CYBERBEZPIECZEŃSTWO STRATEGIE ATAKU I OBRONY

O autorach

O korektorze merytorycznym

Wstęp

Rozdział 1. Stan zabezpieczeń

Dlaczego higiena bezpieczeństwa powinna być priorytetem?
Obecny krajobraz zagrożeń
Ataki z wykorzystaniem łańcucha dostaw
Ransomware
Poświadczenia – uwierzytelnianie i autoryzacja
Aplikacje
Dane
Wyzwania dotyczące cyberbezpieczeństwa
Stare techniki i szersze rezultaty
Zmiana krajobrazu zagrożeń
Poprawianie stanu zabezpieczeń
Architektura zerowego zaufania
Zarządzanie stanem zabezpieczeń w chmurze
Środowisko wielochmurowe
Zespoły czerwone i niebieskie
Zakładanie naruszenia bezpieczeństwa
Podsumowanie
Materiały źródłowe

Rozdział 2. Proces reagowania na incydenty

Proces reagowania na incydenty
Dlaczego należy wdrożyć proces IR?
Tworzenie procesu reagowania na incydenty
Zespół reagowania na incydenty
Cykl życia incydentu
Obsługa incydentu
Lista kontrolna dla obsługi incydentów
Działania po zdarzeniu
Scenariusz 1.
Wnioski ze scenariusza 1.
Scenariusz 2.
Wnioski ze scenariusza 2.
Kwestie związane z reagowaniem na incydenty w chmurze
Aktualizacja procesu IR w celu uwzględnienia charakterystyki chmury
Odpowiedni zestaw narzędzi
Proces IR z perspektywy dostawcy rozwiązań w chmurze
Podsumowanie
Materiały źródłowe

Rozdział 3. Czym jest cyberstrategia?

Jak zbudować cyberstrategię?
1. Zrozumienie organizacji
2. Zrozumienie zagrożeń i ryzyka
3. Odpowiednia dokumentacja
Dlaczego trzeba budować cyberstrategię?
Najlepsze cyberstrategie ataku
Strategie testowania zewnętrznego
Strategie testowania wewnętrznego
Strategia testowania ślepego
Strategia testowania ukierunkowanego
Najlepsze cyberstrategie defensywne
Obrona w głąb
Obrona wszerz
Korzyści z posiadania proaktywnej strategii cyberbezpieczeństwa
Najlepsze strategie cyberbezpieczeństwa dla firm
Szkolenie pracowników w zakresie zasad bezpieczeństwa
Ochrona sieci, informacji i komputerów przed wirusami, złośliwym kodem i oprogramowaniem szpiegującym
Stosowanie firewalla dla wszystkich połączeń internetowych
Aktualizowanie oprogramowania
Korzystanie z kopii zapasowych
Zaimplementowanie ograniczeń fizycznych
Zabezpieczanie sieci wi-fi
Rotacja haseł
Ograniczenie dostępu dla pracowników
Stosowanie unikatowych kont użytkowników
Podsumowanie
Dalsza lektura

Rozdział 4. Łańcuch niszczenia cyberzabezpieczeń

Łańcuch niszczenia cyberzabezpieczeń
Rekonesans
Uzbrajanie
Dostarczanie
Eksploitacja
Instalowanie
Dowodzenie i kontrola
Działania na celach
Maskowanie
Mechanizmy kontroli bezpieczeństwa stosowane do przerwania łańcucha niszczenia cyberzabezpieczeń
UEBA
Świadomość bezpieczeństwa
Zarządzanie cyklem życia zagrożeń
Gromadzenie danych kryminalistycznych
Wykrywanie
Kwalifikowanie
Dochodzenie
Neutralizacja
Odzyskiwanie sprawności
Obawy dotyczące łańcucha niszczenia cyberzabezpieczeń
Ewolucja łańcucha niszczenia
Narzędzia używane w łańcuchu niszczenia cyberzabezpieczeń
Metasploit
Twint
Nikto
Kismet
Sparta
John the Ripper
Hydra
Aircrack-ng
Airgeddon
Deauther Board
HoboCopy
EvilOSX
Platforma Dragon rozwiązania Comodo AEP
Podsumowanie
Dalsza lektura
Materiały źródłowe

Rozdział 5. Rekonesans

Rekonesans zewnętrzny
Skanowanie mediów społecznościowych celu
Nurkowanie w śmietnikach
Inżynieria społeczna
Rekonesans wewnętrzny
Narzędzia używane do rekonesansu
Narzędzia do rekonesansu zewnętrznego
Narzędzia rekonesansu wewnętrznego
Airgraph-ng
Wardriving
Hak5 Plunder Bug
Porównanie rekonesansu pasywnego i rekonesansu aktywnego
Metody walki z rekonesansem
Metody zapobiegania rekonesansowi
Podsumowanie
Materiały źródłowe

