CYBERBEZPIECZEŃSTWO I STRATEGIE BLUE TEAMÓW

Cyberbezpieczeństwo i strategie blue teamów. Walka z cyberzagrożeniami w Twojej organizacji

Kunal Sehgal, Nikolaos Thymianis

Spis treści

O autorach

O recenzentach

Przedmowa

CZĘŚĆ 1. Stworzenie zespołu niebieskiego

Rozdział 1. Tworzenie strategii obrony
Sposób, w jaki organizacje odnoszą korzyści z utworzenia zespołu niebieskiego
Ocena ryzyka
Monitorowanie i nadzorowanie
Kontrola bezpieczeństwa
Raportowanie i rekomendacje dla kierownictwa
Skład zespołu niebieskiego
Analityk
Cyberratownik
Łowca zagrożeń
Konsultant do spraw bezpieczeństwa
Administrator bezpieczeństwa
Administrator zarządzania tożsamością i dostępem
Analityk zgodności
Zespół czerwony
Zespół fioletowy
Zbieranie danych o cyberzagrożeniach
Umiejętności wymagane do pracy w zespole niebieskim
Chęć do nauki i zorientowanie na szczegóły
Dogłębna znajomość sieci i systemów
Nieszablonowe i innowacyjne myślenie
Umiejętność przekraczania barier w wykonywaniu zadań
Wykształcenie, kwalifikacje i certyfikaty
Rozwój i utrzymanie talentów
Laboratoria cybernetyczne
Capture-the-Flag i hackathony
Projekty badawczo-rozwojowe
Zasięg społeczności
Mentoring
Ciągła, nieograniczana nauka
Podsumowanie
Rozdział 2. Zarządzanie zespołem bezpieczeństwa obronnego
Dlaczego organizacje powinny rozważyć pomiary poziomu cyberbezpieczeństwa
Kluczowe wskaźniki bezpieczeństwa zespołu niebieskiego
W jaki sposób zespół niebieski wybiera KRI dla swojej firmy
Wybór kluczowych wskaźników w zakresie cyberbezpieczeństwa
W jakim celu i w jaki sposób organizacje mogą zautomatyzować ten proces
Jakich pułapek należy unikać podczas automatyzacji przepływów pracy zespołu niebieskiego
Automatyzacja zbierania i prezentowania KRI
Podsumowanie
Rozdział 3. Ocena ryzyka
Metodologia NIST
Metodologia oceny ryzyka NIST
Inwentarze zasobów
Metody zarządzania ryzykiem
Identyfikacja zagrożeń
Obliczanie ryzyka
Obowiązki w zakresie zarządzania ryzykiem
Podsumowanie
Bibliografia
Rozdział 4. Działania zespołu niebieskiego
Zrozumienie strategii obrony
Działania zespołu niebieskiego – infrastruktura
Działania zespołu niebieskiego – aplikacje
Działania zespołu niebieskiego – systemy
Działania zespołu niebieskiego – punkty końcowe
Działania zespołu niebieskiego – chmura
Planowanie obrony przed osobami z organizacji
Zakres odpowiedzialności zespołów niebieskich
Podsumowanie
Rozdział 5. Zagrożenia
Czym są cyberzagrożenia
Cyber Kill Chain
Faza 1. Rekonesans
Faza 2. Zbrojenie
Faza 3. Dostarczanie
Faza 4. Eksploitacja
Faza 5. Instalowanie
Faza 6. Dowodzenie i kontrola
Faza 7. Działanie
Ataki wewnętrzne
Różne rodzaje napastników
Skutki cyberprzestępczości
Proaktywne, a nie reaktywne podejście do bezpieczeństwa
Podsumowanie
Rozdział 6. Ład korporacyjny, zgodność, regulacje i dobre praktyki
Określenie interesariuszy i ich potrzeb
Konstruowanie wskaźników ryzyka
Potrzeba zgodności i identyfikacja wymagań zgodności
Zapewnienie zgodności legislacyjnej i odpowiedniego poziomu ładu korporacyjnego
Podsumowanie

CZĘŚĆ 2. Działania na polu walki

Rozdział 7. Środki prewencyjne
Czym są środki prewencyjne
Korzyści
Rodzaje środków prewencyjnych
Środki administracyjne
Środki fizyczne
Środki techniczne/logiczne
Warstwy środków prewencyjnych
Kontrola polityk
Bezpieczeństwo na styku i środki fizyczne
Kontrola sieci
Środki do ochrony bezpieczeństwa danych
Środki bezpieczeństwa w odniesieniu do aplikacji
Środki bezpieczeństwa dla punktów końcowych
Zabezpieczanie użytkownika
Podsumowanie
Rozdział 8. Środki wywiadowcze
Czym są środki wywiadowcze
Rodzaje środków wywiadowczych
SOC
Jak działa SOC
Jakie są korzyści z SOC
Testowanie pod kątem występowania podatności
Testy penetracyjne
Zespoły czerwone
Bug bounty
Skanowanie kodu źródłowego
Skanowanie pod kątem zgodności lub w celu „utwardzenia”
Narzędzia do środków wywiadowczych
Platforma analizy zagrożeń
Narzędzia do orkiestracji, automatyzacji i reagowania na zagrożenia
Narzędzia do zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa
Informatyka śledcza
Podsumowanie
Rozdział 9. Przeprowadzanie dochodzenia w przypadku cyberzagrożeń
Czym jest CTI
Jakość CTI
Rodzaje informacji o zagrożeniach
Strategiczne informacje o zagrożeniach
Taktyczne informacje o zagrożeniach
Informacje operacyjne o zagrożeniach
Korzystanie z analityki wywiadowczej
1. Opracowanie planu
2. Zbieranie informacji
3. Przetwarzanie
4. Analiza
5. Rozpowszechnianie
6. Informacje zwrotne
Polowanie na zagrożenia
Znaczenie polowania na zagrożenia
Efektywne wykorzystanie CTI
Framework MITRE ATT&CK
Macierz MITRE ATT&CK
Jak wykorzystać schemat ATT&CK
Podsumowanie
Rozdział 10. Reagowanie na incydenty i odzyskiwanie po awarii
Planowanie reagowania na incydenty
Testowanie planów reagowania na incydenty
Podręczniki reagowania na incydenty
Podręcznik ataku ransomware
Podręcznik ataków związanych z utratą/kradzieżą danych
Podręcznik ataków phishingowych
Planowanie odzyskiwania po awarii
Ubezpieczenie cybernetyczne
Podsumowanie
Rozdział 11. Ustalanie priorytetów i wdrażanie strategii zespołu niebieskiego
Pojawiające się technologie i techniki wykrywania włamań oraz zapobiegania im
Symulowanie działań przeciwnika
Usługi VCISO
Bezpieczeństwo zależne od kontekstu
Defensywna sztuczna inteligencja
Extended Detection and Response
Opis użytkowania zgodnie z zaleceniami producenta
Zerowe zaufanie
Pułapki, których należy unikać podczas powoływania zespołu niebieskiego
Rozpoczęcie przygody z zespołem niebieskim
Podsumowanie

CZĘŚĆ 3. Zapytaj ekspertów

Rozdział 12. Spostrzeżenia ekspertów
Antoni Desvernois
William B. Nelson
Laurent Gerardin
Peter Sheppard
Pieter Danhieux