Warum wir dieses Buch geschrieben haben

In den letzten Jahren wurde die Reaktion auf Vorfälle nicht mehr als eigenständige Aktivität betrachtet, sondern als integraler Bestandteil eines umfassenden Netzwerksicherheitsprogramms. Gleichzeitig werden Cyber-Bedrohungsdaten immer beliebter, und immer mehr Unternehmen und Incident-Responder versuchen zu verstehen, wie sie Bedrohungsdaten am besten in ihre Arbeit integrieren können. Es ist nicht einfach - wir beidehaben diese Wachstumsschmerzen durchgemacht, als wir lernten, wie man traditionelle Intelligence-Prinzipien in die Incident-Response-Praktiken einbezieht und umgekehrt - aber wir wissen, dass es die Mühe wert ist. Wir haben dieses Buch geschrieben, um die beiden Welten - Bedrohungsaufklärung und Gefahrenabwehr - zusammenzubringen, um zu zeigen, wie sie zusammen stärker und effektiver sind, und um die Zeit zu verkürzen, die Praktiker brauchen, um sie in ihre Arbeit einzubinden.

Für wen dieses Buch ist

Dieses Buch richtet sich an alle, die an der Reaktion auf Vorfälle beteiligt sind, egal ob sie als Vorfallmanager, Malware-Analyst oder Reverse Engineer, als Spezialist für digitale Forensik oder als Geheimdienstanalyst tätig sind. Es richtet sich auch an alle, die mehr über Incident Response erfahren möchten. Viele Menschen, die sich für Cyber-Bedrohungen interessieren, wollen etwas über Angreifer erfahren - was sie motiviert und wie sie vorgehen - und das kann man am besten durch Incident Response lernen. Aber erst wenn wir die Reaktion auf Vorfälle mit einer nachrichtendienstlichen Denkweise angehen, können wir den Wert der Informationen, die uns zur Verfügung stehen, wirklich verstehen. Du musst weder ein Experte für Incident Response noch für Intelligence sein, um aus diesem Buch viel Nutzen zu ziehen. Wir gehen die Grundlagen beider Disziplinen durch, um zu zeigen, wie sie zusammenarbeiten, und geben praktische Ratschläge und Szenarien, um den Prozess zu veranschaulichen.

Wie dieses Buch organisiert ist

Dieses Buch ist wie folgt gegliedert:

• Teil I, "Die Grundlagen", umfasst die Kapitel 1, 2 und 3 und bietet eine Einführung in das Konzept der Intelligence-Driven Incident Response (IDIR) und einen Überblick über die Disziplinen Intelligence und Incident-Response. Wir stellen das Konzept des F3EAD vor, das wichtigste Modell für IDIR, das im weiteren Verlauf des Buches verwendet wird.
• Teil II, "Praktische Anwendung", enthält die Kapitel 4, 5 und 6, in denen der auf die Reaktion auf einen Vorfall ausgerichtete Teil von F3EAD - Finden, Beheben und Beenden - behandelt wird, sowie die Kapitel 7, 8 und 9, in denen die nachrichtendienstlich ausgerichteten Schritte des F3EAD-Prozesses behandelt werden: Ausnutzen, Analysieren und Verbreiten.
• Teil III, "Der Weg nach vorn", enthält Kapitel 10, einen Überblick über die strategische Intelligenz und ihre Anwendung auf Incident-Response- und Netzwerksicherheitsprogramme, sowie Kapitel 11, in dem formalisierte Intelligence-Programme und die erfolgreiche Einrichtung eines Intelligence-gesteuerten Incident-Response-Programms erörtert werden.
• Ein Index hilft dir, wichtige Themen oder Konzepte im ganzen Buch zu finden.