Rozdział 6. Włamywanie się do systemów

Analizowanie aktualnych trendów
Ataki z wymuszeniem
Ataki z manipulowaniem danymi
Ataki na urządzenia IoT
Backdoory
Hakowanie urządzeń codziennego użytku
Hakowanie chmury
Phishing
Eksploitowanie luki w zabezpieczeniach
Zero-day
Wykonywanie kroków mających na celu złamanie zabezpieczeń systemu
Wdrażanie ładunków
Włamywanie się do systemów operacyjnych
Włamywanie się do systemu zdalnego
Włamywanie się do systemów internetowych
Ataki na urządzenia mobilne z systemami iOS i Android
Exodus
SensorID
Zhakowanie iPhone’ów przez Cellebrite
Man-in-the-disk
Spearphone (przechwytywanie danych głośnika na Androidzie)
Tap 'n Ghost
Narzędzia zespołów czerwonych i niebieskich dla urządzeń mobilnych
Podsumowanie
Dalsza lektura
Materiały źródłowe

Rozdział 7. W pogoni za tożsamością użytkownika

Tożsamość to nowe granice
Poświadczenia i automatyzacja
Strategie hakowania tożsamości użytkownika
Uzyskanie dostępu do sieci
Zbieranie poświadczeń
Hakowanie tożsamości użytkownika
Brute force
Inżynieria społeczna
Pass the hash
Kradzież tożsamości za pośrednictwem urządzeń mobilnych
Inne metody hakowania tożsamości
Podsumowanie
Materiały źródłowe

Rozdział 8. Ruch boczny

Infiltracja
Mapowanie sieci
Przeskanuj, zablokuj i napraw
Blokowanie i spowalnianie
Wykrywanie skanów Nmapa
Wykorzystanie sprytnych sztuczek
Wykonywanie ruchu bocznego
Etap 1. – zhakowany użytkownik (działanie użytkownika)
Etap 2. – dostęp administratora stacji roboczej (użytkownik = administrator)
Myśl jak haker
Unikanie alertów
Skanowanie portów
Sysinternals
Udziały plików
Windows DCOM
Pulpit zdalny
PowerShell
Windows Management Instrumentation
Zaplanowane zadania
Kradzież tokenów
Skradzione poświadczenia
Nośniki wymienne
Skażone treści udostępniane
Rejestr zdalny
TeamViewer
Wdrażanie aplikacji
Sniffing sieci
Spoofing ARP
AppleScript i IPC (OS X)
Analiza zhakowanego hosta
Centralne konsole administracyjne
Plądrowanie poczty elektronicznej
Usługa Active Directory
Udziały administratora
Pass the Ticket
Pass-the-Hash (PtH)
Winlogon
Proces lsass.exe
Podsumowanie
Dalsza lektura
Materiały źródłowe

Rozdział 9. Podnoszenie poziomu uprawnień

Infiltracja
Poziome podnoszenie uprawnień
Pionowe podnoszenie uprawnień
Jak działa podnoszenie poziomu uprawnień?
Eksploitacja poświadczeń
Błędne konfiguracje
Luki w zabezpieczeniach i eksploity podnoszenia uprawnień
Inżynieria społeczna
Złośliwe oprogramowanie
Unikanie alertów
Podnoszenie uprawnień
Eksploitacja niezaktualizowanych systemów operacyjnych
Manipulacja tokenami dostępu
Eksploitacja funkcjonalności ułatwień dostępu
Shimming aplikacji
Omijanie kontroli konta użytkownika
Luka w zabezpieczeniach podnoszenia uprawnień i ucieczki z kontenera (CVE-20220492)
Wstrzyknięcie biblioteki DLL
Zhakowanie kolejności przeszukiwania bibliotek DLL
Przejęcie biblioteki dynamicznej
Eksploracja luk w zabezpieczeniach
Demon startowy
Praktyczny przykład podnoszenia uprawnień w docelowym systemie Windows
Zrzucanie pliku SAM
Rootowanie Androida
Korzystanie z pliku /etc/passwd
Wstrzyknięcie EWM
Stosowanie zaczepów
Zaplanowane zadania
Nowe usługi
Elementy startowe
Buforowanie sudo
Dodatkowe narzędzia do podnoszenia uprawnień
0xsp Mongoose v1.7
0xsp Mongoose RED dla systemu Windows
Hot Potato
Wnioski
Podsumowanie
Materiały źródłowe

Rozdział 10. Reguły bezpieczeństwa

Przegląd reguł bezpieczeństwa
Przesunięcie w lewo
Edukacja użytkownika końcowego
Wytyczne dla użytkowników w zakresie bezpieczeństwa mediów społecznościowych
Szkolenie w zakresie świadomości bezpieczeństwa
Egzekwowanie reguł
Reguły w chmurze
Biała lista aplikacji
Zwiększanie zabezpieczeń
Monitorowanie zgodności
Automatyzacja
Ciągła poprawa stanu zabezpieczeń dzięki regułom bezpieczeństwa
Podsumowanie
Materiały źródłowe

