1
00:00:03,000 --> 00:00:05,040
Καλώς ήρθατε στην ενότητα πέντε.

2
00:00:05,040 --> 00:00:07,920
Threat detection και incident response.

3
00:00:07,920 --> 00:00:11,520
Μέχρι στιγμής εστιάσαμε στην προστασία συστημάτων
και στη μείωση του κινδύνου.

4
00:00:12,040 --> 00:00:15,040
Αλλά τι συμβαίνει όταν αυτές οι άμυνες αποτυγχάνουν;

5
00:00:15,360 --> 00:00:17,760
Σε αυτή την ενότητα θα μάθετε πώς να εντοπίζετε (detect)

6
00:00:17,760 --> 00:00:20,760
απειλές νωρίς και να ανταποκρίνεστε αποτελεσματικά.

7
00:00:20,760 --> 00:00:23,760
Σε αυτό το πρώτο μάθημα,
θα ορίσουμε το threat detection

8
00:00:23,960 --> 00:00:27,320
και θα εξερευνήσουμε πώς οι οργανισμοί εντοπίζουν
ύποπτη δραστηριότητα.

9
00:00:27,600 --> 00:00:30,600
Πριν γίνει ένα πλήρες περιστατικό (incident),

10
00:00:30,960 --> 00:00:33,440
το threat
detection είναι η διαδικασία εντοπισμού

11
00:00:33,440 --> 00:00:36,600
δυνητικής malicious activity
στα συστήματα ή τα δίκτυά σας.

12
00:00:37,040 --> 00:00:40,000
Περιλαμβάνει παρακολούθηση της κίνησης,

13
00:00:40,000 --> 00:00:43,000
ανάλυση συμπεριφοράς, εντοπισμό ανωμαλιών (anomalies).

14
00:00:44,280 --> 00:00:47,800
Ο στόχος είναι να εντοπιστούν σημάδια επίθεσης
πριν συμβεί σοβαρή ζημιά.

15
00:00:48,360 --> 00:00:51,360
Είναι μια κρίσιμη στροφή
από την πρόληψη στην ενεργητική άμυνα

16
00:00:52,440 --> 00:00:53,640
για τον εντοπισμό απειλών.

17
00:00:53,640 --> 00:00:57,320
Οι αναλυτές προσέχουν για indicators
of compromise ή IOCs.

18
00:00:57,840 --> 00:01:01,680
Παραδείγματα
περιλαμβάνουν ασυνήθιστες ώρες ή τοποθεσίες σύνδεσης,

19
00:01:02,320 --> 00:01:05,320
απροσδόκητες αλλαγές ή διαγραφές αρχείων.

20
00:01:05,320 --> 00:01:08,280
Μεγάλο outbound traffic από έναν server.

21
00:01:08,280 --> 00:01:11,280
Malware signatures στη μνήμη ή στον δίσκο.

22
00:01:11,280 --> 00:01:13,640
Αυτά τα σημάδια δεν σημαίνουν πάντα επίθεση,

23
00:01:13,640 --> 00:01:16,320
αλλά συχνά σημαίνουν
ότι κάτι χρειάζεται άμεση προσοχή.

24
00:01:17,600 --> 00:01:20,600
Υπάρχουν διάφορες μέθοδοι που χρησιμοποιούνται για τον εντοπισμό
απειλών.

25
00:01:20,720 --> 00:01:22,680
Signature based αντιστοιχίσεις.

26
00:01:22,680 --> 00:01:25,520
Γνωστά μοτίβα malware ή επιθέσεων.

27
00:01:25,520 --> 00:01:26,880
Behavior based.

28
00:01:26,880 --> 00:01:29,880
Επισημαίνει ύποπτη ή ασυνήθιστη συμπεριφορά.

29
00:01:29,880 --> 00:01:34,200
Anomaly detection χρησιμοποιεί βασικές γραμμές (baselines)
για να εντοπίσει αποκλίσεις.

30
00:01:34,920 --> 00:01:38,760
Threat intelligence
χρησιμοποιεί εξωτερικά δεδομένα για τρέχουσες απειλές.

31
00:01:39,480 --> 00:01:43,080
Ο ισχυρός εντοπισμός χρησιμοποιεί έναν συνδυασμό
μεθόδων για τα καλύτερα αποτελέσματα.

32
00:01:44,440 --> 00:01:47,720
Οι οργανισμοί χρησιμοποιούν εξειδικευμένα εργαλεία
για να παρακολουθούν για απειλές.

33
00:01:48,760 --> 00:01:51,760
SIEM Security Information
and Event Management

34
00:01:52,040 --> 00:01:55,040
συλλέγει και αναλύει
logs από όλα τα συστήματα.

35
00:01:55,600 --> 00:01:59,560
EDR Endpoint Detection
and Response παρακολουθεί

36
00:01:59,560 --> 00:02:03,360
μεμονωμένες συσκευές IDS, IPS.

37
00:02:03,920 --> 00:02:06,640
Intrusion detection prevention systems.

38
00:02:06,640 --> 00:02:10,960
Παρακολουθούν δίκτυα
SOC security operations center.

39
00:02:11,640 --> 00:02:14,720
Οι πλατφόρμες συνδυάζουν
όλα τα παραπάνω για άμυνα σε πραγματικό χρόνο.

