1
00:00:00,000 --> 00:00:06,280
Ciao a tutti, questo è il progetto CyberSecPro, tuffiamoci in questo interessante modulo

2
00:00:06,280 --> 00:00:09,920
Zero to Hero, un toolkit completo per la cybersecurity.

3
00:00:09,920 --> 00:00:14,400
Questo modulo fa parte di CyberSecPro, finanziato dall'Unione Europea.

4
00:00:14,400 --> 00:00:19,280
Questo modulo di apprendimento è progettato per guidare i principianti attraverso i fondamenti della cybersecurity,

5
00:00:19,280 --> 00:00:24,320
coprendo concetti base, abilità pratiche e tecniche avanzate per proteggersi

6
00:00:24,320 --> 00:00:26,040
dalle minacce informatiche.

7
00:00:26,040 --> 00:00:30,400
Come parte del progetto CyberSecPro, mira a potenziare i discenti con le conoscenze e

8
00:00:30,400 --> 00:00:36,680
gli strumenti necessari per costruire una carriera nella cybersecurity, concentrandosi su aree come la sicurezza di rete,

9
00:00:36,680 --> 00:00:41,080
l'ethical hacking e la risposta agli incidenti.

10
00:00:41,080 --> 00:00:46,000
Mi chiamo Stylianos Karagiannis, ho completato il mio dottorato in cybersecurity e ora sto facendo

11
00:00:46,000 --> 00:00:51,480
il mio post-dottorato presso l'Università dello Ionio, Dipartimento di Informatica, che si trova a Corfù,

12
00:00:51,480 --> 00:00:52,480
Grecia.

13
00:00:52,480 --> 00:00:57,000
Lavoro come ricercatore senior presso PDMFC a Lisbona, Portogallo.

14
00:00:57,000 --> 00:01:02,680
Mi specializzo in vari argomenti di ricerca nella cybersecurity, inclusi interessi come la privacy,

15
00:01:02,680 --> 00:01:08,200
sfide capture the flag, cyber ranges, gamification, gestione degli incidenti, laboratori

16
00:01:08,200 --> 00:01:12,920
virtuali, game-based learning, costruttivismo sociale e teorie dell'apprendimento.

17
00:01:12,920 --> 00:01:18,680
Sentitevi liberi di contattarmi via email o utilizzando il link LinkedIn.

18
00:01:18,680 --> 00:01:24,240
Qui ci stiamo immergendo in profondità negli strumenti di cybersecurity offensivi e difensivi.

19
00:01:24,240 --> 00:01:28,320
Questi sono gli strumenti che i professionisti della cybersecurity, in particolare i penetration

20
00:01:28,320 --> 00:01:32,840
tester e i red teamer, utilizzano per simulare attacchi reali al fine di

21
00:01:32,840 --> 00:01:34,840
rafforzare le difese del sistema.

22
00:01:34,840 --> 00:01:40,200
Ricordate, la conoscenza di come attaccare è essenziale per imparare a difendersi.

23
00:01:40,200 --> 00:01:44,560
Iniziamo con una delle pietre angolari delle operazioni offensive,

24
00:01:44,560 --> 00:01:45,560
Metasploit.

25
00:01:45,560 --> 00:01:51,200
Metasploit è più di un semplice strumento, è un framework completo.

26
00:01:51,200 --> 00:01:57,240
Pendetelo come un coltellino svizzero per gli hacker etici.

27
00:01:57,240 --> 00:02:02,200
Sviluppato da Rapid7, Metasploit fornisce un ambiente in cui è possibile costruire, testare ed

28
00:02:02,200 --> 00:02:03,840
eseguire exploit.

29
00:02:03,840 --> 00:02:08,960
Il suo design modulare permette ai tester di abbinare payload agli exploit, gestire

30
00:02:08,960 --> 00:02:12,840
sessioni ed eseguire compiti di post-exploitation.

31
00:02:12,840 --> 00:02:17,480
Ad esempio, utilizzando Meterpreter, un payload avanzato in Metasploit, un attaccante può ottenere

32
00:02:17,480 --> 00:02:20,560
il controllo su una macchina bersaglio.

33
00:02:20,560 --> 00:02:26,080
Enumerare utenti, scaricare hash delle password e persino fare pivot in altre reti.

34
00:02:26,080 --> 00:02:31,240
È ampiamente utilizzato nei penetration test professionali, grazie alla sua flessibilità

35
00:02:31,240 --> 00:02:32,240
e profondità.

36
00:02:32,240 --> 00:02:36,480
Ora, prima di lanciare qualsiasi attacco, devi conoscere il tuo terreno.

37
00:02:36,480 --> 00:02:38,320
È qui che entra in gioco Nmap.

38
00:02:38,320 --> 00:02:43,480
Nmap, o network mapper, è un potente strumento di scansione di rete.

39
00:02:43,480 --> 00:02:49,080
La sua funzione principale è la ricognizione, identificando quali host sono attivi e quali servizi

40
00:02:49,080 --> 00:02:50,480
stanno eseguendo.

41
00:02:50,480 --> 00:02:55,240
Con una semplice interfaccia a riga di comando, Nmap può rivelare porte aperte, versioni del sistema operativo

42
00:02:55,240 --> 00:02:59,480
e persino il tipo di dispositivo di una rete.

43
00:02:59,480 --> 00:03:05,280
Scansioni avanzate possono persino rilevare regole del firewall o scoprire servizi mal configurati.

44
00:03:05,280 --> 00:03:13,080
È l'occhio dell'attaccante e, quando usato eticamente, il primo passo nella valutazione della

45
00:03:13,080 --> 00:03:14,080
vulnerabilità.

46
00:03:14,080 --> 00:03:19,240
Passando al testing delle applicazioni web, Burp Suite è indispensabile.

47
00:03:19,240 --> 00:03:23,920
Burp Suite è sia un proxy web che uno scanner di vulnerabilità.

48
00:03:23,920 --> 00:03:29,360
È usato estensivamente nel bug bounty hunting e nel pen testing professionale.

49
00:03:29,360 --> 00:03:34,240
Come proxy, si posiziona tra il tuo browser e internet, permettendoti di intercettare,

50
00:03:34,240 --> 00:03:37,000
modificare e ripetere le richieste web.

51
00:03:37,000 --> 00:03:42,840
Come scanner, identifica falle comuni come SQL injection, XSS e debolezze nella gestione delle

52
00:03:42,840 --> 00:03:44,360
sessioni.

53
00:03:44,360 --> 00:03:50,200
Con strumenti come intruder e repeater, Burp Suite rende il testing di applicazioni web complesse

54
00:03:50,200 --> 00:03:52,400
sistematico ed efficace.

55
00:03:52,400 --> 00:03:57,160
Parlando di brute-force delle credenziali, parliamo di HYDRA.

56
00:03:57,160 --> 00:04:03,560
HYDRA è uno strumento veloce e versatile progettato per crackare le credenziali di accesso usando attacchi brute-force.

57
00:04:03,560 --> 00:04:04,880
.

58
00:04:04,880 --> 00:04:11,440
Che sia una connessione SSH, FTP, HTTP o anche SMB, HYDRA supporta una vasta gamma

59
00:04:11,440 --> 00:04:12,840
di protocolli.

60
00:04:12,840 --> 00:04:17,720
Usa attacchi a dizionario, ciclando attraverso combinazioni di nomi utente e password finché

61
00:04:17,720 --> 00:04:21,320
non ha successo o esaurisce la lista.

62
00:04:21,320 --> 00:04:26,400
I professionisti della sicurezza lo usano per valutare la forza dei meccanismi di autenticazione e

63
00:04:26,400 --> 00:04:31,840
scovare credenziali deboli o predefinite.

64
00:04:31,840 --> 00:04:35,440
Il prossimo è il nostro preferito per l'analisi dei pacchetti, Wireshark.

65
00:04:35,440 --> 00:04:40,920
Wireshark cattura il traffico di rete in tempo reale, permettendo ai professionisti della sicurezza di ispezionare

66
00:04:40,920 --> 00:04:42,920
ogni pacchetto nel dettaglio.

67
00:04:42,920 --> 00:04:48,920
Può dissezionare protocolli, ricostruire sessioni TCP e rivelare informazioni sensibili

68
00:04:48,920 --> 00:04:50,760
trasmesse in testo in chiaro.

69
00:04:50,760 --> 00:04:55,840
Ad esempio, un attaccante potrebbe usare Wireshark su una macchina compromessa per sniffare password

70
00:04:55,840 --> 00:04:57,920
via HTTP o FTP.

71
00:04:57,920 --> 00:05:03,040
È uno strumento essenziale sia per i red che per i blue team, per gli attaccanti per monitorare e i difensori

72
00:05:03,040 --> 00:05:04,600
per rilevare intrusioni.

73
00:05:04,600 --> 00:05:07,240
Infine, approfondiamo SQLMAP.

74
00:05:07,240 --> 00:05:10,520
SQLMAP è uno strumento automatizzato per SQL injection.

75
00:05:10,520 --> 00:05:17,360
Semplicemente puntandolo su un URL vulnerabile, può determinare se il database è

76
00:05:17,360 --> 00:05:19,600
suscettibile a iniezioni.

77
00:05:19,600 --> 00:05:24,600
Da lì, può enumerare i database, scaricare dati e persino accedere al sistema

78
00:05:24,600 --> 00:05:27,840
di file sottostante o eseguire comandi sull'host.

79
00:05:27,840 --> 00:05:34,680
È altamente configurabile e supporta una vasta gamma di motori DBMS come MySQL, PostgreSQL,

80
00:05:34,680 --> 00:05:39,160
Oracle e il servizio Microsoft SQL.

81
00:05:39,160 --> 00:05:44,040
È spesso usato nella fase di sfruttamento delle valutazioni delle applicazioni web.

82
00:05:44,040 --> 00:05:50,000
Questi strumenti, sebbene potenti, sono etici solo quanto le mani che li impugnano.

83
00:05:50,000 --> 00:05:56,160
Usati responsabilmente, aiutano le organizzazioni a identificare e rimediare alle debolezze di sicurezza.

84
00:05:56,160 --> 00:05:58,280
Nelle mani sbagliate, sono armi.

85
00:05:58,280 --> 00:06:06,400
Quindi, mentre continuiamo a imparare su di essi, ricordiamo lo scopo, la difesa attraverso la conoscenza.

86
00:06:06,400 --> 00:06:09,480
Iniziamo quindi con una domanda semplice ma fondamentale.

87
00:06:09,480 --> 00:06:12,200
Cosa sono gli strumenti di cybersecurity?

