準備好迎接網路安全月吧!
線上詐騙和惡意軟體在 2025 年無處不在 — 你打算如何保護自己?
透過 Humble 技術書籍套組:O'Reilly 的網路安全月中的技術與工具,預防安全漏洞的發生。
這個精心挑選的圖書庫中包括《智慧型持續安全防護》(Intelligent Continuous Security)和《攻擊面管理》(Attack Surface Management)等熱門書籍。
學習軟體供應鏈安全與 DevSecOps 的技巧,建立一個原創的網路風險管理計畫等等。
以你願意支付的價格來獲取重要的數位防禦技能,並透過你的購買支援 Code for America。
支付 1.05 ~ 26.25 美元,獲得 2 ~ 24 項資源
(總價值 1,346 美元)
支付至少 1.05 美元。通常情況下,這個套組中的電子書總價高達 1,346 美元。 而在 Humble Bundle,你可以自由決定支付金額,並能透過增加付費金額來升級你的套組內容! 這個套組的最低購買金額為 1.05 美元。
隨時隨地閱讀。這個套組中的電子書提供 PDF 和 ePub 格式,因此可以在你的電腦、電子閱讀器、iPad、手機以及各種行動裝置中使用! 這裡 有操作說明和推薦閱讀程式的清單。
支援慈善事業。你可以分配付費錢款的用途 —— 在出版商和支援 Code for America 之間進行分配。如果你願意,也可以給 Humble 一筆小費作為支持!
Code for America
Code for America 是一家全國性非營利組織,堅信在 21 世紀,政府能夠為人民服務,並由人民治理。 組建了一個技術開發網絡,致力於推動地方政府實現創造健康、繁榮和安全社區的優先事項。 目標是:為每個人提供簡單、有效率、易用的政府服務。
智慧型持續安全
Author: Marc Hornbeek
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
隨著 AI 落入網絡犯罪者手中,傳統的安全控制和回應機制正迅速邁向淘汰。 智慧型持續安全(Intelligent Continuous Security, ICS)幫助組織與對手並駕齊驅,以統一整個軟體生命週期安全的綜合策略取代過時的防禦。
作者 Marc Hornbeek 詳述了 ICS 的原則、策略及實際的應用實例,包括如何打破 DevSecOps 與 SecOps 之間的隔閡、如何衡量並最佳化安全效能,以及 AI 如何變革從安全操作到法規遵從的一切。 安全專業人士、DevOps 工程師、IT 領導者以及決策者將學習如何邁向具備適應性與自我修復能力的防禦,從而跟上新興風險。
- 使安全策略與組織目標保持一致
- 在團隊內部實施 AI 協助的持續安全
- 選擇並整合 AI 支援的工具以進行弱點檢測、自動化合規檢查和即時事件回應
- 從被動安全轉向主動安全,持續適應不斷出現的威脅
- 應用最佳實踐以降低風險並避免漏洞
攻擊面管理
Author: Ron Eddings and MJ Kaufmann
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
隨著攻擊面不斷擴大以及網路威脅持續演化,組織的脆弱性與日俱增。 應對這些威脅至關重要,使攻擊面管理(ASM)成為全球安全領導者必要的工作。 本實用書籍提供一個全面的指南,幫助你掌握 ASM。資安工程師、系統管理員以及網路管理員將能探索從網路與雲端系統到人為因素在內的重要組成部分。
作者 Ron Eddings 和 MJ Kaufmann 利用機器學習和 AI 技術為新手和專家提供了可實作的解決方案。 ASM 幫助你定期評估數位資源,全面洞察漏洞及潛在威脅。 此過程涵蓋了所有資安層面,從日常營運與威脅搜尋到漏洞管理與治理。
你將學習到:
- 基本的 ASM 概念,包括其在網路安全中的角色
- 如何評估並繪製你的組織攻擊面,包括數位資源與漏洞
- 識別、分類與優先處理關鍵資源的策略
- 不同攻擊面類型,包括每種類型獨特的安全挑戰
- 如何將技術漏洞與業務風險對齊
- 持續監控與管理的原則,維持穩健的安全態勢
- 自動化資源發現、追蹤與分類的技術
