Incydenty bezpieczeństwa. Metody reagowania w informatyce śledczej Jason Luttgens, Matthew Pepe, Kevin Mandia HELION

Incydenty bezpieczeństwa. Metody reagowania w informatyce śledczej

99.00zł

Incydenty bezpieczeństwa. Metody reagowania w informatyce śledczej

Tytuł:	Incydenty bezpieczeństwa. Metody reagowania w informatyce śledczej
Autor:	Jason Luttgens, Matthew Pepe, Kevin Mandia
ISBN:	978-83-283-1483-2
Ilość stron:	608
Data wydania:	02/2016
Format:	170x230
Wydawnictwo:	HELION

Cena:	99.00zł

Pomiędzy administratorami systemów informatycznych a cyberprzestępcami trwa ciągły wyścig zbrojeń. Ewoluują zarówno stosowane zabezpieczenia, jak i metody kradzieży — jedne i drugie stają się coraz bardziej wyrafinowane. W grę wchodzą przecież duże pieniądze, prestiż, zaufanie, a bywa, że stawka jest o wiele większa. Praca osoby zajmującej się bezpieczeństwem urządzeń informatycznych wymaga ogromnej wiedzy, zmusza do bezustannej nauki, ciągłej analizy i doskonalenia procedur, a przede wszystkim do konsekwentnego wyciągania wniosków z wykrytych incydentów.

Niniejsza książka jest wyczerpującym podręcznikiem bezpieczeństwa systemów informatycznych, a ściślej rzecz ujmując — procedur reagowania na incydenty bezpieczeństwa. To lektura obowiązkowa zarówno dla osób z najwyższego kierownictwa, jak i dla koordynatorów oraz specjalistów zajmujących się bezpieczeństwem systemów informatycznych. Przedstawiono tu sposoby przygotowania zabezpieczeń, ale także opisano, co należy zrobić (i w jakiej kolejności) w przypadku wykrycia ich naruszeń. Co ważne, ta wiedza jest aktualna i oparta na najlepszych doświadczeniach wybitnych specjalistów.

Przedstawiono tu między innymi:

zasady budowy infrastruktury umożliwiającej metodyczne reagowanie na incydenty bezpieczeństwa
metody wykrywania śladów włamań i identyfikacji wskaźników zagrożeń
sposoby prowadzenia czynności śledczych i analizy danych zgromadzonych w tym procesie
metodykę analizy szkodliwego kodu
techniki raportowania procesów reakcji na incydent
zasady tworzenia i wdrażania kompleksowych planów naprawczych

Rozdziały:

O autorach
- O współpracownikach
- O korektorze merytorycznym

Wstęp

Podziękowania

Wprowadzenie

Adresaci książki
Organizacja książki
- Część I. Przygotowywanie się na nieuniknione
- Część II. Wykrywanie incydentów i ich charakterystyka
- Część III. Gromadzenie danych
- Część IV. Analiza danych
- Część V. Naprawa
- Cześć VI. Dodatki

Źródła

Część I Przygotowywanie się na nieuniknione

Rozdział 1. Prawdziwe incydenty

Co to jest incydent bezpieczeństwa
Co to jest reakcja na incydent
Aktualny stan wiedzy
Dlaczego powinieneś interesować się kwestiami reakcji na incydenty bezpieczeństwa
Studia przypadku
- Studium przypadku 1. Gdzie są pieniądze
- Studium przypadku 2. Certyfikat autentyczności

Fazy cyklu ataku

I co z tego

Pytania

Rozdział 2. Podręcznik reagowania na incydenty bezpieczeństwa

Co to jest incydent bezpieczeństwa komputerowego
Cele reakcji na incydent
Kto bierze udział w procesie reakcji na incydent
- Wyszukiwanie utalentowanych specjalistów do zespołu reagowania na incydenty
  - Jak zatrudnić talent
    - Znajdowanie kandydatów
    - Ocenianie przydatności kandydata: zdolności i cechy

Proces reakcji na incydent

Czynności wstępne
Śledztwo
- Tropy wstępne
- Tworzenie wskaźników zagrożenia
- Wdrażanie wskaźników zagrożenia
- Identyfikowanie interesujących systemów
- Zachowywanie dowodów
- Analiza danych

Czynności naprawcze

Rejestrowanie istotnych informacji śledczych

Raportowanie

I co z tego

Pytania

Rozdział 3. Przygotowanie na incydent

Przygotowywanie organizacji na incydent
- Identyfikacja ryzyka
- Zasady ułatwiające skuteczne zareagowanie na incydent
- Współpraca z zewnętrznymi firmami informatycznymi
- Kwestie związane z infrastrukturą globalną
  - Regulacje dotyczące ochrony danych osobowych i pracy
  - Koordynacja prac zespołu
  - Dostępność danych
Szkolenie użytkowników w zakresie bezpieczeństwa hostów