88
00:06:12,200 --> 00:06:17,120
Gli strumenti di cybersecurity sono applicazioni software specializzate e talvolta dispositivi hardware

89
00:06:17,120 --> 00:06:22,000
sviluppati per aiutare organizzazioni e individui a migliorare la sicurezza digitale,

90
00:06:22,000 --> 00:06:27,120
rilevare e rispondere alle minacce informatiche e mitigare i rischi prima che diventino violazioni.

91
00:06:27,120 --> 00:06:32,640
In sostanza, questi strumenti fungono da guardie del corpo digitali dei tuoi sistemi informativi.

92
00:06:32,640 --> 00:06:37,040
Categorizziamo gli strumenti di cybersecurity difensivi in tre gruppi principali,

93
00:06:37,040 --> 00:06:41,080
ognuno dei quali svolge un ruolo critico in una postura di sicurezza completa.

94
00:06:41,080 --> 00:06:43,480
Esploriamoli in dettaglio.

95
00:06:43,480 --> 00:06:46,280
Il primo sono gli strumenti di sicurezza di rete.

96
00:06:46,280 --> 00:06:51,760
Questi strumenti formano la prima linea di difesa, come le mura e i cancelli di un castello.

97
00:06:51,760 --> 00:06:58,960
Il loro compito è proteggere il perimetro della rete e gestire il flusso di traffico da e verso i tuoi sistemi.

98
00:06:58,960 --> 00:07:03,120
I firewall sono forse gli strumenti di difesa di rete più conosciuti.

99
00:07:03,120 --> 00:07:09,360
Monitorano e filtrano il traffico di rete in entrata e in uscita in base a regole di sicurezza predefinite.

100
00:07:09,360 --> 00:07:14,360
I firewall possono essere basati su hardware, software o cloud-native.

101
00:07:14,360 --> 00:07:19,560
Le VPN o virtual private network forniscono tunnel sicuri e crittografati

102
00:07:19,560 --> 00:07:23,480
per far viaggiare i dati attraverso reti pubbliche o non affidabili.

103
00:07:23,480 --> 00:07:30,360
Sono essenziali per il lavoro remoto e per salvaguardare le trasmissioni sensibili da orecchie indiscrete.

104
00:07:30,360 --> 00:07:35,000
IDPS, sistemi di rilevamento delle intrusioni o sistemi di prevenzione delle intrusioni,

105
00:07:35,000 --> 00:07:41,640
stanno per Intrusion, monitorano attivamente il traffico di rete per segni di attività dannosa.

106
00:07:41,640 --> 00:07:47,400
Un IDS avviserà l'amministratore quando viene rilevato qualcosa di sospetto,

107
00:07:47,400 --> 00:07:54,360
mentre un IPS, un sistema di prevenzione, può intraprendere azioni come bloccare il traffico in tempo reale.

108
00:07:54,360 --> 00:07:57,920
La seconda categoria sono gli strumenti di valutazione della vulnerabilità.

109
00:07:57,920 --> 00:07:59,720
Questi strumenti sono proattivi.

110
00:07:59,720 --> 00:08:05,760
Invece di aspettare che accada un attacco, cercano le debolezze prima che gli attaccanti possano sfruttarle.

111
00:08:05,760 --> 00:08:12,040
Gli scanner di vulnerabilità, come Nessus o OpenVas, scansionano reti, sistemi e applicazioni

112
00:08:12,040 --> 00:08:20,680
per identificare problemi di sicurezza noti, come software non aggiornato, configurazioni errate o credenziali predefinite in uso.

113
00:08:20,680 --> 00:08:28,080
I gestori di patch aiutano a garantire che i sistemi siano mantenuti aggiornati automatizzando il processo di applicazione delle patch di sicurezza.

114
00:08:28,080 --> 00:08:34,240
Il patching tempestivo è uno dei modi più efficaci per prevenire lo sfruttamento di vulnerabilità note.

115
00:08:34,240 --> 00:08:39,480
Pensa a questa categoria come alla tua ispezione di sicurezza di routine.

116
00:08:39,480 --> 00:08:44,880
Non ferma gli attaccanti, ma assicura che tu non lasci le porte aperte per loro.

117
00:08:44,880 --> 00:08:53,840
Strumenti di rilevamento delle intrusioni, questa categoria merita un'attenzione speciale, poiché spesso rappresenta la prima linea per identificare un attacco attivo.

118
00:08:53,840 --> 00:08:57,600
L'IDPS, come accennato prima, può essere basato su firme.

119
00:08:57,600 --> 00:09:05,760
Questi sistemi riconoscono pattern noti, proprio come un software antivirus che identifica una firma malware, per esempio.

120
00:09:05,800 --> 00:09:10,080
Sono veloci e accurati, ma efficaci solo contro minacce note.

121
00:09:10,080 --> 00:09:13,840
Ci possono essere sistemi di rilevamento delle intrusioni basati su anomalie.

122
00:09:13,840 --> 00:09:18,600
Questi sistemi usano l'analisi comportamentale per segnalare qualsiasi cosa devii dalla norma,

123
00:09:18,600 --> 00:09:23,520
per esempio, un utente che scarica gigabyte di dati a mezzanotte.

124
00:09:23,520 --> 00:09:30,440
Sebbene potenti, possono essere inclini a falsi positivi e spesso richiedono una messa a punto.

125
00:09:30,440 --> 00:09:33,000
La chiave qui è la parte di rilevamento.

126
00:09:33,000 --> 00:09:42,480
Questi strumenti ti avvisano quando sta succedendo qualcosa, dando al tuo team di risposta agli incidenti tempo prezioso per agire prima che il danno si diffonda.

127
00:09:42,480 --> 00:09:49,440
Quindi, in sintesi, gli strumenti di cybersecurity, in particolare quelli difensivi, non sono soluzioni autonome.

128
00:09:49,440 --> 00:09:56,320
Fanno parte di una strategia di difesa a strati, dove ogni strato compensa le limitazioni degli altri.

129
00:09:56,320 --> 00:10:02,040
Dal controllo dell'accesso utente al rilevamento delle intrusioni e alla valutazione dell'esposizione al rischio,

130
00:10:02,040 --> 00:10:07,400
questi strumenti lavorano insieme per proteggere le nostre reti, i dati e l'infrastruttura.

131
00:10:08,720 --> 00:10:14,960
Rivolgiamo ora la nostra attenzione ai difensori in prima linea dell'infrastruttura digitale moderna.

132
00:10:14,960 --> 00:10:16,560
Strumenti di sicurezza di rete.

133
00:10:16,560 --> 00:10:23,480
Questi sono i guardiani che monitorano, filtrano e talvolta respingono le minacce informatiche prima che raggiungano i sistemi critici.

134
00:10:23,480 --> 00:10:29,280
Lo scopo di questi strumenti è salvaguardare l'integrità, la riservatezza e la disponibilità.

135
00:10:29,280 --> 00:10:34,280
La classica triade CIA dell'infrastruttura di rete.

136
00:10:34,280 --> 00:10:43,960
Fanno questo controllando il flusso del traffico, identificando attività sospette e, in alcuni casi, fermando queste minacce sul nascere.

137
00:10:43,960 --> 00:10:51,400
Ci concentreremo su tre componenti chiave in questo dominio: firewall, sistemi di rilevamento delle intrusioni e sistemi di prevenzione delle intrusioni.

138
00:10:51,400 --> 00:10:54,200
I firewall sono i guardiani della rete.

139
00:10:54,200 --> 00:10:59,480
Pensateli come ufficiali doganali al checkpoint di confine,

140
00:10:59,480 --> 00:11:03,760
che ispezionano i pacchetti di dati mentre entrano ed escono dalla rete.

141
00:11:03,760 --> 00:11:14,320
Il firewall filtra il traffico in base a regole di sicurezza definite, ad esempio, bloccando o il traffico in entrata sulla porta 23,

142
00:11:14,320 --> 00:11:18,960
per prevenire l'accesso Telnet o 22 per l'accesso SSH.

143
00:11:18,960 --> 00:11:24,680
Sono disponibili in forme hardware, software e gestite via cloud a seconda delle esigenze della vostra infrastruttura.

144
00:11:24,680 --> 00:11:31,080
I firewall possono eseguire ispezioni stateful, che tracciano lo stato delle connessioni attive

145
00:11:31,080 --> 00:11:36,440
o ispezioni stateless, che esaminano semplicemente ogni pacchetto da solo.

146
00:11:36,440 --> 00:11:43,080
Alcuni esempi di firewall sono PFSense, una distribuzione software firewall router open-source.

147
00:11:43,080 --> 00:11:49,360
Puoi distribuirlo come VM o macchina virtuale o su un computer specifico.

148
00:11:49,360 --> 00:11:58,000
Cisco ASA di Cisco, firewall aziendale ampiamente utilizzato con supporto integrato per VPN e IPS.

149
00:11:58,000 --> 00:12:10,280
Naturalmente, ci sono altre aziende come Fortinet, hanno FortiGate che supporta anche firewall e include anche sistemi di prevenzione delle intrusioni.

150
00:12:10,280 --> 00:12:14,360
Sistemi di rilevamento delle intrusioni, se i firewall sono le guardie,

151
00:12:14,360 --> 00:12:22,080
l'IDS è la telecamera di sicurezza, che osserva, registra e ti avvisa sempre quando qualcosa non va.

152
00:12:22,080 --> 00:12:30,280
Gli strumenti IDS monitorano il traffico di rete per segni di attacchi, violazioni delle policy o comportamenti anomali.

153
00:12:30,280 --> 00:12:36,160
Quando rilevano un problema, avvisano gli amministratori che possono indagare e rispondere.

154
00:12:36,160 --> 00:12:40,200
Ci sono due metodi principali di rilevamento.

155
00:12:40,200 --> 00:12:48,320
Basato sulla firma, come vi ho detto prima, cerca pattern di attacco noti, veloce ma limitato alle minacce note.

156
00:12:48,320 --> 00:12:56,280
Può essere anche basato su anomalie, segnala attività insolite, più adattivo ma può produrre falsi positivi.

157
00:12:56,280 --> 00:13:03,640
Alcuni esempi di sistemi di rilevamento delle intrusioni sono l'open-source Snort, che è stato ampiamente adottato in passato.

158
00:13:03,640 --> 00:13:12,720
E Suricata, è un IDS e insieme un sistema di prevenzione delle intrusioni con multi-threading e supporto avanzato dei protocolli.

159
00:13:12,720 --> 00:13:19,960
È uno degli strumenti open-source più noti negli ultimi anni.

160
00:13:19,960 --> 00:13:24,280
I sistemi di prevenzione delle intrusioni IPS sono difese proattive.

161
00:13:24,280 --> 00:13:31,560
Fa tutto ciò che fa un IDS, ma blocca anche il traffico dannoso in tempo reale.

162
00:13:31,600 --> 00:13:40,480
I sistemi di prevenzione delle intrusioni possono terminare sessioni, scartare pacchetti o persino aggiornare le regole del firewall con nuove regole nelle firme.

163
00:13:40,480 --> 00:13:46,480
Spesso, l'IPS è integrato direttamente nei firewall, creando una soluzione di sicurezza unificata.

164
00:13:46,480 --> 00:13:54,840
La differenza chiave è la reazione, l'IDS guarda mentre l'IPS agisce e risponde.

165
00:13:54,840 --> 00:14:02,160
Un esempio di caso d'uso può essere così. Diciamo che un IDS, come Suricata, è distribuito sulla tua rete perimetrale.

166
00:14:02,160 --> 00:14:08,600
Rileva una scansione di porte sospetta proveniente da un IP remoto, diciamo un IP specifico.

167
00:14:08,600 --> 00:14:14,120
La scansione prende di mira più porte ad alto rischio attraverso la tua sottorete interna.

168
00:14:14,120 --> 00:14:22,480
L'IDS registra immediatamente il comportamento e invia un avviso al tuo team SOC, in base a questi indirizzi IP che stanno scansionando.

169
00:14:22,520 --> 00:14:29,520
Sulla base dell'avviso, il team indaga e conferma che l'attività fa parte di un tentativo di ricognizione in corso.

170
00:14:29,520 --> 00:14:38,800
Quindi aggiornano le regole del firewall o ingaggiano un IPS per bloccare tutto il traffico da quell'indirizzo IP specifico che è sospetto.

171
00:14:38,800 --> 00:14:45,840
In questo modo, l'organizzazione ferma l'attaccante nella fase di ricognizione, molto prima che possa essere fatto un vero danno.

172
00:14:45,840 --> 00:14:50,240
Quindi ricorda, gli strumenti di sicurezza di rete non sono solo osservatori passivi.

173
00:14:50,240 --> 00:15:00,840
Quando implementati correttamente, sono partecipanti attivi nel tuo ecosistema di cybersecurity, guardando, imparando e difendendo tutto il tempo.

174
00:15:00,840 --> 00:15:11,600
Successivamente, ci immergeremo e vedremo come questi strumenti si integrano con i team SOC e come possiamo monitorare in tempo reale.

175
00:15:11,600 --> 00:15:17,840
Gli strumenti di sicurezza degli endpoint sono progettati per proteggere i singoli dispositivi che compongono i bordi della tua rete,

176
00:15:17,840 --> 00:15:23,600
che siano desktop, laptop, telefoni cellulari o persino dispositivi IoT.

177
00:15:23,600 --> 00:15:32,600
L'obiettivo principale della sicurezza degli endpoint è proteggere quei dispositivi da minacce come malware, phishing, ransomware e accessi non autorizzati.

178
00:15:32,600 --> 00:15:41,600
Poiché ogni endpoint può essere un potenziale punto di ingresso per un attacco, proteggerli è cruciale per mantenere la sicurezza complessiva della tua rete.

179
00:15:41,600 --> 00:15:47,600
Per prima cosa, abbiamo il software antivirus, che è lo strumento di difesa fondamentale per qualsiasi endpoint.

180
00:15:47,600 --> 00:15:53,600
Il software antivirus funziona scansionando file e applicazioni per firme malware note.

181
00:15:53,600 --> 00:16:00,600
È simile a una guardia di sicurezza che cerca impronte digitali di non criminali.

182
00:16:00,600 --> 00:16:09,600
Il software antivirus fornisce protezione in tempo reale, il che significa che è sempre in guardia, monitorando attività dannose mentre accadono.

183
00:16:09,600 --> 00:16:15,600
Possono anche programmare scansioni regolari per garantire che nessun malware sia sfuggito inosservato.

184
00:16:15,600 --> 00:16:23,600
Esempi di software antivirus includono Bitdefender, noto per la sua forte rilevazione di malware e basso impatto sul sistema.

185
00:16:24,600 --> 00:16:31,600
Successivamente, passiamo all'endpoint detection and response, chiamato EDR, uno strumento molto più avanzato per difendere gli endpoint.

186
00:16:31,600 --> 00:16:35,600
Le soluzioni EDR vanno oltre la scansione di malware noti.

187
00:16:35,600 --> 00:16:43,600
Monitorano continuamente il comportamento del dispositivo, cercando attività insolite o sospette, come un soggetto o un utente.

188
00:16:43,600 --> 00:16:53,600
L'EDR è particolarmente efficace contro le minacce avanzate, come il malware file-less, che nasconde la sua presenza operando interamente in memoria.

189
00:16:53,600 --> 00:17:01,600
Oltre a rilevare le minacce, le soluzioni EDR forniscono forensics, che possono essere utilizzate per rilevare e rilevare le minacce.

190
00:17:01,600 --> 00:17:08,600
Offrono anche rimedio automatizzato, rispondendo alle minacce isolando i dispositivi o bloccando processi dannosi.

191
00:17:08,600 --> 00:17:17,600
Esempi di soluzioni EDR includono CrowdStrike, che può essere utilizzato per rilevare e rilevare minacce, come il malware file-less, che nasconde la sua presenza operando interamente in memoria.

192
00:17:17,600 --> 00:17:24,600
Oltre a rilevare le minacce, le soluzioni EDR forniscono forensics, il che significa che puoi indagare e tracciare i passi di un attaccante dopo che è avvenuto.

193
00:17:24,600 --> 00:17:29,600
Oltre a rilevare le minacce, le soluzioni EDR forniscono forensics, il che significa che puoi rilevare e tracciare i passi di un attaccante dopo che è avvenuto.

194
00:17:29,600 --> 00:17:44,600
Esempi di soluzioni EDR includono CrowdStrike Falcon, una soluzione cloud-native nota per la sua velocità e scalabilità, e Microsoft Defender for Endpoint, che si integra nel sistema operativo Windows per una protezione completa.

195
00:17:44,600 --> 00:17:57,600
Nel mondo di oggi, smartphone e tablet sono onnipresenti, e gli strumenti di gestione dei dispositivi mobili aiutano a proteggere quei dispositivi, specialmente quelli chiamati Bring Your Own Device, BYOD.

196
00:17:57,600 --> 00:18:10,600
Le soluzioni MDM, Mobile Device Management, consentono alle organizzazioni di applicare politiche di sicurezza su smartphone e tablet, garantendo che i dati sensibili rimangano protetti.

197
00:18:10,600 --> 00:18:19,600
Queste politiche possono includere la richiesta di crittografia e forzare la robustezza della password o cancellare remotamente i dati da un dispositivo che è stato perso o rubato.

198
00:18:19,600 --> 00:18:31,600
Considera uno scenario in cui entra in gioco una soluzione EDR. Immagina che un attaccante abbia ottenuto accesso a un account utente e stia cercando di muoversi lateralmente all'interno della rete.

199
00:18:31,600 --> 00:18:40,600
Lo strumento EDR rileva movimenti laterali sospetti, come l'accesso non autorizzato a più file e isola automaticamente l'endpoint compromesso.

200
00:18:40,600 --> 00:18:52,600
Questa azione rapida aiuta a contenere l'attacco prima che possa degenerare, permettendo al team di sicurezza di eseguire un'indagine forense per capire come è avvenuta la violazione.

201
00:18:52,600 --> 00:18:59,600
In conclusione, gli strumenti di sicurezza degli endpoint sono come guardie del corpo personali per ogni dispositivo nella tua rete.

202
00:18:59,600 --> 00:19:13,600
Dal tradizionale software antivirus alle soluzioni EDR avanzate, quegli strumenti lavorano instancabilmente per garantire che gli anelli più deboli nella tua infrastruttura digitale, i tuoi endpoint, rimangano sicuri.

203
00:19:13,600 --> 00:19:24,600
Gli strumenti di valutazione della vulnerabilità sono critici nel panorama della cybersecurity in quanto scansionano e identificano sistematicamente le vulnerabilità nei sistemi IT, nelle applicazioni e nell'infrastruttura di rete.

204
00:19:24,600 --> 00:19:35,600
Questi strumenti sono progettati per rilevare proattivamente le debolezze prima che possano essere sfruttate dagli attaccanti, consentendo alle organizzazioni di implementare misure di mitigazione per proteggere i loro asset.

205
00:19:35,600 --> 00:19:42,600
Uno degli strumenti di valutazione della vulnerabilità più noti è Nessus, uno scanner commerciale sviluppato da Tenable.

206
00:19:42,600 --> 00:19:50,600
Nessus scansiona per varie vulnerabilità, incluso software obsoleto, configurazioni errate e patch mancanti.

207
00:19:50,600 --> 00:19:59,600
È in grado di generare report prioritari basati sul rischio che aiutano i team di sicurezza a concentrarsi prima sulle vulnerabilità più critiche.

208
00:19:59,600 --> 00:20:06,600
Nessus è ampiamente utilizzato in ambienti aziendali per una gestione completa delle vulnerabilità.

209
00:20:06,600 --> 00:20:11,600
Un altro strumento popolare è OpenVas, un'alternativa open source a Nessus.

210
00:20:12,600 --> 00:20:20,600
OpenVas, sviluppato da GreenBone Networks, è in grado di eseguire scansioni complete delle vulnerabilità di rete.

211
00:20:20,600 --> 00:20:29,600
È disponibile sia in versione community che enterprise, rendendolo un'opzione attraente per le organizzazioni che cercano una soluzione conveniente.

212
00:20:29,600 --> 00:20:37,600
Mentre la versione enterprise offre funzionalità avanzate, la versione community rimane un potente strumento per chi ha un budget limitato.

213
00:20:37,600 --> 00:20:42,600
Qualys e NexPose sono altre due piattaforme di gestione delle vulnerabilità degne di nota.

214
00:20:42,600 --> 00:20:50,600
Qualys è una soluzione basata su cloud, mentre NexPose può essere distribuito on-premise o nel cloud.

215
00:20:50,600 --> 00:21:00,600
Entrambe le piattaforme offrono una gestione continua delle vulnerabilità, fornendo scansioni regolari e aggiornamenti per garantire che i sistemi rimangano sicuri man mano che vengono scoperte nuove vulnerabilità.

216
00:21:00,600 --> 00:21:07,600
Un esempio è uno scenario in cui Nessus rileva una vulnerabilità critica in un server con patch.

217
00:21:07,600 --> 00:21:13,600
La vulnerabilità potrebbe essere sfruttata se lasciata incontrollata, portando potenzialmente a una violazione.

218
00:21:13,600 --> 00:21:25,600
Identificando questo problema in anticipo, gli amministratori di sistema possono applicare la patch al server prima che gli attaccanti abbiano la possibilità di sfruttarlo, prevenendo così una potenziale compromissione.

