Кибербезопасность: стратегии атак и обороны
Покупка
Издательство:
ДМК Пресс
Перевод:
Беликов Д. А.
Год издания: 2020
Кол-во страниц: 326
Дополнительно
Вид издания:
Практическое пособие
Уровень образования:
ВО - Бакалавриат
ISBN: 978-5-97060-709-1
Артикул: 743412.02.99
Доступ онлайн
В корзину
Когда ландшафт угроз постоянно расширяется, возникает необходимость иметь надежную стратегию в области безопасности, т.е. усиление защиты, обнаружения и реагирования. На протяжении этой книги вы будете изучать методы атак и шаблоны, позволяющие распознавать аномальное поведение в вашей организации, используя тактические приемы Синей команды.
Вы также научитесь методам сбора данных об эксплуатации, выявления рисков и продемонстрируете влияние на стратегии Красной и Синей команд.
Некоторые демонстрации из книги могут быть проведены в лабораторной среде, поэтому рекомендуется создать виртуальную лабораторию, используя виртуальные машины Windows Server 2012, Windows 10 и Kali Linux.
Издание предназначено для специалистов по информационной безопасности и IT-специалистов, которые хотят узнать больше о кибербезопасности.
- Полная коллекция по информатике и вычислительной технике
- Защита информации. Компьютерная безопасность
- Интермедиатор. Информационная безопасность (сводная)
- Интермедиатор. Информационные системы и технологии (сводная)
- Интермедиатор. ИТ-технологии для профессионалов (сводная)
- Интермедиатор. Обеспечение безопасности (сводная)
- Информационная безопасность
Тематика:
ББК:
УДК:
ОКСО:
- ВО - Бакалавриат
- 09.03.01: Информатика и вычислительная техника
- 09.03.02: Информационные системы и технологии
- 09.03.03: Прикладная информатика
- 10.03.01: Информационная безопасность
- ВО - Специалитет
- 10.05.01: Компьютерная безопасность
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов.
Для полноценной работы с документом, пожалуйста, перейдите в
ридер.
Юрий Диогенес, Эрдаль Озкайя Кибербезопасность: стратегии атак и обороны
Yuri Diogenes, Erdal Ozkaya Cybersecurity – Attack and Defense Strategies Infrastructure security with Red Team and Blue Team tactics BIRMINGHAM – MUMBAI
Юрий Диогенес, Эрдаль Озкайя Кибербезопасность: стратегии атак и обороны Безопасность инфраструктуры с использованием тактик Красной и Синей команд Москва, 2020
УДК 004.56 ББК 32.973, 018.2 Д44 Диогенес Ю., Озкайя Э. Д44 Кибербезопасность: стратегии атак и обороны / пер. с анг. Д. А. Беликова. – М.: ДМК Пресс, 2020. – 326 с.: ил. ISBN 978-5-97060-709-1 Книга посвящена многим аспектам компьютерной безопасности - начиная от стратегии защиты до управления уязвимостями. В ней рассматриваются различные отраслевые стандарты и передовые методы реагирования, процессы взлома данных и политики безопасности, базовые средства контроля безопасности. Предполагается, что читатели этой книги знакомы с основными понятиями информационной безопасности и операционными системами Windows и Linux. Издание будет полезно специалистам по информационной безопасности и всем IT- специалистам, которые хотят узнать больше о кибербезопасности. УДК 004.56 ББК 32.973, 018.2 Authorized Russian translation of the English edition of Cybersecurity – Attack and Defense Strategies ISBN 9781788475297 © 2018 Packt Publishing. This translation is published and sold by permission of Packt Publishing, which owns or controls all rights to publish and sell the same. Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. ISBN 978-1-78847-529-7 (анг.) © 2018 Packt Publishing ISBN 978-5-97060-709-1 (рус.) © Оформление, издание, перевод, ДМК Пресс, 2020
Содержание Об авторах ..........................................................................................................11 О рецензентах ..............................................................................................12 Предисловие ......................................................................................................13 Глава 1. Стратегия безопасности ...............................................................17 Текущий ландшафт киберугроз ...........................................................................17 Учетные данные – аутентификация и авторизация ......................................20 Приложения ......................................................................................................21 Данные ..............................................................................................................23 Проблемы кибербезопасности ............................................................................24 Старые методы и более широкие результаты ................................................24 Изменение ландшафта угроз ...........................................................................25 Улучшение стратегии безопасности ...................................................................26 Красная и Синяя команды ...................................................................................27 Подразумеваем взлом ......................................................................................30 Справочные материалы .......................................................................................31 Резюме ...................................................................................................................33 Глава 2. Процесс реагирования на компьютерные инциденты ...........34 Процесс реагирования на компьютерные инциденты ......................................34 Причины иметь в своем распоряжении процесс реагирования на компьютерные инциденты .........................................................................35 Создание процесса реагирования на компьютерные инциденты ................37 Команда реагирования на компьютерные инциденты .....................................39 Жизненный цикл компьютерного инцидента ...............................................40 Обработка инцидента ..........................................................................................40 Передовые методы оптимизации обработки компьютерных инцидентов .......................................................................................................43 Деятельность после инцидента ...........................................................................44 Реальный сценарий ..........................................................................................44 Выводы ..............................................................................................................45 Реагирование на компьютерные инциденты в облаке ......................................46 Обновление процесса реагирования, чтобы включить облако .....................47 Справочные материалы .......................................................................................48 Резюме ...................................................................................................................48
