PODSTAWY BEZPIECZEŃSTWA INFORMACJI. PRAKTYCZNE WPROWADZENIE

ISBN: 978-83-283-8342-5

259 stron
format: B5
oprawa: miękka
Rok wydania: 2022

Bezpieczeństwo informacji już od dawna nie jest domeną wyłącznie inżynierów. Zajmują się nim menedżerowie, stratedzy, ekonomiści czy politycy, jednak każda z tych grup najczęściej bierze pod uwagę tylko część tego zagadnienia. Istnieje też mnóstwo technologii służących organizacjom do zabezpieczania zasobów informacyjnych. Jakby tego było mało, zastosowanie właściwych strategii obronnych i wybór optymalnych narzędzi wymaga ugruntowania znajomości podstaw zagadnienia, a także nieco szerszego spojrzenia na bezpieczeństwo informacji.

Ta książka stanowi wszechstronny i praktyczny przegląd dziedziny bezpieczeństwa informacji. Posłuży każdemu, kto jest zainteresowany tą dziedziną, chce zdobyć ogólną wiedzę na ten temat albo zastanawia się, od czego zacząć wdrażanie systemu bezpieczeństwa we własnej organizacji. Znalazły się tutaj jasne, przystępne i konkretne wyjaśnienia zasad bezpieczeństwa informacji oraz wskazówki dotyczące praktycznego stosowania tych zasad. Wyczerpująco omówiono kluczowe dla tej dziedziny koncepcje, a następnie opisano rzeczywiste zastosowania przedstawionych idei w obszarach bezpieczeństwa operacyjnego, ludzkiego, fizycznego, sieciowego, systemu operacyjnego, mobilnego, wbudowanego, internetu rzeczy (IoT) i bezpieczeństwa aplikacji. Ważnym elementem publikacji jest również zaprezentowanie praktycznych sposobów oceny bezpieczeństwa informacji.

SPIS TREŚCI

O autorze

O korektorze merytorycznym

Podziękowania

Wprowadzenie
Kto powinien przeczytać tę książkę?
O książce

1. Czym jest bezpieczeństwo informacji?
Definicja bezpieczeństwa informacji
Kiedy jesteś bezpieczny?
Modele dyskusji nad kwestiami bezpieczeństwa
Triada poufności, integralności i dostępności
Heksada Parkera
Ataki
Rodzaje ataków
Zagrożenia, podatności i ryzyko
Zarządzanie ryzykiem
Reagowanie na incydenty
Obrona wielopoziomowa
Podsumowanie
Ćwiczenia

2. Identyfikacja i uwierzytelnianie
Identyfikacja
Za kogo się podajemy
Weryfikacja tożsamości
Fałszowanie tożsamości
Uwierzytelnianie
Metody uwierzytelniania
Uwierzytelnianie wieloskładnikowe
Uwierzytelnianie wzajemne
Popularne metody identyfikacji i uwierzytelniania
Hasła
Biometria
Tokeny sprzętowe
Podsumowanie
Ćwiczenia

3. Autoryzacja i kontrola dostępu
Czym są mechanizmy kontroli dostępu?
Wdrażanie kontroli dostępu
Listy kontroli dostępu
Tokeny dostępu
Modele kontroli dostępu
Uznaniowa kontrola dostępu
Obowiązkowa kontrola dostępu
Kontrola dostępu oparta na regułach
Kontrola dostępu oparta na rolach
Kontrola dostępu oparta na atrybutach
Wielopoziomowa kontrola dostępu
Fizyczna kontrola dostępu
Podsumowanie
Ćwiczenia

4. Audytowanie i rozliczalność
Rozliczalność
Korzyści dla bezpieczeństwa wynikające z rozliczalności
Niezaprzeczalność
Efekt odstraszania
Wykrywanie włamań i zapobieganie im
Dopuszczalność zapisów jako materiału dowodowego
Audytowanie
Co może podlegać audytowi?
Rejestrowanie (logowanie) zdarzeń
Monitorowanie
Audyt z oceną podatności
Podsumowanie
Ćwiczenia

5. Kryptografia
Historia kryptografii
Szyfr Cezara
Maszyny kryptograficzne
Reguły Kerckhoffsa
Nowoczesne narzędzia kryptograficzne
Szyfry oparte na słowach kluczowych i jednorazowych bloczkach szyfrowych
Kryptografia symetryczna i asymetryczna
Funkcje haszujące
Podpisy cyfrowe
Certyfikaty
Ochrona danych w spoczynku, w ruchu i w użyciu
Ochrona danych w spoczynku
Ochrona danych w ruchu
Ochrona danych w użyciu
Podsumowanie
Ćwiczenia

6. Zgodność, prawo i przepisy
Czym jest zgodność z przepisami?
Rodzaje zgodności z przepisami
Konsekwencje braku zgodności z przepisami
Osiąganie zgodności z przepisami dzięki mechanizmom kontrolnym
Rodzaje mechanizmów kontrolnych
Kluczowe i kompensacyjne mechanizmy kontrolne
Utrzymywanie zgodności
Bezpieczeństwo informacji i przepisy prawa
Zgodność z przepisami dotyczącymi agencji rządowych
Zgodność z wymaganiami branżowymi
Przepisy prawne poza Stanami Zjednoczonymi
Przyjęcie ram dla zgodności
Międzynarodowa Organizacja Normalizacyjna
Instytut NIST
Niestandardowe ramy zarządzania ryzykiem
Zgodność z przepisami w obliczu zmian technologicznych
Zgodność w rozwiązaniach chmurowych
Zgodność z blockchainem
Zgodność a kryptowaluty
Podsumowanie
Ćwiczenia

