1
00:00:00,000 --> 00:00:06,280
Γεια σε όλους, αυτό είναι το έργο CyberSecPro, οπότε ας βουτήξουμε σε αυτή την ενδιαφέρουσα ενότητα από το

2
00:00:06,280 --> 00:00:09,920
Zero to Hero, ένα πλήρες toolkit για το cybersecurity.

3
00:00:09,920 --> 00:00:14,400
Αυτή η ενότητα είναι μέρος του CyberSecPro, που χρηματοδοτείται από την Ευρωπαϊκή Ένωση.

4
00:00:14,400 --> 00:00:19,280
Αυτή η εκπαιδευτική ενότητα έχει σχεδιαστεί για να καθοδηγήσει τους αρχάριους στα βασικά του cybersecurity,

5
00:00:19,280 --> 00:00:24,320
καλύπτοντας θεμελιώδεις έννοιες, πρακτικές δεξιότητες και προηγμένες τεχνικές για προστασία

6
00:00:24,320 --> 00:00:26,040
έναντι των cyber threats.

7
00:00:26,040 --> 00:00:30,400
Ως μέρος του έργου CyberSecPro, στοχεύει να ενδυναμώσει τους εκπαιδευόμενους με τη γνώση και τα

8
00:00:30,400 --> 00:00:36,680
tools που χρειάζονται για να χτίσουν μια καριέρα στο cybersecurity, εστιάζοντας σε τομείς όπως το network security,

9
00:00:36,680 --> 00:00:41,080
το ethical hacking και το incident response.

10
00:00:41,080 --> 00:00:46,000
Το όνομά μου είναι Στυλιανός Καραγιάννης, ολοκλήρωσα το διδακτορικό μου στο cybersecurity και τώρα κάνω

11
00:00:46,000 --> 00:00:51,480
το postdoc μου στο Ιόνιο Πανεπιστήμιο, στο Τμήμα Πληροφορικής, που βρίσκεται στην Κέρκυρα,

12
00:00:51,480 --> 00:00:52,480
Ελλάδα.

13
00:00:52,480 --> 00:00:57,000
Εργάζομαι ως senior researcher στην PDMFC στη Λισαβόνα, Πορτογαλία.

14
00:00:57,000 --> 00:01:02,680
Εξειδικεύομαι σε διάφορα ερευνητικά θέματα στο cybersecurity, συμπεριλαμβανομένων ενδιαφερόντων όπως το privacy,

15
00:01:02,680 --> 00:01:08,200
capture the flag challenges, cyber ranges, gamification, incident handling, virtual

16
00:01:08,200 --> 00:01:12,920
labs, game-based learning, κοινωνικός κονστρουκτιβισμός και θεωρίες μάθησης.

17
00:01:12,920 --> 00:01:18,680
Μη διστάσετε να επικοινωνήσετε μαζί μου στο email μου ή χρησιμοποιώντας τον σύνδεσμο του LinkedIn.

18
00:01:18,680 --> 00:01:24,240
Εδώ εμβαθύνουμε στα offensive και defensive cybersecurity tools.

19
00:01:24,240 --> 00:01:28,320
Αυτά είναι τα εργαλεία που χρησιμοποιούν οι επαγγελματίες του cybersecurity, ιδιαίτερα οι penetration

20
00:01:28,320 --> 00:01:32,840
testers και οι red teamers, για να προσομοιώσουν επιθέσεις πραγματικού κόσμου προκειμένου να

21
00:01:32,840 --> 00:01:34,840
ενισχύσουν την άμυνα των συστημάτων.

22
00:01:34,840 --> 00:01:40,200
Θυμηθείτε, η γνώση του πώς να επιτεθείς είναι απαραίτητη για να μάθεις πώς να αμυνθείς.

23
00:01:40,200 --> 00:01:44,560
Ας ξεκινήσουμε με έναν από τους ακρογωνιαίους λίθους των offensive operations,

24
00:01:44,560 --> 00:01:45,560
το Metasploit.

25
00:01:45,560 --> 00:01:51,200
Το Metasploit είναι κάτι περισσότερο από ένα απλό tool, είναι ένα ολοκληρωμένο framework.

26
00:01:51,200 --> 00:01:57,240
Σκεφτείτε το σαν έναν ελβετικό σουγιά για τους ethical hackers.

27
00:01:57,240 --> 00:02:02,200
Αναπτυγμένο από την Rapid7, το Metasploit παρέχει ένα περιβάλλον όπου μπορεί κανείς να χτίσει, να δοκιμάσει και

28
00:02:02,200 --> 00:02:03,840
να εκτελέσει exploits.

29
00:02:03,840 --> 00:02:08,960
Ο modular σχεδιασμός του επιτρέπει στους testers να συνδυάζουν payloads με exploits, να διαχειρίζονται

30
00:02:08,960 --> 00:02:12,840
sessions και να εκτελούν εργασίες post-exploitation.

31
00:02:12,840 --> 00:02:17,480
Για παράδειγμα, χρησιμοποιώντας το Meterpreter, ένα προηγμένο payload στο Metasploit, ένας επιτιθέμενος μπορεί να αποκτήσει

32
00:02:17,480 --> 00:02:20,560
έλεγχο σε ένα μηχάνημα-στόχο.

33
00:02:20,560 --> 00:02:26,080
Να κάνει enumerate χρήστες, να κάνει dump τα password hashes και ακόμη και να κάνει pivot σε άλλα δίκτυα.

34
00:02:26,080 --> 00:02:31,240
Χρησιμοποιείται ευρέως σε επαγγελματικά penetration testing engagements λόγω της ευελιξίας

35
00:02:31,240 --> 00:02:32,240
και του βάθους του.

36
00:02:32,240 --> 00:02:36,480
Τώρα, πριν ξεκινήσετε οποιαδήποτε επίθεση, πρέπει να γνωρίζετε το έδαφός σας.

37
00:02:36,480 --> 00:02:38,320
Εδώ είναι που μπαίνει το Nmap.

38
00:02:38,320 --> 00:02:43,480
Το Nmap, ή network mapper, είναι ένα ισχυρό εργαλείο network scanning.


39
00:02:43,480 --> 00:02:49,080
Η κύρια λειτουργία του είναι το reconnaissance, εντοπίζοντας ποια hosts είναι ενεργά και ποιες υπηρεσίες

40
00:02:49,080 --> 00:02:50,480
τρέχουν.

41
00:02:50,480 --> 00:02:55,240
Με ένα απλό command-line interface, το Nmap μπορεί να αποκαλύψει ανοιχτά ports, εκδόσεις

42
00:02:55,240 --> 00:02:59,480
λειτουργικών συστημάτων και ακόμη και τον τύπο της συσκευής σε ένα δίκτυο.

43
00:02:59,480 --> 00:03:05,280
Με προηγμένες σαρώσεις, μπορεί ακόμη και να ανιχνεύσει κανόνες firewall ή να αποκαλύψει υπηρεσίες με κακό configuration.

44
00:03:05,280 --> 00:03:13,080
Είναι το μάτι του επιτιθέμενου, και όταν χρησιμοποιείται ηθικά, είναι το πρώτο βήμα στο vulnerability

45
00:03:13,080 --> 00:03:14,080
assessment.

46
00:03:14,080 --> 00:03:19,240
Περνώντας στο web application testing, το Burp Suite είναι απαραίτητο.

47
00:03:19,240 --> 00:03:23,920
Το Burp Suite είναι ταυτόχρονα ένα web proxy και ένας vulnerability scanner.

48
00:03:23,920 --> 00:03:29,360
Χρησιμοποιείται εκτενώς στο bug bounty hunting και στο επαγγελματικό pen testing.

49
00:03:29,360 --> 00:03:34,240
Ως proxy, κάθεται ανάμεσα στον browser σας και το διαδίκτυο, επιτρέποντάς σας να κάνετε intercept,

50
00:03:34,240 --> 00:03:37,000
modify και replay τα web requests.

51
00:03:37,000 --> 00:03:42,840
Ως scanner, εντοπίζει κοινά ελαττώματα όπως SQL injection, XSS και αδυναμίες στο session management.

52
00:03:42,840 --> 00:03:44,360
.

53
00:03:44,360 --> 00:03:50,200
Με εργαλεία όπως το Intruder και το Repeater, το Burp Suite κάνει τον έλεγχο πολύπλοκων web applications

54
00:03:50,200 --> 00:03:52,400
συστηματικό και αποτελεσματικό.

55
00:03:52,400 --> 00:03:57,160
Μιλώντας για brute-forcing credentials, ας μιλήσουμε για το HYDRA.

56
00:03:57,160 --> 00:04:03,560
Το HYDRA είναι ένα γρήγορο, ευέλικτο εργαλείο σχεδιασμένο να σπάει login credentials χρησιμοποιώντας brute-force

57
00:04:03,560 --> 00:04:04,880
επιθέσεις.

58
00:04:04,880 --> 00:04:11,440
Είτε πρόκειται για σύνδεση SSH, FTP, HTTP ή ακόμη και SMB, το HYDRA υποστηρίζει ένα ευρύ φάσμα

59
00:04:11,440 --> 00:04:12,840
πρωτοκόλλων.

60
00:04:12,840 --> 00:04:17,720
Χρησιμοποιεί dictionary attacks, δοκιμάζοντας κυκλικά συνδυασμούς ονομάτων χρήστη και κωδικών μέχρι

61
00:04:17,720 --> 00:04:21,320
να πετύχει, ή να εξαντλήσει τη λίστα.

62
00:04:21,320 --> 00:04:26,400
Οι επαγγελματίες ασφαλείας το χρησιμοποιούν για να αξιολογήσουν την ισχύ των μηχανισμών authentication και

63
00:04:26,400 --> 00:04:31,840
να εντοπίσουν αδύναμα ή default credentials.

64
00:04:31,840 --> 00:04:35,440
Στη συνέχεια είναι το αγαπημένο μας για packet analysis, το Wireshark.

65
00:04:35,440 --> 00:04:40,920
Το Wireshark καταγράφει network traffic σε πραγματικό χρόνο, επιτρέποντας στους επαγγελματίες ασφαλείας να επιθεωρούν

66
00:04:40,920 --> 00:04:42,920
κάθε πακέτο με λεπτομέρεια.


67
00:04:42,920 --> 00:04:48,920
Μπορεί να αναλύσει πρωτόκολλα, να ανασυνθέσει TCP sessions και να αποκαλύψει ευαίσθητες πληροφορίες

68
00:04:48,920 --> 00:04:50,760
που μεταδίδονται σε plaintext.

69
00:04:50,760 --> 00:04:55,840
Για παράδειγμα, ένας επιτιθέμενος μπορεί να χρησιμοποιήσει το Wireshark σε ένα παραβιασμένο μηχάνημα για να υποκλέψει (sniff) κωδικούς

70
00:04:55,840 --> 00:04:57,920
μέσω HTTP ή FTP.

71
00:04:57,920 --> 00:05:03,040
Είναι ένα απαραίτητο εργαλείο τόσο για τις red όσο και για τις blue teams, για τους επιτιθέμενους να παρακολουθούν και τους αμυνόμενους

72
00:05:03,040 --> 00:05:04,600
να ανιχνεύουν εισβολές.

73
00:05:04,600 --> 00:05:07,240
Τέλος, εμβαθύνουμε στο SQLMAP.

74
00:05:07,240 --> 00:05:10,520
Το SQLMAP είναι ένα αυτοματοποιημένο εργαλείο SQL injection.

75
00:05:10,520 --> 00:05:17,360
Απλά στρέφοντάς το σε ένα ευπαθές URL, μπορεί να καθορίσει εάν η βάση δεδομένων είναι

76
00:05:17,360 --> 00:05:19,600
ευάλωτη σε injections.

77
00:05:19,600 --> 00:05:24,600
Από εκεί, μπορεί να κάνει enumerate τις βάσεις δεδομένων, να κάνει dump τα δεδομένα και ακόμη και να αποκτήσει πρόσβαση στο υποκείμενο

78
00:05:24,600 --> 00:05:27,840
σύστημα αρχείων ή να εκτελέσει εντολές στο host.

79
00:05:27,840 --> 00:05:34,680
Είναι εξαιρετικά παραμετροποιήσιμο και υποστηρίζει ένα ευρύ φάσμα DBMS engines όπως MySQL, PostgreSQL,

80
00:05:34,680 --> 00:05:39,160
Oracle και Microsoft SQL service.

81
00:05:39,160 --> 00:05:44,040
Χρησιμοποιείται συχνά στη φάση exploitation των αξιολογήσεων web εφαρμογών.

82
00:05:44,040 --> 00:05:50,000
Αυτά τα εργαλεία, ενώ είναι ισχυρά, είναι τόσο ηθικά όσο τα χέρια που τα χειρίζονται.

83
00:05:50,000 --> 00:05:56,160
Εάν χρησιμοποιηθούν υπεύθυνα, βοηθούν τους οργανισμούς να εντοπίσουν και να διορθώσουν τις αδυναμίες ασφαλείας.

84
00:05:56,160 --> 00:05:58,280
Στα λάθος χέρια, είναι όπλα.

85
00:05:58,280 --> 00:06:06,400
Οπότε καθώς συνεχίζουμε και μαθαίνουμε γι' αυτά, ας θυμόμαστε τον σκοπό: άμυνα μέσω της γνώσης.

86
00:06:06,400 --> 00:06:09,480
Ας ξεκινήσουμε λοιπόν με μια απλή αλλά θεμελιώδη ερώτηση.

87
00:06:09,480 --> 00:06:12,200
Τι είναι τα cybersecurity tools;

88
00:06:12,200 --> 00:06:17,120
Τα cybersecurity tools είναι εξειδικευμένες εφαρμογές λογισμικού και μερικές φορές συσκευές hardware

89
00:06:17,120 --> 00:06:22,000
που έχουν αναπτυχθεί για να βοηθήσουν οργανισμούς και άτομα να ενισχύσουν την ψηφιακή ασφάλεια,

90
00:06:22,000 --> 00:06:27,120
να ανιχνεύσουν και να ανταποκριθούν σε cyber threats και να μετριάσουν τους κινδύνους πριν γίνουν παραβιάσεις (breaches).

91
00:06:27,120 --> 00:06:32,640
Στην ουσία, αυτά τα εργαλεία λειτουργούν ως οι ψηφιακοί σωματοφύλακες των πληροφοριακών σας συστημάτων.

92
00:06:32,640 --> 00:06:37,040
Κατηγοριοποιούμε τα αμυντικά cybersecurity tools σε τρεις κύριες ομάδες,

93
00:06:37,040 --> 00:06:41,080
καθεμία από τις οποίες παίζει κρίσιμο ρόλο σε μια ολοκληρωμένη στάση ασφαλείας.

94
00:06:41,080 --> 00:06:43,480
Ας τα εξερευνήσουμε λεπτομερώς.

95
00:06:43,480 --> 00:06:46,280
Πρώτον, είναι τα network security tools.

