Эта книга написана практиками и для практиков, которым необходимо ежедневно выявлять действия злоумышленников в сетях и сдерживать кибератаки. Опираясь на свой опыт расследования вторжений, а также консультирования глобальных клиентов и разработки средств для цифровой криминалистики, автор предлагает наиболее эффективные методы борьбы с киберпреступниками.
Реагирование на инцидент информационной безопасности рассматривается в книге как непрерывный цикл, а не разовая процедура. Представлено несколько моделей реагирования на инциденты с учетом специфики современных киберугроз; обсуждаются меры по их предупреждению. В первой части речь идет о подготовке к реагированию на компьютерные атаки, затем подробно рассматриваются практические действия по обнаружению злоумышленника и устранению последствий взлома.
Подчеркивая, что хакерские тактики непрерывно обновляются, автор приводит ссылки на сторонние ресурсы, где можно найти самую свежую информацию по теме компьютерной безопасности.
Author(s): Стив Энсон
Edition: 1
Publisher: ДМК Пресс
Year: 2021
Language: Russian
Commentary: Vector PDF
Pages: 436
City: М.
Tags: Information Security; Log Data Analysis; PowerShell; Monitoring; Best Practices; Forensic Analysis; Network Security; Incident Response; Malware Analysis; Static Analysis; Dynamic Analysis; Threat Models; Forensic Imaging; Forensic Toolkit
Реагирование на компьютерные инциденты_переплет
Реагирование на компьютерные инциденты.pdf
Предисловие
Об авторе
От издательства
Часть I. ПОДГОТОВКА
Глава 1. Картина угроз
Мотивы злоумышленника
Кража интеллектуальной собственности
Атака на цепочку поставок
Финансовые махинации
Вымогательство
Шпионаж
Власть
Хактивизм
Жажда мести
Методы атаки
DoS и DDoS
Черви
Программы-вымогатели
Фишинг
Целевой фишинг
Атака типа «водопой»
Веб-атаки
Атаки на беспроводные сети
Анализ сетевого трафика и атака посредника
Криптомайнинг
Атаки с целью получения пароля
Анатомия атаки
Разведка и сбор данных
Эксплуатация
Расширение/внедрение
Утечка данных / ущерб
Удаление следов
Современный злоумышленник
Учетные данные – «ключи от королевства»
Заключение
Глава 2. Готовность к инцидентам
Подготовка процесса
Подготовка персонала
Подготовка технологии
Обеспечение адекватной видимости
Вооружаем специалистов
Непрерывность бизнес-процессов и аварийное восстановление
Методы обмана
Заключение
Часть II. РЕАГИРОВАНИЕ НА КИБЕРИНЦИДЕНТЫ
Глава 3. Удаленная сортировка
В поисках зла
Нестандартные подключения
Необычные процессы
Необычные порты
Необычные службы
Подозрительные учетные записи
Необычные файлы
Места автозапуска
Охрана учетных данных
Разбираемся с интерактивными входами в систему
Меры предосторожности при работе с инцидентом ИБ
Режим Restricted Admin для протокола удаленного рабочего стола и Remote Credential Guard
Заключение
Глава 4. Инструменты удаленной сортировки
Windows Management Instrumentation
Синтаксис WMI и WMIC
Правильные подходы с точки зрения компьютерной криминалистики
Элементы WMIC и WQL
Примеры команд WMIC
PowerShell
Основные командлеты PowerShell
PowerShell Remoting
Доступ к WMI/MI/CIM с помощью PowerShell
Фреймворки, используемые при реагировании на инциденты
Заключение
Глава 5. Создание дампа памяти
Порядок сбора улик
Сбор данных, хранящихся в памяти локальной системы
Подготовка носителя
Процесс сбора данных
Сбор данных, хранящихся в памяти удаленной системы
WMIC для сбора данных из удаленной системы
PowerShell Remoting для сбора данных, хранящихся в памяти удаленной системы
Агенты для удаленного сбора данных
Анализ памяти в реальном времени
Анализ памяти локальной системы в реальном времени
Анализ памяти удаленной системы в реальном времени
Заключение
Глава 6. Создание образа диска
Защита целостности улик
Создание образа по типу dead-box
Использование аппаратного блокиратора записи
Использование загрузочного дистрибутива Linux
Создание образа во время работы системы
Создание образа во время работы локальной системы
Создание образа во время работы системы удаленно
Создание образа виртуальной машины
Заключение
Глава 7. Мониторинг сетевой безопасности
Security Onion
Архитектура
Инструменты
Анализ текстового журнала
Заключение
Глава 8. Анализ журнала событий
Журналы событий
События, связанные с учетной записью
Доступ к объекту
Аудит изменений конфигурации системы
Аудит процессов
Аудит использования PowerShell
Использование PowerShell для запроса журналов событий
Заключение
Глава 9. Анализ памяти
Важность базовых показателей
Источники данных памяти
Использование Volatility и Rekall
Изучение процессов
Плагин pslist
Плагин pstree
Плагин dlllist
Плагин psxview
Плагин handles
Плагин malfind
Изучение служб Windows
Изучение сетевой активности
Обнаружение аномалий
Все дело в практике
Заключение
Глава 10. Анализ вредоносных программ
Аналитические онлайн-сервисы
Статический анализ
Динамический анализ
Ручной динамический анализ
Автоматизированный анализ вредоносных программ
Уклоняемся от обнаружения
Реверс-инжиниринг
Заключение
Глава 11. Извлечение информации с образа жесткого диска
Инструменты компьютерной криминалистики
Анализ временных меток
Файлы ссылок и списки переходов
Папка Prefetch
Монитор использования системных ресурсов
Анализ реестра
Активность браузера
Журнал USN
Теневые копии томов
Автоматическая сортировка
Артефакты Linux/UNIX
Заключение
Глава 12. Анализ дальнейшего распространения по сети
Server Message Block
Атаки pass-the-hash
Атаки на Kerberos
Атаки pass-the-ticket и overpass-the-hash
Золотые и серебряные мандаты
Kerberoasting
PsExec
Запланированные задания
Команда sc
Протокол удаленного рабочего стола
Windows Management Instrumentation
Windows Remote Management
PowerShell Remoting
SSH-туннели и другие способы дальнейшего распространения по сети
Заключение
Часть III. УЛУЧШЕНИЕ
Глава 13. Непрерывное улучшение
Документировать и еще раз документировать
Утверждение мер по сглаживанию последствий
Опираемся на успехи и учимся на ошибках
Улучшение средств защиты
Привилегированные учетные записи
Контроль над выполнением
PowerShell
Сегментация и изоляция
Заключение
Глава 14. Активные действия
Поиск киберугроз
Эмуляция действий злоумышленника
Atomic Red Team
Caldera
Заключение
Предметный указатель