40
00:02:15,600 --> 00:02:18,600
Θα εξερευνήσετε
πολλά από αυτά τα εργαλεία αργότερα σε αυτή την ενότητα.

41
00:02:19,560 --> 00:02:22,440
Σε πολλούς οργανισμούς, το threat
detection χειρίζεται

42
00:02:22,440 --> 00:02:25,440
από ένα Security Operation Center ή SOC.

43
00:02:26,200 --> 00:02:29,720
Οι SOC analysts
παρακολουθούν dashboards και alerts,

44
00:02:30,320 --> 00:02:32,920
ερευνούν ύποπτη συμπεριφορά,

45
00:02:32,920 --> 00:02:35,920
κλιμακώνουν (escalate)
επιβεβαιωμένα περιστατικά σε ομάδες απόκρισης.

46
00:02:36,280 --> 00:02:38,760
Τεκμηριώνουν και αναφέρουν ευρήματα.

47
00:02:38,760 --> 00:02:42,680
Είναι ένας ρόλος υψηλής πίεσης αλλά ουσιαστικός,
και είναι εκεί που η θεωρία συναντά την πραγματικότητα.

48
00:02:43,400 --> 00:02:45,600
Έτοιμοι για ένα μικρό επαναληπτικό κουίζ;

49
00:02:45,600 --> 00:02:48,600
Ερώτηση πρώτη
τι περιλαμβάνει το threat detection;

50
00:02:49,200 --> 00:02:52,200
Α προγραμματισμό εβδομαδιαίων ενημερώσεων λογισμικού

51
00:02:52,480 --> 00:02:55,480
Β πρόβλεψη
πότε οι χρήστες θα ξεχάσουν τους κωδικούς πρόσβασης.

52
00:02:55,880 --> 00:02:59,520
Γ εντοπισμό σημαδιών malicious activity
στα συστήματα.

53
00:03:00,000 --> 00:03:02,200
Δ αλλαγή κανόνων firewall.

54
00:03:02,200 --> 00:03:03,920
Μηνιαία παύση.

55
00:03:09,160 --> 00:03:11,040
Η σωστή απάντηση είναι Γ.

56
00:03:11,040 --> 00:03:14,880
Το Threat detection αφορά τον εντοπισμό σημαδιών
ότι μια επίθεση μπορεί να βρίσκεται σε εξέλιξη.

57
00:03:16,120 --> 00:03:19,120
Ερώτηση δύο
ποιο από τα παρακάτω είναι ένα IOC;

58
00:03:19,760 --> 00:03:21,480
Α ένας ισχυρός κωδικός πρόσβασης;

59
00:03:21,480 --> 00:03:23,280
Β μια κλειδωμένη οθόνη.

60
00:03:23,280 --> 00:03:26,160
Γ μια ασυνήθιστη σύνδεση (login) από ξένη χώρα.

61
00:03:26,160 --> 00:03:28,280
Δ κρυπτογραφημένη αποθήκευση.

62
00:03:28,280 --> 00:03:31,280
Σκεφτείτε το καλά.

63
00:03:34,440 --> 00:03:35,800
Η σωστή απάντηση είναι Γ.

64
00:03:35,800 --> 00:03:38,800
Απροσδόκητα
logins μπορεί να σηματοδοτούν έναν παραβιασμένο λογαριασμό.

65
00:03:39,360 --> 00:03:42,800
Τελευταία ερώτηση
τι βοηθά τις ομάδες ασφαλείας να κάνουν ένα SIEM;

66
00:03:43,680 --> 00:03:46,560
Α να δημιουργούν ισχυρότερους κωδικούς πρόσβασης.

67
00:03:46,560 --> 00:03:50,240
Β να παρακολουθούν και να αναλύουν logs
από πολλαπλά συστήματα.

68
00:03:50,600 --> 00:03:53,400
Γ να επαναφέρουν user credentials.

69
00:03:53,400 --> 00:03:56,400
Δ να ενημερώνουν λογισμικό antivirus.

70
00:03:56,480 --> 00:03:59,480
Σκεφτείτε το καλά.

71
00:04:02,600 --> 00:04:05,360
Η σωστή επιλογή απάντησης είναι Β, SIEM.

72
00:04:05,360 --> 00:04:09,360
Τα εργαλεία συγκεντρώνουν και αναλύουν δεδομένα
για να βοηθήσουν στον γρήγορο εντοπισμό απειλών.

73
00:04:10,560 --> 00:04:11,880
Εξαιρετική δουλειά!

74
00:04:11,880 --> 00:04:15,720
Τώρα καταλαβαίνετε τα βασικά του threat
detection, γιατί έχει σημασία,

75
00:04:16,040 --> 00:04:19,760
και πώς οι ομάδες χρησιμοποιούν εργαλεία και τεχνικές
για να βρουν τα πρώιμα σημάδια επίθεσης.

76
00:04:20,600 --> 00:04:24,400
Στη συνέχεια, θα κάνουμε μια βαθύτερη βουτιά
στα indicators of compromise.

77
00:04:24,800 --> 00:04:29,640
IOCs, πώς μοιάζουν,
πώς βρίσκονται, και πώς να ανταποκριθείτε.

78
00:04:30,400 --> 00:04:32,600
Ας συνεχίσουμε
να χτίζουμε τις δεξιότητες εντοπισμού σας.