,Contents at a Glance
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Book 1: Cybersecurity Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
CHAPTER 1: What Exactly Is Cybersecurity? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
CHAPTER 2: Getting to Know Common Cyberattacks . . . . . . . . . . . . . . . . . . . . . . . . . . 23
CHAPTER 3: The Bad Guys You Must Defend Against . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Book 2: Personal Cybersecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
CHAPTER 1: Evaluating Your Current Cybersecurity Posture . . . . . . . . . . . . . . . . . . . . 71
CHAPTER 2: Enhancing Physical Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
CHAPTER 3: Cybersecurity Considerations When Working from Home . . . . . . . . . . 103
CHAPTER 4: Securing Your Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
CHAPTER 5: Passwords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
CHAPTER 6: Preventing Social Engineering Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Book 3: Securing a Business . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
CHAPTER 1: Securing Your Small Business . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
CHAPTER 2: Cybersecurity and Big Businesses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
CHAPTER 3: Identifying a Security Breach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
CHAPTER 4: Recovering from a Security Breach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
CHAPTER 5: Backing Up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
CHAPTER 6: Resetting Your Device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
CHAPTER 7: Restoring from Backups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Book 4: Securing the Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
CHAPTER 1: Clouds Aren’t Bulletproof . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
CHAPTER 2: Getting Down to Business . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
CHAPTER 3: Developing Secure Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
CHAPTER 4: Restricting Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
CHAPTER 5: Implementing Zero Trust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
CHAPTER 6: Using Cloud Security Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Book 5: Testing Your Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
CHAPTER 1: Introduction to Vulnerability and Penetration Testing . . . . . . . . . . . . . 453
CHAPTER 2: Cracking the Hacker Mindset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
CHAPTER 3: Developing Your Security Testing Plan . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
CHAPTER 4: Hacking Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
,CHAPTER 5: Information Gathering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
CHAPTER 6: Social Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
CHAPTER 7: Physical Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529
Book 6: Enhancing Cybersecurity Awareness . . . . . . . . . . . . . . 541
CHAPTER 1: Knowing How Security Awareness Programs Work . . . . . . . . . . . . . . . . 543
CHAPTER 2: Creating a Security Awareness Strategy . . . . . . . . . . . . . . . . . . . . . . . . . . 553
CHAPTER 3: Determining Culture and Business Drivers . . . . . . . . . . . . . . . . . . . . . . . 559
CHAPTER 4: Choosing the Best Tools for the Job . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
CHAPTER 5: Measuring Performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
CHAPTER 6: Assembling Your Security Awareness Program . . . . . . . . . . . . . . . . . . . 601
CHAPTER 7: Running Your Security Awareness Program . . . . . . . . . . . . . . . . . . . . . . 621
CHAPTER 8: Implementing Gamification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
, Table of Contents
INTRODUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
About This Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Foolish Assumptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Icons Used in This Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Beyond the Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Where to Go from Here . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
BOOK 1: CYBERSECURITY BASICS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
CHAPTER 1: What Exactly Is Cybersecurity? . . . . . . . . . . . . . . . . . . . . . . . . . 7
Cybersecurity Means Different Things to Different Folks . . . . . . . . . . . . 7
Cybersecurity Is a Constantly Moving Target . . . . . . . . . . . . . . . . . . . . . . 9
Technological changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Social shifts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
Economic model shifts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
Political shifts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
Looking at the Risks Cybersecurity Mitigates . . . . . . . . . . . . . . . . . . . . .20
The goal of cybersecurity: The CIA Triad . . . . . . . . . . . . . . . . . . . . . .21
From a human perspective . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
CHAPTER 2: Getting to Know Common Cyberattacks . . . . . . . . . . . . 23
Attacks That Inflict Damage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
Denial-of-service (DoS) attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Distributed denial-of-service (DDoS) attacks . . . . . . . . . . . . . . . . . . .24
Botnets and zombies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
Data destruction attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
Is That Really You? Impersonation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
Spear phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
CEO fraud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
Smishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Vishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Whaling: Going for the “big fish” . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
Messing around with Other People’s Stuff: Tampering . . . . . . . . . . . . .30
Captured in Transit: Interception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
Man-in-the-middle attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Taking What Isn’t Theirs: Data Theft . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
Personal data theft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
Business data theft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
