RSA 2014 安全大会网络安全畅销书目推荐

尽管近期深陷负面新闻,但RSA 2014 安全大会依然是网络安全业内最大的盛会。这里汇聚了全球最精英的人才、最出色的管理者以及最具影响力的专家(不过从应用安全角度看,安全分析师峰会才是目前被公认为行业内最高端会议-作者注)。如何才能接触到极为私人的安全专家团体,并紧随其步伐呢?最佳方式便是通过调查和阅读时刻掌握最新趋势。当然我指的是海量的阅读。去年我们对RSA 2013安全大会畅销书目进行了总结,今年我们将继续这一传统。下文列出了本年度网络安全行业最优秀书目名单: 1.《谷歌知道你多少秘密?》 本年度最引起恐慌的一本书:) 当你在使用谷歌的”免费”服务时,你付出的代价就是花费大量时间以及个人信息。谷歌靠着对每一名用户的了解大发横财…如果知道谷歌对你的了解程度,相信你定会大吃一惊。《谷歌知道你多少秘密?》是首本揭露谷歌如何利用其巨大的信息库存来赚取用户或用户企业的巨额利益,以及用户应如何保护自己的一本书。 本书与关于谷歌黑客的其他书籍完全不同,其内容不仅仅是讲述聪明的用户如何利用谷歌搜索结果进行检索那么简单,而用户在使用所有谷歌高级应用程序时所泄露的信息。西点军校计算机科学教授格雷格•康蒂(Greg Conti)揭露了Gmail、 Google Maps、 Google Talk、 Google Groups、 Google Alerts以及谷歌全新手机应用等所涉及的隐私问题。康蒂教授通过进行高级安全研究,揭示了谷歌数据库如何被别有企图的人所利用,尽管谷歌长久以来秉承”不作恶”的承诺。 发现用户使用谷歌搜索后遗留下零碎信息的蛛丝马迹。 Gmail是如何被利用来追踪个人朋友网络、家人以及熟人信息的。 谷歌地图和定位工具如何揭露你的家庭住址、工作单位、家人和朋友、旅行计划以及一些个人意图的。 谷歌以及其他网络公司的信息库存是如何被泄露、丢失、获取、共享或传播,之后被用于身份盗窃甚至敲诈勒索的。 谷歌AdSense和DoubleClick广告服务如何通过网络对你进行跟踪。 如何系统逐步地减少你的个人信息公开和泄露。 本书为网络用户敲响了警钟,同时还是一本”网络自我保护”指导手册。《谷歌知道你多少秘密?》对每一名谷歌用户来说都是一本不可或缺的好书,无论是私人用户还是安全专家,都值得拥有。 2.《黑客大曝光7:网络安全机密与解决方案》 专业人士通常都会从他人的经验和教训中学习。索尼团队首席问题官和FBI前执行助理局长强力推荐本书,原因如下: “我们现在所面临的现实是不断受到零日漏洞攻击、高级持续威胁攻击以及国家资助的攻击。如今,黑客攻击愈演愈烈,安全专家需要精确掌握黑客的思维方式、方法和所用工具箱,如此才能成功阻止这些近乎疯狂的攻击。该版本向读者介绍了最新的攻击途径,以及如何有效应对这些不断演变威胁的方法。”索尼网络娱乐首席问题官布雷特•沃何林(Brett Wahlin)这样评论道。 “不再’重拳出击’ –

尽管近期深陷负面新闻,但RSA 2014 安全大会依然是网络安全业内最大的盛会。这里汇聚了全球最精英的人才、最出色的管理者以及最具影响力的专家(不过从应用安全角度看,安全分析师峰会才是目前被公认为行业内最高端会议-作者注)。如何才能接触到极为私人的安全专家团体,并紧随其步伐呢?最佳方式便是通过调查和阅读时刻掌握最新趋势。当然我指的是海量的阅读。去年我们对RSA 2013安全大会畅销书目进行了总结,今年我们将继续这一传统。下文列出了本年度网络安全行业最优秀书目名单:

