AKTYWNE WYKRYWANIE ZAGROŻEŃ W SYSTEMACH IT W PRAKTYCE. WYKORZYSTYWANIE ANALIZY DANYCH, FRAMEWORKU ATT&CK ORAZ NARZĘDZI OPEN SOURCE

ISBN: 978-83-283-8885-7   344 stron format: B5 oprawa: miękka Rok wydania: 2022

Udany atak na system informatyczny organizacji może mieć bardzo poważne konsekwencje. W ostatnich latach analitycy cyberbezpieczeństwa starają się uprzedzać zagrożenia i je neutralizować, zanim dojdzie do wystąpienia większych szkód w systemie. Podejście to wymaga nieustannego testowania i wzmacniania mechanizmów obronnych w systemie informatycznym organizacji. W ramach tych procesów można zebrać wiele cennych danych, użyć ich do budowy modeli i dzięki temu lepiej zrozumieć istotne kwestie związane z bezpieczeństwem IT.

Ta książka to praktyczny przewodnik po aktywnych technikach wykrywania, analizowania i neutralizowania zagrożeń cybernetycznych. Dzięki niej, nawet jeśli nie posiadasz specjalistycznej wiedzy w tym zakresie, łatwo wdrożysz od podstaw skuteczny program aktywnego zabezpieczania swojej organizacji. Dowiesz się, w jaki sposób wykrywać ataki, jak zbierać dane i za pomocą modeli pozyskiwać z nich cenne informacje. Przekonasz się, że niezbędne środowisko możesz skonfigurować przy użyciu narzędzi open source. Dzięki licznym ćwiczeniom nauczysz się w praktyce korzystać z biblioteki testów Atomic Red Team, a także z frameworku MITRE ATT&CKt. Ponadto zdobędziesz umiejętności związane z dokumentowaniem swoich działań, definiowaniem wskaźników bezpieczeństwa systemu, jak również komunikowaniem informacji o jego naruszeniach swoim współpracownikom, przełożonym i partnerom biznesowym.

SPIS TREŚCI

O autorce

O recenzentach

Wstęp

Część I. Informatyka wywiadowcza

Rozdział 1. Czym jest informatyka wywiadowcza?
Informatyka wywiadowcza
Poziom strategiczny
Poziom operacyjny
Poziom taktyczny
Cykl działań wywiadowczych
Planowanie i wyznaczanie celów
Przygotowywanie i gromadzenie danych
Przetwarzanie i wykorzystywanie danych
Analiza i wytwarzanie informacji
Rozpowszechnianie i integracja wiedzy
Ocena i informacje zwrotne
Definiowanie Twojego zapotrzebowania na informacje wywiadowcze
Proces gromadzenia danych
Wskaźniki naruszenia bezpieczeństwa
Zrozumieć złośliwe oprogramowanie
Wykorzystanie źródeł publicznych do gromadzenia danych - OSINT
Honeypoty
Analiza złośliwego oprogramowania i sandboxing
Przetwarzanie i wykorzystywanie danych
Cyber Kill ChainR
Model diamentowy
Framework MITRE ATT&CK
Tendencyjność a analiza informacji
Podsumowanie

Rozdział 2. Czym jest polowanie na zagrożenia?
Wymogi merytoryczne
Czym jest polowanie na zagrożenia?
Rodzaje polowań na zagrożenia
Zestaw umiejętności łowcy zagrożeń
Piramida bólu
Model dojrzałości w procesie polowania na zagrożenia
Określenie naszego modelu dojrzałości
Proces polowania na zagrożenia
Pętla polowania na zagrożenia
Model polowania na zagrożenia
Metodologia oparta na danych
TaHiTI - polowanie ukierunkowane integrujące informatykę wywiadowczą
Tworzenie hipotezy
Podsumowanie

Rozdział 3. Z jakich źródeł pozyskujemy dane?
Wymogi merytoryczne i techniczne
Zrozumienie zebranych danych
Podstawy systemów operacyjnych
Podstawy działania sieci komputerowych
Narzędzia dostępne w systemie Windows
Podgląd zdarzeń w systemie Windows
Instrumentacja zarządzania systemem Windows (WMI)
Śledzenie zdarzeń dla Windows (ETW)
Źródła danych
Dane z punktów końcowych
Dane sieciowe
Dane zabezpieczeń
Podsumowanie

Część II. Zrozumieć przeciwnika

Rozdział 4. Jak mapować przeciwnika
Wymogi merytoryczne
Framework ATT&CK
Taktyki, techniki, subtechniki i procedury
Macierz ATT&CK
Nawigator ATT&CK
Mapowanie za pomocą frameworka ATT&CK
Przetestuj się!
Odpowiedzi
Podsumowanie

