Facebook - konwersja
  • promocja

Incydenty bezpieczeństwa. Metody reagowania w informatyce śledczej - ebook

Wydawnictwo:
Tłumacz:
Data wydania:
7 lutego 2016
Format ebooka:
EPUB
Format EPUB
czytaj
na czytniku
czytaj
na tablecie
czytaj
na smartfonie
Jeden z najpopularniejszych formatów e-booków na świecie. Niezwykle wygodny i przyjazny czytelnikom - w przeciwieństwie do formatu PDF umożliwia skalowanie czcionki, dzięki czemu możliwe jest dopasowanie jej wielkości do kroju i rozmiarów ekranu. Więcej informacji znajdziesz w dziale Pomoc.
Multiformat
E-booki w Virtualo.pl dostępne są w opcji multiformatu. Oznacza to, że po dokonaniu zakupu, e-book pojawi się na Twoim koncie we wszystkich formatach dostępnych aktualnie dla danego tytułu. Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu.
, PDF
Format PDF
czytaj
na laptopie
czytaj
na tablecie
Format e-booków, który możesz odczytywać na tablecie oraz laptopie. Pliki PDF są odczytywane również przez czytniki i smartfony, jednakze względu na komfort czytania i brak możliwości skalowania czcionki, czytanie plików PDF na tych urządzeniach może być męczące dla oczu. Więcej informacji znajdziesz w dziale Pomoc.
Multiformat
E-booki w Virtualo.pl dostępne są w opcji multiformatu. Oznacza to, że po dokonaniu zakupu, e-book pojawi się na Twoim koncie we wszystkich formatach dostępnych aktualnie dla danego tytułu. Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu.
, MOBI
Format MOBI
czytaj
na czytniku
czytaj
na tablecie
czytaj
na smartfonie
Jeden z najczęściej wybieranych formatów wśród czytelników e-booków. Możesz go odczytać na czytniku Kindle oraz na smartfonach i tabletach po zainstalowaniu specjalnej aplikacji. Więcej informacji znajdziesz w dziale Pomoc.
Multiformat
E-booki w Virtualo.pl dostępne są w opcji multiformatu. Oznacza to, że po dokonaniu zakupu, e-book pojawi się na Twoim koncie we wszystkich formatach dostępnych aktualnie dla danego tytułu. Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu.
(3w1)
Multiformat
E-booki sprzedawane w księgarni Virtualo.pl dostępne są w opcji multiformatu - kupujesz treść, nie format. Po dodaniu e-booka do koszyka i dokonaniu płatności, e-book pojawi się na Twoim koncie w Mojej Bibliotece we wszystkich formatach dostępnych aktualnie dla danego tytułu. Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu przy okładce. Uwaga: audiobooki nie są objęte opcją multiformatu.
czytaj
na laptopie
Pliki PDF zabezpieczone watermarkiem możesz odczytać na dowolnym laptopie po zainstalowaniu czytnika dokumentów PDF. Najpowszechniejszym programem, który umożliwi odczytanie pliku PDF na laptopie, jest Adobe Reader. W zależności od potrzeb, możesz zainstalować również inny program - e-booki PDF pod względem sposobu odczytywania nie różnią niczym od powszechnie stosowanych dokumentów PDF, które odczytujemy każdego dnia.
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.
czytaj
na tablecie
Aby odczytywać e-booki na swoim tablecie musisz zainstalować specjalną aplikację. W zależności od formatu e-booka oraz systemu operacyjnego, który jest zainstalowany na Twoim urządzeniu może to być np. Bluefire dla EPUBa lub aplikacja Kindle dla formatu MOBI.
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.
czytaj
na czytniku
Czytanie na e-czytniku z ekranem e-ink jest bardzo wygodne i nie męczy wzroku. Pliki przystosowane do odczytywania na czytnikach to przede wszystkim EPUB (ten format możesz odczytać m.in. na czytnikach PocketBook) i MOBI (ten fromat możesz odczytać m.in. na czytnikach Kindle).
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.
czytaj
na smartfonie
Aby odczytywać e-booki na swoim smartfonie musisz zainstalować specjalną aplikację. W zależności od formatu e-booka oraz systemu operacyjnego, który jest zainstalowany na Twoim urządzeniu może to być np. iBooks dla EPUBa lub aplikacja Kindle dla formatu MOBI.
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.