1.《谷歌知道你多少秘密?》

本年度最引起恐慌的一本书:) 当你在使用谷歌的”免费”服务时,你付出的代价就是花费大量时间以及个人信息。谷歌靠着对每一名用户的了解大发横财…如果知道谷歌对你的了解程度,相信你定会大吃一惊。《谷歌知道你多少秘密?》是首本揭露谷歌如何利用其巨大的信息库存来赚取用户或用户企业的巨额利益,以及用户应如何保护自己的一本书。

本书与关于谷歌黑客的其他书籍完全不同,其内容不仅仅是讲述聪明的用户如何利用谷歌搜索结果进行检索那么简单,而用户在使用所有谷歌高级应用程序时所泄露的信息。西点军校计算机科学教授格雷格•康蒂(Greg Conti)揭露了Gmail、 Google Maps、 Google Talk、 Google Groups、 Google Alerts以及谷歌全新手机应用等所涉及的隐私问题。康蒂教授通过进行高级安全研究,揭示了谷歌数据库如何被别有企图的人所利用,尽管谷歌长久以来秉承”不作恶”的承诺。

  • 发现用户使用谷歌搜索后遗留下零碎信息的蛛丝马迹。
  • Gmail是如何被利用来追踪个人朋友网络、家人以及熟人信息的。
  • 谷歌地图和定位工具如何揭露你的家庭住址、工作单位、家人和朋友、旅行计划以及一些个人意图的。
  • 谷歌以及其他网络公司的信息库存是如何被泄露、丢失、获取、共享或传播,之后被用于身份盗窃甚至敲诈勒索的。
  • 谷歌AdSense和DoubleClick广告服务如何通过网络对你进行跟踪。
  • 如何系统逐步地减少你的个人信息公开和泄露。

本书为网络用户敲响了警钟,同时还是一本”网络自我保护”指导手册。《谷歌知道你多少秘密?》对每一名谷歌用户来说都是一本不可或缺的好书,无论是私人用户还是安全专家,都值得拥有。

2.《黑客大曝光7:网络安全机密与解决方案》

专业人士通常都会从他人的经验和教训中学习。索尼团队首席问题官和FBI前执行助理局长强力推荐本书,原因如下:
“我们现在所面临的现实是不断受到零日漏洞攻击、高级持续威胁攻击以及国家资助的攻击。如今,黑客攻击愈演愈烈,安全专家需要精确掌握黑客的思维方式、方法和所用工具箱,如此才能成功阻止这些近乎疯狂的攻击。该版本向读者介绍了最新的攻击途径,以及如何有效应对这些不断演变威胁的方法。”索尼网络娱乐首席问题官布雷特•沃何林(Brett Wahlin)这样评论道。
“不再’重拳出击’ – 让我们试着改变一下游戏的规则;现在是时候转变网络保护的思维模式了,而《黑客大曝光7》将给予网络罪犯们迎头痛击。”–FBI前执行助理局长肖恩•亨利评论道。

采用世界知名黑客曝光团队专家的建议和防御策略,增强用户系统的安全性,挫败网络犯罪使用的工具和战术。通过案例研究揭秘黑客最新伎俩,详解现场试验补救措施。学会如何抵御基础设施攻击,将高级持续攻击威胁降至最低,使恶意代码失效、确保网络和数据库应用安全并增强UNIX网络。《黑客大曝光7:网络安全机密与解决方案》加入了全新视直观图,堪称是一本综合全面的”反黑客宝典”。

  • 阻止高级持续威胁攻击和基于网络的漏洞利用。
  • 防范基于UNIX的root访问和缓冲区溢出攻击。
  • 阻止资料隐码攻击、鱼叉式网络钓鱼和嵌入代码攻击。
  • 检测并阻止隐匿进程、特洛伊木马病毒、僵尸网络、蠕虫病毒和恶意软件。
  • 使用智能卡和硬件标记锁定远程访问。
  • 使用多层加密和网关保护802.11 无线局域网。
  • 填补 网络、社交网络、云和Web 2.0 服务中的漏洞。
  • 了解最新型的 iPhone和Android 系统攻击方式,学会如何自己的手机。

