网络安全监控实战：深入理解事件检测与响应 pdf下载

　　全球顶端安全公司FireEye首席安全战略官、Mandiant公司首席安全官撰写，深入解读网络安全监控的核心思想、工具和很好实践。
　　从网络安全监控的原理、工具选型、环境部署到攻击的识别、发现与截击，系统且全面地讲解网络安全监控的主流工具，帮助你有效检测和响应网络入侵。

　　全球顶端安全公司FireEye（火眼）首席安全战略官、网络安全公司Mandiant首席安全官撰写，深入解读网络安全监控的核心思想、工具和很好实践，从网络安全监控的原理、工具选型、环境部署到攻击的识别、发现与截击，详细讲解网络安全监控（NSM）主流工具的使用。
　　全书分为四部分，共14章：第1部分（第1～2章）系统讲述了NSM的基本原理以及如何部署传感器以应对各种挑战；第二部分（第3～5章）讲解SO在硬件上的安装与配置，SO的单机与分布式环境的安装与部署，以及SO平台的运行维护；第三部分（第6～8章）主要介绍NSM工具链的应用，涵盖命令行和图形化的数据包分析工具（发现问题），以及NSM控制台（启动检测和响应流程）；第四部分（第9～14章）为实战部分，讲解如何建立有效的NSM团队，发现并制止服务器端和客户端的攻击，利用Bro来扩展SO成果，代理与校验和的识别和利用，NSM在云和协作环境下应用的新思想。
　　网络安全并不简单是坚不可摧的防御墙——志坚意决的攻击者终将突破传统的防御手段。网络安全监控（NSM）整合了最有效的计算机安全策略——收集并分析数据，以助你检测和响应入侵。
　　在本书中，火眼公司首席安全战略官、Mandiant首席安全官Richard Bejtlich向你展示了如何使用NSM在网络周围增添一个坚固的保护层，而无须先验知识。为避免使用“过高”或“不灵活”的解决方案，他使用开源软件和中立厂商的工具教你部署、创建及运行NSM。
　　通过阅读本书，你将会学到：
　　如何确定在哪里部署NSM平台，并根据受监控的网络进行调整。
　　如何部署单机或分布式NSM设备。
　　如何使用命令行和图形化包分析工具及NSM控制台。
　　如何从服务器端和客户端入侵截获网络证据。
　　如何将威胁情报整合到NSM软件来识别高级对手。
　　没有百分之百安全的方式能将攻击者阻止在你的网络之外，但是当他们侵入时，你需要有所准备。本书展示了如何构建一张安全之网，来检测、牵制并控制他们。攻击不可避免，但丢失敏感数据的情况则不应当发生。

　　理查德 · 贝特利奇（Richard Bejtlich） 现任全球顶端安全公司FireEye的首席安全战略官、美国前沿网络安全公司Mandiant的首席安全官，曾任通用电气事件响应的主管，是最早一批研究网络安全和NSM防御的践行者。他毕业于哈弗大学和美国空军学院，著有《The Tao of Network Security Monitoring》、《Extrusion Detection》和《Real Digital Forensics》。

译者序
序
前言
第一部分　准备开始
第1章　网络安全监控基本原理 2
1.1　NSM简介 3
1.1.1　NSM阻止入侵吗 3
1.1.2　NSM和持续监控的区别 6
1.1.3　NSM与其他方法相比如何呢 7
1.1.4　NSM为什么有效 8
1.1.5　如何配置NSM 8
1.1.6　NSM何时无效 10
1.1.7　NSM合法吗 10
1.1.8　在NSM作业期间如何保护用户隐私 11
1.2　一个简单的NSM测试 11
1.3　NSM数据的范围 12
1.3.1　完整内容数据 13
1.3.2　提取的内容数据 15
1.3.3　会话数据 17
1.3.4　事务数据 18
1.3.5　统计数据 19
1.3.6　元数据 21
1.3.7　警报数据 23
1.4　所有这些数据的关键是什么 25
1.5　NSM的缺点 26
