Aktywne wykrywanie zagrożeń w systemach IT w praktyce. Wykorzystywanie analizy danych, frameworku ATT&CK oraz narzędzi open source - ebook

Valentina Costa-Gazcón

Wydawnictwo:

Helion

Tłumacz:

Piotr Rakowski

Data wydania:

23 sierpnia 2022

Format ebooka:

MOBI

czytaj

na czytniku

czytaj

na tablecie

czytaj

na smartfonie

Jeden z najczęściej wybieranych formatów wśród czytelników e-booków. Możesz go odczytać na czytniku Kindle oraz na smartfonach i tabletach po zainstalowaniu specjalnej aplikacji. Więcej informacji znajdziesz w dziale Pomoc.

Multiformat

E-booki w Virtualo.pl dostępne są w opcji multiformatu. Oznacza to, że po dokonaniu zakupu, e-book pojawi się na Twoim koncie we wszystkich formatach dostępnych aktualnie dla danego tytułu. Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu.

, PDF

czytaj

na laptopie

czytaj

na tablecie

Format e-booków, który możesz odczytywać na tablecie oraz laptopie. Pliki PDF są odczytywane również przez czytniki i smartfony, jednakze względu na komfort czytania i brak możliwości skalowania czcionki, czytanie plików PDF na tych urządzeniach może być męczące dla oczu. Więcej informacji znajdziesz w dziale Pomoc.

Multiformat

, EPUB

czytaj

na czytniku

czytaj

na tablecie

czytaj

na smartfonie

Jeden z najpopularniejszych formatów e-booków na świecie. Niezwykle wygodny i przyjazny czytelnikom - w przeciwieństwie do formatu PDF umożliwia skalowanie czcionki, dzięki czemu możliwe jest dopasowanie jej wielkości do kroju i rozmiarów ekranu. Więcej informacji znajdziesz w dziale Pomoc.

Multiformat

(3w1)

Multiformat

E-booki sprzedawane w księgarni Virtualo.pl dostępne są w opcji multiformatu - kupujesz treść, nie format. Po dodaniu e-booka do koszyka i dokonaniu płatności, e-book pojawi się na Twoim koncie w Mojej Bibliotece we wszystkich formatach dostępnych aktualnie dla danego tytułu. Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu przy okładce. Uwaga: audiobooki nie są objęte opcją multiformatu.

czytaj

na laptopie

Pliki PDF zabezpieczone watermarkiem możesz odczytać na dowolnym laptopie po zainstalowaniu czytnika dokumentów PDF. Najpowszechniejszym programem, który umożliwi odczytanie pliku PDF na laptopie, jest Adobe Reader. W zależności od potrzeb, możesz zainstalować również inny program - e-booki PDF pod względem sposobu odczytywania nie różnią niczym od powszechnie stosowanych dokumentów PDF, które odczytujemy każdego dnia.

Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.

czytaj

na tablecie

Aby odczytywać e-booki na swoim tablecie musisz zainstalować specjalną aplikację. W zależności od formatu e-booka oraz systemu operacyjnego, który jest zainstalowany na Twoim urządzeniu może to być np. Bluefire dla EPUBa lub aplikacja Kindle dla formatu MOBI.

Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.

czytaj

na czytniku

Czytanie na e-czytniku z ekranem e-ink jest bardzo wygodne i nie męczy wzroku. Pliki przystosowane do odczytywania na czytnikach to przede wszystkim EPUB (ten format możesz odczytać m.in. na czytnikach PocketBook) i MOBI (ten fromat możesz odczytać m.in. na czytnikach Kindle).

Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.

czytaj

na smartfonie

Aby odczytywać e-booki na swoim smartfonie musisz zainstalować specjalną aplikację. W zależności od formatu e-booka oraz systemu operacyjnego, który jest zainstalowany na Twoim urządzeniu może to być np. iBooks dla EPUBa lub aplikacja Kindle dla formatu MOBI.

Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.

Aktywne wykrywanie zagrożeń w systemach IT w praktyce. Wykorzystywanie analizy danych, frameworku ATT&CK oraz narzędzi open source - ebook

Udany atak na system informatyczny organizacji może mieć bardzo poważne konsekwencje. W ostatnich latach analitycy cyberbezpieczeństwa starają się uprzedzać zagrożenia i je neutralizować, zanim dojdzie do wystąpienia większych szkód w systemie. Podejście to wymaga nieustannego testowania i wzmacniania mechanizmów obronnych w systemie informatycznym organizacji. W ramach tych procesów można zebrać wiele cennych danych, użyć ich do budowy modeli i dzięki temu lepiej zrozumieć istotne kwestie związane z bezpieczeństwem IT.