219
00:21:25,600 --> 00:21:38,600
Le valutazioni di vulnerabilità come Nessus, OpenVas, Qualys e NexPose, e naturalmente Nmap che abbiamo già presentato, giocano un ruolo vitale nel mantenere una cybersecurity proattiva.

220
00:21:38,600 --> 00:21:47,600
Aiutando le organizzazioni a stare un passo avanti rispetto alle minacce identificando le debolezze prima che possano essere sfruttate da attori malintenzionati.

221
00:21:47,600 --> 00:21:56,600
Gli strumenti di Forensics e Incident Response giocano un ruolo critico nell'aiutare le organizzazioni a indagare e rispondere agli incidenti di sicurezza.

222
00:21:56,600 --> 00:22:06,600
Il loro scopo principale è supportare le indagini aiutando a comprendere la cronologia dell'attacco, estrarre prove e facilitare il recupero.

223
00:22:06,600 --> 00:22:15,600
Questi strumenti sono essenziali sia nelle indagini legali che nelle indagini interne sulle violazioni, fornendo i mezzi per scoprire cosa è successo,

224
00:22:15,600 --> 00:22:19,600
come è successo e come prevenire occorrenze future.

225
00:22:19,600 --> 00:22:31,600
Uno degli strumenti più noti in questa categoria è Autopsy, che è un'interfaccia grafica utente GUI per lo Sleuth Kit, una collezione di strumenti di forense digitale.

226
00:22:31,600 --> 00:22:41,600
Autopsy consente agli analisti forensi di analizzare dischi rigidi, recuperare file cancellati, esaminare la cronologia del browser ed estrarre metadati.

227
00:22:41,600 --> 00:22:56,600
Questo lo rende incredibilmente utile per indagare su violazioni interne o casi legali che coinvolgono prove digitali poiché può aiutare a scoprire prove dell'attacco e tracciare le attività del colpevole.

228
00:22:56,600 --> 00:23:04,600
La capacità di recuperare file cancellati è particolarmente preziosa nei casi in cui gli attaccanti tentano di cancellare le loro tracce.

229
00:23:04,600 --> 00:23:12,600
Un altro potente strumento per l'Incident Response è il Volatility Framework, specializzato nella forense della memoria.

230
00:23:12,600 --> 00:23:24,600
Questo strumento è progettato per estrarre informazioni preziose dai dump di memoria, che spesso possono rivelare intuizioni critiche non trovate nell'analisi tradizionale basata su disco.

231
00:23:25,600 --> 00:23:39,600
Volatility aiuta gli esperti forensi a rilevare rootkit, scoprire processi dannosi e identificare connessioni di rete aperte che potrebbero essere indicative di un attacco attivo o compromissione.

232
00:23:39,600 --> 00:23:53,600
Analizzando la memoria, Volatility può scoprire attività dannose che potrebbero non lasciare tracce sul disco rigido, rendendolo una risorsa inestimabile per indagini forensi avanzate.

233
00:23:53,600 --> 00:24:07,600
The Hive e MISP sono piattaforme specificamente progettate per aiutare gli sforzi di risposta agli incidenti, concentrandosi sul tracciamento degli incidenti, la collaborazione e la condivisione dell'intelligence sulle minacce.

234
00:24:07,600 --> 00:24:15,600
Questi strumenti sono comunemente usati nei centri operativi di sicurezza per coordinare la risposta agli incidenti di sicurezza in corso.

235
00:24:15,600 --> 00:24:27,600
The Hive, ad esempio, fornisce un framework di gestione degli incidenti che consente ai team di sicurezza di collaborare, documentare i loro risultati e tracciare i progressi di un'indagine.

236
00:24:27,600 --> 00:24:42,600
MISP, proveniente da una piattaforma di condivisione di informazioni sui malware, è uno strumento complementare che facilita la condivisione dell'intelligence sulle minacce, aiutando i team a rimanere aggiornati sulle minacce emergenti e rispondere in modo più efficace agli incidenti.

237
00:24:42,600 --> 00:24:57,600
Possiamo vedere un esempio di caso d'uso in un'indagine che coinvolge un attacco di phishing, l'autopsia aiuta un analista forense a recuperare email cancellate e credenziali di accesso che sono state utilizzate durante l'attacco.

238
00:24:57,600 --> 00:25:08,600
Questi artefatti recuperati forniscono informazioni e prove vitali, consentendo all'analista di tracciare i passi dell'attaccante e identificare l'intera portata dell'attacco.

239
00:25:08,600 --> 00:25:18,600
Analizzando i dati recuperati, il team di sicurezza può adottare misure per mitigare la minaccia e rafforzare le loro difese per prevenire incidenti simili in futuro.

240
00:25:18,600 --> 00:25:31,600
Gli strumenti di forense e risposta agli incidenti come Autopsy, Volatility, The Hive e MISP sono essenziali per mettere insieme i pezzi del puzzle dopo un incidente di cybersecurity.

241
00:25:31,600 --> 00:25:43,600
Consentono alle organizzazioni di comprendere l'attacco, recuperare prove critiche ed elaborare efficacemente per mitigare il danno e migliorare la sicurezza futura.

242
00:25:43,600 --> 00:25:54,600
Gli strumenti di penetration testing sono progettati per emulare le tattiche utilizzate dagli attaccanti del mondo reale per testare le difese dei sistemi e identificare vulnerabilità sfruttabili.

243
00:25:54,600 --> 00:26:04,600
Questi strumenti sono essenziali per gli hacker etici e i red teamer che hanno il compito di simulare attacchi informatici per valutare la postura di sicurezza di un'organizzazione.

244
00:26:04,600 --> 00:26:12,600
L'obiettivo è scoprire le vulnerabilità prima che gli attori malintenzionati possano sfruttarle, fornendo preziose intuizioni per migliorare le difese di sicurezza.

245
00:26:12,600 --> 00:26:23,600
Uno degli strumenti più popolari in questa categoria è il framework Metasploit, che è una piattaforma completa di penetration testing che contiene centinaia di exploit e payload.

246
00:26:23,600 --> 00:26:32,600
Metasploit consente agli utenti di testare vari scenari di attacco contro i sistemi target, aiutando a identificare le debolezze nelle difese del sistema.

247
00:26:32,600 --> 00:26:43,600
Include anche moduli di post-exploitation come l'escalation dei privilegi e la persistenza, che possono essere utilizzati per approfondire l'accesso ai sistemi compromessi.

248
00:26:43,600 --> 00:26:55,600
Inoltre, Metasploit supporta lo scripting in Ruby, consentendo ai penetration tester di automatizzare le attività e personalizzare i processi di exploit, migliorando la versatilità e la potenza dello strumento.

249
00:26:55,600 --> 00:27:05,600
Un altro strumento ampiamente utilizzato è Burp Suite, sviluppato da PortSwigger, che è specificamente adattato per il test di sicurezza delle applicazioni web.

250
00:27:05,600 --> 00:27:15,600
Burp Suite è un toolkit completo che include vari strumenti come proxy, spider, scanner, repeater, intruder e decoder.

251
00:27:15,600 --> 00:27:28,600
Questi strumenti aiutano i penetration tester a valutare la sicurezza delle applicazioni web rilevando vulnerabilità, come SQL injection, cross-site scripting, XSS, e problemi di gestione delle sessioni.

252
00:27:28,600 --> 00:27:45,600
La versione professionale di Burp Suite aggiunge la scansione automatizzata, che velocizza notevolmente il processo di rilevamento delle vulnerabilità, rendendolo ideale per le organizzazioni che cercano di proteggere rapidamente le loro applicazioni web utilizzando Burp Suite.

253
00:27:45,600 --> 00:27:54,600
Kali Linux e Parrot OS sono sistemi operativi specializzati progettati specificamente per il penetration testing e l'auditing di sicurezza.

254
00:27:54,600 --> 00:28:07,600
Queste distribuzioni di sistemi operativi sono precaricate con dozzine di potenti strumenti per test wireless, web e di rete, rendendole perfette sia per le operazioni del red team che per gli incarichi di ethical hacking.

255
00:28:07,600 --> 00:28:18,600
Kali Linux è forse la distribuzione di penetration testing più conosciuta, offrendo strumenti per tutto, dallo sniffing di rete alla scansione delle vulnerabilità e allo sfruttamento.

256
00:28:18,600 --> 00:28:27,600
Parrot OS è un'altra scelta eccellente, offrendo capacità simili, ma con un focus su prestazioni leggere e privacy.

257
00:28:27,600 --> 00:28:35,600
Entrambi i sistemi operativi forniscono una piattaforma robusta per i penetration tester per eseguire valutazioni di sicurezza complete.

258
00:28:35,600 --> 00:28:45,600
Un esempio di caso d'uso può includere penetration tester che usano Burp Suite per rilevare e sfruttare la vulnerabilità di cross-site scripting su una pagina di login aziendale.

259
00:28:45,600 --> 00:28:56,600
Utilizzando lo strumento intruder di Burp Suite, il tester può automatizzare l'iniezione di script dannosi nei campi di input e monitorare la risposta dell'applicazione.

260
00:28:56,600 --> 00:29:10,600
Se la vulnerabilità viene rilevata, il tester può quindi sfruttarla per ottenere l'accesso a informazioni utente sensibili o manipolare il comportamento dell'applicazione dimostrando la debolezza di sicurezza al cliente.

261
00:29:10,600 --> 00:29:17,600
Il penetration tester lavorerebbe quindi con l'organizzazione per correggere la vulnerabilità e prevenire futuri sfruttamenti.

262
00:29:17,600 --> 00:29:30,600
Strumenti di penetration testing come Metasploit, Burp Suite e Kali Linux o Parrot OS sono essenziali per identificare vulnerabilità e migliorare la sicurezza di sistemi, applicazioni web e reti.

263
00:29:30,600 --> 00:29:40,600
Emulando attacchi del mondo reale, questi strumenti aiutano le organizzazioni a stare un passo avanti rispetto agli hacker malintenzionati e a garantire che le loro difese siano forti.

264
00:29:40,600 --> 00:29:48,600
Nmap, abbreviazione di network mapper, è uno strumento potente e versatile utilizzato per la scansione e la scoperta di rete.

265
00:29:48,600 --> 00:29:57,600
Come scanner di rete, la sua funzione principale è identificare dispositivi, porte aperte, servizi e sistemi operativi presenti su una rete.

266
00:29:57,600 --> 00:30:05,600
Questo strumento è cruciale per gli amministratori di rete e i professionisti della sicurezza, in quanto li aiuta a valutare la postura di sicurezza delle loro reti.

267
00:30:05,600 --> 00:30:11,600
Eseguendo la scoperta degli host, Nmap può determinare quali dispositivi sono attivi sulla rete.

268
00:30:11,600 --> 00:30:21,600
Raggiunge questo utilizzando diversi protocolli come ICMP, TCP o ARP per rilevare se gli host sono raggiungibili e online.