7. Bezpieczeństwo operacyjne
Proces bezpieczeństwa operacyjnego
Identyfikacja informacji o krytycznym znaczeniu
Analiza zagrożeń
Analiza podatności
Ocena ryzyka
Zastosowanie środków zaradczych
Podstawowe reguły bezpieczeństwa operacyjnego
Reguła pierwsza: poznaj zagrożenia
Reguła druga: wiedz, co należy chronić
Reguła trzecia: chroń informacje
Bezpieczeństwo operacyjne w życiu prywatnym
Początki bezpieczeństwa operacyjnego
Sun Tzu
George Washington
Wojna w Wietnamie
Biznes
Agencja IOSS
Podsumowanie
Ćwiczenia

8. Bezpieczeństwo czynnika ludzkiego
Gromadzenie informacji przydatnych do przeprowadzania ataków socjotechnicznych
HUMINT rozpoznanie osobowe
OSINT biały wywiad
Inne rodzaje źródeł informacji
Rodzaje ataków socjotechnicznych
Atak pretekstowy
Phishing
Tailgating
Budowanie świadomości bezpieczeństwa użytkowników poprzez programy szkoleniowe
Hasła
Szkolenia z zakresu inżynierii społecznej
Korzystanie z sieci
Złośliwe oprogramowanie
Prywatny sprzęt komputerowy
Polityka czystego biurka
Znajomość polityki bezpieczeństwa i uregulowań prawnych
Podsumowanie
Ćwiczenia

9. Bezpieczeństwo fizyczne
Identyfikacja zagrożeń fizycznych
Fizyczne środki bezpieczeństwa
Odstraszające środki bezpieczeństwa
Systemy wykrywania
Zapobiegawcze środki bezpieczeństwa
Zastosowanie fizycznej kontroli dostępu
Ochrona ludzi
Zagadnienia związane z ochroną ludzi
Zapewnienie bezpieczeństwa
Ewakuacja
Kontrole administracyjne
Ochrona danych
Fizyczne zagrożenia dla danych
Dostępność danych
Szczątkowe pozostałości danych
Ochrona wyposażenia
Fizyczne zagrożenia dla sprzętu
Wybór lokalizacji obiektu
Zabezpieczenie dostępu
Warunki środowiskowe
Podsumowanie
Ćwiczenia

10. Bezpieczeństwo sieciowe
Ochrona sieci
Projektowanie bezpiecznych sieci
Zastosowanie zapór sieciowych
Wdrażanie sieciowych systemów wykrywania włamań
Ochrona ruchu sieciowego
Zastosowanie sieci VPN
Ochrona danych w sieciach bezprzewodowych
Używanie bezpiecznych protokołów komunikacyjnych
Narzędzia do zabezpieczania sieci
Narzędzia do ochrony sieci bezprzewodowych
Skanery
Sniffery
System honeypot
Narzędzia dla zapór sieciowych
Podsumowanie
Ćwiczenia

11. Bezpieczeństwo systemu operacyjnego
Utwardzanie systemu operacyjnego
Usuń całe niepotrzebne oprogramowanie
Usuń wszystkie niepotrzebne usługi
Zmiana domyślnych kont
Stosuj zasadę najmniejszego uprzywilejowania
Pamiętaj o aktualizacjach
Włącz logowanie i audytowanie
Ochrona przed złośliwym oprogramowaniem
Narzędzia antywirusowe
Ochrona przestrzeni wykonywalnej
Programowe zapory sieciowe i systemy HID
Narzędzia bezpieczeństwa dla systemu operacyjnego
Skanery
Narzędzia do wyszukiwania podatności i luk w zabezpieczeniach
Frameworki exploitów
Podsumowanie
Ćwiczenia

12. Bezpieczeństwo urządzeń mobilnych, urządzeń wbudowanych oraz internetu rzeczy
Bezpieczeństwo urządzeń mobilnych
Ochrona urządzeń mobilnych
Kwestie bezpieczeństwa urządzeń przenośnych
Bezpieczeństwo urządzeń wbudowanych
Gdzie się używa urządzeń wbudowanych
Problemy bezpieczeństwa urządzeń wbudowanych
Bezpieczeństwo internetu rzeczy
Czym są urządzenia internetu rzeczy?
Problemy bezpieczeństwa urządzeń IoT
Podsumowanie
Ćwiczenia

13. Bezpieczeństwo aplikacji
Luki w zabezpieczeniach oprogramowania
Przepełnienia bufora
Warunki wyścigu
Ataki na weryfikację danych wejściowych
Ataki uwierzytelniające
Ataki autoryzacyjne
Ataki kryptograficzne
Bezpieczeństwo sieci Web
Ataki po stronie klienta
Ataki po stronie serwera
Bezpieczeństwo baz danych
Problemy z protokołami
Dostęp do funkcjonalności bez uwierzytelnienia
Arbitralne wykonanie kodu
Eskalacja uprawnień
Narzędzia do oceny bezpieczeństwa aplikacji
Sniffery
Narzędzia do analizy aplikacji internetowych
Fuzzery
Podsumowanie
Ćwiczenia

14. Ocena bezpieczeństwa
Ocena podatności
Mapowanie i wykrywanie
Skanowanie
Wyzwania technologiczne związane z oceną podatności
Testy penetracyjne
Przeprowadzanie testów penetracyjnych
Klasyfikacja testów penetracyjnych
Cele testów penetracyjnych
Programy bug bounty
Wyzwania technologiczne związane z testami penetracyjnymi
Czy to oznacza, że naprawdę jesteś bezpieczny?
Realistyczne testy
Czy potrafisz wykryć własne ataki?
Bezpieczeństwo dzisiaj nie oznacza bezpieczeństwa jutro
Usuwanie luk w zabezpieczeniach jest kosztowne
Podsumowanie
Ćwiczenia

Przypisy

Skorowidz