- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
282 Процесс восстановления |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
IT-оборудования и хранит их в безопасности. После аварии запасное оборудо- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
вание можно использовать для замены на главном сайте или установить его на альтернативных сайтах для восстановления IT-услуг.Наконец,организация может решить использовать любое существующее совместимое оборудование в качестве замены поврежденного. Этот вариант включает в себя заимствова- ние оборудования из альтернативных сайтов.
Тестирование плана, обучение и тренировка После разработки плана действий в чрезвычайных ситуациях его необходимо протестировать, чтобы выявить недостатки, которые могут возникнуть. Также необходимо провести тестиро- вание, чтобы оценить готовность сотрудников выполнять план в случае ава- рии. При тестировании таких планов следует сосредоточиться на скорости восстановления из резервных копий и на альтернативных резервных узлах, совместной работе персонала по восстановлению, производительности вос- становленных систем на альтернативных узлах и простоте восстановления нормальной работы.Тестирование должно проводиться в худшем случае с по- мощью учебных или функциональных упражнений.
Учебные упражнения являются наименее затратными,поскольку сотрудни- ки в основном проходят восстановительные работы на занятиях, прежде чем выполнять практические упражнения.
Функциональные упражнения, с другой стороны, более сложны и требуют имитации аварии, а персонал должен быть обучен на практике тому, как реа- гировать.
Теоретическое обучение используется, чтобы дополнить практическое обучение и закрепитьто,что сотрудники узнали во время упражнений.Обуче ние должно проводиться как минимум ежегодно.
Обслуживание
План действий в чрезвычайных ситуациях необходимо поддерживать в над- лежащем состоянии,чтобы он мог реагировать на текущие риски,требования, структуру организации и политики.Поэтому его следуетпостоянно обновлять, чтобы отразить изменения, внесенные организацией, или изменения в ланд- шафте угроз. План необходимо регулярно пересматривать и обновлять, а об- новления следует документировать. Обзор нужно проводить ежегодно, и все отмеченные изменения должны быть осуществлены в течение короткого пе- риода времени. Это делается для предотвращения катастрофы, к которой ор- ганизация еще не готова.
Передовые методы восстановления
С помощью вышеупомянутых процессов,которые являются частью плана ава- рийного восстановления, можно достичь лучших результатов, если следовать определеннымпередовымметодам.Однимизнихявляетсяналичиевнешнего хранилища для архивных резервных копий.Облако–это готовое решение для безопасного хранения вне офиса.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Резюме 283to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Еще один способ – вести учет любых изменений, внесенных в IT-инфра |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
структуру, чтобы упростить процесс проверки соответствия плана действий в чрезвычайных ситуациях для новых систем. Также полезно проводить упреждающий мониторинг IT-систем, чтобы достаточно рано определить, что происходит авария, и запустить процесс восстановления. Организации также должны внедрять отказоустойчивые системы, которые могут выдержи- вать определенную степень подверженности авариям.Реализация технологии
RAID (redundant array of independent disks –избыточный массив независимых дис-
ков) для серверов – один из способов достижения избыточности. Также необ- ходимо проверить целостность резервных копий, чтобы убедиться, что в них нет ошибок. Организации было бы неприятно осознать, что после аварии ее резервные копии содержат ошибки и бесполезны. Наконец, следует регулярно проверять процесс восстановления системы из резервных копий. Весь IT-пер сонал должен быть полностью в курсе этого.
Справочные материалы
1.Bradbury С. DISASTER! Creating and testing an effective Recovery Plan // Ma nager. 2008. С. 14–16. https://search.proquest.com/docview/224614625?account id=45049.
2.Krousliss В. Disaster recovery planning // Catalog Age. 2007. № 10 (12). С. 98. https://search.proquest.com/docview/200632307?accountid=45049.
3.Drill S. Assume the Worst In IT Disaster Recovery Plan // National Underwriter. P & C. 2005. № 109 (8). С. 14–15. https://search.proquest.com/docview/2285934 44?accountid=45049.
