06.06.2023 Views

IT Professional Security - ΤΕΥΧΟΣ 79

Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.

Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.

SHOW MORE
SHOW LESS

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

www.itsecuritypro.gr 03/04/05.2023 • Τεύχος <strong>79</strong> • Τιμή 5€<br />

Ασφάλεια Εφαρμογών<br />

& Κύκλος Ανάπτυξης Λογισμικού<br />

13 o Infocom <strong>Security</strong> 2023<br />

The Power of AI in Cyber <strong>Security</strong><br />

Powered by<br />

20 Χρόνια εµπειρίας,<br />

καινοτοµίας και εξειδίκευσης<br />

στην κυβερνοασφάλεια


ΤΟ ΣΗΜΕΙΟ ΑΝΑΦΟΡΑΣ ΣΤΗΝ<br />

ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΟ MANAGEMENT<br />

ΚΑΙ ΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ<br />

ΓΙΑ ΤΗ ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ<br />

Το <strong>Security</strong> Manager αποτελεί το πρώτο και µοναδικό επαγγελµατικό περιοδικό<br />

στην Ελλάδα που ειδικεύεται συνολικά στα θέµατα φυσικής ασφάλειας,<br />

αποτελώντας µαζί µε την ηλεκτρονική του έκδοση www.securitymanager.gr<br />

το µέσο µε τη µεγαλύτερη επιρροή στους επαγγελµατίες του χώρου<br />

εδώ και πάνω από 15 Χρόνια!


