Кибербезопасность: стратегии атак и обороны
Когда ландшафт угроз постоянно расширяется, возникает необходимость иметь надежную стратегию в области безопасности, т.е. усиление защиты, обнаружения и реагирования. На протяжении этой книги вы будете изучать методы атак и шаблоны, позволяющие распознавать аномальное поведение в вашей организации, используя тактические приемы Синей команды.
Вы также научитесь методам сбора данных об эксплуатации, выявления рисков и продемонстрируете влияние на стратегии Красной и Синей команд.
Некоторые демонстрации из книги могут быть проведены в лабораторной среде, поэтому рекомендуется создать виртуальную лабораторию, используя виртуальные машины Windows Server 2012, Windows 10 и Kali Linux.
Издание предназначено для специалистов по информационной безопасности и IT-специалистов, которые хотят узнать больше о кибербезопасности.
Предисловие
Когда ландшафт угроз постоянно расширяется, возникает необходимость
иметь надежную стратегию в области безопасности, что в действительности
означает усиление защиты, обнаружения и реагирования. На протяжении этой
книги вы будете изучать методы атак и шаблоны, позволяющие распознавать
аномальное поведение в вашей организации, с помощью тактических при-
емов Синей команды. Вы также научитесь методам сбора данных об эксплуа-
тации, выявления рисков и продемонстрируете влияние на стратегии Красной
и Синей команд.
Для кого эта книга
Эта книга предназначена для специалистов по информационной безопасно-
сти и IT-специалистов, которые хотят узнать больше о кибербезопасности.
о чем иДет речь в этой книге
Глава 1 «Стратегия безопасности» определяет, что представляет собой данная
стратегия и насколько важно наличие хорошей стратегии защиты и атаки.
Глава 2 «Процесс реагирования на компьютерные инциденты» знакомит с про-
цессом реагирования на компьютерные инциденты и его значением. В ней
рассматриваются различные отраслевые стандарты и передовые методы ре-
агирования.
Глава 3 «Жизненный цикл атаки» готовит читателя к пониманию того, как
мыслит злоумышленник, знакомит с различными этапами атаки и тем, что
обычно происходит на каждом из этих этапов.
Глава 4 «Разведка и сбор данных» рассказывает о различных стратегиях про-
ведения разведки и о том, как собирать данные для получения информации
о цели, чтобы спланировать атаку.
Глава 5 «Компрометация системы» демонстрирует текущие тенденции
в стратегии по взлому системы и объясняет, как скомпрометировать ее.
Глава 6 «Охота на пользовательские реквизиты» объясняет важность защиты
реквизитов доступа пользователя во избежание кражи учетных данных, а так-
же рассматривает процесс взлома данных реквизитов.
В главе 7 «Дальнейшее распространение по сети» описывается, как злоумыш-
ленники выполняют дальнейшее распространение по сети, после того как за-
разили систему.
Глава 8 «Повышение привилегий» показывает, как злоумышленники могут по-
высить привилегии, чтобы получить доступ к сетевой системе с правами адми-
нистратора.
14 Предисловие
Глава 9 «Политика безопасности» фокусируется на различных аспектах началь-
ной стратегии защиты, которая начинается с важности хорошо продуманной по-
литики безопасности и охватывает передовые методы безопасности, стандарты,
тренинги по безопасности и базовые средства контроля безопасности.
В главе 10 «Сегментация сети» подробно рассматриваются различные аспек-
ты защиты, включая физическую сегментацию сети, а также виртуальное
и гиб ридное облака.
Глава 11 «Активные сенсоры» подробно описывает различные типы сетевых
сенсоров, которые помогают организациям обнаруживать атаки.
В главе 12 «Киберразведка» рассказывается о различных аспектах киберраз-
ведки, включая сообщество и основных поставщиков.
В главе 13 «Расследование инцидента» рассматриваются два тематических ис-
следования для локальной скомпрометированной системы и облачной ском-
прометированной системы, а также показываются все этапы, связанные с рас-
следованием безопасности.
Глава 14 «Процесс восстановления» фокусируется на процессе восстановле-
ния взломанной системы и объясняет, насколько важно знать, какие парамет-
ры доступны, поскольку моментальное восстановление системы невозможно
при определенных обстоятельствах.