96
00:06:46,280 --> 00:06:51,760
Αυτά τα εργαλεία αποτελούν την πρώτη γραμμή άμυνας, όπως τα τείχη και οι πύλες ενός κάστρου.

97
00:06:51,760 --> 00:06:58,960
Η δουλειά τους είναι να προστατεύουν την περίμετρο του δικτύου και να διαχειρίζονται τη ροή της κίνησης προς και από τα συστήματά σας.

98
00:06:58,960 --> 00:07:03,120
Τα Firewalls είναι ίσως τα πιο γνωστά εργαλεία άμυνας δικτύου.

99
00:07:03,120 --> 00:07:09,360
Παρακολουθούν και φιλτράρουν την εισερχόμενη και εξερχόμενη κίνηση δικτύου με βάση προκαθορισμένους κανόνες ασφαλείας.

100
00:07:09,360 --> 00:07:14,360
Τα Firewalls μπορεί να είναι hardware-based, software-based ή cloud-native.

101
00:07:14,360 --> 00:07:19,560
Τα VPNs ή εικονικά ιδιωτικά δίκτυα παρέχουν ασφαλή κρυπτογραφημένα τούνελ

102
00:07:19,560 --> 00:07:23,480
για να ταξιδεύουν τα δεδομένα μέσω δημόσιων ή μη έμπιστων δικτύων.

103
00:07:23,480 --> 00:07:30,360
Είναι απαραίτητα για την απομακρυσμένη εργασία και για τη διαφύλαξη ευαίσθητων μεταδόσεων από ωτακουστές.

104
00:07:30,360 --> 00:07:35,000
Τα IDPS, Intrusion Detection Systems ή Intrusion Prevention Systems,

105
00:07:35,000 --> 00:07:41,640
παρακολουθούν ενεργά την κίνηση δικτύου για σημάδια κακόβουλης δραστηριότητας.

106
00:07:41,640 --> 00:07:47,400
Ένα IDS θα ειδοποιήσει τον διαχειριστή όταν εντοπιστεί κάτι ύποπτο,

107
00:07:47,400 --> 00:07:54,360
ενώ ένα IPS, ένα σύστημα πρόληψης, μπορεί να λάβει μέτρα όπως το μπλοκάρισμα της κίνησης σε πραγματικό χρόνο.

108
00:07:54,360 --> 00:07:57,920
Η δεύτερη κατηγορία είναι τα vulnerability assessment tools.

109
00:07:57,920 --> 00:07:59,720
Αυτά τα εργαλεία είναι προληπτικά.

110
00:07:59,720 --> 00:08:05,760
Αντί να περιμένουν να συμβεί μια επίθεση, ψάχνουν για αδυναμίες πριν προλάβουν να τις εκμεταλλευτούν οι επιτιθέμενοι.

111
00:08:05,760 --> 00:08:12,040
Οι vulnerability scanners, όπως το Nessus ή το OpenVAS, σαρώνουν δίκτυα, συστήματα και εφαρμογές

112
00:08:12,040 --> 00:08:20,680
για να εντοπίσουν γνωστά προβλήματα ασφαλείας, όπως λογισμικό χωρίς patches, misconfigurations ή default credentials που χρησιμοποιούνται.

113
00:08:20,680 --> 00:08:28,080
Οι patch managers βοηθούν στη διασφάλιση ότι τα συστήματα παραμένουν ενημερωμένα αυτοματοποιώντας τη διαδικασία εφαρμογής των security patches.

114
00:08:28,080 --> 00:08:34,240
Το έγκαιρο patching είναι ένας από τους πιο αποτελεσματικούς τρόπους για την πρόληψη του exploitation γνωστών ευπαθειών.

115
00:08:34,240 --> 00:08:39,480
Σκεφτείτε αυτή την κατηγορία ως την τακτική επιθεώρηση ασφαλείας σας.

116
00:08:39,480 --> 00:08:44,880
Δεν σταματά τους επιτιθέμενους, αλλά φροντίζει να μην αφήνετε τις πόρτες ανοιχτές γι' αυτούς.

117
00:08:44,880 --> 00:08:53,840
Intrusion Detection Tools, αυτή η κατηγορία αξίζει ιδιαίτερη προσοχή, καθώς συχνά αντιπροσωπεύει την πρώτη γραμμή εντοπισμού μιας ενεργής επίθεσης.

118
00:08:53,840 --> 00:08:57,600
Το IDPS, όπως αναφέρθηκε προηγουμένως, μπορεί να είναι signature-based.

119
00:08:57,600 --> 00:09:05,760
Αυτά τα συστήματα αναγνωρίζουν γνωστά μοτίβα, όπως ακριβώς ένα λογισμικό antivirus εντοπίζει υπογραφές malware.

120
00:09:05,800 --> 00:09:10,080
Είναι γρήγορα και ακριβή, αλλά αποτελεσματικά μόνο ενάντια σε γνωστές απειλές.

121
00:09:10,080 --> 00:09:13,840
Υπάρχουν επίσης συστήματα εντοπισμού εισβολών που είναι anomaly-based.

122
00:09:13,840 --> 00:09:18,600
Αυτά τα συστήματα χρησιμοποιούν ανάλυση συμπεριφοράς για να επισημάνουν οτιδήποτε αποκλίνει από το κανονικό,

123
00:09:18,600 --> 00:09:23,520
για παράδειγμα, έναν χρήστη που κατεβάζει gigabytes δεδομένων τα μεσάνυχτα.

124
00:09:23,520 --> 00:09:30,440
Αν και ισχυρά, μπορεί να είναι επιρρεπή σε false positives και συχνά απαιτούν λεπτομερή ρύθμιση (fine-tuning).

125
00:09:30,440 --> 00:09:33,000
Το κλειδί εδώ είναι το κομμάτι του εντοπισμού.

126
00:09:33,000 --> 00:09:42,480
Αυτά τα εργαλεία σας ειδοποιούν όταν συμβαίνει κάτι, δίνοντας στην ομάδα incident response πολύτιμο χρόνο για να δράσει πριν επεκταθεί η ζημιά.

127
00:09:42,480 --> 00:09:49,440
Συνοψίζοντας, τα cybersecurity tools, ιδιαίτερα τα αμυντικά, δεν είναι αυτόνομες λύσεις.

128
00:09:49,440 --> 00:09:56,320
Είναι μέρος μιας στρατηγικής layered defense, όπου κάθε επίπεδο αντισταθμίζει τους περιορισμούς των άλλων.

129
00:09:56,320 --> 00:10:02,040
Από τον έλεγχο της πρόσβασης χρηστών έως τον εντοπισμό εισβολών και την αξιολόγηση της έκθεσης σε κίνδυνο,

130
00:10:02,040 --> 00:10:07,400
αυτά τα εργαλεία συνεργάζονται για να ασφαλίσουν τα δεδομένα και την υποδομή του δικτύου μας.

131
00:10:08,720 --> 00:10:14,960
Ας στρέψουμε τώρα την προσοχή μας στους υπερασπιστές της πρώτης γραμμής της σύγχρονης ψηφιακής υποδομής.

132
00:10:14,960 --> 00:10:16,560
Τα network security tools.

133
00:10:16,560 --> 00:10:23,480
Αυτοί είναι οι φύλακες που παρακολουθούν, φιλτράρουν και μερικές φορές αποκρούουν cyber threats πριν φτάσουν σε κρίσιμα συστήματα.

134
00:10:23,480 --> 00:10:29,280
Ο σκοπός αυτών των εργαλείων είναι να διασφαλίσουν την ακεραιότητα, την εμπιστευτικότητα και τη διαθεσιμότητα.

135
00:10:29,280 --> 00:10:34,280
Το κλασικό CIA triad της υποδομής του δικτύου.

136
00:10:34,280 --> 00:10:43,960
Το κάνουν αυτό ελέγχοντας τη ροή της κίνησης, εντοπίζοντας ύποπτη δραστηριότητα και, σε ορισμένες περιπτώσεις, σταματώντας αυτές τις απειλές επιτόπου.

137
00:10:43,960 --> 00:10:51,400
Θα εστιάσουμε σε τρία βασικά συστατικά σε αυτόν τον τομέα: firewalls, intrusion detection systems και intrusion prevention systems.

138
00:10:51,400 --> 00:10:54,200
Τα firewalls είναι οι πύλες του δικτύου.

139
00:10:54,200 --> 00:10:59,480
Σκεφτείτε τα ως τελωνειακούς υπαλλήλους, σε ένα σημείο ελέγχου συνόρων,

140
00:10:59,480 --> 00:11:03,760
να επιθεωρούν πακέτα δεδομένων καθώς εισέρχονται και εξέρχονται από το δίκτυο.

141
00:11:03,760 --> 00:11:14,320
Το firewall φιλτράρει την κίνηση βάσει καθορισμένων κανόνων ασφαλείας, για παράδειγμα, μπλοκάροντας όλη την εισερχόμενη κίνηση στη θύρα 23,

142
00:11:14,320 --> 00:11:18,960
για να αποτρέψει την πρόσβαση telnet ή 22 για πρόσβαση SSH.

143
00:11:18,960 --> 00:11:24,680
Έρχονται σε μορφές hardware, software και cloud-managed ανάλογα με τις ανάγκες της υποδομής σας.

144
00:11:24,680 --> 00:11:31,080
Τα firewalls μπορούν να εκτελέσουν stateful inspection, που παρακολουθεί την κατάσταση των ενεργών συνδέσεων

145
00:11:31,080 --> 00:11:36,440
ή stateless inspection, που απλά εξετάζει κάθε πακέτο από μόνο του.

146
00:11:36,440 --> 00:11:43,080
Μερικά παραδείγματα firewalls είναι το PFSense, μια open-source διανομή λογισμικού firewall router.

147
00:11:43,080 --> 00:11:49,360
Μπορείτε να το εγκαταστήσετε ως VM ή ως εικονική μηχανή ή σε έναν συγκεκριμένο υπολογιστή.

148
00:11:49,360 --> 00:11:58,000
Το Cisco ASA από τη Cisco, ευρέως χρησιμοποιούμενο enterprise firewall με ενσωματωμένη υποστήριξη VPN και IPS.

149
00:11:58,000 --> 00:12:10,280
Φυσικά, υπάρχουν και άλλες εταιρείες όπως η Fortinet, που έχουν το FortiGate που υποστηρίζει επίσης firewalls και περιλαμβάνει intrusion prevention systems.

150
00:12:10,280 --> 00:12:14,360
Intrusion detection systems, αν τα firewalls είναι οι φύλακες,

151
00:12:14,360 --> 00:12:22,080
το IDS είναι η κάμερα ασφαλείας, που πάντα παρακολουθεί, καταγράφει και σας ειδοποιεί όταν κάτι δεν πάει καλά.

152
00:12:22,080 --> 00:12:30,280
Τα εργαλεία IDS παρακολουθούν την κίνηση δικτύου για σημάδια επιθέσεων, παραβιάσεις πολιτικής ή ανώμαλη συμπεριφορά.

153
00:12:30,280 --> 00:12:36,160
Όταν εντοπίσουν ένα πρόβλημα, ειδοποιούν τους διαχειριστές που μπορούν να ερευνήσουν και να ανταποκριθούν.

154
00:12:36,160 --> 00:12:40,200
Υπάρχουν δύο κύριες μέθοδοι ανίχνευσης.

155
00:12:40,200 --> 00:12:48,320
Signature-based, όπως σας είπα πριν, αναζητά γνωστά μοτίβα επίθεσης, γρήγορο αλλά περιορισμένο σε γνωστές απειλές.

156
00:12:48,320 --> 00:12:56,280
Μπορεί να είναι επίσης anomaly-based, επισημαίνει ασυνήθιστη δραστηριότητα, πιο προσαρμοστικό αλλά μπορεί να παράγει false positives.

157
00:12:56,280 --> 00:13:03,640
Μερικά παραδείγματα intrusion detection systems είναι το open-source Snort, που υιοθετήθηκε ευρέως στο παρελθόν.

158
00:13:03,640 --> 00:13:12,720
Και το Suricata, είναι ένα IDS και ταυτόχρονα ένα intrusion prevention system με multi-threading και προηγμένη υποστήριξη πρωτοκόλλων.

159
00:13:12,720 --> 00:13:19,960
Είναι ένα από τα open-source tools που είναι πιο γνωστά τα τελευταία χρόνια.

160
00:13:19,960 --> 00:13:24,280
Τα IPS, intrusion prevention systems, είναι προληπτικές άμυνες.

161
00:13:24,280 --> 00:13:31,560
Κάνουν ό,τι κάνει και ένα IDS, αλλά μπλοκάρουν επίσης την κακόβουλη κίνηση σε πραγματικό χρόνο.

162
00:13:31,600 --> 00:13:40,480
Τα intrusion prevention systems μπορούν να τερματίσουν sessions, να απορρίψουν πακέτα ή ακόμη και να ενημερώσουν τους κανόνες του firewall με νέους κανόνες στις υπογραφές.

163
00:13:40,480 --> 00:13:46,480
Συχνά, το IPS ενσωματώνεται απευθείας στα firewalls, δημιουργώντας μια ενιαία λύση ασφαλείας.

164
00:13:46,480 --> 00:13:54,840
Η βασική διαφορά είναι η αντίδραση, το IDS παρακολουθεί ενώ το IPS ενεργεί και ανταποκρίνεται.

165
00:13:54,840 --> 00:14:02,160
Ένα παράδειγμα use-case μπορεί να είναι κάπως έτσι. Ας πούμε ότι ένα IDS, όπως το Suricata, έχει εγκατασταθεί στο περιμετρικό σας δίκτυο.

166
00:14:02,160 --> 00:14:08,600
Εντοπίζει ένα ύποπτο port scan που προέρχεται από μια απομακρυσμένη IP, ας πούμε μια συγκεκριμένη IP.

167
00:14:08,600 --> 00:14:14,120
Το scan στοχεύει πολλαπλά ports υψηλού κινδύνου στο εσωτερικό σας subnet.

168
00:14:14,120 --> 00:14:22,480
Το IDS καταγράφει αμέσως τη συμπεριφορά και στέλνει μια ειδοποίηση στην ομάδα SOC σας, σύμφωνα με αυτές τις διευθύνσεις IP που σαρώνουν.

169
00:14:22,520 --> 00:14:29,520
Με βάση την ειδοποίηση, η ομάδα ερευνά και επιβεβαιώνει ότι η δραστηριότητα είναι μέρος μιας συνεχιζόμενης απόπειρας reconnaissance.

170
00:14:29,520 --> 00:14:38,800
Στη συνέχεια ενημερώνουν τους κανόνες του firewall ή ενεργοποιούν ένα IPS για να μπλοκάρουν όλη την κίνηση από τη συγκεκριμένη διεύθυνση IP που είναι ύποπτη.

171
00:14:38,800 --> 00:14:45,840
Με αυτόν τον τρόπο, ο οργανισμός σταματά τον επιτιθέμενο στο στάδιο του reconnaissance, πολύ πριν προκληθεί οποιαδήποτε πραγματική ζημιά.