In der Regel haben Menschen, die sich für die Integration von Bedrohungsdaten in die Reaktion auf Vorfälle interessieren, einen stärkeren Hintergrund in einer der beiden Disziplinen als in der anderen, daher kann es verlockend sein, die Abschnitte zu überfliegen, mit denen du bereits vertraut bist, und dich nur auf die Teile zu konzentrieren, die für dich neu sind. Das ist zwar völlig in Ordnung, aber vielleicht stellst du fest, dass wir ein neues Modell oder neue Ansätze zur besseren Integration der beiden Disziplinen besprochen haben, also überspring nicht zu viel, auch wenn du denkst, dass du es schon weißt!

In diesem Buch verwendete Konventionen

In diesem Buch werden die folgenden typografischen Konventionen verwendet:

Kursiv

Weist auf neue Begriffe, URLs, E-Mail-Adressen, Dateinamen und Dateierweiterungen hin.

Constant width

Wird für Programmlistings sowie innerhalb von Absätzen verwendet, um auf Programmelemente wie Variablen- oder Funktionsnamen, Datenbanken, Datentypen, Umgebungsvariablen, Anweisungen und Schlüsselwörter hinzuweisen.

Constant width bold

Zeigt Befehle oder anderen Text an, der vom Benutzer wortwörtlich eingetippt werden sollte.

Constant width italic

Zeigt Text an, der durch vom Benutzer eingegebene Werte oder durch kontextabhängige Werte ersetzt werden soll.

O'Reilly Online Learning

Unser einzigartiges Netzwerk von Experten und Innovatoren teilt sein Wissen und seine Erfahrung durch Bücher, Artikel und unsere Online-Lernplattform. Die Online-Lernplattform von O'Reilly bietet dir On-Demand-Zugang zu Live-Trainingskursen, ausführlichen Lernpfaden, interaktiven Programmierumgebungen und einer umfangreichen Text- und Videosammlung von O'Reilly und über 200 anderen Verlagen. Weitere Informationen erhältst du unter https://oreilly.com.

Wie du uns kontaktierst

Bitte richte Kommentare und Fragen zu diesem Buch an den Verlag:

• O'Reilly Media, Inc.
• 1005 Gravenstein Highway Nord
• Sebastopol, CA 95472
• 800-889-8969 (in den Vereinigten Staaten oder Kanada)
• 707-829-7019 (international oder lokal)
• 707-829-0104 (Fax)
• support@oreilly.com
• https://www.oreilly.com/about/contact.html

Wir haben eine Webseite für dieses Buch, auf der wir Errata, Beispiele und zusätzliche Informationen auflisten. Du kannst diese Seite unter https://oreil.ly/intelligence-driven-incident-response-2e aufrufen .

Neuigkeiten und Informationen über unsere Bücher und Kurse findest du unter https://oreilly.com.

Du findest uns auf LinkedIn: https://linkedin.com/company/oreilly-media.

Folge uns auf Twitter: https://twitter.com/oreillymedia.

Sieh uns auf YouTube: https://youtube.com/oreillymedia.

Danksagungen

Rebekah möchte sich bei den folgenden Personen bedanken:

Zuallererst danke ich meinem brillanten und unerschütterlichen Partner Gordon dafür, dass er mich immer unterstützt hat, selbst als ich sechs Monate lang auf Kaffee verzichten musste, was für alle hart war. Deine Liebe und Ermutigung ermöglichen es mir, die Träume in meinem Kopf in die Realität umzusetzen.

Danke an meine wunderbaren Kinder, die sich zu tollen Menschen entwickeln und mich jeden Tag dazu inspirieren, die Welt (digital und real) besser zu machen.

Meine Eltern und der Rest des Ramey-Clans, danke, dass ihr mein ganzes Leben buchstäblich zu einem großen Abenteuer gemacht habt. Und danke für den "Big Fam"-Gruppenchat, der uns alle in Verbindung hielt, als wir unsere Häuser nicht verlassen konnten.