- 解決漏洞的補救策略,包括修補、監控、隔離與封鎖
- 如何將 ASM 與事件回應整合並持續改進資安策略
ASM 不僅僅是一種策略,更是一個對抗日益增長的網路威脅的防禦機制。 這本指南將幫助你鞏固你的數位防禦。
防禦性安全手冊,第 2 版
2nd Edition
Author: William F. Reyor III, Lee Brotherston, Amanda Berlin
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
儘管高調的駭客攻擊、創紀錄的資料洩漏以及勒索軟體攻擊不斷增加,許多組織卻沒有足夠的預算來建立資訊安全 (InfoSec) 專案。 如果你被迫在工作中即興應對來保護自己,那麼這本實用指南將提供一本安全 101 手冊,透過步驟、工具、流程,和想法幫助你以極低甚至零成本來達成最大的安全改進。
本書每一章都提供處理各種問題的逐步指引,包括資料外洩及災難、法規遵循、網路基礎架構、密碼管理、漏洞掃描、滲透測試等等。 網路工程師、系統管理員,以及安全專業人士將學習如何使用框架、工具和技術來建立與改進自己的網路安全專案。
本書將幫助你:
- 規劃與設計事件回應、災難復原、法規遵循以及實體安全
- 透過紫隊合作學習並應用基本的滲透測試概念
- 使用自動化流程與工具進行漏洞管理
- 使用 IDS、IPS、SOC、日誌記錄與監控
- 加強 Microsoft 與 Unix 系統、網路基礎架構及密碼管理
- 透過分段的實踐與設計來區隔網路
- 透過安全開發程式碼來減少可被利用的錯誤
深入網路戰,第三版
3rd Edition
Author: Jeffrey Caruso
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
深入了解全球範圍內,國家與非國家行為者如何利用網路攻擊來取得軍事、政治與經濟優勢的現象,這些現象既令人震驚又令人不安。 在這本書的第三版中,網路戰研究員 Jeffrey Caruso 探討了烏克蘭與中東戰場上出現的最新網路間諜與戰爭發展,包括導致目標實體物理毀滅的網路攻擊,以及認知戰與機動戰的結合。
深入網路戰包含一個獨家深入解析,聚焦烏克蘭國防部進行攻擊性網路作戰的單位如何在自 2022 年俄羅斯入侵以來,致力於保衛國家的戰時行動:
- 了解當烏克蘭的網路作戰團隊與特種作戰團隊聯手摧毀一個秘密飛彈實驗室時所發生的情況
- 探討網路戰與平民駭客的法律地位
- 了解一個資金不足、資源有限的網路團隊是如何學會透過操控自動化系統的程式碼來『創造火焰』
- 區分有關人工智慧安全與生存風險的現實與迷思
- 學習在日益複雜且不安全的世界中保護自己與摯愛的新策略
大型語言模型安全的開發者手冊
Author: Steve Wilson
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
大型語言模型(LLMs)不僅正在改變 AI 的發展路徑,還揭示了安全挑戰的新時代。 本實用手冊將直接帶你深入這些威脅的核心。 作者 Steve Wilson,Exabeam 的首席產品官,專注於 LLM 而非一般化的 AI 安全,深究這些模型內在的獨特特性與漏洞。
這本指南集結了超過 400 位業界專家的經驗,從建立 OWASP 大型語言模型十大風險清單的過程中汲取集體智慧,提供實際的指導與實用策略,幫助開發者與安全團隊應對 LLM 應用實際存在的挑戰。 不論你是架構全新的應用程式,還是在既有系統中加入 AI 功能,這本書都是你掌握 AI 下一個前沿安全風險的最佳資源。
你將學到:
- 為什麼 LLM 具有獨特的安全挑戰
- 如何應對使用 LLM 技術時相關的多種風險狀況
- 與 LLM 相關的威脅情境以及必須維持的關鍵信任邊界
- 如何識別與 LLM 相關的主要風險與漏洞
- 部署防禦方法來保護系統免於受到高危漏洞攻擊
- 如何在系統中有效管理關鍵信任邊界,以確保安全執行並將風險降至最低
學習 Kali Linux,第 2 版
2nd Edition
Author: Ric Messier
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
Kali Linux 發行版預先安裝了數百種工具,讓安全專業人員可以更快速地開始進行安全測試。 不過,Kali Linux 擁有超過 600 種工具,也可能讓人感到難以應付。 本實用書籍的新版本涵蓋了這些工具的最新更新,包括對數位鑑識和逆向工程的擴充介紹。
作者 Ric Messier 不只侷限於安全測試,還新增了執行鑑識分析的內容,包括磁碟和記憶體鑑識以及一些基本的惡意程式分析。
- 探索 Kali Linux 上提供的廣泛工具
- 了解安全測試的價值,並檢視可用的測試類型
- 學習從攻擊全生命週期中進行滲透測試的基本知識
- 在多個系統上安裝 Kali Linux,包括實體系統和虛擬機器
- 學會如何使用各種專注於安全的工具
- 結構化一個基於 Kali Linux 工具的安全測試
- 擴充 Kali 工具以創造進階的攻擊技術
- 在測試完成後,使用 Kali Linux 生成報告
混合雲的安全架構
Author: Mark Buckwell, Stefaan Van daele, Carsten Horst
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
隨著混合多雲的轉型加速發展,企業需要一種有結構化的方式來保護其工作負載。 採用零信任原則需要一套系統化的實踐方法來提供安全解決方案。 特別是受監管的企業,更加需要在架構過程中保持嚴謹,以確保安全控制的有效性並持續提供保護。
本書提供了第一種針對混合多雲安全的全面方法,將經過驗證的架構技巧整合為一套完整的端對端安全方法,涵蓋合規性、威脅建模以及零信任實踐。此方法確保安全解決方案架構的開發過程具有可重複性與一致性。
架構師將學會如何透過多種技術、工作成果,以及一個展示案例研究來有效地識別威脅並實施對策,以加強所學內容。你將學到:
- 開發整合安全的解決方案架構,以清晰傳遞溝通的重要性
- 安全架構師所執行的角色,以及相關技術如何與非安全領域的專家協作
- 安全解決方案架構如何與設計思維、企業安全架構以及工程相結合
- 架構師如何透過一致的端對端實踐方式,將安全整合至應用程式與基礎架構的解決方案架構中
- 如何將架構化思考應用於新安全解決方案的開發過程
關於作者
Mark Buckwell 是 IBM 的雲安全架構師,擁有 30 年的資訊安全經驗。
Carsten Horst 是具有超過 20 年網路安全經驗的認證安全架構師,並擔任 IBM 的副合夥人。
Stefaan Van daele 擁有 25 年網路安全經驗,是 IBM 的 3 級認證安全架構師。
政策即程式
Author: Jimmy Ray
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
在今天以雲端原生為中心的世界裡,我們致力於將一切自動化,一切都以程式碼為基礎。 通過這本實用指南,你將學習到「政策即程式」(Policy as Code, PaC)如何提供管理政策、相關資料以及對我們維護系統中發生的事件的回應手段 — 像是 Kubernetes、雲端安全性、軟體供應鏈安全性、基礎設施即程式碼(Infrastructure as Code, IaC)、及微服務授權等。
作者 Jimmy Ray 提供了一個實用的方法論,教你如何將 PaC 解決方案整合到你的系統中,並包含大量的實務例子與重要的操作建議。 DevOps、DevSecOps 工程師,Kubernetes 開發者,與雲端工程師將能懂得如何選擇並實施最適合的解決方案。
- 了解 PaC 的理論、最佳實踐,以及在安全領域的使用案例
- 學習如何選擇並使用正確的 PaC 解決方案來滿足你的需求
- 探索用於編寫與管理 PaC 政策的工具選項與部署方式
- 將 PaC 應用於 DevOps、IaC、Kubernetes 和 AuthN/AuthZ
- 檢視如何運用 PaC 實施安全控管
- 驗證你的 PaC 解決方案是否提供了預期的成效
- 建立可審核的工件,以滿足內部和外部的法規要求
實作差分隱私
Author: Ethan Cowan, Michael Shoemate, et al.
