Ein entschlossener Angreifer kann in jedes Netzwerk eindringen; Dieses Buch ist ein praktischer Leitfaden, um sie schnell zu erkennen, wenn sie ankommen, und sie auszutreiben, bevor ernsthafter Schaden entsteht.
Eine Firewall schützt Ihr Unternehmensnetzwerk nicht mehr: Sie müssen sich mit Benutzern auseinandersetzen, die Dokumente herausnehmen müssen, und mit Angreifern, die versuchen, einzudringen. Der beste Sicherheitsratschlag besteht darin, davon auszugehen, dass in Ihr Netzwerk eingedrungen werden kann – und möglicherweise bereits eingedrungen wurde – und sicherzustellen, dass Sie wissen, wie Sie Angriffe erkennen und darauf reagieren. Dieses Buch ist eine Schritt-für-Schritt-Anleitung, um genau das zu tun.
Das Problem – und die Idee, Aktivitäten in Ihrem Netzwerk zu überwachen, zu protokollieren und zu analysieren, um Eindringlinge zu erkennen – ist nichts Neues und das Vorwort dazu Die Praxis der Netzwerksicherheitsüberwachung: Erkennung und Reaktion auf Vorfälle verstehen enthält eine ausführliche Geschichte früher Netzwerk-Intrusion-Detection-Systeme, einschließlich der frühen Arbeit des Autors Richard Bejtlich für die US Air Force (Bejtlich arbeitet jetzt bei
Mandiant, an wen Sie sich vielleicht erinnern Bericht über Netzwerkeinbrüche chinesischer Hacker).Diese Erfahrung überzeugte Bejtlich davon, dass Prävention letztendlich scheitert. Das bedeutet jedoch nicht, dass Sie sich geschlagen geben müssen: Wenn Sie nicht alle Angreifer am Eindringen hindern können, dann konzentrieren Sie sich darauf, sie zu frustrieren, indem Sie die Zeit, die Ihre Abwehrkräfte gewinnen, nutzen, um sie zu erkennen und aus Ihrer Verteidigung zu vertreiben Netzwerk. In einer Fallstudie beschreibt Bejtlich, wie ein Angreifer schließlich die gesamte Zahlungsdatenbank stahl vom Finanzministerium von South Carolina verbrachte vier Wochen damit, das Netzwerk zu erkunden, bevor er etwas kopierte Dateien. Hätte die Überwachung den Hacker in diesem Monat entdeckt, wären keine Identitätsinformationen verloren gegangen.
Für den allgemeinen Leser sind die Erklärungen, wie sich die Überwachung der Netzwerksicherheit von der Suche unterscheidet Schwachstellen in Ihrem System und Ihrer Software zu beseitigen oder vertrauliche Informationen zu filtern und zu blockieren, ist von Vorteil Einführung. Die Diskussion über die Auswirkungen von Datenschutzgesetzen auf die Überwachung Ihres Unternehmensnetzwerks ist ebenfalls sehr nützlich. Der jüngste Fall eines Unternehmens, das einen ehemaligen Mitarbeiter, der noch immer einen Firmen-Laptop benutzte, bei der Polizei anzeigte, um nach Informationen zu suchen Schnellkochtöpfe, Bomben und Rucksäckeist ein hervorragendes Beispiel dafür, was Ihre Unternehmenspolicen abdecken müssen.
Werkzeuge und Techniken
Danach geht das Buch jedoch direkt auf die technischen Details ein, beginnend mit der Protokollierung von Daten, der Überprüfung von Netzwerkpaketen und der Betrachtung des Netzwerkverkehrs Wireshark, Rekonstruktion des protokollierten Surfens im Internet Xplico und Betrachten von Sitzungs- und Transaktionsdaten. Wenn Sie sich jemals gefragt haben, warum die NSA Metadaten und nicht nur Dateien und E-Mails sammelt, erhalten Sie hier eine gute Vorstellung davon, wie viel Sie aus Metadaten lernen können.
