E-book details

Aktywne wykrywanie zagrożeń w systemach IT w praktyce. Wykorzystywanie analizy danych, frameworku ATT&CK oraz narzędzi open source

Aktywne wykrywanie zagrożeń w systemach IT w praktyce. Wykorzystywanie analizy danych, frameworku ATT&CK oraz narzędzi open source

Valentina Costa-Gazcón

Ebook

Udany atak na system informatyczny organizacji może mieć bardzo poważne konsekwencje. W ostatnich latach analitycy cyberbezpieczeństwa starają się uprzedzać zagrożenia i je neutralizować, zanim dojdzie do wystąpienia większych szkód w systemie. Podejście to wymaga nieustannego testowania i wzmacniania mechanizmów obronnych w systemie informatycznym organizacji. W ramach tych procesów można zebrać wiele cennych danych, użyć ich do budowy modeli i dzięki temu lepiej zrozumieć istotne kwestie związane z bezpieczeństwem IT.

Ta książka to praktyczny przewodnik po aktywnych technikach wykrywania, analizowania i neutralizowania zagrożeń cybernetycznych. Dzięki niej, nawet jeśli nie posiadasz specjalistycznej wiedzy w tym zakresie, łatwo wdrożysz od podstaw skuteczny program aktywnego zabezpieczania swojej organizacji. Dowiesz się, w jaki sposób wykrywać ataki, jak zbierać dane i za pomocą modeli pozyskiwać z nich cenne informacje. Przekonasz się, że niezbędne środowisko możesz skonfigurować przy użyciu narzędzi open source. Dzięki licznym ćwiczeniom nauczysz się w praktyce korzystać z biblioteki testów Atomic Red Team, a także z frameworku MITRE ATT&CK™. Ponadto zdobędziesz umiejętności związane z dokumentowaniem swoich działań, definiowaniem wskaźników bezpieczeństwa systemu, jak również komunikowaniem informacji o jego naruszeniach swoim współpracownikom, przełożonym i partnerom biznesowym.

Dzięki książce:

  • poznasz podstawy informatyki śledczej i analizy zagrożeń
  • dowiesz się, w jaki sposób modelować zebrane dane i dokumentować wyniki badań
  • nauczysz się symulować działania agresorów w środowisku laboratoryjnym
  • wprawisz się we wczesnym wykrywaniu naruszeń
  • poznasz zasady komunikowania się z kierownictwem i otoczeniem biznesowym

To proste. Szukaj. Wykryj. Zneutralizuj!

O autorce

O recenzentach

Wstęp

Część I. Informatyka wywiadowcza

Rozdział 1. Czym jest informatyka wywiadowcza?

  • Informatyka wywiadowcza
    • Poziom strategiczny
    • Poziom operacyjny
    • Poziom taktyczny
  • Cykl działań wywiadowczych
    • Planowanie i wyznaczanie celów
    • Przygotowywanie i gromadzenie danych
    • Przetwarzanie i wykorzystywanie danych
    • Analiza i wytwarzanie informacji
    • Rozpowszechnianie i integracja wiedzy
    • Ocena i informacje zwrotne
  • Definiowanie Twojego zapotrzebowania na informacje wywiadowcze
  • Proces gromadzenia danych
    • Wskaźniki naruszenia bezpieczeństwa
    • Zrozumieć złośliwe oprogramowanie
    • Wykorzystanie źródeł publicznych do gromadzenia danych - OSINT
    • Honeypoty
    • Analiza złośliwego oprogramowania i sandboxing
  • Przetwarzanie i wykorzystywanie danych
    • Cyber Kill Chain®
    • Model diamentowy
    • Framework MITRE ATT&CK
  • Tendencyjność a analiza informacji
  • Podsumowanie

Rozdział 2. Czym jest polowanie na zagrożenia?

  • Wymogi merytoryczne
  • Czym jest polowanie na zagrożenia?
    • Rodzaje polowań na zagrożenia
    • Zestaw umiejętności łowcy zagrożeń
    • Piramida bólu
  • Model dojrzałości w procesie polowania na zagrożenia
    • Określenie naszego modelu dojrzałości
  • Proces polowania na zagrożenia
    • Pętla polowania na zagrożenia
    • Model polowania na zagrożenia
    • Metodologia oparta na danych
    • TaHiTI - polowanie ukierunkowane integrujące informatykę wywiadowczą
  • Tworzenie hipotezy
  • Podsumowanie

Rozdział 3. Z jakich źródeł pozyskujemy dane?

  • Wymogi merytoryczne i techniczne
  • Zrozumienie zebranych danych
    • Podstawy systemów operacyjnych
    • Podstawy działania sieci komputerowych
  • Narzędzia dostępne w systemie Windows
    • Podgląd zdarzeń w systemie Windows
    • Instrumentacja zarządzania systemem Windows (WMI)
    • Śledzenie zdarzeń dla Windows (ETW)
  • Źródła danych
    • Dane z punktów końcowych
    • Dane sieciowe
    • Dane zabezpieczeń
  • Podsumowanie

Część II. Zrozumieć przeciwnika

Rozdział 4. Jak mapować przeciwnika

  • Wymogi merytoryczne
  • Framework ATT&CK
    • Taktyki, techniki, subtechniki i procedury
    • Macierz ATT&CK
    • Nawigator ATT&CK
  • Mapowanie za pomocą frameworka ATT&CK
  • Przetestuj się!
    • Odpowiedzi
  • Podsumowanie

Rozdział 5. Praca z danymi

  • Wymogi merytoryczne i techniczne
  • Używanie słowników danych
    • Metadane zdarzeń zagrażających bezpieczeństwu typu open source
  • Używanie narzędzia MITRE CAR
    • CARET
  • Używanie Sigmy
  • Podsumowanie

