Основы информационной безопасности. Практическое введение Джейсона Андресса

• Stan : Nowy
• Tytul: Podstawy bezpieczeństwa informacji. Praktyczne wprowadzenie
• Liczba stron: 264
• Oprawa: Miękka
• Rok wydania: 2021

Bezpieczeństwo informacji już od dawna nie jest domeną wyłącznie inżynierów. Zajmują się nim menedżerowie, stratedzy, ekonomiści czy politycy, jednak każda z tych grup najczęściej bierze pod uwagę tylko część tego zagadnienia. Istnieje też mnóstwo technologii służących organizacjom do zabezpieczania zasobów informacyjnych. Jakby tego było mało, zastosowanie właściwych strategii obronnych i wybór optymalnych narzędzi wymaga ugruntowania znajomości podstaw zagadnienia, a także nieco szerszego spojrzenia na bezpieczeństwo informacji.

Ta książka stanowi wszechstronny i praktyczny przegląd dziedziny bezpieczeństwa informacji. Posłuży każdemu, kto jest zainteresowany tą dziedziną, chce zdobyć ogólną wiedzę na ten temat albo zastanawia się, od czego zacząć wdrażanie systemu bezpieczeństwa we własnej organizacji. Znalazły się tutaj jasne, przystępne i konkretne wyjaśnienia zasad bezpieczeństwa informacji oraz wskazówki dotyczące praktycznego stosowania tych zasad. Wyczerpująco omówiono kluczowe dla tej dziedziny koncepcje, a następnie opisano rzeczywiste zastosowania przedstawionych idei w obszarach bezpieczeństwa operacyjnego, ludzkiego, fizycznego, sieciowego, systemu operacyjnego, mobilnego, wbudowanego, internetu rzeczy (IoT) i bezpieczeństwa aplikacji. Ważnym elementem publikacji jest również zaprezentowanie praktycznych sposobów oceny bezpieczeństwa informacji.

Spis treści książki

• O autorze
• O korektorze merytorycznym
• Podziękowania
• Wprowadzenie

  Kto powinien przeczytać tę książkę?

  O książce

• 1. Czym jest bezpieczeństwo informacji?

  Definicja bezpieczeństwa informacji

  Kiedy jesteś bezpieczny?

  Modele dyskusji nad kwestiami bezpieczeństwa

  Triada poufności, integralności i dostępności

  Poufność

  Integralność

  Dostępność

  Jak triada CIA odnosi się do bezpieczeństwa?

  Heksada Parkera

  Poufność, integralność i dostępność

  Posiadanie lub sprawowanie kontroli

  Autentyczność

  Użyteczność

  Ataki

  Rodzaje ataków

  Przechwytywanie

  Przerywanie

  Modyfikacja

  Podrabianie

  Zagrożenia, podatności i ryzyko

  Zagrożenia

  Podatności

  Ryzyko

  Oddziaływanie

  Zarządzanie ryzykiem

  Identyfikacja zasobów

  Identyfikacja zagrożeń

  Ocena podatności

  Ocena ryzyka

  Redukowanie ryzyka

  Reagowanie na incydenty

  Przygotowanie

  Wykrywanie i analiza

  Ograniczanie, eliminowanie i odzyskiwanie

  Działania po incydencie

  Obrona wielopoziomowa

  Podsumowanie

  Ćwiczenia

• 2. Identyfikacja i uwierzytelnianie

  Identyfikacja

  Za kogo się podajemy

  Weryfikacja tożsamości

  Fałszowanie tożsamości

  Uwierzytelnianie

  Metody uwierzytelniania

  Uwierzytelnianie wieloskładnikowe

  Uwierzytelnianie wzajemne

  Popularne metody identyfikacji i uwierzytelniania

  Hasła

  Biometria

  Korzystanie z biometrii

  Charakterystyka czynników biometrycznych

  Pomiar wydajności

  Wady systemów biometrycznych

  Tokeny sprzętowe

  Podsumowanie

  Ćwiczenia

• 3. Autoryzacja i kontrola dostępu

  Czym są mechanizmy kontroli dostępu?

