1
00:00:03,000 --> 00:00:04,200
Καλώς ήρθατε πίσω.

2
00:00:04,200 --> 00:00:08,000
Μάθατε πώς να εντοπίζετε (detect) threats,
αλλά τι συμβαίνει αφού επιβεβαιώσετε

3
00:00:08,000 --> 00:00:09,440
ότι κάτι δεν πάει καλά;

4
00:00:09,440 --> 00:00:12,160
Εκεί ξεκινά το incident response.

5
00:00:12,160 --> 00:00:15,120
Σε αυτό το μάθημα,
θα εξερευνήσουμε τι σημαίνει incident response,

6
00:00:15,120 --> 00:00:18,120
τα στάδια του response lifecycle,

7
00:00:18,400 --> 00:00:21,920
και πώς οι οργανισμοί
ελαχιστοποιούν τη ζημιά και αποκαθιστούν τις λειτουργίες.

8
00:00:23,160 --> 00:00:25,800
Ένα security incident
είναι κάθε γεγονός που απειλεί

9
00:00:25,800 --> 00:00:30,480
το confidentiality, integrity,
ή availability συστημάτων ή δεδομένων.

10
00:00:31,200 --> 00:00:34,320
Παραδείγματα περιλαμβάνουν μολύνσεις malware,

11
00:00:34,720 --> 00:00:38,920
phishing attacks, data
breaches, insider misuse.

12
00:00:39,720 --> 00:00:43,640
Δεν είναι όλα τα alerts incidents,
αλλά μόλις κάτι επιβεβαιωθεί ως πραγματικό

13
00:00:43,640 --> 00:00:47,280
και με αντίκτυπο, γίνεται προτεραιότητα
για τις ομάδες incident response.

14
00:00:48,520 --> 00:00:51,520
Οι περισσότεροι οργανισμοί
ακολουθούν ένα δομημένο μοντέλο απόκρισης

15
00:00:51,720 --> 00:00:55,800
όπως αυτό από το NIST (National Institute
of Standards and Technology).

16
00:00:56,280 --> 00:00:58,080
Περιλαμβάνει: 1.

17
00:00:58,080 --> 00:01:02,240
Preparation: χτίστε
το πλάνο απόκρισής σας, τα εργαλεία και την εκπαίδευση.

18
00:01:03,040 --> 00:01:05,480
2. Detection και Analysis:

19
00:01:05,480 --> 00:01:08,920
Εντοπίστε και επιβεβαιώστε το incident. 3.

20
00:01:09,240 --> 00:01:10,200
Containment:

21
00:01:10,200 --> 00:01:13,440
Περιορίστε την εξάπλωση. 4. Eradication:

22
00:01:13,680 --> 00:01:16,200
Αφαιρέστε την απειλή από όλα τα συστήματα.

23
00:01:16,200 --> 00:01:17,160
5.

24
00:01:17,160 --> 00:01:18,200
Recovery:

25
00:01:18,200 --> 00:01:21,360
Αποκαταστήστε τις κανονικές λειτουργίες με ασφάλεια. 6.

26
00:01:21,920 --> 00:01:23,200
Lessons Learned:

27
00:01:23,200 --> 00:01:26,120
Αναλύστε
τι συνέβη και βελτιώστε τις άμυνες.

28
00:01:26,120 --> 00:01:27,880
Δεν αφορά μόνο την αντίδραση.

29
00:01:27,880 --> 00:01:28,920
Αφορά τη βελτίωση.

30
00:01:30,120 --> 00:01:30,960
Οι οργανισμοί

31
00:01:30,960 --> 00:01:33,960
συχνά έχουν μια καθορισμένη Incident Response
Team.

32
00:01:34,240 --> 00:01:38,840
IRT ή CSIRT
(Computer Security Incident Response Team).

33
00:01:39,720 --> 00:01:43,400
Είναι υπεύθυνοι
για τον συντονισμό των προσπαθειών απόκρισης,

34
00:01:44,080 --> 00:01:46,560
την τεκμηρίωση όλων των ενεργειών,

35
00:01:46,560 --> 00:01:49,560
την επικοινωνία
με την ηγεσία και τις νομικές ομάδες,

36
00:01:49,720 --> 00:01:52,760
την ειδοποίηση πελατών ή ρυθμιστικών αρχών
αν χρειαστεί.

37
00:01:53,760 --> 00:01:57,960
Η δουλειά τους είναι να κινούνται γρήγορα,
να ελαχιστοποιούν τη ζημιά, και να περιορίζουν την απειλή.

38
00:01:59,200 --> 00:02:03,080
Οι αποτελεσματικές ομάδες απόκρισης
βασίζονται σε incident playbooks:

39
00:02:03,440 --> 00:02:06,440
οδηγούς βήμα προς βήμα για διαφορετικούς τύπους
επιθέσεων.

40
00:02:06,640 --> 00:02:10,320
Εργαλεία case management για την παρακολούθηση ενεργειών
και χρονοδιαγραμμάτων.

41
00:02:11,000 --> 00:02:14,400
Εργαλεία forensics για τη διατήρηση και ανάλυση
δεδομένων.

42
00:02:15,160 --> 00:02:19,920
Log analysis
συν snapshots για αποδεικτικά στοιχεία και επαναφορά (rollback).