Rozdział 6. Jak emulować przeciwnika

  • Stworzenie planu emulacji przeciwnika
    • Czym jest emulacja przeciwnika?
    • Plan emulacji zespołu MITRE ATT&CK
  • Jak emulować zagrożenie
    • Atomic Red Team
    • Mordor (Security Datasets)
    • CALDERA
    • Pozostałe narzędzia
  • Przetestuj się!
    • Odpowiedzi
  • Podsumowanie

Część III. Jak pracować z wykorzystaniem środowiska badawczego

Rozdział 7. Jak stworzyć środowisko badawcze

  • Wymogi merytoryczne i techniczne
  • Konfigurowanie środowiska badawczego
  • Instalowanie środowiska wirtualnego VMware ESXI
    • Tworzenie sieci VLAN
    • Konfigurowanie zapory (firewalla)
  • Instalowanie systemu operacyjnego Windows Server
  • Konfigurowanie systemu operacyjnego Windows Server w roli kontrolera domeny
    • Zrozumienie struktury usługi katalogowej Active Directory
    • Nadanie serwerowi statusu kontrolera domeny
    • Konfigurowanie serwera DHCP
    • Tworzenie jednostek organizacyjnych
    • Tworzenie użytkowników
    • Tworzenie grup
    • Obiekty zasad grupy
    • Konfigurowanie zasad inspekcji
    • Dodawanie nowych klientów
  • Konfigurowanie stosu ELK
    • Konfigurowanie usługi systemowej Sysmon
    • Pobieranie certyfikatu
  • Konfigurowanie aplikacji Winlogbeat
    • Szukanie naszych danych w instancji stosu ELK
  • Bonus - dodawanie zbiorów danych Mordor do naszej instancji stosu ELK
  • HELK - narzędzie open source autorstwa Roberto Rodrigueza
    • Rozpoczęcie pracy z platformą HELK
  • Podsumowanie

Rozdział 8. Jak przeprowadzać kwerendę danych

  • Wymogi merytoryczne i techniczne
  • Atomowe polowanie z użyciem bibliotek Atomic Red Team
  • Cykl testowy bibliotek Atomic Red Team
    • Testowanie dostępu początkowego
    • Testowanie wykonania
    • Testowanie zdolności do przetrwania
    • Testy nadużywania przywilejów
    • Testowanie unikania systemów obronnych
    • Testowanie pod kątem wykrywania przez atakującego zasobów ofiary
    • Testowanie taktyki wysyłania poleceń i sterowania (C2)
    • Invoke-AtomicRedTeam
  • Quasar RAT
    • Przypadki użycia trojana Quasar RAT w świecie rzeczywistym
    • Uruchamianie i wykrywanie trojana Quasar RAT
    • Testowanie zdolności do przetrwania
    • Testowanie dostępu do danych uwierzytelniających
    • Badanie ruchów poprzecznych
  • Podsumowanie

Rozdział 9. Jak polować na przeciwnika

  • Wymogi merytoryczne i techniczne
  • Oceny przeprowadzone przez MITRE
    • Importowanie zbiorów danych APT29 do bazy HELK
    • Polowanie na APT29
  • Używanie frameworka MITRE CALDERA
    • Konfigurowanie programu CALDERA
    • Wykonanie planu emulacji za pomocą programu CALDERA
  • Reguły pisane w języku Sigma
  • Podsumowanie

Rozdział 10. Znaczenie dokumentowania i automatyzowania procesu

  • Znaczenie dokumentacji
    • Klucz do pisania dobrej dokumentacji
    • Dokumentowanie polowań
  • Threat Hunter Playbook
  • Jupyter Notebook
  • Aktualizowanie procesu polowania
  • Znaczenie automatyzacji
  • Podsumowanie

Część IV. Wymiana informacji kluczem do sukcesu

Rozdział 11. Jak oceniać jakość danych

  • Wymogi merytoryczne i techniczne
  • Jak odróżnić dane dobrej jakości od danych złej jakości
    • Wymiary danych
  • Jak poprawić jakość danych
    • OSSEM Power-up
    • DeTT&CT
    • Sysmon-Modular
  • Podsumowanie

Rozdział 12. Jak zrozumieć dane wyjściowe

  • Jak zrozumieć wyniki polowania
  • Znaczenie wyboru dobrych narzędzi analitycznych
  • Przetestuj się!
    • Odpowiedzi
  • Podsumowanie

Rozdział 13. Jak zdefiniować dobre wskaźniki śledzenia postępów

  • Wymogi merytoryczne i techniczne
  • Znaczenie definiowania dobrych wskaźników
  • Jak określić sukces programu polowań
    • Korzystanie z frameworka MaGMA for Threat Hunting
  • Podsumowanie

Rozdział 14. Jak stworzyć zespół szybkiego reagowania i jak informować zarząd o wynikach polowań

  • Jak zaangażować w działanie zespół reagowania na incydenty
  • Wpływ komunikowania się na sukces programu polowania na zagrożenia
  • Przetestuj się!
    • Odpowiedzi
  • Podsumowanie

Dodatek. Stan polowań

  • Title: Aktywne wykrywanie zagrożeń w systemach IT w praktyce. Wykorzystywanie analizy danych, frameworku ATT&CK oraz narzędzi open source
  • Author: Valentina Costa-Gazcón
  • Original title: Practical Threat Intelligence and Data-Driven Threat Hunting: A hands-on guide to threat hunting with the ATT&CK Framework and open source tools
  • Translation: Piotr Rakowski
  • ISBN: 978-83-283-8886-4, 9788328388864
  • Date of issue: 2022-08-23
  • Format: Ebook
  • Item ID: akwyza
  • Publisher: Helion