Содержание Глава 3. Жизненный цикл атаки ................................................................50 Внешняя разведка.................................................................................................50 Сканирование ...................................................................................................51 Доступ и повышение привилегий .......................................................................61 Вертикальное повышение привилегий ..........................................................62 Горизонтальное повышение привилегий .......................................................63 Проникновение и утечки .....................................................................................63 Тыловое обеспечение ...........................................................................................64 Штурм ....................................................................................................................65 Обфускация ...........................................................................................................66 Управление жизненным циклом угроз ...............................................................67 Справочные материалы .......................................................................................70 Резюме ...................................................................................................................72 Глава 4. Разведка и сбор данных ..................................................................73 Внешняя разведка.................................................................................................73 Копание в мусоре ..............................................................................................73 Социальные сети ..............................................................................................74 Социальная инженерия ....................................................................................75 Внутренняя разведка ............................................................................................82 Анализ трафика и сканирование .....................................................................83 Вардрайвинг ......................................................................................................89 Завершая эту главу ...............................................................................................91 Справочные материалы .......................................................................................92 Резюме ...................................................................................................................93 Глава 5. Компрометация системы .............................................................94 Анализ современных тенденций.........................................................................94 Вымогательство ................................................................................................95 Манипулирование данными ............................................................................96 Атаки на IoT-устройства ...................................................................................97 Бэкдоры .............................................................................................................98 Атаки на мобильные устройства .....................................................................99 Взлом повседневных устройств .......................................................................99 Взлом облака ...................................................................................................100 Фишинг ................................................................................................................102 Эксплуатация уязвимостей ................................................................................104 Уязвимость нулевого дня ...................................................................................104 Фаззинг ............................................................................................................105 Анализ исходного кода...................................................................................105 Типы эксплойтов нулевого дня .....................................................................106 Перезапись структурированного обработчика исключений .......................107
Содержание 7 Выполнение шагов, направленных на компрометацию системы ..................107 Развертывание полезных нагрузок ...............................................................108 Компрометация операционных систем ........................................................111 Компрометация удаленной системы ............................................................114 Компрометация веб-приложений .................................................................116 Справочные материалы .....................................................................................118 Резюме .................................................................................................................120 Глава 6. Охота на пользовательские реквизиты ...................................121 Реквизиты доступа – новый периметр .............................................................121 Стратегии компрометации реквизитов доступа пользователя ......................124 Получение доступа к сети ..............................................................................125 Сбор учетных данных .....................................................................................126 Взлом реквизитов доступа пользователя .........................................................128 Полный перебор .............................................................................................128 Социальная инженерия ..................................................................................130 Атака Pass-the-hash ........................................................................................136 Другие способы взлома реквизитов доступа ................................................139 Справочные материалы .....................................................................................139 Резюме .................................................................................................................139 Глава 7. Дальнейшее распространение по сети ......................................141 Инфильтрация ....................................................................................................142 Построение карты сети ..................................................................................142 Избежать оповещений ...................................................................................143 Дальнейшее распространение ...........................................................................144 Сканирование портов ....................................................................................144 Sysinternals ......................................................................................................145 Общие файловые ресурсы..............................................................................147 Удаленный доступ к рабочему столу .............................................................148 PowerShell ........................................................................................................150 Инструментарий управления Windows .........................................................150 Запланированные задачи ..............................................................................151 Кража авторизационных токенов .................................................................153 Атака Pass-the-hash ........................................................................................153 Active Directory ................................................................................................154 Удаленный доступ к реестру ..........................................................................155 Анализ взломанных хостов ...........................................................................155 Консоли центрального администратора .......................................................156 Кража сообщений электронной почты .........................................................156 Справочные материалы .....................................................................................156 Резюме .................................................................................................................157
