E-book details

Skuteczne strategie obrony przed zaawansowanymi cyberatakami. Reagowanie na incydenty bezpieczeństwa w systemie Windows

Skuteczne strategie obrony przed zaawansowanymi cyberatakami. Reagowanie na incydenty bezpieczeństwa w systemie Windows

Anatoly Tykushin, Svetlana Ostrovskaya

Ebook

W czasach wyrafinowanych cyberataków nie możesz się ograniczać do standardowych procedur. Poza codzienną rutyną musisz ciągle udoskonalać strategię reagowania na incydenty, identyfikować wykorzystane luki i słabe punkty, a równocześnie usuwać agresora z zaatakowanej sieci. Jakiekolwiek zaniechania lub błędy mogą się okazać bardzo kosztowne.

Dzięki tej książce nauczysz się skutecznie wykrywać cyberataki wymierzone w infrastrukturę opartą na systemie Windows i dowiesz się, jak na nie reagować. Zaczniesz od zapoznania się ze współczesnymi technikami cyberataków, z metodami działania napastników i ich motywacjami. Poznasz szczegóły każdej fazy procesu reagowania - od wykrycia, przez analizę, aż po odzyskiwanie danych - a także niezbędne narzędzia, techniki i strategie. W miarę postępów zgłębisz tajniki odnajdywania cyfrowych śladów na endpointach. Na koniec przeanalizujesz sprawdzone podejścia do wykrywania zagrożeń i poznasz strategie aktywnej detekcji incydentów, jeszcze zanim agresor osiągnie swój cel.

Najciekawsze zagadnienia:

  • strategie i procedury śledcze w cyberbezpieczeństwie
  • analiza endpointów pracujących w systemach Windows
  • analiza infrastruktury i skuteczne strategie zapobiegania incydentom
  • naprawa szkód wyrządzonych podczas ataków
  • procesy identyfikacji zagrożeń
  • procedury sporządzania raportów o incydentach

Budowanie reputacji zajmuje dwadzieścia lat, a kilka minut cyberincydentu ją niszczy.

Stephane Nappo, francuski ekspert do spraw bezpieczeństwa informacji

O autorach

O recenzentach

Przedmowa

Wprowadzenie

Część 1. Krajobraz zagrożeń i cykl cyberataku

  • Rozdział 1. Wprowadzenie do krajobrazu zagrożeń
    • Krajobraz cyberzagrożeń
    • Rodzaje aktorów zagrożeń i ich motywacje
      • Zaawansowane trwałe zagrożenia
      • Cyberprzestępcy
      • Haktywiści
      • Konkurenci
      • Wewnętrzne zagrożenia
      • Grupy terrorystyczne
      • Domorośli hakerzy
      • Wnioski
    • Kształtowanie krajobrazu cyberzagrożeń
    • Podsumowanie
  • Rozdział 2. Cykl cyberataku
    • Faza 1. Zdobycie początkowego przyczółku
      • Uzyskiwanie dostępu do sieci
      • Ustanawianie przyczółku
      • Rozpoznawanie sieci
    • Faza 2. Utrzymanie dostępu i widoczności
      • Odkrywanie kluczowych zasobów
      • Rozprzestrzenianie się w sieci
    • Faza 3. Eksfiltracja danych i skutki
      • Eksfiltracja danych
      • Skutki
    • Podsumowanie

Część 2. Procedury reagowania na incydenty i zbieranie dowodów kryminalistycznych z endpointów

  • Rozdział 3. Fazy efektywnego reagowania na incydenty w infrastrukturze systemu Windows
    • Role, zasoby i problemy w reagowaniu na incydenty
    • Przygotowanie i planowanie - opracowanie skutecznego planu reagowania na incydenty
    • Wykrywanie i weryfikowanie - rozpoznawanie, ocena i potwierdzanie incydentów cyberbezpieczeństwa skierowanych przeciwko systemom Windows
      • Wykrywanie incydentu
      • Weryfikowanie incydentu
      • Klasyfikowanie incydentu
    • Analizowanie i powstrzymywanie - badanie i blokowanie rozprzestrzeniania się cyberataków
      • Analizowanie incydentu
      • Powstrzymywanie incydentu
    • Eliminowanie i odzyskiwanie - usuwanie śladów włamania i powrót do normalnego funkcjonowania
      • Eliminowanie incydentu
      • Odzyskiwanie
    • Podsumowanie
  • Rozdział 4. Pozyskiwanie dowodów z endpointów
    • Wprowadzenie do zbierania dowodów z endpointów
    • Zbieranie danych z endpointów
      • Pozyskiwanie danych trwałych
      • Pozyskiwanie danych z pamięci
      • Przechwytywanie danych o ruchu sieciowym
    • Skalowalność gromadzenia dowodów cyfrowych
    • Podsumowanie

