1 00:00:03,000 --> 00:00:04,680 Bentornati. 2 00:00:04,680 --> 00:00:07,120 Ora che conoscete il ruolo della threat detection, 3 00:00:07,120 --> 00:00:11,800 è tempo di concentrarsi sugli indizi su cui i team di sicurezza fanno affidamento per individuare gli attacchi. 4 00:00:12,240 --> 00:00:15,240 Indicators of compromise o IOCs. 5 00:00:15,880 --> 00:00:19,800 Queste sono le impronte digitali lasciate dalla malicious activity. 6 00:00:20,400 --> 00:00:23,400 In questa lezione, analizzeremo cosa sono gli IOCs. 7 00:00:23,560 --> 00:00:28,080 Mostreremo esempi reali ed esploreremo come vengono usati per fare detect di minacce in corso. 8 00:00:29,320 --> 00:00:32,440 Gli Indicators of compromise sono pezzi di prove che suggeriscono 9 00:00:32,440 --> 00:00:35,480 che un sistema o un network è stato violato (breached) o è sotto attacco. 10 00:00:36,160 --> 00:00:39,480 Aiutano gli analisti a rispondere a domande come: cosa è successo? 11 00:00:40,200 --> 00:00:41,920 Quando è successo? 12 00:00:41,920 --> 00:00:43,760 Dove è iniziato? 13 00:00:43,760 --> 00:00:48,000 Questi indicatori si trovano nei logs, nei file di attività di sistema, 14 00:00:48,400 --> 00:00:51,480 nel network traffic, e a volte nel comportamento dell'utente. 15 00:00:52,720 --> 00:00:54,840 Ecco alcuni degli IOCs più comuni. 16 00:00:54,840 --> 00:00:58,960 I team di sicurezza monitorano indirizzi IP sospetti 17 00:00:59,160 --> 00:01:02,000 noti per essere collegati a threat actors. 18 00:01:02,000 --> 00:01:05,000 File hashes che corrispondono a malware noto, 19 00:01:05,040 --> 00:01:08,040 modifiche al registry o alla configurazione sugli endpoints. 20 00:01:08,800 --> 00:01:11,520 Nuovi admin accounts creati inaspettatamente 21 00:01:12,480 --> 00:01:13,600 orari di login 22 00:01:13,600 --> 00:01:16,600 insoliti o accesso da posizioni strane. 23 00:01:17,400 --> 00:01:20,400 Ogni IOC è un indizio che qualcosa potrebbe non andare. 24 00:01:21,480 --> 00:01:24,480 Gli IOCs provengono da una varietà di fonti, 25 00:01:24,680 --> 00:01:27,520 logs di sistema e applicazione. 26 00:01:27,520 --> 00:01:31,040 Strumenti EDR (endpoint detection and response) 27 00:01:32,160 --> 00:01:35,160 Piattaforme SIEM che aggregano dati 28 00:01:35,840 --> 00:01:37,760 feed di threat intelligence che 29 00:01:37,760 --> 00:01:40,760 condividono IOCs noti in tutto il settore. 30 00:01:40,840 --> 00:01:43,680 I team di sicurezza raccolgono e correlano questi indicatori 31 00:01:43,680 --> 00:01:46,680 per investigare le minacce velocemente e a fondo. 32 00:01:47,320 --> 00:01:50,400 Ecco come vengono usati gli IOCs nel ciclo di vita della detection. 33 00:01:50,760 --> 00:01:54,400 Uno: detect - un IOC viene attivato, es. 34 00:01:54,400 --> 00:01:57,840 un hash dannoso noto viene trovato. Due: validate. 35 00:01:58,080 --> 00:01:59,880 L'analista investiga. 36 00:01:59,880 --> 00:02:02,440 È una minaccia reale o un false positive? 37 00:02:02,440 --> 00:02:07,400 Tre: escalate - se è reale, l'alert viene passato agli incident responders. 38 00:02:07,800 --> 00:02:09,720 Quattro: respond. 39 00:02:09,720 --> 00:02:11,160 Il team agisce. 40 00:02:11,160 --> 00:02:14,160 Contenere. Rimuovere. Recuperare. 