 威脅捕獲 227
10.3.4 持續(xù)監(jiān)測過程 227
10.4 運營彈性 228
10.4.1 業(yè)務(wù)連續(xù)性計劃 228
10.4.2 災(zāi)難恢復(fù)計劃 229
10.4.3 備份 231
10.5 降低數(shù)據(jù)盜竊的風險 233
10.5.1 數(shù)據(jù)縮減 233
10.5.2 數(shù)據(jù)丟失預(yù)防工具 234
10.6 解決網(wǎng)絡(luò)勒索攻擊問題 235
10.6.1 讓信息透明 236
10.6.2 激勵檢測和監(jiān)測 236
10.6.3 鼓勵積極�����、主動的解決方案 237
10.6.4 減少“對手”的籌碼 237
10.6.5 提高“對手”的風險 238
10.6.6 最大限度地減少“對手”的收益 239
10.7 結(jié)論 239
10.8 模擬演練 240
后記 242
附錄 檢查清單 244
清單 A 網(wǎng)絡(luò)勒索響應(yīng) 244
清單 B 提前預(yù)備的資源 248
清單C 對響應(yīng)進行規(guī)劃 252
清單D 實施有效的網(wǎng)絡(luò)安全計劃 253
