Krajobraz zagrożeń i cykl cyberataku Krajobraz cyberzagrożeń Rodzaje aktorów zagrożeń i ich motywacje Zaawansowane trwałe zagrożenia Cyberprzestępcy Haktywiści Konkurenci Wewnętrzne zagrożenia Grupy terrorystyczne Domorośli hakerzy Kształtowanie krajobrazu cyberzagrożeń Cykl cyberataku Zdobycie początkowego przyczółku Uzyskiwanie dostępu do sieci Ustanawianie przyczółku Rozpoznawanie sieci Utrzymanie dostępu i widoczności Odkrywanie kluczowych zasobów Rozprzestrzenianie się w sieci Skuteczne strategie obrony przed zaawansowanymi cyberatakami Eksfiltracja danych i skutki Eksfiltracja danych Procedury reagowania na incydenty i zbieranie dowodów kryminalistycznych z endpointów Fazy efektywnego reagowania na incydenty w infrastrukturze systemu Windows Role, zasoby i problemy w reagowaniu na incydenty Przygotowanie i planowanie — opracowanie skutecznego planu reagowania na incydenty Wykrywanie i weryfikowanie — rozpoznawanie, ocena i potwierdzanie incydentów cyberbezpieczeństwa skierowanych przeciwko systemom Windows Wykrywanie incydentu Weryfikowanie incydentu Klasyfikowanie incydentu Analizowanie i powstrzymywanie — badanie i blokowanie rozprzestrzeniania się cyberataków Analizowanie incydentu Powstrzymywanie incydentu Eliminowanie i odzyskiwanie — usuwanie śladów włamania i powrót do normalnego funkcjonowania Eliminowanie incydentu Odzyskiwanie Pozyskiwanie dowodów z endpointów Wprowadzenie do zbierania dowodów z endpointów Zbieranie danych z endpointów Pozyskiwanie danych trwałych Pozyskiwanie danych z pamięci Przechwytywanie danych o ruchu sieciowym Skalowalność gromadzenia dowodów cyfrowych Analiza incydentów i polowanie na zagrożenia w systemach Windows Uzyskiwanie dostępu do sieci Użycie aplikacji dostępnych publicznie Wykorzystanie zewnętrznych usług zdalnych Spear phishing Atak typu drive-by Inne metody uzyskiwania początkowego dostępu Ustanawianie przyczółku Metody analizy powłamaniowej Utrzymywanie stałego dostępu do systemów Windows Dzienniki zdarzeń Rejestr systemu Windows Metadane systemu plików Kanały komunikacji C2 Rozpoznawanie sieci i kluczowych zasobów Techniki rozpoznawania środowiska Windows Operatorzy ransomware’u Klasyczne grupy motywowane finansowo Szpiegostwo korporacyjne Wykrywanie fazy rozpoznawania Korzystanie z wyspecjalizowanych programów Korzystanie z narzędzi systemowych Dostęp do określonych lokalizacji i plików Doraźna eksfiltracja danych Rozprzestrzenianie się w sieci Ruch boczny w środowisku Windows Wykrywanie ruchu bocznego Usługi zdalne Narzędzia do wdrażania oprogramowania Przenoszenie narzędzi między systemami Wewnętrzny spear phishing Cykliczność etapów pośrednich Gromadzenie i eksfiltracja danych Rodzaje danych będących celem ataków Metody zbierania danych Techniki eksfiltracji danych Wykrywanie gromadzenia i eksfiltracji danych Rodzaje skutków Ocena skutków Skutki bezpośrednie Ograniczanie skutków Technologia Ludzie Procesy Polowanie na zagrożenia oraz analiza taktyk, technik i procedur Polowanie na zagrożenia Analiza zagrożeń cybernetycznych Polowanie na zagrożenia w systemach Windows Częstotliwość polowania na zagrożenia Przygotowanie polowania Planowanie polowania Wykrywanie anomalii — identyfikowanie włamań w środowiskach Windows Zdobywanie wprawy w polowaniu na zagrożenia — role i umiejętności Zarządzanie dochodzeniem w sprawie incydentów i sporządzanie raportów Powstrzymywanie, eliminowanie i odzyskiwanie Warunki wstępne i proces powstrzymywania incydentu Warunki wstępne powstrzymywania incydentu Planowanie powstrzymywania incydentów Proces powstrzymywania incydentu Warunki wstępne i proces eliminowania incydentu Warunki wstępne i proces odzyskiwania sprawności po incydencie Przygotowywanie działań naprawczych po incydencie Zamykanie dochodzenia i sporządzanie raportu z incydentu Zamknięcie incydentu Analiza luk Dokumentacja incydentu Podsumowujący raport techniczny dla kadry kierowniczej Formularze pozyskiwania dowodów Formularze łańcucha dowodowego Zewnętrzne kanały zgłaszania incydentów cyberbezpieczeństwa