安全技能進階的基石：不容錯過的八本書

知道大牛為什麼會成為大牛嗎？當你在打遊戲時，他們在看書；當你在撩妹時，他們在看書；當你在各種逢場作戲時，他們在看書。總之，他們能利用一切可以利用的時間看書。

01 《Applied Cryptography: Protocols, Algorithms and Source Code in C》

作者：

Bruce Schneier

出版社：

Wiley

出版時間：

2015年3月30日 第一版

讀者評價指數：

4。5顆星

內容簡介：

應用密碼學不單單是加密和解密資訊，還包括協議、演算法等領域。Bruce Schneier在本書中講述了加密協議的基本類別和詳細的技術分析，並解釋了加密演算法的內部工作原理。

書中還解答了為什麼程式設計師和電子通訊專家可以用密碼學制作一個強有力的安全屏障。除了對加密演算法本身的講解，Bruce Schneier還說明了如何將演算法整合進加密軟體中，並演示瞭如何用密碼學解決安全問題。

02

《Threat Modeling: Designing for Security》

作者：

Adam Shostack

出版社：

Wiley

出版時間：

2014年2月17日 第一版

讀者評價指數：

4。5顆星

內容簡介：

《Threat Modeling： Designing for Security》中詳細闡明瞭如何在系統、軟體、服務中嵌入更安全的策略。安全從業人員可以從中學習到很多種威脅建模的方法，以及怎樣對他們的設計進行威脅測試和發現威脅。

對於安全工作人員或者軟體開發者而言，該書可以當作是一本安全指導書。因為書中提供了一個可以幫助尋找威脅點的框架，然後基於資產中心、軟體中心、攻擊者中心建立威脅模型。

03 《The Practice of Network Security Monitoring: Understanding Incident Detection and Response》

作者：

Richard Bejtlich

出版社：

No Starch Press

出版時間：

2013年8月5日 第一版

讀者評價指數：

4。5顆星

內容簡介：

這本書的內容是基於攻擊者突破了傳統的安全防護，需要更高階的安全策略才能阻礙得了他。有效的安全策略比建立一個防火牆要有用的多。在現有的網路中部署一個網路安全監視系統，收集並分析資料，從而更好的做好威脅響應。

04 《Cyber War: The Next Threat to National Security and What to Do About It》

作者：

Richard Clarke和Robert Knake

出版社：

Ecco

出版時間：

2011年8月5日 再版

讀者評價指數：

4顆星

內容簡介：

《Cyber War： The Next Threat to National Security and What to Do About It》給讀者提供了一個別樣的視角，以白宮“時事觀察室”的內部視角看國家安全，旨在通過當前的網路防護解釋可能存在的網路威脅。Clarke還對過去發生的網路攻擊事件進行了剖析，並對美國網路防禦政策發表了一些觀點。

05 《Cyberspies: The Secret History of Surveillance, Hacking, and Digital Espionage》

作者：

Gordon Corera

出版社：

Pegasus Books

出版時間：

2016年7月5日 第一版

讀者評價指數：

4。5顆星

內容簡介：

《Cyberspies： The Secret History of Surveillance， Hacking， and Digital Espionage》書中敘述了從二戰，到冷戰，再到現在的網路間諜進化情況。除了能瞭解到歷史上的間諜活動，作者還著重講解了當下美國、英國、中國的網路間諜情況。

06 《Security Engineering: A Guide to Building Dependable Distributed Systems》

作者：

Ross J。 Anderson

出版社：

Wiley

出版時間：

2008年4月14日 第二版

讀者評價指數：

4。5顆星

內容簡介：

2001年，Wiley出版了第一版《Security Engineering： A Guide to Building Dependable Distributed Systems》。隨著時間的推移，網路犯罪者們的技術也在不斷的提升，所以，2008年版的《Security Engineering》在技術上面有了一些更新。

本書中，Ross J。 Anderson重點討論的話題有：攻擊型別、安全心理學、政策、保護機制。

07 《The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws》

作者：

Dafydd Stuttard和Marcus Pinto

出版社：

Wiley

出版時間：

2011年9月27日 第二版

讀者評價指數：

4。5顆星

內容簡介：

知己知彼百戰百勝，熟知駭客的秘密對於網路安全防護人員來說至關重要。第二版的《The Web Application Hacker‘s Handbook： Finding and Exploiting Security Flaws》著重講解的是Web應用方面的東西，因為如果Web應用存在安全問題，則可能會洩露敏感資訊或者執行虛假交易，對企業造成的損失不可估量。

Dafydd Stuttard和Marcus Pinto手把手、一步一步詳細講解了Web應用上的攻防技術。相比較於第一版，第二版中增加了一些新內容，包括遠端處理框架、HTML5、UI修正、混合檔案攻擊。

08 《The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities》

作者：

Mark Dowd、John McDonald、Justin Schuh

出版社：

Addison-Wesley Professional

出版時間：

2006年11月30日 第一版

讀者評價指數：

4。5顆星

內容簡介：

Mark Dowd、John McDonald、Justin Schuh都是專業的安全顧問和安全研究員，曾幫助 Microsoft Exchange、 sendmail、Internet Explorer、Check Point VPN挖掘出了很多漏洞。《The Art of Software Security Assessment： Identifying and Preventing Software Vulnerabilities》一書就是他們三個人經驗的結晶，詳細講解了他們是如何挖掘應用漏洞的。

書中列舉了大量真實的案例，讀者可以從中學習到很多漏洞挖掘技巧，以及如何審計應用的安全。

看完這幾本書，你一定會有收穫，但能不能成為大牛，就看你自己的造化咯。

注：本文參考來源於darkreading