43
00:02:20,920 --> 00:02:23,640
Κάθε incident είναι διαφορετικό,
αλλά έχοντας δομημένα

44
00:02:23,640 --> 00:02:26,640
εργαλεία και ροές εργασίας
οδηγεί σε καλύτερα αποτελέσματα.

45
00:02:27,480 --> 00:02:29,360
Η προετοιμασία (Preparation) είναι το παν.

46
00:02:29,360 --> 00:02:32,360
Η ώρα να σχεδιάσετε για ένα incident
είναι πριν συμβεί.

47
00:02:32,640 --> 00:02:35,920
Αυτό σημαίνει δημιουργία πολιτικών incident response.

48
00:02:36,480 --> 00:02:39,120
Εξάσκηση με tabletop exercises.

49
00:02:39,120 --> 00:02:41,520
Χτίσιμο σχέσεων μεταξύ IT,

50
00:02:41,520 --> 00:02:43,920
νομικού τμήματος, HR και ηγεσίας.

51
00:02:45,000 --> 00:02:47,800
Οι καλά προετοιμασμένοι οργανισμοί ανταποκρίνονται
γρηγορότερα,

52
00:02:47,800 --> 00:02:51,800
περιορίζουν τις απειλές νωρίτερα, και υφίστανται
λιγότερη ζημιά όταν χτυπήσει το πραγματικό γεγονός.

53
00:02:52,600 --> 00:02:54,760
Έτοιμοι για ένα μικρό επαναληπτικό κουίζ;

54
00:02:54,760 --> 00:02:55,840
Ερώτηση πρώτη.

55
00:02:55,840 --> 00:02:58,880
Ποιο από τα παρακάτω χαρακτηρίζεται
ως security incident;

56
00:02:59,320 --> 00:03:02,320
Α επανεκκίνηση ενός server μετά από ενημερώσεις.

57
00:03:02,640 --> 00:03:05,640
Β malware που βρέθηκε να εξαπλώνεται στα συστήματα.

58
00:03:05,760 --> 00:03:08,560
Γ το να ξεχάσετε έναν κωδικό πρόσβασης Wi-Fi.

59
00:03:08,560 --> 00:03:11,560
Δ αλλαγή επιπέδου πρόσβασης ενός χρήστη.

60
00:03:11,640 --> 00:03:14,640
Παύση.

61
00:03:17,600 --> 00:03:18,480
Η σωστή απάντηση είναι

62
00:03:18,480 --> 00:03:22,400
Β. Μια μόλυνση malware είναι μια ξεκάθαρη
παραβίαση του system

63
00:03:22,400 --> 00:03:25,400
integrity και ενεργοποιεί
ένα incident response.

64
00:03:26,160 --> 00:03:28,760
Ερώτηση δύο: στο NIST incident

65
00:03:28,760 --> 00:03:31,760
response lifecycle,
τι έρχεται μετά το containment;

66
00:03:32,360 --> 00:03:36,720
Α prevention. Β documentation. Γ

67
00:03:37,160 --> 00:03:40,680
escalation. Δ eradication.

68
00:03:41,320 --> 00:03:44,320
Σκεφτείτε το καλά.

69
00:03:47,400 --> 00:03:50,520
Η σωστή απάντηση είναι Δ. Μετά τον περιορισμό (containing)
της απειλής,

70
00:03:50,520 --> 00:03:53,520
οι responders εργάζονται για να την εξαλείψουν (eradicate) πλήρως
από το περιβάλλον.

71
00:03:54,200 --> 00:03:58,640
Τελευταία ερώτηση γιατί είναι η προετοιμασία (preparation)
σημαντική στο incident response;

72
00:03:59,480 --> 00:04:02,480
Α αποτρέπει την ανάγκη για backups.

73
00:04:02,640 --> 00:04:05,640
Β αποφεύγει να έχει ποτέ incidents.

74
00:04:05,760 --> 00:04:08,800
Γ βοηθά στην απόκριση
γρήγορα και αποτελεσματικά.

75
00:04:09,320 --> 00:04:12,320
Δ επιταχύνει το firewall.

76
00:04:12,640 --> 00:04:13,680
Παύση για να σκεφτείτε.

77
00:04:18,960 --> 00:04:20,240
Η σωστή επιλογή απάντησης είναι

78
00:04:20,240 --> 00:04:25,760
Γ. Η προετοιμασία διασφαλίζει μια ταχύτερη και πιο
συντονισμένη απόκριση όταν συμβαίνουν incidents.

79
00:04:27,000 --> 00:04:28,440
Καλή δουλειά.

80
00:04:28,440 --> 00:04:31,400
Τώρα καταλαβαίνετε
τι είναι τα security incidents,

81
00:04:31,400 --> 00:04:34,960
πώς αντιμετωπίζονται, και πώς μοιάζει το response
lifecycle.

82
00:04:35,640 --> 00:04:38,920
Στη συνέχεια, θα καλύψουμε ένα κρίσιμο μέρος
αυτής της διαδικασίας

83
00:04:39,320 --> 00:04:42,320
incident reporting και documentation.

84
00:04:42,320 --> 00:04:46,760
Επειδή αυτό που καταγράφετε καθορίζει
τι μαθαίνετε και πώς βελτιώνεστε.

85
00:04:47,040 --> 00:04:48,080
Ας συνεχίσουμε.