我的第一本书已出版20周年

2004年7月15日，Addison-Wesley/Pearson出版了我的第一本书《网络安全监控之道：超越入侵检测》。2017年的这篇文章解释了我前四本书的差异及创作《网络安全监控之道》的缘由。

如今，每当听说有人觉得我的书很有用时，我仍然感到非常欣喜。虽然我已不再撰写安全类书籍，但我相信所有著作中的核心战术和策略至今仍然适用。不过我不确定这是好事——我本希望书中的战术策略早已不再需要。诸如"云"在内的众多技术发展本应早已解决这些问题。

请看这份描述CISA红队对抗联邦机构的报告中的陈述：“尝试通过数据包捕获获取取证数据的操作直接在受损的Solaris和Windows主机上进行，红队观察到数据收集过程，因此有机会干扰收集、篡改证据文件，并更好地调整策略以规避防御。”

这正是为什么你不应仅依赖端点检测与响应（EDR）来理解对手活动。对手可以关闭或篡改你的端点安全工具。对于网络安全监控，你也不应在端点上进行收集，而应使用网络分流器，或在紧急情况下使用镜像端口。

这次入侵中没有任何情况是2004年时会令人惊讶的。

这是我2004年当第一本书送到家门口时发布的帖子。没有什么比亲手拿到实体书更令人激动的体验了，我至今珍视那段经历！

我可能会在5年后重新回顾这一事件。届时再见！