Содержание Глава 8. Повышение привилегий ................................................................158 Инфильтрация ....................................................................................................158 Горизонтальное повышение привилегий .....................................................159 Вертикальное повышение привилегий ........................................................159 Как избежать оповещений .................................................................................160 Выполнение повышения привилегий ...............................................................161 Эксплуатация неисправленных операционных систем ..............................162 Манипулирование маркерами доступа ........................................................163 Эксплуатация специальных возможностей ..................................................164 Application Shimming .....................................................................................165 Обход контроля над учетной записью пользователя ...................................169 Внедрение DLL-библиотек .............................................................................170 Перехват порядка поиска DLL .......................................................................172 Перехват поиска dylib .....................................................................................172 Исследование уязвимостей ............................................................................173 Запускаемые демоны .....................................................................................174 Практический пример повышения привилегий в Windows 8 .....................175 Выводы ................................................................................................................176 Справочные материалы .....................................................................................177 Резюме .................................................................................................................178 Глава 9. Политика безопасности .................................................................179 Проверка политики безопасности .....................................................................179 Обучение конечного пользователя ...................................................................181 Рекомендации по безопасности для пользователей социальных сетей ....182 Тренинг по безопасности ...............................................................................183 Использование политики ...................................................................................183 Белый список приложений ............................................................................185 Усиление защиты ............................................................................................187 Мониторинг на предмет соответствия..............................................................191 Справочные материалы .....................................................................................195 Резюме .................................................................................................................195 Глава 10. Сегментация сети ......................................................................197 Глубоко эшелонированная защита ....................................................................197 Инфраструктура и службы .............................................................................198 Документы в процессе передачи ...................................................................199 Конечные точки ..............................................................................................201 Сегментация физической сети ..........................................................................201 Открывая схему сети ......................................................................................203 Обеспечение удаленного доступа к сети ..........................................................206 VPN типа «сеть–сеть» .....................................................................................207 Сегментация виртуальной сети .........................................................................208
Содержание 9 Безопасность гибридной облачной сети ...........................................................210 Справочные материалы .....................................................................................212 Резюме .................................................................................................................213 Глава 11. Активные сенсоры ....................................................................214 Возможности обнаружения................................................................................214 Индикаторы компрометации ........................................................................216 Системы обнаружения вторжений ....................................................................218 Система предотвращения вторжений ...............................................................219 Обнаружение на основе правил ....................................................................220 Обнаружение на основе аномалий ................................................................221 Поведенческая аналитика внутри организации ..............................................221 Размещение устройств ...................................................................................226 Поведенческая аналитика в гибридном облаке ...............................................226 Центр безопасности Azure .............................................................................226 Справочные материалы .....................................................................................232 Резюме .................................................................................................................232 Глава 12. Киберразведка ..........................................................................233 Введение в киберразведку .................................................................................233 Инструментальные средства киберразведки с открытым исходным кодом ...................................................................................................................237 Средства киберразведки компании Microsoft ..................................................242 Центр безопасности Azure .............................................................................242 Использование киберразведки для расследования подозрительной деятельности .......................................................................................................245 Справочные материалы .....................................................................................248 Резюме .................................................................................................................248 Глава 13. Расследование инцидента ......................................................249 Масштаб проблемы ............................................................................................249 Ключевые артефакты .....................................................................................250 Исследование скомпрометированной системы внутри организации ...........255 Исследование скомпрометированной системы в гибридном облаке ............259 Ищите и обрящете ..........................................................................................266 Выводы ................................................................................................................267 Справочные материалы .....................................................................................268 Резюме .................................................................................................................268 Глава 14. Процесс восстановления .............................................................269 План послеаварийного восстановления ...........................................................269 Процесс планирования послеаварийного восстановления .........................270 Вызовы ............................................................................................................274
Содержание Восстановление без перерыва в обслуживании ...............................................274 Планирование на случай непредвиденных обстоятельств..............................276 Процесс планирования на случай непредвиденных обстоятельств в сфере IT.........................................................................................................277 Передовые методы восстановления ..................................................................282 Справочные материалы .....................................................................................283 Резюме .................................................................................................................283 Глава 15. Управление уязвимостями ..........................................................285 Создание стратегии управления уязвимостями ..............................................285 Инвентаризация ресурсов .............................................................................286 Управление информацией .............................................................................286 Оценка рисков ................................................................................................288 Оценка уязвимостей .......................................................................................290 Отчеты и отслеживание исправлений ..........................................................291 Планирование реагирования .........................................................................292 Инструменты управления уязвимостями .....................................................293 Реализация управления уязвимостями ............................................................300 Передовые методы управления уязвимостями ................................................302 Реализация управления уязвимостями с помощью Nessus ............................304 Flexera (Secunia) Personal Software Inspecto ......................................................310 Заключение .........................................................................................................312 Справочные материалы .....................................................................................313 Резюме .................................................................................................................314 Глава 16. Анализ журналов ...........................................................................315 Сопоставление данных .......................................................................................315 Журналы операционной системы .....................................................................316 Журналы Windows ..........................................................................................317 Журналы Linux ................................................................................................320 Журналы брандмауэра .......................................................................................320 Журналы веб-сервера .........................................................................................322 Справочные материалы .....................................................................................323 Резюме .................................................................................................................323 Предметный указатель .............................................................................324
Об авторах Юрий Диогенес – профессор Университета EC-Council. Получил степень ма- гистра по кибербезопасности в колледже UTICA и степень магистра делового администрирования в FGV, Бразилия. В настоящее время имеет сертификаты CISSP, CyberSec First Responder, CompTIA CSA+, E|CEH, E|CSA, E|CHFI, E|CND, Cy- berSec First Responder, CompTIA, Security+, CompTIA Cloud Essentials, Network+, Mobility+, CASP, CSA+, MCSE, MCTS и Microsoft Specialist – Azure. Прежде всего я хотел бы поблагодарить Бога за предоставленную мне воз- можность написать еще одну книгу. Я также хотел бы поблагодарить свою жену Александру и дочерей Янн и Айсис за их безоговорочную под- держку. Выражаю благодарность своему соавтору и другу Эрдалю Озкайе за прекрасное партнерство и Амрите Норонье за ее удивительную поддержку на протяжении всего этого проекта. Эрдаль Озкайя – доктор философии в области кибербезопасности, магистр безопасности информационных систем и компьютерных исследований. Имеет сертификаты CEI, MCT, MCSE, E|CEH, E|CSA, E|CISO, CFR и CISSP. Он работает в компании Microsoft архитектором по кибербезопасности и консультантом по вопросам ИБ, а по совместительству преподает в Университете Чарльза Стерта в Австралии. Является соавтором множества учебных материалов по сертификации безопасности для различных поставщиков и выступает на международных конференциях, имеет множество наград в своей области. Он много работает над тем, чтобы сделать кибермир безопасным. Я бы хотел поблагодарить свою жену Арзу и моих детей Джемре и Азру за их поддержку и любовь и выразить особую благодарность моим родителям и братьям, которые помогли мне стать тем, кто я есть. Я также хотел бы поблагодарить своего руководителя, доктора Рафикула Ислама, за его помощь всякий раз, когда она была мне нужна.