1.6　在哪购买NSM 26
1.7　到哪里寻求支持或更多信息 27
1.8　结论 27
第2章　收集网络流量：访问、存储和管理 28
2.1　试验性NSM系统的网络示例 28
2.1.1　简单网络中的网络流 29
2.1.2　NSM的潜在位置 32
2.2　IP地址与网络地址转换 33
2.2.1　网络块 33
2.2.2　IP地址分配 34
2.2.3　地址转换 34
2.3　选择实现网络可见性的最佳位置 37
2.3.1　观察DMZ网络流量的位置 37
2.3.2　观察无线网络和内网流量的位置 37
2.4　对流量的物理访问 39
2.4.1　用交换机实现流量监控 39
2.4.2　使用网络窃听器 40
2.4.3　直接在客户端或服务器上捕获流量 40
2.5　选择NSM平台 41
2.6　10条NSM平台管理建议 42
2.7　结论 43
第二部分　SO部署
第3章　单机NSM部署与安装 46
3.1　单机或服务器加传感器 46
3.2　选择如何将SO代码安装到硬件上 49
3.3　安装单机系统 50
3.3.1　将SO安装到硬盘上 50
3.3.2　配置SO软件 53
3.3.3　选择管理接口 55
3.3.4　安装NSM软件组件 56
3.3.5　检查安装 59
3.4　结论 61
第4章　分布式部署 62
4.1　使用SO的.iso映像安装SO服务器 62
4.1.1　关于SO服务器的一些考虑 63
4.1.2　创建SO服务器 63
4.1.3　配置SO服务器 64
4.2　使用SO的.iso映像安装SO传感器 66
4.2.1　配置SO传感器 66
4.2.2　完成配置 68
4.2.3　验证传感器正在工作 68
4.2.4　验证autossh隧道正在工作 69
4.3　使用PPA创建SO服务器 69
4.3.1　安装Ubuntu服务器作为SO服务器操作系统 70
4.3.2　选择静态IP地址 71
4.3.3　更新软件 73
4.3.4　通过PPA配置SO服务器 74
4.4　使用PPA创建SO传感器 75
4.4.1　安装Ubuntu服务器作为SO传感器操作系统 75
4.4.2　将系统配置为传感器 77
4.4.3　运行设置向导 78
4.5　结论 81
第5章　SO平台的日常管理 82
5.1　及时更新SO 82
5.1.1　通过GUI更新 82
5.1.2　通过命令行更新 83
5.2　限制对SO的访问 84
5.2.1　通过SOCKS代理连接 85
5.2.2　改变防火墙策略 86
5.3　管理SO数据存储 87
5.3.1　管理传感器存储 88
5.3.2　检查数据库驱动器的使用 88
5.3.3　管理Sguil数据库 89
5.3.4　跟踪磁盘使用 89
5.4　结论 90
第三部分　工具
第6章　命令行下的数据包分析工具 92
6.1　SO工具种类 92
6.1.1　SO数据表示工具 92
6.1.2　SO数据收集工具 93
6.1.3　SO数据传送工具 93
6.2　运行Tcpdump 94
6.2.1　用Tcpdump显示、写入和读取流量 95
6.2.2　使用Tcpdump过滤器 97
6.2.3　从Tcpdump输出中提取细节 99
6.2.4　用Tcpdump研究完整内容数据 99
6.3　使用Dumpcap和Tshark 100
6.3.1　运行Tshark 101
6.3.2　运行Dumpcap 101
6.3.3　使用Tshark分析Dumpcap捕获的流量 102
6.3.4　对Tshark使用显示过滤器 103
6.3.5　Tshark显示过滤器应用示例 105
6.4　运行Argus和Ra客户端 106
6.4.1　停止及启动Argus 106
6.4.2　Argus文件格式 107
6.4.3　研究Argus数据 107
6.5　结论 110
第7章　图形化数据包分析工具 111
