- promocja
Inżynieria detekcji cyberzagrożeń w praktyce. Planowanie, tworzenie i walidacja mechanizmów wykrywania zagrożeń - ebook
Inżynieria detekcji cyberzagrożeń w praktyce. Planowanie, tworzenie i walidacja mechanizmów wykrywania zagrożeń - ebook
Efektywny potok detekcji zagrożeń jest niezbędnym elementem programu cyberbezpieczeństwa. W procesach inżynierii detekcji szczególną uwagę należy poświęcić technikom tworzenia i walidacji mechanizmów detekcji. To oczywiste - od ich jakości zależy skuteczność zabezpieczeń w organizacji. Trzeba więc zrozumieć, czym jest inżynieria detekcji i jakie ma znaczenie dla cyberbezpieczeństwa.
Oto przewodnik po inżynierii detekcji, przeznaczony dla inżynierów zabezpieczeń i analityków bezpieczeństwa. Zaprezentowano w nim praktyczną metodologię planowania, budowy i walidacji mechanizmów wykrywania zagrożeń. Opisano zasady pracy z frameworkami służącymi do testowania i uwierzytelniania programu inżynierii detekcji. Książka zawiera przykłady dotyczące zagadnień z całego cyklu, od utworzenia reguły detekcji po jej walidację, a omawianej tematyce towarzyszy bogaty zestaw samouczków, projektów i pytań sprawdzających. To doskonałe źródło wiedzy o zasadach pracy inżyniera detekcji i o ciągłym rozwoju tej dziedziny.
W książce:
- przebieg procesu inżynierii detekcji
- budowa laboratorium testowego
- utrzymywanie mechanizmów detekcji w formie ustandaryzowanego kodu
- tworzenie mechanizmów detekcji
- wczesne wykrywanie cyberataków i złośliwej aktywności
- ścieżki kariery w inżynierii detekcji
Nie oczekuj, że wróg się nie zjawi. Przygotuj się, aby go odpowiednio przyjąć!
Spis treści
O autorach
O recenzentach
Przedmowa
CZĘŚĆ 1. Wprowadzenie do inżynierii detekcji
Rozdział 1. Podstawy inżynierii detekcji
- Podstawowe pojęcia
- Unified Kill Chain
- Framework MITRE ATT&CK
- Piramida bólu
- Rodzaje cyberataków
- Motywacja dla inżynierii detekcji
- Definicja inżynierii detekcji
- Ważne cechy wyróżniające
- Wartość programu inżynierii detekcji
- Potrzeba zapewnienia lepszej wykrywalności
- Cechy dobrego wykrywania zagrożeń
- Korzyści z programu inżynierii detekcji
- Przewodnik korzystania z tej książki
- Struktura książki
- Ćwiczenia praktyczne
- Podsumowanie
Rozdział 2. Cykl życia inżynierii detekcji
- Faza 1. Odkrywanie wymagań
- Charakterystyka kompletnego wymagania mechanizmu detekcji
- Źródła wymagań dla mechanizmów detekcji
- Ćwiczenie. Źródła wymagań dotyczących mechanizmów detekcji w Twojej organizacji
- Faza 2. Selekcja
- Dotkliwość zagrożenia
- Dopasowanie mechanizmu detekcji zagrożenia do organizacji
- Pokrycie zagrożeń mechanizmami detekcji
- Aktywne eksploity
- Faza 3. Analiza
- Określenie źródła danych
- Ustalenie typów wskaźników wykrycia
- Kontekst badawczy
- Ustalenie kryteriów walidacji
- Faza 4. Programowanie
- Faza 5. Testowanie
- Rodzaje danych testowych
- Faza 6. Wdrażanie
- Podsumowanie
Rozdział 3. Budowa laboratorium testowego inżynierii detekcji
- Wymagania techniczne
- Elastic Stack
- Wdrażanie systemu Elastic Stack za pomocą Dockera
- Konfiguracja Elastic Stack
- Konfiguracja narzędzia Fleet Server
- Instalacja i konfiguracja systemu Fleet Server
- Dodatkowe konfiguracje dla komponentu Fleet Server
- Dodawanie hosta do laboratorium
- Zasady komponentu Elastic Agent
- Tworzenie pierwszego mechanizmu detekcji
- Dodatkowe zasoby
- Podsumowanie
CZĘŚĆ 2. Tworzenie mechanizmów detekcji
Rozdział 4. Źródła danych inżynierii detekcji
- Wymagania techniczne
- Źródła danych i telemetrii
- Nieprzetworzona telemetria
- Narzędzia zabezpieczeń
- Źródła danych MITRE ATT&CK
- Identyfikacja źródeł danych
- Analiza problemów i wyzwań związanych ze źródłami danych
- Kompletność
- Jakość
- Terminowość
- Pokrycie
- Ćwiczenie. Więcej informacji o źródłach danych
- Dodawanie źródeł danych
- Ćwiczenie. Dodawanie źródła danych serwera WWW
- Podsumowanie
- Lektura uzupełniająca
Rozdział 5. Analiza wymagań dla mechanizmów detekcji
- Przegląd faz wymagań dla mechanizmów detekcji