Przygotowywanie zespołu RI

Definiowanie misji
Procedury komunikacji
- Komunikacja wewnętrzna
- Komunikacja z usługodawcami zewnętrznymi

Informowanie o wynikach śledztwa

Zasoby dla zespołu RI

Szkolenie zespołu RI
Sprzęt dla zespołu RI
- Ochrona danych
- Śledztwo w terenie
- Śledztwo we własnej siedzibie
- Wspólne zasoby śledcze
- Platformy do monitorowania sieci

Oprogramowanie dla zespołu RI

Jakiego oprogramowania używamy
Rodzaje oprogramowania używanego przez specjalistów RI

Dokumentacja

Sposób postępowania z materiałem dowodowym
Wewnętrzna składnica wiedzy

Przygotowywanie infrastruktury do reakcji na incydent

Konfiguracja urządzeń komputerowych
- Zarządzanie środkami
- Inwentaryzacja
- Oprzyrządowanie
  - Dzienniki zdarzeń, błędów i dostępu
  - Programy antywirusowe i systemy zapobiegania włamaniom do hostów
  - Narzędzia śledcze
Dodatkowe czynności pozwalające zwiększyć poziom bezpieczeństwa

Konfiguracja sieci

Segmentacja sieci i kontrola dostępu
- Kontrola dostępu
- Ograniczanie komunikacji między stacjami roboczymi

Dokumentacja

Oprzyrządowanie

Usługi sieciowe

Implementowanie czarnej dziury DNS

I co z tego

Pytania

Część II Wykrywanie incydentów i ich charakterystyka

Rozdział 4. Prawidłowe rozpoczynanie śledztwa

Zbieranie wstępnych faktów
- Listy kontrolne
  - Lista kontrolna zestawienia informacji o incydencie
  - Lista kontrolna wykrycia incydentu
  - Zbieranie dodatkowych danych
    - Szczegółowe informacje o poszczególnych systemach
    - Szczegółowe informacje na temat sieci
    - Szczegółowe informacje o szkodliwym oprogramowaniu

Robienie notatek na temat sprawy

Chronologiczne zapisywanie informacji o ataku

Priorytety śledztwa

Co to są elementy dowodu
Ustalanie oczekiwań z kierownictwem

I co z tego

Pytania

Rozdział 5. Zdobywanie tropów

Definiowanie wartościowych tropów
Postępowanie z tropami
- Zamienianie tropów we wskaźniki
- Cykl generowania wskaźnika
  - Edytowanie wskaźników hostowych
  - Edytowanie wskaźników sieciowych
  - Weryfikacja
Analizowanie tropów wewnętrznych
Analizowanie tropów zewnętrznych
- Złożenie pozwu w celu uzyskania informacji
- Zgłaszanie incydentu organom ochrony porządku publicznego

I co z tego

Pytania

Rozdział 6. Określanie zasięgu incydentu

Co mam zrobić
- Analizowanie danych początkowych
- Zbieranie i analiza dowodów początkowych
- Określanie sposobu działania

Wyciek danych klientów

Wyciek danych klientów przykłady niepoprawnego określania zasięgu incydentu

Oszustwo w automatycznym systemie rozrachunkowym (ACH)

Oszustwo ACH nieprawidłowa identyfikacja zasięgu incydentu

I co z tego

Pytania

Część III Gromadzenie danych

Rozdział 7. Zbieranie danych na żywo

Kiedy wykonywać analizę na żywo
Wybór narzędzia do analizy na żywo
Jakie informacje zbierać
Najlepsze praktyki gromadzenia danych
Gromadzenie danych na żywo w systemach Microsoft Windows
- Gotowe zestawy narzędzi
  - Redline firmy Mandiant
Narzędzia własnej roboty
Zbieranie informacji z pamięci
- Kompletny zrzut pamięci
  - Mandiant Memoryze
  - AccessData FTK Imager Lite
Wykonywanie zrzutu pamięci dla jednego procesu

Zbieranie danych na żywo w systemach uniksowych

Zestawy narzędzi do analizy na żywo
Wykonywanie zrzutów pamięci
- Pobieranie danych z jądra Linux
- Zbieranie danych w systemach z jądrem typu BSD
- Wykonywanie obrazu pamięci w systemie Apple OS X
  - Memoryze for the Mac
  - Mac Memory Reader
Wykonywanie obrazu pamięci dla pojedynczego procesu