269
00:30:21,600 --> 00:30:30,600
Oltre alla scoperta degli host, Nmap fornisce informazioni dettagliate sulle porte aperte sui dispositivi così come i servizi in esecuzione su quelle porte.

270
00:30:30,600 --> 00:30:40,600
Può anche identificare le versioni di questi servizi, il che è inestimabile quando si cercano vulnerabilità note associate a versioni specifiche.

271
00:30:40,600 --> 00:30:53,600
Ad esempio, Nmap potrebbe rilevare un server web in esecuzione sulla porta 80 e rivelare che sta utilizzando un servizio vulnerabile di Apache, per esempio.

272
00:30:53,600 --> 00:31:01,600
Questa intuizione consente agli amministratori di affrontare rapidamente i rischi di sicurezza aggiornando o applicando patch ai servizi vulnerabili.

273
00:31:01,600 --> 00:31:08,600
Una delle caratteristiche standard di Nmap è il motore di scripting Nmap, o come viene chiamato NSC.

274
00:31:08,600 --> 00:31:16,600
Questo motore di scripting consente agli utenti di automatizzare i processi di scansione e personalizzare i loro sforzi di scoperta di rete.

275
00:31:16,600 --> 00:31:27,600
Può essere utilizzato per eseguire script predefiniti per il rilevamento delle vulnerabilità ottenendo uno strumento altamente efficace per identificare le debolezze nelle difese di una rete.

276
00:31:27,600 --> 00:31:44,600
La capacità di automatizzare le attività con NSC, con gli script di mappatura di rete, rende Nmap particolarmente potente per valutazioni su larga scala poiché risparmia tempo e assicura una scansione completa attraverso l'intera rete.

277
00:31:44,600 --> 00:31:53,600
Un esempio del mondo reale dell'efficacia può essere visto durante l'indagine del 2017 nella violazione di Equifax.

278
00:31:53,600 --> 00:32:02,600
I ricercatori hanno utilizzato Nmap per ricreare i passaggi di ricognizione dell'attaccante, aiutando a ricostruire come si è svolta la violazione.

279
00:32:02,600 --> 00:32:16,600
Hanno scoperto che gli attaccanti avevano probabilmente utilizzato Nmap per scansionare la rete alla ricerca di vulnerabilità sulle installazioni di Apache Struts identificando porte aperte e servizi associati a questi sistemi.

280
00:32:16,600 --> 00:32:27,600
Scansionando servizi specifici, gli attaccanti sono stati in grado di sfruttare le vulnerabilità in Apache Struts, portando infine alla violazione.

281
00:32:27,600 --> 00:32:38,600
Questo evidenzia il ruolo critico di Nmap sia nelle operazioni di sicurezza offensive che difensive, rendendolo uno strumento essenziale per chiunque cerchi di proteggere la propria infrastruttura di rete.

282
00:32:38,600 --> 00:32:47,600
In conclusione, Nmap è uno strumento di grande valore per la sicurezza di rete, offrendo approfondimenti sui dispositivi e servizi in esecuzione su una rete.

283
00:32:47,600 --> 00:33:06,600
La sua capacità di eseguire scansioni dettagliate, automatizzare i processi con NSC e aiutare a ricreare scenari di attacco, lo rende indispensabile per gli amministratori di rete e i team di sicurezza, mirando a identificare le vulnerabilità prima che gli attaccanti possano sfruttarle.

284
00:33:06,600 --> 00:33:17,600
Gli sniffer di pacchetti e gli analizzatori di protocollo, come wireshark, sono strumenti essenziali per gli amministratori di rete e i professionisti della sicurezza che devono monitorare e risolvere i problemi del traffico di rete.

285
00:33:17,600 --> 00:33:28,600
Questi strumenti catturano e analizzano i pacchetti di rete in tempo reale o dal traffico memorizzato, fornendo approfondimenti profondi sui dati trasmessi attraverso la rete.

286
00:33:28,600 --> 00:33:42,600
La capacità di ispezionare protocolli come HTTP, DNS e SSL o TLS consente a questi strumenti di rilevare e diagnosticare una vasta gamma di problemi, dai colli di bottiglia delle prestazioni ai cyberattacchi sofisticati.

287
00:33:42,600 --> 00:33:54,600
Wireshark, ad esempio, offre una potente interfaccia grafica utente che consente agli utenti di filtrare, ordinare e tracciare le conversazioni tra dispositivi di rete.

288
00:33:54,600 --> 00:34:03,600
Con opzioni di filtraggio avanzate, può isolare tipi specifici di traffico, rendendo più facile identificare pattern sospetti o anomalie.

289
00:34:03,600 --> 00:34:19,600
Questa capacità è particolarmente utile per rilevare attacchi basati sulla rete come lo spoofing ARP, dove un attaccante impersona un altro dispositivo sulla rete, o perdite di credenziali dove informazioni sensibili sono esposte in traffico non crittografato.

290
00:34:19,600 --> 00:34:27,600
Un caso d'uso del mondo reale dimostra i poteri di wireshark nello scoprire tecniche di attacco avanzate.

291
00:34:27,600 --> 00:34:41,600
Ad esempio, durante un'indagine su una violazione aziendale, un amministratore di sistema ha utilizzato wireshark per analizzare il traffico di rete e ha scoperto che il malware stava esfiltrando dati tramite tunneling DNS.

292
00:34:41,600 --> 00:34:53,600
In questo attacco, il malware ha mascherato i suoi dati in uscita come query DNS apparentemente benigne per eludere il rilevamento da parte delle misure di sicurezza tradizionali.

293
00:34:53,600 --> 00:35:05,600
Catturando e analizzando questi pacchetti di rete, wireshark ha aiutato a identificare il canale di comunicazione nascosto, consentendo al team di sicurezza di mitigare la violazione e proteggere la rete.

294
00:35:05,600 --> 00:35:18,600
La capacità di eseguire l'ispezione profonda dei pacchetti e tracciare la conversazione di rete rende strumenti come wireshark inestimabili sia per la manutenzione di routine della rete che per le indagini forensi.

295
00:35:18,600 --> 00:35:30,600
Che sia utilizzato per risolvere i problemi delle prestazioni di rete o rilevare attività dannose, questi strumenti forniscono visibilità critica nel traffico che scorre attraverso la rete,

296
00:35:30,600 --> 00:35:36,600
consentendo ai team di sicurezza di rispondere rapidamente ed efficacemente alle minacce emergenti.

297
00:35:36,600 --> 00:35:45,600
Un framework di sfruttamento come Metasploit è uno strumento essenziale per i professionisti della sicurezza che conducono test di penetrazione e valutazioni red-team.

298
00:35:45,600 --> 00:35:55,600
Questi framework sono progettati per simulare attacchi del mondo reale in un ambiente controllato, consentendo alle organizzazioni di testare l'efficacia delle loro difese

299
00:35:55,600 --> 00:36:00,600
e identificare vulnerabilità prima che attori malintenzionati possano sfruttarle.

300
00:36:00,600 --> 00:36:12,600
Metasploit, in particolare, offre una vasta libreria di exploit e payload, consentendo ai professionisti della sicurezza di mirare a varie vulnerabilità su diverse piattaforme e applicazioni.

301
00:36:12,600 --> 00:36:24,600
Il framework include anche moduli di post-sfruttamento che consentono ai tester di elevare i privilegi, fare perno su altri sistemi e stabilire persistenza all'interno di una rete compromessa.

302
00:36:24,600 --> 00:36:37,600
Ciò rende Metasploit uno strumento versatile che non solo simula attacchi iniziali, ma supporta anche uno sfruttamento più profondo per valutare fino a dove un attaccante potrebbe spingersi una volta all'interno del sistema.

303
00:36:37,600 --> 00:36:45,600
Metasploit si integra bene con altri strumenti di sicurezza come Nmap e Nessus e ha la sua efficacia.

304
00:36:45,600 --> 00:36:55,600
Ad esempio, Nmap può essere utilizzato per eseguire la scansione della rete e scoprire vulnerabilità, che possono poi essere sfruttate tramite Metasploit.

305
00:36:55,600 --> 00:37:03,600
Questa integrazione semplifica i processi di test di penetrazione, automatizzando le fasi di scoperta e sfruttamento.

306
00:37:03,600 --> 00:37:10,600
Un esempio reale di Metasploit coinvolge una valutazione Red Team condotta per una banca, per esempio.

307
00:37:10,600 --> 00:37:24,600
Durante la valutazione Metasploit è stato utilizzato per sfruttare una vulnerabilità SMB non patchata nota come Eternal Blue, che era un difetto critico nelle versioni precedenti di Windows.

308
00:37:24,600 --> 00:37:37,600
Sfruttando questa vulnerabilità, il Red Team ha avuto accesso ai server interni della banca, permettendo di valutare la postura di sicurezza della banca e identificare debolezze che potevano essere affrontate.

309
00:37:37,600 --> 00:37:53,600
L'uso di Metasploit in questo contesto aiuta a dimostrare il potenziale impatto della vulnerabilità, guidando infine la banca ad applicare le patch necessarie e rafforzare le sue difese.

310
00:37:53,600 --> 00:38:04,600
Un sistema di rilevamento delle intrusioni basato sulla rete, o come viene chiamato IDS, è uno strumento di sicurezza critico utilizzato per monitorare il traffico di rete per segni di attività dannosa.

311
00:38:04,600 --> 00:38:11,600
Funziona analizzando i pacchetti di rete in tempo reale per identificare pattern sospetti o firme di attacco note.

312
00:38:11,600 --> 00:38:27,600
L'IDS opera utilizzando il rilevamento basato su regole, che si basa su regole predefinite che corrispondono a pattern specifici associati a minacce comuni come attacchi denial of service, traffico malware o tentativi di accesso non autorizzato.

313
00:38:27,600 --> 00:38:40,600
Una volta rilevata una potenziale minaccia, l'IDS attiva avvisi per notificare gli amministratori di sistema, consentendo loro di indagare ulteriormente sull'incidente e intraprendere le azioni appropriate.

314
00:38:40,600 --> 00:38:57,600
In alcuni casi, l'IDS può anche bloccare attivamente il traffico sospetto o registrare informazioni dettagliate per analisi future, aiutando a mitigare l'impatto immediato di un attaccante e supportare la forense post-incidente.

315
00:38:57,600 --> 00:39:04,600
Un esempio ben noto di rilevamento delle intrusioni basato sulla rete è SNORT, che è ampiamente utilizzato in molte organizzazioni.

316
00:39:04,600 --> 00:39:19,600
SNORT può rilevare una varietà di attacchi, inclusi DOS, distributed denial of service, minacce basate su malware, e può essere configurato per eseguire diverse azioni come registrazione, avviso o persino blocco del traffico dannoso.