О рецензентах Виджай Кумар Велу – специалист по информационной безопасности, автор, докладчик и блогер. В настоящее время он живет в Малайзии. Имеет более чем 11-летний опыт работы в IT-индустрии. Является лицензированным специали- стом по тестированиям на проникновения и специализируется на предостав- лении технических решений различных киберпроблем. Автор книг Mastering Kali Linux for Advanced Penetration Testing (второе издание) и Mobile Application Penetration Testing. Паскаль Акерман – опытный профессионал в области промышленной безопас ности. Имеет степень по электротехнике и более чем 15-летний опыт в проектировании, поиске, устранении неисправностей и защите крупных промышленных систем управления и различных типов сетевых технологий. После более чем десятилетнего практического опыта работы в полевых усло- виях в 2015 г. он стал работать в компании Rockwell Automation. В настоящее время является старшим консультантом по промышленной кибербезопасно- сти в Network and Security Services Group, а недавно стал цифровым кочевни- ком и теперь путешествует по миру со своей семьей, сражаясь с киберпротив- никами.
Предисловие Когда ландшафт угроз постоянно расширяется, возникает необходимость иметь надежную стратегию в области безопасности, что в действительности означает усиление защиты, обнаружения и реагирования. На протяжении этой книги вы будете изучать методы атак и шаблоны, позволяющие распознавать аномальное поведение в вашей организации, с помощью тактических при- емов Синей команды. Вы также научитесь методам сбора данных об эксплуа- тации, выявления рисков и продемонстрируете влияние на стратегии Красной и Синей команд. Для кого эта книга Эта книга предназначена для специалистов по информационной безопасно- сти и IT-специалистов, которые хотят узнать больше о кибербезопасности. о чем иДет речь в этой книге Глава 1 «Стратегия безопасности» определяет, что представляет собой данная стратегия и насколько важно наличие хорошей стратегии защиты и атаки. Глава 2 «Процесс реагирования на компьютерные инциденты» знакомит с про- цессом реагирования на компьютерные инциденты и его значением. В ней рассматриваются различные отраслевые стандарты и передовые методы ре- агирования. Глава 3 «Жизненный цикл атаки» готовит читателя к пониманию того, как мыслит злоумышленник, знакомит с различными этапами атаки и тем, что обычно происходит на каждом из этих этапов. Глава 4 «Разведка и сбор данных» рассказывает о различных стратегиях про- ведения разведки и о том, как собирать данные для получения информации о цели, чтобы спланировать атаку. Глава 5 «Компрометация системы» демонстрирует текущие тенденции в стратегии по взлому системы и объясняет, как скомпрометировать ее. Глава 6 «Охота на пользовательские реквизиты» объясняет важность защиты реквизитов доступа пользователя во избежание кражи учетных данных, а так- же рассматривает процесс взлома данных реквизитов. В главе 7 «Дальнейшее распространение по сети» описывается, как злоумыш- ленники выполняют дальнейшее распространение по сети, после того как за- разили систему. Глава 8 «Повышение привилегий» показывает, как злоумышленники могут по- высить привилегии, чтобы получить доступ к сетевой системе с правами адми- нистратора.
Предисловие Глава 9 «Политика безопасности» фокусируется на различных аспектах началь- ной стратегии защиты, которая начинается с важности хорошо продуманной по- литики безопасности и охватывает передовые методы безопасности, стандарты, тренинги по безопасности и базовые средства контроля безопасности. В главе 10 «Сегментация сети» подробно рассматриваются различные аспек- ты защиты, включая физическую сегментацию сети, а также виртуальное и гиб ридное облака. Глава 11 «Активные сенсоры» подробно описывает различные типы сетевых сенсоров, которые помогают организациям обнаруживать атаки. В главе 12 «Киберразведка» рассказывается о различных аспектах киберраз- ведки, включая сообщество и основных поставщиков. В главе 13 «Расследование инцидента» рассматриваются два тематических ис- следования для локальной скомпрометированной системы и облачной ском- прометированной системы, а также показываются все этапы, связанные с рас- следованием безопасности. Глава 14 «Процесс восстановления» фокусируется на процессе восстановле- ния взломанной системы и объясняет, насколько важно знать, какие парамет- ры доступны, поскольку моментальное восстановление системы невозможно при определенных обстоятельствах. В главе 15 «Управление уязвимостями» описывается важность управления уязвимостями для нейтрализации процесса эксплуатации уязвимостей. В ней показываются текущая картина угроз и растущее число программ-вымогате- лей, эксплуатирующих известные уязвимости. В главе 16 «Анализ журналов» рассматриваются различные методы ручно- го анализа журналов, поскольку читателю важно получить знания о том, как подробно анализировать различные типы журналов для обнаружения подо- зрительных действий. чтобы получить максимальную отДачу от этой книги 1. Мы предполагаем, что читатели этой книги знакомы с основными понятия- ми информационной безопасности и операционными системами Windows и Linux. 2. Некоторые демонстрации из этой книги также могут быть проведены в ла- бораторной среде, поэтому мы рекомендуем вам создать виртуальную лабо- раторию, используя виртуальные машины Windows Server 2012, Windows 10 и Kali Linux. Скачать цветные изображения Мы также предоставляем PDF-файл с цветными изображениями скриншотов/ диаграмм, используемых в этой книге. Вы можете скачать его здесь: http:// www.packtpub.com/sites/default/files/downloads/CybersecurityAttackandDefenseS- trategies_ColorImages.pdf.