  Wdrażanie kontroli dostępu

  Listy kontroli dostępu

  Listy ACL w systemach plików

  Sieciowe listy ACL

  Słabe strony systemów opartych na listach ACL

  Tokeny dostępu

  Modele kontroli dostępu

  Uznaniowa kontrola dostępu

  Obowiązkowa kontrola dostępu

  Kontrola dostępu oparta na regułach

  Kontrola dostępu oparta na rolach

  Kontrola dostępu oparta na atrybutach

  Wielopoziomowa kontrola dostępu

  Model Bella-LaPaduli

  Model Biby

  Model Brewera-Nasha

  Fizyczna kontrola dostępu

  Podsumowanie

  Ćwiczenia

• 4. Audytowanie i rozliczalność

  Rozliczalność

  Korzyści dla bezpieczeństwa wynikające z rozliczalności

  Niezaprzeczalność

  Efekt odstraszania

  Wykrywanie włamań i zapobieganie im

  Dopuszczalność zapisów jako materiału dowodowego

  Audytowanie

  Co może podlegać audytowi?

  Rejestrowanie (logowanie) zdarzeń

  Monitorowanie

  Audyt z oceną podatności

  Podsumowanie

  Ćwiczenia

• 5. Kryptografia

  Historia kryptografii

  Szyfr Cezara

  Maszyny kryptograficzne

  Reguły Kerckhoffsa

  Nowoczesne narzędzia kryptograficzne

  Szyfry oparte na słowach kluczowych i jednorazowych bloczkach szyfrowych

  Szyfry oparte na słowach kluczowych

  Szyfry jednorazowe

  Kryptografia symetryczna i asymetryczna

  Kryptografia symetryczna

  Szyfry blokowe a szyfry strumieniowe

  Algorytmy szyfrowania z kluczem symetrycznym

  Kryptografia asymetryczna

  Algorytmy szyfrowania z kluczem asymetrycznym

  Funkcje haszujące

  Podpisy cyfrowe

  Certyfikaty

  Ochrona danych w spoczynku, w ruchu i w użyciu

  Ochrona danych w spoczynku

  Bezpieczeństwo danych

  Bezpieczeństwo fizyczne

  Ochrona danych w ruchu

  Ochrona przesyłanych danych

  Ochrona połączenia

  Ochrona danych w użyciu

  Podsumowanie

  Ćwiczenia

• 6. Zgodność, prawo i przepisy

  Czym jest zgodność z przepisami?

  Rodzaje zgodności z przepisami

  Konsekwencje braku zgodności z przepisami

  Osiąganie zgodności z przepisami dzięki mechanizmom kontrolnym

  Rodzaje mechanizmów kontrolnych

  Kluczowe i kompensacyjne mechanizmy kontrolne

  Utrzymywanie zgodności

  Bezpieczeństwo informacji i przepisy prawa

  Zgodność z przepisami dotyczącymi agencji rządowych

  Ustawa FISMA

  Program FedRAMP

  Zgodność z wymaganiami branżowymi

  Ustawa HIPAA

  Ustawa SOX

  Ustawa GLBA

  Ustawa o ochronie dzieci w internecie

  Ustawa o ochronie prywatności dzieci w Internecie

  Ustawa FERPA

  Przepisy prawne poza Stanami Zjednoczonymi

  Przyjęcie ram dla zgodności

  Międzynarodowa Organizacja Normalizacyjna

  Instytut NIST

  Niestandardowe ramy zarządzania ryzykiem

  Zgodność z przepisami w obliczu zmian technologicznych

  Zgodność w rozwiązaniach chmurowych

  Kto ponosi ryzyko?