I co z tego

Pytania

Rozdział 8. Duplikacja danych śledczych

Formaty obrazów na potrzeby śledztwa
- Kompletny obraz dysku
- Wykonywanie obrazu partycji
- Wykonywanie obrazu logicznego
- Integralność obrazu

Tradycyjne metody duplikacji

Sprzętowe blokady zapisu
Narzędzia do tworzenia obrazów
- Narzędzia dd, DCFLdd i DC3dd
- Program AccessData FTK Imager
- EnCase firmy Guidance Software

Duplikowanie działającego systemu

Duplikowanie środków firmowych

Duplikowanie maszyn wirtualnych

I co z tego

Pytania

Rozdział 9. Dowody z sieci

Argumenty za monitorowaniem sieci
Rodzaje monitoringu sieciowego
- Monitorowanie zdarzeń
- Rejestrowanie nagłówków i całych pakietów
- Modelowanie statystyczne

Tworzenie systemu monitorowania sieci

Wybór sprzętu
Instalacja gotowej dystrybucji
Wdrażanie czujnika sieciowego
Ocenianie jakości monitora sieciowego

Analiza danych sieciowych

Kradzież danych
Rekonesans za pomocą konsoli sieciowej
Inne narzędzia do analizy sieciowej

Zbieranie dzienników generowanych przez zdarzenia sieciowe

I co z tego

Pytania

Rozdział 10. Usługi dla przedsiębiorstw

Usługi infrastruktury sieciowej
- DHCP
  - Usługa DHCP firmy Microsoft
Usługa DHCP ISC
DNS
- Berkeley Internet Name Domain (BIND)
- Serwery DNS firmy Microsoft
- Rejestrowanie danych DNS na poziomie sieci

Aplikacje do zarządzania przedsiębiorstwem

Program Software Management Suite firmy LANDesk
- Klucze rejestru programu SLM
- Przetwarzanie zawartości klucza MonitorLog
- Czego szukać

Program Altiris Client Management Suite firmy Symantec

Dzienniki metryczne programu Altiris
Czego szukać

Programy antywirusowe

Kwarantanna programu antywirusowego
Program Symantec Endpoint Protection
- Dzienniki
- Pliki kwarantanny

Program McAfee VirusScan

Dzienniki
Pliki kwarantanny

Program Trend Micro OfficeScan

Dzienniki
Pliki kwarantanny

Serwery sieciowe

Podstawowe informacje o serwerach sieciowych
Serwer HTTP Apache
- Konfiguracja
- Dzienniki

Serwer Microsoft Information Services

Konfiguracja
Dzienniki

Serwery baz danych

Microsoft SQL
MySQL
Oracle

I co z tego

Pytania

Część IV Analiza danych

Rozdział 11. Metody analizy

Definicja celów
Zapoznanie się z danymi
- Miejsca przechowywania danych
- Co jest dostępne

Dostęp do zdobytych danych

Obrazy dysków
Jak to wygląda

Analiza danych

Zarys proponowanej metody działania
Wybór metod

Ewaluacja wyników

I co z tego

Pytania

Rozdział 12. Prowadzenie czynności śledczych w systemach Windows

Analiza systemu plików
- Główna tabela plików
  - Dowody
  - Analiza tabeli MFT
    - Znajdowanie usuniętych plików
    - Analiza znaczników czasowych
    - Dane rezydentne
    - Alternatywne strumienie danych
    - Narzędzia do analizy tabeli MFT
Atrybuty INDX
Dzienniki zmian
Kopie zapasowe woluminów wykonywane w tle
Readresator systemu plików

Pobieranie zasobów z wyprzedzeniem

Dowody
Analiza
- Narzędzia do analizy plików pobieranych z wyprzedzeniem

Dzienniki zdarzeń

Dowody
Analiza
- Identyfikatory zdarzeń
- Zdarzenia logowania
- Analiza aktywności hakera w obrębie środowiska
- Badanie zmian kont i ustawień zabezpieczeń
- Śledzenie procesów
- Analiza zdarzeń usług
- Inne porady na temat analizowania dzienników
- Narzędzia do analizy dzienników zdarzeń

Zadania zaplanowane

Tworzenie zadań za pomocą polecenia at
Tworzenie zadań za pomocą polecenia schtasks
Dowody
- Pliki .job
- Dzienniki usługi Harmonogram zadań