Incydenty bezpieczeństwa. Metody reagowania w informatyce śledczej - ebook

Pomiędzy administratorami systemów informatycznych a cyberprzestępcami trwa ciągły wyścig zbrojeń. Ewoluują zarówno stosowane zabezpieczenia, jak i metody kradzieży — jedne i drugie stają się coraz bardziej wyrafinowane. W grę wchodzą przecież duże pieniądze, prestiż, zaufanie, a bywa, że stawka jest o wiele większa. Praca osoby zajmującej się bezpieczeństwem urządzeń informatycznych wymaga ogromnej wiedzy, zmusza do bezustannej nauki, ciągłej analizy i doskonalenia procedur, a przede wszystkim do konsekwentnego wyciągania wniosków z wykrytych incydentów.

Niniejsza książka jest wyczerpującym podręcznikiem bezpieczeństwa systemów informatycznych, a ściślej rzecz ujmując — procedur reagowania na incydenty bezpieczeństwa. To lektura obowiązkowa zarówno dla osób z najwyższego kierownictwa, jak i dla koordynatorów oraz specjalistów zajmujących się bezpieczeństwem systemów informatycznych. Przedstawiono tu sposoby przygotowania zabezpieczeń, ale także opisano, co należy zrobić (i w jakiej kolejności) w przypadku wykrycia ich naruszeń. Co ważne, ta wiedza jest aktualna i oparta na najlepszych doświadczeniach wybitnych specjalistów.

Przedstawiono tu między innymi:
  • zasady budowy infrastruktury umożliwiającej metodyczne reagowanie na incydenty bezpieczeństwa
  • metody wykrywania śladów włamań i identyfikacji wskaźników zagrożeń
  • sposoby prowadzenia czynności śledczych i analizy danych zgromadzonych w tym procesie
  • metodykę analizy szkodliwego kodu
  • techniki raportowania procesów reakcji na incydent
  • zasady tworzenia i wdrażania kompleksowych planów naprawczych

Bądź czujny i nie daj się zaskoczyć!


Jason T. Luttgens, Matthew Pepe i Kevin Mandia — od wielu lat są związani z bezpieczeństwem systemów informatycznych oraz informatyką śledczą. Przeprowadzili wiele śledztw dotyczących szpiegostwa przemysłowego czy kradzieży danych, w tym danych z kart kredytowych; zajmowali się także badaniem i rozwojem metod śledczych, testowaniem sprzętu i oprogramowania. Wszyscy trzej pracowali w instytucjach państwowych (Air Force) czy agencjach rządowych (NASA).

Spis treści

O autorach (13)

Wstęp (15)

Podziękowania (17)

Wprowadzenie (19)

CZĘŚĆ I. PRZYGOTOWYWANIE SIĘ NA NIEUNIKNIONE

1. Prawdziwe incydenty (25)

  • Co to jest incydent bezpieczeństwa (26)
  • Co to jest reakcja na incydent (27)
  • Aktualny stan wiedzy (28)
  • Dlaczego powinieneś interesować się kwestiami reakcji na incydenty bezpieczeństwa (30)
  • Studia przypadku (30)
    • Studium przypadku 1. Gdzie są pieniądze (31)
    • Studium przypadku 2. Certyfikat autentyczności (37)
  • Fazy cyklu ataku (40)
  • I co z tego (43)
  • Pytania (43)

2. Podręcznik reagowania na incydenty bezpieczeństwa (45)

  • Co to jest incydent bezpieczeństwa komputerowego (46)
  • Cele reakcji na incydent (47)
  • Kto bierze udział w procesie reakcji na incydent (48)
    • Wyszukiwanie utalentowanych specjalistów do zespołu reagowania na incydenty (50[ 1\)
  • Proces reakcji na incydent (53)
    • Czynności wstępne (54)
    • Śledztwo (54)
    • Czynności naprawcze (62)
    • Rejestrowanie istotnych informacji śledczych (63)
    • Raportowanie (64)
  • I co z tego (65)
  • Pytania (66)