7.1　使用Wireshark 111
7.1.1　运行Wireshark 111
7.1.2　在Wireshark中查看数据包捕获 112
7.1.3　修改默认的Wireshark布局 112
7.1.4　Wireshark一些有益的特性 115
7.2　使用Xplico 121
7.2.1　运行Xplico 122
7.2.2　创建Xplico实例和会话 123
7.2.3　处理网络流量 123
7.2.4　检查解码的流量 124
7.2.5　获取元数据和汇总流量 126
7.3　使用NetworkMiner检查内容 127
7.3.1　运行NetworkMiner 127
7.3.2　收集和组织流量细节 128
7.3.3　描绘内容 130
7.4　结论 131
第8章　NSM控制台 132
8.1　以NSM为中心查看网络流量 132
8.2　使用Sguil 133
8.2.1　运行Sguil 134
8.2.2　Sguil的6个关键功能 135
8.3　使用Squert 144
8.4　使用Snorby 145
8.5　使用ELSA 148
8.6　结论 151
第四部分　NSM实践
第9章　NSM操作 154
9.1　企业安全周期 154
9.1.1　规划阶段 155
9.1.2　抵抗阶段 155
9.1.3　检测和响应阶段 155
9.2　收集、分析、升级和解决 156
9.2.1　收集 156
9.2.2　分析 159
9.2.3　升级 162
9.2.4　解决 164
9.3　补救 167
9.3.1　使用NSM改进安全 167
9.3.2　创建CIRT 168
9.4　结论 169
第10章　服务器端攻击 170
10.1　服务器端攻击的定义 170
10.2　服务器端攻击实战 171
10.2.1　启动Sguil 172
10.2.2　从Sguil查询会话数据 173
10.2.3　再谈警报数据 176
10.2.4　使用Tshark检查完整内容数据 178
10.2.5　理解后门 180
10.2.6　入侵者做了什么 181
10.2.7　入侵者还做了什么 184
10.3　浏览会话数据 185
10.3.1　搜索Bro DNS日志 186
10.3.2　搜索Bro SSH日志 187
10.3.3　搜索Bro FTP日志 188
10.3.4　解码遭窃的敏感数据 190
10.3.5　提取被盗的归档 191
10.4　后退一步 192
10.4.1　阶段1总结 192
10.4.2　阶段2总结 192
10.4.3　后续步骤 193
10.5　结论 193
第11章　客户端攻击 194
11.1　客户端攻击的定义 194
11.2　客户端攻击实战 195
11.2.1　获取用户的事件报告 196
11.2.2　使用ELSA开始分析 197
11.2.3　查找丢失的流量 201
11.3　分析Bro dns.log文件 202
11.4　检查目的端口 204
11.5　研究命令控制通道 206
11.5.1　初始访问 207
11.5.2　改善shell 211
11.5.3　总结阶段1 212
11.5.4　转向另一个受害者 212
11.5.5　安装隐秘隧道 213
11.5.6　枚举受害者 214
11.5.7　总结阶段2 215
11.6　结论 215
第12章　扩展SO 217
12.1　使用Bro跟踪可执行文件 217
12.1.1　用Bro计算下载的可执行文件的散列 217
12.1.2　向VirusTotal提交散列 218
12.2　使用Bro从流量中提取二进制程序 219
12.2.1　配置Bro从流量中提取二进制程序 220
12.2.2　收集流量来测试Bro 221
12.2.3　测试Bro：从HTTP流量中提取二进制程序 222
12.2.4　研究从HTTP中提取的二进制程序 224