Analiza

Analizowanie plików .job
Analizowanie pliku SchedLgU.txt
Analizowanie zadań zaplanowanych w dziennikach zdarzeń

Rejestr systemu Windows

Dowody
- Wprowadzenie do rejestru
- Gałęzie rejestru i mapowanie
- Znaczniki czasu rejestru
- Odbijanie i przekierowywanie w rejestrze

Analiza

Klucze rejestru dotyczące konfiguracji systemu
Bufor danych o zgodności aplikacji
Klucze automatycznego uruchamiania
- Usługi systemu Windows
- Analiza usług w czasie działania systemu
- Klucze Run i RunOnce
- Instalator aktywny
- AppInt_DLLs
- Pakiety LSA
- Obiekty pomocnicze przeglądarki
- Rozszerzenia powłoki
- Winlogon GINA
- Powiadomienia usługi logowania do systemu
- Powłoka logowania
- Wartość Userinit
- Identyfikacja szkodliwych reguł automatycznego wykonywania

Klucze rejestru w gałęziach użytkowników

Klucze typu shellbag
UserAssist
MUICache
Klucze dotyczące ostatnio używanych plików
Listy ostatnio otwieranych i zapisywanych plików
Lista ostatnio uruchamianych programów w menu Uruchom
RecentDocs
Klucze TypedURLs i TypedPaths Internet Explorera
Lista MRU pulpitu zdalnego

Narzędzia do analizy rejestru

Inne ślady sesji interaktywnych

Pliki LNK
- Dowody
- Analiza

Listy szybkiego dostępu

Dowody
Analiza

Kosz

Dowody
Analiza
- Analiza katalogu Recycler
- Analiza pliku $Recycle.Bin
- Nienormalne sposoby użycia Kosza
- Narzędzia do analizy Kosza

Pamięć

Dowody
- Pamięć fizyczna
- Plik stronicowania
- Zrzuty awaryjne
- Pliki hibernacji

Analiza pamięci

Procesy
Uchwyty
Sekcje
Inne artefakty w pamięci
Analiza pliku stronicowania
Analizowanie typowych ataków na pamięć
- Wstrzykiwanie procesów
- Przechwytywanie zdarzeń

Narzędzia do analizy pamięci

Narzędzia do wykonywania zrzutów pamięci
Narzędzia analityczne

Inne mechanizmy utrwalania

Foldery startowe
Zadania cykliczne
Modyfikacja systemowych plików binarnych
- Atak na klawisze trwałe

Modyfikowanie kolejności wczytywania bibliotek DLL

Powtórzenie odpowiedzi na często pojawiające się pytania

I co z tego

Pytania

Rozdział 13. Prowadzenie czynności śledczych w systemach Mac OS X

System plików HFS+ i metody jego analizy
- Układ woluminu
  - Bloki rozruchowe
  - Nagłówek woluminu i alternatywny nagłówek woluminu
  - Plik alokacji
  - Plik przepełnień
  - Plik katalogowy
  - Plik atrybutów
  - Plik startowy
Usługi systemu plików
- Spotlight
- Magazyn zarządzany

Podstawowe dane systemu operacyjnego

Układ systemu plików
- Domena lokalna
- Domena systemowa
- Domena użytkownika

Konfiguracja użytkownika i usług

Dowody
Analiza
- Konta użytkowników
- Punkty udostępniania

Kosz i pliki usunięte

Dowody

Inspekcja systemu, bazy danych i dzienniki

Inspekcja systemu i bazy danych
Dzienniki systemu i aplikacji
Dowody
Analiza

Zadania zaplanowane i usługi

Dowody
Analiza

Instalatory aplikacji

Powtórzenie odpowiedzi na często zadawane pytania

I co z tego

Pytania

Rozdział 14. Badanie aplikacji

Co to są dane aplikacji
Gdzie aplikacje przechowują dane
- System Windows
- System OS X
- System Linux

Ogólne zasady badania aplikacji na potrzeby śledztwa

Przeglądarki internetowe

Internet Explorer
- Format danych i lokalizacje
  - Index.dat
  - ESE
Historia
Pamięć podręczna
Cookies
Zakładki
Narzędzia

Google Chrome

Formaty danych i miejsca ich przechowywania
Historia
Pamięć podręczna
Cookies
Pobierane pliki
Funkcja automatycznego uzupełniania
Zakładki
Preferencje
Narzędzia

Mozilla Firefox

Formaty danych i miejsca ich przechowywania
Historia
Pobierane pliki
Zakładki
Funkcja automatycznego uzupełniania
Cookies
Preferencje
Pamięć podręczna
Narzędzia