Ta książka to praktyczny przewodnik po aktywnych technikach wykrywania, analizowania i neutralizowania zagrożeń cybernetycznych. Dzięki niej, nawet jeśli nie posiadasz specjalistycznej wiedzy w tym zakresie, łatwo wdrożysz od podstaw skuteczny program aktywnego zabezpieczania swojej organizacji. Dowiesz się, w jaki sposób wykrywać ataki, jak zbierać dane i za pomocą modeli pozyskiwać z nich cenne informacje. Przekonasz się, że niezbędne środowisko możesz skonfigurować przy użyciu narzędzi open source. Dzięki licznym ćwiczeniom nauczysz się w praktyce korzystać z biblioteki testów Atomic Red Team, a także z frameworku MITRE ATT&CK™. Ponadto zdobędziesz umiejętności związane z dokumentowaniem swoich działań, definiowaniem wskaźników bezpieczeństwa systemu, jak również komunikowaniem informacji o jego naruszeniach swoim współpracownikom, przełożonym i partnerom biznesowym.

Dzięki książce:

poznasz podstawy informatyki śledczej i analizy zagrożeń
dowiesz się, w jaki sposób modelować zebrane dane i dokumentować wyniki badań
nauczysz się symulować działania agresorów w środowisku laboratoryjnym
wprawisz się we wczesnym wykrywaniu naruszeń
poznasz zasady komunikowania się z kierownictwem i otoczeniem biznesowym

To proste. Szukaj. Wykryj. Zneutralizuj!

Spis treści

O autorce

O recenzentach

Wstęp

Część I. Informatyka wywiadowcza

Rozdział 1. Czym jest informatyka wywiadowcza?

Informatyka wywiadowcza
- Poziom strategiczny
- Poziom operacyjny
- Poziom taktyczny
Cykl działań wywiadowczych
- Planowanie i wyznaczanie celów
- Przygotowywanie i gromadzenie danych
- Przetwarzanie i wykorzystywanie danych
- Analiza i wytwarzanie informacji
- Rozpowszechnianie i integracja wiedzy
- Ocena i informacje zwrotne
Definiowanie Twojego zapotrzebowania na informacje wywiadowcze
Proces gromadzenia danych
- Wskaźniki naruszenia bezpieczeństwa
- Zrozumieć złośliwe oprogramowanie
- Wykorzystanie źródeł publicznych do gromadzenia danych - OSINT
- Honeypoty
- Analiza złośliwego oprogramowania i sandboxing
Przetwarzanie i wykorzystywanie danych
- Cyber Kill Chain®
- Model diamentowy
- Framework MITRE ATT&CK
Tendencyjność a analiza informacji
Podsumowanie

Rozdział 2. Czym jest polowanie na zagrożenia?

Wymogi merytoryczne
Czym jest polowanie na zagrożenia?
- Rodzaje polowań na zagrożenia
- Zestaw umiejętności łowcy zagrożeń
- Piramida bólu
Model dojrzałości w procesie polowania na zagrożenia
- Określenie naszego modelu dojrzałości
Proces polowania na zagrożenia
- Pętla polowania na zagrożenia
- Model polowania na zagrożenia
- Metodologia oparta na danych
- TaHiTI - polowanie ukierunkowane integrujące informatykę wywiadowczą
Tworzenie hipotezy
Podsumowanie

Rozdział 3. Z jakich źródeł pozyskujemy dane?

Wymogi merytoryczne i techniczne
Zrozumienie zebranych danych
- Podstawy systemów operacyjnych
- Podstawy działania sieci komputerowych
Narzędzia dostępne w systemie Windows
- Podgląd zdarzeń w systemie Windows
- Instrumentacja zarządzania systemem Windows (WMI)
- Śledzenie zdarzeń dla Windows (ETW)
Źródła danych
- Dane z punktów końcowych
- Dane sieciowe
- Dane zabezpieczeń
Podsumowanie

Część II. Zrozumieć przeciwnika

Rozdział 4. Jak mapować przeciwnika

Wymogi merytoryczne
Framework ATT&CK
- Taktyki, techniki, subtechniki i procedury
- Macierz ATT&CK
- Nawigator ATT&CK
Mapowanie za pomocą frameworka ATT&CK
Przetestuj się!
- Odpowiedzi
Podsumowanie