  Prawa do audytu i oceny

  Wyzwania technologiczne

  Zgodność z blockchainem

  Zgodność a kryptowaluty

  Podsumowanie

  Ćwiczenia

• 7. Bezpieczeństwo operacyjne

  Proces bezpieczeństwa operacyjnego

  Identyfikacja informacji o krytycznym znaczeniu

  Analiza zagrożeń

  Analiza podatności

  Ocena ryzyka

  Zastosowanie środków zaradczych

  Podstawowe reguły bezpieczeństwa operacyjnego

  Reguła pierwsza: poznaj zagrożenia

  Reguła druga: wiedz, co należy chronić

  Reguła trzecia: chroń informacje

  Bezpieczeństwo operacyjne w życiu prywatnym

  Początki bezpieczeństwa operacyjnego

  Sun Tzu

  George Washington

  Wojna w Wietnamie

  Biznes

  Agencja IOSS

  Podsumowanie

  Ćwiczenia

• 8. Bezpieczeństwo czynnika ludzkiego

  Gromadzenie informacji przydatnych do przeprowadzania ataków socjotechnicznych

  HUMINT rozpoznanie osobowe

  OSINT biały wywiad

  Życiorysy i oferty pracy

  Media społecznościowe

  Rejestry publiczne

  Google Hacking

  Metadane plików

  Shodan

  Maltego

  Inne rodzaje źródeł informacji

  Rodzaje ataków socjotechnicznych

  Atak pretekstowy

  Phishing

  Tailgating

  Budowanie świadomości bezpieczeństwa użytkowników poprzez programy szkoleniowe

  Hasła

  Szkolenia z zakresu inżynierii społecznej

  Korzystanie z sieci

  Złośliwe oprogramowanie

  Prywatny sprzęt komputerowy

  Polityka czystego biurka

  Znajomość polityki bezpieczeństwa i uregulowań prawnych

  Podsumowanie

  Ćwiczenia

• 9. Bezpieczeństwo fizyczne

  Identyfikacja zagrożeń fizycznych

  Fizyczne środki bezpieczeństwa

  Odstraszające środki bezpieczeństwa

  Systemy wykrywania

  Zapobiegawcze środki bezpieczeństwa

  Zastosowanie fizycznej kontroli dostępu

  Ochrona ludzi

  Zagadnienia związane z ochroną ludzi

  Zapewnienie bezpieczeństwa

  Ewakuacja

  Gdzie

  Jak

  Kto

  Jak to wygląda w praktyce

  Kontrole administracyjne

  Ochrona danych

  Fizyczne zagrożenia dla danych

  Dostępność danych

  Szczątkowe pozostałości danych

  Ochrona wyposażenia

  Fizyczne zagrożenia dla sprzętu

  Wybór lokalizacji obiektu

  Zabezpieczenie dostępu

  Warunki środowiskowe

  Podsumowanie

  Ćwiczenia

• 10. Bezpieczeństwo sieciowe

  Ochrona sieci

  Projektowanie bezpiecznych sieci

  Zastosowanie zapór sieciowych

  Filtrowanie pakietów

  Pełnostanowa inspekcja pakietów

  Głęboka inspekcja pakietów

  Serwery proxy

  Strefy DMZ

  Wdrażanie sieciowych systemów wykrywania włamań

  Ochrona ruchu sieciowego

  Zastosowanie sieci VPN

  Ochrona danych w sieciach bezprzewodowych

  Używanie bezpiecznych protokołów komunikacyjnych

  Narzędzia do zabezpieczania sieci

  Narzędzia do ochrony sieci bezprzewodowych

  Skanery

  Sniffery

  System honeypot

  Narzędzia dla zapór sieciowych

  Podsumowanie

  Ćwiczenia

• 11. Bezpieczeństwo systemu operacyjnego

  Utwardzanie systemu operacyjnego

  Usuń całe niepotrzebne oprogramowanie

  Usuń wszystkie niepotrzebne usługi

  Zmiana domyślnych kont

  Stosuj zasadę najmniejszego uprzywilejowania

  Pamiętaj o aktualizacjach

  Włącz logowanie i audytowanie

  Ochrona przed złośliwym oprogramowaniem

  Narzędzia antywirusowe

  Ochrona przestrzeni wykonywalnej

  Programowe zapory sieciowe i systemy HID

  Narzędzia bezpieczeństwa dla systemu operacyjnego

  Skanery

  Narzędzia do wyszukiwania podatności i luk w zabezpieczeniach

  Frameworki exploitów

  Podsumowanie

  Ćwiczenia

• 12. Bezpieczeństwo urządzeń mobilnych, urządzeń wbudowanych oraz internetu rzeczy

  Bezpieczeństwo urządzeń mobilnych

  Ochrona urządzeń mobilnych

  Zarządzanie urządzeniami mobilnymi

  Modele wdrażania

  Kwestie bezpieczeństwa urządzeń przenośnych

  Mobilne systemy operacyjne

  Jailbreaking

  Złośliwe aplikacje

  Aktualizacje (lub ich brak)

  Bezpieczeństwo urządzeń wbudowanych

  Gdzie się używa urządzeń wbudowanych

  Przemysłowe systemy sterowania

  Urządzenia medyczne

  Samochody

  Problemy bezpieczeństwa urządzeń wbudowanych

  Aktualizowanie urządzeń wbudowanych

  Skutki fizyczne

  Bezpieczeństwo internetu rzeczy

  Czym są urządzenia internetu rzeczy?

  Drukarki

  Kamery monitoringu

  Urządzenia do zabezpieczeń fizycznych

  Problemy bezpieczeństwa urządzeń IoT

  Brak przejrzystości

  Wszystko jest urządzeniem IoT

  Przestarzałe urządzenia

  Podsumowanie

  Ćwiczenia

• 13. Bezpieczeństwo aplikacji

  Luki w zabezpieczeniach oprogramowania

  Przepełnienia bufora

  Warunki wyścigu

  Ataki na weryfikację danych wejściowych

  Ataki uwierzytelniające

  Ataki autoryzacyjne

  Ataki kryptograficzne

  Bezpieczeństwo sieci Web

  Ataki po stronie klienta

  Ataki po stronie serwera

  Brak weryfikacji danych wejściowych

  Nieprawidłowe lub nieodpowiednie uprawnienia

  Zbędne pliki

  Bezpieczeństwo baz danych

  Problemy z protokołami

  Dostęp do funkcjonalności bez uwierzytelnienia

  Arbitralne wykonanie kodu

  Eskalacja uprawnień

  Narzędzia do oceny bezpieczeństwa aplikacji

  Sniffery

  Narzędzia do analizy aplikacji internetowych

  OWASP Zed Attack Proxy

  Burp Suite

  Fuzzery

  Podsumowanie

  Ćwiczenia

• 14. Ocena bezpieczeństwa

  Ocena podatności

  Mapowanie i wykrywanie

  Mapowanie środowiska

  Odkrywanie nowych hostów

  Skanowanie

  Skanowanie bez uwierzytelnienia

  Skanowanie z uwierzytelnieniem

  Skanowanie z wykorzystaniem agenta

  Skanowanie aplikacji

  Wyzwania technologiczne związane z oceną podatności

  Technologie chmurowe

  Kontenery

  Testy penetracyjne

  Przeprowadzanie testów penetracyjnych

  Wyznaczanie zakresu

  Rekonesans

  Wykrywanie

  Penetracja

  Raportowanie

  Klasyfikacja testów penetracyjnych

  Testy typu black box, white box i grey box

  Testy wewnętrzne kontra testy zewnętrzne

  Cele testów penetracyjnych

  Testy penetracyjne sieci

  Testy penetracyjne aplikacji

  Fizyczne testy penetracyjne

  Testy socjotechniczne

  Testowanie sprzętu

  Programy bug bounty

  Wyzwania technologiczne związane z testami penetracyjnymi

  Usługi chmurowe

  Znalezienie wykwalifikowanych pentesterów

  Czy to oznacza, że naprawdę jesteś bezpieczny?

  Realistyczne testy

  Reguły postępowania

  Zakres testu

  Środowisko testowe

  Czy potrafisz wykryć własne ataki?

  Zespół niebieski i zespół purpurowy

  Oprzyrządowanie

  Alarmowanie

  Bezpieczeństwo dzisiaj nie oznacza bezpieczeństwa jutro

  Zmieniająca się powierzchnia ataku

  Napastnicy też się zmieniają

  Aktualizacje technologii pod Twoją kontrolą

  Usuwanie luk w zabezpieczeniach jest kosztowne

  Podsumowanie

  Ćwiczenia

• Przypisy

  Rozdział 1.

  Rozdział 2.

  Rozdział 3.

  Rozdział 4.

  Rozdział 5.

  Rozdział 6.

  Rozdział 7.

  Rozdział 8.

  Rozdział 9.

  Rozdział 10.

  Rozdział 11.

  Rozdział 12.

  Rozdział 13.

  Rozdział 14.