Rozdział 5. Praca z danymi
Wymogi merytoryczne i techniczne
Używanie słowników danych
Metadane zdarzeń zagrażających bezpieczeństwu typu open source
Używanie narzędzia MITRE CAR
CARET
Używanie Sigmy
Podsumowanie

Rozdział 6. Jak emulować przeciwnika
Stworzenie planu emulacji przeciwnika
Czym jest emulacja przeciwnika?
Plan emulacji zespołu MITRE ATT&CK
Jak emulować zagrożenie
Atomic Red Team
Mordor (Security Datasets)
CALDERA
Pozostałe narzędzia
Przetestuj się!
Odpowiedzi
Podsumowanie

Część III. Jak pracować z wykorzystaniem środowiska badawczego

Rozdział 7. Jak stworzyć środowisko badawcze
Wymogi merytoryczne i techniczne
Konfigurowanie środowiska badawczego
Instalowanie środowiska wirtualnego VMware ESXI
Tworzenie sieci VLAN
Konfigurowanie zapory (firewalla)
Instalowanie systemu operacyjnego Windows Server
Konfigurowanie systemu operacyjnego Windows Server w roli kontrolera domeny
Zrozumienie struktury usługi katalogowej Active Directory
Nadanie serwerowi statusu kontrolera domeny
Konfigurowanie serwera DHCP
Tworzenie jednostek organizacyjnych
Tworzenie użytkowników
Tworzenie grup
Obiekty zasad grupy
Konfigurowanie zasad inspekcji
Dodawanie nowych klientów
Konfigurowanie stosu ELK
Konfigurowanie usługi systemowej Sysmon
Pobieranie certyfikatu
Konfigurowanie aplikacji Winlogbeat
Szukanie naszych danych w instancji stosu ELK
Bonus - dodawanie zbiorów danych Mordor do naszej instancji stosu ELK
HELK - narzędzie open source autorstwa Roberto Rodrigueza
Rozpoczęcie pracy z platformą HELK
Podsumowanie

Rozdział 8. Jak przeprowadzać kwerendę danych
Wymogi merytoryczne i techniczne
Atomowe polowanie z użyciem bibliotek Atomic Red Team
Cykl testowy bibliotek Atomic Red Team
Testowanie dostępu początkowego
Testowanie wykonania
Testowanie zdolności do przetrwania
Testy nadużywania przywilejów
Testowanie unikania systemów obronnych
Testowanie pod kątem wykrywania przez atakującego zasobów ofiary
Testowanie taktyki wysyłania poleceń i sterowania (C2)
Invoke-AtomicRedTeam
Quasar RAT
Przypadki użycia trojana Quasar RAT w świecie rzeczywistym
Uruchamianie i wykrywanie trojana Quasar RAT
Testowanie zdolności do przetrwania
Testowanie dostępu do danych uwierzytelniających
Badanie ruchów poprzecznych
Podsumowanie

Rozdział 9. Jak polować na przeciwnika
Wymogi merytoryczne i techniczne
Oceny przeprowadzone przez MITRE
Importowanie zbiorów danych APT29 do bazy HELK
Polowanie na APT29
Używanie frameworka MITRE CALDERA
Konfigurowanie programu CALDERA
Wykonanie planu emulacji za pomocą programu CALDERA
Reguły pisane w języku Sigma
Podsumowanie

Rozdział 10. Znaczenie dokumentowania i automatyzowania procesu
Znaczenie dokumentacji
Klucz do pisania dobrej dokumentacji
Dokumentowanie polowań
Threat Hunter Playbook
Jupyter Notebook
Aktualizowanie procesu polowania
Znaczenie automatyzacji
Podsumowanie

Część IV. Wymiana informacji kluczem do sukcesu

Rozdział 11. Jak oceniać jakość danych
Wymogi merytoryczne i techniczne
Jak odróżnić dane dobrej jakości od danych złej jakości
Wymiary danych
Jak poprawić jakość danych
OSSEM Power-up
DeTT&CT
Sysmon-Modular
Podsumowanie

Rozdział 12. Jak zrozumieć dane wyjściowe
Jak zrozumieć wyniki polowania
Znaczenie wyboru dobrych narzędzi analitycznych
Przetestuj się!
Odpowiedzi
Podsumowanie

Rozdział 13. Jak zdefiniować dobre wskaźniki śledzenia postępów
Wymogi merytoryczne i techniczne
Znaczenie definiowania dobrych wskaźników
Jak określić sukces programu polowań
Korzystanie z frameworka MaGMA for Threat Hunting
Podsumowanie

Rozdział 14. Jak stworzyć zespół szybkiego reagowania i jak informować zarząd o wynikach polowań
Jak zaangażować w działanie zespół reagowania na incydenty
Wpływ komunikowania się na sukces programu polowania na zagrożenia
Przetestuj się!
Odpowiedzi
Podsumowanie

Dodatek. Stan polowań