T<strong>79</strong>03/04/05.2023<br />

Editorial<br />

Άνθρωπος Vs Τεχνητή Νοημοσύνη<br />

στην κυβερνοασφάλεια<br />

Στο πρόσφατο Infocom <strong>Security</strong> – για το οποίο μπορείτε<br />

να διαβάσετε αναλυτικό ρεπορτάζ στο τεύχος – το θεματικό<br />

αντικείμενο που βρέθηκε στο επίκεντρο της ατζέντας του<br />

προγράμματος, ήταν η επίδραση της τεχνητής νοημοσύνης<br />

στην κυβερνοασφάλεια, κάτι που άλλωστε αποτυπώθηκε<br />

και από τον κεντρικό του τίτλο. Είχαμε την ευκαιρία να<br />

γνωρίσουμε πολλές σύγχρονες λύσεις που αξιοποιούν τεχνολογικές<br />

καινοτομίες με TN για την ενίσχυση των μηχανισμών<br />

προστασίας των <strong>IT</strong> υποδομών, αλλά παράλληλα να<br />

παρουσιάσουμε και τους τρόπους με τους οποίους οι κακόβολοι<br />

έχουν τη δυνατότητα να χρησιμοποιούν πλατφόρμες<br />

ΑΙ για την διενέργεια επιθέσεων.<br />

Αυτό που όμως αξίζει να αναδείξουμε, είναι παρά τις εκπληκτικές<br />

δυνατότητες της ΤΝ, ο ανθρώπινος παράγοντας<br />

παραμένει ζωτικής σημασίας για την κυβερνοασφάλεια.<br />

Οι αποφάσεις που αφορούν την ανάπτυξη και τη χρήση<br />

της ΤΝ πρέπει να λαμβάνονται από ειδικούς στον τομέα, οι<br />

οποίοι κατανοούν τις ευπάθειες των συστημάτων και των<br />

ανθρώπων που εξαρτώνται από αυτά, με βάση την εμπειρία<br />

και την εκτίμηση των ανθρώπων που διαθέτουν την απαραίτητη<br />

τεχνογνωσία. Ένα ακόμα σημαντικό ζήτημα που<br />

προκύπτει από τη χρήση της ΤΝ στην κυβερνοασφάλεια είναι<br />

η εμπιστοσύνη. Οι πολίτες και οι επιχειρήσεις πρέπει να<br />

έχουν εμπιστοσύνη στα συστήματα κυβερνοασφάλειας για<br />

να αποδεχθούν και να υιοθετήσουν τις τεχνολογίες αυτές.<br />

Ο ανθρώπινος παράγοντας παίζει καθοριστικό ρόλο στη διατήρηση<br />

αυτής της εμπιστοσύνης. Επιπλέον, ο ανθρώπινος<br />

παράγοντας προσφέρει μια ηθική διάσταση στην κυβερνοασφάλεια,<br />

η οποία είναι δύσκολο να αντιμετωπιστεί από<br />

την ΤΝ. Οι ηθικές επιλογές και αξίες είναι σύνθετες και υποκειμενικές<br />

και απαιτούν ανθρώπινη κρίση.<br />

Τέλος, ο ανθρώπινος παράγοντας παρέχει την αναγκαία αίσθηση<br />

ευθύνης στον τομέα της κυβερνοασφάλειας. Η ευαισθητοποίηση<br />

και η εκπαίδευση θα είναι πάντα απαραίτητες<br />

για την κατανόηση των κινδύνων και των προκλήσεων<br />

της κυβερνοασφάλειας.<br />

Συνοψίζοντας, θα λέγαμε η τεχνητή νοημοσύνη έχει να παίξει<br />

έναν σημαντικό ρόλο στην κυβερνοασφάλεια, αλλά ο ανθρώπινος<br />

παράγοντας παραμένει αναντικατάστατος.<br />

Βλάσης Αμανατίδης<br />

Εκδότης<br />

Κώστας Νόστης<br />

Αρχισυντάκτης<br />

Βλάσης Αμανατίδης<br />

v.amanatidis@smartpress.gr<br />

Διεύθυνση Επικοινωνίας<br />

& Marketing<br />

Ειρήνη Νόστη<br />

Yπεύθυνος Διαφήμισης<br />

Γιώργος Ιωσηφέλης<br />

Συνεργάτες<br />

Δημήτρης Θωμαδάκης<br />

Νότης Ηλιόπουλος<br />

Παναγιώτης Καλαντζής<br />

Αριστοτέλης Λυμπερόπουλος<br />

Δημήτρης Σκιάννης<br />

Χρήστος Κοτσακάς<br />

Σύμβουλος Έκδοσης<br />

Νίκη Πανδή<br />

Υπεύθυνη Παραγωγής<br />

Ελένη Καπιτσάκη<br />

DTP<br />

Θοδωρής Παπουτσής<br />

Νίκος Χαλκιαδάκης<br />

Υπεύθυνος Ηλεκτρονικών Μέσων<br />

Δημήτρης Θωμαδάκης<br />

Υπεύθυνη Συνεδρίων<br />

Αγγελική Νόστη<br />

Φωτογραφίες<br />

GENESIS 360<br />

Γραμματεία Εμπορικού<br />

Έλλη Μαστρομανώλη<br />

Λογιστήριο<br />

Ανδρέας Λουλάκης<br />

Τμήμα συνδρομών<br />

support@securitymanager.gr<br />

Consulting by<br />

SPEG Co<br />

τηλ.: 210 5238777,<br />

www.speg.gr, info@speg.gr<br />

Ιδιοκτήτης<br />

Smart Press<br />

Μάγερ 11, 10438, Αθήνα<br />

Τηλ.: 210 5201500, 210 5230000,<br />

Fax: 210 5241900<br />

www.smartpress.gr<br />

www.itsecuritypro.gr<br />

www.securitymanager.gr<br />

email επικοινωνίας:<br />

info@securitymanager.gr<br />

support@securitymanager.gr<br />

ΚΩΔΙΚΟΣ 01-8267<br />

2 security


Cybersecurity<br />

Center<br />

<strong>Security</strong> is embedded in Space Hellas DNA<br />

n<br />

n<br />

n<br />

n<br />

Holistic Cybersecurity approach<br />

Managed & <strong>Professional</strong> Services<br />

Red & Blue Team approach<br />

35 years of excellence & know-how<br />

www.space.gr<br />

security<br />

3


T<strong>79</strong>03/04/05.2023<br />

Contents<br />

14<br />

26<br />

34<br />

40<br />

42<br />

48<br />

2 | editorial<br />

6 News<br />

Law Tech<br />

14 | Παραβίαση δεδομένων<br />

προσωπικού χαρακτήρα με βάση<br />

το GDPR<br />

Cover issue<br />

16 | Ασφάλεια Εφαρμογών &<br />

Κύκλος Ανάπτυξης Λογισμικού<br />

Secure Software Development<br />

Lifecycle- SDLC<br />

Issue<br />

26 | History Channel Special: From<br />

Zero (One) to Hero<br />

28 | Protect your Applications at all<br />

times<br />

30 | Πιο «επιθετικός έλεγχος» της<br />

ασφάλειας εφαρμογών με το<br />

beSTORM<br />

34 | 7 Βήματα για να επιλέξετε<br />

Managed <strong>Security</strong> Service<br />

Provider (MSSP)<br />

38 | Bitdefender XDR : Από τις<br />

ευπάθειες στην ανθεκτικότητα<br />

40 | 4 βασικοί παράγοντες<br />

«ενορχήστρωσης» διαχείρισης<br />

του δικτύου<br />

42 | Digital Forensics as a Service<br />

46 | Γιατί η ασφάλεια τελικού<br />

σημείου (end point) και ο<br />

έλεγχος ταυτότητας πολλαπλών<br />

παραγόντων (MFA) πρέπει να<br />

συνδυάζονται!<br />

Report<br />

48 | 13 o Infocom <strong>Security</strong> 2023<br />

The Power of AI in Cyber <strong>Security</strong><br />

Business <strong>IT</strong><br />

4 security


T<strong>79</strong>03/04/05.2023<br />

News<br />

Η PartnerNET παρουσιάζει το HAWKPROTECT της SEQR<strong>IT</strong>E<br />

Το HAWKPROTECT, η απόλυτη υπηρεσία<br />

κυβερνοασφάλειας (Cyber<strong>Security</strong>)<br />

από την Seqrite, έρχεται να διασφαλίσει<br />

την κάθε εταιρεία από πιθανές κυβερνοαπειλές.<br />

Το Seqrite HawkkProtect επιτρέπει στους<br />

οργανισμούς να δημιουργήσουν μία ασπίδα<br />

ασφαλείας γύρω από κάθε χρήστη, κάθε<br />

συσκευή και κάθε σύνδεση, κάθε φορά<br />

που συνδέονται. Επίσης βοηθά στη δημιουργία<br />

ενός οικοσυστήματος Zero Trust με<br />

ελεγχόμενο σύνολο χρηστών και εφαρμογών.<br />

Αυτό θα βοηθήσει τους οργανισμούς να<br />

επεκτείνουν τις δυνατότητές που έχουν για την ασφάλεια τους.<br />

Εφαρμόστε το Proactive Zero Trust <strong>Security</strong> για να λειτουργήσετε<br />

