Aktywne wykrywanie zagrożeń w systemach IT w praktyce. Wykorzystywanie analizy danych, frameworku ATT&CK oraz narzędzi open source - ebook

Udany atak na system informatyczny organizacji może mieć bardzo poważne konsekwencje. W ostatnich latach analitycy cyberbezpieczeństwa starają się uprzedzać zagrożenia i je neutralizować, zanim dojdzie do wystąpienia większych szkód w systemie. Podejście to wymaga nieustannego testowania i wzmacniania mechanizmów obronnych w systemie informatycznym organizacji. W ramach tych procesów można zebrać wiele cennych danych, użyć ich do budowy modeli i dzięki temu lepiej zrozumieć istotne kwestie związane z bezpieczeństwem IT.

Ta książka to praktyczny przewodnik po aktywnych technikach wykrywania, analizowania i neutralizowania zagrożeń cybernetycznych. Dzięki niej, nawet jeśli nie posiadasz specjalistycznej wiedzy w tym zakresie, łatwo wdrożysz od podstaw skuteczny program aktywnego zabezpieczania swojej organizacji. Dowiesz się, w jaki sposób wykrywać ataki, jak zbierać dane i za pomocą modeli pozyskiwać z nich cenne informacje. Przekonasz się, że niezbędne środowisko możesz skonfigurować przy użyciu narzędzi open source. Dzięki licznym ćwiczeniom nauczysz się w praktyce korzystać z biblioteki testów Atomic Red Team, a także z frameworku MITRE ATT&CK™. Ponadto zdobędziesz umiejętności związane z dokumentowaniem swoich działań, definiowaniem wskaźników bezpieczeństwa systemu, jak również komunikowaniem informacji o jego naruszeniach swoim współpracownikom, przełożonym i partnerom biznesowym.

Dzięki książce:

• poznasz podstawy informatyki śledczej i analizy zagrożeń
• dowiesz się, w jaki sposób modelować zebrane dane i dokumentować wyniki badań
• nauczysz się symulować działania agresorów w środowisku laboratoryjnym
• wprawisz się we wczesnym wykrywaniu naruszeń
• poznasz zasady komunikowania się z kierownictwem i otoczeniem biznesowym

To proste. Szukaj. Wykryj. Zneutralizuj!

O autorce

O recenzentach

Wstęp

Część I. Informatyka wywiadowcza

Rozdział 1. Czym jest informatyka wywiadowcza?

• Informatyka wywiadowcza
  • Poziom strategiczny
  • Poziom operacyjny
  • Poziom taktyczny
• Cykl działań wywiadowczych
  • Planowanie i wyznaczanie celów
  • Przygotowywanie i gromadzenie danych
  • Przetwarzanie i wykorzystywanie danych
  • Analiza i wytwarzanie informacji
  • Rozpowszechnianie i integracja wiedzy
  • Ocena i informacje zwrotne
• Definiowanie Twojego zapotrzebowania na informacje wywiadowcze
• Proces gromadzenia danych
  • Wskaźniki naruszenia bezpieczeństwa
  • Zrozumieć złośliwe oprogramowanie
  • Wykorzystanie źródeł publicznych do gromadzenia danych - OSINT
  • Honeypoty
  • Analiza złośliwego oprogramowania i sandboxing
• Przetwarzanie i wykorzystywanie danych
  • Cyber Kill Chain®
  • Model diamentowy
  • Framework MITRE ATT&CK
• Tendencyjność a analiza informacji
• Podsumowanie

Rozdział 2. Czym jest polowanie na zagrożenia?

• Wymogi merytoryczne
• Czym jest polowanie na zagrożenia?
  • Rodzaje polowań na zagrożenia
  • Zestaw umiejętności łowcy zagrożeń
  • Piramida bólu
• Model dojrzałości w procesie polowania na zagrożenia
  • Określenie naszego modelu dojrzałości
• Proces polowania na zagrożenia
  • Pętla polowania na zagrożenia
  • Model polowania na zagrożenia
  • Metodologia oparta na danych
  • TaHiTI - polowanie ukierunkowane integrujące informatykę wywiadowczą
• Tworzenie hipotezy
• Podsumowanie

Rozdział 3. Z jakich źródeł pozyskujemy dane?

• Wymogi merytoryczne i techniczne
• Zrozumienie zebranych danych
  • Podstawy systemów operacyjnych
  • Podstawy działania sieci komputerowych
• Narzędzia dostępne w systemie Windows
  • Podgląd zdarzeń w systemie Windows
  • Instrumentacja zarządzania systemem Windows (WMI)
  • Śledzenie zdarzeń dla Windows (ETW)
• Źródła danych
  • Dane z punktów końcowych
  • Dane sieciowe
  • Dane zabezpieczeń
• Podsumowanie

Część II. Zrozumieć przeciwnika

Rozdział 4. Jak mapować przeciwnika

• Wymogi merytoryczne
• Framework ATT&CK
  • Taktyki, techniki, subtechniki i procedury
  • Macierz ATT&CK
  • Nawigator ATT&CK
• Mapowanie za pomocą frameworka ATT&CK
• Przetestuj się!
  • Odpowiedzi
• Podsumowanie