12.2.5　测试Bro：从FTP流量中提取二进制程序 224
12.2.6　研究从FTP中提取的二进制程序 226
12.2.7　向VirusTotal提交散列和二进制程序 226
12.2.8　重启Bro 228
12.3　使用APT1情报 230
12.3.1　使用APT1模块 230
12.3.2　安装APT1模块 232
12.3.3　生成流量来测试APT1模块 232
12.3.4　测试APT1模块 233
12.4　报告恶意二进制程序的下载 235
12.4.1　使用Team Cymru的Malware Hash Registry 235
12.4.2　MHR和SO：默认有效 236
12.4.3　MHR和SO与恶意程序下载 237
12.4.4　识别二进制程序 238
12.5　结论 240
第13章　代理与校验和 241
13.1　代理 241
13.1.1　代理与可见性 242
13.1.2　处理生产网络中的代理 245
13.2　校验和 246
13.2.1　好的校验和 246
13.2.2　坏的校验和 246
13.2.3　使用Tshark识别好的和坏的校验和 247
13.2.4　坏的校验和如何产生 249
13.2.5　Bro与坏的校验和 249
13.2.6　设置Bro忽略坏的校验和 251
13.3　结论 253
第14章　总论 254
14.1　云计算 254
14.1.1　云计算的挑战 255
14.1.2　云计算的好处 256
14.2　工作流、度量与协作 257
14.2.1　工作流和度量 257
14.2.2　协作 258
14.3　结论 259
附录　SO脚本与配置 260

　　The Translator’s Words 译　者　序
　　安全是一个动态过程，充其量是过程中攻与防的暂时平衡，而不是一种持续存在的状态。在企业安全周期中，它在不停地被打破、重建，再打破、再重建，攻守双方围绕各自的目标开展针锋相对的较量。然而，“千里之堤毁于蚁穴”、“短板效应”的训诫决定了入侵者具有天生的优势。攻在暗，只需渗透一个点；防在明，需要防护一个面，任何不重视每一个细节的安全人员都可能在本已可怜的夹缝中打包走人。外有强行入侵者，内有规则破坏者，内忧外患并存，究竟是谁把木马带进了固若金汤的城堡？
　　当今社会，企业网络安全还没有引起足够的重视，从人力配备到资金投入，从话语权到政策，都得不到足够的支持，这也正是网络安全事件层出不穷的现实基础之一。从另一个层面看，策划、研发、市场直至企业的保洁人员都有可以量化评定的业绩，安全人员的工作仍无可量化的方法或度量的标准。在这样的环境中，成功阻止入侵的次数可以用来判定安全人员工作的优劣吗？网络安全的确不能为企业带来直接收益，但它或许可以成就你的竞争对手，甚至为你带来最直接、最致命的危害。从企业高层到普通职员，都应深刻认识到这一点。虽然没有哪个企业因网络安全防护做得好而蒸蒸日上，但远不乏因网络安全事件导致企业关门破产的案例。尤其在实名制大背景下的私人信息安全，更成了每个人不容忽视的问题。
　　智者驾驭工具，愚者役于工具。工具主义者认为花大价钱购置一大批盒式设备，搭积木似地堆在网络中，就可以高枕无忧了，事实上这些很可能只是提供了一种虚假的安全感。他们看不到方法在安全模型中的作用，方法是构建模型的基石，是安全策略的组成元素。只有把策略应用于设备和工具，它们才能得以新生，才能发挥出应有的作用，这也是作者一再强调的一个重要方面。就像每个人都有优缺点一样，每种工具也都有自己的专长和不足，要想真的驾驭工具，能在面对不同的任务时选择适合自己的工具，除了掌握各种工具的使用方法和增强工具效率的技巧外，还要了解它们的实现原理，比较其技术优劣。在这种基础上，才能用其所长、避其所短，发挥出它的最大效益。因此，作者也在书中详细介绍了一些主流监控工具的优缺点，以供读者在需要时做出科学的选择。