317
00:39:19,600 --> 00:39:32,600
In un caso reale, un team universitario, per esempio, può usare Suricata o SNORT e IDS per rilevare e rispondere a una botnet di cryptomining che si stava diffondendo attraverso le macchine del laboratorio universitario.

318
00:39:32,600 --> 00:39:47,600
La botnet, che veniva propagata tramite attacchi di forza bruta SSH, è stata rilevata quando SNORT ha identificato modelli di traffico insoliti indicando che un gran numero di tentativi di accesso erano stati fatti su più macchine.

319
00:39:47,600 --> 00:39:56,600
Di conseguenza, il team IT è stato in grado di agire rapidamente per isolare i sistemi colpiti, mitigare l'attacco e prevenire ulteriori danni.

320
00:39:56,600 --> 00:40:14,600
Questo esempio dimostra come un sistema di rilevamento delle intrusioni basato sulla rete possa svolgere un ruolo vitale nel rilevare e rispondere a minacce che altrimenti potrebbero passare inosservate, garantendo che le reti rimangano sicure e protette da accessi non autorizzati o attività dannose.

321
00:40:15,600 --> 00:40:26,600
Burp Suite è un potente strumento di test di sicurezza dei siti web progettato per identificare vulnerabilità in siti web e API web simulando le tattiche utilizzate dagli attaccanti.

322
00:40:26,600 --> 00:40:38,600
Funziona principalmente come un server proxy che si trova tra il browser dell'utente e l'applicazione web di destinazione, intercettando e modificando il traffico per esaminare come l'applicazione risponde a diversi input.

323
00:40:38,600 --> 00:40:48,600
Ciò consente ai professionisti della sicurezza di analizzare le comunicazioni tra il browser e il server e scoprire debolezze che potrebbero essere sfruttate dagli attaccanti.

324
00:40:48,600 --> 00:40:57,600
Burp Suite, o PortSwigger, include diversi strumenti automatizzati e manuali per testare vulnerabilità comuni delle applicazioni web.

325
00:40:57,600 --> 00:41:10,600
Lo scanner automatizzato cerca problemi non di sicurezza come SQL injection, cross-site scripting, riferimenti diretti a oggetti insicuri e falsificazione di richieste cross-site.

326
00:41:10,600 --> 00:41:17,600
Queste vulnerabilità possono portare a gravi violazioni, inclusi furto di dati, azioni non autorizzate o compromissione del server.

327
00:41:18,600 --> 00:41:30,600
Oltre allo scanner automatizzato, Burp Suite offre strumenti di test manuali come il repeater, che consente ai tester di inviare richieste modificate e osservare le risposte del server,

328
00:41:30,600 --> 00:41:40,600
e l'intruder, che aiuta con test di forza bruta e fuzzing per scoprire debolezze e vulnerabilità come meccanismi di autenticazione deboli.

329
00:41:40,600 --> 00:41:53,600
Un notevole esempio del mondo reale può essere l'efficacia di Burp Suite quando un ricercatore di sicurezza scopre una vulnerabilità di bypass dell'autenticazione su un importante sito web di una compagnia aerea.

330
00:41:53,600 --> 00:42:04,600
Questa vulnerabilità consente a un attaccante di bypassare il processo di autenticazione, concedendo potenzialmente l'accesso non autorizzato all'account di un utente senza fornire credenziali valide.

331
00:42:04,600 --> 00:42:16,600
Usando Burp Suite, il ricercatore è stato in grado di identificare il flusso specifico nella logica di autenticazione intercettando il traffico e manipolando la richiesta inviata dal browser.

332
00:42:16,600 --> 00:42:29,600
Dopo aver scoperto questa vulnerabilità, il ricercatore segnala il problema attraverso la divulgazione responsabile, garantendo che il team di sicurezza della compagnia aerea possa affrontare il problema prima che fosse sfruttato pubblicamente.

333
00:42:29,600 --> 00:42:42,600
Il team di sicurezza della compagnia aerea è stato in grado di applicare rapidamente la patch alla vulnerabilità e prevenire potenziali violazioni che avrebbero potuto esporre informazioni sensibili dei clienti o consentire attività fraudolente sulla loro piattaforma.

334
00:42:42,600 --> 00:42:56,600
Questo incidente evidenzia la potenza di Burp Suite nello scoprire vulnerabilità complesse nelle applicazioni web e l'importanza della sicurezza proattiva nel prevenire minacce potenzialmente gravi.

335
00:42:57,600 --> 00:43:07,600
Nessus è uno scanner di vulnerabilità ampiamente utilizzato che aiuta le organizzazioni a identificare e affrontare le debolezze di sicurezza nei loro sistemi, applicazioni e dispositivi di rete.

336
00:43:07,600 --> 00:43:20,600
Esegue due scansioni di sistemi operativi, applicazioni software, database e persino dispositivi di rete per rilevare vulnerabilità e configurazioni errate che potrebbero essere sfruttate dagli attaccanti.

337
00:43:20,600 --> 00:43:33,600
Nessus è dotato di un ampio database di firme di vulnerabilità e aggiorna continuamente i suoi plugin per riflettere le ultime minacce, garantendo che rimanga efficace nel rilevare vulnerabilità emergenti.

338
00:43:33,600 --> 00:43:49,600
Lo strumento utilizza il sistema di punteggio delle vulnerabilità comuni, o come viene chiamato punteggio CVSS, per valutare la gravità di ogni vulnerabilità che identifica, fornendo un punteggio basato sul rischio che aiuta a dare priorità agli sforzi di bonifica.

339
00:43:49,600 --> 00:44:00,600
Inoltre, Nessus offre capacità di auditing di conformità, consentendo alle organizzazioni di garantire che i loro sistemi soddisfino le normative del settore e le migliori pratiche di sicurezza.

340
00:44:00,600 --> 00:44:07,600
Ciò lo rende uno strumento inestimabile sia per la gestione proattiva delle vulnerabilità che per la conformità normativa.

341
00:44:07,600 --> 00:44:18,600
Un esempio del mondo reale dell'impatto di Nessus si è verificato quando un'azienda manifatturiera ha condotto una scansione di vulnerabilità di routine utilizzando lo strumento.

342
00:44:18,600 --> 00:44:32,600
La scansione ha rivelato diverse vulnerabilità del protocollo desktop remoto non patchate, vulnerabilità RDP, in particolare la vulnerabilità BlueKeep, che è stata identificata in passato come un rischio di sicurezza critico.

343
00:44:32,600 --> 00:44:40,600
BlueKeep potrebbe potenzialmente consentire l'esecuzione di codice remoto su macchine vulnerabili portando a una compromissione diffusa.

344
00:44:40,600 --> 00:44:53,600
Utilizzando Nessus per rilevare quelle vulnerabilità, l'azienda è stata in grado di intraprendere azioni immediate per applicare patch ai sistemi colpiti, prevenendo così lo sfruttamento della vulnerabilità BlueKeep.

345
00:44:53,600 --> 00:45:05,600
Se le vulnerabilità fossero passate inosservate, l'azienda avrebbe potuto essere a un rischio significativo di attacchi ransomware simili a quelli che hanno colpito diverse organizzazioni a livello globale.

346
00:45:05,600 --> 00:45:19,600
In questo caso, Nessus aiuta l'azienda a identificare e correggere un difetto di sicurezza critico prima che possa essere sfruttato, salvaguardando così la sua infrastruttura e prevenendo un evento potenzialmente catastrofico.

347
00:45:19,600 --> 00:45:35,600
Questo esempio dimostra che Nessus e altri strumenti simili svolgono un ruolo cruciale nella protezione delle organizzazioni aiutandole a stare al passo con le minacce e mitigare i rischi posti dalle vulnerabilità nei loro sistemi.

348
00:45:36,600 --> 00:45:49,600
I sistemi di rilevamento delle intrusioni basati su host, o come chiamano gli HIDS, sono strumenti di sicurezza specializzati progettati per monitorare i server per modifiche non autorizzate, anomalie di log e potenziali rootkit.

349
00:45:49,600 --> 00:46:06,600
A differenza dei sistemi di rilevamento delle intrusioni di rete, che analizzano principalmente il traffico, i sistemi di rilevamento delle intrusioni host si concentrano sulle attività interne su una macchina specifica, rendendolo ideale per rilevare attacchi che aggirano le difese di rete.

350
00:46:06,600 --> 00:46:18,600
Il sistema opera in tempo reale, spesso eseguendo controlli di integrità dei file, per rilevare eventuali modifiche non autorizzate a file di sistema critici, file di configurazione o software.

351
00:46:18,600 --> 00:46:34,600
I sistemi di rilevamento delle intrusioni basati su host distribuiscono tipicamente un agente sul suo server di monitoraggio, consentendogli di ispezionare log di sistema, log delle applicazioni e integrità del file system per segni di attività sospette.

352
00:46:34,600 --> 00:46:46,600
Molte soluzioni HIDS basate su host, come OSSEC, offrono supporto multipiattaforma, rendendole adatte a una vasta gamma di ambienti, dai server Windows ai sistemi basati su Linux.

353
00:46:46,600 --> 00:47:02,600
Oltre al monitoraggio passivo, i sistemi HIDS possono spesso intraprendere azioni di risposta attiva come bloccare indirizzi IP specifici, uccidere processi dannosi o persino spegnere un servizio compromesso per prevenire ulteriori danni.

354
00:47:02,600 --> 00:47:12,600
Un esempio di vita reale di HIDS in azione si è verificato quando un provider di web hosting ha utilizzato OSSEC per monitorare i server che ospitano siti web dei clienti.

355
00:47:12,600 --> 00:47:21,600
Durante il monitoraggio di routine, lo strumento ha rilevato attività insolite che coinvolgevano un plugin di WordPress che era stato compromesso.

356
00:47:21,600 --> 00:47:32,600
Il sistema avvisa gli amministratori dell'attivazione di una backdoor tramite Cron jobs, un tipo comune utilizzato dagli attaccanti per mantenere l'accesso persistente al sistema.

357
00:47:32,600 --> 00:47:47,600
Grazie agli avvisi in tempo reale forniti dallo strumento, il provider di hosting è stato in grado di identificare rapidamente l'attività dannosa, isolare il server compromesso e intraprendere azioni correttive per rimuovere la backdoor.

358
00:47:47,600 --> 00:47:59,600
Questa risposta rapida ha impedito all'attaccante di causare ulteriori danni, preservando sia la sicurezza dell'host che la privacy dei clienti ospitati sul server e sugli altri siti web.

359
00:47:59,600 --> 00:48:14,600
In questo caso, la capacità di OSSEC di rilevare modifiche non autorizzate e generare avvisi in risposta a comportamenti sospetti è stata la chiave per contenere la violazione prima che degenerasse.

