1
00:00:03,000 --> 00:00:04,680
Καλώς ήρθατε πίσω.

2
00:00:04,680 --> 00:00:07,120
Τώρα που ξέρετε
τον ρόλο του threat detection,

3
00:00:07,120 --> 00:00:11,800
είναι ώρα να εστιάσουμε στα στοιχεία στα οποία βασίζονται
οι ομάδες ασφαλείας για να εντοπίσουν επιθέσεις.

4
00:00:12,240 --> 00:00:15,240
Indicators of compromise ή IOCs.

5
00:00:15,880 --> 00:00:19,800
Αυτά είναι τα ψηφιακά αποτυπώματα
που αφήνει πίσω της η malicious activity.

6
00:00:20,400 --> 00:00:23,400
Σε αυτό το μάθημα, θα αναλύσουμε
τι είναι τα IOCs.

7
00:00:23,560 --> 00:00:28,080
Θα δείξουμε πραγματικά παραδείγματα και θα εξερευνήσουμε πώς χρησιμοποιούνται
για τον εντοπισμό απειλών σε εξέλιξη.

8
00:00:29,320 --> 00:00:32,440
Τα Indicators of compromise
είναι αποδεικτικά στοιχεία που υποδηλώνουν

9
00:00:32,440 --> 00:00:35,480
ότι ένα σύστημα ή δίκτυο έχει παραβιαστεί (breached)
ή βρίσκεται υπό επίθεση.

10
00:00:36,160 --> 00:00:39,480
Βοηθούν τους αναλυτές να απαντήσουν σε ερωτήσεις
όπως τι συνέβη;

11
00:00:40,200 --> 00:00:41,920
Πότε συνέβη;

12
00:00:41,920 --> 00:00:43,760
Πού ξεκίνησε;

13
00:00:43,760 --> 00:00:48,000
Αυτοί οι δείκτες βρίσκονται σε logs, αρχεία δραστηριότητας
συστήματος,

14
00:00:48,400 --> 00:00:51,480
network traffic,
και μερικές φορές στη συμπεριφορά των χρηστών.

15
00:00:52,720 --> 00:00:54,840
Εδώ είναι μερικά από τα πιο κοινά IOCs.

16
00:00:54,840 --> 00:00:58,960
Οι ομάδες ασφαλείας
παρακολουθούν ύποπτες διευθύνσεις IP

17
00:00:59,160 --> 00:01:02,000
που είναι γνωστό ότι συνδέονται με threat actors.

18
00:01:02,000 --> 00:01:05,000
File hashes που ταιριάζουν με γνωστό malware,

19
00:01:05,040 --> 00:01:08,040
αλλαγές registry
ή ρυθμίσεων σε endpoints.

20
00:01:08,800 --> 00:01:11,520
Νέοι admin accounts που δημιουργήθηκαν απροσδόκητα

21
00:01:12,480 --> 00:01:13,600
ασυνήθιστες ώρες

22
00:01:13,600 --> 00:01:16,600
login ή πρόσβαση από περίεργες τοποθεσίες.

23
00:01:17,400 --> 00:01:20,400
Κάθε IOC είναι ένα στοιχείο
ότι κάτι μπορεί να πηγαίνει στραβά.

24
00:01:21,480 --> 00:01:24,480
Τα IOCs προέρχονται από μια ποικιλία πηγών,

25
00:01:24,680 --> 00:01:27,520
logs συστήματος και εφαρμογών.

26
00:01:27,520 --> 00:01:31,040
Εργαλεία EDR endpoint detection and response

27
00:01:32,160 --> 00:01:35,160
Πλατφόρμες SIEM που συγκεντρώνουν δεδομένα

28
00:01:35,840 --> 00:01:37,760
Ροές threat intelligence που

29
00:01:37,760 --> 00:01:40,760
μοιράζονται γνωστά IOCs σε όλο τον κλάδο.

30
00:01:40,840 --> 00:01:43,680
Οι ομάδες ασφαλείας
συλλέγουν και συσχετίζουν αυτούς τους δείκτες

31
00:01:43,680 --> 00:01:46,680
για να ερευνήσουν απειλές
γρήγορα και διεξοδικά.

32
00:01:47,320 --> 00:01:50,400
Να πώς χρησιμοποιούνται τα IOCs στον κύκλο ζωής
του εντοπισμού.

33
00:01:50,760 --> 00:01:54,400
Ένα: εντοπισμός (detect) - ενεργοποιείται ένα IOC, π.χ.

34
00:01:54,400 --> 00:01:57,840
βρέθηκε ένα γνωστό κακό hash. Δύο: επικύρωση (validate).

35
00:01:58,080 --> 00:01:59,880
Ο αναλυτής ερευνά.

36
00:01:59,880 --> 00:02:02,440
Είναι πραγματική απειλή ή false positive;

37
00:02:02,440 --> 00:02:07,400
Τρία: κλιμάκωση (escalate) - αν είναι πραγματική, η ειδοποίηση
περνά στους incident responders.

38
00:02:07,800 --> 00:02:09,720
Τέσσερα: απόκριση (respond).

39
00:02:09,720 --> 00:02:11,160
Η ομάδα αναλαμβάνει δράση.

40
00:02:11,160 --> 00:02:14,160
Περιορισμός. Αφαίρεση. Ανάκαμψη.

