Facebook - konwersja
  • promocja

Informatyka śledcza. Narzędzia i techniki skutecznego reagowania na incydenty bezpieczeństwa - ebook

Wydawnictwo:
Tłumacz:
Data wydania:
16 kwietnia 2024
Format ebooka:
EPUB
Format EPUB
czytaj
na czytniku
czytaj
na tablecie
czytaj
na smartfonie
Jeden z najpopularniejszych formatów e-booków na świecie. Niezwykle wygodny i przyjazny czytelnikom - w przeciwieństwie do formatu PDF umożliwia skalowanie czcionki, dzięki czemu możliwe jest dopasowanie jej wielkości do kroju i rozmiarów ekranu. Więcej informacji znajdziesz w dziale Pomoc.
Multiformat
E-booki w Virtualo.pl dostępne są w opcji multiformatu. Oznacza to, że po dokonaniu zakupu, e-book pojawi się na Twoim koncie we wszystkich formatach dostępnych aktualnie dla danego tytułu. Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu.
, PDF
Format PDF
czytaj
na laptopie
czytaj
na tablecie
Format e-booków, który możesz odczytywać na tablecie oraz laptopie. Pliki PDF są odczytywane również przez czytniki i smartfony, jednakze względu na komfort czytania i brak możliwości skalowania czcionki, czytanie plików PDF na tych urządzeniach może być męczące dla oczu. Więcej informacji znajdziesz w dziale Pomoc.
Multiformat
E-booki w Virtualo.pl dostępne są w opcji multiformatu. Oznacza to, że po dokonaniu zakupu, e-book pojawi się na Twoim koncie we wszystkich formatach dostępnych aktualnie dla danego tytułu. Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu.
, MOBI
Format MOBI
czytaj
na czytniku
czytaj
na tablecie
czytaj
na smartfonie
Jeden z najczęściej wybieranych formatów wśród czytelników e-booków. Możesz go odczytać na czytniku Kindle oraz na smartfonach i tabletach po zainstalowaniu specjalnej aplikacji. Więcej informacji znajdziesz w dziale Pomoc.
Multiformat
E-booki w Virtualo.pl dostępne są w opcji multiformatu. Oznacza to, że po dokonaniu zakupu, e-book pojawi się na Twoim koncie we wszystkich formatach dostępnych aktualnie dla danego tytułu. Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu.
(3w1)
Multiformat
E-booki sprzedawane w księgarni Virtualo.pl dostępne są w opcji multiformatu - kupujesz treść, nie format. Po dodaniu e-booka do koszyka i dokonaniu płatności, e-book pojawi się na Twoim koncie w Mojej Bibliotece we wszystkich formatach dostępnych aktualnie dla danego tytułu. Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu przy okładce. Uwaga: audiobooki nie są objęte opcją multiformatu.
czytaj
na laptopie
Pliki PDF zabezpieczone watermarkiem możesz odczytać na dowolnym laptopie po zainstalowaniu czytnika dokumentów PDF. Najpowszechniejszym programem, który umożliwi odczytanie pliku PDF na laptopie, jest Adobe Reader. W zależności od potrzeb, możesz zainstalować również inny program - e-booki PDF pod względem sposobu odczytywania nie różnią niczym od powszechnie stosowanych dokumentów PDF, które odczytujemy każdego dnia.
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.
czytaj
na tablecie
Aby odczytywać e-booki na swoim tablecie musisz zainstalować specjalną aplikację. W zależności od formatu e-booka oraz systemu operacyjnego, który jest zainstalowany na Twoim urządzeniu może to być np. Bluefire dla EPUBa lub aplikacja Kindle dla formatu MOBI.
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.
czytaj
na czytniku
Czytanie na e-czytniku z ekranem e-ink jest bardzo wygodne i nie męczy wzroku. Pliki przystosowane do odczytywania na czytnikach to przede wszystkim EPUB (ten format możesz odczytać m.in. na czytnikach PocketBook) i MOBI (ten fromat możesz odczytać m.in. na czytnikach Kindle).
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.
czytaj
na smartfonie
Aby odczytywać e-booki na swoim smartfonie musisz zainstalować specjalną aplikację. W zależności od formatu e-booka oraz systemu operacyjnego, który jest zainstalowany na Twoim urządzeniu może to być np. iBooks dla EPUBa lub aplikacja Kindle dla formatu MOBI.
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.

Informatyka śledcza. Narzędzia i techniki skutecznego reagowania na incydenty bezpieczeństwa - ebook

Informatyka śledcza zapewnia narzędzia nie tylko prowadzącym dochodzenia kryminalne, ale również specjalistom do spraw cyberbezpieczeństwa. Na tym polu trwa ciągły wyścig zbrojeń między nimi a przestępcami, gdyż konsekwencje udanego ataku mogą się okazać niezwykle poważne. Umiejętność poprawnego reagowania na incydenty bezpieczeństwa jest tu kluczową sprawą.