Klienty poczty elektronicznej

Internetowe klienty poczty elektronicznej
Microsoft Outlook dla systemów Windows
- Miejsca przechowywania danych
- Format danych
- Narzędzia

Apple Mail

Miejsca przechowywania danych
Format danych
Narzędzia

Microsoft Outlook for Mac

Miejsce przechowywania i format danych
Narzędzia

Komunikatory internetowe

Metody analizy
Najpopularniejsze komunikatory i protokoły
- Skype
  - Miejsce przechowywania dzienników
  - Format dzienników
  - Artefakty
  - Preferencje
  - Narzędzia
Chat na Facebooku
- Miejsce przechowywania dzienników
- Format dzienników
- Artefakty
- Narzędzia

America Online Instant Messenger (AIM)

Miejsce przechowywania dzienników
Format dzienników
Artefakty
Preferencje
Narzędzia

I co z tego

Pytania

Rozdział 15. Sortowanie szkodliwych programów

Postępowanie ze szkodliwym oprogramowaniem
- Bezpieczeństwo
- Dokumentacja
- Dystrybucja
- Dostęp do szkodliwych witryn internetowych

Środowisko do sortowania

Konfiguracja środowiska wirtualnego

Analiza statyczna

Co to za plik
- Szukanie informacji
- Nagłówki plików
- Łańcuchy
- Zakodowane pliki

Przenośne pliki wykonywalne

Pliki spakowane

Analiza dynamiczna

Zautomatyzowana analiza dynamiczna piaskownice
Ręczna analiza dynamiczna
- Uruchamianie szkodliwego programu
- Monitorowanie systemu wykonawczego

I co z tego

Pytania

Rozdział 16. Pisanie raportów

Po co pisać raporty
Standardy raportowania
- Styl i formatowanie raportu
- Treść i organizacja treści raportu

Kontrola jakości

I co z tego

Pytania

Część V Naprawa

Rozdział 17. Wprowadzenie do technik naprawczych

Podstawowe pojęcia
Testy wstępne
Kompletowanie zespołu naprawczego
- Kiedy utworzyć zespół naprawczy
- Wyznaczanie lidera procesu naprawczego
- Członkowie zespołu naprawczego

Czas rozpoczęcia akcji

Opracowywanie i wdrażanie wstępnych środków zaradczych

Skutki zaalarmowania hakera

Opracowywanie i wdrażanie środków ograniczania zasięgu incydentu

Plan ostatecznej likwidacji zagrożenia

Wybór momentu wykonania planu likwidacji zagrożenia i jego wdrażanie

Formułowanie zaleceń strategicznych

Dokumentacja zdobytego doświadczenia

Podsumowanie

Typowe błędy będące przyczyną niepowodzenia procesu naprawczego

I co z tego

Pytania

Rozdział 18. Studium przypadku procesu naprawczego

Plan naprawczy dla pierwszego przypadku pokaż pieniądze
- Wybór członków zespołu
- Czas prowadzenia działań naprawczych
- Ograniczanie zasięgu incydentu
- Wstępna akcja naprawcza
- Pozbywanie się hakera ze środowiska
- Strategia na przyszłość

I co z tego

Pytania

Dodatek A Odpowiedzi na pytania

Rozdział 1.
Rozdział 2.
Rozdział 3.
Rozdział 4.
Rozdział 5.
Rozdział 6.
Rozdział 7.
Rozdział 8.
Rozdział 9.
Rozdział 10.
Rozdział 11.
Rozdział 12.
Rozdział 13.
Rozdział 14.
Rozdział 15.
Rozdział 16.
Rozdział 17.
Rozdział 18.

Dodatek B Formularze

Klienci, którzy kupili tę książkę, kupili także

Druga młodość supermana Hubert Juźków Galaktyka	Leczenie zaburzeń lipidowych w codziennej praktyce Mamcarz Artur, Folga Andrzej, Wełnicki Marcin Medical Tribune	Aplikacje 2011 Radcowska adwokacka notarialna Egzamin wstępny i końcowy Testy Przepisy Objaśnienia Tom 1 Piotr Kamiński, Urszula Wilk LexisNexis
Maszyny elektryczne Podręcznik Wydanie 5 Elżbieta Goźlińska WSiP	Medycyna Paliatywna Ciałkowska-Rysz Aleksandra, Dzierżanowski Tomasz Termedia	Lubię to! Potęga marketingu szeptanego na Facebooku Dave Kerpen Onepress

Księgarnia naukowo-technicznastyczna.pl

Księgarnia naukowo-techniczna
styczna.pl