　　作者认为以检测为中心的哲学核心是防护，但终将会失败，也就是说安全破坏不可避免。但是，请各位读者改变审视入侵的方式，防御者尽管无法规避破坏，然而最终将会阻止入侵者，换句话说，志坚意决的入侵者最终会突破你的安全防护，但他们或许不能实现预期的目标。CIRT要做的是，在入侵者实现其目标之前阻止他们，从入侵者未能达成目标的角度来看，GIRT就是赢家。译者认为这种哲学核心才是本书最具启蒙性的思想。希望企业高层、安全管理人员及普通职员都能认识到这一点，从而改变对安全破坏的认识，采取有效的措施，最大程度地降低威胁，减少安全事件造成的危害程度。
　　除封面署名译者蒋蓓、姚领田、李潇、张建以外，参加本书翻译的还有朱曾志、李石、王少刚、张振顶、姚晓玉、王建国、贺丹、于伟华、郑永、高守传、姚金凤等，全书由姚领田进行技术审校。感谢本书的编辑们，是他们的热情和激励促使我顺利完成了全书的翻译。尤其要感谢张振顶先生及他的家人，他们对我的关心、指导和影响，我始终铭刻在心。
　　最后，感谢我的妻子。她是70后的尾巴尖，具有70后女子典型的美德：勤劳善良、娴淑典雅，还兼具80后女性的知性之美、独立率性。是她带给了我的女儿和我无限的幸福，以此译作献给她。
　　在翻译过程中，译者完整保留了原作者的称谓、举例和观点，但这并不代表译者支持或认可这些观点，请读者在阅读过程中注意甄别。由于水平有限，在翻译中难免出现一些问题，恳请读者批评指正。
　　姚领田
　　湖南·宁乡
　　
　　Preface 序
　　这或许是你读过的最重要的书籍之一。网络安全是既涉及国家安全又涉及经济安全的问题，每天网络空间都在进行着秘密的斗争。对我们的安全和幸福至关重要的基础设施（譬如电网）正在遭受着攻击，关乎我们经济繁荣的知识产权也正在被迅速地“吸出”（suck out）。大大小小的公司时常处在数字世界的风险之中。
　　正是矛盾的这种全民化使得本书显得如此重要。借用老生常谈的说法：如果你的组织不是解决方案的一部分，那么它就是问题的一部分。保护你的组织，阻止它被利用来攻击你的供应商、合作伙伴、客户以及世界上的其他组织。而且，通过检测攻击，你可以提醒其他人或组织，避免它们遭受同样技术或同一入侵者的攻击。
　　很少有人或组织被号召保护他们的国家免受传统恐怖主义攻击或者军事侵犯，但是在网络空间并非如此。阅读本书不会把你的团队变成专业网络安全防护组织，但是它提供了增强安全态势的知识，使你的组织或世界变得安全一点。
　　在1986年8月，一个75美分的账目错误导致了网络安全监控行业的诞生。1988年，Cliff Stoll在其论文“Stalking the Wily Hacker”以及后来的《The Cuckoo’s Egg》（杜鹃蛋）一书中记述的那样，他被要求找出该组织的两个会计系统中不一致的原因。接下来他就过上了对国际间谍多年调查的奇幻历险生活，在此期间，他曝光了攻击者和防御者使用的技术，这些技术在今天仍然有重要意义。
　　Stoll的对手攻击的其中一个站点是劳伦斯-利弗莫尔国家实验室（Lawrence Livermore National Laboratory，LLNL）。同时，像优秀的管理者经常做的那样，LLNL的一个管理者借此获得了资金资助的机会。1988年，LLNL在三种网络安全工作上获得资金支持：反病毒软件、“安全概要检测程序”（Security Profile Inspector）应用软件，以及一个基于网络的入侵检测系统，该系统被称作网络安全监控器（Network Security Monitor，NSM）。在这些领域中，LLNL没有太多的经验，于是向加利福尼亚大学戴维斯分校的Karl Levitt教授求助，在LLNL启动资金的支持下，创立了加利福尼亚大学戴维斯分校计算机安全实验室（UC Davis Computer Security Laboratory）。据我所知，LLNL管理者创造了网络安全监控器一词，但是让戴维斯分校来实现具体的思想。