172
00:14:45,840 --> 00:14:50,240
Θυμηθείτε λοιπόν, τα network security tools δεν είναι απλώς παθητικοί παρατηρητές.

173
00:14:50,240 --> 00:15:00,840
Όταν εφαρμόζονται σωστά, είναι ενεργοί συμμετέχοντες στο οικοσύστημα cybersecurity σας, παρακολουθώντας, μαθαίνοντας και αμυνόμενοι συνεχώς.

174
00:15:00,840 --> 00:15:11,600
Στη συνέχεια, θα εμβαθύνουμε και θα δούμε πώς αυτά τα εργαλεία ενσωματώνονται με τις ομάδες SOC και πώς μπορούμε να παρακολουθούμε σε πραγματικό χρόνο.

175
00:15:11,600 --> 00:15:17,840
Τα endpoint security tools έχουν σχεδιαστεί για να προστατεύουν τις μεμονωμένες συσκευές που αποτελούν τα άκρα του δικτύου σας,

176
00:15:17,840 --> 00:15:23,600
είτε πρόκειται για desktops, laptops, κινητά τηλέφωνα ή ακόμα και IoT συσκευές.

177
00:15:23,600 --> 00:15:32,600
Ο πρωταρχικός στόχος του endpoint security είναι να προστατεύσει αυτές τις συσκευές από απειλές όπως malware, phishing, ransomware και μη εξουσιοδοτημένη πρόσβαση.

178
00:15:32,600 --> 00:15:41,600
Δεδομένου ότι κάθε endpoint μπορεί να είναι ένα πιθανό σημείο εισόδου για μια επίθεση, η ασφάλισή τους είναι ζωτικής σημασίας για τη διατήρηση του συνολικού cybersecurity του δικτύου σας.

179
00:15:41,600 --> 00:15:47,600
Πρώτα απ' όλα, έχουμε το antivirus λογισμικό, το οποίο είναι το θεμελιώδες εργαλείο άμυνας για κάθε endpoint.

180
00:15:47,600 --> 00:15:53,600
Το antivirus λογισμικό λειτουργεί σαρώνοντας αρχεία και εφαρμογές για γνωστές υπογραφές malware.

181
00:15:53,600 --> 00:16:00,600
Είναι παρόμοιο με έναν φύλακα ασφαλείας που ψάχνει για δακτυλικά αποτυπώματα γνωστών εγκληματιών.

182
00:16:00,600 --> 00:16:09,600
Το antivirus λογισμικό παρέχει προστασία σε πραγματικό χρόνο, που σημαίνει ότι είναι πάντα σε εγρήγορση, παρακολουθώντας για κακόβουλες δραστηριότητες καθώς συμβαίνουν.

183
00:16:09,600 --> 00:16:15,600
Μπορούν επίσης να προγραμματίσουν τακτικές σαρώσεις για να διασφαλίσουν ότι κανένα malware δεν έχει περάσει απαρατήρητο.

184
00:16:15,600 --> 00:16:23,600
Παραδείγματα antivirus λογισμικού περιλαμβάνουν το Bitdefender, γνωστό για την ισχυρή ανίχνευση malware και τη χαμηλή επίδραση στο σύστημα.

185
00:16:24,600 --> 00:16:31,600
Στη συνέχεια, περνάμε στο endpoint detection and response, που ονομάζεται EDR, ένα πολύ πιο προηγμένο εργαλείο για την υπεράσπιση των endpoints.

186
00:16:31,600 --> 00:16:35,600
Οι λύσεις EDR υπερβαίνουν τη σάρωση για γνωστό malware.

187
00:16:35,600 --> 00:16:43,600
Παρακολουθούν συνεχώς τη συμπεριφορά της συσκευής, ψάχνοντας για ασυνήθιστη ή ύποπτη δραστηριότητα, όπως ένα θέμα ή έναν χρήστη.

188
00:16:43,600 --> 00:16:53,600
Το EDR είναι ιδιαίτερα αποτελεσματικό ενάντια σε προηγμένες απειλές, όπως το file-less malware, το οποίο κρύβει την παρουσία του λειτουργώντας εξ ολοκλήρου στη μνήμη.

189
00:16:53,600 --> 00:17:01,600
Εκτός από τον εντοπισμό απειλών, οι λύσεις EDR παρέχουν forensics, που μπορούν να χρησιμοποιηθούν για τον εντοπισμό και την ανίχνευση απειλών.

190
00:17:01,600 --> 00:17:08,600
Προσφέρουν επίσης αυτοματοποιημένο remediation, ανταποκρινόμενα σε απειλές απομονώνοντας συσκευές ή μπλοκάροντας επιβλαβείς διεργασίες.

191
00:17:08,600 --> 00:17:17,600
Παραδείγματα λύσεων EDR περιλαμβάνουν το CrowdStrike, το οποίο μπορεί να χρησιμοποιηθεί για τον εντοπισμό απειλών, όπως file-less malware, που κρύβει την παρουσία του λειτουργώντας εξ ολοκλήρου στη μνήμη.

192
00:17:17,600 --> 00:17:24,600
Εκτός από τον εντοπισμό απειλών, οι λύσεις EDR παρέχουν forensics, που σημαίνει ότι μπορείτε να ερευνήσετε και να εντοπίσετε τα βήματα ενός επιτιθέμενου αφού συμβεί.

193
00:17:24,600 --> 00:17:29,600
Εκτός από τον εντοπισμό απειλών, οι λύσεις EDR παρέχουν forensics, που σημαίνει ότι μπορείτε να εντοπίσετε και να ανιχνεύσετε τα βήματα ενός επιτιθέμενου αφού συμβεί.

194
00:17:29,600 --> 00:17:44,600
Παραδείγματα λύσεων EDR περιλαμβάνουν το CrowdStrike Falcon, μια cloud-native λύση γνωστή για την ταχύτητα και την επεκτασιμότητά της, και το Microsoft Defender for Endpoint, που ενσωματώνεται στο λειτουργικό σύστημα Windows για ολοκληρωμένη προστασία.

195
00:17:44,600 --> 00:17:57,600
Στον σημερινό κόσμο, τα smartphones και τα tablets είναι πανταχού παρόντα, και τα εργαλεία mobile device management βοηθούν στην ασφάλεια αυτών των συσκευών, ειδικά αυτών που ονομάζονται Bring Your Own Device, BYOD.

196
00:17:57,600 --> 00:18:10,600
Οι λύσεις MDM, Mobile Device Management, επιτρέπουν στους οργανισμούς να επιβάλλουν πολιτικές ασφαλείας σε smartphones και tablets, διασφαλίζοντας ότι τα ευαίσθητα δεδομένα παραμένουν προστατευμένα.

197
00:18:10,600 --> 00:18:19,600
Αυτές οι πολιτικές μπορεί να περιλαμβάνουν την απαίτηση κρυπτογράφησης και την επιβολή ισχύος κωδικού πρόσβασης ή την απομακρυσμένη διαγραφή δεδομένων (wiping) από μια συσκευή που έχει χαθεί ή κλαπεί.

198
00:18:19,600 --> 00:18:31,600
Σκεφτείτε ένα σενάριο όπου μια λύση EDR μπαίνει στο παιχνίδι. Φανταστείτε ότι ένας επιτιθέμενος έχει αποκτήσει πρόσβαση σε έναν λογαριασμό χρήστη και προσπαθεί να κινηθεί πλευρικά (laterally) μέσα στο δίκτυο.

199
00:18:31,600 --> 00:18:40,600
Το εργαλείο EDR εντοπίζει ύποπτη πλευρική κίνηση, όπως μη εξουσιοδοτημένη πρόσβαση σε πολλαπλά αρχεία και απομονώνει αυτόματα το παραβιασμένο endpoint.

200
00:18:40,600 --> 00:18:52,600
Αυτή η γρήγορη ενέργεια βοηθά στον περιορισμό της επίθεσης πριν προλάβει να κλιμακωθεί, επιτρέποντας στην ομάδα ασφαλείας να εκτελέσει μια έρευνα forensics για να κατανοήσει πώς συνέβη η παραβίαση.

201
00:18:52,600 --> 00:18:59,600
Συμπερασματικά, τα endpoint security tools είναι σαν προσωπικοί σωματοφύλακες για κάθε συσκευή στο δίκτυό σας.

202
00:18:59,600 --> 00:19:13,600
Από το παραδοσιακό antivirus λογισμικό έως τις προηγμένες λύσεις EDR, αυτά τα εργαλεία εργάζονται ακούραστα για να διασφαλίσουν ότι οι πιο αδύναμοι κρίκοι στην ψηφιακή υποδομή σας, τα endpoints σας, παραμένουν ασφαλή.

203
00:19:13,600 --> 00:19:24,600
Τα vulnerability assessment tools είναι κρίσιμα στο τοπίο του cybersecurity καθώς σαρώνουν συστηματικά και εντοπίζουν ευπάθειες σε συστήματα πληροφορικής, εφαρμογές και υποδομές δικτύου.

204
00:19:24,600 --> 00:19:35,600
Αυτά τα εργαλεία έχουν σχεδιαστεί για να εντοπίζουν προληπτικά αδυναμίες πριν μπορέσουν να τις εκμεταλλευτούν οι επιτιθέμενοι, επιτρέποντας στους οργανισμούς να εφαρμόσουν μέτρα μετριασμού για την προστασία των περιουσιακών τους στοιχείων.

205
00:19:35,600 --> 00:19:42,600
Ένα από τα πιο γνωστά vulnerability assessment tools είναι το Nessus, ένας εμπορικός scanner που αναπτύχθηκε από την Tenable.

206
00:19:42,600 --> 00:19:50,600
Το Nessus σαρώνει για διάφορες ευπάθειες, συμπεριλαμβανομένου λογισμικού που δεν έχει ενημερωθεί, misconfigurations και ελλείποντα patches.

207
00:19:50,600 --> 00:19:59,600
Είναι ικανό να παράγει αναφορές βάσει ρίσκου με προτεραιότητα, οι οποίες βοηθούν τις ομάδες ασφαλείας να εστιάσουν πρώτα στις πιο κρίσιμες ευπάθειες.

208
00:19:59,600 --> 00:20:06,600
Το Nessus χρησιμοποιείται ευρέως σε enterprise περιβάλλοντα για ολοκληρωμένη διαχείριση ευπαθειών.

209
00:20:06,600 --> 00:20:11,600
Ένα άλλο δημοφιλές εργαλείο είναι το OpenVAS, μια open-source εναλλακτική του Nessus.

210
00:20:12,600 --> 00:20:20,600
Το OpenVAS, που αναπτύχθηκε από την GreenBone Networks, είναι ικανό να εκτελεί ολοκληρωμένες σαρώσεις ευπαθειών δικτύου.

211
00:20:20,600 --> 00:20:29,600
Είναι διαθέσιμο τόσο σε community όσο και σε enterprise εκδόσεις, καθιστώντας το μια ελκυστική επιλογή για οργανισμούς που αναζητούν μια οικονομικά αποδοτική λύση.

212
00:20:29,600 --> 00:20:37,600
Ενώ η enterprise έκδοση προσφέρει βελτιωμένα χαρακτηριστικά, η community έκδοση παραμένει ένα ισχυρό εργαλείο για όσους έχουν περιορισμένο προϋπολογισμό.

213
00:20:37,600 --> 00:20:42,600
Το Qualys και το NexPose είναι δύο άλλες αξιοσημείωτες πλατφόρμες διαχείρισης ευπαθειών.

214
00:20:42,600 --> 00:20:50,600
Το Qualys είναι μια cloud-based λύση, ενώ το NexPose μπορεί να εγκατασταθεί on premises ή στο cloud.

215
00:20:50,600 --> 00:21:00,600
Και οι δύο πλατφόρμες προσφέρουν συνεχή διαχείριση ευπαθειών, παρέχοντας τακτικές σαρώσεις και ενημερώσεις για να διασφαλιστεί ότι τα συστήματα παραμένουν ασφαλή καθώς ανακαλύπτονται νέες ευπάθειες.

216
00:21:00,600 --> 00:21:07,600
Ένα παράδειγμα είναι ένα σενάριο όπου το Nessus εντοπίζει μια κρίσιμη ευπάθεια σε έναν server που δεν έχει γίνει patch.

217
00:21:07,600 --> 00:21:13,600
Η ευπάθεια θα μπορούσε να γίνει exploit αν αφεθεί ανεξέλεγκτη, οδηγώντας πιθανώς σε παραβίαση.

218
00:21:13,600 --> 00:21:25,600
Εντοπίζοντας αυτό το ζήτημα νωρίς, οι διαχειριστές συστήματος μπορούν να κάνουν patch τον server πριν οι επιτιθέμενοι έχουν την ευκαιρία να τον εκμεταλλευτούν, αποτρέποντας έτσι έναν πιθανό συμβιβασμό.

219
00:21:25,600 --> 00:21:38,600
Οι αξιολογήσεις ευπαθειών όπως το Nessus, το OpenVAS, το Qualys και το NexPose, και φυσικά το Nmap που ήδη παρουσιάσαμε, παίζουν ζωτικό ρόλο στη διατήρηση προληπτικού cybersecurity.

220
00:21:38,600 --> 00:21:47,600
Βοηθώντας τους οργανισμούς να παραμένουν μπροστά από τις απειλές εντοπίζοντας αδυναμίες πριν μπορέσουν να αξιοποιηθούν από κακόβουλους παράγοντες.

221
00:21:47,600 --> 00:21:56,600
Τα Forensics και Incident Response Tools παίζουν κρίσιμο ρόλο στο να βοηθήσουν τους οργανισμούς να ερευνήσουν και να ανταποκριθούν σε περιστατικά ασφαλείας.

222
00:21:56,600 --> 00:22:06,600
Ο πρωταρχικός σκοπός τους είναι να υποστηρίξουν έρευνες βοηθώντας στην κατανόηση του χρονοδιαγράμματος της επίθεσης, στην εξαγωγή αποδεικτικών στοιχείων και στη διευκόλυνση της ανάκαμψης.

223
00:22:06,600 --> 00:22:15,600
Αυτά τα εργαλεία είναι απαραίτητα τόσο σε νομικές έρευνες όσο και σε εσωτερικές έρευνες παραβιάσεων, παρέχοντας τα μέσα για να αποκαλυφθεί τι συνέβη,

224
00:22:15,600 --> 00:22:19,600
πώς συνέβη και πώς να αποφευχθούν μελλοντικά συμβάντα.

225
00:22:19,600 --> 00:22:31,600
Ένα από τα πιο γνωστά εργαλεία σε αυτή την κατηγορία είναι το Autopsy, το οποίο είναι ένα γραφικό περιβάλλον χρήστη GUI για το Sleuth Kit, μια συλλογή εργαλείων ψηφιακών forensics.

226
00:22:31,600 --> 00:22:41,600
Το Autopsy επιτρέπει στους αναλυτές forensics να αναλύουν σκληρούς δίσκους, να ανακτούν διαγραμμένα αρχεία, να εξετάζουν το ιστορικό του browser και να εξάγουν metadata.