41
00:02:14,160 --> 00:02:18,320
Η αποτελεσματική ανάλυση IOC επιτρέπει γρήγορο
και εστιασμένο incident response.

42
00:02:19,600 --> 00:02:22,600
Ας δούμε μια βασική ροή επίθεσης
χρησιμοποιώντας IOCs.

43
00:02:22,680 --> 00:02:26,240
Ένα: ασυνήθιστο login στις τρεις
π.μ. από ξένη IP.

44
00:02:26,520 --> 00:02:28,080
IOC νούμερο ένα.

45
00:02:28,080 --> 00:02:32,760
Δύο: άγνωστο εκτελέσιμο
εμφανίζεται σε φακέλους συστήματος IOC νούμερο δύο.

46
00:02:33,240 --> 00:02:36,360
Τρία: εξερχόμενη σύνδεση
σε γνωστό command and control

47
00:02:36,520 --> 00:02:39,520
C2 server IOC νούμερο τρία.

48
00:02:39,560 --> 00:02:42,560
Κάθε δείκτης μόνος του
μπορεί να είναι ύποπτος.

49
00:02:42,600 --> 00:02:46,680
Μαζί λένε μια ιστορία
και αυτή η ιστορία ενεργοποιεί το incident response.

50
00:02:47,760 --> 00:02:49,920
Έτοιμοι για ένα μικρό επαναληπτικό κουίζ;

51
00:02:49,920 --> 00:02:53,040
Ερώτηση πρώτη
τι είναι ένα indicator of compromise;

52
00:02:53,560 --> 00:02:56,160
Α μια ρύθμιση firewall.

53
00:02:56,160 --> 00:02:59,200
Β ένας τύπος καλωδίου δικτύου.

54
00:02:59,520 --> 00:03:02,520
Γ αποδεικτικά στοιχεία που υποδηλώνουν ότι ένα σύστημα
μπορεί να έχει παραβιαστεί.

55
00:03:02,520 --> 00:03:05,040
Δ ένα κρυπτογραφημένο μήνυμα.

56
00:03:05,040 --> 00:03:08,040
Παύση.

57
00:03:11,040 --> 00:03:14,200
Η σωστή απάντηση είναι Γ ένα IOC είναι ένα σήμα

58
00:03:14,200 --> 00:03:17,280
ότι malicious activity μπορεί να συμβαίνει
ή έχει ήδη συμβεί.

59
00:03:18,560 --> 00:03:22,520
Ερώτηση δύο ποιο από αυτά είναι ένα κοινό
παράδειγμα ενός IOC;

60
00:03:23,280 --> 00:03:26,280
Α υπενθύμιση λήξης κωδικού πρόσβασης.

61
00:03:26,360 --> 00:03:30,000
Β Ένας νέος admin account
που δημιουργήθηκε απροσδόκητα.

62
00:03:30,600 --> 00:03:33,600
Γ συνδεδεμένος χρήστης που ελέγχει email.

63
00:03:33,920 --> 00:03:36,920
Δ Μια ειδοποίηση ενημέρωσης λογισμικού.

64
00:03:37,360 --> 00:03:38,240
Σκεφτείτε το καλά.

65
00:03:43,520 --> 00:03:45,440
Η σωστή απάντηση είναι Β

66
00:03:45,440 --> 00:03:50,000
μη εξουσιοδοτημένο privilege escalation
είναι ένα ισχυρό indicator of compromise.

67
00:03:50,760 --> 00:03:54,360
Τελευταία ερώτηση
πού βρίσκονται συνήθως τα IOCs;

68
00:03:55,200 --> 00:03:57,960
Α μόνο σε αρχειοθετημένα emails.

69
00:03:57,960 --> 00:04:01,880
Β σε threat intelligence
feeds, logs και endpoint δεδομένα.

70
00:04:02,400 --> 00:04:05,080
Γ φυσικά ντουλάπια αρχείων.

71
00:04:05,080 --> 00:04:07,760
Δ αναρτήσεις στα social media.

72
00:04:07,760 --> 00:04:10,760
Σκεφτείτε το καλά.

73
00:04:13,880 --> 00:04:14,960
Η σωστή επιλογή απάντησης είναι.

74
00:04:14,960 --> 00:04:18,160
Β τα IOCs συλλέγονται
από πολλαπλές πηγές.

75
00:04:18,480 --> 00:04:21,720
Logs, εργαλεία ασφαλείας,
και κοινόχρηστο threat intelligence.

76
00:04:23,000 --> 00:04:24,120
Εξαιρετική δουλειά.

77
00:04:24,120 --> 00:04:27,000
Τώρα καταλαβαίνετε
τι είναι τα indicators of compromise,

78
00:04:27,000 --> 00:04:30,600
πώς εντοπίζονται, και πώς υποστηρίζουν
την ταχεία απόκριση σε απειλές.

79
00:04:31,640 --> 00:04:34,960
Στο επόμενο μάθημά μας,
θα δούμε πώς οι οργανισμοί παρακολουθούν

80
00:04:34,960 --> 00:04:39,360
για αυτές τις απειλές σε πραγματικό χρόνο χρησιμοποιώντας
SIEMs και εργαλεία παρακολούθησης ασφαλείας.

81
00:04:39,760 --> 00:04:42,000
Ας συνεχίσουμε
να χτίζουμε το κιτ εργαλείων εντοπισμού σας.