Ta książka jest przewodnikiem dla profesjonalistów do spraw cyberbezpieczeństwa. Przedstawia podstawowe zasady reagowania na incydenty bezpieczeństwa i szczegółowo, na przykładach, omawia proces tworzenia zdolności szybkiej i skutecznej reakcji na takie zdarzenia. Zaprezentowano tu techniki informatyki śledczej, od pozyskiwania dowodów i badania pamięci ulotnej po badanie dysku twardego i dowodów pochodzących z sieci. Szczególną uwagę poświęcono zagrożeniom atakami ransomware. Nie zabrakło omówienia roli analizy zagrożeń w procesie reagowania na incydenty, a także zasad sporządzania raportów dokumentujących reakcję na incydent i wyniki analizy. Pokazano również, w jaki sposób prowadzi się polowania na zagrożenia.

Z tą książką:

  • zbudujesz zdolność reagowania na incydenty w swojej organizacji
  • nauczysz się poprawnego zbierania i analizowania dowodów
  • zintegrujesz techniki i procedury śledcze z ogólnym procesem reagowania na incydenty
  • przyswoisz różne metody polowania na zagrożenia
  • opanujesz sposoby tworzenia raportów z incydentów
  • wdrożysz odpowiednie praktyki reagowania na ataki ransomware

Przygotuj się, znajdź i zlikwiduj zagrożenie!

Spis treści

O autorze

O recenzencie

Przedmowa

Część 1. Podstawy reagowania na incydenty i kryminalistyki cyfrowej

Rozdział 1. Czym jest reagowanie na incydenty

  • Proces reagowania na incydenty
    • Rola kryminalistyki cyfrowej
  • Ramy reagowania na incydenty
    • Karta reagowania na incydenty
    • Zespół CSIRT
  • Plan reagowania na incydenty
    • Klasyfikowanie incydentów
  • Podręcznik reagowania na incydenty
    • Proces eskalacji
  • Testowanie ram reagowania na incydenty
  • Podsumowanie
  • Pytania
  • Literatura uzupełniająca

Rozdział 2. Zarządzanie incydentami cyberbezpieczeństwa

  • Angażowanie zespołu reagowania na incydenty
    • Modele angażowania zespołów CSIRT
    • Badanie incydentów
    • Centrum operacyjne zespołu CSIRT
    • Komunikacja
    • Rotowanie personelu
  • SOAR
  • Uwzględnianie komunikacji kryzysowej
    • Komunikacja wewnętrzna
    • Komunikacja zewnętrzna
    • Powiadomienie publiczne
  • Uwzględnianie strategii powstrzymania
  • Powrót do normalności - likwidacja, odtworzenie i działania po incydencie
  • Podsumowanie
  • Pytania
  • Lektura uzupełniająca

Rozdział 3. Podstawy kryminalistyki cyfrowej

  • Rozwój kryminalistyki
  • Zasada wymiany Locarda
  • Zagadnienia prawne w kryminalistyce cyfrowej
    • Regulacje prawne
    • Zasady postępowania z dowodami
  • Procedury kryminalistyczne w reagowaniu na incydenty
    • Krótka historia kryminalistyki cyfrowej
    • Proces kryminalistyki cyfrowej
    • Laboratorium kryminalistyki cyfrowej
  • Podsumowanie
  • Pytania
  • Lektura uzupełniająca

Rozdział 4. Metoda dochodzeniowa

  • Studium przypadku analizy włamań: kukułcze jajo
  • Rodzaje dochodzeń cyfrowych
  • Funkcjonalna metoda dochodzenia cyfrowego
    • Identyfikacja i określanie zakresu
    • Zbieranie dowodów
    • Wstępna analiza incydentu
    • Wstępna korelacja
    • Normalizacja incydentu
    • Dekonfliktowanie zdarzenia
    • Druga korelacja
    • Oś czasu
    • Analiza kill chain
    • Raportowanie
  • Łańcuch kill chain
  • Model diamentowy analizy włamań
    • Aksjomaty modelu diamentowego
    • Kombinacja modelu diamentowego i analizy włamań łańcucha kill chain
    • Atrybucja
  • Podsumowanie
  • Pytania