360
00:48:14,600 --> 00:48:30,600
Ciò dimostra l'importanza di questo strumento nell'offrire un'ultima linea di difesa per rilevare minacce che hanno origine all'interno della rete o da credenziali compromesse che potrebbero non essere catturate dai tradizionali strumenti di sicurezza basati sulla rete.

361
00:48:30,600 --> 00:48:39,600
Pertanto, gli HIDS sono focalizzati principalmente sui server e sugli host che lo strumento monitora in tempo reale.

362
00:48:39,600 --> 00:48:52,600
Strumenti di analisi della memoria come volatility sono critici per le indagini post-mortem, specialmente nei casi che coinvolgono attacchi sofisticati che lasciano tracce minime sul file system.

363
00:48:52,600 --> 00:49:09,600
Questi strumenti funzionano analizzando i dump RAM, i dump di memoria, per estrarre artefatti preziosi che possono rivelare informazioni su processi in esecuzione, DLL iniettate, sessioni di rete attive e persino chiavi di registro.

364
00:49:09,600 --> 00:49:21,600
Volatility, ad esempio, supporta formati di memoria su più sistemi operativi come Windows, Linux e Mac OS, rendendolo versatile per vari ambienti.

365
00:49:21,600 --> 00:49:37,600
Una delle caratteristiche chiave degli strumenti di analisi della memoria è la loro capacità di rilevare malware in memoria e attacchi file-less, che possono essere particolarmente difficili da identificare attraverso misure di sicurezza tradizionali basate su file.

366
00:49:37,600 --> 00:49:48,600
Il malware file-less, che risiede interamente in memoria e non si basa su file o firme malware tradizionali, può essere altamente evasivo, per esempio.

367
00:49:48,600 --> 00:50:03,600
Analizzando il contenuto della memoria, volatility può scoprire processi in esecuzione, iniezioni di codice dannoso o connessioni di rete anomale che altrimenti sarebbero nascoste dagli strumenti di analisi standard basati su disco.

368
00:50:03,600 --> 00:50:10,600
Un esempio del mondo reale della potenza di volatility è entrato in gioco durante un'indagine su una violazione governativa.

369
00:50:10,600 --> 00:50:22,600
In questo caso, gli investigatori hanno usato volatility per analizzare la memoria dei sistemi compromessi, dove sono stati in grado di recuperare chiavi ransomware crittografate memorizzate all'interno della memoria.

370
00:50:22,600 --> 00:50:28,600
Queste chiavi erano critiche nel decrittografare i file della vittima, che erano stati bloccati da un ransomware.

371
00:50:28,600 --> 00:50:39,600
Senza l'analisi della memoria, le vittime avrebbero affrontato una perdita permanente dei dati. La capacità di Volatility di estrarre queste chiavi di crittografia direttamente dalla memoria evidenzia.

372
00:50:39,600 --> 00:50:45,600
È un ruolo cruciale nel rispondere ad attacchi file-less e incidenti ransomware.

373
00:50:45,600 --> 00:50:57,600
L'uso di strumenti di analisi della memoria come Volatility sta diventando sempre più essenziale per la moderna forense digitale mentre gli attaccanti continuano a evolvere le loro tecniche per eludere il rilevamento.

374
00:50:57,600 --> 00:51:12,600
Fornendo informazioni sullo spazio di memoria volatile di una macchina compromessa, quegli strumenti consentono agli investigatori di raccogliere prove e recuperare informazioni critiche che altrimenti andrebbero perse,

375
00:51:12,600 --> 00:51:19,600
garantendo che i team di sicurezza possano rispondere efficacemente a una varietà di minacce informatiche avanzate.

376
00:51:19,600 --> 00:51:26,600
Per iniziare, esploriamo Nmap, un potente strumento utilizzato per la scoperta di rete e l'auditing di sicurezza.

377
00:51:26,600 --> 00:51:32,600
Nmap è essenziale per identificare dispositivi, servizi e vulnerabilità attraverso una rete.

378
00:51:32,600 --> 00:51:45,600
Eseguendo una semplice scansione, Nmap può fornire informazioni dettagliate sui sistemi connessi alla rete, incluse porte aperte, servizi in esecuzione e le versioni di quei servizi.

379
00:51:45,600 --> 00:51:53,600
Questo può essere utile sia per gli amministratori di rete che conducono controlli di routine sia per gli attaccanti che attaccano per sfruttare le vulnerabilità.

380
00:51:53,600 --> 00:52:06,600
Il comando e map meno SV e poi l'IP di destinazione viene tipicamente utilizzato per eseguire una scansione di base che aiuta a identificare le porte aperte e i servizi in esecuzione su una macchina di destinazione,

381
00:52:06,600 --> 00:52:11,600
fornendo una panoramica dei potenziali punti di ingresso.

382
00:52:11,600 --> 00:52:21,600
Ad esempio, se esegui questo comando su una macchina locale o un server, Nmap restituirà un elenco di porte aperte insieme ai servizi e alle loro versioni.

383
00:52:21,600 --> 00:52:32,600
Queste informazioni sono cruciali perché le versioni precedenti dei servizi possono avere vulnerabilità note che gli attori malintenzionati potrebbero sfruttare se lasciate incontrollate.

384
00:52:32,600 --> 00:52:47,600
Ad esempio, se una macchina di destinazione esegue una versione obsoleta del server HTTP Apache sulla porta 80 o sulla porta 443, potrebbe essere suscettibile di non essere collocata mirando a quella specifica versione vecchia.

385
00:52:47,600 --> 00:52:56,600
Ciò sottolinea l'importanza di scansionare regolarmente reti e sistemi alla ricerca di vulnerabilità, garantendo che rimangano sicuri.

386
00:52:56,600 --> 00:53:03,600
A seguito della scansione della mappa finale, uno strumento come WireSarc può essere utilizzato per catturare e analizzare il traffico di rete in tempo reale.

387
00:53:03,600 --> 00:53:11,600
WireSarc funziona intercettando i pacchetti inviati sulla rete e visualizzandoli in un formato dettagliato e leggibile.

388
00:53:11,600 --> 00:53:23,600
Ciò è prezioso per analizzare la comunicazione tra dispositivi e identificare potenziali pattern sospetti come esfiltrazione di dati non autorizzata o picchi di traffico insoliti.

389
00:53:23,600 --> 00:53:36,600
In uno scenario del mondo reale, gli amministratori di rete potrebbero usare WireSarc per rilevare segni di malware che comunica con server esterni o persino per scoprire tecniche più complesse come il tunneling DNS,

390
00:53:36,600 --> 00:53:42,600
dove i dati sono nascosti all'interno delle query DNS per aggirare i controlli di sicurezza tradizionali.

391
00:53:42,600 --> 00:53:51,600
Infine, Metasploit serve come framework di exploit che consente ai professionisti della sicurezza di simulare attacchi su una rete o un sistema di destinazione.

392
00:53:51,600 --> 00:54:01,600
Con Metasploit, i professionisti possono eseguire test di penetrazione controllati utilizzando una vasta libreria di exploit e payload per identificare le vulnerabilità.

393
00:54:01,600 --> 00:54:15,600
Ad esempio, un penetration tester potrebbe sfruttare una vulnerabilità SM non patchata che è stata trovata utilizzando la mappa finale, come l'infame, per esempio, exploit Eternal Blue per ottenere l'accesso al sistema.

394
00:54:15,600 --> 00:54:23,600
Combinando strumenti come la mappa finale per la scoperta, WireSarc per l'analisi del traffico e Metasploit per testare gli exploit,

395
00:54:23,600 --> 00:54:36,600
i team di sicurezza possono emulare efficacemente attacchi del mondo reale, scoprire debolezze e mitigare potenziali minacce prima che possano essere sfruttate da attori malintenzionati.

396
00:54:36,600 --> 00:54:43,600
In questo esercizio, gli studenti verranno introdotti a Nmap, uno degli strumenti più potenti per la scansione di rete e l'auditing di sicurezza.

397
00:54:43,600 --> 00:54:54,600
L'obiettivo di questo esercizio è capire come mappare una rete, scoprire dispositivi attivi e identificare porte aperte e servizi in esecuzione su quei dispositivi principali.

398
00:54:54,600 --> 00:55:02,600
Utilizzando Nmap, gli studenti esploreranno una gamma di tecniche di scansione che forniscono preziose intuizioni sulla struttura e la sicurezza della rete.

399
00:55:02,600 --> 00:55:13,600
L'esercizio inizia con la scoperta di base dell'host e prosegue verso tecniche più avanzate, inclusi fingerprinting del sistema operativo e scansione delle vulnerabilità.

400
00:55:13,600 --> 00:55:20,600
Questa esperienza pratica getterà le basi per comprendere i test di penetrazione e le valutazioni di sicurezza della rete.

401
00:55:20,600 --> 00:55:29,600
Il primo passo dell'esercizio è coinvolgere la scoperta di host vivi all'interno della rete utilizzando un Nmap.

402
00:55:29,600 --> 00:55:40,600
Eseguendo una semplice scansione ping con l'opzione SN, gli studenti possono identificare quali dispositivi sono attivi e rispondono alle richieste di eco ICMP, ping.

403
00:55:40,600 --> 00:55:47,600
Ciò consente agli studenti di ottenere rapidamente una panoramica dei dispositivi presenti sulla loro rete locale.

404
00:55:47,600 --> 00:55:59,600
Il comando per eseguire questa scansione è Nmap meno SN e poi l'IP della gamma di rete, per esempio 1.1.0.

405
00:55:59,600 --> 00:56:09,600
Una volta completato, gli studenti avranno un elenco di indirizzi IP corrispondenti agli host vivi della rete, che serve come base per ulteriori indagini.

406
00:56:09,600 --> 00:56:17,600
Dopo aver identificato gli host vivi, il passo successivo è scansionare le porte aperte e i servizi in esecuzione su quelle porte.

407
00:56:17,600 --> 00:56:31,600
L'opzione Nmap meno SV consente agli studenti di eseguire una scansione della versione del servizio, che aiuta a determinare non solo quali porte sono aperte, ma anche quali servizi sono in esecuzione e le loro versioni.

408
00:56:31,600 --> 00:56:45,600
Eseguendo il comando Nmap meno SV e poi l'IP di destinazione della rete, gli studenti possono identificare servizi critici come HTTP, FTP, SSH e altri.

409
00:56:45,600 --> 00:57:00,600
Comprendere quali servizi sono esposti aiuta gli studenti a valutare i potenziali rischi di sicurezza associati a quei servizi, specialmente se sono servizi e versioni obsoleti o vulnerabili.