Rozdział 5. Praca z danymi

Wymogi merytoryczne i techniczne
Używanie słowników danych
- Metadane zdarzeń zagrażających bezpieczeństwu typu open source
Używanie narzędzia MITRE CAR
- CARET
Używanie Sigmy
Podsumowanie

Rozdział 6. Jak emulować przeciwnika

Stworzenie planu emulacji przeciwnika
- Czym jest emulacja przeciwnika?
- Plan emulacji zespołu MITRE ATT&CK
Jak emulować zagrożenie
- Atomic Red Team
- Mordor (Security Datasets)
- CALDERA
- Pozostałe narzędzia
Przetestuj się!
- Odpowiedzi
Podsumowanie

Część III. Jak pracować z wykorzystaniem środowiska badawczego

Rozdział 7. Jak stworzyć środowisko badawcze

Wymogi merytoryczne i techniczne
Konfigurowanie środowiska badawczego
Instalowanie środowiska wirtualnego VMware ESXI
- Tworzenie sieci VLAN
- Konfigurowanie zapory (firewalla)
Instalowanie systemu operacyjnego Windows Server
Konfigurowanie systemu operacyjnego Windows Server w roli kontrolera domeny
- Zrozumienie struktury usługi katalogowej Active Directory
- Nadanie serwerowi statusu kontrolera domeny
- Konfigurowanie serwera DHCP
- Tworzenie jednostek organizacyjnych
- Tworzenie użytkowników
- Tworzenie grup
- Obiekty zasad grupy
- Konfigurowanie zasad inspekcji
- Dodawanie nowych klientów
Konfigurowanie stosu ELK
- Konfigurowanie usługi systemowej Sysmon
- Pobieranie certyfikatu
Konfigurowanie aplikacji Winlogbeat
- Szukanie naszych danych w instancji stosu ELK
Bonus - dodawanie zbiorów danych Mordor do naszej instancji stosu ELK
HELK - narzędzie open source autorstwa Roberto Rodrigueza
- Rozpoczęcie pracy z platformą HELK
Podsumowanie

Rozdział 8. Jak przeprowadzać kwerendę danych

Wymogi merytoryczne i techniczne
Atomowe polowanie z użyciem bibliotek Atomic Red Team
Cykl testowy bibliotek Atomic Red Team
- Testowanie dostępu początkowego
- Testowanie wykonania
- Testowanie zdolności do przetrwania
- Testy nadużywania przywilejów
- Testowanie unikania systemów obronnych
- Testowanie pod kątem wykrywania przez atakującego zasobów ofiary
- Testowanie taktyki wysyłania poleceń i sterowania (C2)
- Invoke-AtomicRedTeam
Quasar RAT
- Przypadki użycia trojana Quasar RAT w świecie rzeczywistym
- Uruchamianie i wykrywanie trojana Quasar RAT
- Testowanie zdolności do przetrwania
- Testowanie dostępu do danych uwierzytelniających
- Badanie ruchów poprzecznych
Podsumowanie

Rozdział 9. Jak polować na przeciwnika

Wymogi merytoryczne i techniczne
Oceny przeprowadzone przez MITRE
- Importowanie zbiorów danych APT29 do bazy HELK
- Polowanie na APT29
Używanie frameworka MITRE CALDERA
- Konfigurowanie programu CALDERA
- Wykonanie planu emulacji za pomocą programu CALDERA
Reguły pisane w języku Sigma
Podsumowanie

Rozdział 10. Znaczenie dokumentowania i automatyzowania procesu

Znaczenie dokumentacji
- Klucz do pisania dobrej dokumentacji
- Dokumentowanie polowań
Threat Hunter Playbook
Jupyter Notebook
Aktualizowanie procesu polowania
Znaczenie automatyzacji
Podsumowanie

Część IV. Wymiana informacji kluczem do sukcesu

Rozdział 11. Jak oceniać jakość danych

Wymogi merytoryczne i techniczne
Jak odróżnić dane dobrej jakości od danych złej jakości
- Wymiary danych
Jak poprawić jakość danych
- OSSEM Power-up
- DeTT&CT
- Sysmon-Modular
Podsumowanie

Rozdział 12. Jak zrozumieć dane wyjściowe

Jak zrozumieć wyniki polowania
Znaczenie wyboru dobrych narzędzi analitycznych
Przetestuj się!
- Odpowiedzi
Podsumowanie

