book

Risposta agli incidenti basata sull'intelligence, 2a edizione

by Rebekah Brown, Scott J. Roberts

April 2025

Intermediate to advanced

346 pages

11h 31m

Italian

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Perché abbiamo scritto questo libroPer chi è questo libroCome è organizzato questo libroConvenzioni utilizzate in questo libroFormazione online O'ReillyCome contattarciRingraziamenti
L'intelligence come parte della risposta agli incidentiStoria dell'intelligence sulle minacce informaticheL'intelligence moderna sulle minacce informaticheLa strada da percorrereLa risposta agli incidenti come parte dell'intelligenceCos'è la risposta agli incidenti guidata dall'intelligence?Perché una risposta agli incidenti basata sull'intelligence?Operazione SMNSolarWindsConclusione
Intelligenza e ricercaDati contro intelligenzaFonti e metodiModelliUtilizzo di modelli per la collaborazioneModelli di processoUtilizzare il ciclo dell'intelligenzaLe qualità di una buona intelligenzaMetodo di raccoltaData di raccoltaContestoAffrontare i pregiudizi nell'analisiLivelli di intelligenzaIntelligenza tatticaIntelligenza operativaIntelligenza strategicaLivelli di fiduciaConclusione
Ciclo incidente-rispostaPreparazioneIdentificazioneContenimentoEradicazioneRecuperoLezioni appreseLa catena di morteTargetingRicognizioneArmonizzazioneConsegnaSfruttamentoInstallazioneComando e controlloAzioni relative all'obiettivoEsempio di catena di morteIl Modello DiamanteModello baseEstensione del modelloATT&CK e D3FENDATT&CKD3FENDDifesa attivaRifiutaDisruptDegradareIngannareDistruggereF3EADTrovaRiparareFinituraSfruttaAnalizzaDiffondereUtilizzo di F3EADScegliere il modello giustoScenario: Road RunnerConclusione
Obiettivo centrato sull'attoreIniziare con le informazioni conosciuteInformazioni utili durante la fase di ricercaUsare la Catena della MorteObiettiviTargeting incentrato sulla vittimaUsare il targeting incentrato sulla vittimaTargeting centrato sugli assetUsare il targeting centrato sugli assetObiettivo centrato sulle capacitàUsare il targeting incentrato sulle capacitàTargeting incentrato sui mediaTargeting basato su notifiche di terze partiDefinizione delle prioritàBisogni immediatiIncidenti passatiCriticitàOrganizzazione delle attività di targetingContatti difficili da gestirePiombi morbidiRaggruppare i lead correlatiConservazione e documentazione del piomboIl processo di richiesta di informazioniConclusione
Rilevamento delle intrusioniAvvisi di reteAvviso di sistemaRiparare Road RunnerIndagine sulle intrusioniAnalisi della reteRisposta in direttaAnalisi della memoriaAnalisi del discoRilevamento e risposta aziendaleAnalisi del malwareScopingCacciaSviluppare ipotesiVerifica delle ipotesiConclusione

