Skuteczne strategie obrony przed zaawansowanymi cyberatakami. Reagowanie na incydenty bezpieczeństwa w systemie Windows - Anatoly Tykushin, Svetlana O Gdynia

W czasach wyrafinowanych cyberataków nie możesz się ograniczać do standardowych procedur. Poza codzienną rutyną musisz ciągle udoskonalać strategię reagowania na incydenty, identyfikować wykorzystane luki i słabe punkty, a równocześnie usuwać agresora z zaatakowanej sieci. Jakiekolwiek zaniechania lub błędy mogą się okazać bardzo kosztowne. Dzięki tej książce nauczysz się skutecznie wykrywać cyberataki wymierzone w infrastrukturę opartą na systemie Windows i dowiesz się, jak na nie reagować. Zaczniesz od zapoznania się ze współczesnymi technikami cyberataków, z metodami działania napastników i ich motywacjami. Poznasz szczegóły każdej fazy procesu reagowania - od wykrycia, przez analizę, aż po odzyskiwanie danych - a także niezbędne narzędzia, techniki i strategie. W miarę postępów zgłębisz tajniki odnajdywania cyfrowych śladów na endpointach. Na koniec przeanalizujesz sprawdzone podejścia do wykrywania zagrożeń i poznasz strategie aktywnej detekcji incydentów, jeszcze zanim agresor osiągnie swój cel. Najciekawsze zagadnienia: strategie i procedury śledcze w cyberbezpieczeństwie analiza endpointów pracujących w systemach Windows analiza infrastruktury i skuteczne strategie zapobiegania incydentom naprawa szkód wyrządzonych podczas ataków procesy identyfikacji zagrożeń procedury sporządzania raportów o incydentach Budowanie reputacji zajmuje dwadzieścia lat, a kilka minut cyberincydentu ją niszczy. Stephane Nappo, francuski ekspert do spraw bezpieczeństwa informacji Spis treści: O autorach O recenzentach Przedmowa Wprowadzenie Część 1. Krajobraz zagrożeń i cykl cyberataku Rozdział 1. Wprowadzenie do krajobrazu zagrożeń Krajobraz cyberzagrożeń Rodzaje aktorów zagrożeń i ich motywacje Zaawansowane trwałe zagrożenia Cyberprzestępcy Haktywiści Konkurenci Wewnętrzne zagrożenia Grupy terrorystyczne Domorośli hakerzy Wnioski Kształtowanie krajobrazu cyberzagrożeń Podsumowanie Rozdział 2. Cykl cyberataku Faza 1. Zdobycie początkowego przyczółku Uzyskiwanie dostępu do sieci Ustanawianie przyczółku Rozpoznawanie sieci Faza 2. Utrzymanie dostępu i widoczności Odkrywanie kluczowych zasobów Rozprzestrzenianie się w sieci Faza 3. Eksfiltracja danych i skutki Eksfiltracja danych Skutki Podsumowanie Część 2. Procedury reagowania na incydenty i zbieranie dowodów kryminalistycznych z endpointów Rozdział 3. Fazy efektywnego reagowania na incydenty w infrastrukturze systemu Windows Role, zasoby i problemy w reagowaniu na incydenty Przygotowanie i planowanie - opracowanie skutecznego planu reagowania na incydenty Wykrywanie i weryfikowanie - rozpoznawanie, ocena i potwierdzanie incydentów cyberbezpieczeństwa skierowanych przeciwko systemom Windows Wykrywanie incydentu Weryfikowanie incydentu Klasyfikowanie incydentu Analizowanie i powstrzymywanie - badanie i blokowanie rozprzestrzeniania się cyberataków Analizowanie incydentu Powstrzymywanie incydentu Eliminowanie i odzyskiwanie - usuwanie śladów włamania i powrót do normalnego funkcjonowania Eliminowanie incydentu Odzyskiwanie Podsumowanie Rozdział 4. Pozyskiwanie dowodów z endpointów Wprowadzenie do zbierania dowodów z endpointów Zbieranie danych z endpointów Pozyskiwanie danych trwałych Pozyskiwanie danych z pamięci Przechwytywanie danych o ruchu sieciowym Skalowalność gromadzenia dowodów cyfrowych Podsumowanie Część 3. Analiza incydentów i polowanie na zagrożenia w systemach Windows Rozdział 5. Uzyskiwanie dostępu do sieci Użycie aplikacji dostępnych publicznie Wykorzystanie zewnętrznych usług zdalnych Spear phishing Atak typu drive-by Inne metody uzyskiwania początkowego dostępu Podsumowanie Rozdział 6. Ustanawianie przyczółku Metody analizy powłamaniowej Utrzymywanie stałego dostępu do systemów Windows Dzienniki zdarzeń Rejestr systemu Windows Metadane systemu plików Inne źródła Kanały komunikacji C2 Podsumowanie Rozdział 7. Rozpoznawanie sieci i kluczowych zasobów Techniki rozpoznawania środowiska Windows Przypadek 1. Operatorzy ransomware'u Przypadek 2. Klasyczne grupy motywowane finansowo Przypadek 3. Szpiegostwo korporacyjne Wykrywanie fazy rozpoznawania Korzystanie z wyspecjalizowanych programów Korzystanie z narzędzi systemowych Dostęp do określonych lokalizacji i plików Doraźna eksfiltracja danych Podsumowanie Rozdział 8. Rozprzestrzenianie się w sieci Ruch boczny w środowisku Windows Wykrywanie ruchu bocznego Usługi zdalne Narzędzia do wdrażania oprogramowania Przenoszenie narzędzi między systemami Wewnętrzny spear phishing Cykliczność etapów pośrednich Podsumowanie Rozdział 9. Gromadzenie i eksfiltracja danych Rodzaje danych będących celem ataków Metody zbierania danych Techniki eksfiltracji danych Wykrywanie gromadzenia i eksfiltracji danych Podsumowanie Rozdział 10. Skutki Rodzaje skutków Ocena skutków Skutki bezpośrednie Ograniczanie skutków Technologia Ludzie Procesy Podsumowanie Rozdział 11. Polowanie na zagrożenia oraz analiza taktyk, technik i procedur Polowanie na zagrożenia Analiza zagrożeń cybernetycznych Polowanie na zagrożenia w systemach Windows Częstotliwość polowania na zagrożenia Przygotowanie polowania Planowanie polowania Wykrywanie anomalii - identyfikowanie włamań w środowiskach Windows Zdobywanie wprawy w polowaniu na zagrożenia - role i umiejętności Podsumowanie Część 4. Zarządzanie dochodzeniem w sprawie incydentów i sporządzanie raportów Rozdział 12. Powstrzymywanie, eliminowanie i odzyskiwanie Warunki wstępne i proces powstrzymywania incydentu Warunki wstępne powstrzymywania incydentu Planowanie powstrzymywania incydentów Proces powstrzymywania incydentu Warunki wstępne i proces eliminowania incydentu Warunki wstępne i proces odzyskiwania sprawności po incydencie Przygotowywanie działań naprawczych po incydencie Podsumowanie Rozdział 13. Zamykanie dochodzenia i sporządzanie raportu z incydentu Zamknięcie incydentu Analiza luk Dokumentacja incydentu Podsumowujący raport techniczny Podsumowujący raport dla kadry kierowniczej Formularze pozyskiwania dowodów Formularze łańcucha dowodowego Wnioski z incydentu Zewnętrzne kanały zgłaszania incydentów cyberbezpieczeństwa Podsumowanie