All die großartigen Menschen, mit denen ich im Laufe der Jahre zusammengearbeitet habe - ihr wisst alle, dass ich fest an die Macht von Teams glaube, und ich fühle mich bescheiden und geehrt, mit so vielen brillanten Köpfen zusammengearbeitet zu haben, die mich zu einem besseren Menschen und Analysten gemacht haben.

An meine ShameCon-Crew - unsere Versionen der Herkunftsgeschichte mögen uneinheitlich sein, aber ich liebe euch alle gleich.

An Scott - was kann ich meiner BFFFA sagen? Danke, dass du der ultimative kreative Co-Autor bist, dass du immer für ein Brainstorming zu komplexen Themen zu haben bist und dass du deine bessere Hälfte und mich in meine Welt gebracht hast.

Wir haben den größten Teil dieses Updates während der COVID-19-Sperrung geschrieben. Deshalb möchte ich auch den Ersthelfern und wichtigen Mitarbeitern danken, die sich in ihrem unermüdlichen Bestreben, anderen zu helfen, selbst in Gefahr bringen. Wir sind euch etwas schuldig, das niemals zurückgezahlt werden kann. Ein besonderes Dankeschön an die Mitarbeiter und die Leitung des Bellden Café für all die koffeinfreien Milchkaffees und Avocado-Toasts, die am Straßenrand geliefert wurden und die mir beim Schreiben dieses Buches geholfen haben - dieses kleine bisschen Normalität und Beständigkeit bedeutet mir mehr, als ich in Worte fassen kann.

Scott möchte sich bei den folgenden Personen bedanken:

Kessa: meine Ehefrau, Partnerin, Inspiration, Herausforderin, Unterstützerin, einfach alles. Wir sind weit weg von Hershey, und ich hätte nie erwartet, dass wir so viele Orte besuchen, Dinge tun und Herausforderungen annehmen würden, aber ich würde nichts davon um alles in der Welt ändern. Du hast mich nie gedrängt, aber du hast mich dazu gebracht, mehr zu tun als erwartet; zu sehen, wie viel du getan hast, treibt mich täglich an! Ich liebe dich jeden Tag mehr. JTMC.

SJR4: Hey, Little! Du liest das jetzt nicht und wirst es auch in nächster Zeit nicht tun, aber du warst ein Teil davon. Hoffentlich siehst du, was ein Mensch erreichen kann, wenn er sich etwas vornimmt und seiner Leidenschaft folgt. Ich kann es kaum erwarten, zu sehen, was du tun wirst! Bis dahin: Danke für das Lächeln.

Meine Familie: Ich bin weit weg vom Basislager (wenn auch näher an den Bergen), aber ich werde für immer das Fundament schätzen, auf dem ich aufbauen kann. Die Hardware-Unterstützung war hervorragend, vom ersten Apple II unserer Familie über Palm Pilots bis hin zu meinem ersten Laptop. Aber die emotionale und intellektuelle Unterstützung war noch viel wichtiger und wird nie veraltet sein.

Mentoren: an die vielen Freunde, Kollegen, Mentoren und Manager, die mich herausgefordert, gefördert und mir geholfen haben, die vielen Facetten dieser verrückten Branche zu erkunden. Ihr habt mich zu dem Analytiker, Ingenieur, Responder und Autor gemacht, der ich heute bin.

USU: Ich dachte, ich würde für den Rest meines Lebens ein eingefleischter Nittany Lion sein, aber jetzt bin ich ein echter Aggie. Ich hätte kein besseres Programm erwischen können, vom Center for Anticipatory Intelligence über das DAIS-Programm der Huntsman School bis hin zum SOC. Nach 20 Jahren im Berufsleben hätte ich nicht gedacht, dass etwas meine Weltanschauung so sehr umwerfen würde.

Rebekah, ich glaube, du bist jetzt technisch gesehen die BFFFA, aber egal wo, ich könnte mir keine bessere Co-Autorin, Arbeitspartnerin, hypothetische Folie oder Freundin wünschen.