Список опечаток 15 Используемые условные обозначения В этой книге используется ряд текстовых обозначений. КодВТексте: указывает кодовые слова в тексте, имена таблиц базы данных, папок и файлов, расширения файлов, пути, фиктивные URL-адреса, ввод данных пользователем и имена пользователей в Twitter. Например: «Смонтируйте загруженный файл образа диска WebStorm-10 * .dmg в качестве еще одного диска в вашей системе». Жирный шрифт: обозначает новый термин, важное слово или слова, которые вы видите на экране. Например, слова в меню или диалоговых окнах выглядят в тексте следующим образом: «Выберите раздел Системная информация на панели Администрирование». Так будут оформляться советы и подсказки. Так будут оформляться предупреждения и важные примечания. отзывы и пожелания Мы всегда рады отзывам наших читателей. Расскажите нам, что вы думаете об этой книге – что понравилось или, может быть, не понравилось. Отзывы важны для нас, чтобы выпус кать книги, которые будут для вас максимально полезны. Вы можете написать отзыв на нашем сайте www.dmkpress.com, зайдя на страницу книги и оставив комментарий в разделе «Отзывы и рецензии». Также можно послать письмо главному редактору по адресу dmkpress@gmail.com; при этом укажите название книги в теме письма. Если вы являетесь экспертом в какой-либо области и заинтересованы в написании новой книги, заполните форму на нашем сайте по адресу http://dm- kpress.com/authors/publish_book/ или напишите в издательство по адресу dmk- press@gmail.com. скачивание исхоДного коДа примеров Скачать файлы с дополнительной информацией для книг издательства «ДМК Пресс» можно на сайте www.dmkpress.com или www.дмк.рф на странице с описанием соответствующей книги. список опечаток Хотя мы приняли все возможные меры для того, чтобы обеспечить высокое качество наших текстов, ошибки все равно случаются. Если вы найдете ошибку в одной из наших книг – возможно, ошибку в основном тексте или программном коде, – мы будем очень благодарны, если вы сообщите нам о ней. Сделав это, вы избавите других читателей от недопонимания и поможете нам улучшить последующие издания этой книги.
Предисловие Если вы найдете какие-либо ошибки в коде, пожалуйста, сообщите о них главному редактору по адресу dmkpress@gmail.com, и мы исправим это в следующих тиражах. нарушение авторских прав Пиратство в интернете по-прежнему остается насущной проблемой. Издатель- ства «ДМК Пресс» и Packt очень серь езно относятся к вопросам защиты автор- ских прав и лицензирования. Если вы столкнетесь в интернете с незаконной публикацией какой-либо из наших книг, пожалуйста, пришлите нам ссылку на интернет-ресурс, чтобы мы могли применить санкции. Ссылку на подозрительные материалы можно прислать по адресу электрон- ной поч ты dmkpress@gmail.com. Мы высоко ценим любую помощь по защите наших авторов, благодаря кото- рой мы можем предоставлять вам качественные материалы.
Доступ онлайн
В корзину