INŻYNIERIA DETEKCJI CYBERZAGROŻEŃ W PRAKTYCE

Inżynieria detekcji cyberzagrożeń w praktyce. Planowanie, tworzenie i walidacja mechanizmów wykrywania zagrożeń

Spis treści

O autorach

O recenzentach

Przedmowa

CZĘŚĆ 1. Wprowadzenie do inżynierii detekcji

Rozdział 1. Podstawy inżynierii detekcji

Podstawowe pojęcia
Unified Kill Chain
Framework MITRE ATT&CK
Piramida bólu
Rodzaje cyberataków
Motywacja dla inżynierii detekcji
Definicja inżynierii detekcji
Ważne cechy wyróżniające
Wartość programu inżynierii detekcji
Potrzeba zapewnienia lepszej wykrywalności
Cechy dobrego wykrywania zagrożeń
Korzyści z programu inżynierii detekcji
Przewodnik korzystania z tej książki
Struktura książki
Ćwiczenia praktyczne
Podsumowanie

Rozdział 2. Cykl życia inżynierii detekcji

Faza 1. Odkrywanie wymagań
Charakterystyka kompletnego wymagania mechanizmu detekcji
Źródła wymagań dla mechanizmów detekcji
Ćwiczenie. Źródła wymagań dotyczących mechanizmów detekcji w Twojej organizacji
Faza 2. Selekcja
Dotkliwość zagrożenia
Dopasowanie mechanizmu detekcji zagrożenia do organizacji
Pokrycie zagrożeń mechanizmami detekcji
Aktywne eksploity
Faza 3. Analiza
Określenie źródła danych
Ustalenie typów wskaźników wykrycia
Kontekst badawczy
Ustalenie kryteriów walidacji
Faza 4. Programowanie
Faza 5. Testowanie
Rodzaje danych testowych
Faza 6. Wdrażanie
Podsumowanie

Rozdział 3. Budowa laboratorium testowego inżynierii detekcji

Wymagania techniczne
Elastic Stack
Wdrażanie systemu Elastic Stack za pomocą Dockera
Konfiguracja Elastic Stack
Konfiguracja narzędzia Fleet Server
Instalacja i konfiguracja systemu Fleet Server
Dodatkowe konfiguracje dla komponentu Fleet Server
Dodawanie hosta do laboratorium
Zasady komponentu Elastic Agent
Tworzenie pierwszego mechanizmu detekcji
Dodatkowe zasoby
Podsumowanie

CZĘŚĆ 2. Tworzenie mechanizmów detekcji

Rozdział 4. Źródła danych inżynierii detekcji

Wymagania techniczne
Źródła danych i telemetrii
Nieprzetworzona telemetria
Narzędzia zabezpieczeń
Źródła danych MITRE ATT&CK
Identyfikacja źródeł danych
Analiza problemów i wyzwań związanych ze źródłami danych
Kompletność
Jakość
Terminowość
Pokrycie
Ćwiczenie. Więcej informacji o źródłach danych
Dodawanie źródeł danych
Ćwiczenie. Dodawanie źródła danych serwera WWW
Podsumowanie
Lektura uzupełniająca

Rozdział 5. Analiza wymagań dla mechanizmów detekcji

Przegląd faz wymagań dla mechanizmów detekcji
Odkrywanie wymagań dla mechanizmów detekcji
Narzędzia i procesy
Ćwiczenie. Odkrywanie wymagań w organizacji
Selekcja wymagań dla mechanizmów detekcji
Dotkliwość zagrożenia
Dopasowanie zagrożenia do organizacji
Pokrycie wymagań dla mechanizmów detekcji
Aktywne eksploity
Obliczanie priorytetu
Analiza wymagań dla mechanizmów detekcji
Podsumowanie

Rozdział 6. Tworzenie mechanizmów detekcji przy użyciu wskaźników naruszeń zabezpieczeń

Wymagania techniczne
Wykorzystanie wskaźników naruszenia zabezpieczeń
Przykładowy scenariusz. Identyfikacja kampanii IcedID przy użyciu wskaźników
Ćwiczenie
Instalacja i konfigurowanie systemu Sysmon jako źródła danych
Wykrywanie skrótów
Mechanizmy detekcji wskaźników sieciowych
Podsumowanie ćwiczenia
Podsumowanie
Lektura uzupełniająca

