Informatyka śledcza. Narzędzia i techniki skutecznego reagowania na incydenty bezpieczeństwa - ebook

Informatyka śledcza zapewnia narzędzia nie tylko prowadzącym dochodzenia kryminalne, ale również specjalistom do spraw cyberbezpieczeństwa. Na tym polu trwa ciągły wyścig zbrojeń między nimi a przestępcami, gdyż konsekwencje udanego ataku mogą się okazać niezwykle poważne. Umiejętność poprawnego reagowania na incydenty bezpieczeństwa jest tu kluczową sprawą.

Ta książka jest przewodnikiem dla profesjonalistów do spraw cyberbezpieczeństwa. Przedstawia podstawowe zasady reagowania na incydenty bezpieczeństwa i szczegółowo, na przykładach, omawia proces tworzenia zdolności szybkiej i skutecznej reakcji na takie zdarzenia. Zaprezentowano tu techniki informatyki śledczej, od pozyskiwania dowodów i badania pamięci ulotnej po badanie dysku twardego i dowodów pochodzących z sieci. Szczególną uwagę poświęcono zagrożeniom atakami ransomware. Nie zabrakło omówienia roli analizy zagrożeń w procesie reagowania na incydenty, a także zasad sporządzania raportów dokumentujących reakcję na incydent i wyniki analizy. Pokazano również, w jaki sposób prowadzi się polowania na zagrożenia.

Z tą książką:

• zbudujesz zdolność reagowania na incydenty w swojej organizacji
• nauczysz się poprawnego zbierania i analizowania dowodów
• zintegrujesz techniki i procedury śledcze z ogólnym procesem reagowania na incydenty
• przyswoisz różne metody polowania na zagrożenia
• opanujesz sposoby tworzenia raportów z incydentów
• wdrożysz odpowiednie praktyki reagowania na ataki ransomware

Przygotuj się, znajdź i zlikwiduj zagrożenie!

O autorze

O recenzencie

Przedmowa

Część 1. Podstawy reagowania na incydenty i kryminalistyki cyfrowej

Rozdział 1. Czym jest reagowanie na incydenty

• Proces reagowania na incydenty
  • Rola kryminalistyki cyfrowej
• Ramy reagowania na incydenty
  • Karta reagowania na incydenty
  • Zespół CSIRT
• Plan reagowania na incydenty
  • Klasyfikowanie incydentów
• Podręcznik reagowania na incydenty
  • Proces eskalacji
• Testowanie ram reagowania na incydenty
• Podsumowanie
• Pytania
• Literatura uzupełniająca

Rozdział 2. Zarządzanie incydentami cyberbezpieczeństwa

• Angażowanie zespołu reagowania na incydenty
  • Modele angażowania zespołów CSIRT
  • Badanie incydentów
  • Centrum operacyjne zespołu CSIRT
  • Komunikacja
  • Rotowanie personelu
• SOAR
• Uwzględnianie komunikacji kryzysowej
  • Komunikacja wewnętrzna
  • Komunikacja zewnętrzna
  • Powiadomienie publiczne
• Uwzględnianie strategii powstrzymania
• Powrót do normalności - likwidacja, odtworzenie i działania po incydencie
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 3. Podstawy kryminalistyki cyfrowej

• Rozwój kryminalistyki
• Zasada wymiany Locarda
• Zagadnienia prawne w kryminalistyce cyfrowej
  • Regulacje prawne
  • Zasady postępowania z dowodami
• Procedury kryminalistyczne w reagowaniu na incydenty
  • Krótka historia kryminalistyki cyfrowej
  • Proces kryminalistyki cyfrowej
  • Laboratorium kryminalistyki cyfrowej
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 4. Metoda dochodzeniowa