Część 2. Pozyskiwanie dowodów

Rozdział 5. Zbieranie dowodów sieciowych

  • Przegląd dowodów sieciowych
    • Przygotowanie
    • Schemat sieci
    • Konfiguracja
  • Zapory ogniowe i dzienniki proxy
    • Zapory sieciowe
    • Zapory aplikacji internetowych
    • Internetowe serwery proxy
  • NetFlow
  • Przechwytywanie pakietów
    • tcpdump
    • WinPcap i RawCap
  • Wireshark
  • Zbieranie dowodów
  • Podsumowanie
  • Pytania
  • Lektura uzupełniająca

Rozdział 6. Pozyskiwanie dowodów opartych na hoście

  • Przygotowania
  • Hierarchia ulotności
  • Pozyskiwanie dowodów
    • Procedury zbierania dowodów
  • Pozyskiwanie z pamięci ulotnej
    • FTK Imager
    • WinPmem
    • RAM Capturer
    • Systemy wirtualne
  • Pozyskiwanie dowodów nieulotnych
    • Pozyskiwanie plików chronionych za pomocą programu FTK
    • Narzędzie CyLR
    • Kroll Artifact Parser and Extractor
  • Podsumowanie
  • Pytania
  • Lektura uzupełniająca

Rozdział 7. Zdalne gromadzenie dowodów

  • Wyzwania związane z reagowaniem na incydenty w organizacji
  • Wykrywanie w punktach końcowych i reagowanie
  • Omówienie i implementacja narzędzia Velociraptor
    • Serwer narzędzia Velociraptor
    • Moduł zbierający narzędzia Velociraptor dla systemu Windows
  • Velociraptor a scenariusze
    • Zbieranie dowodów z użyciem narzędzia Velociraptor
    • CyLR
    • WinPmem
  • Podsumowanie
  • Pytania

Rozdział 8. Obrazowanie kryminalistyczne

  • Czym jest obrazowanie kryminalistyczne
    • Obraz kontra kopia
    • Woluminy logiczne i fizyczne
    • Rodzaje plików obrazów
    • SSD kontra HDD
  • Narzędzia do obrazowania
  • Przygotowanie dysku do przechowywania obrazów
  • Korzystanie z blokad zapisu
  • Techniki obrazowania
    • Obrazowanie przy wyłączonym systemie
    • Obrazowanie na żywo
    • Systemy wirtualne
    • Obrazowanie w systemie Linux
  • Podsumowanie
  • Pytania
  • Lektura uzupełniająca

Część 3. Badanie dowodów

Rozdział 9. Badanie dowodów sieciowych

  • Przegląd dowodów sieciowych
  • Analiza dzienników zapory sieciowej i proxy
    • Narzędzia SIEM
    • Elastic Stack
  • NetFlow
  • Analizowanie przechwyconych pakietów
    • Narzędzia wiersza poleceń
    • Real Intelligence Threat Analytics
    • NetworkMiner
    • Arkime
    • Wireshark
  • Podsumowanie
  • Pytania
  • Lektura uzupełniająca

Rozdział 10. Badanie pamięci systemowej

  • Omówienie analizy pamięci
  • Metodyka analizy pamięci
    • Sześcioetapowa metodyka SANS
    • Metodyka połączeń sieciowych
  • Narzędzia do badania pamięci
    • Analiza pamięci z wykorzystaniem Volatility
    • Volatility Workbench
  • Badanie pamięci z wykorzystaniem Strings
    • Instalowanie Strings
    • Typowe wyszukiwania w Strings
  • Podsumowanie
  • Pytania
  • Lektura uzupełniająca

Rozdział 11. Analiza systemowej pamięci masowej

  • Platformy kryminalistyczne
  • Autopsy
    • Instalowanie Autopsy
    • Zakładanie nowego dochodzenia
    • Dodawanie dowodów
    • Poruszanie się w Autopsy
    • Badanie dochodzenia
  • Analiza głównej tablicy plików
  • Analiza prefetch
  • Analiza rejestru
  • Podsumowanie
  • Pytania
  • Lektura uzupełniająca

Rozdział 12. Analizowanie plików dziennika

  • Dzienniki i zarządzanie nimi
  • Korzystanie z systemów SIEM
    • Splunk
    • Elastic Stack
    • Security Onion
  • Dzienniki systemu Windows
    • Dzienniki zdarzeń systemu Windows
  • Analiza dzienników zdarzeń systemu Windows
    • Pozyskiwanie dzienników
    • Triaż
    • Szczegółowa analiza dziennika zdarzeń
  • Podsumowanie
  • Pytania
  • Lektura uzupełniająca

Rozdział 13. Tworzenie raportu o incydencie

  • Przegląd dokumentacji
    • Co należy dokumentować
    • Rodzaje dokumentacji
    • Źródła danych
    • Odbiorcy
  • Raport wykonawczy
  • Raport z dochodzenia w sprawie incydentu
  • Raport kryminalistyczny
  • Przygotowanie raportu kryminalistycznego z incydentu
    • Sporządzanie notatek
    • Język raportu
  • Podsumowanie
  • Pytania
  • Lektura uzupełniająca

