第1章 心理上的安全陷阱&Peiter"Mudge"Zatko 1
1.1 习得性无助和无从选择 2
1.1.1 实例:Microsoft是如何允许LOphtCrack的 3
1.1.2 密码和身份认证可以从一开始就做得更好 6
1.1.3 客户的习得性无助——无从选择 8
1.2 确认陷阱 9
1.2.1 概念简介 10
1.2.2 分析师确认陷阱 11
1.2.3 陈腐的威胁模型 11
1.2.4 正确理解功能 12
1.3 功能锁定 13
1.3.1 安全位置的潜在风险 14
1.3.2 降低成本与未来收益:ISP实例 15
1.3.3 降低成本与未来收益:能源实例 16
1.4 小结 19
第2章 无线网络:社会工程的沃土&Jim Stickley 21
2.1 轻松赚钱 22
2.1.1 设置攻击 23
2.1.2 隐私的聚宝盆 24
2.1.3 Web安全的基本缺陷:不要相信可信系统 25
2.1.4 建立无线信任 25
2.1.5 采用可靠的解决方案 26
2.2 无线也疯狂 27
2.2.1 无线侧信道 28
2.2.2 无线接入点自身如何 30
2.3 无线仍然是未来 30
第3章 美丽的安全度量指标&Elizabeth A.Nichols 31
3.1 安全度量指标的类比:健康 32
3.1.1 不合理的期待 33
3.1.2 数据透明性 33
3.1.3 合理的度量指标 34
3.2 安全度量指标的实例 36
3.2.1 巴林银行:内部侵害 36
3.2.2 TJX:外部侵害 46
3.2.3 其他公共数据来源 56
3.3 小结 57
第4章 安全漏洞的地下经济&Chenxi Wang 59
4.1 地下网络的组成和基础设施 60
4.1.1 地下通信基础设施 61
4.1.2 攻击基础设施 61
4.2 回报 62
4.2.1 数据交换 62
4.2.2 信息来源 63
4.2.3 攻击向量 64
4.2.4 洗钱游戏 66
4.3 如何对抗日益增长的地下网络经济 66
4.3.1 降低数据的价值 67
4.3.2 信息的权限分离 67
4.3.3 构建动力/回报结构 67
4.3.4 为数据责任建立评估和声誉体系 67
4.4 小结 68
第5章 美丽的交易:重新思考电子商务的安全&Ed Bellis 69
5.1 解构商业 70
分析安全环境 71
5.2 微弱的改良尝试 71
5.2.1 3D安全 72
5.2.2 安全电子交易 74
5.2.3 单用途和多用途虚拟卡 75
5.2.4 破灭的动机 75
5.3 重塑电子商务:新的安全模型 78
5.3.1 需求1:消费者必须通过认证 78
5.3.2 需求2:商家必须通过认证 79
5.3.3 需求3:交易必须经过授权 79
5.3.4 需求4:认证数据不应被认证方和被认证方之外的其他各方所共享 79
5.3.5 需求5:过程不能完全依赖共享秘密 80
5.3.6 需求6:认证应该是可移植的(不受硬件或协议所限) 80
5.3.7 需求7:数据和交易的机密性和完整性必须得到维护 80
5.4 新模型 80
第6章 捍卫在线广告:新狂野西部的盗匪和警察&Benjamin Edelman 83
6.1 对用户的攻击 83
6.1.1 充满漏洞的横幅广告 83
6.1.2 恶意链接广告 86
6.1.3 欺骗式广告 88
6.2 广告客户也是受害者 91
6.2.1 虚假的印象 92
6.2.2 避开容易受骗的CPM广告 93
6.2.3 广告客户为何不奋起反击 97
6.2.4 其他采购环境的教训:在线采购的特殊挑战 98
6.3 创建在线广告的责任制 98
第7章 PGP信任网络的演变&Phil Zimmermann和Jon Callas 99
7.1 PGP和OpenPGP 99
7.2 信任、验证和授权 100
7.2.1 直接信任 101
7.2.2 层次式信任 101
7.2.3 累积式信任 102
7.2.4 基本的PGP信任网络 104
7.2.5 最早的信任网络的毛边 106
7.3 PGP和加密的历史 108
7.3.1 早期的PGP 108
7.3.2 专利和输出问题 109
7.3.3 密码战争 110
7.3.4 从PGP 3到OpenPGP 111
7.4 对最初信任网络的改进 111
7.4.1 撤销 111
7.4.2 伸缩性问题 114
7.4.3 签名的膨胀和困扰 115
7.4.4 证书内偏好 117
7.4.5 PGP全球目录 118
7.4.6 可变信任评分 119
7.5 未来研究的有趣领域 119
7.5.1 超级合法 119
7.5.2 社交网络和流量分析 119
7.6 参考资料 120
第8章 开源Honeyclient:先发制人的客户端漏洞检测&Kathy Wang 123
8.1 进入Honeyclient 124