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
現今,許多組織會分析並分享有關個人的大型敏感資料集。 無論這些資料集中包含的內容是健康醫療細節、財務紀錄,還是考試成績,透過去識別化、匿名化以及其它傳統統計資訊揭露限制技術,來保護個人資訊已變得越來越困難。 本書以實務角度解釋了差分隱私(DP)如何幫助應對這些挑戰。
作者 Ethan Cowan、Michael Shoemate,以及 Mayana Pereira 解釋了這些技術如何讓資料科學家、研究者和程式設計師能夠進行統計分析,同時隱藏任何單一個體的貢獻。 你將深入了解基本的差分隱私概念,以及如何使用開源工具來建立差分隱私的統計數據,探索如何評估效用與隱私之間的取捨,並學會如何將差分隱私整合到工作流程中。
通過本書,你將學到:
- 當其它資料匿名化方法無法奏效時,差分隱私如何保障隱私
- 在資料集中保護個人隱私的具體內容
- 如何在多個實際場景和資料集中應用差分隱私
- 潛在的隱私攻擊方法,包括如何進行去識別化攻擊的含義
- 如何在隱私保護的資料釋放中使用 OpenDP 函式庫
- 如何解讀特定差分隱私資料釋放所提供的隱私保障
每位應用程式安全專業人士都應該知道的 97 件事
Author: Reet Kaur, Yabing Wang
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
隨著科技不斷進步以及更多業務轉向線上,潛在的攻擊面以指數級增長,對於強應用程式安全措施的需求也變得更加重要。 這對於任何處理敏感個人或財務資訊的組織來說尤為如此,因為這些通常受到政府法規的約束。 在應用程式層級的攻擊成功可能會對組織帶來毀滅性的影響,從收入損失、聲譽受損,到可能的罰款及其它處罰。
這本書還將帶你了解:
- 什麼是應用程式安全,以及安全專業人士應該知道哪些知識
- 開發者或軟體工程師應了解的常見應用程式漏洞
- 如何設計、開發及測試應用程式,使其能夠抵禦利用漏洞的攻擊
- 提供讀者新穎的觀點、多樣化的見解,以及許多實用的方法來解決與應用程式開發相關的網路安全問題
這些建議可以應用於網頁、行動裝置、API 或其它類型的軟體開發,可使用不同的開發語言、在瀑布式與敏捷軟體開發生命週期(SDLC)中,甚至在雲端上實行。
學習 DevSecOps
Author: Steve Suehring
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
一些組織是如何維持 24-7 網路規模的營運? 組織如何能在持續部署新功能的同時整合安全性? 組織又是如何在 DevOps 流程中提升安全性的?