Table of Contents v
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Book 1: Cybersecurity Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
CHAPTER 1: What Exactly Is Cybersecurity? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
CHAPTER 2: Getting to Know Common Cyberattacks . . . . . . . . . . . . . . . . . . . . . . . . . . 23
CHAPTER 3: The Bad Guys You Must Defend Against . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Book 2: Personal Cybersecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
CHAPTER 1: Evaluating Your Current Cybersecurity Posture . . . . . . . . . . . . . . . . . . . . 71
CHAPTER 2: Enhancing Physical Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
CHAPTER 3: Cybersecurity Considerations When Working from Home . . . . . . . . . . 103
CHAPTER 4: Securing Your Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
CHAPTER 5: Passwords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
CHAPTER 6: Preventing Social Engineering Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Book 3: Securing a Business . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
CHAPTER 1: Securing Your Small Business . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
CHAPTER 2: Cybersecurity and Big Businesses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
CHAPTER 3: Identifying a Security Breach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
CHAPTER 4: Recovering from a Security Breach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
CHAPTER 5: Backing Up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
CHAPTER 6: Resetting Your Device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
CHAPTER 7: Restoring from Backups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Book 4: Securing the Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
CHAPTER 1: Clouds Aren’t Bulletproof . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
CHAPTER 2: Getting Down to Business . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
CHAPTER 3: Developing Secure Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
CHAPTER 4: Restricting Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
CHAPTER 5: Implementing Zero Trust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
CHAPTER 6: Using Cloud Security Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Book 5: Testing Your Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
CHAPTER 1: Introduction to Vulnerability and Penetration Testing . . . . . . . . . . . . . 453
CHAPTER 2: Cracking the Hacker Mindset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
CHAPTER 3: Developing Your Security Testing Plan . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
CHAPTER 4: Hacking Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
,CHAPTER 5: Information Gathering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
CHAPTER 6: Social Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
CHAPTER 7: Physical Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529
Book 6: Enhancing Cybersecurity Awareness . . . . . . . . . . . . . . 541
CHAPTER 1: Knowing How Security Awareness Programs Work . . . . . . . . . . . . . . . . 543
CHAPTER 2: Creating a Security Awareness Strategy . . . . . . . . . . . . . . . . . . . . . . . . . . 553
CHAPTER 3: Determining Culture and Business Drivers . . . . . . . . . . . . . . . . . . . . . . . 559
CHAPTER 4: Choosing the Best Tools for the Job . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
CHAPTER 5: Measuring Performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
CHAPTER 6: Assembling Your Security Awareness Program . . . . . . . . . . . . . . . . . . . 601
CHAPTER 7: Running Your Security Awareness Program . . . . . . . . . . . . . . . . . . . . . . 621
CHAPTER 8: Implementing Gamification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
, Table of Contents
INTRODUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
About This Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Foolish Assumptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Icons Used in This Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Beyond the Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Where to Go from Here . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
BOOK 1: CYBERSECURITY BASICS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
CHAPTER 1: What Exactly Is Cybersecurity? . . . . . . . . . . . . . . . . . . . . . . . . . 7
Cybersecurity Means Different Things to Different Folks . . . . . . . . . . . . 7
Cybersecurity Is a Constantly Moving Target . . . . . . . . . . . . . . . . . . . . . . 9
Technological changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Social shifts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
Economic model shifts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
Political shifts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
Looking at the Risks Cybersecurity Mitigates . . . . . . . . . . . . . . . . . . . . .20
The goal of cybersecurity: The CIA Triad . . . . . . . . . . . . . . . . . . . . . .21
From a human perspective . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
CHAPTER 2: Getting to Know Common Cyberattacks . . . . . . . . . . . . 23
Attacks That Inflict Damage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
Denial-of-service (DoS) attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Distributed denial-of-service (DDoS) attacks . . . . . . . . . . . . . . . . . . .24
Botnets and zombies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
Data destruction attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
Is That Really You? Impersonation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
Spear phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
CEO fraud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
Smishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Vishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Whaling: Going for the “big fish” . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
Messing around with Other People’s Stuff: Tampering . . . . . . . . . . . . .30
Captured in Transit: Interception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
Man-in-the-middle attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Taking What Isn’t Theirs: Data Theft . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
Personal data theft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
Business data theft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
Table of Contents v