　　我在网络安全监控领域的最初工作记录于在1990年的题为“网络安全监控器”的论文中，类似于入侵检测中偏学术性的工作，这种入侵检测依赖基于统计分析的异常检测。但是随着时间的流逝，在拥有了操作经验以后，NSM开始看起来越来越像Cliff Stoll从事的活动了。1988年，Stoll写道：“我们知道研究人员正在开发监视异常活动的专家系统，但是我们发现自己的方法比较简单、廉价而且或许更加可靠”。
　　Stoll将打印机附加到输入线路（line）上，这样他可以打印用户的活动，同时还能观察攻击者实际正在做的事情，我开发的“transcript”程序是从网络包中产生基本相同的输出。NSM对于验证可疑的活动实际上是否是一次入侵以及弄清攻击者的本性来说是完全必要的。
　　Stoll及其同事Lloyd Belknap构建了一款逻辑分析程序，在串行线上运行它就能够寻找登录的特定用户，我向我们的网络监控器增加了字符串匹配代码以便查找关键字（登录默认账户的尝试、登录失败的消息、访问密码文件等）。
　　Stoll还增加了自动的响应机制，当攻击者登录时，这种机制会提醒他，当攻击者过于接近敏感信息时会中断连接，并交叉关联来自其他站点的日志。多年之后，入侵检测系统中所有的特征都会变得类似。
　　到1991年，NSM系统在实际检测和分析网络攻击方面的价值得到证明。我在加利福尼亚大学戴维斯分校定期使用它，LLNL偶尔使用它（隐私方面是一个问题），很快美国空军和国防信息系统局（Defense Information Systems Agency，DISA）也在使用它。
　　然而，在某些方面，运行NSM系统变得有点令人沮丧。我能知道网络上有多少攻击者，却几乎没有人意识到正在发生的情况。实际的例子是，DISA被召唤到一个地方，因为某种可疑的活动来自他们那里的拨号交换机。无独有偶，该组织正在预订一套具有较高性能的系统，因为当前的平台能力已经饱和。当DISA将其NSM传感器挂钩上之后，竟发现大约80%的连接都是来自攻击者，他们设备能力饱和的原因不是来自合法用户而是攻击者。
　　到1992年，NSM系统（或许其他基于网络的监控器）的使用引起司法部的注意，但并非是以一种好的方式关注。然后，首席检察官助理Robert S.Mueller III（我为本书作序时他担任FBI主管）向国家标准与技术研究院（National Institute of Standards and Technology，NIST）的James Burrows发送了一封信件，说我们在做的网络监控可能涉嫌非法窃听，因为使用类似NSM系统的工具，我们将面临欺诈和罪犯的指控。Mueller鼓励NIST广泛地传播这封信件。
　　尽管引起了法律的关注，这个领域的工作仍以极快的速度持续进行。到1993年夏季，LLNL向我发送一封邮件，告诉我停止分发NSM软件（他们想控制软件的分发），在此之后，我便开始缩减自己关于NSM的开发工作。LLNL将其NSM软件拷贝重新命名为“网络入侵检测程序”（Network Intruder Detector，NID），空军将其拷贝重新命名为自动化安全事件测量（Automated Security Incident Measurement，ASIM）系统，DISA将其系统重新命名为联合入侵检测系统（Joint Intrusion Detection System，JIDS）。到20世纪90年代晚期，空军已将ASIM推广到全球的约100个站点，并将其摘要整合到他们的通用入侵检测指示器（Common Intrusion Detection Director，CIDD）中。