這本實用指南將幫助你回答這些問題以及更多。 作者 Steve Suehring 提供了獨特的內容,幫助實務工作者和領導階層成功實現 DevOps 和 DevSecOps。 《學習 DevSecOps》強調通過最佳實踐引導成功的必要條件,然後帶你了解一些成功實施 DevSecOps 的組織所使用的工具和軟體。
你將學習到如何透過 DevOps 和 DevSecOps 移除開發、營運和安全之間的障礙,使你能夠在開發生命週期的早期階段處理其它團隊的需求。
透過這本書,你將能夠:
- 學習 DevSecOps 是一種文化和流程,並了解工具如何支援這些流程
- 理解 DevSecOps 的實踐為什麼是 24-7 環境中部署軟體的關鍵元素
- 使用 DevSecOps 工具鏈部署軟體,並編寫程式加以協助
- 將其它團隊的流程更早整合到軟體開發生命週期中
- 幫助團隊成員學習對成功的軟體開發至關重要的流程
使用 MITRE ATT&CK 進行對手模擬
Author: Drinor Selmanaj
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
透過結合網路威脅情報,對手模擬提供了一種模仿的進階持續性威脅(APT)戰術、技術與程序(TTPs)的網路安全評估形式。 本完整指南介紹了一種經驗為基礎的實證方法,包含來自於網路安全領域超過十年的經驗中收集的策略與流程。 你將學會如何評估針對具協同作戰能力與隱密威脅行為者的韌性,這些行為者有能力損害組織。
作者 Drinor Selmanaj 為進行攻擊的營運者與防禦者展示了使用實例與練習來模擬對手行為。 每個模擬計畫包含不同的實務場景,例如「打完就跑式」或「慢速且有策略性」。 此書以 MITRE ATT&CK 知識庫為基礎,描述並分類了根據真實案例觀察到的 TTPs,並提供了一個標準化且所有人皆可理解的共同語言。
你將學會如何:
- 將網路威脅情報對應到 ATT&CK
- 定義對手模擬的目標與宗旨
- 使用 ATT&CK 知識庫研究對手模擬的 TTPs
- 規劃對手模擬活動
- 實施對手的技藝
- 執行對手模擬
- 傳達對手模擬的結果
- 自動化對手模擬以支援可重複的測試
- 執行 FIN6、APT3 與 APT29 的模擬計畫
網頁應用程式安全,第 2 版
2nd Edition
Author: Andrew Hoffman
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
在這本廣受好評的書籍第一版中,Andrew Hoffman 定義了應用程式安全的三個支柱:偵察、攻擊和防禦。 在這本修訂與更新的第二版中,他檢視了數十個相關主題,從最新類型的攻擊與緩解措施,到威脅建模、安全軟體開發生命週期(SSDL/SDLC)等內容。
Hoffman 是 Ripple 的資深安全工程師,他還提供了關於多種額外的網頁應用程式技術的利用方式與緩解措施的資訊,比如 GraphQL、基於雲端的部署、內容傳遞網路(CDN)以及伺服器端渲染(SSR)。 延續第一版的課綱,這本第二版分為三個獨立支柱,覆蓋三種類別的技能組:
- 支柱 1:偵察 — 學習如何遠端對網頁應用程式進行映射與文件化的技術,包括如何處理網頁應用程式的流程。
- 支柱 2:攻擊 — 探索多種世界頂尖駭客證明有效的漏洞利用方法,用於攻擊網頁應用程式。當這些技能與支柱 3 的技能搭配使用時,將會更具價值。
- 支柱 3:防禦 — 基於前兩個部分習得的技能,構建出對支柱 2 中描述的每個攻擊都有效且長效的緩解措施。
零信任網路,第二版
2nd Edition
Author: Razi Rais , Christina Morillo
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
本實用書籍詳盡解釋了零信任安全模型。 零信任是一種安全範式轉移,消除了傳統以邊界為基礎的安全概念,並要求你「始終假設已遭入侵」以及「永不信任,但始終驗證」。 更新的版本提供了更多場景、實際的範例,以及關鍵概念的深入解說,以幫助你完全理解零信任安全架構。