  • 3. 《大数据入门》

    我们生活在云技术的时代,为了解和规划您的企业未来,你必须学习如何对数千兆字节的数据进行管理和分析,并使其为自己的品牌服务并获得收益。大数据管理是企业、各行业和非营利组织面临的重要挑战之一,因为这是一个全新的领域。不过如果你需要高效开发或管理大数据解决方案方面的指导,那么本书中的4名专家将对你帮助极大,他们将在书中对这些新的且常常混淆的概念进行了详细定义、解释以及指导。通过本书你将了解到大数据的本质、重要性以及如何选择并实施有效的解决方案。

  • 如何有效管理大数据是摆在企业、非营利组织、政府部门以及IT专业人员面前的一个大问题,其重要性日益凸显。
  • 本书作者是信息管理领域的专家,擅长管理大数据,并拥有各种解决方案。
  • 详细解释了大数据的概念,并探讨如何选择和实施解决方案以及应考虑的安全问题、数据储存和呈现问题和分析等。
  • 从实际应用出发,深入浅出地向读者讲解授权基本信息。
  • 4.《揭秘社会工程师:网络安全的人为因素》

    显而易见,在RSA2014安全大会的推荐书目中揭秘社会工程师是最热门话题之一。安全社区努力使企业学会如何通过非语言行为识别社会工程师。
    《揭秘社会工程师:网络安全的人为因素》从非语言通信背后的科学知识入手,向读者介绍了社会工程师、行骗高手以及普通骗子如何使用这些技能与受害目标建立起信任感和密切关系。作者用详实的讲解帮助读者了解如何通过分析非语言行为来识别并揭穿社会工程师和骗子的伎俩。本书还揭露了社会工程师的攻击方式,解释了对非语言通信,生动形象地展示了非语言行为与社会工程师和骗子间的关联。

  • 从实用和技术两方面对社会工程安全进行了阐述。
  • 揭露网络骗子所惯用的各种卑鄙伎俩。
  • 指明如何从非语言层面入手揭穿社会工程师骗术。
  • 分享读懂、理解、解密非语言通信的可行科学方法,《揭秘社会工程师》旨在让读者具备相关专业知识,从而利用这些知识保护组织的安全。
  • 5.《社会工程学:人类黑客的艺术》

    人为因素是任何安全体系架构中最易于受攻击的一环,关于这一点人们早就已经达成共识。因此如今的黑客对NLP技术如此感兴趣也毫不令人感到奇怪了。本书从技术层面入手,对众多的社会工程策略进行了揭露和剖析。

    作者通过现实案例、个人体验以及背后的科学知识,从诱导、借口、影响和操纵各个层面对社会工程学进行了详细剖析、探讨和解释,层层剥开社会工程学背后的秘密。凯文•米特尼克(Kevin Mitnick),全球著名社会工程师,是他使得”社会工程学(social engineering)”一词得到了普及。他这样解释道,相对于想方设法侵入系统来说,诱使用户透露系统密码来得更为容易。米特尼克声称,本书中所描述的社会工程学策略是他无往不利的武器。本书针对欺骗不知情受害者的众多策略进行了详细调查,此外,同时还提供了防范社会工程威胁的各种方法。

  • 详细阐述社会工程学知识,以及影响目标受害者执行期望任务或泄露信息的技术。
  • 黑客经常会通过搜集信息从而达到身份盗用、诈骗或得到计算机系统访问权的目的,本书详细介绍了黑客惯用的多种诈骗手段,这些宝贵的信息将成为你最有力的武器。
  • 介绍防范社会工程学威胁的关键步骤。
  • 《社会工程学:人类黑客的艺术》是你抵挡邪恶黑客的精良武器,现在就拿起它,充分利用这些重要信息打一场漂亮的防御战吧。
  • 6.《如何有效领导虚拟团队:克服时间与距离,收获意想不到的效果》