Rozdział 13. Jak zdefiniować dobre wskaźniki śledzenia postępów

Wymogi merytoryczne i techniczne
Znaczenie definiowania dobrych wskaźników
Jak określić sukces programu polowań
- Korzystanie z frameworka MaGMA for Threat Hunting
Podsumowanie

Rozdział 14. Jak stworzyć zespół szybkiego reagowania i jak informować zarząd o wynikach polowań

Jak zaangażować w działanie zespół reagowania na incydenty
Wpływ komunikowania się na sukces programu polowania na zagrożenia
Przetestuj się!
- Odpowiedzi
Podsumowanie

Dodatek. Stan polowań

Kategoria:	Hacking
Język:	Polski
Zabezpieczenie:	Watermark Watermark Watermarkowanie polega na znakowaniu plików wewnątrz treści, dzięki czemu możliwe jest rozpoznanie unikatowej licencji transakcyjnej Użytkownika. E-książki zabezpieczone watermarkiem można odczytywać na wszystkich urządzeniach odtwarzających wybrany format (czytniki, tablety, smartfony). Nie ma również ograniczeń liczby licencji oraz istnieje możliwość swobodnego przenoszenia plików między urządzeniami. Pliki z watermarkiem są kompatybilne z popularnymi programami do odczytywania ebooków, jak np. Calibre oraz aplikacjami na urządzenia mobilne na takie platformy jak iOS oraz Android.
ISBN:	978-83-283-8886-4
Rozmiar pliku:	32 MB
Użytkowanie:	w granicach licencji Informacje na temat użytkowania Kopia przeznaczona jest wyłącznie do własnego użytku osobistego w granicach udzielonej licencji. Wszelkie prawa są zastrzeżone chyba, że właściciel praw autorskich udzieli wyraźnej licencji. Z wyjątkiem sytuacji dopuszczalnych przez prawo lub uzyskania zgody uprawnionego z tytułu praw autorskich, jakiekolwiek powielanie, montaż, wyświetlanie, wypożyczanie, publiczne pokazy czy inne rozpowszechnianie zawartości tej kopii lub jej fragmentów czy części jest bezwzględnie zabronione. Niniejsza kopia nie może być przedmiotem odsprzedaży czy dystrybucji i sprzedaży handlowej bez uzyskania odpowiedniej licencji udzielonej przez Virtualo sp. z o.o.
Drukowanie:	w granicach licencji Informacje na temat użytkowania Kopia przeznaczona jest wyłącznie do własnego użytku osobistego w granicach udzielonej licencji. Wszelkie prawa są zastrzeżone chyba, że właściciel praw autorskich udzieli wyraźnej licencji. Z wyjątkiem sytuacji dopuszczalnych przez prawo lub uzyskania zgody uprawnionego z tytułu praw autorskich, jakiekolwiek powielanie, montaż, wyświetlanie, wypożyczanie, publiczne pokazy czy inne rozpowszechnianie zawartości tej kopii lub jej fragmentów czy części jest bezwzględnie zabronione. Niniejsza kopia nie może być przedmiotem odsprzedaży czy dystrybucji i sprzedaży handlowej bez uzyskania odpowiedniej licencji udzielonej przez Virtualo sp. z o.o.
Kopiowanie:	w granicach licencji Informacje na temat użytkowania Kopia przeznaczona jest wyłącznie do własnego użytku osobistego w granicach udzielonej licencji. Wszelkie prawa są zastrzeżone chyba, że właściciel praw autorskich udzieli wyraźnej licencji. Z wyjątkiem sytuacji dopuszczalnych przez prawo lub uzyskania zgody uprawnionego z tytułu praw autorskich, jakiekolwiek powielanie, montaż, wyświetlanie, wypożyczanie, publiczne pokazy czy inne rozpowszechnianie zawartości tej kopii lub jej fragmentów czy części jest bezwzględnie zabronione. Niniejsza kopia nie może być przedmiotem odsprzedaży czy dystrybucji i sprzedaży handlowej bez uzyskania odpowiedniej licencji udzielonej przez Virtualo sp. z o.o.

Aktywne wykrywanie zagrożeń w systemach IT w praktyce. Wykorzystywanie analizy danych, frameworku ATT&CK oraz narzędzi open source - ebook

Spis treści

BESTSELLERY