Rozdział 5. Praca z danymi

• Wymogi merytoryczne i techniczne
• Używanie słowników danych
  • Metadane zdarzeń zagrażających bezpieczeństwu typu open source
• Używanie narzędzia MITRE CAR
  • CARET
• Używanie Sigmy
• Podsumowanie

Rozdział 6. Jak emulować przeciwnika

• Stworzenie planu emulacji przeciwnika
  • Czym jest emulacja przeciwnika?
  • Plan emulacji zespołu MITRE ATT&CK
• Jak emulować zagrożenie
  • Atomic Red Team
  • Mordor (Security Datasets)
  • CALDERA
  • Pozostałe narzędzia
• Przetestuj się!
  • Odpowiedzi
• Podsumowanie

Część III. Jak pracować z wykorzystaniem środowiska badawczego

Rozdział 7. Jak stworzyć środowisko badawcze

• Wymogi merytoryczne i techniczne
• Konfigurowanie środowiska badawczego
• Instalowanie środowiska wirtualnego VMware ESXI
  • Tworzenie sieci VLAN
  • Konfigurowanie zapory (firewalla)
• Instalowanie systemu operacyjnego Windows Server
• Konfigurowanie systemu operacyjnego Windows Server w roli kontrolera domeny
  • Zrozumienie struktury usługi katalogowej Active Directory
  • Nadanie serwerowi statusu kontrolera domeny
  • Konfigurowanie serwera DHCP
  • Tworzenie jednostek organizacyjnych
  • Tworzenie użytkowników
  • Tworzenie grup
  • Obiekty zasad grupy
  • Konfigurowanie zasad inspekcji
  • Dodawanie nowych klientów
• Konfigurowanie stosu ELK
  • Konfigurowanie usługi systemowej Sysmon
  • Pobieranie certyfikatu
• Konfigurowanie aplikacji Winlogbeat
  • Szukanie naszych danych w instancji stosu ELK
• Bonus - dodawanie zbiorów danych Mordor do naszej instancji stosu ELK
• HELK - narzędzie open source autorstwa Roberto Rodrigueza
  • Rozpoczęcie pracy z platformą HELK
• Podsumowanie

Rozdział 8. Jak przeprowadzać kwerendę danych

• Wymogi merytoryczne i techniczne
• Atomowe polowanie z użyciem bibliotek Atomic Red Team
• Cykl testowy bibliotek Atomic Red Team
  • Testowanie dostępu początkowego
  • Testowanie wykonania
  • Testowanie zdolności do przetrwania
  • Testy nadużywania przywilejów
  • Testowanie unikania systemów obronnych
  • Testowanie pod kątem wykrywania przez atakującego zasobów ofiary
  • Testowanie taktyki wysyłania poleceń i sterowania (C2)
  • Invoke-AtomicRedTeam
• Quasar RAT
  • Przypadki użycia trojana Quasar RAT w świecie rzeczywistym
  • Uruchamianie i wykrywanie trojana Quasar RAT
  • Testowanie zdolności do przetrwania
  • Testowanie dostępu do danych uwierzytelniających
  • Badanie ruchów poprzecznych
• Podsumowanie

Rozdział 9. Jak polować na przeciwnika

• Wymogi merytoryczne i techniczne
• Oceny przeprowadzone przez MITRE
  • Importowanie zbiorów danych APT29 do bazy HELK
  • Polowanie na APT29
• Używanie frameworka MITRE CALDERA
  • Konfigurowanie programu CALDERA
  • Wykonanie planu emulacji za pomocą programu CALDERA
• Reguły pisane w języku Sigma
• Podsumowanie

Rozdział 10. Znaczenie dokumentowania i automatyzowania procesu

• Znaczenie dokumentacji
  • Klucz do pisania dobrej dokumentacji
  • Dokumentowanie polowań
• Threat Hunter Playbook
• Jupyter Notebook
• Aktualizowanie procesu polowania
• Znaczenie automatyzacji
• Podsumowanie

Część IV. Wymiana informacji kluczem do sukcesu

Rozdział 11. Jak oceniać jakość danych

• Wymogi merytoryczne i techniczne
• Jak odróżnić dane dobrej jakości od danych złej jakości
  • Wymiary danych
• Jak poprawić jakość danych
  • OSSEM Power-up
  • DeTT&CT
  • Sysmon-Modular
• Podsumowanie

Rozdział 12. Jak zrozumieć dane wyjściowe

• Jak zrozumieć wyniki polowania
• Znaczenie wyboru dobrych narzędzi analitycznych
• Przetestuj się!
  • Odpowiedzi
• Podsumowanie

Rozdział 13. Jak zdefiniować dobre wskaźniki śledzenia postępów

• Wymogi merytoryczne i techniczne
• Znaczenie definiowania dobrych wskaźników
• Jak określić sukces programu polowań
  • Korzystanie z frameworka MaGMA for Threat Hunting
• Podsumowanie

Rozdział 14. Jak stworzyć zespół szybkiego reagowania i jak informować zarząd o wynikach polowań

• Jak zaangażować w działanie zespół reagowania na incydenty
• Wpływ komunikowania się na sukces programu polowania na zagrożenia
• Przetestuj się!
  • Odpowiedzi
• Podsumowanie

Dodatek. Stan polowań