3. Przygotowanie na incydent (67)

  • Przygotowywanie organizacji na incydent (68)
    • Identyfikacja ryzyka (69)
    • Zasady ułatwiające skuteczne zareagowanie na incydent (69)
    • Współpraca z zewnętrznymi firmami informatycznymi (70)
    • Kwestie związane z infrastrukturą globalną (71)
    • Szkolenie użytkowników w zakresie bezpieczeństwa hostów (71)
  • Przygotowywanie zespołu RI (72)
    • Definiowanie misji (72)
    • Procedury komunikacji (73)
    • Informowanie o wynikach śledztwa (75)
    • Zasoby dla zespołu RI (76)
  • Przygotowywanie infrastruktury do reakcji na incydent (83)
    • Konfiguracja urządzeń komputerowych (84)
    • Konfiguracja sieci (91)
  • I co z tego (100)
  • Pytania (100)

CZĘŚĆ II. WYKRYWANIE INCYDENTÓW I ICH CHARAKTERYSTYKA

4. Prawidłowe rozpoczynanie śledztwa (103)

  • Zbieranie wstępnych faktów (104)
    • Listy kontrolne (105)
  • Robienie notatek na temat sprawy (111)
    • Chronologiczne zapisywanie informacji o ataku (112)
  • Priorytety śledztwa (113)
    • Co to są elementy dowodu (113)
    • Ustalanie oczekiwań z kierownictwem (114)
  • I co z tego (114)
  • Pytania (115)

5. Zdobywanie tropów (117)

  • Definiowanie wartościowych tropów (118)
  • Postępowanie z tropami (119)
    • Zamienianie tropów we wskaźniki (120)
    • Cykl generowania wskaźnika (120)
    • Analizowanie tropów wewnętrznych (133)
    • Analizowanie tropów zewnętrznych (134)
  • I co z tego (136)
  • Pytania (137)

6. Określanie zasięgu incydentu (139)

  • Co mam zrobić (141)
    • Analizowanie danych początkowych (141)
    • Zbieranie i analiza dowodów początkowych (142)
    • Określanie sposobu działania (143)
  • Wyciek danych klientów (144)
    • Wyciek danych klientów - przykłady niepoprawnego określania zasięgu incydentu (148)
  • Oszustwo w automatycznym systemie rozrachunkowym (ACH) (149)
    • Oszustwo ACH - nieprawidłowa identyfikacja zasięgu incydentu (151)
  • I co z tego (152)
  • Pytania (152)

CZĘŚĆ III. GROMADZENIE DANYCH

7. Zbieranie danych na żywo (155)

  • Kiedy wykonywać analizę na żywo (156)
  • Wybór narzędzia do analizy na żywo (158)
  • Jakie informacje zbierać (159)
  • Najlepsze praktyki gromadzenia danych (161)
  • Gromadzenie danych na żywo w systemach Microsoft Windows (165)
    • Gotowe zestawy narzędzi (165)
    • Narzędzia własnej roboty (168)
    • Zbieranie informacji z pamięci (170)
  • Zbieranie danych na żywo w systemach uniksowych (174)
    • Zestawy narzędzi do analizy na żywo (175)
    • Wykonywanie zrzutów pamięci (178)
  • I co z tego (183)
  • Pytania (184)

8. Duplikacja danych śledczych (185)

  • Formaty obrazów na potrzeby śledztwa (187)
    • Kompletny obraz dysku (188)
    • Wykonywanie obrazu partycji (190)
    • Wykonywanie obrazu logicznego (190)
    • Integralność obrazu (191)
  • Tradycyjne metody duplikacji (193)
    • Sprzętowe blokady zapisu (193)
    • Narzędzia do tworzenia obrazów (195)
  • Duplikowanie działającego systemu (199)
  • Duplikowanie środków firmowych (200)
    • Duplikowanie maszyn wirtualnych (201)
  • I co z tego (202)
  • Pytania (202)

9. Dowody z sieci (203)

  • Argumenty za monitorowaniem sieci (204)
  • Rodzaje monitoringu sieciowego (205)
    • Monitorowanie zdarzeń (205)
    • Rejestrowanie nagłówków i całych pakietów (207)
    • Modelowanie statystyczne (208)
  • Tworzenie systemu monitorowania sieci (211)
    • Wybór sprzętu (211)
    • Instalacja gotowej dystrybucji (213)
    • Wdrażanie czujnika sieciowego (214)
    • Ocenianie jakości monitora sieciowego (215)
  • Analiza danych sieciowych (215)
    • Kradzież danych (217)
    • Rekonesans za pomocą konsoli sieciowej (223)
    • Inne narzędzia do analizy sieciowej (229)
  • Zbieranie dzienników generowanych przez zdarzenia sieciowe (231)
  • I co z tego (232)
  • Pytania (232)