- 檢視零信任安全模型的基本概念,包括信任引擎、策略引擎以及情境感知代理
- 瞭解此模型如何將安全融入系統的運作中,每章結尾附有指導性的場景練習
- 從以邊界為基礎的網路遷移到生產環境的零信任網路
- 探索案例研究,深入瞭解組織採用零信任的過程
- 學習 NIST、CISA、DoD 及其它機構所開發的各種零信任架構、標準與框架
軟體供應鏈安全
Author: Cassie Crossley
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
數兆行程式碼幫助我們於日常生活、公司與組織中運作。 但只要出現一個軟體網絡安全漏洞,就可能讓整家企業無法營運,並導致數十億美元的營收損失與業務復原花費。 確保軟體的建立與部署安全,也就是所謂的軟體供應鏈安全,遠遠超出一般軟體開發流程的範疇。
這本實用指南讓你全面了解安全風險,並辨識需要納入你端對端軟體供應鏈的實用控管措施。 作者 Cassie Crossley 展示了為什麼以及如何確保供應鏈中涉及的每個人都必須參與,才能讓你的組織提升軟體、韌體及硬體的安全狀態。
透過這本書,你將學會如何:
- 精準辨識你組織軟體供應鏈中每個環節的網絡安全風險
- 識別參與供應鏈的角色,包括 IT、開發、營運、製造以及採購
- 使用現有的框架與參考資料,為供應鏈的每個環節設計行動方案與控管措施
- 實施安全開發生命週期、原始碼安全、軟體建置管理以及軟體透明性的工作
- 評估供應鏈中的第三方風險
建立網路風險管理計劃
Author: Brian Allen, Brandon Bapst, Terry Allan Hicks
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
網路風險管理是當今企業面臨的最緊迫問題之一。 本書提供了一個詳細的框架,用於設計、開發和實施符合你公司特定需求的網路風險管理計劃。 這本指南非常適合公司董事、高階主管、安全風險從業者以及不同層級的稽核人員,提供你正在尋求的策略性洞察與戰術性指導。
你將學習如何定義並建立一個可持續性、有防禦力的網路風險管理計劃,以及正確實施所帶來的好處。 網路風險管理專家 Brian Allen 和 Brandon Bapst 與作家 Terry Allan Hicks 合作,還提供了超越風險管理的建議。 你將學會如何處理公司依據國際標準、司法判例、法規與董事會指導意見所規範的監管義務。
本書將幫助你:
- 理解數位化帶來的變革性改變,以及隨之而來的新網路風險
- 學習網路風險管理作為企業關鍵任務的主要法律和法規驅動因素
- 全面理解構成正式網路風險管理計劃的四個組成部分
- 在你的企業內實施或為網路風險管理計劃提供指導
實用雲端安全,第 2 版
2nd Edition
Author: Chris Dotson
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
在快速變化的架構和以 API 為驅動的自動化環境中,雲端平台帶來了獨特的安全挑戰與機會。 在這個更新的第 2 版中,你將探討多供應商雲端環境的安全最佳做法,無論你的公司計劃將傳統的內部部署專案遷移至雲端,還是從頭開始建立全新的基礎架構。
開發人員、IT 架構師以及安全專家將學習到針對 Amazon Web Services、Microsoft Azure 和 IBM Cloud 等熱門雲端平台的專屬安全技術。 IBM 資深工程師 Chris Dotson 將展示如何在你的雲端環境中建立資料資源管理、身份與存取管理 (IAM)、弱點管理、網路安全以及事件回應。
- 了解雲端安全領域的最新威脅與挑戰
- 管理儲存或處理資料,或提供管理控制的雲端供應商
- 學習如何將標準原則與概念(如最小權限和深度防禦)應用於雲端
- 理解 IAM 在雲端中的關鍵角色
- 使用最佳策略來檢測、回應並從最常見的安全事件中復原
- 管理各種類型的弱點,特別是常見於多雲或混合雲架構中的弱點
- 探討雲端環境中的特權管理
原生身份基礎設施存取管理
Author: Ev Kontsevoy, Sakshyam Shah, et al.
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
傳統基於密鑰的認證無法擴充以應對雲端和內部部署基礎設施的複雜性與規模。 如今的應用程式分散於多樣化的雲端與共置設施,以及內部的資料中心。 這個現代技術堆疊的每個層面都有自己的攻擊向量以及需要考慮的協議。
你要如何以一致且簡單的方式,保護對多樣基礎設施組件的存取,例如裸機伺服器到短暫的容器? 在這本實用的書籍中,作者 Ev Kontsevoy、Sakshyam Shah 和 Peter Conrad 將這個主題分解為易於理解的部分。 你將會發現這種方法的不同部分如何組合在一起,使工程團隊能夠在不影響生產力的情況下建立更安全的應用程式。
閱讀這本書,你將學到:
- 存取的四大支柱:連線、驗證、授權與稽核
- 為什麼每次攻擊都遵循相同的模式,且如何使這種威脅無法實現
- 如何使用數位憑證在你的整個基礎設施中實行基於身份的存取
- 為什麼是時候淘汰基於密鑰的認證了
- 如何安全地連線到遠端資源,包括伺服器、資料庫、K8s Pods 和內部應用程式,例如 Jenkins 和 GitLab
- 存取受保護資源以及授權使用這些資源的方法
情報驅動的事件回應,第 2 版
2nd Edition
Author: Rebekah Brown and Scott J. Roberts
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
使用一個深思熟慮的事件回應計畫來應對線上安全漏洞後的狀況,可以幫助你的團隊識別攻擊者並瞭解他們的運作方式。 但只有當你以網路威脅情報的思維來處理事件回應時,才能真正明白這些資訊的價值。 在這個更新後的第二版中,你將學習情報分析的基礎知識,以及將這些技術融入事件回應流程的最佳方法。
每種方法都能互相強化:威脅情報支援並增強事件回應,而事件回應則能產生有價值的威脅情報。 這本實用的指南能幫助事件經理、惡意程式分析師、逆向工程師、數位鑑識專家以及情報分析師瞭解、實施並從這種關係中受益。
這本深入的書籍分為三部分,內容包含:
- 基礎知識:導入網路威脅情報、情報流程、事件回應流程,以及如何將它們整合運作
- 實際應用:依循情報驅動的事件回應(IDIR)流程,步驟包括 F3EAD 流程:尋找(Find)、定位(Fix)、完成(Finish)、利用(Exploit)、分析(Analyze)以及分發(Disseminate)
- 未來發展:探討超越個別事件回應調查的 IDIR 大局面向,包括情報團隊的建立
安全即程式
Author: BK Sarthak Das and Virginia Chu
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
在當前雲端原生的世界中,DevOps 工程師、開發人員和安全工程師的角色不斷變化。 為了構建安全且有韌性的應用程式,你需要具備安全相關的知識。 這時,安全即程式碼的概念就變得至關重要。
在本書中,作者 BK Sarthak Das 和 Virginia Chu 示範了如何使用這種方法來保護你想要部署的任何應用程式與基礎設施。 透過安全即程式碼,你將學習如何使用來自 AWS 的 CI/CD 工具和開源提供者,在 Kubernetes 中建立一個安全的容器化應用程式。
這本實用指南還提供了一些常見模式和方法,用於安全地開發基礎設施,以實現具有韌性及高度可用的備份,你僅需最少的人工干預即可完成還原。
- 學習專業工具,使用 Kubernetes 和 AWS Code Suite
- 設定基礎設施即程式碼 (Infrastructure as Code),並執行掃描以檢測程式碼中的配置錯誤資源
- 使用 CloudWatch 和其它工具建立安全的日誌模式
- 通過基於角色的存取控制 (RBAC),限制系統存取至授權使用者
- 使用 AWS Fault Injector 或開源工具注入錯誤,測試應用程式的韌性
- 學習如何把所有內容整合成一次部署
雲端原生安全手冊
Author: Josh Armitage
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
隨著雲端技術的興起,IT 的每個層面都受到深刻的衝擊。 建立系統的基本原則正在改變,儘管許多構成安全性的基本原則依然適用,但它們的實現方式已經截然不同。 這本實用的書籍提供 AWS、Azure 和 GCP 的操作範例,幫助你提升自己雲端原生系統的安全性。