227
00:22:41,600 --> 00:22:56,600
Αυτό το καθιστά απίστευτα χρήσιμο για τη διερεύνηση εσωτερικών παραβιάσεων ή νομικών υποθέσεων που περιλαμβάνουν ψηφιακά πειστήρια, καθώς μπορεί να βοηθήσει στην αποκάλυψη στοιχείων της επίθεσης και στον εντοπισμό των δραστηριοτήτων του δράστη.

228
00:22:56,600 --> 00:23:04,600
Η ικανότητα ανάκτησης διαγραμμένων αρχείων είναι ιδιαίτερα πολύτιμη σε περιπτώσεις όπου οι επιτιθέμενοι προσπαθούν να σβήσουν τα ίχνη τους.

229
00:23:04,600 --> 00:23:12,600
Ένα άλλο ισχυρό εργαλείο για Incident Response είναι το Volatility Framework, το οποίο ειδικεύεται στα memory forensics.

230
00:23:12,600 --> 00:23:24,600
Αυτό το εργαλείο έχει σχεδιαστεί για να εξάγει πολύτιμες πληροφορίες από memory dumps, τα οποία συχνά αποκαλύπτουν κρίσιμες πληροφορίες που δεν βρίσκονται στην παραδοσιακή ανάλυση βάσει δίσκου.

231
00:23:25,600 --> 00:23:39,600
Το Volatility βοηθά τους ειδικούς forensics να εντοπίσουν rootkits, να αποκαλύψουν κακόβουλες διεργασίες και να εντοπίσουν ανοιχτές συνδέσεις δικτύου που θα μπορούσαν να είναι ενδεικτικές μιας ενεργής επίθεσης ή παραβίασης.

232
00:23:39,600 --> 00:23:53,600
Αναλύοντας τη μνήμη, το Volatility μπορεί να αποκαλύψει κακόβουλες δραστηριότητες που μπορεί να μην αφήνουν ίχνη στον σκληρό δίσκο, καθιστώντας το έναν ανεκτίμητο πόρο για προηγμένες έρευνες forensics.

233
00:23:53,600 --> 00:24:07,600
Το The Hive και το MISP είναι πλατφόρμες ειδικά σχεδιασμένες για να βοηθούν τις προσπάθειες incident response, εστιάζοντας στην παρακολούθηση περιστατικών, τη συνεργασία και την ανταλλαγή threat intelligence.

234
00:24:07,600 --> 00:24:15,600
Αυτά τα εργαλεία χρησιμοποιούνται συνήθως σε κέντρα επιχειρήσεων ασφαλείας για το συντονισμό της απόκρισης σε συνεχιζόμενα περιστατικά ασφαλείας.

235
00:24:15,600 --> 00:24:27,600
Το The Hive, για παράδειγμα, παρέχει ένα πλαίσιο διαχείρισης περιστατικών που επιτρέπει στις ομάδες ασφαλείας να συνεργάζονται, να τεκμηριώνουν τα ευρήματά τους και να παρακολουθούν την πρόοδο μιας έρευνας.

236
00:24:27,600 --> 00:24:42,600
Το MISP, που προέρχεται από το Malware Information Sharing Platform, είναι ένα συμπληρωματικό εργαλείο που διευκολύνει την ανταλλαγή threat intelligence, βοηθώντας τις ομάδες να παραμένουν ενημερωμένες για τις αναδυόμενες απειλές και να ανταποκρίνονται πιο αποτελεσματικά στα περιστατικά.

237
00:24:42,600 --> 00:24:57,600
Μπορούμε να δούμε ένα παράδειγμα use case σε μια έρευνα που αφορά μια επίθεση phishing, το Autopsy βοηθά έναν αναλυτή forensics να ανακτήσει διαγραμμένα emails και login credentials που χρησιμοποιήθηκαν κατά τη διάρκεια της επίθεσης.

238
00:24:57,600 --> 00:25:08,600
Αυτά τα ανακτημένα αντικείμενα παρέχουν ζωτικές πληροφορίες και αποδεικτικά στοιχεία, επιτρέποντας στον αναλυτή να ανιχνεύσει τα βήματα του επιτιθέμενου και να προσδιορίσει το πλήρες εύρος της επίθεσης.

239
00:25:08,600 --> 00:25:18,600
Αναλύοντας τα ανακτημένα δεδομένα, η ομάδα ασφαλείας μπορεί να λάβει μέτρα για τον μετριασμό της απειλής και την ενίσχυση της άμυνάς της για την αποφυγή παρόμοιων περιστατικών στο μέλλον.

240
00:25:18,600 --> 00:25:31,600
Τα εργαλεία Forensics και Incident Response όπως το Autopsy, το Volatility, το The Hive και το MISP είναι απαραίτητα για τη συναρμολόγηση του παζλ μετά από ένα περιστατικό cybersecurity.

241
00:25:31,600 --> 00:25:43,600
Επιτρέπουν στους οργανισμούς να κατανοήσουν την επίθεση, να ανακτήσουν κρίσιμα αποδεικτικά στοιχεία και να συνεργαστούν αποτελεσματικά για να μετριάσουν τη ζημιά και να βελτιώσουν τη μελλοντική ασφάλεια.

242
00:25:43,600 --> 00:25:54,600
Τα Penetration testing tools έχουν σχεδιαστεί για να μιμούνται τις τακτικές που χρησιμοποιούνται από επιτιθέμενους του πραγματικού κόσμου για να δοκιμάσουν τις άμυνες των συστημάτων και να εντοπίσουν εκμεταλλεύσιμες ευπάθειες.

243
00:25:54,600 --> 00:26:04,600
Αυτά τα εργαλεία είναι απαραίτητα για τους ethical hackers και τους red teamers που είναι επιφορτισμένοι με την προσομοίωση κυβερνοεπιθέσεων για την αξιολόγηση της στάσης ασφαλείας ενός οργανισμού.

244
00:26:04,600 --> 00:26:12,600
Ο στόχος είναι να αποκαλυφθούν ευπάθειες πριν μπορέσουν να τις εκμεταλλευτούν κακόβουλοι παράγοντες, παρέχοντας πολύτιμες πληροφορίες για τη βελτίωση των αμυντικών συστημάτων ασφαλείας.

245
00:26:12,600 --> 00:26:23,600
Ένα από τα πιο δημοφιλή εργαλεία σε αυτή την κατηγορία είναι το Metasploit framework, το οποίο είναι μια ολοκληρωμένη πλατφόρμα penetration testing που περιέχει εκατοντάδες exploits και payloads.

246
00:26:23,600 --> 00:26:32,600
Το Metasploit επιτρέπει στους χρήστες να δοκιμάσουν διάφορα σενάρια επίθεσης εναντίον συστημάτων στόχων, βοηθώντας στον εντοπισμό αδυναμιών στις άμυνες του συστήματος.

247
00:26:32,600 --> 00:26:43,600
Περιλαμβάνει επίσης modules post-exploitation όπως κλιμάκωση προνομίων (privilege escalation) και persistence, τα οποία μπορούν να χρησιμοποιηθούν για την εμβάθυνση της πρόσβασης σε παραβιασμένα συστήματα.

248
00:26:43,600 --> 00:26:55,600
Επιπλέον, το Metasploit υποστηρίζει scripting σε Ruby, επιτρέποντας στους penetration testers να αυτοματοποιούν εργασίες και να προσαρμόζουν τις διαδικασίες exploit, ενισχύοντας την ευελιξία και την ισχύ του εργαλείου.

249
00:26:55,600 --> 00:27:05,600
Ένα άλλο ευρέως χρησιμοποιούμενο εργαλείο είναι το Burp Suite, που αναπτύχθηκε από την PortSwigger, το οποίο είναι ειδικά προσαρμοσμένο για web application security testing.

250
00:27:05,600 --> 00:27:15,600
Το Burp Suite είναι ένα ολοκληρωμένο toolkit που περιλαμβάνει διάφορα εργαλεία όπως proxy, spider, scanner, repeater, intruder και decoder.

251
00:27:15,600 --> 00:27:28,600
Αυτά τα εργαλεία βοηθούν τους penetration testers να αξιολογήσουν την ασφάλεια των web εφαρμογών εντοπίζοντας ευπάθειες, όπως SQL injection, cross-site scripting (XSS) και ζητήματα session management.

252
00:27:28,600 --> 00:27:45,600
Η επαγγελματική έκδοση του Burp Suite προσθέτει αυτοματοποιημένο scanning, το οποίο επιταχύνει σημαντικά τη διαδικασία εντοπισμού ευπαθειών, καθιστώντας το ιδανικό για οργανισμούς που επιδιώκουν να ασφαλίσουν γρήγορα τις web εφαρμογές τους χρησιμοποιώντας το Burp Suite.

253
00:27:45,600 --> 00:27:54,600
Το Kali Linux και το Parrot OS είναι εξειδικευμένα λειτουργικά συστήματα σχεδιασμένα ειδικά για penetration testing και security auditing.

254
00:27:54,600 --> 00:28:07,600
Αυτές οι διανομές λειτουργικών συστημάτων έρχονται προφορτωμένες με δεκάδες ισχυρά εργαλεία για δοκιμές ασύρματων δικτύων, web και δικτύου, καθιστώντας τες ιδανικές τόσο για operations της red team όσο και για ethical hacking engagements.

255
00:28:07,600 --> 00:28:18,600
Το Kali Linux είναι ίσως η πιο γνωστή διανομή penetration testing, προσφέροντας εργαλεία για τα πάντα, από network sniffing έως vulnerability scanning και exploitation.

256
00:28:18,600 --> 00:28:27,600
Το Parrot OS είναι μια άλλη εξαιρετική επιλογή, προσφέροντας παρόμοιες δυνατότητες, αλλά με έμφαση στην ελαφριά απόδοση και το privacy.

257
00:28:27,600 --> 00:28:35,600
Και τα δύο λειτουργικά συστήματα παρέχουν μια ισχυρή πλατφόρμα για τους penetration testers ώστε να διεξάγουν ολοκληρωμένες αξιολογήσεις ασφαλείας.

258
00:28:35,600 --> 00:28:45,600
Ένα παράδειγμα χρήσης μπορεί να περιλαμβάνει penetration testers που χρησιμοποιούν το Burp Suite για να εντοπίσουν και να εκμεταλλευτούν μια ευπάθεια cross-site scripting σε μια εταιρική σελίδα login.

259
00:28:45,600 --> 00:28:56,600
Χρησιμοποιώντας το εργαλείο Intruder του Burp Suite, ο tester μπορεί να αυτοματοποιήσει την εισαγωγή κακόβουλων scripts στα πεδία εισαγωγής και να παρακολουθήσει την απόκριση της εφαρμογής.

260
00:28:56,600 --> 00:29:10,600
Εάν εντοπιστεί η ευπάθεια, ο tester μπορεί στη συνέχεια να την εκμεταλλευτεί για να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες χρηστών ή να χειραγωγήσει τη συμπεριφορά της εφαρμογής, επιδεικνύοντας την αδυναμία ασφαλείας στον πελάτη.

261
00:29:10,600 --> 00:29:17,600
Ο penetration tester θα συνεργαζόταν στη συνέχεια με τον οργανισμό για να διορθώσει την ευπάθεια και να αποτρέψει μελλοντικό exploitation.

262
00:29:17,600 --> 00:29:30,600
Εργαλεία penetration testing όπως το Metasploit, το Burp Suite και το Kali Linux ή το Parrot OS είναι απαραίτητα για τον εντοπισμό ευπαθειών και τη βελτίωση της ασφάλειας συστημάτων, web εφαρμογών και δικτύων.

263
00:29:30,600 --> 00:29:40,600
Προσομοιώνοντας επιθέσεις πραγματικού κόσμου, αυτά τα εργαλεία βοηθούν τους οργανισμούς να παραμένουν μπροστά από τους κακόβουλους hackers και να διασφαλίζουν ότι οι άμυνές τους είναι ισχυρές.

264
00:29:40,600 --> 00:29:48,600
Το Nmap, συντομογραφία του network mapper, είναι ένα ισχυρό και ευέλικτο εργαλείο που χρησιμοποιείται για network scanning και discovery.

265
00:29:48,600 --> 00:29:57,600
Ως network scanner, η κύρια λειτουργία του είναι να εντοπίζει συσκευές, ανοιχτά ports, υπηρεσίες και λειτουργικά συστήματα που υπάρχουν σε ένα δίκτυο.

266
00:29:57,600 --> 00:30:05,600
Αυτό το εργαλείο είναι ζωτικής σημασίας για τους διαχειριστές δικτύου και τους επαγγελματίες ασφαλείας, καθώς τους βοηθά να αξιολογήσουν τη στάση ασφαλείας των δικτύων τους.


267
00:30:05,600 --> 00:30:11,600
Εκτελώντας host discovery, το Nmap μπορεί να καθορίσει ποιες συσκευές είναι ενεργές στο δίκτυο.

268
00:30:11,600 --> 00:30:21,600
Αυτό το επιτυγχάνει χρησιμοποιώντας διάφορα πρωτόκολλα όπως ICMP, TCP ή ARP για να εντοπίσει εάν τα hosts είναι προσβάσιμα και online.

269
00:30:21,600 --> 00:30:30,600
Εκτός από το host discovery, το Nmap παρέχει λεπτομερείς πληροφορίες σχετικά με τα ανοιχτά ports στις συσκευές καθώς και τις υπηρεσίες που τρέχουν σε αυτά τα ports.

270
00:30:30,600 --> 00:30:40,600
Μπορεί επίσης να προσδιορίσει τις εκδόσεις αυτών των υπηρεσιών, κάτι που είναι ανεκτίμητο όταν αναζητάτε γνωστές ευπάθειες (known vulnerabilities) που σχετίζονται με συγκεκριμένες εκδόσεις.

271
00:30:40,600 --> 00:30:53,600
Για παράδειγμα, το Nmap μπορεί να εντοπίσει έναν web server που τρέχει στη θύρα 80 και να αποκαλύψει ότι χρησιμοποιεί μια ευάλωτη υπηρεσία του Apache, για παράδειγμα.

272
00:30:53,600 --> 00:31:01,600
Αυτή η πληροφορία επιτρέπει στους διαχειριστές να αντιμετωπίσουν γρήγορα τους κινδύνους ασφαλείας ενημερώνοντας ή εφαρμόζοντας patches στις ευάλωτες υπηρεσίες.

273
00:31:01,600 --> 00:31:08,600
Ένα από τα βασικά χαρακτηριστικά του Nmap είναι το Nmap Scripting Engine, ή όπως ονομάζεται NSE.

274
00:31:08,600 --> 00:31:16,600
Αυτό το scripting engine επιτρέπει στους χρήστες να αυτοματοποιούν τις διαδικασίες σάρωσης και να προσαρμόζουν τις προσπάθειες ανακάλυψης δικτύου.

275
00:31:16,600 --> 00:31:27,600
Μπορεί να χρησιμοποιηθεί για την εκτέλεση προκαθορισμένων scripts για εντοπισμό ευπαθειών, καθιστώντας το ένα εξαιρετικά αποτελεσματικό εργαλείο για τον εντοπισμό αδυναμιών στις άμυνες ενός δικτύου.

