| 开本:3开 |
| 纸张:胶版纸 |
| 包装:平装 |
| 是否套装:否 |
| 国际标准书号ISBN:9787118136562 |
| 所属分类:图书>计算机/网络>信息安全 |
团购优惠,咨询在线客服重磅推荐
内容简介
本书内容涵盖了从风险识别到漏洞管理的各个方面,尤其突出了漏洞赏金计划这一创新的网络安全手段。漏洞赏金计划近年来在 范围内得到了广泛应用,成为企业主动防御体系中的重要一环。通过激励安全研究人员和黑客积极发现并报告系统漏洞,企业不仅能够及时修复潜在威胁,还可以借此机会提升内部安全团队的技术水平。本书详细介绍了漏洞赏金计划的实施策略、管理流程及其在实际操作中的成功案例,为企业如何有效实施这一计划提供了翔实的指导。 原书作者在网络安全领域拥有丰富的实践经验和深厚的理论基础。在书中,作者通过深入分析并给出翔实数据,为读者呈现了网络安全的全貌。同时,也为企业在网络安全领域的制定管理战略提供了重要参考。书中既有宏观层面的战略探讨,也有微观操作中的技术细节,内容涵盖广泛, 实用性。此外,作者还结合了当下的技术发展趋势,对未来网络安全的挑战和应对策略进行了前瞻性的分析,这无疑为读者理解和应对未来的网络安全风险提供了宝贵的视角。
目 录
部分漏洞赏金概述第章漏洞赏金计划的演变起源保守和抵制心理威胁行为者活动增加安全研究人员欺诈应用程序的安全性被轻视巨额预算需求优先考虑其他安全工具漏洞披露计划与漏洞赏金计划漏洞披露计划漏洞赏金计划计划管理者项目经理法律重新定义安全研究采取行动了解安全研究人员公平公正的解决方案漏洞披露管理纠正误解特定社群参与第二部分项目评估第章评估当前漏洞管理流程由谁运营漏洞赏金计划确定安全态势团队管理软件工程部门信息安全部门基础设施部门法务部门外联团队重要问题软件工程部门是否制定了安全编码流程?软件工程师是否了解降低(由含漏洞代码导致的)风险的重要性?当前沟通流程是否有效?如果发现漏洞,能否得到快速解决?企业和移动应用程序有多少?在软件开发生命周期中,工程师使用哪些开发流程?信息安全部门安全运维团队如何应对突发事件?如果威胁行为者成功利用应用程序漏洞,安全运维团队是否会向员工提供协助?他们准备了哪些工具?反欺诈团队如何防止恶意活动?他们发现了多少次诸如账户盗用之类的问题,以及这些问题是否可能造成应用程序漏洞?是否有任何合规性要求,如果有,它们如何影响漏洞管理流程?应用程序安全团队必须做些什么才能帮助企业实现相关法规符合性?使用什么工具来防止边界攻击?企业应用程序是否会因物联网设备而面临被利用的风险?漏洞管理团队多久推送一次 新?漏洞管理团队如何确保企业应用程序所驻留的服务器是安全的?基础设施部门基础设施团队如何确保 安全实践?当服务器端应用程序被利用时,或者发生子域名接管漏洞发生时,基础设施团队需要多长时间才能解决严重问题?基础设施、漏洞管理、安全运维以及终端检测和响应之间是否存在有效的沟通?法务部门应用程序安全团队与法务部门之间的关系磨合程度如何?将设定哪些问题升级的标准?法务部门是否了解漏洞赏金计划管理的必要性?外联团队外联团队是否曾与安全研究人员交流?是否了解其重要性?外联团队是否了解漏洞赏金计划的预期?工程师计划准备第章评估计划运营不能“一刀切”真实计划场景模拟临时计划免责声明应用情景情景情景情景众包平台平台定价与服务托管服务退出托管服务按需渗透测试第三部分计划制定第章界定计划范围和赏金什么是赏金什么是范围如何界定范围通配符是什么子域名域名特定域名路径或特定子域名路径确定资产范围资产风险超出范围是什么漏洞类型拒 服务()或分布式拒 服务()攻击社会工程学攻击暴力破解或速率限制攻击账户和电子邮件枚举点击劫持其他如何确定资产是否超出计划范围“庄家”赢了吗公正评判赏金事后分析认知缺失和声誉风险把这一切放在一起漏洞赏金支付确定赏金额外赏金非金钱奖励第章了解安全港和服务等级协议什么是“安全港”?