- Odkrywanie wymagań dla mechanizmów detekcji
- Narzędzia i procesy
- Ćwiczenie. Odkrywanie wymagań w organizacji
- Selekcja wymagań dla mechanizmów detekcji
- Dotkliwość zagrożenia
- Dopasowanie zagrożenia do organizacji
- Pokrycie wymagań dla mechanizmów detekcji
- Aktywne eksploity
- Obliczanie priorytetu
- Analiza wymagań dla mechanizmów detekcji
- Podsumowanie
Rozdział 6. Tworzenie mechanizmów detekcji przy użyciu wskaźników naruszeń zabezpieczeń
- Wymagania techniczne
- Wykorzystanie wskaźników naruszenia zabezpieczeń
- Przykładowy scenariusz. Identyfikacja kampanii IcedID przy użyciu wskaźników
- Ćwiczenie
- Instalacja i konfigurowanie systemu Sysmon jako źródła danych
- Wykrywanie skrótów
- Mechanizmy detekcji wskaźników sieciowych
- Podsumowanie ćwiczenia
- Podsumowanie
- Lektura uzupełniająca
Rozdział 7. Opracowywanie mechanizmów detekcji opartych na wskaźnikach behawioralnych
- Wymagania techniczne
- Wykrywanie narzędzi przeciwnika
- Przykładowy scenariusz. Użycie narzędzia PsExec
- Wykrywanie taktyk, technik i procedur (TTP)
- Przykładowy scenariusz. Technika omijania kontroli znacznika sieci
- Podsumowanie
Rozdział 8. Tworzenie dokumentacji i potoki mechanizmów detekcji
- Dokumentowanie mechanizmu detekcji
- Ćwiczenie. Dokumentowanie mechanizmu detekcji
- Analiza repozytorium mechanizmów detekcji
- Mechanizm detekcji jako kod
- Wyzwania związane z tworzeniem potoku mechanizmu detekcji
- Ćwiczenie. Publikowanie reguły przy użyciu projektu mechanizmów detekcji Elastic
- Podsumowanie
CZĘŚĆ 3. Walidacja mechanizmów detekcji
Rozdział 9. Walidacja mechanizmów detekcji
- Wymagania techniczne
- Czym jest proces walidacji?
- Na czym polegają ćwiczenia zespołu purple team?
- Symulowanie aktywności przeciwnika
- Atomic Red Team
- CALDERA
- Ćwiczenie. Walidacja mechanizmów detekcji dla pojedynczej techniki z wykorzystaniem Atomic Red Team
- Ćwiczenie. Walidacja mechanizmów detekcji dla wielu technik z wykorzystaniem systemu CALDERA
- Korzystanie z wyników walidacji
- Pomiar pokrycia zagrożeń mechanizmami detekcji
- Podsumowanie
- Lektura uzupełniająca
Rozdział 10. Wykorzystanie wiedzy o zagrożeniach
- Wymagania techniczne
- Przegląd zagadnień związanych z wiedzą o zagrożeniach
- Wiedza o zagrożeniach typu open source
- Wewnętrzne źródła wiedzy o zagrożeniach
- Zbieranie wiedzy o zagrożeniach
- Wiedza o zagrożeniach w cyklu życia inżynierii detekcji
- Odkrywanie wymagań
- Selekcja
- Analiza
- Wiedza o zagrożeniach na potrzeby inżynierii detekcji w praktyce
- Przykład. Wykorzystywanie na potrzeby inżynierii detekcji wpisów na blogach z informacjami o zagrożeniach
- Przykład. Wykorzystanie systemu VirusTotal na potrzeby inżynierii detekcji
- Ocena zagrożeń
- Przykład. Wykorzystanie oceny zagrożeń na potrzeby inżynierii detekcji
- Zasoby i dalsza lektura
- Źródła i pojęcia związane z wiedzą o zagrożeniach
- Skanery online i piaskownice
- MITRE ATT&CK
- Podsumowanie
CZĘŚĆ 4. Metryki i zarządzanie
Rozdział 11. Zarządzanie wydajnością
- Wprowadzenie do zarządzania wydajnością
- Ocena dojrzałości mechanizmu detekcji
- Pomiar wydajności programu inżynierii detekcji
- Pomiar skuteczności programu inżynierii detekcji
- Priorytetyzacja prac związanych z detekcją
- Trafność, hałaśliwość i czułość
- Obliczanie skuteczności mechanizmu detekcji
- Metryki pokrycia o niskiej wierności
- Automatyczna walidacja
- Metryki pokrycia o wysokiej wierności
- Podsumowanie
- Lektura uzupełniająca
CZĘŚĆ 5. Kariera w inżynierii detekcji
Rozdział 12. Wskazówki dotyczące kariery w inżynierii detekcji
- Zdobycie pracy w branży inżynierii detekcji
- Oferty pracy
- Rozwijanie umiejętności
- Inżynier detekcji jako zawód
- Role i obowiązki inżyniera detekcji
- Przyszłość inżynierii detekcji
- Powierzchnie ataku
- Widoczność
- Możliwości urządzeń zabezpieczeń
- Uczenie maszynowe
- Współdzielenie metodologii ataków
- Przeciwnik
- Człowiek
- Podsumowanie
Kategoria: | Hacking |
Zabezpieczenie: |
Watermark
|
ISBN: | 978-83-289-0903-8 |
Rozmiar pliku: | 12 MB |