В главе 15 «Управление уязвимостями» описывается важность управления
уязвимостями для нейтрализации процесса эксплуатации уязвимостей. В ней
показываются текущая картина угроз и растущее число программ-вымогате-
лей, эксплуатирующих известные уязвимости.
В главе 16 «Анализ журналов» рассматриваются различные методы ручно-
го анализа журналов, поскольку читателю важно получить знания о том, как
подробно анализировать различные типы журналов для обнаружения подо-
зрительных действий.
чтобы получить максимальную отДачу от этой книги
1. Мы предполагаем, что читатели этой книги знакомы с основными понятия-
ми информационной безопасности и операционными системами Windows
и Linux.
2. Некоторые демонстрации из этой книги также могут быть проведены в ла-
бораторной среде, поэтому мы рекомендуем вам создать виртуальную лабо-
раторию, используя виртуальные машины Windows Server 2012, Windows 10
и Kali Linux.
Скачать цветные изображения
Мы также предоставляем PDF-файл с цветными изображениями скриншотов/
диаграмм, используемых в этой книге. Вы можете скачать его здесь: http://
www.packtpub.com/sites/default/files/downloads/CybersecurityAttackandDefenseS-
trategies_ColorImages.pdf.
Список опечаток 15
Используемые условные обозначения
В этой книге используется ряд текстовых обозначений.
КодВТексте: указывает кодовые слова в тексте, имена таблиц базы данных, па-
пок и файлов, расширения файлов, пути, фиктивные URL-адреса, ввод данных
пользователем и имена пользователей в Twitter. Например: «Смонтируйте за-
груженный файл образа диска WebStorm-10 * .dmg в качестве еще одного диска
в вашей системе».
Жирный шрифт: обозначает новый термин, важное слово или слова, ко-
торые вы видите на экране. Например, слова в меню или диалоговых окнах
выглядят в тексте следующим образом: «Выберите раздел Системная инфор-
мация на панели Администрирование».
Так будут оформляться советы и подсказки.
Так будут оформляться предупреждения и важные примечания.
отзывы и пожелания
Мы всегда рады отзывам наших читателей. Расскажите нам, что вы думаете об
этой книге – что понравилось или, может быть, не понравилось. Отзывы важны
для нас, чтобы выпус кать книги, которые будут для вас максимально полезны.
Вы можете написать отзыв на нашем сайте www.dmkpress.com, зайдя на
страницу книги и оставив комментарий в разделе «Отзывы и рецензии». Так-
же можно послать письмо главному редактору по адресу [email protected];
при этом укажите название книги в теме письма.
Если вы являетесь экспертом в какой-либо области и заинтересованы в на-
писании новой книги, заполните форму на нашем сайте по адресу http://dm-
kpress.com/authors/publish_book/ или напишите в издательство по адресу dmk-
скачивание исхоДного коДа примеров
Скачать файлы с дополнительной информацией для книг издательства «ДМК
Пресс» можно на сайте www.dmkpress.com или www.дмк.рф на странице с опи-
санием соответствующей книги.
список опечаток
Хотя мы приняли все возможные меры для того, чтобы обеспечить высокое
качество наших текстов, ошибки все равно случаются. Если вы найдете ошибку
в одной из наших книг – возможно, ошибку в основном тексте или программ-
ном коде, – мы будем очень благодарны, если вы сообщите нам о ней. Сделав
это, вы избавите других читателей от недопонимания и поможете нам улуч-
шить последующие издания этой книги.
16 Предисловие
Если вы найдете какие-либо ошибки в коде, пожалуйста, сообщите о них
главному редактору по адресу [email protected], и мы исправим это в сле-
дующих тиражах.
нарушение авторских прав
Пиратство в интернете по-прежнему остается насущной проблемой. Издатель-
ства «ДМК Пресс» и Packt очень серь езно относятся к вопросам защиты автор-
ских прав и лицензирования. Если вы столкнетесь в интернете с незаконной
публикацией какой-либо из наших книг, пожалуйста, пришлите нам ссылку на
интернет-ресурс, чтобы мы могли применить санкции.
Ссылку на подозрительные материалы можно прислать по адресу электрон-
ной поч ты [email protected].
Мы высоко ценим любую помощь по защите наших авторов, благодаря кото-
рой мы можем предоставлять вам качественные материалы.