4.Newton М. LINUX TIPS // PC World. 2005. С. 150. https://search.proquest.com/do cview/231369196?accountid=45049.
5.Mitome Y., and Speer K. D. Embracing disaster with contingency planning // Risk Management. 2008. № 48 (5). С. 18–20. https://search.proquest.com/docview/22 7019730?accountid=45049.
6.Dow J. Planning for Backup and Recovery // Computer Technology Review. 2004. № 24 (3). С. 20–21. https://search.proquest.com/docview/220621943?account id=45049.
7.Jordan Е. IT contingency planning: management roles // Information Manage- ment & Computer Security. 1999. № 7 (5). С. 232–238. https://search.proquest. com/docview/212366086?accountid=45049.
Резюме
В этой главе мы обсудили способы подготовки организаций к обеспечению не- прерывности бизнеса на случай аварий. Мы поговорили о процессе планиро- вания послеаварийного восстановления и выдвинули на первый план то, что должнобытьсделано,чтобыидентифицироватьриски,которымподвергаются организации, расставить приоритеты для критических ресурсов, которые бу-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
284 Процесс восстановления |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
дут восстановлены, и определить наиболее подходящие стратегии восстанов- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
ления.В этой главе мытакже обсудили моментальное восстановление систем, пока они остаются в сети.Мы уделили много внимания планированию на слу- чай непредвиденных обстоятельств и обсудили весь процесс планирования на этот случай, затронув вопрос о том, как необходимо разрабатывать, тестиро- вать и поддерживать надежный план. Наконец, вздесь мы привели передовые методы, которые можно использовать в процессе восстановления для дости- жения оптимальных результатов.
В этой главе мы завершаем обсуждение стратегий атак, используемых ки- берпреступниками,и мер по управлению уязвимостями и аварийному восста- новлению, которые могут использовать цели.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава 15 |
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Управление уязвимостями
В предыдущих главах вы узнали о процессе восстановления и отом,как важно иметь хорошую стратегию восстановления и соответствующие инструменты. Часто эксплуатация уязвимости может привести к сценарию послеаварийно- го восстановления. Следовательно, крайне важно иметь систему, которая мо- жет предотвратить эксплуатирование уязвимости в первую очередь. Но как это сделать, если вы не знаете, уязвима ли ваша система? Ответ заключается в том, чтобы у вас был процесс управления уязвимостями, который можно ис- пользоватьдля их выявления и нейтрализации.Эта глава посвящена механиз- мам,которые организации и отдельныелицадолжны внедрить,чтобы их было труднее скомпрометировать.Вряд ли система может быть безопасной и защи- щеннойна100%.Темнеменееестьмеры,которыеможноиспользовать,чтобы помешать хакерам завершить свою миссию.
В этой главе будут рассмотрены следующие темы:создание стратегии управления уязвимостями;инструменты управления уязвимостями;реализация управления уязвимостями;
передовые методы управления уязвимостями.
Создание стратегии управления уязвимостями
Оптимальный подход к созданию эффективной стратегии управления уяз- вимостями – сделать ее жизненным циклом управления уязвимостями. Как
ижизненный цикл атаки, жизненный цикл управления уязвимостями упоря- доченно планирует все процессы по их нейтрализации. Это позволяет целям
ижертвам инцидентов, связанных с кибербезопасностью, нейтрализовать ущерб,которыйони понесли илимогутпонести.Правильноепротиводействие выполняется в нужное время, чтобы найти и устранить уязвимости, прежде чем злоумышленники смогут этим воспользоваться.
Стратегия управления уязвимостями состоит из шести отдельных этапов. В этом разделе будет обсуждаться каждый из них,как ито,отчего они должны защищать. Мы также обсудим проблемы, которые, как ожидается, будут ре-
шаться на каждом из этих этапов.