Активное обнаружение угроз в ИТ-системах

Aktywne wykrywanie zagrożeń w systemach IT w praktyce. Wykorzystywanie analizy danych, frameworku ATT&CK oraz narzędzi open source

Valentina Costa-Gazcón

Udany atak na system informatyczny organizacji może mieć bardzo poważne konsekwencje. W ostatnich latach analitycy cyberbezpieczeństwa starają się uprzedzać zagrożenia i je neutralizować, zanim dojdzie do wystąpienia większych szkód w systemie. Podejście to wymaga nieustannego testowania i wzmacniania mechanizmów obronnych w systemie informatycznym organizacji. W ramach tych procesów można zebrać wiele cennych danych, użyć ich do budowy modeli i dzięki temu lepiej zrozumieć istotne kwestie związane z bezpieczeństwem IT.

Ta książka to praktyczny przewodnik po aktywnych technikach wykrywania, analizowania i neutralizowania zagrożeń cybernetycznych. Dzięki niej, nawet jeśli nie posiadasz specjalistycznej wiedzy w tym zakresie, łatwo wdrożysz od podstaw skuteczny program aktywnego zabezpieczania swojej organizacji. Dowiesz się, w jaki sposób wykrywać ataki, jak zbierać dane i za pomocą modeli pozyskiwać z nich cenne informacje. Przekonasz się, że niezbędne środowisko możesz skonfigurować przy użyciu narzędzi open source. Dzięki licznym ćwiczeniom nauczysz się w praktyce korzystać z biblioteki testów Atomic Red Team, a także z frameworku MITRE ATT&CK™. Ponadto zdobędziesz umiejętności związane z dokumentowaniem swoich działań, definiowaniem wskaźników bezpieczeństwa systemu, jak również komunikowaniem informacji o jego naruszeniach swoim współpracownikom, przełożonym i partnerom biznesowym.

Dzięki książce:

• poznasz podstawy informatyki śledczej i analizy zagrożeń
• dowiesz się, w jaki sposób modelować zebrane dane i dokumentować wyniki badań
• nauczysz się symulować działania agresorów w środowisku laboratoryjnym
• wprawisz się we wczesnym wykrywaniu naruszeń
• poznasz zasady komunikowania się z kierownictwem i otoczeniem biznesowym

To proste. Szukaj. Wykryj. Zneutralizuj!

Spis treści:

O autorce

O recenzentach

Wstęp

Część I. Informatyka wywiadowcza

Rozdział 1. Czym jest informatyka wywiadowcza?

• Informatyka wywiadowcza

  Poziom strategiczny

  Poziom operacyjny

  Poziom taktyczny

• Cykl działań wywiadowczych

  Planowanie i wyznaczanie celów

  Przygotowywanie i gromadzenie danych

  Przetwarzanie i wykorzystywanie danych

  Analiza i wytwarzanie informacji

  Rozpowszechnianie i integracja wiedzy

  Ocena i informacje zwrotne

• Definiowanie Twojego zapotrzebowania na informacje wywiadowcze
• Proces gromadzenia danych

  Wskaźniki naruszenia bezpieczeństwa

  Zrozumieć złośliwe oprogramowanie

  Wykorzystanie źródeł publicznych do gromadzenia danych - OSINT

  Honeypoty

  Analiza złośliwego oprogramowania i sandboxing

• Przetwarzanie i wykorzystywanie danych

  Cyber Kill Chain®

  Model diamentowy

  Framework MITRE ATT&CK

• Tendencyjność a analiza informacji
• Podsumowanie

Rozdział 2. Czym jest polowanie na zagrożenia?

• Wymogi merytoryczne
• Czym jest polowanie na zagrożenia?

  Rodzaje polowań na zagrożenia

  Zestaw umiejętności łowcy zagrożeń

  Piramida bólu

• Model dojrzałości w procesie polowania na zagrożenia

  Określenie naszego modelu dojrzałości

• Proces polowania na zagrożenia

  Pętla polowania na zagrożenia

  Model polowania na zagrożenia

  Metodologia oparta na danych

  TaHiTI - polowanie ukierunkowane integrujące informatykę wywiadowczą

• Tworzenie hipotezy
• Podsumowanie

Rozdział 3. Z jakich źródeł pozyskujemy dane?

• Wymogi merytoryczne i techniczne
• Zrozumienie zebranych danych

  Podstawy systemów operacyjnych

  Podstawy działania sieci komputerowych

• Narzędzia dostępne w systemie Windows

  Podgląd zdarzeń w systemie Windows

  Instrumentacja zarządzania systemem Windows (WMI)

  Śledzenie zdarzeń dla Windows (ETW)

• Źródła danych

  Dane z punktów końcowych

  Dane sieciowe

  Dane zabezpieczeń

• Podsumowanie

Część II. Zrozumieć przeciwnika

Rozdział 4. Jak mapować przeciwnika

• Wymogi merytoryczne
• Framework ATT&CK

  Taktyki, techniki, subtechniki i procedury

  Macierz ATT&CK

  Nawigator ATT&CK

• Mapowanie za pomocą frameworka ATT&CK
• Przetestuj się!

