Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Kolejna książka o monitoringu bezpieczeństwa sieci: „Applied network security monitoring”
Na rynku książek oferujących pomoc osobom zajmującym się monitoringiem bezpieczeństwa coraz lepiej. Niedawno wydana została książka „Applied Network Security Monitoring: Collection, Detection, and Analysis„.
To chyba druga ciekawa propozycja, która ujrzała światło dziennie w ostatnim czasie – jako pierwszą polecam pracę Richarda Bejtlicha: The Practice of Network Security Monitoring.
Sama książka podzielona jest na 3 duże sekcje:
- Collection
- Detection
- Analysis
Z których każda posiada po kilka podrozdziałów opisujących zarówno podejście teoretyczne do tematu, ale przede wszystkim narzędzia (bardzo duży nacisk został postawiony na narzędzia OpenSource) oraz oczywiście przykłady ich zastosowania.
Niby ciężko powiedzieć więcej w temacie narzędzi niż wpomniany wyżej autor książki „The Practice of Network Security Monitoring” – w końcu każdy zajmujący się monitoringiem bezpieczeństwa powinien przynajmniej ze słyszenia znać takie narzędzia / czy pojęcia jak:
Z drugiej strony opisane mamy pewne „nowe” narzędzia – jak SiLK czy justniffer. Autorzy od czasu do czasu wskazują również interesujące zasoby w Internecie – przykładem niech będzie zwięzłe porównanie netflow v5 z netflow v9. Nie brakuje również – w przeciwieństwie do większości podobnej literatury – propozycji przemyślanej organizacji monitoring bezpieczeństwa (znamy narzędzia, ale jak je sensownie używać, w kontekście celu który chcemy osiągnąć realizując monitoring bezpieczeństwa sieci?)
Czego brakuje w książce? Być może wspomnienia kilku przydatnych narzędzi, np.: splunk czy nfsen, choć bardziej przydałoby się więcej przykładów z życia wziętych (w rodzaju konkretnych, realnych case-ów pokazywanych np. w tej książce). Nie zrozumcie mnie źle – książka aż roi się od przykładów konkretnego użycia narzędzi, jednak nie ma tutaj np. 2-3 rozbudowanych scenariuszy, które byłyby systematycznie przeanalizowane.
Z drugiej strony „Applied network security monitoring” daje bardzo solidne podstawy (o każdym obszarze z dziedziny monitoringu bezpieczeństwa, czy narzędziu znajdziemy kilka/kilkanaście stron). Osobiście tego typu podejście mi się podoba – nie pozwala się zanudzić i cała książka nie jest zdominowana przez np. 1-2 narzędzia. Komentatorzy na Amazonie piszą z kolei tak:
- „A must read book for anyone doing NSM or SOC work!”
- „Another outstanding PRACTICAL approach by Chris Sanders accompanied by Jason Smith this round. This book should be required reading for all intrusion analyst and those looking to develop a security monitoring program.”
- „I have been doing security for awhile, but not much focused intrusion detection before my current position. This book really helped „fill in the gaps” in my knowledge of NSM”
W każdym razie polecam jako bardzo cenny dodatek do książki: The Practice of Network Security Monitoring, oraz wspomnianej wyżej: Network Forensics: Tracking Hackers through Cyberspace (która wbrew tytułowi zawiera bardzo dużo elementów z obszaru monitoringu bezpieczeństwa).
PS
Czytelnikom zainteresowanym tą tematyką polecam również nasz archiwalny artykuł o kilku repozytoriach ciekawych plików .pcap do analizy (+ opis ciekawych narzędzi – takich jak choćby networkminer). Można przy okazji zerknąć też do naszego mini bookstore.
–michal.sajdak<at>securitum.pl
Miałem przyjemność albo nie przyjemność czytać „The Practice of Network Security Monitoring” po Waszej recenzji i szczerze mówiąc zawiodłem się. ochy i achy z recenzji skończyły się szybko kiedy zasnąłem po pierwszym rozdziale ;) wiem gdzie postawić maszynę w sieci do monitorowania ruchu ale jakaś głębsza analiza… hmmm po tej książce ni dy rydy. Jak dla mnie trochę strata kasy, mam nadzieję że ta pozycja będzie lepsza inaczej będę wnioskował o zwrot kasy przez sekuraka za zbyt pochlebne recenzje ;P
Oczywiście kwestia zaawansowania uczestnika. Pytanie – czy jesteś w stanie polecić lepszą książkę od „The Practice…” ?
jak znajdę nie omieszkam o tym napisać ;)
Nie śpij, zwiedzaj ;-) jeśli jesteś doświadczony w defensywie to najciekawsze powinny być ostatnie rozdziały książki Bejtlicha. Polecam podejście do tematu abstrakcyjne, nie próbuj przekładać tego 1:1, ucz się sposobu myślenia, podejścia, nie konkretnych rozwiązań. Pamiętaj, że co by autor książki nie napisał i tak nie będziesz miał dokładniej takiej samej sytuacji.
Posiadam obie książki, okazało się, że w jeden wieczór jestem w stanie przewertować obie, zrobić notatki i oddać w obieg dla tych co przeczytają od deski do deski. Pewnie wynika to już z lat doświadczeń w temacie, że znam autorów i już jakiś czas wymieniamy się spostrzeżeniami, obserwacjami czy też pomysłami.
Czy w związku z tym książki te nie są warte tych jak na nasz kraj dość ciężkich złotówek? – moim zdaniem są warte.
Nie wiem skąd takie oczekiwania po książkach, by dawały „recepty”. Czy książki poruszające tematy ofensywne dają recepty? – czy po przeczytaniu np. shellcoders handbook czytelnik wyeksplojtuje chrome przez błąd w futexach albo heap overflow przez UXSS? – moim zdaniem nie.
Defensywa jest dużo mniej konkretnie opisywana niż ofensywa, może dlatego, że jest wciąż tak mało popularna. Ludzie zajmujący się bezpieczeństwem narzekają, że i tak tą defensywę da się przełamać, inni robią pozorną defensywę.
Opisywane książki potraktowałbym jako źródło refleksji nad problemami jakie mamy w naszej firmie/organizacji i uniwersalną drogę jaką trzeba przebyć by się z nimi skutecznie zmierzyć oraz umieć mierzyć sukces defensywy! – z czegoś trzeba czerpać satysfakcję, a uwierzcie mi, że będzie wielu, którzy będą podważać sens defensywy rozumianej w sposób bardziej zaawansowany niż: użyjmy fw, av, dlp, siema i vpna.