安全技术运营：方法与实践

这是一本从实践角度讲解安全技术运营方法和安全运营体系构建的著作。
作者是国内较早的一批安全领域从业者，在金山、腾讯等大厂从事安全技术、产品、运营等方面的工作16年，先后参与或主导了数十个安全产品的能力建设和运营，从零构建了完整的安全运营体系，经验非常丰富。
本书是作者经验的总结，核心内容包括如下几个方面：
（1）全面认识安全技术运营：包括安全技术运营的定义、发展历史以及6种运营思维。
（2）威胁发现的技术和方法：包括特征识别、行为识别、大数据挖掘等发现威胁的方法。
（3）威胁分析的技术和方法：主要介绍了传统的人工方法和基于人工智能的算法建模新方法。
（4）威胁处理的技术和方法：主要介绍了威胁情报、网络威胁解决方案、终端威胁解决方案，以及为不同规模的企业定制的安全解决方案。
（5）安全运营体系构建：从产品视角、企业视角以及XDR的视角讲解了安全运营体系的能力模型与构建方法。
本书适合从事安全产品研发的项目经理、产品经理、安全开发、安全策略运营、安全技术咨询，从事企业安全建设的安全工程师、IT运维人员，以及网络信息安全专业的学生和安全技术爱好者。

适读人群 ：本书适合大部分网络安全从业者，最适合的是安全技术运营同行，和对安全技术运营有兴趣的学生或初学者。本书也适合甲方负责企业安全建设的人员，以及基础网络安全从业的产品经
（1）作者背景资深：作者是财付通安全技术总监，腾讯安全专家工程师，国内较早一批安全从业者。
（2）作者经验丰富：作者从事安全技术、产品、运营16年，在金山和腾讯参与和主导了数十款安全产品的能力建设和运营系统构建。
（3）安全运营方法：从威胁发现、危险分析到威胁处理，本书讲解了全套的安全运营方法。
（4）安全运营体系：从产品视角、企业视角、XDR视角讲解了安全运营体系的能力模型和构建方法。

为什么要写这本书
上大学的时候，我喜欢玩一款叫作《天下霸图》的单机游戏。令人恼火的是经常会触发crash，有时候重读一下存档就过去了，有时候读存档也不行。于是我在网上找解决问题的资料。当年安全技术相关的资料不多，基本都集中在看雪论坛。我照着看雪论坛上的调试教程找到了触发crash的原因，并通过注入dll的方式编写了热补丁，终于解决了问题。随后我还破解了数据存档格式，通过修改存档可以更改人物属性和人物造型。从那以后，我便喜欢上了安全技术。
近20年过去了，我依然坚守在安全行业一线，参与或主导过数十个安全产品的能力建设和运营。在这个过程中，我做过病毒分析，做过主防开发，最终成为国内较早的一批安全技术运营人员。
今后，我将仍然从事安全工作，不同的是后续我将专注在企业的安全风险防控和安全合规的建设上，不再聚焦于安全产品的能力建设。于是，我便想把一些思路和方法总结并分享出来，供有需要的朋友参考。如果能够让读者在职业发展上少一些迷茫，少走弯路，我将荣幸之至。

前言
第1章　什么是安全技术运营　　1
1.1　网络威胁简介　　1
1.1.1　什么是恶意程序　　1
1.1.2　经典网络攻击　　7
1.1.3　业务安全攻击　　12
1.2　安全运营简介　　14
1.2.1　安全运营的定义　　14
1.2.2　安全运营发展史　　14
1.2.3　恶意程序对抗　　17
1.2.4　云查杀和云主防介绍　　20
1.2.5　大数据应用介绍　　21
1.3　技术运营必备的6种思维　　23
1.3.1　逻辑思维　　25
1.3.2　水平思维　　27
1.3.3　全局思维　　29
1.3.4　系统性思维　　32
1.3.5　大数据思维　　36
1.3.6　算法思维　　38
第2章　威胁发现　　42
2.1　特征识别技术　　42
2.1.1　特征定位　　42
2.1.2　启发式发掘　　48
2.1.3　特征空间和有监督学习　　52
2.2　行为识别技术　　55
2.2.1　行为遥测探针　　55
2.2.2　动态分析系统　　58
2.2.3　行为规则和决策树　　62
2.3　机器智能初探：使用大数据发现
威胁　　70
2.3.1　模式匹配　　71
2.3.2　基线感知　　76
2.3.3　模式匹配实时感知系统　　80
2.3.4　监督学习应用优化　　81
2.3.5　应用机器智能解决检测难点　　84
2.3.6　应用机器智能发现相似威胁　　88
2.3.7　恶意家族监控　　89
2.3.8　安全基线建模　　93
第3章　威胁分析　　100
3.1　人工分析应具备的技能　　100
3.1.1　定性分析　　101
3.1.2　溯源分析　　105
3.1.3　趋势分析　　111
3.2　机器智能进阶：自动化分析技术　　116
3.2.1　动态分析模型　　118
3.2.2　社区发现模型　　128
3.2.3　基于家族/社团的memTTP
模型　　133
3.2.4　定性分析的其他模型　　134
3.2.5　基于企业实体行为的事件调查
分析　　136
第4章　威胁处理　　142
4.1　威胁情报　　142
4.1.1　应用级IOC情报　　143
4.1.2　运营级TTP情报　　148
4.2　网络威胁解决方案　　151
4.2.1　边界防护　　152
4.2.2　威胁审计　　156
4.2.3　安全重保　　162
4.3　终端威胁解决方案　　167
4.3.1　遥测探针　　169
4.3.2　云主防　　170
4.3.3　病毒查杀　　173
4.3.4　系统加固　　175
4.3.5　入侵检测　　176
4.3.6　安全管理　　177
4.3.7　端点检测与响应系统　　180
4.4　企业安全解决方案　　181
4.4.1　中小企业安全解决方案　　182
4.4.2　大型企业安全解决方案　　183
4.4.3　云原生安全解决方案　　185
第5章　安全运营体系　　188
5.1　产品视角的安全运营体系　　188
5.1.1　安全能力中台　　188
5.1.2　应急指挥中心　　192
5.1.3　安全运营中心　　197
5.1.4　企业安全运维　　203
5.2　企业视角的安全运营体系　　206
5.2.1　资产攻击面管理体系　　207
5.2.2　纵深防御体系　　208
5.3　XDR　　209
5.3.1　MITRE ATT&CK评测　　209
5.3.2　什么是XDR　　211
5.3.3　XDR安全运营体系　　212