　　同时，商业产品也涌现出来。到20世纪90年代晚期，Haystack实验室（使用了由我们共同的DIDS工作开发的NSM软件）发布了名为Net Stalker的基于网络的IDS，WheelGroup（由使用ASIM的空军人员组成）发布了NetRanger，ISS发布了RealSecure，其他公司也竞相涌入了这个市场。
　　到20世纪90年代晚期，开源社区也以像Snort这样的系统涉足进来。到21世纪初期，一些小组开始建立企业“安全运行中心”（Security Operations Center，SOC），这些中心在很大程度上基于开源组件创建。当Richard Bejtlich（另一位空军校友）为Ball Aerospace & Technologies公司建立了名为NETLUMIN的系统时，我结识了他。虽然很少有人听说过NETLUMIN，但它的很多设计和概念留存了下来，而且在本书中会有所体现。
　　人们往往过于关注技术和产品，但是构建一种有效的事件响应能力涉及的内容远比安装工具需要的技术要多得多。关于如何最佳地使用这些工具，在过去20年的基础上已经积累了大量的知识。未能正确部署的技术可能迅速地变为运行这些技术的人的负担，甚至提供给人们虚假的安全感。例如，在12年以前，我正致力于DARPA项目，我们组成的团队正在进行一项任务，即将大量的网络安全工具汇集到一起。防御者已经安装了3种基于网络的IDS来监视他们的边界，但是攻击者使用从承包商那里窃取的凭证通过合法的SSH连接侵入。在攻击期间，没有IDS报警。这种情况最初令防御者出乎意料而且非常失望，但是它可以得当地指出基于网络的IDS边界监视检测技术和部署策略在防御上述攻击时存在的基本限制（我不确定程序管理者像我一样发现了如此精彩的具有教育意义的时刻）。
　　20世纪90年代早期，当空军致力于分布式入侵检测系统（Distributed Intrusion Detection System，DIDS）时，我们的程序管理者将系统的预期用户描述成“军士的甜甜圈袋子”（Sergeant Bag-of-Donuts），预期若将“魔法箱子”（magic box）部署在网络上或者将一套软件部署在终端系统上，则组织的所有安全问题都将不复存在。安全公司的销售部门乐此不疲地推销“魔法箱子”，而且管理部门和投资者也常常买进。
　　产品和技术不是解决方案，它们只是工具而已，防御者（和组织的管理部门）需要明白这一点，没有闪亮的银弹可以解决所有网络安全问题。攻击也有生命周期，这些生命周期的不同阶段以不同的数据源形式留下不同的证据，使用不同的分析技术可以最佳地揭示和理解这些数据源。
　　组建一个明白这一点且知道如何有效地安置团队资产（包括工具、人员和时间），知道如何往返穿梭于不同的数据源和工具之间的团队（即使是一个人的团队），这对于创建有效的事件响应能力至关重要。
　　Richard Bejtlich凭借自己的卓越能力而为人所知——从1998～2001年在AFCERT工作，到设计和部署系统，再到在GE组建一个大型的事件响应团队，最后到以首席安全官职位在世界上实力最强的信息安全公司之一工作。他丰富的经验使他对于事件响应问题有一种相对独特的历史观。虽然本书没有自称为“经验教训的”书，但是它清晰地提炼出作者大量的经验，他的这些经验都可以应用在实际工作中。
　　正如狡猾的黑客Cliff Stoll展示的那样，国际网络间谍已经出现了近30年，但是在最近5～10年，发生了一些根本性的转换。在过去，黑客行为主要被视为一种业余爱好，在很大程度上，黑客由于工作、结婚和建立家庭而放弃这种爱好。但是如今，个别黑客行为已成为一种职业途径，这也是我们写这本书的原因。
　　几乎未来的所有冲突——无论经济、宗教、政治还是军事，都将会包括网络元素。我们拥有的防御者越多，我们对他们的调遣越有效，我们大家就生活得越舒适。本书将有助于实现这种美好的愿望。
　　Todd Heberlein
　　网络安全监控器系统开发人员
　　写于加利福尼亚大学戴维斯分校
　　2013年6月