憑藉與全球一些最大型企業和快速發展的新創公司合作所累積的寶貴經驗,顧問 Josh Armitage 介紹了安全專家、開發者和基礎設施技術專家在使用不同雲端服務商時需要做出的權衡。 每個操作範例都分析了這些內在的妥協,並說明了不同雲端的相似處和根本差異。
- 了解雲端如何提供優於傳統內部部署環境的安全性
- 掌握能幫助你在解決方案中做出最佳權衡的原則與思維模式
- 學習如何實現既穩健又安全的現有解決方案,並設計應對全新問題的解決方案
- 在你的企業內水平與垂直地應對安全挑戰並採取解決措施
AWS 上的安全性與微服務架構
Author: Gaurav Raje
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
當組織為雲系統設計微服務時,安全性通常是事後才會考量的問題。 如今,大多數公司都暴露於潛在的安全威脅中,但它們的應對方式往往是被動多於主動。 這導致了不必要的複雜系統,這些系統既難以實現又更難管理與擴充。 作者 Gaurav Raje 將向你展示如何在 AWS 上建立高度安全的系統,而不增加額外負擔。
這本實用書籍特別適合具有 AWS 經驗的雲解決方案架構師與軟體開發人員,內容從高階的架構與設計討論開始,接著說明如何在雲上實現你的解決方案,同時確保開發與營運的體驗不會受到影響。 透過運用 AWS 的共享責任模型,你將能夠:
- 使用微服務開發模組化架構,旨在簡化遵守金融、醫療與法律服務中的各種法規
- 引入各種基於 AWS 的安全控制,幫助保護你的微服務免受惡意來源的攻擊
- 利用架構的模組化特性,獨立擴充個別微服務上的安全機制
- 在不損害軟體開發團隊自主性或效率的情況下,提升安全形勢
威脅建模
Author: Izar Tarandach (Author), Matthew J. Coles
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
威脅建模是開發生命週期中最重要,同時也是最被誤解的部分之一。 不論你是安全從業人員,或者是開發團隊的一員,本書將幫助你更好地理解如何將核心威脅建模概念應用到你的實務中,以保護系統免受威脅的侵害。
與普遍的看法相反,威脅建模並不需要高深的安全知識來啟動,也不需要費盡心力來維持。 但這對在程式碼撰寫之前,以及行之已遲無法找到解決方案之前,以具成本效益的方式來發現並解決潛在問題至關重要。 作者 Izar Tarandach 和 Matthew Coles 將引導你了解在組織中執行威脅建模的不同方法與實踐方式。
- 探索保護資料和系統功能的基礎特性與機制
- 理解安全、隱私與安全性之間的關係
- 識別評估系統安全性的關鍵特性
- 深入了解建模與分析系統的常見與專門技術
- 洞察威脅建模未來的發展方向以及敏捷開發方法論,包含 DevOps 自動化
- 找到常見問題的解答,包括如何避免威脅建模中的常見陷阱
建立安全且可靠的系統
Author: Heather Adkins, Betsy Beyer, Paul Blankinship, Piotr Lewandowski
Publisher: O'Reilly
DRM-FREE Use on Any Device
PDF and ePUB
如果一個系統不是從根本上安全的,那它能被認為是真正可靠的嗎? 或者,如果它不可靠,那它能被認為是安全的嗎? 安全性對於設計和運行生產環境中的可擴充系統至關重要,因為它在產品品質、效能和可用性方面扮演了重要的角色。 在這本書中,Google 的專家分享了最佳實踐,幫助你的組織設計出從根本上安全且可靠的可擴充系統。
Google 曾經在兩本 O’Reilly 書籍 - 《網站可靠性工程》(Site Reliability Engineering) 和 《網站可靠性工程實作手冊》(The Site Reliability Workbook) - 中展示了全心投入服務生命週期的承諾是如何以及為什麼能幫助組織成功建立、部署、監控和維護軟體系統。 在這最新的指導中,作者提供了專門處理安全性和可靠性的實務專家的系統設計、實作與維護見解。 他們還討論了如何建構與採用其建議的最佳實踐需要一種支持這類改變的文化。
你會透過以下內容學習安全且可靠的系統:
- 設計策略
- 在程式編寫、測試與除錯上的建議
- 準備、應對及從事故中復原的策略
- 幫助組織內各團隊有效協作的文化最佳實踐
支付 1.05 ~ 26.25 美元,獲得 2 ~ 24 項資源
(總價值 1,346 美元)
