安天参译《情报驱动应急响应(第二版)》出版
时间:2025年10月13日
推荐理由
本书从多视角探索情报主题,阐述其在应急响应中的“启动”价值与对流程体系的构建作用,还分享突破威胁情报“痛苦金字塔”的实践。书中涵盖F3EAD、ATT&CK等模型,通过真实案例展现情报驱动应急响应的力量,为安全从业者提供从基础到战略的全面指导。
由丽贝卡·布朗(Rebekah Brown)[美]、斯科特·J. 罗伯茨(Scott J. Roberts)[美]所著,由安天联合创始人李柏松和智安托科技创始人兼CEO李燕宏两位同志联合翻译的《情报驱动应急响应(第二版)》已由机械工业出版社出版发行。
2018年9月,机械工业出版社首次出版了由李柏松、李燕宏翻译的第一版《情报驱动应急响应》,内容聚焦威胁情报与事件响应的协同关系,涉及主动防御等技术框架,配套资源等内容。第二版在此基础上对网络分析概念和流程进行了改进,提供了将这些技术整合到事件响应过程中的实践。
跟进翻译威胁情报文献资料,是安天推动产业威胁情报能力的工作之一。安天通过AVL SDK引擎对向量情报的扩展支持,提升业界对Tools/Payload层面的威胁情报消费能力,降低判定威胁情报痛苦金字塔的难度。在威胁排查、猎杀活动中,文件HASH值虽然易于消费,但其机制的零鲁棒性完全无法对抗攻击者对恶意代码任何的变化改造,其效力已经彻底衰减,YARA规则虽然有很大的定义灵活性,但其质量难以把控,也难以形成快速批量部署应用能力。
安天AVL SDK反病毒引擎的广泛产业赋能带来了将反病毒引擎作为一种共性的威胁情报消费设施的可行性。由于反病毒引擎带有格式识别解析、解包、脱壳、虚拟执行等深度预处理机制,因此在执行体对象检测方面,有其他安全机制所不具备的识别与解析深度,通过海量精确规则和多种模型算法组合运用,形成对已知恶意代码精准的判定能力和对免杀和未知恶意代码一定的预判能力。以上述能力为基础,安天引擎面向执行体对象(即Tools/Payload)封装了“向量情报”的扩展机制,让合作伙伴和安天产品用户不仅可以扩展HASH值、YARA规则,更可将字符串、PDB路径、注册表项键、互斥量等二十多种文件向量作为规则扩展。网络管理者在分析样本或阅读分析报告时,可将其中针对Tools/Payload的上述形式化条件在管理中心中配置为向量情报,其分发后会和安天引擎的原厂规则发挥一致的检测效力,并输出网管所定义的告警结果。
安天长期坚持借助杀伤链模型和ATT&CK威胁框架进行威胁分析,形成了面向威胁样本和事件的战术标注积累。
附:安天历史翻译出版的专业书籍
|
书名 |
作者/译者信息 |
出版时间 |
出版社 |
|
《请君入瓮——APT攻防指南之兵不厌诈》 |
[美]Sean
Bodmer Max Kilger Gregory
Carpenter Jade Jones 著 SwordLea(李柏松)、Archer译 |
2014年10月 |
人民邮电出版社 |
|
《网络安全监控:收集、检测和分析》 |
(美)克里斯·桑德斯(Chris Sanders)、(美)杰森·史密斯(Jason Smith)著 李柏松、李燕宏 译 |
2016 年1月 |
机械工业出版社 |
|
《暗渡陈仓:用低功耗设备进行破解和渗透测试》 |
[美]菲利普·布勒斯特拉
著 桑胜田、翁睿、阮鹏译 |
2016年10月 |
机械工业出版社 |
|
[乌克兰] Dennis
Yurichev 著 Archer、安天安全研究与应急处理中心 译 |
2017年3月 |
人民邮电出版社 |
|
|
《网络空间安全防御与态势感知》 |
[美]亚历山大·科特、克利夫·王、罗伯特·F. 厄巴彻 著 黄晟、安天研究院 译 |
2018年 |
机械工业出版社 |
|
《情报驱动应急响应》
|
[美] 斯科特·罗伯茨 (Scott J.Roberts) 、利百加·布朗( Rebekah Brown)
著 李柏松、李燕宏 译 |
2018年9月 |
机械工业出版社 |
|
《情报驱动应急响应(第二版)》 |
[美]丽贝卡·布朗(Rebekah Brown)、[美]斯科特·J. 罗伯茨(Scott J. Roberts)著 李柏松、李燕宏 译 |
2025年9月 |
机械工业出版社 |