μια ευέλικτη στρατηγική ασφάλειας σε όλες τις επιχειρήσεις<br />

(onsite, online, hybrid).<br />

Γρήγορη και εύκολη ενσωμάτωση χρηστών, εφαρμογών και<br />

υπηρεσιών.<br />

• Ξεκινήστε απλά (με λίγους χρήστες και λίγες εφαρμογές)<br />

και αργότερα κάντε κλιμάκωση για επέκταση.<br />

• Ενσωματώνεται εύκολα με την υπάρχουσα υποδομή<br />

πληροφορικής για διαχείριση ταυτότητας.<br />

Παρέχετε ασφάλεια με υπηρεσία Visual-First Zero Trust για<br />

διαχειριστές!<br />

Τα πλεονεκτήματα του HAWKPROTECT:<br />

1. Ενσωματώνοντας την υπηρεσία<br />

Endpoint <strong>Security</strong> έχουμε ως αποτέλεσμα<br />

την διασφάλιση της πρόσβασης<br />

των χρηστών σε όλες τις on-premises<br />

και enterprise SaaS εφαρμογές. Το<br />

HawkkProtect είναι κυρίως Cloud-First.<br />

2. Καταργώντας τους παραδοσιακούς τρόπους ασφαλείας,<br />

το HawkkProtect επιτρέπει στους οργανισμούς<br />

να ξεκινήσουν το ταξίδι Zero<br />

Trust με ένα ενσωματωμένο <strong>Security</strong><br />

Posture.<br />

3. Με την χρήση Zero Trust και την αξιολόγηση<br />

των κινήσεων της συσκευής, βεβαιώνεται<br />

ότι η πρόσβαση των χρηστών επαληθεύεται κάθε φορά.<br />

4. Μπορεί να χρησιμοποιηθεί στα ήδη υπάρχοντα συστήματα<br />

ασφαλείας με ευέλικτες επιλογές ανάπτυξης, Agent-less και<br />

βασισμένες σε Agent-based σύμφωνα με τις απαιτήσεις<br />

των συστημάτων ασφαλείας της επιχείρησης.<br />

5. Εξοικονομήστε χρόνο από την Manual ανάλυση των στατιστικών<br />

στοιχείων του κάθε χρήστη και των εφαρμογών που<br />

χρησιμοποιεί Το HawkkProtect παρέχει visual-first πληροφορίες<br />

σε πραγματικό χρόνο για να υποστηρίξει τη σχετική απόκριση<br />

σε απειλές.<br />

Τα προϊόντα-υπηρεσίες της Seqrite αντιπροσωπεύονται στην<br />

Ελλάδα από την εταιρεία PartnerΝΕΤ τηλ.: 2107100000,<br />

sales@partnernet-ict.com, www.partnernet-ict.com.<br />

ADACOM – Υπογραφή σύμβασης για τη Διεύθυνση<br />

Κυβερνοασφάλειας του Βασιλείου του Μπαχρέιν<br />

Η ADACOM S.A., θυγατρική της IDEAL Holdings S.A., ανακοινώνει<br />

την ανάθεση και την υπογραφή της σύμβασης για<br />

το έργο «Public Key Infrastructure & <strong>IT</strong> Provider» για τη Διεύθυνση<br />

