Inżynieria detekcji cyberzagrożeń w praktyce. Planowanie, tworzenie i walidacja mechanizmów wykrywania zagrożeń Częstochowa

Efektywny potok detekcji zagrożeń jest niezbędnym elementem programu cyberbezpieczeństwa. W procesach inżynierii detekcji szczególną uwagę należy poświęcić technikom tworzenia i walidacji mechanizmów detekcji. To oczywiste - od ich jakości zależy skuteczność zabezpieczeń w organizacji. Trzeba więc zrozumieć, czym jest inżynieria detekcji i jakie ma znaczenie dla cyberbezpieczeństwa. Oto przewodnik po inżynierii detekcji, przeznaczony dla inżynierów zabezpieczeń i analityków bezpieczeństwa. Zaprezentowano w nim praktyczną metodologię planowania, budowy i walidacji mechanizmów wykrywania zagrożeń. Opisano zasady pracy z frameworkami służącymi do testowania i uwierzytelniania programu inżynierii detekcji. Książka zawiera przykłady dotyczące zagadnień z całego cyklu, od utworzenia reguły detekcji po jej walidację, a omawianej tematyce towarzyszy bogaty zestaw samouczków, projektów i pytań sprawdzających. To doskonałe źródło wiedzy o zasadach pracy inżyniera detekcji i o ciągłym rozwoju tej dziedziny. W książce: przebieg procesu inżynierii detekcji budowa laboratorium testowego utrzymywanie mechanizmów detekcji w formie ustandaryzowanego kodu tworzenie mechanizmów detekcji wczesne wykrywanie cyberataków i złośliwej aktywności ścieżki kariery w inżynierii detekcji Nie oczekuj, że wróg się nie zjawi. Przygotuj się, aby go odpowiednio przyjąć! Spis treści: O autorach O recenzentach Przedmowa CZĘŚĆ 1. Wprowadzenie do inżynierii detekcji Rozdział 1. Podstawy inżynierii detekcji Podstawowe pojęcia Unified Kill Chain Framework MITRE ATT&CK Piramida bólu Rodzaje cyberataków Motywacja dla inżynierii detekcji Definicja inżynierii detekcji Ważne cechy wyróżniające Wartość programu inżynierii detekcji Potrzeba zapewnienia lepszej wykrywalności Cechy dobrego wykrywania zagrożeń Korzyści z programu inżynierii detekcji Przewodnik korzystania z tej książki Struktura książki Ćwiczenia praktyczne Podsumowanie Rozdział 2. Cykl życia inżynierii detekcji Faza 1. Odkrywanie wymagań Charakterystyka kompletnego wymagania mechanizmu detekcji Źródła wymagań dla mechanizmów detekcji Ćwiczenie. Źródła wymagań dotyczących mechanizmów detekcji w Twojej organizacji Faza 2. Selekcja Dotkliwość zagrożenia Dopasowanie mechanizmu detekcji zagrożenia do organizacji Pokrycie zagrożeń mechanizmami detekcji Aktywne eksploity Faza 3. Analiza Określenie źródła danych Ustalenie typów wskaźników wykrycia Kontekst badawczy Ustalenie kryteriów walidacji Faza 4. Programowanie Faza 5. Testowanie Rodzaje danych testowych Faza 6. Wdrażanie Podsumowanie Rozdział 3. Budowa laboratorium testowego inżynierii detekcji Wymagania techniczne Elastic Stack Wdrażanie systemu Elastic Stack za pomocą Dockera Konfiguracja Elastic Stack Konfiguracja narzędzia Fleet Server Instalacja i konfiguracja systemu Fleet Server Dodatkowe konfiguracje dla komponentu Fleet Server Dodawanie hosta do laboratorium Zasady komponentu Elastic Agent Tworzenie pierwszego mechanizmu detekcji Dodatkowe zasoby Podsumowanie CZĘŚĆ 2. Tworzenie mechanizmów detekcji Rozdział 4. Źródła danych inżynierii detekcji Wymagania techniczne Źródła danych i telemetrii Nieprzetworzona telemetria Narzędzia zabezpieczeń Źródła danych MITRE ATT&CK Identyfikacja źródeł danych Analiza problemów i wyzwań związanych ze źródłami danych Kompletność Jakość Terminowość Pokrycie Ćwiczenie. Więcej informacji o źródłach danych Dodawanie źródeł danych Ćwiczenie. Dodawanie źródła danych serwera WWW Podsumowanie Lektura uzupełniająca Rozdział 5. Analiza wymagań dla mechanizmów detekcji Przegląd faz wymagań dla mechanizmów detekcji