    世界正在向全球化转变-众多的IT服务,包括支持和研发工作经常外包或放在拥有最佳盈利潜力地区。这意味着越来越多的公司面临如何管理一支全球团队的难题。如果你是一名任何类型虚拟团队的领导者,那么本书将是你最佳的选择。你将会从中学到:

  • 在虚拟团队中建立信任感,培养紧密的合作关系。
  • 设计并促进确保专注度和参与度的虚拟会议。
  • 权威范围之外的影响力。
  • 激励并带领虚拟团队实现最佳业绩。
  • 交叉使用异步交流与同步交流方法达成更和谐的虚拟合作。
  • 在无法看到对方的情况下协调跨文化和跨代差异。
  • 远程评估技能、优势、趋势和偏好。
  • 处理虚拟团队可能遇到的其他棘手问题。
  • 7.《CISSP认证考试指南》

    只有认证专家才有资格负责企业的信息安全。通过CISSP认证考试是成为IT精英的捷径之一。本书能够帮助你通过更为严格的CISSP新电子版本考试,是理想的学习指南。本书列出了每一考点的范围,并提供大量练习题,包括大量全新的考试范围,比如数据加密、云安全、信息生命周期、安全管理/治理等等。该手册包含全套备考工具,比如小测验、考试警报以及两份模拟考试题,同时所附CD中先进的测试引擎提供实时模拟题和反馈。

    涵盖通过CISSP认证考试所需要的所有关键信息!

  • 在组织内部推行有效的物理安全。
  • 应用可靠的身份验证、授权和责任制。
  • 设计可被验证、认证和认可的安全结构。
  • 了解最新网络攻击方式和对策。
  • 使用数据加密方法来保护数据、系统和网络。
  • 系统地规划和测试业务连续性/灾难恢复程序。
  • 对现在的云、网络以及数据库应用进行保护。
  • 解决全球合规性问题,从隐私到计算机取证。
  • 开发在整个生命周期内安全的软件。
  • 实施有效的安全管理和风险管理。
  • 实行最佳实践政策、程序、指南和控制。
  • 确保有力的运营控制,从背景调查到安全审计。
  • 8.《CISSP实践考试(第二版)》

    《CISSP实践考试(第二版)》是肖恩•哈里斯(Shon Harris)的畅销书籍《CISSP认证考试指南一本通》的完美搭配。知名IT安全认证专家肖恩•哈里斯的讲解引人入胜且给出了丰富的资料,因此广受好评。《CISSP实践考试(第二版)》是一本专门针对CISSP考试的自学辅导教材和学习资源,该书内容完全覆盖10大考试范围,其内容围绕考试范围展开,学习者可以专门突击学习某些具体考点,并根据自身的专业领域和薄弱环节制定学习计划。为进一步帮助学习和加深记忆,书中的每一问题还附带正确答案和错误答案选项的深度解析。每一章包括25道以上练习题以及基于网络环境的500道练习题。另外还附送全天24小时的音频讲座,内容是哈里斯教授的强化复习课程。

    9.《移动设备入门》

    对于经常出差旅行的企业用户来说,移动设备已几乎完全取代了计算机的作用,但数以百万计的移动网络几乎没有任何安全措施。这本必备指南将带领读者了解保护网络、建立牢固网络结构的步骤,从而对企业内部的移动设备进行保护和支持。本书还再现了诸多现实案例,直截了当、简单易懂,针对移动设备的安全性以及防止敏感和机密企业信息的泄露分享了许多宝贵经验。

  • 教您以实用快捷的方法来保护移动设备,使其免受安全威胁。
  • 对诸多重要话题进行了探讨,比如特定黑客防护、丢失/盗用防护、数据备份和储存等。
  • 针对企业移动设备网络保护的部署提供重要建议。
  • 介绍粒应用访问控制的优势,通过虚拟私人网络进行强化。
  • 10.《手机验证:问题与解决方案》

    本书作者从人机验证入手,重点论述了手机验证的各种方案。人机验证是一个极其复杂的问题。在计算机安全早期(2000年之前),人工组件几乎完全被忽视。究其原因可能是认为用户应该、也能够遵照指令操作,或者终端用户缺乏相关知识,错误百出。事实当然是二者兼有之,这也是这一话题如此吸引人的原因。在不了解人和机器的情况下,我们无法在人机验证方面取得任何进展的。手机安全并不仅仅只是将安全系统移植到移动设备那么简单。与传统计算机相比,手机有着不同的局限性,因此使用方式也不同。由于文本输入相对繁琐,因此用户倾向于设置更简短和简单的密码。另外手机检测电子欺骗的能力也更弱。在设计过程中我们需要考虑到这些因素。我们还需要考虑如何准确植入生物识别器,并从中获取最大利益。本书解决了所有这些问题,甚至涉及了更多其他问题。

    强烈推荐

    11.《恶意软件、Rootkit和僵尸网络》


    本书被誉为网络安全界的《两杆大烟枪》:),它将教会你如何提升组织的安全状态、抵御无孔不入的网络攻击。《恶意软件、Rootkit和僵尸网络》对这些风险的特性、复杂性和危险性一一进行了详解,并给出了阻止这些威胁的最佳做法。

    本书不仅对当今面临的威胁进行了概述,还阐述了网络威胁的整个生命周期以及网络犯罪的起源和发展,教导读者如何有效对恶意软件、rootkit(隐匿进程)与僵尸网络进行管理。另外读者还将学习到如何识别并减少恶意攻击的切实可行的技术。本书还为初学者提供了大量模板、清单和示例等保护网络安全的内容,帮助读者尽快上手。

    Facebook收购WhatsApp对用户的影响

    Facebook收购WhatsApp事件近期登上报纸头条,社交媒体巨头Facebook斥资190亿美元,破纪录大手笔地收购了这家新兴的即时通讯服务商。WhatsApp拥有4.5亿用户-平均每位用户价值大约是42美元!WhatsApp向用户收取的服务费为1美元/年,显然,这笔收入在中短期内是无法涵盖收购成本的。这自然会让人们产生顾虑,WhatsApp是否最终会在应用中插入广告,并附带侵犯隐私的监视工具,包括消息扫描(请想想Gmail的例子)。那么是时候去寻找WhatsApp的替代软件了吗? 首先,请不要慌。这个问题还远未到要迫切解决的地步。在收购相关的新闻稿中,无论是Facebook的创始人马克•扎克伯格还是WhatsApp的老板库姆都强调说,WhatsApp仍将是一家独立的公司,具有自己独立的政策。库姆一贯以不认同以广告驱动的收入模式而著称,所以我们预计广告和分析不会太快出现。当然,万事都会随时间而变化,这种情况当然也会改变。即便您决定不再搭乘WhatsApp这艘船,你也有足够的时间来寻找完美的替代软件,并说服朋友切换到后者。 不用担心即时通讯的隐私性 不用担心即时通讯的隐私性。老实说,WhatsApp从来就不是真正意义上的保密即时通讯工具;以前甚至发生过几次泄露事件,包括一些可以进行窃听的漏洞。如今,WhatsApp在接收信息时使用合理加。另外服务商声称,用户的消息传递到接收方后就不会再被存储。所以Facebook数据挖掘程序是不能够挖掘到您的历史消息记录的。但是有一些专用工具可用于保密即时通讯,而且Facebook的收购交易与WhatsApp即时消息的隐私性无关。如果担心第三方会读取您的信息,请更多关注NSA或类似机构。 综上所述,大家不需要急着从WhatsApp换到其他移动即时通讯平台。保密数据不会在未加密的情况下通过标准通信通道发送,无论是Facebook、WhatsApp还是电子邮件均不例外。请使用安全专用工具来保护数据不被窥探。接下来要警惕的真正威胁是您会收到新一波的虚假电子邮件和消息,提醒您”确认WhatsApp帐户”、”选择不接受WhatsApp内部的Facebook广告”或类似内容。这些消息肯定含有恶意链接,一旦点击就可能会感染您的设备,或将页面切换至网络钓鱼网站,从而尝试盗取您的个人数据。WhatsApp和Facebook绝不会发送类似的内容,因此切勿落入这类圈套。

    提示