276
00:31:27,600 --> 00:31:44,600
Η ικανότητα αυτοματοποίησης εργασιών με το NSE, με τα scripts χαρτογράφησης δικτύου, καθιστά το Nmap ιδιαίτερα ισχυρό για αξιολογήσεις μεγάλης κλίμακας, καθώς εξοικονομεί χρόνο και εξασφαλίζει διεξοδική σάρωση σε ολόκληρο το δίκτυο.

277
00:31:44,600 --> 00:31:53,600
Ένα παράδειγμα πραγματικού κόσμου της αποτελεσματικότητάς του μπορεί να φανεί κατά τη διάρκεια της έρευνας για την παραβίαση της Equifax το 2017.

278
00:31:53,600 --> 00:32:02,600
Οι ερευνητές χρησιμοποίησαν το Nmap για να αναδημιουργήσουν τα βήματα reconnaissance του επιτιθέμενου, βοηθώντας στην αναπαράσταση του πώς εξελίχθηκε η παραβίαση.

279
00:32:02,600 --> 00:32:16,600
Ανακάλυψαν ότι οι επιτιθέμενοι είχαν πιθανώς χρησιμοποιήσει το Nmap για να σαρώσουν το δίκτυο για ευπάθειες σε εγκαταστάσεις Apache Struts εντοπίζοντας ανοιχτά ports και υπηρεσίες που σχετίζονται με αυτά τα συστήματα.

280
00:32:16,600 --> 00:32:27,600
Σαρώνοντας για συγκεκριμένες υπηρεσίες, οι επιτιθέμενοι μπόρεσαν να εκμεταλλευτούν γνωστές ευπάθειες στο Apache Struts, οδηγώντας τελικά στην παραβίαση.

281
00:32:27,600 --> 00:32:38,600
Αυτό υπογραμμίζει τον κρίσιμο ρόλο του Nmap τόσο στις επιθετικές όσο και στις αμυντικές λειτουργίες ασφαλείας, καθιστώντας το απαραίτητο εργαλείο για όποιον επιδιώκει να ασφαλίσει την υποδομή του δικτύου του.

282
00:32:38,600 --> 00:32:47,600
Συμπερασματικά, το Nmap είναι ένα εξαιρετικά πολύτιμο εργαλείο για το network security, προσφέροντας πληροφορίες για τις συσκευές και τις υπηρεσίες που τρέχουν σε ένα δίκτυο.

283
00:32:47,600 --> 00:33:06,600
Η ικανότητά του να εκτελεί λεπτομερείς σαρώσεις, να αυτοματοποιεί διαδικασίες με το NSE και να βοηθά στην αναπαραγωγή σεναρίων επίθεσης, το καθιστά απαραίτητο για διαχειριστές δικτύου και ομάδες ασφαλείας που στοχεύουν στον εντοπισμό ευπαθειών πριν τις εκμεταλλευτούν οι επιτιθέμενοι.

284
00:33:06,600 --> 00:33:17,600
Τα packet sniffers και protocol analyzers, όπως το Wireshark, είναι απαραίτητα εργαλεία για διαχειριστές δικτύου και επαγγελματίες ασφαλείας που πρέπει να παρακολουθούν και να επιλύουν προβλήματα κίνησης δικτύου.


285
00:33:17,600 --> 00:33:28,600
Αυτά τα εργαλεία καταγράφουν και αναλύουν πακέτα δικτύου σε πραγματικό χρόνο ή από αποθηκευμένη κίνηση, παρέχοντας βαθιές γνώσεις για τα δεδομένα που μεταδίδονται μέσω του δικτύου.

286
00:33:28,600 --> 00:33:42,600
Η ικανότητα επιθεώρησης πρωτοκόλλων όπως HTTP, DNS και SSL ή TLS επιτρέπει σε αυτά τα εργαλεία να εντοπίζουν και να διαγιγνώσκουν ένα ευρύ φάσμα ζητημάτων, από προβλήματα απόδοσης έως εξελιγμένες κυβερνοεπιθέσεις.

287
00:33:42,600 --> 00:33:54,600
Το Wireshark, για παράδειγμα, προσφέρει ένα ισχυρό γραφικό περιβάλλον χρήστη που επιτρέπει στους χρήστες να φιλτράρουν, να ταξινομούν και να παρακολουθούν συνομιλίες μεταξύ συσκευών δικτύου.

288
00:33:54,600 --> 00:34:03,600
Με προηγμένες επιλογές φιλτραρίσματος, μπορεί να απομονώσει συγκεκριμένους τύπους κίνησης, καθιστώντας ευκολότερο τον εντοπισμό ύποπτων μοτίβων ή ανωμαλιών.

289
00:34:03,600 --> 00:34:19,600
Αυτή η δυνατότητα είναι ιδιαίτερα χρήσιμη για τον εντοπισμό επιθέσεων βάσει δικτύου, όπως το ARP spoofing, όπου ένας επιτιθέμενος υποδύεται μια άλλη συσκευή στο δίκτυο, ή διαρροές credentials όπου ευαίσθητες πληροφορίες εκτίθενται σε μη κρυπτογραφημένη κίνηση.

290
00:34:19,600 --> 00:34:27,600
Μια περίπτωση χρήσης πραγματικού κόσμου δείχνει τη δύναμη του Wireshark στην αποκάλυψη προηγμένων τεχνικών επίθεσης.

291
00:34:27,600 --> 00:34:41,600
Για παράδειγμα, κατά τη διάρκεια έρευνας παραβίασης εταιρείας, ένας διαχειριστής συστήματος χρησιμοποίησε το Wireshark για να αναλύσει την κίνηση δικτύου και ανακάλυψε ότι malware έκανε exfiltration δεδομένων μέσω DNS tunneling.

292
00:34:41,600 --> 00:34:53,600
Σε αυτή την επίθεση, το malware συγκάλυπτε τα εξερχόμενα δεδομένα του ως φαινομενικά αθώα ερωτήματα DNS για να αποφύγει τον εντοπισμό από τα παραδοσιακά μέτρα ασφαλείας.

293
00:34:53,600 --> 00:35:05,600
Καταγράφοντας και αναλύοντας αυτά τα πακέτα δικτύου, το Wireshark βοήθησε στον εντοπισμό του κρυφού καναλιού επικοινωνίας, επιτρέποντας στην ομάδα ασφαλείας να μετριάσει την παραβίαση και να ασφαλίσει το δίκτυο.

294
00:35:05,600 --> 00:35:18,600
Η ικανότητα εκτέλεσης deep packet inspection και παρακολούθησης συνομιλιών δικτύου καθιστά εργαλεία όπως το Wireshark ανεκτίμητα τόσο για τη συνήθη συντήρηση δικτύου όσο και για έρευνες forensics.

295
00:35:18,600 --> 00:35:30,600
Είτε χρησιμοποιείται για την επίλυση προβλημάτων απόδοσης δικτύου είτε για τον εντοπισμό κακόβουλης δραστηριότητας, αυτά τα εργαλεία παρέχουν κρίσιμη ορατότητα στην κίνηση που ρέει μέσω του δικτύου,

296
00:35:30,600 --> 00:35:36,600
επιτρέποντας στις ομάδες ασφαλείας να ανταποκρίνονται γρήγορα και αποτελεσματικά στις αναδυόμενες απειλές.

297
00:35:36,600 --> 00:35:45,600
Ένα exploitation framework όπως το Metasploit είναι ένα απαραίτητο εργαλείο για επαγγελματίες ασφαλείας που διεξάγουν penetration testing και αξιολογήσεις red-team.


298
00:35:45,600 --> 00:35:55,600
Αυτά τα frameworks έχουν σχεδιαστεί για να προσομοιώνουν επιθέσεις πραγματικού κόσμου σε ελεγχόμενο περιβάλλον, επιτρέποντας στους οργανισμούς να δοκιμάσουν την αποτελεσματικότητα των αμυνών τους

299
00:35:55,600 --> 00:36:00,600
και να εντοπίσουν ευπάθειες πριν τις εκμεταλλευτούν κακόβουλοι παράγοντες.

300
00:36:00,600 --> 00:36:12,600
Το Metasploit, συγκεκριμένα, προσφέρει μια τεράστια βιβλιοθήκη από exploits και payloads, επιτρέποντας στους επαγγελματίες ασφαλείας να στοχεύουν διάφορες ευπάθειες σε διαφορετικές πλατφόρμες και εφαρμογές.

301
00:36:12,600 --> 00:36:24,600
Το framework περιλαμβάνει επίσης modules post-exploitation που επιτρέπουν στους testers να κλιμακώσουν προνόμια (escalate privileges), να μετακινηθούν σε άλλα συστήματα (pivot) και να εδραιώσουν persistence μέσα σε ένα παραβιασμένο δίκτυο.

302
00:36:24,600 --> 00:36:37,600
Αυτό καθιστά το Metasploit ένα ευέλικτο εργαλείο που όχι μόνο προσομοιώνει αρχικές επιθέσεις, αλλά υποστηρίζει επίσης βαθύτερο exploitation για να αξιολογηθεί πόσο μακριά θα μπορούσε να φτάσει ένας επιτιθέμενος μόλις βρεθεί μέσα στο σύστημα.

303
00:36:37,600 --> 00:36:45,600
Το Metasploit ενσωματώνεται καλά με άλλα εργαλεία ασφαλείας όπως το Nmap και το Nessus ενισχύοντας την αποτελεσματικότητά του.

304
00:36:45,600 --> 00:36:55,600
Για παράδειγμα, το Nmap μπορεί να χρησιμοποιηθεί για την εκτέλεση network scanning και τον εντοπισμό ευπαθειών, οι οποίες στη συνέχεια μπορούν να γίνουν exploit μέσω του Metasploit.

305
00:36:55,600 --> 00:37:03,600
Αυτή η ενσωμάτωση απλοποιεί τις διαδικασίες penetration testing, αυτοματοποιώντας τις φάσεις ανακάλυψης και exploitation.

306
00:37:03,600 --> 00:37:10,600
Ένα παράδειγμα πραγματικού κόσμου του Metasploit περιλαμβάνει μια αξιολόγηση Red Team που διεξήχθη για μια τράπεζα, για παράδειγμα.

307
00:37:10,600 --> 00:37:24,600
Κατά τη διάρκεια της αξιολόγησης, το Metasploit χρησιμοποιήθηκε για να εκμεταλλευτεί μια ευπάθεια SMB χωρίς patch, γνωστή ως EternalBlue, η οποία ήταν ένα κρίσιμο ελάττωμα σε παλαιότερες εκδόσεις των Windows.

308
00:37:24,600 --> 00:37:37,600
Εκμεταλλευόμενη αυτή την ευπάθεια, η Red Team απέκτησε πρόσβαση στους εσωτερικούς servers της τράπεζας, επιτρέποντας την αξιολόγηση της στάσης ασφαλείας της τράπεζας και τον εντοπισμό αδυναμιών που θα μπορούσαν να αντιμετωπιστούν.

309
00:37:37,600 --> 00:37:53,600
Η χρήση του Metasploit σε αυτό το πλαίσιο βοηθά στην επίδειξη του πιθανού αντίκτυπου της ευπάθειας, καθοδηγώντας τελικά την τράπεζα να εφαρμόσει τα απαραίτητα patches και να ενισχύσει τις άμυνές της.

310
00:37:53,600 --> 00:38:04,600
Ένα network-based intrusion detection system, ή όπως ονομάζεται IDS, είναι ένα κρίσιμο εργαλείο ασφαλείας που χρησιμοποιείται για την παρακολούθηση της κίνησης δικτύου για σημάδια κακόβουλης δραστηριότητας.

311
00:38:04,600 --> 00:38:11,600
Λειτουργεί αναλύοντας πακέτα δικτύου σε πραγματικό χρόνο για τον εντοπισμό ύποπτων μοτίβων ή γνωστών υπογραφών επίθεσης.

312
00:38:11,600 --> 00:38:27,600
Το IDS λειτουργεί χρησιμοποιώντας ανίχνευση βάσει κανόνων (rule-based detection), η οποία βασίζεται σε προκαθορισμένους κανόνες που ταιριάζουν με συγκεκριμένα μοτίβα που σχετίζονται με κοινές απειλές όπως επιθέσεις denial of service (DoS), κίνηση malware ή απόπειρες μη εξουσιοδοτημένης πρόσβασης.

313
00:38:27,600 --> 00:38:40,600
Μόλις εντοπιστεί μια πιθανή απειλή, το IDS ενεργοποιεί ειδοποιήσεις για να ενημερώσει τους διαχειριστές συστήματος, επιτρέποντάς τους να διερευνήσουν περαιτέρω το περιστατικό και να λάβουν τα κατάλληλα μέτρα.

314
00:38:40,600 --> 00:38:57,600
Σε ορισμένες περιπτώσεις, το IDS μπορεί επίσης να μπλοκάρει ενεργά ύποπτη κίνηση ή να καταγράψει λεπτομερείς πληροφορίες για μελλοντική ανάλυση, βοηθώντας στον μετριασμό του άμεσου αντίκτυπου ενός επιτιθέμενου και υποστηρίζοντας τα post-incident forensics.

315
00:38:57,600 --> 00:39:04,600
Ένα γνωστό παράδειγμα network-based intrusion detection είναι το SNORT, το οποίο χρησιμοποιείται ευρέως σε πολλούς οργανισμούς.

316
00:39:04,600 --> 00:39:19,600
Το SNORT μπορεί να ανιχνεύσει μια ποικιλία επιθέσεων, συμπεριλαμβανομένων DoS, distributed denial of service (DDoS), απειλές βάσει malware, και μπορεί να ρυθμιστεί για να εκτελεί διαφορετικές ενέργειες όπως καταγραφή, ειδοποίηση ή ακόμα και μπλοκάρισμα της κακόβουλης κίνησης.

317
00:39:19,600 --> 00:39:32,600
Σε μια περίπτωση πραγματικού κόσμου, μια πανεπιστημιακή ομάδα, για παράδειγμα, μπορεί να χρησιμοποιήσει το Suricata ή το SNORT ως IDS για να εντοπίσει και να ανταποκριθεί σε ένα cryptomining botnet που εξαπλωνόταν μέσω των μηχανημάτων του εργαστηρίου του πανεπιστημίου.

318
00:39:32,600 --> 00:39:47,600
Το botnet, το οποίο διαδιδόταν μέσω επιθέσεων SSH brute force, εντοπίστηκε όταν το SNORT αναγνώρισε ασυνήθιστα μοτίβα κίνησης που υποδείκνυαν ότι γίνονταν μεγάλος αριθμός προσπαθειών σύνδεσης σε πολλαπλά μηχανήματα.

319
00:39:47,600 --> 00:39:56,600
Ως αποτέλεσμα, η ομάδα IT μπόρεσε να αναλάβει γρήγορα δράση για να απομονώσει τα επηρεαζόμενα συστήματα, να μετριάσει την επίθεση και να αποτρέψει περαιτέρω ζημιά.

320
00:39:56,600 --> 00:40:14,600
Αυτό το παράδειγμα δείχνει πώς ένα network-based intrusion detection system μπορεί να παίξει ζωτικό ρόλο στον εντοπισμό και την απόκριση σε απειλές που διαφορετικά θα μπορούσαν να περάσουν απαρατήρητες, διασφαλίζοντας ότι τα δίκτυα παραμένουν ασφαλή και προστατευμένα από μη εξουσιοδοτημένη πρόσβαση ή κακόβουλες δραστηριότητες χρήσης.

321
00:40:15,600 --> 00:40:26,600
Το Burp Suite είναι ένα ισχυρό εργαλείο web security testing σχεδιασμένο για να εντοπίζει ευπάθειες σε ιστοσελίδες και web APIs προσομοιώνοντας τις τακτικές που χρησιμοποιούνται από τους επιτιθέμενους.

322
00:40:26,600 --> 00:40:38,600
Λειτουργεί κυρίως ως proxy server που κάθεται ανάμεσα στον browser του χρήστη και την web εφαρμογή στόχο, παρεμποδίζοντας (intercepting) και τροποποιώντας την κίνηση για να εξετάσει πώς η εφαρμογή ανταποκρίνεται σε διαφορετικές εισόδους.

323
00:40:38,600 --> 00:40:48,600
Αυτό επιτρέπει στους επαγγελματίες ασφαλείας να αναλύουν τις επικοινωνίες μεταξύ του browser και του server και να αποκαλύπτουν αδυναμίες που θα μπορούσαν να εκμεταλλευτούν οι επιτιθέμενοι.

324
00:40:48,600 --> 00:40:57,600
Το Burp Suite, της PortSwigger, περιλαμβάνει διάφορα αυτοματοποιημένα και χειροκίνητα εργαλεία για τη δοκιμή κοινών ευπαθειών web εφαρμογών.

325
00:40:57,600 --> 00:41:10,600
Ο αυτοματοποιημένος scanner αναζητά γνωστά ζητήματα ασφαλείας όπως SQL injection, cross-site scripting, insecure direct object references και cross-site request forgery.

326
00:41:10,600 --> 00:41:17,600
Αυτές οι ευπάθειες μπορούν να οδηγήσουν σε σοβαρές παραβιάσεις, συμπεριλαμβανομένης της κλοπής δεδομένων, μη εξουσιοδοτημένων ενεργειών ή παραβίασης του server.

327
00:41:18,600 --> 00:41:30,600
Εκτός από τον αυτοματοποιημένο scanner, το Burp Suite προσφέρει εργαλεία χειροκίνητων δοκιμών όπως το Repeater, το οποίο επιτρέπει στους testers να στέλνουν τροποποιημένα requests και να παρατηρούν τις απαντήσεις του server,

328
00:41:30,600 --> 00:41:40,600
και το Intruder, το οποίο βοηθά με δοκιμές brute force και fuzzing για την αποκάλυψη αδυναμιών και ευπαθειών όπως αδύναμοι μηχανισμοί authentication.

329
00:41:40,600 --> 00:41:53,600
Ένα αξιοσημείωτο παράδειγμα πραγματικού κόσμου της αποτελεσματικότητας του Burp Suite είναι όταν ένας ερευνητής ασφαλείας ανακαλύπτει μια ευπάθεια authentication bypass σε μια ιστοσελίδα μεγάλης αεροπορικής εταιρείας.

330
00:41:53,600 --> 00:42:04,600
Αυτή η ευπάθεια επιτρέπει σε έναν επιτιθέμενο να παρακάμψει τη διαδικασία authentication, χορηγώντας πιθανώς μη εξουσιοδοτημένη πρόσβαση στον λογαριασμό ενός χρήστη χωρίς την παροχή έγκυρων credentials.

331
00:42:04,600 --> 00:42:16,600
Χρησιμοποιώντας το Burp Suite, ο ερευνητής μπόρεσε να εντοπίσει το συγκεκριμένο ελάττωμα στη λογική του authentication παρεμποδίζοντας την κίνηση και χειραγωγώντας το αίτημα που στάλθηκε από τον browser.

332
00:42:16,600 --> 00:42:29,600
Μετά την ανακάλυψη αυτής της ευπάθειας, ο ερευνητής αναφέρει το ζήτημα μέσω υπεύθυνης κοινοποίησης (responsible disclosure), διασφαλίζοντας ότι η ομάδα ασφαλείας της αεροπορικής εταιρείας θα μπορούσε να αντιμετωπίσει το πρόβλημα πριν αυτό αξιοποιηθεί δημόσια.

333
00:42:29,600 --> 00:42:42,600
Η ομάδα ασφαλείας της αεροπορικής εταιρείας μπόρεσε να διορθώσει γρήγορα την ευπάθεια και να αποτρέψει πιθανές παραβιάσεις που θα μπορούσαν να έχουν εκθέσει ευαίσθητες πληροφορίες πελατών ή να επιτρέψουν δόλιες δραστηριότητες στην πλατφόρμα τους.

334
00:42:42,600 --> 00:42:56,600
Αυτό το περιστατικό υπογραμμίζει τη δύναμη του Burp Suite στην αποκάλυψη πολύπλοκων ευπαθειών σε web εφαρμογές και τη σημασία της προληπτικής ασφάλειας για την πρόληψη δυνητικά σοβαρών απειλών.

335
00:42:57,600 --> 00:43:07,600
Το Nessus είναι ένας ευρέως χρησιμοποιούμενος vulnerability scanner που βοηθά τους οργανισμούς να εντοπίσουν και να αντιμετωπίσουν αδυναμίες ασφαλείας στα συστήματα, τις εφαρμογές και τις συσκευές δικτύου τους.


336
00:43:07,600 --> 00:43:20,600
Εκτελεί σαρώσεις λειτουργικών συστημάτων, εφαρμογών λογισμικού, βάσεων δεδομένων και ακόμη και συσκευών δικτύου για τον εντοπισμό γνωστών ευπαθειών και misconfigurations που θα μπορούσαν να εκμεταλλευτούν οι επιτιθέμενοι.

337
00:43:20,600 --> 00:43:33,600
Το Nessus είναι εξοπλισμένο με μια μεγάλη βάση δεδομένων υπογραφών ευπαθειών και ενημερώνει συνεχώς τα plugins του για να αντικατοπτρίζει τις τελευταίες απειλές, διασφαλίζοντας ότι παραμένει αποτελεσματικό στον εντοπισμό αναδυόμενων ευπαθειών.

338
00:43:33,600 --> 00:43:49,600
Το εργαλείο χρησιμοποιεί το Common Vulnerability Scoring System, ή όπως ονομάζεται CVSS score, για να αξιολογήσει τη σοβαρότητα κάθε ευπάθειας που εντοπίζει, παρέχοντας μια βαθμολογία βάσει κινδύνου που βοηθά στην ιεράρχηση των προσπαθειών αποκατάστασης (remediation).

339
00:43:49,600 --> 00:44:00,600
Επιπλέον, το Nessus προσφέρει δυνατότητες ελέγχου συμμόρφωσης (compliance auditing), επιτρέποντας στους οργανισμούς να διασφαλίζουν ότι τα συστήματά τους πληρούν τους κανονισμούς του κλάδου και τις βέλτιστες πρακτικές ασφαλείας.

340
00:44:00,600 --> 00:44:07,600
Αυτό το καθιστά ένα ανεκτίμητο εργαλείο τόσο για την προληπτική διαχείριση ευπαθειών όσο και για την κανονιστική συμμόρφωση.

341
00:44:07,600 --> 00:44:18,600
Ένα παράδειγμα πραγματικού κόσμου της επίδρασης του Nessus συνέβη όταν μια βιομηχανική εταιρεία διεξήγαγε μια συνήθη σάρωση ευπαθειών χρησιμοποιώντας το εργαλείο.

342
00:44:18,600 --> 00:44:32,600
Η σάρωση αποκάλυψε αρκετές ευπάθειες Remote Desktop Protocol (RDP) χωρίς patch, συγκεκριμένα την ευπάθεια BlueKeep, η οποία έχει αναγνωριστεί στο παρελθόν ως κρίσιμος κίνδυνος ασφαλείας.

343
00:44:32,600 --> 00:44:40,600
Το BlueKeep θα μπορούσε ενδεχομένως να επιτρέψει remote code execution σε ευάλωτα μηχανήματα, οδηγώντας σε εκτεταμένη παραβίαση.

344
00:44:40,600 --> 00:44:53,600
Χρησιμοποιώντας το Nessus για τον εντοπισμό αυτών των ευπαθειών, η εταιρεία μπόρεσε να λάβει άμεσα μέτρα για να εφαρμόσει patches στα επηρεαζόμενα συστήματα, αποτρέποντας έτσι την εκμετάλλευση της ευπάθειας BlueKeep.

345
00:44:53,600 --> 00:45:05,600
Αν οι ευπάθειες είχαν περάσει απαρατήρητες, η εταιρεία θα μπορούσε να διατρέχει σημαντικό κίνδυνο επιθέσεων ransomware παρόμοιων με αυτές που έπληξαν αρκετούς οργανισμούς παγκοσμίως.

346
00:45:05,600 --> 00:45:19,600
Σε αυτή την περίπτωση, το Nessus βοήθησε την εταιρεία να εντοπίσει και να διορθώσει ένα κρίσιμο ελάττωμα ασφαλείας πριν αυτό μπορέσει να γίνει exploit, διαφυλάσσοντας έτσι την υποδομή της και αποτρέποντας ένα δυνητικά καταστροφικό συμβάν.

347
00:45:19,600 --> 00:45:35,600
Αυτό το παράδειγμα δείχνει ότι το Nessus και άλλα παρόμοια εργαλεία παίζουν κρίσιμο ρόλο στην προστασία των οργανισμών βοηθώντας τους να παραμείνουν μπροστά από τις απειλές και να μετριάσουν τους κινδύνους που θέτουν οι ευπάθειες στα συστήματά τους.

348
00:45:36,600 --> 00:45:49,600
Τα Host-based intrusion detection systems, ή όπως αποκαλούνται HIDS, είναι εξειδικευμένα εργαλεία ασφαλείας σχεδιασμένα να παρακολουθούν servers για μη εξουσιοδοτημένες αλλαγές, ανωμαλίες αρχείων καταγραφής και πιθανά rootkits.

349
00:45:49,600 --> 00:46:06,600
Σε αντίθεση με τα network intrusion detection systems, τα οποία αναλύουν κυρίως την κίνηση, τα host-intrusion detection systems εστιάζουν στις εσωτερικές δραστηριότητες σε ένα συγκεκριμένο μηχάνημα, καθιστώντας τα ιδανικά για τον εντοπισμό επιθέσεων που παρακάμπτουν τις άμυνες του δικτύου.

350
00:46:06,600 --> 00:46:18,600
Το σύστημα λειτουργεί σε πραγματικό χρόνο, εκτελώντας συχνά έλεγχο ακεραιότητας αρχείων, για να εντοπίσει τυχόν μη εξουσιοδοτημένες τροποποιήσεις σε κρίσιμα αρχεία συστήματος, αρχεία ρυθμίσεων ή λογισμικό.

351
00:46:18,600 --> 00:46:34,600
Τα Host-based intrusion detection systems συνήθως αναπτύσσουν έναν agent στον server που παρακολουθούν, επιτρέποντάς του να επιθεωρεί αρχεία καταγραφής συστήματος, αρχεία καταγραφής εφαρμογών και την ακεραιότητα του συστήματος αρχείων για σημάδια ύποπτων δραστηριοτήτων.

352
00:46:34,600 --> 00:46:46,600
Πολλές λύσεις HIDS, όπως το OSSEC, προσφέρουν υποστήριξη πολλαπλών πλατφορμών, καθιστώντας τες κατάλληλες για ένα ευρύ φάσμα περιβαλλόντων, από Windows servers έως συστήματα βασισμένα σε Linux.

353
00:46:46,600 --> 00:47:02,600
Εκτός από την παθητική παρακολούθηση, τα συστήματα HIDS μπορούν συχνά να λάβουν μέτρα ενεργητικής απόκρισης, όπως το μπλοκάρισμα συγκεκριμένων διευθύνσεων IP, τον τερματισμό κακόβουλων διεργασιών ή ακόμη και τον τερματισμό λειτουργίας μιας παραβιασμένης υπηρεσίας για την πρόληψη περαιτέρω ζημιάς.

354
00:47:02,600 --> 00:47:12,600
Ένα παράδειγμα HIDS σε δράση στην πραγματική ζωή συνέβη όταν ένας πάροχος web hosting χρησιμοποίησε το OSSEC για να παρακολουθεί τους servers που φιλοξενούν ιστοσελίδες πελατών.

355
00:47:12,600 --> 00:47:21,600
Κατά τη διάρκεια της συνήθους παρακολούθησης, το εργαλείο εντόπισε ασυνήθιστη δραστηριότητα που αφορούσε ένα πρόσθετο WordPress που είχε παραβιαστεί.

356
00:47:21,600 --> 00:47:32,600
Το σύστημα ειδοποιεί τους διαχειριστές για την ενεργοποίηση ενός backdoor μέσω Cron jobs, ένας κοινός τύπος που χρησιμοποιείται από επιτιθέμενους για τη διατήρηση μόνιμης πρόσβασης (persistent access) στο σύστημα.

357
00:47:32,600 --> 00:47:47,600
Χάρη στις ειδοποιήσεις σε πραγματικό χρόνο που παρείχε το εργαλείο, ο πάροχος φιλοξενίας μπόρεσε να εντοπίσει γρήγορα την κακόβουλη δραστηριότητα, να απομονώσει τον παραβιασμένο server και να λάβει διορθωτικά μέτρα για την αφαίρεση του backdoor.

358
00:47:47,600 --> 00:47:59,600
Αυτή η γρήγορη απόκριση απέτρεψε τον επιτιθέμενο από το να προκαλέσει περαιτέρω ζημιά, διατηρώντας τόσο την ασφάλεια του host όσο και το απόρρητο των πελατών που φιλοξενούνται στον server και στις άλλες ιστοσελίδες.

359
00:47:59,600 --> 00:48:14,600
Σε αυτή την περίπτωση, η ικανότητα του OSSEC να εντοπίζει μη εξουσιοδοτημένες αλλαγές και να δημιουργεί ειδοποιήσεις ως απάντηση σε ύποπτη συμπεριφορά ήταν το κλειδί για τον περιορισμό της παραβίασης πριν κλιμακωθεί.

360
00:48:14,600 --> 00:48:30,600
Αυτό αποδεικνύει τη σημασία αυτού του εργαλείου στην προσφορά μιας τελευταίας γραμμής άμυνας για τον εντοπισμό απειλών που προέρχονται από το εσωτερικό του δικτύου ή από παραβιασμένα credentials τα οποία μπορεί να μην εντοπιστούν από τα παραδοσιακά εργαλεία ασφαλείας βάσει δικτύου.

361
00:48:30,600 --> 00:48:39,600
Έτσι, τα HIDS εστιάζουν κυρίως στους servers και τα hosts που παρακολουθεί το εργαλείο σε πραγματικό χρόνο.

362
00:48:39,600 --> 00:48:52,600
Τα εργαλεία memory analysis όπως το Volatility είναι κρίσιμα για έρευνες post-mortem, ειδικά σε περιπτώσεις που αφορούν εξελιγμένες επιθέσεις που αφήνουν ελάχιστα ίχνη στο σύστημα αρχείων.


363
00:48:52,600 --> 00:49:09,600
Αυτά τα εργαλεία λειτουργούν αναλύοντας RAM dumps, τα memory dumps, για να εξάγουν πολύτιμα αντικείμενα (artifacts) που μπορούν να αποκαλύψουν πληροφορίες σχετικά με τρέχουσες διεργασίες, injected DLLs, ενεργές συνεδρίες δικτύου και ακόμη και κλειδιά μητρώου (registry keys).

364
00:49:09,600 --> 00:49:21,600
Το Volatility, για παράδειγμα, υποστηρίζει formats μνήμης σε πολλαπλά λειτουργικά συστήματα όπως Windows, Linux και Mac OS, καθιστώντας το ευέλικτο για διάφορα περιβάλλοντα.

365
00:49:21,600 --> 00:49:37,600
Ένα από τα βασικά χαρακτηριστικά των εργαλείων memory analysis είναι η ικανότητά τους να εντοπίζουν in-memory malware και file-less attacks, τα οποία μπορεί να είναι ιδιαίτερα δύσκολο να εντοπιστούν μέσω παραδοσιακών μέτρων ασφαλείας βάσει αρχείων.

366
00:49:37,600 --> 00:49:48,600
Το file-less malware, το οποίο βρίσκεται εξ ολοκλήρου στη μνήμη και δεν βασίζεται σε αρχεία ή παραδοσιακές υπογραφές malware, μπορεί να είναι εξαιρετικά παραπλανητικό, για παράδειγμα.

367
00:49:48,600 --> 00:50:03,600
Αναλύοντας τα περιεχόμενα της μνήμης, το Volatility μπορεί να αποκαλύψει τρέχουσες διεργασίες, εγχύσεις κακόβουλου κώδικα ή μη φυσιολογικές συνδέσεις δικτύου που διαφορετικά θα ήταν κρυμμένες από τα τυπικά εργαλεία ανάλυσης βάσει δίσκου.

368
00:50:03,600 --> 00:50:10,600
Ένα παράδειγμα πραγματικού κόσμου της δύναμης του Volatility ήρθε στο προσκήνιο κατά τη διάρκεια μιας κυβερνητικής έρευνας παραβίασης.

369
00:50:10,600 --> 00:50:22,600
Σε αυτή την περίπτωση, οι ερευνητές χρησιμοποίησαν το Volatility για να αναλύσουν τη μνήμη των παραβιασμένων συστημάτων, όπου μπόρεσαν να ανακτήσουν κρυπτογραφημένα κλειδιά ransomware αποθηκευμένα μέσα στη μνήμη.

370
00:50:22,600 --> 00:50:28,600
Αυτά τα κλειδιά ήταν κρίσιμα για την αποκρυπτογράφηση των αρχείων των θυμάτων, τα οποία είχαν κλειδωθεί από ένα ransomware.

371
00:50:28,600 --> 00:50:39,600
Χωρίς την ανάλυση μνήμης, τα θύματα θα αντιμετώπιζαν μόνιμη απώλεια δεδομένων. Η ικανότητα του Volatility να ανασύρει αυτά τα κλειδιά κρυπτογράφησης απευθείας από τη μνήμη υπογραμμίζει

372
00:50:39,600 --> 00:50:45,600
τον κρίσιμο ρόλο του στην αντιμετώπιση επιθέσεων file-less και περιστατικών ransomware.

373
00:50:45,600 --> 00:50:57,600
Η χρήση εργαλείων memory analysis όπως το Volatility γίνεται όλο και πιο απαραίτητη για τα σύγχρονα ψηφιακά forensics καθώς οι επιτιθέμενοι συνεχίζουν να εξελίσσουν τις τεχνικές τους για να αποφεύγουν τον εντοπισμό.

374
00:50:57,600 --> 00:51:12,600
Παρέχοντας εικόνα στον χώρο της πτητικής μνήμης ενός παραβιασμένου μηχανήματος, αυτά τα εργαλεία επιτρέπουν στους ερευνητές να συγκεντρώσουν αποδεικτικά στοιχεία και να ανακτήσουν κρίσιμες πληροφορίες που διαφορετικά θα χάνονταν,

375
00:51:12,600 --> 00:51:19,600
διασφαλίζοντας ότι οι ομάδες ασφαλείας μπορούν να ανταποκρίνονται αποτελεσματικά σε μια ποικιλία προηγμένων cyber threats.

376
00:51:19,600 --> 00:51:26,600
Για να ξεκινήσουμε, ας εξερευνήσουμε το Nmap, ένα ισχυρό εργαλείο που χρησιμοποιείται για network discovery και security auditing.

377
00:51:26,600 --> 00:51:32,600
Το Nmap είναι απαραίτητο για τον εντοπισμό συσκευών, υπηρεσιών και ευπαθειών σε ένα δίκτυο.

378
00:51:32,600 --> 00:51:45,600
Εκτελώντας μια απλή σάρωση, το Nmap μπορεί να παρέχει λεπτομερείς πληροφορίες σχετικά με τα συστήματα που είναι συνδεδεμένα στο δίκτυο, συμπεριλαμβανομένων των ανοιχτών ports, των υπηρεσιών που εκτελούνται και των εκδόσεων αυτών των υπηρεσιών.

379
00:51:45,600 --> 00:51:53,600
Αυτό μπορεί να είναι χρήσιμο τόσο για διαχειριστές δικτύου που διεξάγουν ελέγχους ρουτίνας όσο και για επιτιθέμενους που προσπαθούν να εκμεταλλευτούν τις ευπάθειες.

380
00:51:53,600 --> 00:52:06,600
Η εντολή Nmap μείον sV και μετά η IP στόχος χρησιμοποιείται συνήθως για την εκτέλεση μιας βασικής σάρωσης που βοηθά στον εντοπισμό των ανοιχτών ports και των υπηρεσιών που εκτελούνται σε ένα μηχάνημα στόχο,

381
00:52:06,600 --> 00:52:11,600
παρέχοντας μια επισκόπηση των πιθανών σημείων εισόδου.

382
00:52:11,600 --> 00:52:21,600
Για παράδειγμα, εάν εκτελέσετε αυτή την εντολή σε ένα τοπικό μηχάνημα ή server, το Nmap θα επιστρέψει μια λίστα με ανοιχτά ports μαζί με τις υπηρεσίες και τις εκδόσεις τους.

383
00:52:21,600 --> 00:52:32,600
Αυτή η πληροφορία είναι κρίσιμη επειδή οι παλαιότερες εκδόσεις υπηρεσιών μπορεί να έχουν γνωστές ευπάθειες τις οποίες οι κακόβουλοι παράγοντες θα μπορούσαν να εκμεταλλευτούν εάν αφεθούν ανεξέλεγκτες.

384
00:52:32,600 --> 00:52:47,600
Για παράδειγμα, εάν ένα μηχάνημα στόχος τρέχει μια ξεπερασμένη έκδοση του Apache HTTP server στη θύρα 80 ή στη θύρα 443, μπορεί να είναι ευάλωτο σε γνωστά exploits που στοχεύουν τη συγκεκριμένη παλιά έκδοση.

385
00:52:47,600 --> 00:52:56,600
Αυτό υπογραμμίζει τη σημασία της τακτικής σάρωσης δικτύων και συστημάτων για ευπάθειες, διασφαλίζοντας ότι παραμένουν ασφαλή.

386
00:52:56,600 --> 00:53:03,600
Μετά τη σάρωση Nmap, ένα εργαλείο όπως το Wireshark μπορεί να χρησιμοποιηθεί για την καταγραφή και ανάλυση της κίνησης δικτύου σε πραγματικό χρόνο.

387
00:53:03,600 --> 00:53:11,600
Το Wireshark λειτουργεί παρεμποδίζοντας πακέτα που αποστέλλονται μέσω του δικτύου και εμφανίζοντάς τα σε μια λεπτομερή, αναγνώσιμη μορφή.

388
00:53:11,600 --> 00:53:23,600
Αυτό είναι πολύτιμο για την ανάλυση της επικοινωνίας μεταξύ συσκευών και τον εντοπισμό πιθανών ύποπτων μοτίβων όπως μη εξουσιοδοτημένη exfiltration δεδομένων ή ασυνήθιστες αυξήσεις κίνησης.

389
00:53:23,600 --> 00:53:36,600
Σε ένα σενάριο πραγματικού κόσμου, οι διαχειριστές δικτύου μπορεί να χρησιμοποιήσουν το Wireshark για να εντοπίσουν σημάδια malware που επικοινωνεί με εξωτερικούς servers ή ακόμη και να αποκαλύψουν πιο πολύπλοκες τεχνικές όπως το DNS tunneling,

390
00:53:36,600 --> 00:53:42,600
όπου δεδομένα κρύβονται μέσα σε ερωτήματα DNS για να παρακαμφθούν οι παραδοσιακοί έλεγχοι ασφαλείας.

391
00:53:42,600 --> 00:53:51,600
Τέλος, το Metasploit χρησιμεύει ως ένα exploit framework που επιτρέπει στους επαγγελματίες ασφαλείας να προσομοιώνουν επιθέσεις σε ένα δίκτυο ή σύστημα στόχο.

392
00:53:51,600 --> 00:54:01,600
Με το Metasploit, οι επαγγελματίες μπορούν να εκτελέσουν ελεγχόμενα penetration tests χρησιμοποιώντας μια τεράστια βιβλιοθήκη από exploits και payloads για να εντοπίσουν τις ευπάθειες.

393
00:54:01,600 --> 00:54:15,600
Για παράδειγμα, ένας penetration tester θα μπορούσε να εκμεταλλευτεί μια ευπάθεια SMB χωρίς patch που έχει βρεθεί χρησιμοποιώντας το Nmap, όπως το διαβόητο, για παράδειγμα, exploit EternalBlue για να αποκτήσει πρόσβαση στο σύστημα.

394
00:54:15,600 --> 00:54:23,600
Συνδυάζοντας εργαλεία όπως το Nmap για το discovery, το Wireshark για την ανάλυση κίνησης και το Metasploit για τη δοκιμή exploits,

395
00:54:23,600 --> 00:54:36,600
οι ομάδες ασφαλείας μπορούν να μιμηθούν αποτελεσματικά επιθέσεις πραγματικού κόσμου, να αποκαλύψουν αδυναμίες και να μετριάσουν πιθανές απειλές πριν μπορέσουν να αξιοποιηθούν από κακόβουλους παράγοντες.

396
00:54:36,600 --> 00:54:43,600
Σε αυτή την άσκηση, οι φοιτητές θα εισαχθούν στο Nmap, ένα από τα πιο ισχυρά εργαλεία για network scanning και security auditing.

397
00:54:43,600 --> 00:54:54,600
Ο στόχος αυτής της άσκησης είναι να κατανοήσουν πώς να χαρτογραφήσουν ένα δίκτυο, να ανακαλύψουν ενεργές συσκευές και να εντοπίσουν ανοιχτά ports και υπηρεσίες που εκτελούνται σε αυτές τις συσκευές.

398
00:54:54,600 --> 00:55:02,600
Χρησιμοποιώντας το Nmap, οι φοιτητές θα εξερευνήσουν μια σειρά τεχνικών σάρωσης που παρέχουν πολύτιμες πληροφορίες για τη δομή και την ασφάλεια του δικτύου.

399
00:55:02,600 --> 00:55:13,600
Η άσκηση ξεκινά με το βασικό host discovery και προχωρά σε πιο προηγμένες τεχνικές, συμπεριλαμβανομένου του operating system fingerprinting και του vulnerability scanning.

400
00:55:13,600 --> 00:55:20,600
Αυτή η πρακτική εμπειρία θα θέσει τα θεμέλια για την κατανόηση του penetration testing και των αξιολογήσεων ασφάλειας δικτύου.

401
00:55:20,600 --> 00:55:29,600
Το πρώτο βήμα της άσκησης περιλαμβάνει την ανακάλυψη live hosts μέσα στο δίκτυο χρησιμοποιώντας το Nmap.

402
00:55:29,600 --> 00:55:40,600
Εκτελώντας ένα απλό ping scan με την επιλογή SN, οι φοιτητές μπορούν να εντοπίσουν ποιες συσκευές είναι ενεργές και ανταποκρίνονται σε αιτήματα ICMP echo, pings.

403
00:55:40,600 --> 00:55:47,600
Αυτό επιτρέπει στους φοιτητές να λάβουν γρήγορα μια επισκόπηση των συσκευών που υπάρχουν στο τοπικό τους δίκτυο.

404
00:55:47,600 --> 00:55:59,600
Η εντολή για την εκτέλεση αυτής της σάρωσης είναι Nmap μείον SN και μετά η IP του εύρους δικτύου, για παράδειγμα 1.1.0.

405
00:55:59,600 --> 00:56:09,600
Μόλις ολοκληρωθεί, οι φοιτητές θα έχουν μια λίστα με διευθύνσεις IP που αντιστοιχούν στα live hosts του δικτύου, η οποία χρησιμεύει ως θεμέλιο για περαιτέρω έρευνα.

406
00:56:09,600 --> 00:56:17,600
Μετά τον εντοπισμό των live hosts, το επόμενο βήμα είναι η σάρωση για ανοιχτά ports και τις υπηρεσίες που εκτελούνται σε αυτά τα ports.

407
00:56:17,600 --> 00:56:31,600
Η επιλογή Nmap μείον sV επιτρέπει στους φοιτητές να εκτελέσουν ένα service version scan, το οποίο βοηθά στον προσδιορισμό όχι μόνο των ανοιχτών ports, αλλά και ποιες υπηρεσίες εκτελούνται και τις εκδόσεις τους.

408
00:56:31,600 --> 00:56:45,600
Εκτελώντας την εντολή Nmap μείον sV και μετά την IP στόχο του δικτύου, οι φοιτητές μπορούν να εντοπίσουν κρίσιμες υπηρεσίες όπως HTTP, FTP, SSH και άλλες.

409
00:56:45,600 --> 00:57:00,600
Η κατανόηση του ποιες υπηρεσίες είναι εκτεθειμένες βοηθά τους φοιτητές να αξιολογήσουν τους πιθανούς κινδύνους ασφαλείας που σχετίζονται με αυτές τις υπηρεσίες, ειδικά εάν είναι ξεπερασμένες ή ευάλωτες υπηρεσίες και εκδόσεις.

410
00:57:00,600 --> 00:57:08,600
Το επόμενο βήμα είναι η εκτέλεση operating system fingerprinting για τον προσδιορισμό του λειτουργικού συστήματος που εκτελείται στο σύστημα στόχο.

411
00:57:08,600 --> 00:57:18,600
Χρησιμοποιώντας την επιλογή μείον κεφαλαίο O στο Nmap, οι φοιτητές μπορούν να αναλύσουν τις απαντήσεις από το host του συστήματος και να αναγνωρίσουν το λειτουργικό σύστημα.

412
00:57:18,600 --> 00:57:29,600
Αυτή η πληροφορία μπορεί να είναι πολύτιμη επειδή διαφορετικά λειτουργικά συστήματα έχουν μοναδικές ευπάθειες και η γνώση του λειτουργικού συστήματος επιτρέπει στους φοιτητές να κατανοήσουν καλύτερα τη στάση ασφαλείας της συσκευής.

413
00:57:29,600 --> 00:57:38,600
Η εντολή για operating system fingerprinting είναι Nmap μείον O και μετά η IP στόχος που στοχεύει ο φοιτητής.

414
00:57:38,600 --> 00:57:48,600
Οι φοιτητές θα μάθουν πώς να ερμηνεύουν τα αποτελέσματα της σάρωσης του λειτουργικού συστήματος για να αποκτήσουν περισσότερες γνώσεις σχετικά με πιθανές αδυναμίες ασφαλείας.

415
00:57:48,600 --> 00:57:57,600
Το τελικό βήμα για την άσκηση είναι η εκτέλεση ενός vulnerability scan χρησιμοποιώντας την επιλογή Nmap μείον μείον script vuln.

416
00:57:57,600 --> 00:58:07,600
Αυτή η σάρωση χρησιμοποιεί τα ενσωματωμένα scripts του Nmap, τα προσαρμοσμένα scripts NSE, για να εντοπίσει τις γνωστές ευπάθειες και τις υπηρεσίες που εκτελούνται στο host στόχο.

417
00:58:07,600 --> 00:58:24,600
Εκτελώντας την εντολή Nmap μείον μείον script vuln και στη συνέχεια την IP στόχο, οι φοιτητές μπορούν να αποκαλύψουν κρίσιμες ευπάθειες όπως απαρχαιωμένο λογισμικό, ελλείποντα patches και misconfigurations που θα μπορούσαν να εκμεταλλευτούν οι επιτιθέμενοι.

418
00:58:24,600 --> 00:58:35,600
Αυτή η σάρωση βοηθά τους φοιτητές να αξιολογήσουν τη συνολική ασφάλεια του δικτύου και να κατανοήσουν τους πιθανούς κινδύνους που θέτουν οι ανακαλυφθείσες ευπάθειες.

419
00:58:35,600 --> 00:58:44,600
Η άσκηση συνεχίζεται με τους φοιτητές να μαθαίνουν να χρησιμοποιούν το Wireshark, έναν ισχυρό αναλυτή πρωτοκόλλων δικτύου για την καταγραφή και ανάλυση της κίνησης δικτύου.

420
00:58:44,600 --> 00:58:55,600
Ο κύριος στόχος είναι να παρατηρήσουν πώς μεταδίδονται μη κρυπτογραφημένα δεδομένα ή άλλη κίνηση μέσω του δικτύου και να κατανοήσουν τους κινδύνους ασφαλείας που σχετίζονται με πρωτόκολλα απλού κειμένου (plain text) όπως το HTTP.

421
00:58:55,600 --> 00:59:07,600
Εστιάζοντας στην κίνηση HTTP, οι φοιτητές θα παρατηρήσουν πώς μεταδίδονται ευαίσθητες πληροφορίες όπως τα login credentials και πώς οι επιτιθέμενοι μπορούν να εκμεταλλευτούν την έλλειψη κρυπτογράφησης για να υποκλέψουν αυτά τα δεδομένα.

422
00:59:07,600 --> 00:59:14,600
Η πρακτική δραστηριότητα θα βοηθήσει τους φοιτητές να εκτιμήσουν τη σημασία της ασφάλειας των δεδομένων κατά τη μεταφορά (in transit).

423
00:59:14,600 --> 00:59:26,600
Για να ξεκινήσουν, οι φοιτητές θα εκκινήσουν το Wireshark σε Kali Linux ή Parrot OS, το Wireshark μπορεί επίσης να τρέξει σε Windows, και θα επιλέξουν το network interface που αντιστοιχεί στην ενεργή σύνδεση δικτύου.

424
00:59:27,600 --> 00:59:32,600
Το Wireshark θα καταγράψει στη συνέχεια όλη την κίνηση δικτύου που ρέει μέσω αυτού του interface.

425
00:59:32,600 --> 00:59:40,600
Για να φιλτράρουν την κίνηση και να εστιάσουν μόνο στην κίνηση HTTP, οι φοιτητές μπορούν να εφαρμόσουν το capture filter TCP port 80.

426
00:59:40,600 --> 00:59:49,600
Αυτό το φίλτρο διασφαλίζει ότι καταγράφεται μόνο η κίνηση στη θύρα 80, η προεπιλεγμένη θύρα για HTTP, περιορίζοντας την ανάλυση στα σχετικά δεδομένα.

427
00:59:49,600 --> 00:59:55,600
Μόλις ξεκινήσει η καταγραφή, οι φοιτητές θα πλοηγηθούν στη συνέχεια σε μια ευάλωτη web εφαρμογή.

428
00:59:55,600 --> 01:00:06,600
Για παράδειγμα, μπορούν να χρησιμοποιήσουν το Damn Vulnerable Web Application (DVWA) ή το WebGoat ή το Metasploitable 2, και να εκτελέσουν προσπάθειες σύνδεσης χρησιμοποιώντας έναν δοκιμαστικό λογαριασμό.

429
01:00:06,600 --> 01:00:13,600
Καθώς τα login credentials μεταδίδονται μέσω HTTP, το Wireshark θα καταγράψει την αντίστοιχη κίνηση δικτύου.

430
01:00:13,600 --> 01:00:23,600
Για να απομονώσουν την κίνηση που περιέχει τα login credentials, οι φοιτητές μπορούν να εφαρμόσουν το display filter HTTP.request.method,

431
01:00:23,600 --> 01:00:26,600
double equals, quotes post.

432
01:00:26,600 --> 01:00:36,600
Τα HTTP post requests χρησιμοποιούνται συνήθως για την αποστολή δεδομένων σε έναν server, συμπεριλαμβανομένων ευαίσθητων πληροφοριών, όπως όταν χρησιμοποιείτε login, ονόματα χρήστη και κωδικούς πρόσβασης.

433
01:00:36,600 --> 01:00:49,600
Αφού καταγράψουν τα σχετικά HTTP post requests, οι φοιτητές μπορούν να σταματήσουν την καταγραφή και να χρησιμοποιήσουν τη λειτουργία follow TCP stream του Wireshark για να εξετάσουν την πλήρη ανταλλαγή μεταξύ του client και του server.

434
01:00:49,600 --> 01:00:58,600
Αυτό θα τους επιτρέψει να δουν πώς μεταδίδονται οι ευαίσθητες πληροφορίες login σε απλό κείμενο (plain text) μέσω του δικτύου, καθιστώντας τες ευάλωτες σε υποκλοπή.

435
01:00:58,600 --> 01:01:08,600
Μέσω αυτής της ανάλυσης, οι φοιτητές μπορούν να δουν καθαρά πόσο εύκολο είναι για έναν επιτιθέμενο στο ίδιο δίκτυο να υποκλέψει ευαίσθητα δεδομένα εάν δεν είναι κρυπτογραφημένα.

436
01:01:08,600 --> 01:01:20,600
Η έλλειψη κρυπτογράφησης στην κίνηση HTTP εκθέτει κρίσιμες πληροφορίες, όπως login credentials, καθιστώντας το σοβαρό κίνδυνο ασφαλείας, ειδικά σε δημόσια ή μη ασφαλή δίκτυα.

437
01:01:20,600 --> 01:01:27,600
Οι φοιτητές μπορούν να προβληματιστούν σχετικά με τη σημασία της χρήσης κρυπτογράφησης για την ασφάλεια ευαίσθητων δεδομένων κατά τη μεταφορά.

438
01:01:27,600 --> 01:01:43,600
Χρησιμοποιώντας HTTPS μέσω SSL ή χρησιμοποιώντας TLS, η μετάδοση δεδομένων μπορεί να κρυπτογραφηθεί, διασφαλίζοντας ότι ακόμη και αν ο επιτιθέμενος υποκλέψει την κίνηση, οι πληροφορίες θα είναι μη αναγνώσιμες.

439
01:01:43,600 --> 01:01:54,600
Σε αυτή την άσκηση, οι φοιτητές θα μάθουν πώς να χρησιμοποιούν το Metasploit, το ευρέως διαδεδομένο penetration testing framework, για να εξερευνήσουν μια παλιά ευπάθεια σε ένα ευάλωτο μηχάνημα στόχο.

440
01:01:54,600 --> 01:02:01,600
Ο στόχος είναι να καταδειχθεί πώς οι επιτιθέμενοι μπορούν να εκμεταλλευτούν ευπάθειες λογισμικού για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο σύστημα.

441
01:02:01,600 --> 01:02:16,600
Σε αυτό το σενάριο, οι φοιτητές θα εργαστούν με το μηχάνημα στόχο Metasploitable 2 ή 3 και θα χρησιμοποιήσουν ένα exploit για μια παλαιότερη έκδοση του VSFTPD, Very Secure FTP Daemon, το οποίο περιέχει μια ευπάθεια backdoor.

442
01:02:17,600 --> 01:02:26,600
Περνώντας μέσα από αυτή την άσκηση, οι φοιτητές θα δουν από πρώτο χέρι πώς οι επιτιθέμενοι μπορούν να εκμεταλλευτούν τέτοιες ευπάθειες σε σενάριο πραγματικού κόσμου για να παραβιάσουν συστήματα.

443
01:02:26,600 --> 01:02:37,600
Για να ξεκινήσουν τις ασκήσεις, οι φοιτητές εκκινούν το Metasploit σε Parrot OS ή Kali Linux ανοίγοντας ένα τερματικό και πληκτρολογώντας την εντολή MSF console.

444
01:02:37,600 --> 01:02:45,600
Αυτό θα φορτώσει το Metasploit framework, το οποίο παρέχει πρόσβαση σε ένα ευρύ φάσμα από exploits, payloads και post-exploitation modules.

445
01:02:45,600 --> 01:02:57,600
Μόλις η κονσόλα του Metasploit είναι σε λειτουργία, οι φοιτητές μπορούν να αναζητήσουν το exploit, στοχεύοντας την ευπάθεια VSFTPD χρησιμοποιώντας την εντολή search VSFTPD.

446
01:02:57,600 --> 01:03:05,600
Φυσικά, οι φοιτητές μπορούν να χρησιμοποιήσουν την εντολή search για να αναζητήσουν όποια έκδοση Apache, SQL ή όποια άλλη υπηρεσία θέλουν.

447
01:03:05,600 --> 01:03:12,600
Αυτό θα τους βοηθήσει να εντοπίσουν το συγκεκριμένο exploit που σχετίζεται με την ευπάθεια backdoor της συγκεκριμένης υπηρεσίας.

448
01:03:12,600 --> 01:03:26,600
Αφού βρουν το κατάλληλο exploit, οι φοιτητές μπορούν να το φορτώσουν χρησιμοποιώντας την εντολή use exploit slash unix slash ftp slash VSFTPD και το όνομα του exploit.

449
01:03:26,600 --> 01:03:41,600
Είναι σαν ένας φάκελος μέσα στο λειτουργικό σύστημα όπου το exploit είναι η ρίζα, μετά unix ftp και μετά συνεχίζει μέχρι να βρει το συγκεκριμένο αρχείο ή exploit όπως το VSFTPD backdoor.

450
01:03:41,600 --> 01:03:45,600
Αυτό στοχεύει την ευάλωτη έκδοση του ftp.

451
01:03:45,600 --> 01:03:49,600
Στη συνέχεια, οι φοιτητές θα ρυθμίσουν το exploit ορίζοντας τις απαιτούμενες παραμέτρους.

452
01:03:49,600 --> 01:03:59,600
Θα χρησιμοποιήσουν το R-host, remote host ως ρύθμιση για τη διεύθυνση IP και θα ορίσουν τη διεύθυνση IP του Metasploitable 2 ως R-host.

453
01:03:59,600 --> 01:04:07,600
Και L-host είναι το local host, είναι η IP του δικού τους Kali Linux ή του δικού τους μηχανήματος Parrot OS.

454
01:04:07,600 --> 01:04:19,600
Η διεύθυνση L-host είναι κρίσιμη και το R-host επίσης ως ρύθμιση καθώς θα χρησιμοποιηθεί για τη δημιουργία μιας αντίστροφης σύνδεσης (reverse connection) πίσω στο μηχάνημα μόλις το exploit είναι επιτυχές.

455
01:04:19,600 --> 01:04:29,600
Οι φοιτητές θα επιλέξουν στη συνέχεια το κατάλληλο payload για αυτό το exploit, το οποίο σε αυτή την περίπτωση θα είναι Linux x86 shell reverse TCP.

456
01:04:29,600 --> 01:04:36,600
Αυτό είναι ένα reverse shell payload που θα ανοίξει ένα command line interface στο μηχάνημα στόχο μόλις εκτελεστεί το exploit.

457
01:04:36,600 --> 01:04:48,600
Αφού ρυθμίσουν το exploit και επιλέξουν τα payloads, οι φοιτητές μπορούν να εκτελέσουν το exploit πληκτρολογώντας την εντολή exploit, αφού φυσικά ρυθμίσουν τα configurations όπως πριν.

458
01:04:48,600 --> 01:04:57,600
Εάν είναι επιτυχές, το exploit θα ενεργοποιήσει μια reverse shell σύνδεση πίσω στο μηχάνημα Kali Linux, παρέχοντας στους φοιτητές πρόσβαση στο μηχάνημα Metasploitable 2.

459
01:04:57,600 --> 01:05:09,600
Με αυτή την πρόσβαση, οι φοιτητές θα μπορούν να εκτελέσουν βασικές εντολές post-exploitation όπως λίστα καταλόγων, εξερεύνηση αρχείων συστήματος ή συλλογή και συγκέντρωση πληροφοριών συστήματος.

460
01:05:09,600 --> 01:05:19,600
Αυτή η φάση της άσκησης βοηθά τους φοιτητές να κατανοήσουν πώς οι επιτιθέμενοι χρησιμοποιούν τεχνικές post-exploitation για να εξερευνήσουν και να διατηρήσουν πρόσβαση στα παραβιασμένα συστήματα.

461
01:05:19,600 --> 01:05:29,600
Οι φοιτητές μπορούν να παρατηρήσουν πώς οι επιτιθέμενοι μπορούν εύκολα να συλλέξουν δεδομένα ή να κλιμακώσουν τα προνόμιά τους μετά την απόκτηση αρχικής πρόσβασης εκμεταλλευόμενοι μια συγκεκριμένη ευπάθεια.