  Odpowiedzi

• Podsumowanie

Rozdział 5. Praca z danymi

• Wymogi merytoryczne i techniczne
• Używanie słowników danych

  Metadane zdarzeń zagrażających bezpieczeństwu typu open source

• Używanie narzędzia MITRE CAR

  CARET

• Używanie Sigmy
• Podsumowanie

Rozdział 6. Jak emulować przeciwnika

• Stworzenie planu emulacji przeciwnika

  Czym jest emulacja przeciwnika?

  Plan emulacji zespołu MITRE ATT&CK

• Jak emulować zagrożenie

  Atomic Red Team

  Mordor (Security Datasets)

  CALDERA

  Pozostałe narzędzia

• Przetestuj się!

  Odpowiedzi

• Podsumowanie

Część III. Jak pracować z wykorzystaniem środowiska badawczego

Rozdział 7. Jak stworzyć środowisko badawcze

• Wymogi merytoryczne i techniczne
• Konfigurowanie środowiska badawczego
• Instalowanie środowiska wirtualnego VMware ESXI

  Tworzenie sieci VLAN

  Konfigurowanie zapory (firewalla)

• Instalowanie systemu operacyjnego Windows Server
• Konfigurowanie systemu operacyjnego Windows Server w roli kontrolera domeny

  Zrozumienie struktury usługi katalogowej Active Directory

  Nadanie serwerowi statusu kontrolera domeny

  Konfigurowanie serwera DHCP

  Tworzenie jednostek organizacyjnych

  Tworzenie użytkowników

  Tworzenie grup

  Obiekty zasad grupy

  Konfigurowanie zasad inspekcji

  Dodawanie nowych klientów

• Konfigurowanie stosu ELK

  Konfigurowanie usługi systemowej Sysmon

  Pobieranie certyfikatu

• Konfigurowanie aplikacji Winlogbeat

  Szukanie naszych danych w instancji stosu ELK

• Bonus - dodawanie zbiorów danych Mordor do naszej instancji stosu ELK
• HELK - narzędzie open source autorstwa Roberto Rodrigueza

  Rozpoczęcie pracy z platformą HELK

• Podsumowanie

Rozdział 8. Jak przeprowadzać kwerendę danych

• Wymogi merytoryczne i techniczne
• Atomowe polowanie z użyciem bibliotek Atomic Red Team
• Cykl testowy bibliotek Atomic Red Team

  Testowanie dostępu początkowego

  Testowanie wykonania

  Testowanie zdolności do przetrwania

  Testy nadużywania przywilejów

  Testowanie unikania systemów obronnych

  Testowanie pod kątem wykrywania przez atakującego zasobów ofiary

  Testowanie taktyki wysyłania poleceń i sterowania (C2)

  Invoke-AtomicRedTeam

• Quasar RAT

  Przypadki użycia trojana Quasar RAT w świecie rzeczywistym

  Uruchamianie i wykrywanie trojana Quasar RAT

  Testowanie zdolności do przetrwania

  Testowanie dostępu do danych uwierzytelniających

  Badanie ruchów poprzecznych

• Podsumowanie

Rozdział 9. Jak polować na przeciwnika

• Wymogi merytoryczne i techniczne
• Oceny przeprowadzone przez MITRE

  Importowanie zbiorów danych APT29 do bazy HELK

  Polowanie na APT29

• Używanie frameworka MITRE CALDERA

  Konfigurowanie programu CALDERA

  Wykonanie planu emulacji za pomocą programu CALDERA

• Reguły pisane w języku Sigma
• Podsumowanie

Rozdział 10. Znaczenie dokumentowania i automatyzowania procesu

• Znaczenie dokumentacji

  Klucz do pisania dobrej dokumentacji

  Dokumentowanie polowań

• Threat Hunter Playbook
• Jupyter Notebook
• Aktualizowanie procesu polowania
• Znaczenie automatyzacji
• Podsumowanie

Część IV. Wymiana informacji kluczem do sukcesu

Rozdział 11. Jak oceniać jakość danych

• Wymogi merytoryczne i techniczne
• Jak odróżnić dane dobrej jakości od danych złej jakości

  Wymiary danych

• Jak poprawić jakość danych

  OSSEM Power-up

  DeTT&CT

  Sysmon-Modular

• Podsumowanie

Rozdział 12. Jak zrozumieć dane wyjściowe

• Jak zrozumieć wyniki polowania
• Znaczenie wyboru dobrych narzędzi analitycznych
• Przetestuj się!

  Odpowiedzi

• Podsumowanie

Rozdział 13. Jak zdefiniować dobre wskaźniki śledzenia postępów

• Wymogi merytoryczne i techniczne
• Znaczenie definiowania dobrych wskaźników
• Jak określić sukces programu polowań

  Korzystanie z frameworka MaGMA for Threat Hunting

• Podsumowanie

Rozdział 14. Jak stworzyć zespół szybkiego reagowania i jak informować zarząd o wynikach polowań

• Jak zaangażować w działanie zespół reagowania na incydenty
• Wpływ komunikowania się na sukces programu polowania na zagrożenia
• Przetestuj się!

  Odpowiedzi

• Podsumowanie

Dodatek. Stan polowań