41 00:02:14,160 --> 00:02:18,320 Un'analisi IOC efficace abilita un incident response veloce e mirato. 42 00:02:19,600 --> 00:02:22,600 Esaminiamo un flusso di attacco base usando gli IOCs. 43 00:02:22,680 --> 00:02:26,240 Uno: login insolito alle tre del mattino da un IP straniero. 44 00:02:26,520 --> 00:02:28,080 IOC numero uno. 45 00:02:28,080 --> 00:02:32,760 Due: eseguibile sconosciuto appare nelle cartelle di sistema, IOC numero due. 46 00:02:33,240 --> 00:02:36,360 Tre: connessione outbound verso un command and control noto 47 00:02:36,520 --> 00:02:39,520 server C2, IOC numero tre. 48 00:02:39,560 --> 00:02:42,560 Ogni indicatore da solo può essere sospetto. 49 00:02:42,600 --> 00:02:46,680 Insieme raccontano una storia e quella storia innesca l'incident response. 50 00:02:47,760 --> 00:02:49,920 Pronto per un piccolo quiz di riepilogo? 51 00:02:49,920 --> 00:02:53,040 Domanda uno cos'è un indicator of compromise? 52 00:02:53,560 --> 00:02:56,160 A un'impostazione del firewall. 53 00:02:56,160 --> 00:02:59,200 B un tipo di cavo di rete. 54 00:02:59,520 --> 00:03:02,520 C prove che suggeriscono che un sistema potrebbe essere compromesso. 55 00:03:02,520 --> 00:03:05,040 D un messaggio criptato. 56 00:03:05,040 --> 00:03:08,040 Pausa. 57 00:03:11,040 --> 00:03:14,200 La risposta corretta è C un IOC è un segnale 58 00:03:14,200 --> 00:03:17,280 che una malicious activity potrebbe star accadendo o è già accaduta. 59 00:03:18,560 --> 00:03:22,520 Domanda due quale di questi è un esempio comune di un IOC? 60 00:03:23,280 --> 00:03:26,280 A promemoria di scadenza password. 61 00:03:26,360 --> 00:03:30,000 B Un nuovo admin account creato inaspettatamente. 62 00:03:30,600 --> 00:03:33,600 C utente loggato che controlla l'email. 63 00:03:33,920 --> 00:03:36,920 D Una notifica di aggiornamento software. 64 00:03:37,360 --> 00:03:38,240 Pensaci attentamente. 65 00:03:43,520 --> 00:03:45,440 La risposta corretta è B 66 00:03:45,440 --> 00:03:50,000 la privilege escalation non autorizzata è un forte indicator of compromise. 67 00:03:50,760 --> 00:03:54,360 Domanda finale dove si trovano tipicamente gli IOCs? 68 00:03:55,200 --> 00:03:57,960 A solo nelle email archiviate. 69 00:03:57,960 --> 00:04:01,880 B in threat intelligence feeds, logs e dati degli endpoint. 70 00:04:02,400 --> 00:04:05,080 C schedari fisici. 71 00:04:05,080 --> 00:04:07,760 D post sui social media. 72 00:04:07,760 --> 00:04:10,760 Pensaci attentamente. 73 00:04:13,880 --> 00:04:14,960 La scelta corretta è. 74 00:04:14,960 --> 00:04:18,160 B gli IOCs vengono raccolti da fonti multiple. 75 00:04:18,480 --> 00:04:21,720 Logs, strumenti di sicurezza, e threat intelligence condivisa. 76 00:04:23,000 --> 00:04:24,120 Ottimo lavoro. 77 00:04:24,120 --> 00:04:27,000 Ora capite cosa sono gli indicators of compromise, 78 00:04:27,000 --> 00:04:30,600 come vengono rilevati, e come supportano la risposta rapida alle minacce. 79 00:04:31,640 --> 00:04:34,960 Nella nostra prossima lezione, vedremo come le organizzazioni monitorano 80 00:04:34,960 --> 00:04:39,360 queste minacce in tempo reale usando SIEM e strumenti di monitoraggio della sicurezza. 81 00:04:39,760 --> 00:04:42,000 Continuiamo a costruire il tuo kit di strumenti di rilevamento.