Część 4. Reagowanie na incydenty związane z oprogramowaniem ransomware

Rozdział 14. Przygotowanie i reagowanie na oprogramowanie ransomware

  • Historia oprogramowania ransomware
    • CryptoLocker
    • CryptoWall
    • CTB-Locker
    • TeslaCrypt
    • SamSam
    • Locky
    • WannaCry
    • Ryuk
  • Analiza przypadku oprogramowania ransomware Conti
    • Kontekst
    • Ujawnienie operacyjne
    • Taktyki i techniki
    • Eksfiltracja
    • Wpływ
  • Właściwe przygotowanie na ransomware
    • Odporność na oprogramowanie ransomware
    • Przygotowanie zespołu CSIRT
  • Likwidacja i odzyskiwanie
    • Powstrzymywanie
    • Likwidacja
    • Odzyskiwanie
  • Podsumowanie
  • Pytania
  • Informacje uzupełniające

Rozdział 15. Dochodzenie w sprawie ransomware

  • Początkowy dostęp i wykonanie oprogramowania ransomware
    • Uzyskanie początkowego dostępu
    • Wykonanie
  • Uzyskiwanie dostępu do danych uwierzytelniających i ich kradzież
    • ProcDump
    • Mimikatz
  • Badanie działań poeksploatacyjnych
  • Dowodzenie i kontrola
    • Security Onion
    • RITA
    • Arkime
  • Badanie technik ruchu bocznego
  • Podsumowanie
  • Pytania
  • Lektura uzupełniająca

Część 5. Analiza i polowanie na zagrożenia

Rozdział 16. Analiza złośliwego oprogramowania w reagowaniu na incydenty

  • Przegląd analizy złośliwego oprogramowania
    • Klasyfikacja złośliwego oprogramowania
  • Konfigurowanie piaskownicy na potrzeby złośliwego oprogramowania
    • Piaskownica lokalna
    • Piaskownica w chmurze
  • Analiza statyczna
    • Analiza właściwości statycznych
  • Analiza dynamiczna
    • Eksplorator procesów
    • Process Spawn Control
    • Zautomatyzowana analiza
  • ClamAV
  • YARA
    • yarGen
  • Podsumowanie
  • Pytania
  • Lektura uzupełniająca

Rozdział 17. Korzystanie z analizy cyberzagrożeń

  • Czym jest analiza cyberzagrożeń
    • Rodzaje analiz cyberzagrożeń
    • Piramida bólu
    • Metodyka analizy cyberzagrożeń
  • Pozyskiwanie informacji o cyberzagrożeniach
    • Źródła opracowywane wewnętrznie
    • Źródła komercyjne
    • Źródła open source
  • Baza MITRE ATT&CK
  • Korzystanie z IOC i IOA
  • Analiza cyberzagrożeń w reagowaniu na incydenty
    • Autopsy
    • Maltego
    • YARA i Loki
  • Podsumowanie
  • Pytania
  • Lektura uzupełniająca

Rozdział 18. Polowanie na cyberzagrożenia

  • Czym jest polowanie na zagrożenia
    • Cykl wykrywania zagrożeń
    • Raportowanie działań związanych z polowaniem na zagrożenia
    • Model dojrzałości polowania na zagrożenia
  • Stawianie hipotezy
    • MITRE ATT&CK
  • Planowanie polowania na zagrożenia
  • Cyfrowe techniki kryminalistyczne w polowaniu na zagrożenia
  • EDR w polowaniu na zagrożenia
  • Podsumowanie
  • Pytania
  • Lektura uzupełniająca

Dodatek

Odpowiedzi

Skorowidz

Kategoria: Hacking
Zabezpieczenie: Watermark
Watermark
Watermarkowanie polega na znakowaniu plików wewnątrz treści, dzięki czemu możliwe jest rozpoznanie unikatowej licencji transakcyjnej Użytkownika. E-książki zabezpieczone watermarkiem można odczytywać na wszystkich urządzeniach odtwarzających wybrany format (czytniki, tablety, smartfony). Nie ma również ograniczeń liczby licencji oraz istnieje możliwość swobodnego przenoszenia plików między urządzeniami. Pliki z watermarkiem są kompatybilne z popularnymi programami do odczytywania ebooków, jak np. Calibre oraz aplikacjami na urządzenia mobilne na takie platformy jak iOS oraz Android.
ISBN: 978-83-289-0433-0
Rozmiar pliku: 55 MB

BESTSELLERY

Kategorie: