Sharing Knowledge | Gianmarco Landriani

In questa sezione parleremo dei tre diversi framework di attacco:  Lockheed Martin Kill Chain  MITRE ATT&CK Framework Diamond Model of Intrusion Analysis 1.  Lockheed Martin Kill Chain Questo modello di kill chain è stato sviluppato per la prima volta da Hutchins, Cloppert e Amin, sotto contratto dalla Lockheed Martin's Corporation. È stato quindi rilasciato nel pubblico dominio per essere utilizzato da tutti.  Ora, la kill chain ha un metodo in sette fasi: Riconoscimento (reconnaissance)  Armamento (weaponization) Consegna (delivery) Sfruttamento (exploitation) Installazione Comando e controllo (C2) Azione sugli obiettivi (Action on Objectives) 1. In questa fase, l'attaccante determinerà i metodi di cui ha bisogno per completare le altre fasi dell'attacco. Ora, uno dei grandi problemi qui è che l'attaccante non vuole essere scoperto mentre sta effettuando la ricognizione, quindi cerca di essere subdolo. Cercano di usare cose come l'open source e la raccolta...

La caccia alle minacce è proattiva anziché reattiva, come se si trattasse di una risposta a un incidente. L'idea qui è che stiamo andando a caccia o cercando quelle minacce all'interno della nostra rete, invece di aspettare che attacchino. Per fare la caccia alle minacce, iniziamo stabilendo un'ipotesi. Ora, quando stabiliamo un'ipotesi, la dedurremo dal modello di minaccia che abbiamo fatto. E si baserà sui potenziali eventi con maggiore probabilità e maggiore impatto se dovessero verificarsi. E esaminando la nostra intelligence sulle minacce, possiamo creare una buona ipotesi su quale tipo di campagna o quale tipo di gruppo avversario potrebbe volerci far del male. Quindi, passeremo alla definizione del profilo degli attori e delle attività delle minacce. A questo punto, faremo davvero affidamento su quell'intelligence sulle minacce. La caccia alle minacce si baserà sull'uso di strumenti sviluppati per il monitoraggio regolare della sicurezza e la risposta agl...

Ora ci sono molte fonti diverse per la nostra intelligenza che possiamo ottenere là fuori, ma non tutte sono uguali. E quindi dobbiamo essere in grado di identificare alcuni fattori per valutare il valore dell'intelligenza che stiamo ottenendo. Ora, ci sono diversi fattori che possiamo usare: tempestività, pertinenza, accuratezza e livello di fiducia . Quando parliamo di tempestività , questa è la proprietà di una fonte di intelligence che garantisce che sia aggiornata perché nel tempo le informazioni non sono così preziose. Se so che qualcuno ha attaccato la tua rete oggi, e non te ne parlo da tre anni, non ti sarà molto utile. Sarebbe molto più utile se te lo dicessi oggi. Il nostro secondo fattore è la pertinenza . Ora questa è la proprietà di una fonte di intelligence che garantisce che corrisponda al caso d'uso a cui era destinata. La terza area è la precisione . Ora l'accuratezza è proprietà di una fonte di intelligence che garantisce che produca risultati efficaci. C...

 Esistono quattro gruppi principali di attori delle minacce che dobbiamo comprendere per l'esame Security +. Il primo è uno script kiddie . Questi sono hacker che hanno poche o nessuna abilità e usano solo strumenti ed exploit scritti da altri. Questi sono ciò che la gente chiama baby hacker. Sono persone che vanno online e scaricano un programma che potrebbe permetterti di digitare semplicemente un indirizzo IP e premere go, e condurrà un attacco di negazione del servizio per tuo conto. Gli hacktivisti sono hacker guidati da una causa, come il cambiamento sociale, i programmi politici e, a volte, persino il terrorismo. Di gran lunga, il gruppo di hacktivisti più noto è Anonymous. Anonymous è un gruppo di hacker di tutto il mondo. Chiunque può unirsi a loro e chiunque può ritirarsi in qualsiasi momento. La criminalità organizzata è un gruppo di hacker che fa parte di un gruppo ben finanziato e altamente sofisticato. Ad esempio, in questo momento ci sono numerose organizzazioni cr...

Esistono cinque tipi di hacker che è necessario riconoscere per l'esame Security+. Si tratta di cappelli bianchi, cappelli neri, cappelli grigi, cappelli blu e cappelli d'élite. Un hacker White Hat è un hacker non malintenzionato. Si tratta di qualcuno che tenterà di introdursi in un'azienda su loro richiesta. In realtà, i cappelli bianchi sono sul libro paga dell'azienda o sono incaricati di svolgere questo compito come servizio. I Black Hat invece, sono malintenzionati. Questi sono i cattivi. Si tratta di hacker malintenzionati che cercano di introdursi nei sistemi e nelle reti informatiche senza l'autorizzazione o il permesso di nessuno. Un Gray Hat è un hacker senza alcuna affiliazione a un'azienda. Tentano di introdursi in una rete e rischiano di infrangere la legge nel farlo. La differenza tra un cappello grigio e un cappello nero è che un cappello nero ha un intento malevolo. Un cappello grigio non ha necessariamente queste caratteristiche. Forse voglio...

Esistono tre categorie di base che è possibile utilizzare quando si attenuano le minacce. Controlli fisici, controlli tecnici e controlli amministrativi. I controlli fisici sono quelle cose che aggiungi nell'ambiente del mondo reale per impedire che le cose accadano. Potrebbe essere un sistema di allarme, una telecamera di sorveglianza, serrature, recinzioni, porte, carte d'identità, distintivi, guardie di sicurezza, tutti quei tipi di cose.  Il secondo tipo di controllo è chiamato controllo tecnico . Si tratta di cose come smart card, elenchi di controllo degli accessi, sistemi di rilevamento delle intrusioni, crittografia e autenticazione di rete.  Il terzo tipo è chiamato controlli amministrativi . Si tratta di criteri, procedure, formazione sulla consapevolezza della sicurezza, piani di emergenza e piani di ripristino di emergenza. I controlli amministrativi possono essere ulteriormente suddivisi in due categorie. I controlli procedurali sono quelle cose che la tua organ...

Sono tutti là fuori che cercano di entrare nei tuoi sistemi, nei tuoi computer e nei tuoi server. Copriremo quattro delle principali categorie in questo momento.  Il primo è Malware . Il malware è un termine abbreviato per software dannoso. Può trattarsi di virus, worm, cavalli di Troia, spyware, rootkit, adware, ransomware e molti altri tipi diversi. Successivamente, abbiamo accesso non autorizzato . Proprio come nell'ultima lezione, quando abbiamo parlato di autorizzazione, beh, se riesci a violare l'autorizzazione, puoi ottenere l'accesso non autorizzato. Ciò si verifica quando è possibile accedere a una risorsa o dati del computer e si verifica senza il consenso del proprietario. La terza categoria è chiamata System Failure . Ciò si verifica quando un computer si blocca o una singola applicazione fallisce. In passato, chiamavamo questo temuto schermo blu della morte, o BSOD. La quarta categoria di minacce alla sicurezza è l'ingegneria sociale . L'ingegneria soci...

Le tre A della sicurezza sono  autenticazione , autorizzazione e contabilità ( accounting ) L'autenticazione si verifica quando  l'identità di una persona è stabilita con la  prova e viene confermata dal sistema. La seconda A è un' autorizzazione .  L'autorizzazione si verifica quando un utente ha  accesso a un determinato  dato o ad alcune aree dell'edificio. La terza A è accounting .  La contabilità garantisce il mantenimento del  tracciamento dei dati, dell'utilizzo del computer e delle risorse di rete e le scrive in un file di log. Ora, se hai la prova che qualcuno ha fatto qualcosa, che ha intrapreso un'azione, chiamiamo questo non ripudio . Il non ripudio significa semplicemente che l'utente non può dire che non ha intrapreso l'azione perché ha la prova che ha fatto.

Ci sono tre componenti che gettano le basi per la maggior parte di ciò che tratteremo in questo corso. Chiamiamo questa la triade CIA ( Confidentiality - Integrity - Availability ) Queste tre componenti sono riservatezza, integrità e disponibilità e quando le abbiamo tutte e tre, significa che i nostri dati e le nostre informazioni hanno una buona sicurezza. La riservatezza garantisce che le informazioni non siano state divulgate a persone non autorizzati Integrità significa che ci impegniamo a garantire che le informazioni non siano state modificate o alterate senza la dovuta autorizzazione   La disponibilità si concentra sul garantire che le informazioni siano accessibili, archiviate o protette in ogni momento