Rozdział 7. Opracowywanie mechanizmów detekcji opartych na wskaźnikach behawioralnych

Wymagania techniczne
Wykrywanie narzędzi przeciwnika
Przykładowy scenariusz. Użycie narzędzia PsExec
Wykrywanie taktyk, technik i procedur (TTP)
Przykładowy scenariusz. Technika omijania kontroli znacznika sieci
Podsumowanie

Rozdział 8. Tworzenie dokumentacji i potoki mechanizmów detekcji

Dokumentowanie mechanizmu detekcji
Ćwiczenie. Dokumentowanie mechanizmu detekcji
Analiza repozytorium mechanizmów detekcji
Mechanizm detekcji jako kod
Wyzwania związane z tworzeniem potoku mechanizmu detekcji
Ćwiczenie. Publikowanie reguły przy użyciu projektu mechanizmów detekcji Elastic
Podsumowanie

CZĘŚĆ 3. Walidacja mechanizmów detekcji

Rozdział 9. Walidacja mechanizmów detekcji

Wymagania techniczne
Czym jest proces walidacji?
Na czym polegają ćwiczenia zespołu purple team?
Symulowanie aktywności przeciwnika
Atomic Red Team
CALDERA
Ćwiczenie. Walidacja mechanizmów detekcji dla pojedynczej techniki z wykorzystaniem Atomic Red Team
Ćwiczenie. Walidacja mechanizmów detekcji dla wielu technik z wykorzystaniem systemu CALDERA
Korzystanie z wyników walidacji
Pomiar pokrycia zagrożeń mechanizmami detekcji
Podsumowanie
Lektura uzupełniająca

Rozdział 10. Wykorzystanie wiedzy o zagrożeniach

Wymagania techniczne
Przegląd zagadnień związanych z wiedzą o zagrożeniach
Wiedza o zagrożeniach typu open source
Wewnętrzne źródła wiedzy o zagrożeniach
Zbieranie wiedzy o zagrożeniach
Wiedza o zagrożeniach w cyklu życia inżynierii detekcji
Odkrywanie wymagań
Selekcja
Analiza
Wiedza o zagrożeniach na potrzeby inżynierii detekcji w praktyce
Przykład. Wykorzystywanie na potrzeby inżynierii detekcji wpisów na blogach z informacjami o zagrożeniach
Przykład. Wykorzystanie systemu VirusTotal na potrzeby inżynierii detekcji
Ocena zagrożeń
Przykład. Wykorzystanie oceny zagrożeń na potrzeby inżynierii detekcji
Zasoby i dalsza lektura
Źródła i pojęcia związane z wiedzą o zagrożeniach
Skanery online i piaskownice
MITRE ATT&CK
Podsumowanie

CZĘŚĆ 4. Metryki i zarządzanie

Rozdział 11. Zarządzanie wydajnością

Wprowadzenie do zarządzania wydajnością
Ocena dojrzałości mechanizmu detekcji
Pomiar wydajności programu inżynierii detekcji
Pomiar skuteczności programu inżynierii detekcji
Priorytetyzacja prac związanych z detekcją
Trafność, hałaśliwość i czułość
Obliczanie skuteczności mechanizmu detekcji
Metryki pokrycia o niskiej wierności
Automatyczna walidacja
Metryki pokrycia o wysokiej wierności
Podsumowanie
Lektura uzupełniająca

CZĘŚĆ 5. Kariera w inżynierii detekcji

Rozdział 12. Wskazówki dotyczące kariery w inżynierii detekcji

Zdobycie pracy w branży inżynierii detekcji
Oferty pracy
Rozwijanie umiejętności
Inżynier detekcji jako zawód
Role i obowiązki inżyniera detekcji
Przyszłość inżynierii detekcji
Powierzchnie ataku
Widoczność
Możliwości urządzeń zabezpieczeń
Uczenie maszynowe
Współdzielenie metodologii ataków
Przeciwnik
Człowiek
Podsumowanie