安全港的现实情况畏惧和抗拒情绪编写安全港协议安全港协议示例对恶意研究员(网络犯罪或威胁恶意行为者)的反制措施服务等级协议解决时间分级时间第章计划设置理解选项平台创建计划计划概述 计划配置和修改配置文件设置企业“配置文件”设置平台计划设置账单计划收件箱总结第四部分漏洞报告和披露第章漏洞验证与管理理解分类筛选验证经验教训漏洞事故托管服务自助服务漏洞管理漏洞优先级漏洞示例答案漏洞评级测试摘要复杂性与评级预计评级工单和内部第章漏洞披露信息了解公开披露作出决策责任什么是?计划管理者职责硬件软件和产品第三方提交选项内部提交计划管理提交和不干涉提交第五部分内部和外部沟通第章开发和应用程序安全协作关键角色之间的差异应用程序安全工程师开发响应时间有意义的漏洞报告沟通期望倒退、升级和例外情况内部步骤外部步骤升级摘要持续问责制跟踪错过了 期限 章研究人员和计划互动要点理解黑客金钱,道德,还是两者都有?案例研究分析确认无效的漏洞误报过程和突发消息处理恶意的研究人员托管计划注意事项内部计划敲诈勒索或潜在威胁行为者公开威胁或信息披露计划警告消息是威胁行为者还是安全研究员?信息研究人员安全研究员的采访漏洞赏金计划管理者采访总结第六部分评估和扩展 章内部评估内部评估简介主动测试与被动测试被动测试主动测试 被动主动总结其他注意事项:专业测试和第三方风险 章扩大范围与团队沟通扩张费用何时扩大范围范围扩展的替代方案管理扩展 章公开发布了解公共计划“正确的”时机建议发布时机回滚总结
显示全部信息
商品详情
基本信息(以实物为准)
商品名称:企业网络安全风险识别与漏洞赏金计划
作者:美约翰·杰克逊译者陈亚莎 定 开
出版社:国防工业 号 页数
出版时间 版次 商品类型:图书
印刷时间 印次
内容简介
本书内容涵盖了从风险识别到漏洞管理的各个方面,尤其突出了漏洞赏金计划这一创新的网络安全手段。漏洞赏金计划近年来在 范围内得到了广泛应用,成为企业主动防御体系中的重要一环。通过激励安全研究人员和黑客积极发现并报告系统漏洞,企业不仅能够及时修复潜在威胁,还可以借此机会提升内部安全团队的技术水平。本书详细介绍了漏洞赏金计划的实施策略、管理流程及其在实际操作中的成功案例,为企业如何有效实施这一计划提供了翔实的指导。 原书作者在网络安全领域拥有丰富的实践经验和深厚的理论基础。在书中,作者通过深入分析并给出翔实数据,为读者呈现了网络安全的全貌。同时,也为企业在网络安全领域的制定管理战略提供了重要参考。书中既有宏观层面的战略探讨,也有微观操作中的技术细节,内容涵盖广泛, 实用性。此外,作者还结合了当下的技术发展趋势,对未来网络安全的挑战和应对策略进行了前瞻性的分析,这无疑为读者理解和应对未来的网络安全风险提供了宝贵的视角。
目 录
部分漏洞赏金概述第章漏洞赏金计划的演变起源保守和抵制心理威胁行为者活动增加安全研究人员欺诈应用程序的安全性被轻视巨额预算需求优先考虑其他安全工具漏洞披露计划与漏洞赏金计划漏洞披露计划漏洞赏金计划计划管理者项目经理法律重新定义安全研究采取行动了解安全研究人员公平公正的解决方案漏洞披露管理纠正误解特定社群参与第二部分项目评估第章评估当前漏洞管理流程由谁运营漏洞赏金计划确定安全态势团队管理软件工程部门信息安全部门基础设施部门法务部门外联团队重要问题软件工程部门是否制定了安全编码流程?软件工程师是否了解降低(由含漏洞代码导致的)风险的重要性?当前沟通流程是否有效?如果发现漏洞,能否得到快速解决?