10. Usługi dla przedsiębiorstw (233)

  • Usługi infrastruktury sieciowej (234)
    • DHCP (234)
    • Usługa DHCP ISC (237)
    • DNS (238)
  • Aplikacje do zarządzania przedsiębiorstwem (243)
    • Program Software Management Suite firmy LANDesk (244)
    • Program Altiris Client Management Suite firmy Symantec (246)
  • Programy antywirusowe (249)
    • Kwarantanna programu antywirusowego (249)
    • Program Symantec Endpoint Protection (250)
    • Program McAfee VirusScan (252)
    • Program Trend Micro OfficeScan (255)
  • Serwery sieciowe (257)
    • Podstawowe informacje o serwerach sieciowych (257)
    • Serwer HTTP Apache (259)
    • Serwer Microsoft Information Services (260)
  • Serwery baz danych (263)
    • Microsoft SQL (264)
    • MySQL (265)
    • Oracle (267)
  • I co z tego (268)
  • Pytania (268)

CZĘŚĆ IV. ANALIZA DANYCH

11. Metody analizy (271)

  • Definicja celów (272)
  • Zapoznanie się z danymi (274)
    • Miejsca przechowywania danych (274)
    • Co jest dostępne (276)
  • Dostęp do zdobytych danych (277)
    • Obrazy dysków (277)
    • Jak to wygląda (279)
  • Analiza danych (280)
    • Zarys proponowanej metody działania (281)
    • Wybór metod (282)
  • Ewaluacja wyników (286)
  • I co z tego (287)
  • Pytania (287)

12. Prowadzenie czynności śledczych w systemach Windows (289)

  • Analiza systemu plików (291)
    • Główna tabela plików (291)
    • Atrybuty INDX (300)
    • Dzienniki zmian (302)
    • Kopie zapasowe woluminów wykonywane w tle (303)
    • Readresator systemu plików (305)
  • Pobieranie zasobów z wyprzedzeniem (306)
    • Dowody (307)
    • Analiza (308)
  • Dzienniki zdarzeń (311)
    • Dowody (311)
    • Analiza (312)
  • Zadania zaplanowane (322)
    • Tworzenie zadań za pomocą polecenia at (322)
    • Tworzenie zadań za pomocą polecenia schtasks (324)
    • Dowody (324)
    • Analiza (325)
  • Rejestr systemu Windows (330)
    • Dowody (331)
    • Analiza (336)
    • Narzędzia do analizy rejestru (363)
  • Inne ślady sesji interaktywnych (365)
    • Pliki LNK (366)
    • Listy szybkiego dostępu (367)
    • Kosz (369)
  • Pamięć (372)
    • Dowody (372)
    • Analiza pamięci (376)
  • Inne mechanizmy utrwalania (386)
    • Foldery startowe (387)
    • Zadania cykliczne (387)
    • Modyfikacja systemowych plików binarnych (388)
    • Modyfikowanie kolejności wczytywania bibliotek DLL (389)
  • Powtórzenie - odpowiedzi na często pojawiające się pytania (392)
  • I co z tego (396)
  • Pytania (397)

13. Prowadzenie czynności śledczych w systemach Mac OS X (399)

  • System plików HFS+ i metody jego analizy (400)
    • Układ woluminu (401)
    • Usługi systemu plików (407)
  • Podstawowe dane systemu operacyjnego (410)
    • Układ systemu plików (410)
    • Konfiguracja użytkownika i usług (415)
    • Kosz i pliki usunięte (418)
    • Inspekcja systemu, bazy danych i dzienniki (419)
    • Zadania zaplanowane i usługi (429)
    • Instalatory aplikacji (432)
  • Powtórzenie - odpowiedzi na często zadawane pytania (433)
  • I co z tego (435)
  • Pytania (436)

