incydenty bezpieczeństwa. metody reagowania w informatyce śledczej ebook.mobi

(15186 KB) Pobierz
Spis treści
O autorach .....................................................................................................................................13
Wstęp ..............................................................................................................................................15
Podziękowania .............................................................................................................................17
Wprowadzenie ..............................................................................................................................19
CZĘŚĆ I
Przygotowywanie się na nieuniknione
1
Prawdziwe incydenty ..................................................................................................................25
Co to jest incydent bezpieczeństwa ................................................................................................. 26
Co to jest reakcja na incydent .......................................................................................................... 27
Aktualny stan wiedzy ........................................................................................................................ 28
Dlaczego powinieneś interesować się kwestiami reakcji na incydenty bezpieczeństwa .......... 30
Studia przypadku ............................................................................................................................... 30
Studium przypadku 1. Gdzie są pieniądze ............................................................................... 31
Studium przypadku 2. Certyfikat autentyczności ................................................................... 37
Fazy cyklu ataku ................................................................................................................................ 40
I co z tego ............................................................................................................................................ 43
Pytania ................................................................................................................................................ 43
Podręcznik reagowania na incydenty bezpieczeństwa .......................................................45
Co to jest incydent bezpieczeństwa komputerowego ................................................................... 46
Cele reakcji na incydent ................................................................................................................... 47
Kto bierze udział w procesie reakcji na incydent .......................................................................... 48
Wyszukiwanie utalentowanych specjalistów do zespołu reagowania na incydenty .......... 50
2
Kup książkę
Poleć książkę
6
INCYDENTY BEZPIECZEŃSTWA
Proces reakcji na incydent ................................................................................................................53
Czynności wstępne ......................................................................................................................54
Śledztwo ........................................................................................................................................54
Czynności naprawcze ..................................................................................................................62
Rejestrowanie istotnych informacji śledczych .........................................................................63
Raportowanie ...............................................................................................................................64
I co z tego ............................................................................................................................................65
Pytania .................................................................................................................................................66
3
Przygotowanie na incydent ...................................................................................................... 67
Przygotowywanie organizacji na incydent .....................................................................................68
Identyfikacja ryzyka ....................................................................................................................69
Zasady ułatwiające skuteczne zareagowanie na incydent ......................................................69
Współpraca z zewnętrznymi firmami informatycznymi .......................................................70
Kwestie związane z infrastrukturą globalną .............................................................................71
Szkolenie użytkowników w zakresie bezpieczeństwa hostów ...............................................71
Przygotowywanie zespołu RI ...........................................................................................................72
Definiowanie misji .......................................................................................................................72
Procedury komunikacji ..............................................................................................................73
Informowanie o wynikach śledztwa ..........................................................................................75
Zasoby dla zespołu RI .................................................................................................................76
Przygotowywanie infrastruktury do reakcji na incydent .............................................................83
Konfiguracja urządzeń komputerowych ..................................................................................84
Konfiguracja sieci ........................................................................................................................91
I co z tego ......................................................................................................................................... 100
Pytania .............................................................................................................................................. 100
CZĘŚĆ II
Wykrywanie incydentów i ich charakterystyka
4
Prawidłowe rozpoczynanie śledztwa .................................................................................... 103
Zbieranie wstępnych faktów .......................................................................................................... 104
Listy kontrolne .......................................................................................................................... 105
Robienie notatek na temat sprawy ............................................................................................... 111
Chronologiczne zapisywanie informacji o ataku ................................................................. 112
Priorytety śledztwa ......................................................................................................................... 113
Co to są elementy dowodu ...................................................................................................... 113
Ustalanie oczekiwań z kierownictwem .................................................................................. 114
I co z tego ......................................................................................................................................... 114
Pytania .............................................................................................................................................. 115
Kup książkę
Poleć książkę
SPIS TREŚCI
7
5
Zdobywanie tropów ................................................................................................................. 117
Definiowanie wartościowych tropów ........................................................................................... 118
Postępowanie z tropami ................................................................................................................. 119
Zamienianie tropów we wskaźniki ......................................................................................... 120
Cykl generowania wskaźnika ................................................................................................... 120
Analizowanie tropów wewnętrznych ..................................................................................... 133
Analizowanie tropów zewnętrznych ...................................................................................... 134
I co z tego .......................................................................................................................................... 136
Pytania .............................................................................................................................................. 137
Określanie zasięgu incydentu ................................................................................................ 139
Co mam zrobić ................................................................................................................................ 141
Analizowanie danych początkowych ..................................................................................... 141
Zbieranie i analiza dowodów początkowych ......................................................................... 142
Określanie sposobu działania .................................................................................................. 143
Wyciek danych klientów ................................................................................................................ 144
Wyciek danych klientów — przykłady niepoprawnego określania zasięgu incydentu .... 148
Oszustwo w automatycznym systemie rozrachunkowym (ACH) ........................................... 149
Oszustwo ACH — nieprawidłowa identyfikacja zasięgu incydentu .................................. 151
I co z tego .......................................................................................................................................... 152
Pytania .............................................................................................................................................. 152
6
CZĘŚĆ III
Gromadzenie danych
7
Zbieranie danych na żywo ...................................................................................................... 155
Kiedy wykonywać analizę na żywo ............................................................................................... 156
Wybór narzędzia do analizy na żywo ........................................................................................... 158
Jakie informacje zbierać ................................................................................................................. 159
Najlepsze praktyki gromadzenia danych ..................................................................................... 161
Gromadzenie danych na żywo w systemach Microsoft Windows ........................................... 165
Gotowe zestawy narzędzi ......................................................................................................... 165
Narzędzia własnej roboty ......................................................................................................... 168
Zbieranie informacji z pamięci ............................................................................................... 170
Zbieranie danych na żywo w systemach uniksowych ................................................................ 174
Zestawy narzędzi do analizy na żywo ..................................................................................... 175
Wykonywanie zrzutów pamięci .............................................................................................. 178
I co z tego .......................................................................................................................................... 183
Pytania .............................................................................................................................................. 184
Kup książkę
Poleć książkę
8
INCYDENTY BEZPIECZEŃSTWA
8
Duplikacja danych śledczych .................................................................................................. 185
Formaty obrazów na potrzeby śledztwa ...................................................................................... 187
Kompletny obraz dysku ........................................................................................................... 188
Wykonywanie obrazu partycji ................................................................................................ 190
Wykonywanie obrazu logicznego .......................................................................................... 190
Integralność obrazu .................................................................................................................. 191
Tradycyjne metody duplikacji ...................................................................................................... 193
Sprzętowe blokady zapisu ........................................................................................................ 193
Narzędzia do tworzenia obrazów ........................................................................................... 195
Duplikowanie działającego systemu ............................................................................................ 199
Duplikowanie środków firmowych .............................................................................................. 200
Duplikowanie maszyn wirtualnych ........................................................................................ 201
I co z tego ......................................................................................................................................... 202
Pytania .............................................................................................................................................. 202
Dowody z sieci ............................................................................................................................ 203
Argumenty za monitorowaniem sieci .......................................................................................... 204
Rodzaje monitoringu sieciowego ................................................................................................. 205
Monitorowanie zdarzeń ........................................................................................................... 205
Rejestrowanie nagłówków i całych pakietów ........................................................................ 207
Modelowanie statystyczne ....................................................................................................... 208
Tworzenie systemu monitorowania sieci .................................................................................... 211
Wybór sprzętu ........................................................................................................................... 211
Instalacja gotowej dystrybucji ................................................................................................. 213
Wdrażanie czujnika sieciowego .............................................................................................. 214
Ocenianie jakości monitora sieciowego ................................................................................ 215
Analiza danych sieciowych ............................................................................................................ 215
Kradzież danych ........................................................................................................................ 217
Rekonesans za pomocą konsoli sieciowej ............................................................................. 223
Inne narzędzia do analizy sieciowej ....................................................................................... 229
Zbieranie dzienników generowanych przez zdarzenia sieciowe .............................................. 231
I co z tego ......................................................................................................................................... 232
Pytania .............................................................................................................................................. 232
9
10 Usługi dla przedsiębiorstw ...................................................................................................... 233
Usługi infrastruktury sieciowej ..................................................................................................... 234
DHCP ......................................................................................................................................... 234
Usługa DHCP ISC .................................................................................................................... 237
DNS ............................................................................................................................................ 238
Aplikacje do zarządzania przedsiębiorstwem ............................................................................. 243
Program Software Management Suite firmy LANDesk ...................................................... 244
Program Altiris Client Management Suite firmy Symantec ............................................... 246
Kup książkę
Poleć książkę
Zgłoś jeśli naruszono regulamin