Глава 1
Стратегия безопасности
За прошедшие годы инвестиции в сферу обеспечения безопасности перешли
из разряда «nice to have» в разряд «must have», и теперь организации по всему
миру понимают, насколько важно постоянно инвестировать в безопасность.
Эти инвестиции обеспечат конкурентоспособность компании на рынке. Не-
способность надлежащим образом защитить свои ресурсы может привести
к невосполнимому ущербу, а в некоторых случаях – к банкротству. Из-за ны-
нешнего ландшафта киберугроз недостаточно инвестировать только в защиту.
Компании должны улучшать общую стратегию безопасности, а это означает,
что инвестиции в защиту, обнаружение и реагирование должны быть согласо-
ваны.
В этой главе мы рассмотрим следующие темы:
� текущий ландшафт киберугроз;
� проблемы в пространстве кибербезопасности;
� как улучшить свою стратегию безопасности;
� роли Синей и Красной команд в вашей компании.
текущий ланДшафт киберугроз
С преобладанием постоянных подключений и достижений в технологиях, ко-
торые доступны на сегодняшний день, киберугрозы быстро развиваются, что-
бы эксплуатировать различные аспекты этих технологий. Любое устройство
уязвимо для атаки, а с появлением концепции «интернета вещей» (IoT) это
стало реальностью. В октябре 2016 г. на DNS-серверы была проведена серия
DDos-атак, в результате чего перестали работать некоторые основные веб-сер-
ви сы, такие как GitHub, Paypal, Spotify, Twitter и др. (1).
Это стало возможным из-за большого количества небезопасных IoT-устройств
по всему миру. В то время как использование IoT для запуска масштабной
кибератаки является чем-то новым, наличие уязвимости в этих устройствах
таковым не является. На самом деле они были там довольно давно. В 2014 г.
компания «ESET» сообщила о 73 000 незащищенных камерах безопасности
с паролями по умолчанию (2). В апреле 2017 г. компания «IOActive» обнаружила
18 Стратегия безопасности
7000 уязвимых маршрутизаторов Linksys, хотя, по ее словам, число дополни-
тельных маршрутизаторов могло доходить до 100 000 (3).
Главный исполнительный директор (CEO) может даже спросить: какое
отношение уязвимости в домашнем устройстве имеют к нашей компании?
Именно в этот момент главный специалист по информационной безопас-
ности (CISO) должен быть готов дать ответ. Ведь у него должно быть лучшее
понимание ландшафта киберугроз и того, как домашние устройства пользова-
телей могут влиять на общую безопасность. Ответ приходит в виде двух прос-
тых сценариев, таких как удаленный доступ и Bring your Own Device (BYOD).
Хотя удаленный доступ не является чем-то новым, число удаленных работ-
ников растет в геометрической прогрессии. По данным Gallup (4), 43 % занятых
американцев уже работают удаленно, а это означает, что они используют свою
собственную инфраструктуру для доступа к ресурсам компаний. Усугубляет эту
проблему рост числа компаний, разрешающих концепцию BYOD на рабочем
мес те. Имейте в виду, что существуют способы безопасного внедрения BYOD, но
большинство сбоев в сценарии BYOD обычно происходит из-за плохого планиро-
вания и сетевой архитектуры, которые приводят к небезопасной реализации (5).
Что общего между всеми вышеупомянутыми технологиями? Чтобы управ-
лять ими, нужен пользователь, и он по-прежнему является главной целью для
атаки. Люди – самое слабое звено в цепи безопасности. По этой причине старые
угрозы, такие как фишинговые электронные письма, продолжают расти в объ-
еме, поскольку они затрагивают психологические аспекты пользователя, побуж-
дая его кликнуть что-либо, например вложение файла или вредоносную ссылку.
Обычно, когда пользователь выполняет одно из этих действий, его устройство
заражается вредоносным ПО или к нему удаленно получает доступ хакер.
Таргетированная фишинговая кампания (spear phish) может начаться
с электронного письма, которое, по сути, станет отправной точкой для зло-
умышленника, после чего будут использованы другие угрозы для эксплуата-
ции уязвимостей в системе.
Конец ознакомительного фрагмента...
GERMES — Бизнес-библиотека в Telegram @germeslib
Все материалы размещенные на канале, получены из открытых источников сети Интернет. Все права на тексты книг принадлежат их авторам и владельцам.