Κυβερνοασφάλειας του Βασιλείου του Μπαχρέιν,<br />

μετά από τη διεξαγωγή διεθνή διαγωνισμού. Στα πλαίσια του<br />

έργου, η ADACOM θα υλοποιήσει και θα παράσχει όλες τις<br />

απαραίτητες υπηρεσίες, ώστε η Διεύθυνση Κυβερνοασφάλειας<br />

του Βασιλείου του Μπαχρέιν να μπορεί να παρέχει Εγκεκριμένες<br />

Υπηρεσίες Εμπιστοσύνης, σε συμμόρφωση με τον<br />

Κανονισμό eIDAS καθώς και με την ισχύουσα νομοθεσία και<br />

τους τεχνικούς ελέγχους του Βασιλείου του Μπαχρέιν, που<br />

παρέχουν το ρυθμιστικό περιβάλλον για ένα ολοκληρωμένο<br />

σύνολο ηλεκτρονικών εγκεκριμένων υπηρεσιών εμπιστοσύνης<br />

στο Βασίλειο του Μπαχρέιν. Επιπλέον, η ADACOM θα λειτουργεί<br />

και θα υποστηρίζει για τους πρώτους 12 μήνες μετά<br />

την υλοποίηση, την υποδομή των Υπηρεσιών Εμπιστοσύνης<br />

του Βασιλείου του Μπαχρέιν, μέσω της οποίας εκτιμάται ότι<br />

θα εκδοθούν 1.000.000 εξ’ αποστάσεως Εγκεκριμένες Ηλεκτρονικές<br />

Υπογραφές & Σφραγίδες.<br />

6 security


Business <strong>IT</strong> 7


T<strong>79</strong>03/04/05.2023<br />

News<br />

Η Bitdefender παρουσιάζει το Live Search<br />

Η Bitdefender, παγκόσμιος Ηγέτης στον χώρο της κυβερνοασφάλειας,<br />

στοχεύοντας στην ενίσχυση των επιχειρήσεων<br />

έναντι στο κυβερνοέγκλημα και αφουγκραζόντας τις<br />

ανάγκες στην ψηφιακή ασφάλεια, ενίσχυσε τις λύσεις της με την<br />

δυνατότητα Live Search. Καθώς οι σύνθετες επιθέσεις γίνονται<br />

όλο και πιο αθόρυβες και στοχευμένες, όταν η πρόληψη<br />

δεν αρκεί, η άμεση απόκριση είναι κρίσιμη. Ενισχύοντας<br />

την ορατότητα στην υποδομή του οργανισμού, το Live Search<br />

προσφέρει στις ομάδες ασφαλείας εύκολη και γρήγορη αναζήτηση,<br />

ενώ επωφελούνται από το Παγκόσμιο Intelligence<br />

Network. Αυτή η νέα λειτουργία επεκτείνει τις δυνατότητες<br />

Threat Hunting, και Incident Response, καθώς επίσης επιτρέπει<br />

τον εντοπισμό misconfigurations, ευπάθειες λογισμικών<br />

και εφαρμογών, και έλεγχο συμμόρφωσης του συστήματος<br />

με κανονιστικά πλαίσια. Το Live Search είναι μια σημαντική<br />

προσθήκη στα Bitdefender EDR και XDR, καθώς προσφέρει<br />

στους αναλυτές την δυνατότητα να διερευνούν τα alerts<br />

αποτελεσματικά με out of the box συνδυασμούς τεχνολογιών.<br />

Γεγονότα, όπως το Log4J Zero-day, αναδεικνύουν<br />

τους κινδύνους που οφείλονται σε vulnerabilities λογισμικού.<br />

Με το Live Search, οι διαχειριστές έχουν ένα εύχρηστο και<br />

ισχυρό εργαλείο συλλογής πληροφοριών για τη διαμόρφωση<br />

των συστημάτων, απαραίτητες ενημερώσεις λογισμικών,<br />

και πληροφορίες συμμόρφωσης της υποδομής με πρότυπα<br />

και κανονισμούς ασφαλείας. Το Live Search είναι<br />

ένα πολύτιμο εργαλείο για τις ομάδες SOC και Managed<br />

Services, καθώς προσφέρει ζωντανά αποτελέσματα threat<br />

hunting εντοπίζοντας επιθέσεις στα αρχικά τους στάδια. Με<br />

queries για Indicators Of Compromise (IOC), όπως ύποπτα<br />

registry keys, συνδέσεις δικτύου,systems events κ.α, οι<br />

ομάδες ασφαλείας μπορούν να αναγνωρίσουν τις απειλές<br />

προτού καταστούν περιστατικά. Με τον εντοπισμό μιας επίθεσης,<br />

το Live Search βοηθά σε investigation & Forensic,<br />

προσφέροντας συλλογή εγκληματολογικών στοιχείων,<br />

συνθέτοντας και οπτικοποιώντας την διαδρομή και το εύρος<br />

του περιστατικού. Η διαχείριση περιστατικών ασφαλείας<br />

είναι διαχείριση κρίσεων και ο ανθρώπινος παράγοντας<br />

καλείται να ανταποκριθεί αποτελεσματικά και<br />

άμεσα. Η Bitdefender,κατανοώντας την πρόκληση, ενισχύει<br />

συνεχώς τις λύσεις της με καινοτόμα εργαλεία.<br />

Επικοινωνία: info@bitdefender.gr | 215-5353030 | www.<br />

bitdefender.gr<br />

Cyber<strong>Security</strong> Women’s Academy: Νέα ακαδημία<br />

κυβερνοασφάλειας για γυναίκες από την ΕΥ Ελλάδος και τη Microsof<br />

Η ΕΥ Ελλάδος αγκαλιάζει πρώτη το Cyber<strong>Security</strong><br />

Women’s Academy, μία νέα ακαδημία κυβερνοασφάλειας<br />

για γυναίκες που ξεκίνησε πιλοτικά η Microsoft και<br />

αναπτύσσει μέσω συνεργατών. Στόχος της ακαδημίας είναι<br />

η υποστήριξη των γυναικών, ώστε να εξελίξουν τις τεχνικές<br />

δεξιότητές τους πιστοποιούμενες από τη Microsoft, να αποκτήσουν<br />

ένα ανταγωνιστικό πλεονέκτημα και να εκκινήσουν<br />

την καριέρα τους στον ταχέως αναπτυσσόμενο τομέα της κυβερνοασφάλειας.<br />

Η πρωτοβουλία αυτή αποτελεί συνέχεια<br />

των δράσεων της ΕΥ Ελλάδος για την ενίσχυση της ίσης<br />

αντιπροσώπευσης των γυναικών και του ρόλου τους<br />

στον χώρο της κυβερνοασφάλειας και της τεχνολογίας<br />

γενικότερα, όπου παραδοσιακά υποεκπροσωπούνται.<br />

Σε απόλυτη σύμπλευση με τη συνεχόμενη προσπάθεια της<br />

Microsoft στην ίδια κατεύθυνση, μέρος της δέσμευσής της<br />

μέσω του GRforGrowth για την εκπαίδευση και πιστοποίηση<br />

σε ψηφιακές δεξιότητες 100.000 πολιτών μέχρι το 2025. Το<br />

πρόγραμμα, το οποίο παρέχεται δωρεάν από την ΕΥ Ελλάδος<br />

με τη συνεργασία της Microsoft και της Infolab, ξεκίνησε<br />

τον Απρίλιο και αναμένεται να ολοκληρωθεί τον Σεπτέμβριο,<br />

με την εκπαίδευση γυναικών σε πέντε τεχνικές πιστοποιήσεις<br />

της Microsoft. Σημειώνεται δε, ότι οι επαγγελματίες<br />

που παρακολουθούν την ακαδημία, επελέγησαν έπειτα από<br />

διαδικασία αξιολόγησης 131 υποψηφίων.<br />

8 security


T<strong>79</strong>03/04/05.2023<br />

News<br />

Η Pylones Hellas υλοποιεί λύση Disaster Recovery για τον Όμιλο<br />

ΑΒΑΞ στο Cloud της AWS<br />

Στο πλαίσιο περαιτέρω θωράκισης της επιχειρησιακής λειτουργίας<br />

των πληροφοριακών του συστημάτων, o Όμιλος<br />

ΑΒΑΞ ανέθεσε στην Pylones Hellas τη σχεδίαση και δημιουργία<br />

Disaster Recovery Site στο Cloud της AWS. Παρά την<br />

κορυφαία αρχιτεκτονική υψηλής διαθεσιμότητας που χαρακτηρίζει<br />

την υφιστάμενη υποδομή του Ομίλου, η συνεχιζόμενη<br />

ανάληψη κατασκευής νέων έργων αλλά και η παραχώρηση<br />

κρίσιμων υποδομών, καθιστούσε επιβεβλημένη την<br />

μεταφορά του data center στο cloud. H PYLONES HELLAS<br />

στρατηγικός συνεργάτης της AWS, δημιούργησε ουσιαστικά<br />

ένα Disaster Recovery Site, το οποίο βρίσκεται σε κατάσταση<br />

cold standby και σε περίπτωση ενδεχόμενης καταστροφής<br />

της onsite υποδομής του Ομίλου ΑΒΑΞ, θα τεθεί άμεσα σε<br />

λειτουργία, εκμηδενίζοντας ουσιαστικά το down time που θα<br />

ήταν αναπόφευκτό σε διαφορετική λύση. Κατόπιν μελέτης,<br />

επιλέχθηκαν 51 servers των οποίων η λειτουργία κρίθηκε<br />

απαραίτητη για την διασφάλιση της επιχειρησιακής συνέχειας<br />

και ο σχεδιασμός έγινε με τέτοιο τρόπο, ώστε τόσο οι servers,<br />

όσο και τα συστήματα Cyber <strong>Security</strong> να απαιτούν ελάχιστες<br />

αλλαγές κατά το συγχρονισμό στο Disaster Recovery Site. Με<br />

τον τρόπο αυτό επιτυγχάνεται σχεδόν αστραπιαία , η συνέχιση<br />

της λειτουργίας των servers πλέον στο cloud, ενώ ταυτόχρονα,<br />

τα δεδομένα που αποθηκεύονται στο AWS Cloud<br />

αποτελούν και off site backup της onsite υποδομής.<br />

Για object storage χρησιμοποιήθηκε το AWS Simple<br />

Storage Service (S3), που δίνει built-in security και εγγυάται<br />

99,99999999999% durability, πράγμα που σημαίνει ότι εάν<br />

αποθηκεύσετε 10.000.000 objects το ρίσκο σας περιορίζεται<br />

στο να χάσετε ένα μεμονωμένο object κάθε 10.000 χρόνια.<br />

Παράλληλα το S3 διαθέτει 6 κατηγορίες αποθήκευσης για να<br />

καλύψει οποιοδήποτε μοτίβο πρόσβασης δεδομένων, προσφέροντας<br />

έως και 95% εξοικονόμηση κόστους αποθήκευσης.<br />

Για την διατήρηση του ίδιου σχήματος IP και των ίδιων<br />

ροών δεδομένων, δημιουργήθηκαν VPCs και αξιοποιήθηκε<br />

λύση Transit Gateway. Η επικοινωνία ανάμεσα στα VPCs<br />

των servers καθώς και των private Subnets, γίνεται μέσω<br />

AWS Transit Gateway και σε ότι αφορά στην ασφάλεια, όλη<br />

η κίνηση των δεδομένων, διέρχεται και ελέγχεται από συστήματα<br />

Firewall.<br />

O επικεφαλής της Διεύθυνσης Τεχνολογιών και Συστημάτων<br />

του Ομίλου ΑΒΑΞ, κ. Παναγιώτης Αναγνώστου<br />

δήλωσε σχετικά: «Με στόχο την περαιτέρω θωράκιση<br />

των πληροφοριακών του υποδομών, ο Όμιλος ΑΒΑΞ βρήκε<br />

στο Cloud της AWS το ιδανικό οικοσύστημα για τη φιλοξενία<br />

του Disaster Recovery Site και στην Pylones Hellas τον συνεργάτη<br />

με την απαραίτητη τεχνογνωσία, εξειδίκευση, ευελιξία,<br />

επαγγελματισμό και πελατοκεντρική εξυπηρέτηση για<br />

τη σχεδίαση και τη δημιουργία της λύσης.»<br />

Σχετικά με την συνεργασία για την υλοποίηση του έργου,<br />

ο Διευθυντής Πωλήσεων κ. Γεώργιος Λιναρδάκης<br />

της Pylones Hellas δήλωσε “Είμαστε υπερήφανοι που ολοκληρώσαμε<br />

επιτυχώς το έργο της Ομίλου ΑΒΑΞ, υλοποιώντας<br />

Disaster Recovery λύση στο Cloud της AWS που διασφαλίζει<br />

τη συνέχεια των επιχειρησιακών δραστηριοτήτων<br />

του ομίλου σε περίπτωση αστοχίας ή μη διαθεσιμότητας των<br />

υπηρεσιών του κυρίως μηχανογραφικού κέντρου. ”<br />

Αντίστοιχα, ο Τεχνικός Διευθυντής της Pylones Hellas κ.<br />

Νικόλαος Σίμος ανέφερε: «Το έργο του Ομίλου ΑΒΑΞ αποτέλεσε<br />

μια μεγάλη πρόκληση που μας επέτρεψε όχι μόνο να<br />

αξιοποιήσουμε τις δυνατότητες που παρέχει η AWS σε ότι<br />

αφορά στη δημιουργία Disaster Recovery υποδομής, αλλά<br />

και να υλοποιήσουμε με απόλυτη επιτυχία το έργο σε πρωτόγνωρα<br />

μικρό χρονικό διάστημα»<br />

«Είμαστε περήφανοι που μέσα από την εξειδίκευση της τεχνικής<br />

ομάδας της Pylones, οργανισμοί σαν τον όμιλο ΑΒΑΞ<br />

μπορούν να επωφεληθούν από την ανοικτή τεχνολογία της<br />

AWS και να αποκτήσουν εύκολα, γρήγορα και με χαμηλό κόστος<br />

μία λύση Disaster Recovery στο cloud, εφαρμοσμένη<br />

στις ανάγκες τους και που πληροί τα υψηλότερα standards<br />

ασφάλειας και ανθεκτικότητας», αναφέρει η κα Εριέττα<br />

Τοσίδη, Energy and Industrial Sales Manager, AWS<br />

Greece, Cyprus, Malta.<br />

10 security


T<strong>79</strong>03/04/05.2023<br />

News<br />

Αποκαλυπτική η έρευνα «State of Ransomware 2023» της<br />

SOPHOS<br />

Η Sophos δημοσίευσε την ετήσια έκθεση «State of<br />

Ransomware 2023», η οποία με βάση μία έρευνα στην οποία<br />

συμμετείχαν 3.000 επαγγελματίες από τον κλάδο της πληροφορικής<br />

και της κυβερνοασφαλείας ρίχνει φως στις προκλήσεις<br />

που αντιμετωπίζουν οι επιχειρήσεις εξαιτίας της ανόδου<br />

του ransomware.<br />

Το 66% των οργανισμών που συμμετείχαν στην έρευνα δήλωσε<br />

ότι χτυπήθηκε από ransomware τον τελευταίο χρόνο.<br />

Είναι το ίδιο ποσοστό επιθέσεων με εκείνο που αποκάλυψε η<br />

ίδια μελέτη του 2022, γεγονός που υποδεικνύει ότι το ποσοστό<br />

των οργανισμών που δέχτηκε επίθεση ransomware παρέμεινε<br />

σταθερό παρά την φαινομενική μείωση των επιθέσεων. Ο<br />

εκπαιδευτικός κλάδος ανέφερε το υψηλότερο ποσοστό επιθέσεων<br />

ransomware, με το <strong>79</strong>% των ιδρυμάτων τριτοβάθμιας<br />

εκπαίδευσης που συμμετείχαν στην έρευνα και το 80%<br />

των ιδρυμάτων δευτεροβάθμιας ή κατώτερης εκπαίδευσης<br />

να δηλώνουν ότι έπεσαν θύματα ransomware.Η κρυπτογράφηση<br />

δεδομένων από το ransomware βρέθηκε στο υψηλότερο<br />

επίπεδο των τελευταίων τεσσάρων ετών, με τους αντιπάλους<br />

να καταφέρνουν να κρυπτογραφήσουν δεδομένα στο<br />

76% των επιθέσεων. Επιπλέον, στο 30% των περιπτώσεων<br />

όπου τα δεδομένα κρυπτογραφήθηκαν αναφέρθηκε παράλληλα<br />

και η κλοπή τους, γεγονός που υποδηλώνει ότι αυτή η<br />

μέθοδος «double dip» (κρυπτογράφηση δεδομένων και εξαγωγή<br />

δεδομένων) γίνεται πλέον συνήθεια.Η πιο κοινή βασική<br />

αιτία επίθεσης που αναφέρθηκε ήταν μια ευπάθεια που έγινε<br />

αντικείμενο εκμετάλλευσης (και η οποία εμπλέκεται στο 36%<br />

των περιπτώσεων), ακολουθούμενη από τα παραβιασμένα/<br />

κλεμμένα διαπιστευτήρια (που εμπλέκονται στο 29% των περιπτώσεων).<br />

Τα παραπάνω έρχονται σε συμφωνία με τα πρόσφατα<br />

ευρήματα ανταπόκρισης σε περιστατικά από την έκθεση<br />

Active Adversary Report for Business Leaders<br />

2023 της Sophos.<br />

Η πληρωμή των λύτρων διπλασιάζει το κόστος<br />

ανάκτησης<br />

Συνολικά, το 46% των οργανισμών που συμμετείχαν στην<br />

έρευνα και δήλωσαν ότι είδαν τα δεδομένα τους να κρυπτογραφούνται<br />

αποφάσισαν να πληρώσουν τα λύτρα για να τα<br />

ανακτήσουν. Οι μεγαλύτεροι οργανισμοί ήταν εκείνοι που ήταν<br />

πιθανότερο να πληρώσουν τα λύτρα με περισσότερες από τις<br />

μισές επιχειρήσεις με έσοδα $500 εκατομμυρίων ή περισσότερα<br />

να παραδέχονται ότι πλήρωσαν τα λύτρα.Η έρευνα της<br />

Sophos ωστόσο δείχνει επίσης ότι οι οργανισμοί που πλήρωσαν<br />

τα λύτρα για να αποκρυπτογραφήσουν τα δεδομένα<br />

τους, κατέληξαν να δουν το κόστος ανάκτησης -χωρίς να λαμβάνονται<br />

υπόψη τα λύτρα- να διπλασιάζεται (το κόστος ανάκτησης<br />

ανήλθε στα $750.000 έναντι $375.000 για τους οργανισμούς<br />

που χρησιμοποιούσαν αντίγραφα ασφαλείας για να<br />

ανακτήσουν τα δεδομένα τους).Επιπλέον, η Sophos συνιστά<br />

τις ακόλουθες βέλτιστες πρακτικές για την άμυνα ενάντια στο<br />

ransomware και σε άλλες κυβερνοεπιθέσεις:<br />

1. Ενισχύστε τις ασπίδες άμυνας σας, συμπεριλαμβανομένων:<br />

• Εργαλείων ασφαλείας που αμύνονται ενάντια στα πλέον<br />

κοινότυπα διανύσματα επίθεσης, συμπεριλαμβανομένης<br />

της προστασίας τερματικών (endpoint protection)<br />

με ισχυρές anti-exploit δυνατότητες για την αποφυγή<br />

της εκμετάλλευσης ευπαθειών, και της δικτυακής<br />

πρόσβασης μηδενικής εμπιστοσύνης (ZTNA) για την<br />

αποτροπή της κατάχρησης των παραβιασμένων διαπιστευτηρίων<br />

• Προσαρμοστικές τεχνολογίες που ανταποκρίνονται αυτόματα<br />

στις επιθέσεις, αναστατώνοντας τους αντιπάλους<br />

και αγοράζοντας χρόνο για τους αμυνόμενους<br />

ώστε να ανταποκριθούν στις προκλήσεις<br />

• Ανίχνευση, διερεύνηση και ανταπόκριση σε απειλές<br />

όλο το 24ωρο, αξιοποιώντας το προσωπικό είτε αξιοποιώντας<br />

την υπηρεσία διαχειριζόμενης ανίχνευσης<br />

και ανταπόκρισης κάποιου εξειδικευμένου παρόχου<br />

Managed Detection and Response (MDR)<br />

2. Βελτιστοποιήστε την προετοιμασία σας για την περίπτωση<br />

που δεχτείτε επίθεση, συμπεριλαμβανομένης της δημιουργίας<br />

τακτικών αντιγράφων ασφαλείας, της εξάσκησης στην ανάκτηση<br />

δεδομένων από αντίγραφα ασφαλείας και της διατήρησης<br />

ενός ενημερωμένου σχεδίου ανταπόκρισης σε περιστατικά<br />

3. Διατηρήστε καλή υγιεινή ασφαλείας, συμπεριλαμβανομένης<br />

της έγκαιρης επιδιόρθωσης και της τακτικής αναθεώρησης<br />

των διαμορφώσεων των εργαλείων ασφαλείας<br />

12 security


Integrated security for Integrated Unified <strong>Security</strong> security for for Integrated RECONNECTING RECONNECTED Unified <strong>Security</strong> world for Unified <strong>Security</strong> security<br />