410
00:57:00,600 --> 00:57:08,600
Il passo successivo è eseguire il fingerprinting del sistema operativo per determinare il sistema operativo in esecuzione sul sistema di destinazione.

411
00:57:08,600 --> 00:57:18,600
Utilizzando l'opzione meno grande O in Nmap, gli studenti possono analizzare le risposte dall'host di sistema e identificare il sistema operativo.

412
00:57:18,600 --> 00:57:29,600
Queste informazioni possono essere preziose perché diversi sistemi operativi hanno vulnerabilità uniche e conoscere il sistema operativo consente agli studenti di comprendere meglio la postura di sicurezza del dispositivo.

413
00:57:29,600 --> 00:57:38,600
Il comando per il fingerprinting del sistema operativo è Nmap meno O e poi l'IP di destinazione a cui lo studente sta mirando.

414
00:57:38,600 --> 00:57:48,600
Gli studenti impareranno come interpretare i risultati della scansione del sistema operativo per ottenere maggiori intuizioni sulle potenziali debolezze di sicurezza.

415
00:57:48,600 --> 00:57:57,600
Il passo finale è per l'esercizio di eseguire una scansione delle vulnerabilità utilizzando l'opzione Nmap meno meno script VON.

416
00:57:57,600 --> 00:58:07,600
Questa scansione utilizza script di costruzione Nmap, gli script NSC personalizzati, per rilevare le vulnerabilità note e i servizi in esecuzione sull'host di destinazione.

417
00:58:07,600 --> 00:58:24,600
Eseguendo il comando Nmap meno meno script VON e poi l'IP di destinazione, gli studenti possono scoprire vulnerabilità critiche come software obsoleto, patch mancanti e configurazioni errate che potrebbero essere sfruttate dagli attaccanti.

418
00:58:24,600 --> 00:58:35,600
Questa scansione aiuta gli studenti a valutare la sicurezza complessiva della rete e comprendere i potenziali rischi posti dalle vulnerabilità scoperte.

419
00:58:35,600 --> 00:58:44,600
L'esercizio prosegue con gli studenti che imparano a usare un wireshark, un potente analizzatore di protocollo di rete per catturare e analizzare il traffico di rete.

420
00:58:44,600 --> 00:58:55,600
L'obiettivo principale è osservare come i dati crittografati o altro traffico vengono trasmessi sulla rete e comprendere i rischi di sicurezza associati ai protocolli di testo in chiaro come HTTP.

421
00:58:55,600 --> 00:59:07,600
Concentrandosi sul traffico HTTP, gli studenti osserveranno come le informazioni sensibili come le credenziali di accesso vengono trasmesse e come gli attaccanti possono sfruttare la mancanza di crittografia per intercettare questi dati.

422
00:59:07,600 --> 00:59:14,600
L'attività pratica aiuterà gli studenti ad apprezzare l'importanza di proteggere i dati utilizzando in transito.

423
00:59:14,600 --> 00:59:26,600
Per iniziare, gli studenti lanceranno wireshark su Kali Linux o Parrot OS, un wireshark può anche funzionare su Windows e selezionare l'interfaccia di rete corrispondente alla connessione di rete attiva.

424
00:59:27,600 --> 00:59:32,600
Wireshark catturerà quindi tutto il traffico di rete che scorre attraverso quell'interfaccia.

425
00:59:32,600 --> 00:59:40,600
Per filtrare il traffico e concentrarsi solo sul traffico HTTP, gli studenti possono applicare il filtro di cattura porta TCP 80.

426
00:59:40,600 --> 00:59:49,600
Questo filtro garantisce che venga catturato solo il traffico sulla porta 80, la porta predefinita per HTTP, restringendo l'analisi ai dati rilevanti.

427
00:59:49,600 --> 00:59:55,600
Una volta avviata la cattura, gli studenti navigheranno quindi verso un'applicazione web vulnerabile.

428
00:59:55,600 --> 01:00:06,600
Ad esempio, possono usare dump-vulnerable-web-application-dvwa o WebGoat o metasploitable too, ed eseguire tentativi di accesso utilizzando un account di test.

429
01:00:06,600 --> 01:00:13,600
Mentre le credenziali di accesso vengono trasmesse su HTTP, wireshark catturerà il traffico di rete corrispondente.

430
01:00:13,600 --> 01:00:23,600
Per isolare il traffico contenente le credenziali di accesso, gli studenti possono applicare il filtro di visualizzazione HTTP.request.method,

431
01:00:23,600 --> 01:00:26,600
doppio uguale, virgolette post.

432
01:00:26,600 --> 01:00:36,600
Le richieste HTTP post sono tipicamente utilizzate per inviare i dati a un server, comprese le informazioni sensibili, come quando si utilizza un accesso, nomi utente e password.

433
01:00:36,600 --> 01:00:49,600
Dopo aver catturato le richieste HTTP post rilevanti, gli studenti possono interrompere la cattura e utilizzare la funzione follow TCP stream di wireshark per esaminare lo scambio completo tra il client e il server.

434
01:00:49,600 --> 01:00:58,600
Ciò consentirà loro di vedere come le informazioni di accesso sensibili vengono trasmesse in testo in chiaro sulla rete, rendendole vulnerabili all'intercettazione.

435
01:00:58,600 --> 01:01:08,600
Attraverso questa analisi, gli studenti possono vedere chiaramente quanto sia facile per un attaccante sulla stessa rete intercettare dati sensibili se non sono crittografati.

436
01:01:08,600 --> 01:01:20,600
La mancanza di crittografia del traffico HTTP espone informazioni critiche, come le credenziali di accesso, rendendolo un grave rischio di sicurezza, specialmente in reti pubbliche o non protette.

437
01:01:20,600 --> 01:01:27,600
Gli studenti possono riflettere sull'importanza di utilizzare la crittografia per proteggere i dati sensibili in transito.

438
01:01:27,600 --> 01:01:43,600
Utilizzando HTTPS su SSL o utilizzando TLS, la trasmissione dei dati può essere crittografata, garantendo che quindi, anche se l'attaccante intercetta il traffico, le informazioni saranno illeggibili.

439
01:01:43,600 --> 01:01:54,600
In questo esercizio, gli studenti impareranno come utilizzare Metasploit, il framework di test di penetrazione ampiamente diffuso, per esplorare in tutte le vulnerabilità in una macchina di destinazione vulnerabile.

440
01:01:54,600 --> 01:02:01,600
L'obiettivo è dimostrare come gli attaccanti possono sfruttare le vulnerabilità del software per ottenere un accesso non autorizzato al sistema.

441
01:02:01,600 --> 01:02:16,600
In questo scenario, gli studenti lavoreranno con la macchina di destinazione Metasploitable 2 o 3 e utilizzeranno un exploit per tutta la loro versione, VSFTPD, FTPDmon molto sicuro, che contiene una vulnerabilità backdoor.

442
01:02:17,600 --> 01:02:26,600
Attraverso questo esercizio, gli studenti vedranno in prima persona come gli attaccanti possono sfruttare tali vulnerabilità nello scenario del mondo reale per violare i sistemi.

443
01:02:26,600 --> 01:02:37,600
Per iniziare gli esercizi, gli studenti lanciano Metasploit su Parrot OS o Kali Linux aprendo un terminale e digitando il comando MSF console.

444
01:02:37,600 --> 01:02:45,600
Questo caricherà il framework Metasploit, che fornisce accesso a una vasta gamma di exploit, payload e moduli di post-sfruttamento.

445
01:02:45,600 --> 01:02:57,600
Una volta che la console Metasploit è attiva e funzionante, gli studenti possono cercare l'exploit, mirando alla vulnerabilità VSFTPD utilizzando il comando search VSFTPD.

446
01:02:57,600 --> 01:03:05,600
Naturalmente, gli studenti possono usare il comando search per cercare qualsiasi versione di Apache, SQL o qualsiasi altro servizio vogliano.

447
01:03:05,600 --> 01:03:12,600
Questo li aiuterà a individuare lo specifico exploit relativo alla vulnerabilità backdoor del servizio specifico.

448
01:03:12,600 --> 01:03:26,600
Dopo aver trovato l'exploit appropriato, gli studenti possono caricarlo utilizzando il comando use exploit slash unix slash ftp slash VSFTPD e il nome dell'exploit.

449
01:03:26,600 --> 01:03:41,600
È come una cartella all'interno del sistema operativo dove exploit è la radice, poi unix ftp e poi va avanti e avanti finché non trova il file specifico o l'exploit come la backdoor VSFTPD.

450
01:03:41,600 --> 01:03:45,600
Che prende di mira la versione vulnerabile dell'ftp.

451
01:03:45,600 --> 01:03:49,600
Successivamente, gli studenti configureranno l'exploit impostando i parametri richiesti.

452
01:03:49,600 --> 01:03:59,600
Useranno R-host, host remoto come configurazione all'indirizzo IP e imposteranno Metasploitable all'indirizzo IP come R-host.

453
01:03:59,600 --> 01:04:07,600
E L-host è l'host locale, è l'IP del loro Kali Linux o della loro macchina Parrot OS.

454
01:04:07,600 --> 01:04:19,600
L'indirizzo L-host è cruciale e R-host così come la configurazione in quanto sarà utilizzato per stabilire una connessione inversa alla macchina una volta che l'exploit avrà successo.

455
01:04:19,600 --> 01:04:29,600
Gli studenti selezioneranno quindi il payload appropriato per questo exploit, che in questo caso sarebbe Linux x86 cell reverse TCP.

456
01:04:29,600 --> 01:04:36,600
Questo è un payload di cella inversa che aprirà un'interfaccia a riga di comando sulla macchina di destinazione una volta eseguito l'exploit.

457
01:04:36,600 --> 01:04:48,600
Dopo aver configurato l'exploit e selezionato i payload, gli studenti possono eseguire l'exploit digitando il comando exploit, dopo aver naturalmente impostato le configurazioni come prima.

458
01:04:48,600 --> 01:04:57,600
Se ha successo, l'exploit attiverà una connessione di cella inversa alla macchina Kali Linux, garantendo agli studenti l'accesso alla macchina Metasploitable to.

459
01:04:57,600 --> 01:05:09,600
Con questo accesso, gli studenti saranno in grado di eseguire comandi di post-sfruttamento di base come elencare directory, esplorare file di sistema o raccogliere e radunare informazioni di sistema.

460
01:05:09,600 --> 01:05:19,600
Questa fase dell'esercizio aiuta gli studenti a capire come gli attaccanti usano tecniche di post-sfruttamento per esplorare e mantenere l'accesso ai sistemi compromessi.

461
01:05:19,600 --> 01:05:29,600
Gli studenti possono osservare come gli attaccanti possono facilmente raccogliere dati o elevare i loro privilegi dopo aver ottenuto l'accesso iniziale sfruttando una specifica vulnerabilità.