14. Badanie aplikacji (437)

  • Co to są dane aplikacji (438)
  • Gdzie aplikacje przechowują dane (439)
    • System Windows (439)
    • System OS X (440)
    • System Linux (440)
  • Ogólne zasady badania aplikacji na potrzeby śledztwa (441)
  • Przeglądarki internetowe (445)
    • Internet Explorer (447)
    • Google Chrome (453)
    • Mozilla Firefox (458)
  • Klienty poczty elektronicznej (463)
    • Internetowe klienty poczty elektronicznej (464)
    • Microsoft Outlook dla systemów Windows (465)
    • Apple Mail (469)
    • Microsoft Outlook for Mac (470)
  • Komunikatory internetowe (472)
    • Metody analizy (472)
    • Najpopularniejsze komunikatory i protokoły (473)
  • I co z tego (481)
  • Pytania (481)

15. Sortowanie szkodliwych programów (483)

  • Postępowanie ze szkodliwym oprogramowaniem (485)
    • Bezpieczeństwo (485)
    • Dokumentacja (486)
    • Dystrybucja (487)
    • Dostęp do szkodliwych witryn internetowych (488)
  • Środowisko do sortowania (489)
  • Konfiguracja środowiska wirtualnego (491)
  • Analiza statyczna (491)
    • Co to za plik (492)
    • Przenośne pliki wykonywalne (501)
  • Analiza dynamiczna (506)
    • Zautomatyzowana analiza dynamiczna - piaskownice (507)
    • Ręczna analiza dynamiczna (507)
  • I co z tego (513)
  • Pytania (514)

16. Pisanie raportów (515)

  • Po co pisać raporty (516)
  • Standardy raportowania (517)
    • Styl i formatowanie raportu (518)
    • Treść i organizacja treści raportu (521)
  • Kontrola jakości (524)
  • I co z tego (525)
  • Pytania (525)

CZĘŚĆ V. NAPRAWA

17. Wprowadzenie do technik naprawczych (529)

  • Podstawowe pojęcia (530)
  • Testy wstępne (536)
  • Kompletowanie zespołu naprawczego (536)
    • Kiedy utworzyć zespół naprawczy (536)
    • Wyznaczanie lidera procesu naprawczego (537)
    • Członkowie zespołu naprawczego (539)
  • Czas rozpoczęcia akcji (540)
  • Opracowywanie i wdrażanie wstępnych środków zaradczych (542)
    • Skutki zaalarmowania hakera (544)
  • Opracowywanie i wdrażanie środków ograniczania zasięgu incydentu (545)
  • Plan ostatecznej likwidacji zagrożenia (548)
  • Wybór momentu wykonania planu likwidacji zagrożenia i jego wdrażanie (552)
  • Formułowanie zaleceń strategicznych (557)
  • Dokumentacja zdobytego doświadczenia (557)
  • Podsumowanie (559)
  • Typowe błędy będące przyczyną niepowodzenia procesu naprawczego (565)
  • I co z tego (566)
  • Pytania (566)

18. Studium przypadku procesu naprawczego (567)

  • Plan naprawczy dla pierwszego przypadku - pokaż pieniądze (568)
    • Wybór członków zespołu (569)
    • Czas prowadzenia działań naprawczych (570)
    • Ograniczanie zasięgu incydentu (570)
    • Wstępna akcja naprawcza (574)
    • Pozbywanie się hakera ze środowiska (578)
    • Strategia na przyszłość (582)
  • I co z tego (584)
  • Pytania (585)

A. Odpowiedzi na pytania (ftp://ftp.helion.pl/przyklady/incbez.zip)

B. Formularze (ftp://ftp.helion.pl/przyklady/incbez.zip)

Skorowidz (587)

Kategoria: Hacking
Zabezpieczenie: Watermark
Watermark
Watermarkowanie polega na znakowaniu plików wewnątrz treści, dzięki czemu możliwe jest rozpoznanie unikatowej licencji transakcyjnej Użytkownika. E-książki zabezpieczone watermarkiem można odczytywać na wszystkich urządzeniach odtwarzających wybrany format (czytniki, tablety, smartfony). Nie ma również ograniczeń liczby licencji oraz istnieje możliwość swobodnego przenoszenia plików między urządzeniami. Pliki z watermarkiem są kompatybilne z popularnymi programami do odczytywania ebooków, jak np. Calibre oraz aplikacjami na urządzenia mobilne na takie platformy jak iOS oraz Android.
ISBN: 978-83-283-1486-3
Rozmiar pliku: 13 MB

BESTSELLERY

Kategorie: