Podstawy bezpieczeństwa informacji. Praktyczne wprowadzenie - Helion
Tytuł oryginału: Foundations of Information Security: A Straightforward Introduction
TÅ‚umaczenie: Grzegorz Kowalczyk
ISBN: 978-83-283-8351-7
stron: 226, Format: ebook
Księgarnia: Helion
Cena książki: 59,00 zł
Książka będzie dostępna od września 2021
BezpieczeÅ„stwo informacji już od dawna nie jest domenÄ… wyÅ‚Ä…cznie inżynierów. ZajmujÄ… siÄ™ nim menedżerowie, stratedzy, ekonomiÅ›ci czy politycy, jednak każda z tych grup najczęściej bierze pod uwagÄ™ tylko część tego zagadnienia. Istnieje też mnóstwo technologii sÅ‚użących organizacjom do zabezpieczania zasobów informacyjnych. Jakby tego byÅ‚o maÅ‚o, zastosowanie wÅ‚aÅ›ciwych strategii obronnych i wybór optymalnych narzÄ™dzi wymaga ugruntowania znajomoÅ›ci podstaw zagadnienia, a także nieco szerszego spojrzenia na bezpieczeÅ„stwo informacji.
Ta książka stanowi wszechstronny i praktyczny przeglÄ…d dziedziny bezpieczeÅ„stwa informacji. PosÅ‚uży każdemu, kto jest zainteresowany tÄ… dziedzinÄ…, chce zdobyć ogólnÄ… wiedzÄ™ na ten temat albo zastanawia siÄ™, od czego zacząć wdrażanie systemu bezpieczeÅ„stwa we wÅ‚asnej organizacji. ZnalazÅ‚y siÄ™ tutaj jasne, przystÄ™pne i konkretne wyjaÅ›nienia zasad bezpieczeÅ„stwa informacji oraz wskazówki dotyczÄ…ce praktycznego stosowania tych zasad. WyczerpujÄ…co omówiono kluczowe dla tej dziedziny koncepcje, a nastÄ™pnie opisano rzeczywiste zastosowania przedstawionych idei w obszarach bezpieczeÅ„stwa operacyjnego, ludzkiego, fizycznego, sieciowego, systemu operacyjnego, mobilnego, wbudowanego, internetu rzeczy (IoT) i bezpieczeÅ„stwa aplikacji. Ważnym elementem publikacji jest również zaprezentowanie praktycznych sposobów oceny bezpieczeÅ„stwa informacji.
W książce:
- utwardzanie procesu uwierzytelniania za pomocÄ… biometrii i tokenów sprzÄ™towych
- algorytmy nowoczesnej kryptografii
- prawo a ochrona systemów i danych
- narzędzia antywirusowe, zapory sieciowe i systemy wykrywania włamań
- podatności i ich eliminacja
Bezpieczeństwo informacji: rozpoznaj zagrożenie i użyj właściwego narzędzia!
Zobacz także:
- Securing Network Infrastructure 199,33 zł, (29,90 zł -85%)
- Implementing Azure: Putting Modern DevOps to Use 175,88 zł, (29,90 zł -83%)
- Industrial Internet Application Development 157,37 zł, (29,90 zł -81%)
- Web Penetration Testing with Kali Linux - Third Edition 157,37 zł, (29,90 zł -81%)
- Nmap: Network Exploration and Security Auditing Cookbook - Second Edition 157,37 zł, (29,90 zł -81%)
Spis treści
Podstawy bezpieczeństwa informacji. Praktyczne wprowadzenie eBook -- spis treści
- O autorze
- O korektorze merytorycznym
- Podziękowania
- Wprowadzenie
- Kto powinien przeczytać tę książkę?
- O książce
- 1. Czym jest bezpieczeństwo informacji?
- Definicja bezpieczeństwa informacji
- Kiedy jesteÅ› bezpieczny?
- Modele dyskusji nad kwestiami bezpieczeństwa
- Triada poufności, integralności i dostępności
- Poufność
- Integralność
- Dostępność
- Jak triada CIA odnosi się do bezpieczeństwa?
- Heksada Parkera
- Poufność, integralność i dostępność
- Posiadanie lub sprawowanie kontroli
- Autentyczność
- Użyteczność
- Triada poufności, integralności i dostępności
- Ataki
- Rodzaje ataków
- Przechwytywanie
- Przerywanie
- Modyfikacja
- Podrabianie
- Zagrożenia, podatności i ryzyko
- Zagrożenia
- Podatności
- Ryzyko
- Oddziaływanie
- ZarzÄ…dzanie ryzykiem
- Identyfikacja zasobów
- Identyfikacja zagrożeń
- Ocena podatności
- Ocena ryzyka
- Redukowanie ryzyka
- Reagowanie na incydenty
- Przygotowanie
- Wykrywanie i analiza
- Ograniczanie, eliminowanie i odzyskiwanie
- Działania po incydencie
- Rodzaje ataków
- Obrona wielopoziomowa
- Podsumowanie
- Ćwiczenia
- 2. Identyfikacja i uwierzytelnianie
- Identyfikacja
- Za kogo siÄ™ podajemy
- Weryfikacja tożsamości
- Fałszowanie tożsamości
- Uwierzytelnianie
- Metody uwierzytelniania
- Uwierzytelnianie wieloskładnikowe
- Uwierzytelnianie wzajemne
- Popularne metody identyfikacji i uwierzytelniania
- Hasła
- Biometria
- Korzystanie z biometrii
- Charakterystyka czynników biometrycznych
- Pomiar wydajności
- Wady systemów biometrycznych
- Tokeny sprzętowe
- Podsumowanie
- Ćwiczenia
- Identyfikacja
- 3. Autoryzacja i kontrola dostępu
- Czym są mechanizmy kontroli dostępu?
- Wdrażanie kontroli dostępu
- Listy kontroli dostępu
- Listy ACL w systemach plików
- Sieciowe listy ACL
- Słabe strony systemów opartych na listach ACL
- Tokeny dostępu
- Listy kontroli dostępu
- Modele kontroli dostępu
- Uznaniowa kontrola dostępu
- Obowiązkowa kontrola dostępu
- Kontrola dostępu oparta na regułach
- Kontrola dostępu oparta na rolach
- Kontrola dostępu oparta na atrybutach
- Wielopoziomowa kontrola dostępu
- Model Bella-LaPaduli
- Model Biby
- Model Brewera-Nasha
- Fizyczna kontrola dostępu
- Podsumowanie
- Ćwiczenia
- 4. Audytowanie i rozliczalność
- Rozliczalność
- Korzyści dla bezpieczeństwa wynikające z rozliczalności
- Niezaprzeczalność
- Efekt odstraszania
- Wykrywanie włamań i zapobieganie im
- Dopuszczalność zapisów jako materiału dowodowego
- Audytowanie
- Co może podlegać audytowi?
- Rejestrowanie (logowanie) zdarzeń
- Monitorowanie
- Audyt z oceną podatności
- Podsumowanie
- Ćwiczenia
- 5. Kryptografia
- Historia kryptografii
- Szyfr Cezara
- Maszyny kryptograficzne
- Reguły Kerckhoffsa
- Nowoczesne narzędzia kryptograficzne
- Szyfry oparte na słowach kluczowych i jednorazowych bloczkach szyfrowych
- Szyfry oparte na słowach kluczowych
- Szyfry jednorazowe
- Kryptografia symetryczna i asymetryczna
- Kryptografia symetryczna
- Szyfry blokowe a szyfry strumieniowe
- Algorytmy szyfrowania z kluczem symetrycznym
- Kryptografia asymetryczna
- Algorytmy szyfrowania z kluczem asymetrycznym
- Funkcje haszujÄ…ce
- Podpisy cyfrowe
- Certyfikaty
- Szyfry oparte na słowach kluczowych i jednorazowych bloczkach szyfrowych
- Ochrona danych w spoczynku, w ruchu i w użyciu
- Ochrona danych w spoczynku
- Bezpieczeństwo danych
- Bezpieczeństwo fizyczne
- Ochrona danych w ruchu
- Ochrona przesyłanych danych
- Ochrona połączenia
- Ochrona danych w użyciu
- Ochrona danych w spoczynku
- Podsumowanie
- Ćwiczenia
- Historia kryptografii
- 6. Zgodność, prawo i przepisy
- Czym jest zgodność z przepisami?
- Rodzaje zgodności z przepisami
- Konsekwencje braku zgodności z przepisami
- Osiąganie zgodności z przepisami dzięki mechanizmom kontrolnym
- Rodzaje mechanizmów kontrolnych
- Kluczowe i kompensacyjne mechanizmy kontrolne
- Utrzymywanie zgodności
- Bezpieczeństwo informacji i przepisy prawa
- Zgodność z przepisami dotyczącymi agencji rządowych
- Ustawa FISMA
- Program FedRAMP
- Zgodność z wymaganiami branżowymi
- Ustawa HIPAA
- Ustawa SOX
- Ustawa GLBA
- Ustawa o ochronie dzieci w internecie
- Ustawa o ochronie prywatności dzieci w Internecie
- Ustawa FERPA
- Przepisy prawne poza Stanami Zjednoczonymi
- Zgodność z przepisami dotyczącymi agencji rządowych
- Przyjęcie ram dla zgodności
- Międzynarodowa Organizacja Normalizacyjna
- Instytut NIST
- Niestandardowe ramy zarzÄ…dzania ryzykiem
- Zgodność z przepisami w obliczu zmian technologicznych
- Zgodność w rozwiązaniach chmurowych
- Kto ponosi ryzyko?
- Prawa do audytu i oceny
- Wyzwania technologiczne
- Zgodność z blockchainem
- Zgodność a kryptowaluty
- Zgodność w rozwiązaniach chmurowych
- Podsumowanie
- Ćwiczenia
- Czym jest zgodność z przepisami?
- 7. Bezpieczeństwo operacyjne
- Proces bezpieczeństwa operacyjnego
- Identyfikacja informacji o krytycznym znaczeniu
- Analiza zagrożeń
- Analiza podatności
- Ocena ryzyka
- Zastosowanie środków zaradczych
- Podstawowe reguły bezpieczeństwa operacyjnego
- Reguła pierwsza: poznaj zagrożenia
- Reguła druga: wiedz, co należy chronić
- Reguła trzecia: chroń informacje
- Bezpieczeństwo operacyjne w życiu prywatnym
- Początki bezpieczeństwa operacyjnego
- Sun Tzu
- George Washington
- Wojna w Wietnamie
- Biznes
- Agencja IOSS
- Podsumowanie
- Ćwiczenia
- Proces bezpieczeństwa operacyjnego
- 8. Bezpieczeństwo czynnika ludzkiego
- Gromadzenie informacji przydatnych do przeprowadzania ataków socjotechnicznych
- HUMINT rozpoznanie osobowe
- OSINT biały wywiad
- Życiorysy i oferty pracy
- Media społecznościowe
- Rejestry publiczne
- Google Hacking
- Metadane plików
- Shodan
- Maltego
- Inne rodzaje źródeł informacji
- Rodzaje ataków socjotechnicznych
- Atak pretekstowy
- Phishing
- Tailgating
- Budowanie świadomości bezpieczeństwa użytkowników poprzez programy szkoleniowe
- Hasła
- Szkolenia z zakresu inżynierii społecznej
- Korzystanie z sieci
- Złośliwe oprogramowanie
- Prywatny sprzęt komputerowy
- Polityka czystego biurka
- Znajomość polityki bezpieczeństwa i uregulowań prawnych
- Podsumowanie
- Ćwiczenia
- Gromadzenie informacji przydatnych do przeprowadzania ataków socjotechnicznych
- 9. Bezpieczeństwo fizyczne
- Identyfikacja zagrożeń fizycznych
- Fizyczne środki bezpieczeństwa
- Odstraszające środki bezpieczeństwa
- Systemy wykrywania
- Zapobiegawcze środki bezpieczeństwa
- Zastosowanie fizycznej kontroli dostępu
- Ochrona ludzi
- Zagadnienia zwiÄ…zane z ochronÄ… ludzi
- Zapewnienie bezpieczeństwa
- Ewakuacja
- Gdzie
- Jak
- Kto
- Jak to wyglÄ…da w praktyce
- Kontrole administracyjne
- Ochrona danych
- Fizyczne zagrożenia dla danych
- Dostępność danych
- Szczątkowe pozostałości danych
- Ochrona wyposażenia
- Fizyczne zagrożenia dla sprzętu
- Wybór lokalizacji obiektu
- Zabezpieczenie dostępu
- Warunki środowiskowe
- Podsumowanie
- Ćwiczenia
- 10. Bezpieczeństwo sieciowe
- Ochrona sieci
- Projektowanie bezpiecznych sieci
- Zastosowanie zapór sieciowych
- Filtrowanie pakietów
- Pełnostanowa inspekcja pakietów
- Głęboka inspekcja pakietów
- Serwery proxy
- Strefy DMZ
- Wdrażanie sieciowych systemów wykrywania włamań
- Ochrona ruchu sieciowego
- Zastosowanie sieci VPN
- Ochrona danych w sieciach bezprzewodowych
- Używanie bezpiecznych protokołów komunikacyjnych
- Narzędzia do zabezpieczania sieci
- Narzędzia do ochrony sieci bezprzewodowych
- Skanery
- Sniffery
- System honeypot
- Narzędzia dla zapór sieciowych
- Podsumowanie
- Ćwiczenia
- Ochrona sieci
- 11. Bezpieczeństwo systemu operacyjnego
- Utwardzanie systemu operacyjnego
- Usuń całe niepotrzebne oprogramowanie
- Usuń wszystkie niepotrzebne usługi
- Zmiana domyślnych kont
- Stosuj zasadÄ™ najmniejszego uprzywilejowania
- Pamiętaj o aktualizacjach
- WÅ‚Ä…cz logowanie i audytowanie
- Ochrona przed złośliwym oprogramowaniem
- Narzędzia antywirusowe
- Ochrona przestrzeni wykonywalnej
- Programowe zapory sieciowe i systemy HID
- Narzędzia bezpieczeństwa dla systemu operacyjnego
- Skanery
- Narzędzia do wyszukiwania podatności i luk w zabezpieczeniach
- Frameworki exploitów
- Podsumowanie
- Ćwiczenia
- Utwardzanie systemu operacyjnego
- 12. Bezpieczeństwo urządzeń mobilnych, urządzeń wbudowanych oraz internetu rzeczy
- Bezpieczeństwo urządzeń mobilnych
- Ochrona urządzeń mobilnych
- ZarzÄ…dzanie urzÄ…dzeniami mobilnymi
- Modele wdrażania
- Kwestie bezpieczeństwa urządzeń przenośnych
- Mobilne systemy operacyjne
- Jailbreaking
- Złośliwe aplikacje
- Aktualizacje (lub ich brak)
- Ochrona urządzeń mobilnych
- Bezpieczeństwo urządzeń wbudowanych
- Gdzie się używa urządzeń wbudowanych
- Przemysłowe systemy sterowania
- UrzÄ…dzenia medyczne
- Samochody
- Problemy bezpieczeństwa urządzeń wbudowanych
- Aktualizowanie urządzeń wbudowanych
- Skutki fizyczne
- Gdzie się używa urządzeń wbudowanych
- Bezpieczeństwo internetu rzeczy
- Czym sÄ… urzÄ…dzenia internetu rzeczy?
- Drukarki
- Kamery monitoringu
- Urządzenia do zabezpieczeń fizycznych
- Problemy bezpieczeństwa urządzeń IoT
- Brak przejrzystości
- Wszystko jest urzÄ…dzeniem IoT
- Przestarzałe urządzenia
- Czym sÄ… urzÄ…dzenia internetu rzeczy?
- Podsumowanie
- Ćwiczenia
- Bezpieczeństwo urządzeń mobilnych
- 13. Bezpieczeństwo aplikacji
- Luki w zabezpieczeniach oprogramowania
- Przepełnienia bufora
- Warunki wyścigu
- Ataki na weryfikację danych wejściowych
- Ataki uwierzytelniajÄ…ce
- Ataki autoryzacyjne
- Ataki kryptograficzne
- Bezpieczeństwo sieci Web
- Ataki po stronie klienta
- Ataki po stronie serwera
- Brak weryfikacji danych wejściowych
- Nieprawidłowe lub nieodpowiednie uprawnienia
- Zbędne pliki
- Bezpieczeństwo baz danych
- Problemy z protokołami
- Dostęp do funkcjonalności bez uwierzytelnienia
- Arbitralne wykonanie kodu
- Eskalacja uprawnień
- Narzędzia do oceny bezpieczeństwa aplikacji
- Sniffery
- Narzędzia do analizy aplikacji internetowych
- OWASP Zed Attack Proxy
- Burp Suite
- Fuzzery
- Podsumowanie
- Ćwiczenia
- Luki w zabezpieczeniach oprogramowania
- 14. Ocena bezpieczeństwa
- Ocena podatności
- Mapowanie i wykrywanie
- Mapowanie środowiska
- Odkrywanie nowych hostów
- Skanowanie
- Skanowanie bez uwierzytelnienia
- Skanowanie z uwierzytelnieniem
- Skanowanie z wykorzystaniem agenta
- Skanowanie aplikacji
- Wyzwania technologiczne związane z oceną podatności
- Technologie chmurowe
- Kontenery
- Mapowanie i wykrywanie
- Testy penetracyjne
- Przeprowadzanie testów penetracyjnych
- Wyznaczanie zakresu
- Rekonesans
- Wykrywanie
- Penetracja
- Raportowanie
- Klasyfikacja testów penetracyjnych
- Testy typu black box, white box i grey box
- Testy wewnętrzne kontra testy zewnętrzne
- Cele testów penetracyjnych
- Testy penetracyjne sieci
- Testy penetracyjne aplikacji
- Fizyczne testy penetracyjne
- Testy socjotechniczne
- Testowanie sprzętu
- Programy bug bounty
- Wyzwania technologiczne zwiÄ…zane z testami penetracyjnymi
- Usługi chmurowe
- Znalezienie wykwalifikowanych pentesterów
- Przeprowadzanie testów penetracyjnych
- Czy to oznacza, że naprawdę jesteś bezpieczny?
- Realistyczne testy
- Reguły postępowania
- Zakres testu
- Åšrodowisko testowe
- Czy potrafisz wykryć własne ataki?
- Zespół niebieski i zespół purpurowy
- OprzyrzÄ…dowanie
- Alarmowanie
- Bezpieczeństwo dzisiaj nie oznacza bezpieczeństwa jutro
- ZmieniajÄ…ca siÄ™ powierzchnia ataku
- Napastnicy też się zmieniają
- Aktualizacje technologii pod TwojÄ… kontrolÄ…
- Usuwanie luk w zabezpieczeniach jest kosztowne
- Realistyczne testy
- Podsumowanie
- Ćwiczenia
- Ocena podatności
- Przypisy
- Rozdział 1.
- Rozdział 2.
- Rozdział 3.
- Rozdział 4.
- Rozdział 5.
- Rozdział 6.
- Rozdział 7.
- Rozdział 8.
- Rozdział 9.
- Rozdział 10.
- Rozdział 11.
- Rozdział 12.
- Rozdział 13.
- Rozdział 14.