Odkrywanie wymagań dla mechanizmów detekcji Narzędzia i procesy Ćwiczenie. Odkrywanie wymagań w organizacji Selekcja wymagań dla mechanizmów detekcji Dotkliwość zagrożenia Dopasowanie zagrożenia do organizacji Pokrycie wymagań dla mechanizmów detekcji Aktywne eksploity Obliczanie priorytetu Analiza wymagań dla mechanizmów detekcji Podsumowanie Rozdział 6. Tworzenie mechanizmów detekcji przy użyciu wskaźników naruszeń zabezpieczeń Wymagania techniczne Wykorzystanie wskaźników naruszenia zabezpieczeń Przykładowy scenariusz. Identyfikacja kampanii IcedID przy użyciu wskaźników Ćwiczenie Instalacja i konfigurowanie systemu Sysmon jako źródła danych Wykrywanie skrótów Mechanizmy detekcji wskaźników sieciowych Podsumowanie ćwiczenia Podsumowanie Lektura uzupełniająca Rozdział 7. Opracowywanie mechanizmów detekcji opartych na wskaźnikach behawioralnych Wymagania techniczne Wykrywanie narzędzi przeciwnika Przykładowy scenariusz. Użycie narzędzia PsExec Wykrywanie taktyk, technik i procedur (TTP) Przykładowy scenariusz. Technika omijania kontroli znacznika sieci Podsumowanie Rozdział 8. Tworzenie dokumentacji i potoki mechanizmów detekcji Dokumentowanie mechanizmu detekcji Ćwiczenie. Dokumentowanie mechanizmu detekcji Analiza repozytorium mechanizmów detekcji Mechanizm detekcji jako kod Wyzwania związane z tworzeniem potoku mechanizmu detekcji Ćwiczenie. Publikowanie reguły przy użyciu projektu mechanizmów detekcji Elastic Podsumowanie CZĘŚĆ 3. Walidacja mechanizmów detekcji Rozdział 9. Walidacja mechanizmów detekcji Wymagania techniczne Czym jest proces walidacji? Na czym polegają ćwiczenia zespołu purple team? Symulowanie aktywności przeciwnika Atomic Red Team CALDERA Ćwiczenie. Walidacja mechanizmów detekcji dla pojedynczej techniki z wykorzystaniem Atomic Red Team Ćwiczenie. Walidacja mechanizmów detekcji dla wielu technik z wykorzystaniem systemu CALDERA Korzystanie z wyników walidacji Pomiar pokrycia zagrożeń mechanizmami detekcji Podsumowanie Lektura uzupełniająca Rozdział 10. Wykorzystanie wiedzy o zagrożeniach Wymagania techniczne Przegląd zagadnień związanych z wiedzą o zagrożeniach Wiedza o zagrożeniach typu open source Wewnętrzne źródła wiedzy o zagrożeniach Zbieranie wiedzy o zagrożeniach Wiedza o zagrożeniach w cyklu życia inżynierii detekcji Odkrywanie wymagań Selekcja Analiza Wiedza o zagrożeniach na potrzeby inżynierii detekcji w praktyce Przykład. Wykorzystywanie na potrzeby inżynierii detekcji wpisów na blogach z informacjami o zagrożeniach Przykład. Wykorzystanie systemu VirusTotal na potrzeby inżynierii detekcji Ocena zagrożeń Przykład. Wykorzystanie oceny zagrożeń na potrzeby inżynierii detekcji Zasoby i dalsza lektura Źródła i pojęcia związane z wiedzą o zagrożeniach Skanery online i piaskownice MITRE ATT&CK Podsumowanie CZĘŚĆ 4. Metryki i zarządzanie Rozdział 11. Zarządzanie wydajnością Wprowadzenie do zarządzania wydajnością Ocena dojrzałości mechanizmu detekcji Pomiar wydajności programu inżynierii detekcji Pomiar skuteczności programu inżynierii detekcji Priorytetyzacja prac związanych z detekcją Trafność, hałaśliwość i czułość Obliczanie skuteczności mechanizmu detekcji Metryki pokrycia o niskiej wierności Automatyczna walidacja Metryki pokrycia o wysokiej wierności Podsumowanie Lektura uzupełniająca CZĘŚĆ 5. Kariera w inżynierii detekcji Rozdział 12. Wskazówki dotyczące kariery w inżynierii detekcji Zdobycie pracy w branży inżynierii detekcji Oferty pracy Rozwijanie umiejętności Inżynier detekcji jako zawód Role i obowiązki inżyniera detekcji Przyszłość inżynierii detekcji Powierzchnie ataku Widoczność Możliwości urządzeń zabezpieczeń Uczenie maszynowe Współdzielenie metodologii ataków Przeciwnik Człowiek Podsumowanie