Dieses Buch ist besonders nützlich, wenn Sie die empfohlenen Tools zur Überwachung Ihres Netzwerks verwenden möchten, der Ansatz gilt jedoch auch für andere Tools. Und die Grundsätze, die Bejtlich für die Durchführung Ihrer Sicherheitsüberwachung umreißt, sind die Art von Best Practice, die Sie auf jeden wichtigen Server anwenden sollten.
Da es bei Sicherheit mehr um Prozesse als um Technologie geht und jedes Netzwerk anders ist, zeigt Ihnen Bejtlich, wie Sie Ihr Netzwerk analysieren, um das herauszufinden Wo Sie Ihre Überwachung durchführen, entweder mit Port-Analyse und -Spiegelung oder einem Hardware-Netzwerk-Tap, und wie Sie den Server angeben, der dies tun soll Überwachung. Sein Vorschlag für Überwachungstools beginnt mit Sicherheitszwiebel, einer Suite zur Überwachung der Netzwerksicherheit, die auf Ubuntu basiert, aber er deckt eine Reihe von Tools ab, die damit zur weiteren Analyse von Informationen arbeiten. Für Windows-Administratoren empfiehlt er, sich an Linux zu gewöhnen. Vollständige Abdeckung von Tools wie denen von Microsoft Netzwerkmonitor würde den Rahmen des Buches sprengen, aber es wäre nützlich gewesen, eine Diskussion darüber aufzunehmen, welche vergleichbaren Tools es gibt sind auf anderen Plattformen verfügbar (Wireshark ist genauso nützlich, wenn Sie die Netzwerküberwachung unter Windows ausführen, z Beispiel). In der Schlussfolgerung werden zwei Optionen zur Überwachung der Cloud-Netzwerksicherheit erwähnt: ThreatStack Und PacketLoop, wenn auch nur kurz.
Viele Bücher erklären, wie Sie Ihr Netzwerk einrichten (die Ratschläge hier konzentrieren sich auf die Gestaltung Ihres Sicherheitsprozesses), aber nur wenige konzentrieren sich darauf, was zu tun ist, wenn Eindringlinge eintreffen. Hier führt Sie der Autor durch, was Ihre Überwachungstools Ihnen anzeigen, wenn Sie angegriffen werden – über das Netzwerk oder über Anwendungen wie E-Mail und Webbrowser. In einem Beispiel wird ein Tweet mit einem Weblink gesendet, der Java installiert und eine Java-Schwachstelle ausnutzt, um einen Keylogger zu installieren, Passwörter zu erfassen und ein zweites System zu infizieren.
Dieses Buch ist besonders nützlich, wenn Sie die empfohlenen Tools zur Überwachung Ihres Netzwerks verwenden möchten, der Ansatz gilt jedoch auch für andere Tools. Und die Grundsätze, die Bejtlich für die Durchführung Ihrer Sicherheitsüberwachung umreißt, sind die Best Practices, die Sie auf jeden wichtigen Server anwenden sollten: Beschränken Sie den Administratorzugriff, geben Sie ihn niemals weiter Root-Konto, verwenden Sie die Authentifizierung, verwalten Sie das Überwachungskonto nicht mit denselben Tools, die Sie zum Verwalten von Benutzerkonten verwenden, verwenden Sie die vollständige Festplattenverschlüsselung und halten Sie Ihre Überwachungstools auf dem neuesten Stand Datum. Gehen Sie nicht davon aus, dass Sie Ihr Netzwerk schützen können, aber finden Sie heraus, wie Sie es verteidigen können.
Die Praxis der Netzwerksicherheitsüberwachung: Erkennung und Reaktion auf Vorfälle verstehen
Von Richard Bejtlich
Keine Stärkepresse
376 Seiten
ISBN: 978-1-59327-509-9
£34.49 / $49.95