Część 3. Analiza incydentów i polowanie na zagrożenia w systemach Windows

  • Rozdział 5. Uzyskiwanie dostępu do sieci
    • Użycie aplikacji dostępnych publicznie
    • Wykorzystanie zewnętrznych usług zdalnych
    • Spear phishing
    • Atak typu drive-by
    • Inne metody uzyskiwania początkowego dostępu
    • Podsumowanie
  • Rozdział 6. Ustanawianie przyczółku
    • Metody analizy powłamaniowej
    • Utrzymywanie stałego dostępu do systemów Windows
      • Dzienniki zdarzeń
      • Rejestr systemu Windows
      • Metadane systemu plików
      • Inne źródła
    • Kanały komunikacji C2
    • Podsumowanie
  • Rozdział 7. Rozpoznawanie sieci i kluczowych zasobów
    • Techniki rozpoznawania środowiska Windows
      • Przypadek 1. Operatorzy ransomware'u
      • Przypadek 2. Klasyczne grupy motywowane finansowo
      • Przypadek 3. Szpiegostwo korporacyjne
    • Wykrywanie fazy rozpoznawania
      • Korzystanie z wyspecjalizowanych programów
      • Korzystanie z narzędzi systemowych
      • Dostęp do określonych lokalizacji i plików
    • Doraźna eksfiltracja danych
    • Podsumowanie
  • Rozdział 8. Rozprzestrzenianie się w sieci
    • Ruch boczny w środowisku Windows
    • Wykrywanie ruchu bocznego
      • Usługi zdalne
      • Narzędzia do wdrażania oprogramowania
      • Przenoszenie narzędzi między systemami
      • Wewnętrzny spear phishing
    • Cykliczność etapów pośrednich
    • Podsumowanie
  • Rozdział 9. Gromadzenie i eksfiltracja danych
    • Rodzaje danych będących celem ataków
    • Metody zbierania danych
    • Techniki eksfiltracji danych
    • Wykrywanie gromadzenia i eksfiltracji danych
    • Podsumowanie
  • Rozdział 10. Skutki
    • Rodzaje skutków
    • Ocena skutków
      • Skutki bezpośrednie
    • Ograniczanie skutków
      • Technologia
      • Ludzie
      • Procesy
    • Podsumowanie
  • Rozdział 11. Polowanie na zagrożenia oraz analiza taktyk, technik i procedur
    • Polowanie na zagrożenia
    • Analiza zagrożeń cybernetycznych
    • Polowanie na zagrożenia w systemach Windows
      • Częstotliwość polowania na zagrożenia
      • Przygotowanie polowania
      • Planowanie polowania
    • Wykrywanie anomalii - identyfikowanie włamań w środowiskach Windows
    • Zdobywanie wprawy w polowaniu na zagrożenia - role i umiejętności
    • Podsumowanie

Część 4. Zarządzanie dochodzeniem w sprawie incydentów i sporządzanie raportów

  • Rozdział 12. Powstrzymywanie, eliminowanie i odzyskiwanie
    • Warunki wstępne i proces powstrzymywania incydentu
      • Warunki wstępne powstrzymywania incydentu
      • Planowanie powstrzymywania incydentów
      • Proces powstrzymywania incydentu
    • Warunki wstępne i proces eliminowania incydentu
    • Warunki wstępne i proces odzyskiwania sprawności po incydencie
    • Przygotowywanie działań naprawczych po incydencie
    • Podsumowanie
  • Rozdział 13. Zamykanie dochodzenia i sporządzanie raportu z incydentu
    • Zamknięcie incydentu
      • Analiza luk
    • Dokumentacja incydentu
      • Podsumowujący raport techniczny
      • Podsumowujący raport dla kadry kierowniczej
      • Formularze pozyskiwania dowodów
      • Formularze łańcucha dowodowego
    • Wnioski z incydentu
    • Zewnętrzne kanały zgłaszania incydentów cyberbezpieczeństwa
    • Podsumowanie
  • Title: Skuteczne strategie obrony przed zaawansowanymi cyberatakami. Reagowanie na incydenty bezpieczeństwa w systemie Windows
  • Author: Anatoly Tykushin, Svetlana Ostrovskaya
  • Original title: Incident Response for Windows: Adapt effective strategies for managing sophisticated cyberattacks targeting Windows systems
  • Translation: Ksawery Sosnowski
  • ISBN: 978-83-289-2302-7, 9788328923027
  • Date of issue: 2025-08-19
  • Format: Ebook
  • Item ID: skustr
  • Publisher: Helion