• Studium przypadku analizy włamań: kukułcze jajo
• Rodzaje dochodzeń cyfrowych
• Funkcjonalna metoda dochodzenia cyfrowego
  • Identyfikacja i określanie zakresu
  • Zbieranie dowodów
  • Wstępna analiza incydentu
  • Wstępna korelacja
  • Normalizacja incydentu
  • Dekonfliktowanie zdarzenia
  • Druga korelacja
  • Oś czasu
  • Analiza kill chain
  • Raportowanie
• Łańcuch kill chain
• Model diamentowy analizy włamań
  • Aksjomaty modelu diamentowego
  • Kombinacja modelu diamentowego i analizy włamań łańcucha kill chain
  • Atrybucja
• Podsumowanie
• Pytania

Część 2. Pozyskiwanie dowodów

Rozdział 5. Zbieranie dowodów sieciowych

• Przegląd dowodów sieciowych
  • Przygotowanie
  • Schemat sieci
  • Konfiguracja
• Zapory ogniowe i dzienniki proxy
  • Zapory sieciowe
  • Zapory aplikacji internetowych
  • Internetowe serwery proxy
• NetFlow
• Przechwytywanie pakietów
  • tcpdump
  • WinPcap i RawCap
• Wireshark
• Zbieranie dowodów
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 6. Pozyskiwanie dowodów opartych na hoście

• Przygotowania
• Hierarchia ulotności
• Pozyskiwanie dowodów
  • Procedury zbierania dowodów
• Pozyskiwanie z pamięci ulotnej
  • FTK Imager
  • WinPmem
  • RAM Capturer
  • Systemy wirtualne
• Pozyskiwanie dowodów nieulotnych
  • Pozyskiwanie plików chronionych za pomocą programu FTK
  • Narzędzie CyLR
  • Kroll Artifact Parser and Extractor
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 7. Zdalne gromadzenie dowodów

• Wyzwania związane z reagowaniem na incydenty w organizacji
• Wykrywanie w punktach końcowych i reagowanie
• Omówienie i implementacja narzędzia Velociraptor
  • Serwer narzędzia Velociraptor
  • Moduł zbierający narzędzia Velociraptor dla systemu Windows
• Velociraptor a scenariusze
  • Zbieranie dowodów z użyciem narzędzia Velociraptor
  • CyLR
  • WinPmem
• Podsumowanie
• Pytania

Rozdział 8. Obrazowanie kryminalistyczne

• Czym jest obrazowanie kryminalistyczne
  • Obraz kontra kopia
  • Woluminy logiczne i fizyczne
  • Rodzaje plików obrazów
  • SSD kontra HDD
• Narzędzia do obrazowania
• Przygotowanie dysku do przechowywania obrazów
• Korzystanie z blokad zapisu
• Techniki obrazowania
  • Obrazowanie przy wyłączonym systemie
  • Obrazowanie na żywo
  • Systemy wirtualne
  • Obrazowanie w systemie Linux
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Część 3. Badanie dowodów

Rozdział 9. Badanie dowodów sieciowych

• Przegląd dowodów sieciowych
• Analiza dzienników zapory sieciowej i proxy
  • Narzędzia SIEM
  • Elastic Stack
• NetFlow
• Analizowanie przechwyconych pakietów
  • Narzędzia wiersza poleceń
  • Real Intelligence Threat Analytics
  • NetworkMiner
  • Arkime
  • Wireshark
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 10. Badanie pamięci systemowej

• Omówienie analizy pamięci
• Metodyka analizy pamięci
  • Sześcioetapowa metodyka SANS
  • Metodyka połączeń sieciowych
• Narzędzia do badania pamięci
  • Analiza pamięci z wykorzystaniem Volatility
  • Volatility Workbench
• Badanie pamięci z wykorzystaniem Strings
  • Instalowanie Strings
  • Typowe wyszukiwania w Strings
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 11. Analiza systemowej pamięci masowej

• Platformy kryminalistyczne
• Autopsy
  • Instalowanie Autopsy
  • Zakładanie nowego dochodzenia
  • Dodawanie dowodów
  • Poruszanie się w Autopsy
  • Badanie dochodzenia
• Analiza głównej tablicy plików
• Analiza prefetch
• Analiza rejestru
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 12. Analizowanie plików dziennika

• Dzienniki i zarządzanie nimi
• Korzystanie z systemów SIEM
  • Splunk
  • Elastic Stack
  • Security Onion
• Dzienniki systemu Windows
  • Dzienniki zdarzeń systemu Windows
• Analiza dzienników zdarzeń systemu Windows
  • Pozyskiwanie dzienników
  • Triaż
  • Szczegółowa analiza dziennika zdarzeń
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 13. Tworzenie raportu o incydencie

• Przegląd dokumentacji
  • Co należy dokumentować
  • Rodzaje dokumentacji
  • Źródła danych
  • Odbiorcy
• Raport wykonawczy
• Raport z dochodzenia w sprawie incydentu
• Raport kryminalistyczny
• Przygotowanie raportu kryminalistycznego z incydentu
  • Sporządzanie notatek
  • Język raportu
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Część 4. Reagowanie na incydenty związane z oprogramowaniem ransomware

Rozdział 14. Przygotowanie i reagowanie na oprogramowanie ransomware

• Historia oprogramowania ransomware
  • CryptoLocker
  • CryptoWall
  • CTB-Locker
  • TeslaCrypt
  • SamSam
  • Locky
  • WannaCry
  • Ryuk
• Analiza przypadku oprogramowania ransomware Conti
  • Kontekst
  • Ujawnienie operacyjne
  • Taktyki i techniki
  • Eksfiltracja
  • Wpływ
• Właściwe przygotowanie na ransomware
  • Odporność na oprogramowanie ransomware
  • Przygotowanie zespołu CSIRT
• Likwidacja i odzyskiwanie
  • Powstrzymywanie
  • Likwidacja
  • Odzyskiwanie
• Podsumowanie
• Pytania
• Informacje uzupełniające

Rozdział 15. Dochodzenie w sprawie ransomware

• Początkowy dostęp i wykonanie oprogramowania ransomware
  • Uzyskanie początkowego dostępu
  • Wykonanie
• Uzyskiwanie dostępu do danych uwierzytelniających i ich kradzież
  • ProcDump
  • Mimikatz
• Badanie działań poeksploatacyjnych
• Dowodzenie i kontrola
  • Security Onion
  • RITA
  • Arkime
• Badanie technik ruchu bocznego
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Część 5. Analiza i polowanie na zagrożenia

Rozdział 16. Analiza złośliwego oprogramowania w reagowaniu na incydenty

• Przegląd analizy złośliwego oprogramowania
  • Klasyfikacja złośliwego oprogramowania
• Konfigurowanie piaskownicy na potrzeby złośliwego oprogramowania
  • Piaskownica lokalna
  • Piaskownica w chmurze
• Analiza statyczna
  • Analiza właściwości statycznych
• Analiza dynamiczna
  • Eksplorator procesów
  • Process Spawn Control
  • Zautomatyzowana analiza
• ClamAV
• YARA
  • yarGen
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 17. Korzystanie z analizy cyberzagrożeń

• Czym jest analiza cyberzagrożeń
  • Rodzaje analiz cyberzagrożeń
  • Piramida bólu
  • Metodyka analizy cyberzagrożeń
• Pozyskiwanie informacji o cyberzagrożeniach
  • Źródła opracowywane wewnętrznie
  • Źródła komercyjne
  • Źródła open source
• Baza MITRE ATT&CK
• Korzystanie z IOC i IOA
• Analiza cyberzagrożeń w reagowaniu na incydenty
  • Autopsy
  • Maltego
  • YARA i Loki
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Rozdział 18. Polowanie na cyberzagrożenia

• Czym jest polowanie na zagrożenia
  • Cykl wykrywania zagrożeń
  • Raportowanie działań związanych z polowaniem na zagrożenia
  • Model dojrzałości polowania na zagrożenia
• Stawianie hipotezy
  • MITRE ATT&CK
• Planowanie polowania na zagrożenia
• Cyfrowe techniki kryminalistyczne w polowaniu na zagrożenia
• EDR w polowaniu na zagrożenia
• Podsumowanie
• Pytania
• Lektura uzupełniająca

Dodatek

Odpowiedzi

Skorowidz