尽管近期深陷负面新闻,但RSA 2014 安全大会依然是网络安全业内最大的盛会。这里汇聚了全球最精英的人才、最出色的管理者以及最具影响力的专家(不过从应用安全角度看,安全分析师峰会才是目前被公认为行业内最高端会议-作者注)。如何才能接触到极为私人的安全专家团体,并紧随其步伐呢?最佳方式便是通过调查和阅读时刻掌握最新趋势。当然我指的是海量的阅读。去年我们对RSA 2013安全大会畅销书目进行了总结,今年我们将继续这一传统。下文列出了本年度网络安全行业最优秀书目名单:
1.《谷歌知道你多少秘密?》
本年度最引起恐慌的一本书:) 当你在使用谷歌的”免费”服务时,你付出的代价就是花费大量时间以及个人信息。谷歌靠着对每一名用户的了解大发横财…如果知道谷歌对你的了解程度,相信你定会大吃一惊。《谷歌知道你多少秘密?》是首本揭露谷歌如何利用其巨大的信息库存来赚取用户或用户企业的巨额利益,以及用户应如何保护自己的一本书。
本书与关于谷歌黑客的其他书籍完全不同,其内容不仅仅是讲述聪明的用户如何利用谷歌搜索结果进行检索那么简单,而用户在使用所有谷歌高级应用程序时所泄露的信息。西点军校计算机科学教授格雷格•康蒂(Greg Conti)揭露了Gmail、 Google Maps、 Google Talk、 Google Groups、 Google Alerts以及谷歌全新手机应用等所涉及的隐私问题。康蒂教授通过进行高级安全研究,揭示了谷歌数据库如何被别有企图的人所利用,尽管谷歌长久以来秉承”不作恶”的承诺。
- 发现用户使用谷歌搜索后遗留下零碎信息的蛛丝马迹。
- Gmail是如何被利用来追踪个人朋友网络、家人以及熟人信息的。
- 谷歌地图和定位工具如何揭露你的家庭住址、工作单位、家人和朋友、旅行计划以及一些个人意图的。
- 谷歌以及其他网络公司的信息库存是如何被泄露、丢失、获取、共享或传播,之后被用于身份盗窃甚至敲诈勒索的。
- 谷歌AdSense和DoubleClick广告服务如何通过网络对你进行跟踪。
- 如何系统逐步地减少你的个人信息公开和泄露。
本书为网络用户敲响了警钟,同时还是一本”网络自我保护”指导手册。《谷歌知道你多少秘密?》对每一名谷歌用户来说都是一本不可或缺的好书,无论是私人用户还是安全专家,都值得拥有。
2.《黑客大曝光7:网络安全机密与解决方案》
专业人士通常都会从他人的经验和教训中学习。索尼团队首席问题官和FBI前执行助理局长强力推荐本书,原因如下:
“我们现在所面临的现实是不断受到零日漏洞攻击、高级持续威胁攻击以及国家资助的攻击。如今,黑客攻击愈演愈烈,安全专家需要精确掌握黑客的思维方式、方法和所用工具箱,如此才能成功阻止这些近乎疯狂的攻击。该版本向读者介绍了最新的攻击途径,以及如何有效应对这些不断演变威胁的方法。”索尼网络娱乐首席问题官布雷特•沃何林(Brett Wahlin)这样评论道。
“不再’重拳出击’ – 让我们试着改变一下游戏的规则;现在是时候转变网络保护的思维模式了,而《黑客大曝光7》将给予网络罪犯们迎头痛击。”–FBI前执行助理局长肖恩•亨利评论道。
采用世界知名黑客曝光团队专家的建议和防御策略,增强用户系统的安全性,挫败网络犯罪使用的工具和战术。通过案例研究揭秘黑客最新伎俩,详解现场试验补救措施。学会如何抵御基础设施攻击,将高级持续攻击威胁降至最低,使恶意代码失效、确保网络和数据库应用安全并增强UNIX网络。《黑客大曝光7:网络安全机密与解决方案》加入了全新视直观图,堪称是一本综合全面的”反黑客宝典”。
3. 《大数据入门》
我们生活在云技术的时代,为了解和规划您的企业未来,你必须学习如何对数千兆字节的数据进行管理和分析,并使其为自己的品牌服务并获得收益。大数据管理是企业、各行业和非营利组织面临的重要挑战之一,因为这是一个全新的领域。不过如果你需要高效开发或管理大数据解决方案方面的指导,那么本书中的4名专家将对你帮助极大,他们将在书中对这些新的且常常混淆的概念进行了详细定义、解释以及指导。通过本书你将了解到大数据的本质、重要性以及如何选择并实施有效的解决方案。
4.《揭秘社会工程师:网络安全的人为因素》
显而易见,在RSA2014安全大会的推荐书目中揭秘社会工程师是最热门话题之一。安全社区努力使企业学会如何通过非语言行为识别社会工程师。
《揭秘社会工程师:网络安全的人为因素》从非语言通信背后的科学知识入手,向读者介绍了社会工程师、行骗高手以及普通骗子如何使用这些技能与受害目标建立起信任感和密切关系。作者用详实的讲解帮助读者了解如何通过分析非语言行为来识别并揭穿社会工程师和骗子的伎俩。本书还揭露了社会工程师的攻击方式,解释了对非语言通信,生动形象地展示了非语言行为与社会工程师和骗子间的关联。
5.《社会工程学:人类黑客的艺术》
人为因素是任何安全体系架构中最易于受攻击的一环,关于这一点人们早就已经达成共识。因此如今的黑客对NLP技术如此感兴趣也毫不令人感到奇怪了。本书从技术层面入手,对众多的社会工程策略进行了揭露和剖析。
作者通过现实案例、个人体验以及背后的科学知识,从诱导、借口、影响和操纵各个层面对社会工程学进行了详细剖析、探讨和解释,层层剥开社会工程学背后的秘密。凯文•米特尼克(Kevin Mitnick),全球著名社会工程师,是他使得”社会工程学(social engineering)”一词得到了普及。他这样解释道,相对于想方设法侵入系统来说,诱使用户透露系统密码来得更为容易。米特尼克声称,本书中所描述的社会工程学策略是他无往不利的武器。本书针对欺骗不知情受害者的众多策略进行了详细调查,此外,同时还提供了防范社会工程威胁的各种方法。
6.《如何有效领导虚拟团队:克服时间与距离,收获意想不到的效果》
世界正在向全球化转变-众多的IT服务,包括支持和研发工作经常外包或放在拥有最佳盈利潜力地区。这意味着越来越多的公司面临如何管理一支全球团队的难题。如果你是一名任何类型虚拟团队的领导者,那么本书将是你最佳的选择。你将会从中学到:
7.《CISSP认证考试指南》
只有认证专家才有资格负责企业的信息安全。通过CISSP认证考试是成为IT精英的捷径之一。本书能够帮助你通过更为严格的CISSP新电子版本考试,是理想的学习指南。本书列出了每一考点的范围,并提供大量练习题,包括大量全新的考试范围,比如数据加密、云安全、信息生命周期、安全管理/治理等等。该手册包含全套备考工具,比如小测验、考试警报以及两份模拟考试题,同时所附CD中先进的测试引擎提供实时模拟题和反馈。
涵盖通过CISSP认证考试所需要的所有关键信息!
8.《CISSP实践考试(第二版)》
《CISSP实践考试(第二版)》是肖恩•哈里斯(Shon Harris)的畅销书籍《CISSP认证考试指南一本通》的完美搭配。知名IT安全认证专家肖恩•哈里斯的讲解引人入胜且给出了丰富的资料,因此广受好评。《CISSP实践考试(第二版)》是一本专门针对CISSP考试的自学辅导教材和学习资源,该书内容完全覆盖10大考试范围,其内容围绕考试范围展开,学习者可以专门突击学习某些具体考点,并根据自身的专业领域和薄弱环节制定学习计划。为进一步帮助学习和加深记忆,书中的每一问题还附带正确答案和错误答案选项的深度解析。每一章包括25道以上练习题以及基于网络环境的500道练习题。另外还附送全天24小时的音频讲座,内容是哈里斯教授的强化复习课程。
9.《移动设备入门》
对于经常出差旅行的企业用户来说,移动设备已几乎完全取代了计算机的作用,但数以百万计的移动网络几乎没有任何安全措施。这本必备指南将带领读者了解保护网络、建立牢固网络结构的步骤,从而对企业内部的移动设备进行保护和支持。本书还再现了诸多现实案例,直截了当、简单易懂,针对移动设备的安全性以及防止敏感和机密企业信息的泄露分享了许多宝贵经验。
10.《手机验证:问题与解决方案》
本书作者从人机验证入手,重点论述了手机验证的各种方案。人机验证是一个极其复杂的问题。在计算机安全早期(2000年之前),人工组件几乎完全被忽视。究其原因可能是认为用户应该、也能够遵照指令操作,或者终端用户缺乏相关知识,错误百出。事实当然是二者兼有之,这也是这一话题如此吸引人的原因。在不了解人和机器的情况下,我们无法在人机验证方面取得任何进展的。手机安全并不仅仅只是将安全系统移植到移动设备那么简单。与传统计算机相比,手机有着不同的局限性,因此使用方式也不同。由于文本输入相对繁琐,因此用户倾向于设置更简短和简单的密码。另外手机检测电子欺骗的能力也更弱。在设计过程中我们需要考虑到这些因素。我们还需要考虑如何准确植入生物识别器,并从中获取最大利益。本书解决了所有这些问题,甚至涉及了更多其他问题。
强烈推荐
11.《恶意软件、Rootkit和僵尸网络》
本书被誉为网络安全界的《两杆大烟枪》:),它将教会你如何提升组织的安全状态、抵御无孔不入的网络攻击。《恶意软件、Rootkit和僵尸网络》对这些风险的特性、复杂性和危险性一一进行了详解,并给出了阻止这些威胁的最佳做法。
本书不仅对当今面临的威胁进行了概述,还阐述了网络威胁的整个生命周期以及网络犯罪的起源和发展,教导读者如何有效对恶意软件、rootkit(隐匿进程)与僵尸网络进行管理。另外读者还将学习到如何识别并减少恶意攻击的切实可行的技术。本书还为初学者提供了大量模板、清单和示例等保护网络安全的内容,帮助读者尽快上手。
提示