8.2 世界上第一个开源Honeyclient简介 125
8.3 第二代Honeyclient 127
8.4 Honeyclient的操作结果 130
8.4.1 Windows XP的透明活动 130
8.4.2 Honeyclient数据的存储和关联 131
8.5 漏洞攻击的分析 132
8.6 当前Honeyclient实现的限制 134
8.7 相关的工作 135
8.8 Honeyclient的未来 137
第9章 未来的安全齿轮和杠杆&Mark Curphey 139
9.1 云计算和Web服务:这里是单机 141
9.1.1 创建者和破坏者 142
9.1.2 云计算和Web服务是拯救方案 144
9.1.3 新曙光 145
9.2 结合人、流程和技术:业务流程管理的潜力 146
9.2.1 发散型世界的发散型安全 146
9.2.2 BPM作为多站点安全的指导方针 147
9.3 社交网络:当人们开始通信时,大变革发生了 149
9.3.1 社交网络的艺术状态和潜力 150
9.3.2 安全行业的社交网络 151
9.3.3 数字中的安全 152
9.4 信息安全经济:超级数据解析和网络新规则 153
9.5 长尾变型的平台:未来为什么会截然不同 156
9.5.1 生产工具的大众化 156
9.5.2 发行渠道的大众化 157
9.5.3 连接供应和需求 158
9.6 小结 158
9.7 致谢 159
第10章 安全设计&John McManus 161
10.1 无意义的指标 162
10.2 市场还是质量 164
10.3 符合准则的系统开发周期的作用 168
10.4 结论:安全之美是系统之美的象征 170
第11章 促使公司思考:未来的软件安全吗&Jim Routh 173
11.1 隐式的需求也可能非常强大 173
11.2 公司为什么需要安全的软件 175
11.2.1 如何制订安全计划 176
11.2.2 修正问题 178
11.2.3 把安全计划扩展到外包 179
11.3 对现有的软件进行安全化 180
11.4 分析:如何使世界上的软件更安全 182
11.4.1 最好的软件开发人员创建了具有漏洞的代码 182
11.4.2 Microsoft领先一步 183
11.4.3 软件开发商给了我们想要的,却不是我们需要的 184
第12章 信息安全律师来了&Randy V.Sabett 187
12.1 文化 188
12.2 平衡 190
12.2.1 数字签名指南 190
12.2.2 加利福尼亚数据隐私法 191
12.2.3 安全的投资回报率 192
12.3 通信 194
12.3.1 技术狂为何需要律师 194
12.3.2 来自顶层的推动力,通过合作实现 197
12.3.3 数据泄露小虎队 197
12.4 正确做事 198
第13章 美丽的日志处理&Anton Chuvakin 199
13.1 安全法律和标准中的日志 199
13.2 聚焦日志 200
13.3 什么时候日志是极为珍贵的 201
13.4 日志所面临的困难 202
13.5 案例研究:瘫痪服务器的背后 204
13.5.1 事故的架构和环境 204
13.5.2 被观察的事件 204
13.5.3 调查开始 204
13.5.4 使数据起死回生 206
13.5.5 小结 207
13.6 未来的日志 207
13.6.1 来源的扩大化 207
13.6.2 未来的日志分析和管理工具 208
13.7 结论 209
第14章 事件检测:寻找剩余的68%&Grant Geyer和Brian Dunphy 211
14.1 一个常见起点 212
14.2 改进与上下文相关的检测 213
14.2.1 用流量分析提高覆盖率 214
14.2.2 对监测列表进行综合分析 216
14.3 使用主机日志增强洞察力 217
创建富有弹性的检测模型 218
14.4 小结 222
第15章 无需真实数据就能出色完成工作&Peter Wayner 225
15.1 数据半透明化的工作原理 226
15.2 一个现实的例子 228
15.3 为便利而存储的个人数据 230
15.4 如何权衡 230
15.5 进一步深入 231
15.6 参考资料 232
第16章 铸造新词:PC安全剧场&Michael Wood和Fernando Francisco 233
16.1 攻击不断增加,防御不断倒退 234
16.1.1 在Internet的传送带上 234
16.1.2 不正当行为的回报 235
16.1.3 暴徒的响应 236
16.2 揭穿假象 237
16.2.1 严格审查:传统的和更新的反病毒扫描 237
16.2.2 沙盒和虚拟化:新的银弹 240
16.3 桌面安全的更佳实践 242
16.4 小结 243
附录 作者简介 245