Finire non significa tornare indietroFasi di finituraMitigareRimedioRicercatoreAgendoRifiutaDisruptDegradareIngannareDistruggereOrganizzare i dati degli incidentiStrumenti per il monitoraggio delle azioniStrumenti costruiti ad hocValutare i danniCiclo di vita del monitoraggioCreazioneTestDistribuzioneRaffinatezzaPensionamentoConclusione
I cicli OODA tattici e strategiciCosa sfruttareRaccolta di informazioniObiettivi della raccolta di informazioniEstrazione mineraria Incidenti precedentiRaccogliere informazioni esterne (o condurre un'analisi della letteratura)Estrazione e conservazione dei dati sulle minacceStandard per l'archiviazione dei dati sulle minacceStandard e formati dei dati per gli indicatoriStandard e formati dei dati per le informazioni strategicheProcesso di estrazioneGestione delle informazioniPiattaforme di intelligence delle minacceConclusione
I fondamenti dell'analisiPensiero a doppio processoRagionamento deduttivo, induttivo e abduttivoProcessi e metodi analiticiTecniche analitiche strutturate (SAT)Analisi centrata sull'obiettivoConduzione dell'analisiCosa analizzareArricchire i tuoi datiSfrutta la condivisione delle informazioniSviluppare l'ipotesiValutare le ipotesi chiaveCose che ti rovinano (alias pregiudizi analitici)Contabilizzazione dei pregiudiziGiudizio e conclusioniConclusione
Obiettivi dei clienti dell'intelligencePubblicoClienti leader esecutiviClienti tecnici interniClienti tecnici esterniSviluppare le personalità dei clientiAutoriAzioneIl processo di scritturaPianoBozzaModificaFormati dei prodotti di intelligenceProdotti in formato ridottoProdotti Long-FormIl processo RFIProdotti a consumo automaticoStabilire un ritmoDistribuzioneFeedbackProdotti regolariConclusione
Che cos'è l'intelligence strategica?Il ruolo dell'intelligence strategica nella risposta agli incidenti guidata dall'intelligenceL'intelligence oltre la risposta agli incidentiRed TeamingGestione delle vulnerabilitàArchitettura e ingegneriaPrivacy, sicurezza e protezione fisicaCostruire una struttura con l'intelligence strategicaModelli per l'intelligence strategicaIl ciclo dell'intelligence strategicaDefinizione dei requisiti strategiciCollezioneAnalisiDiffusioneVerso l'intelligenza anticipatoriaConclusione
Sei pronto?Pianificazione del programmaDefinizione degli stakeholderDefinire gli obiettiviDefinire i criteri di successoIdentificare i requisiti e i vincoliPensa in modo strategicoDefinire le metrichePersonaggi degli stakeholderCasi d'uso tatticiSupporto SOCGestione degli indicatoriCasi d'uso operativiTracciamento della campagnaCasi d'uso strategiciSupporto all'architetturaValutazione del rischio/consapevolezza strategica della situazioneDa strategico a tattico o da tattico a strategico?Esigenze informative criticheIl team di intelligenceCostruire un team eterogeneoSviluppo di team e processiDimostrare il valore del programma di intelligenceConclusione

Content preview from Risposta agli incidenti basata sull'intelligence, 2a edizione

Capitolo 4. Trovare

Questo lavoro è stato tradotto utilizzando l'AI. Siamo lieti di ricevere il tuo feedback e i tuoi commenti: translation-feedback@oreilly.com

Fai molto, molto silenzio; stiamo cacciando i conigli.

Elmer J. Fudd

La prima metà del ciclo F3EAD contiene le componenti operative principali: trovare, risolvere e concludere. In questo contesto, peroperazioni si intende un'azione pianificata e coordinata in risposta a una situazione in evoluzione. Per noi, si tratta di operazioni di risposta agli incidenti per attività di rete non autorizzate. Durante le prime tre fasi, gli avversari vengono presi di mira, identificati ed eliminati. Utilizziamo l'intelligence per informare queste azioni operative, ma non è l'unico utilizzo dell'intelligence. Più avanti nel processo, i dati delle fasi operative confluiranno nella seconda metà della F3EAD, che contiene le fasi di intelligence: exploit, analisi e diffusione.

Questo capitolo si concentra sulla fase di ricerca, che è il punto di partenza per le attività di intelligence e operative. Nel ciclo F3EAD tradizionale, la fase di ricerca inizia quando il team operativo identifica le entità di alto valore da prendere di mira. Nella risposta agli incidenti guidata dall'intelligence, la fase di ricerca identifica gli avversari rilevanti per la risposta agli incidenti.

Nel caso di un incidente in corso, potresti aver identificato o ricevuto alcuni indicatori iniziali e aver bisogno di saperne di più, oppure nel caso della caccia alle ...