企业和移动应用程序有多少?在软件开发生命周期中,工程师使用哪些开发流程?信息安全部门安全运维团队如何应对突发事件?如果威胁行为者成功利用应用程序漏洞,安全运维团队是否会向员工提供协助?他们准备了哪些工具?反欺诈团队如何防止恶意活动?他们发现了多少次诸如账户盗用之类的问题,以及这些问题是否可能造成应用程序漏洞?是否有任何合规性要求,如果有,它们如何影响漏洞管理流程?应用程序安全团队必须做些什么才能帮助企业实现相关法规符合性?使用什么工具来防止边界攻击?企业应用程序是否会因物联网设备而面临被利用的风险?漏洞管理团队多久推送一次 新?漏洞管理团队如何确保企业应用程序所驻留的服务器是安全的?基础设施部门基础设施团队如何确保 安全实践?当服务器端应用程序被利用时,或者发生子域名接管漏洞发生时,基础设施团队需要多长时间才能解决严重问题?基础设施、漏洞管理、安全运维以及终端检测和响应之间是否存在有效的沟通?法务部门应用程序安全团队与法务部门之间的关系磨合程度如何?将设定哪些问题升级的标准?法务部门是否了解漏洞赏金计划管理的必要性?外联团队外联团队是否曾与安全研究人员交流?是否了解其重要性?外联团队是否了解漏洞赏金计划的预期?工程师计划准备第章评估计划运营不能“一刀切”真实计划场景模拟临时计划免责声明应用情景情景情景情景众包平台平台定价与服务托管服务退出托管服务按需渗透测试第三部分计划制定第章界定计划范围和赏金什么是赏金什么是范围如何界定范围通配符是什么子域名域名特定域名路径或特定子域名路径确定资产范围资产风险超出范围是什么漏洞类型拒 服务()或分布式拒 服务()攻击社会工程学攻击暴力破解或速率限制攻击账户和电子邮件枚举点击劫持其他如何确定资产是否超出计划范围“庄家”赢了吗公正评判赏金事后分析认知缺失和声誉风险把这一切放在一起漏洞赏金支付确定赏金额外赏金非金钱奖励第章了解安全港和服务等级协议什么是“安全港”?安全港的现实情况畏惧和抗拒情绪编写安全港协议安全港协议示例对恶意研究员(网络犯罪或威胁恶意行为者)的反制措施服务等级协议解决时间分级时间第章计划设置理解选项平台创建计划计划概述 计划配置和修改配置文件设置企业“配置文件”设置平台计划设置账单计划收件箱总结第四部分漏洞报告和披露第章漏洞验证与管理理解分类筛选验证经验教训漏洞事故托管服务自助服务漏洞管理漏洞优先级漏洞示例答案漏洞评级测试摘要复杂性与评级预计评级工单和内部第章漏洞披露信息了解公开披露作出决策责任什么是?计划管理者职责硬件软件和产品第三方提交选项内部提交计划管理提交和不干涉提交第五部分内部和外部沟通第章开发和应用程序安全协作关键角色之间的差异应用程序安全工程师开发响应时间有意义的漏洞报告沟通期望倒退、升级和例外情况内部步骤外部步骤升级摘要持续问责制跟踪错过了 期限 章研究人员和计划互动要点理解黑客金钱,道德,还是两者都有?案例研究分析确认无效的漏洞误报过程和突发消息处理恶意的研究人员托管计划注意事项内部计划敲诈勒索或潜在威胁行为者公开威胁或信息披露计划警告消息是威胁行为者还是安全研究员?信息研究人员安全研究员的采访漏洞赏金计划管理者采访总结第六部分评估和扩展 章内部评估内部评估简介主动测试与被动测试被动测试主动测试 被动主动总结其他注意事项:专业测试和第三方风险 章扩大范围与团队沟通扩张费用何时扩大范围范围扩展的替代方案管理扩展 章公开发布了解公共计划“正确的”时机建议发布时机回滚总结
显示全部信息
商品详情
基本信息(以实物为准)
商品名称:企业网络安全风险识别与漏洞赏金计划
作者:美约翰·杰克逊译者陈亚莎 定 开
出版社:国防工业 号 页数
出版时间 版次 商品类型:图书
印刷时间 印次