Rozdział 11. Bezpieczeństwo sieciowe

Obrona w głąb
Infrastruktura i usługi
Przesyłane dokumenty
Punkty końcowe
Mikrosegmentacja
Fizyczna segmentacja sieci
Wykrywanie sieci za pomocą narzędzia do mapowania
Zabezpieczanie zdalnego dostępu do sieci
VPN site-to-site
Segmentacja sieci wirtualnej
Sieć zerowego zaufania
Planowanie wdrożenia sieci zerowego zaufania
Bezpieczeństwo sieci hybrydowej w chmurze
Widoczność sieci w chmurze
Podsumowanie
Materiały źródłowe

Rozdział 12. Aktywne czujniki

Funkcjonalności wykrywania
Wskaźniki naruszenia bezpieczeństwa
System wykrywania włamań
System zapobiegania włamaniom
Wykrywanie na podstawie reguł
Wykrywanie na podstawie anomalii
Analityka behawioralna w infrastrukturze lokalnej
Umiejscowienie urządzenia
Analityka behawioralna w chmurze hybrydowej
Microsoft Defender for Cloud
Analityka dla obciążeń roboczych PaaS
Podsumowanie
Materiały źródłowe

Rozdział 13. Analiza zagrożeń

Analiza zagrożeń
Narzędzia do analizy zagrożeń udostępniane na licencji open source
Bezpłatne źródła informacji o zagrożeniach
MITRE ATT&CK
Analiza zagrożeń oferowana przez Microsoft
Microsoft Sentinel
Podsumowanie
Materiały źródłowe

Rozdział 14. Badanie incydentu

Ustalanie zakresu problemu
Kluczowe artefakty
Badanie włamania do systemu lokalnego
Badanie włamania do systemu w chmurze hybrydowej
Integracja Defender for Cloud z systemem SIEM w celu przeprowadzania badań
Proaktywne badanie (polowanie na zagrożenia)
Wnioski
Podsumowanie
Materiały źródłowe

Rozdział 15. Proces odzyskiwania sprawności

Plan odzyskiwania sprawności po katastrofie
Proces planowania odzyskiwania sprawności po katastrofie
Wyzwania
Odzyskiwanie sprawności bez przestojów
Planowanie awaryjne
Proces planowania awaryjnego IT
Narzędzia zarządzania ryzykiem
Plan ciągłości działania
Planowanie ciągłości działania
Jak opracować plan ciągłości działania?
Siedem kroków do utworzenia skutecznego planu ciągłości działania
Najlepsze praktyki w zakresie odzyskiwania sprawności po katastrofie
Najlepsze praktyki lokalne
Najlepsze praktyki w chmurze
Najlepsze praktyki w środowisku hybrydowym
Podsumowanie
Dalsza lektura
Materiały źródłowe

Rozdział 16. Zarządzanie lukami w zabezpieczeniach

Tworzenie strategii zarządzania lukami w zabezpieczeniach
Inwentaryzacja zasobów
Zarządzanie informacjami
Ocena ryzyka
Ocena luk w zabezpieczeniach
Raportowanie i śledzenie procesu remediacji
Planowanie reagowania
Elementy strategii zarządzania lukami w zabezpieczeniach
Różnice między zarządzaniem lukami w zabezpieczeniach a przeprowadzaniem ich oceny
Najlepsze praktyki zarządzania lukami w zabezpieczeniach
Strategie usprawniające zarządzanie lukami w zabezpieczeniach
Narzędzia do zarządzania lukami w zabezpieczeniach
Narzędzia do inwentaryzacji zasobów
Narzędzia do zarządzania ryzykiem
Narzędzia do oceny ryzyka
Narzędzia do oceny luk w zabezpieczeniach
Narzędzia do raportowania i śledzenia remediacji
Narzędzia do planowania reagowania
Intruder
Patch Manager Plus
Windows Server Update Services (WSUS)
Platforma Comodo Dragon
InsightVM
Azure Threat and Vulnerability Management
Implementowanie zarządzania lukami w zabezpieczeniach za pomocą narzędzia Nessus
OpenVAS
Qualys
Acunetix
Wnioski
Podsumowanie
Dalsza lektura
Materiały źródłowe

Rozdział 17. Analiza dzienników

Korelacja danych
Dzienniki systemów operacyjnych
Dzienniki systemu Windows
Dzienniki systemu Linux
Dzienniki firewalla
Dzienniki serwera WWW
Dzienniki platformy AWS
Dostęp do dzienników AWS z poziomu usługi Microsoft Sentinel
Dzienniki Azure Activity
Dostęp do dzienników Azure Activity z poziomu usługi Microsoft Sentinel
Dzienniki platformy GCP
Podsumowanie
Materiały źródłowe

Skorowidz