RECONNECTED world World for for aa<br />

RECONNECTING RECONNECTED world World<br />

RECONNECTING World<br />

NETWORK SECUR<strong>IT</strong>Y<br />

MULTI-FACTOR AUTHENTICATION SECURE CLOUD WI-FI ENDPOINT SECUR<strong>IT</strong>Y<br />

NETWORK SECUR<strong>IT</strong>Y<br />

NETWORK SECUR<strong>IT</strong>Y<br />

MULTI-FACTOR AUTHENTICATION SECURE CLOUD WI-FI ENDPOINT SECUR<strong>IT</strong>Y<br />

MULTI-FACTOR AUTHENTICATION SECURE CLOUD WI-FI ENDPOINT SECUR<strong>IT</strong>Y<br />

Unified <strong>Security</strong> Platform TM<br />

Unified <strong>Security</strong> Platform TM<br />

Unified <strong>Security</strong> Platform TM<br />

CLAR<strong>IT</strong>Y AND CONTROL COMPREHENSIVE SECUR<strong>IT</strong>Y SHARED KNOWLEDGE OPERATIONAL ALIGNMENT AUTOMATION<br />

CLAR<strong>IT</strong>Y AND CONTROL COMPREHENSIVE SECUR<strong>IT</strong>Y SHARED KNOWLEDGE OPERATIONAL ALIGNMENT AUTOMATION<br />

CLAR<strong>IT</strong>Y AND CONTROL COMPREHENSIVE SECUR<strong>IT</strong>Y SHARED KNOWLEDGE OPERATIONAL ALIGNMENT AUTOMATION<br />

Smart <strong>Security</strong>, Simply Done.<br />

Smart <strong>Security</strong>, Simply Done.<br />

Smart <strong>Security</strong>, Simply Done.<br />

Distributor<br />

Digital SIMA SA<br />

Distributor<br />

sales@digitalsima.gr<br />

Digital<br />

Distributor<br />

SIMA SA


T<strong>79</strong>03/04/05.2023<br />

Law Tech<br />

Παραβίαση δεδομένων προσωπικού<br />

χαρακτήρα με βάση το GDPR<br />

Ποια είναι τα βήματα για την καλύτερη οργάνωση και προετοιμασία της επιχείρησης πριν μια<br />

παραβίαση λάβει χώρα!<br />

Τι αποτελεί παραβίαση προσωπικών δεδομένων<br />

με βάση τον GDPR<br />

Ένα από τα πλέον κρίσιμα ζητήματα που καλούνται να αντιμετωπίσουν<br />

οι επιχειρήσεις σήμερα, είναι η αντιμετώπιση των<br />

περιστατικών ασφαλείας, ο αριθμός των οποίων είναι λόγω<br />

και της ευρείας χρήσης της τεχνολογίας σε όλα τα επίπεδα<br />

της επιχειρηματικής δραστηριότητας, αρκετά αυξημένος. Ο<br />

Γενικός Κανονισμός Προστασίας Δεδομένων 2016/6<strong>79</strong>, πιο<br />

γνωστός και ως GDPR, ορίζει ως «παραβίαση δεδομένων<br />

προσωπικού χαρακτήρα 1 » την παραβίαση της ασφάλειας<br />

που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή,<br />

άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων<br />

προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν<br />

ή υποβλήθηκαν κατ’<br />

άλλο τρόπο σε επεξεργασία,<br />

περιλαμβάνοντας<br />

στην ουσία ένα μεγάλο<br />

περιστατικών που μπορούν<br />

να χαρακτηριστούν<br />

ως παραβίαση δεδομένων,<br />

υπογραμμίζοντας<br />

μεταξύ άλλων την αναγκαιότητα<br />

για λήψη αυξημένης<br />

επιμέλειας από<br />

πλευράς των επιχειρήσεων.<br />

Από την άλλη πάλι<br />

πλευρά, θα πρέπει να καταστεί<br />

σαφές ότι η παραβίαση<br />

αποτελεί ένα είδος<br />

περιστατικού ασφαλείας<br />

και να αποσαφηνιστεί η<br />

διαφορά μεταξύ περιστατικού<br />

ασφαλείας και<br />

παραβίασης προσωπικών δεδομένων καθιστώντας ξεκάθαρο<br />

ότι ενώ όλες οι παραβιάσεις προσωπικών δεδομένων<br />

αποτελούν περιστατικά ασφαλείας, όλα τα περιστατικά<br />

ασφαλείας δεν συνιστούν απαραιτήτως παραβιάσεις προσωπικών<br />

δεδομένων 2 . Παραδείγματα παραβιάσεων προσωπικών<br />

δεδομένων με βάση τη νομολογία της ελληνικής<br />

αρχής προστασίας δεδομένων προσωπικού χαρακτήρα αποτελούν<br />

μεταξύ άλλων η γνωστοποίηση αναλυτικών κινήσεων<br />

τραπεζικών λογαριασμών σε μη δικαιούχο 3 , η αποστολή<br />

ηχογραφημένων συνομιλιών προσώπου σε άλλο πρόσωπο<br />

διαφορετικό του ηχογραφούμενου 4 , περιστατικά κυβερνοασφάλειας<br />

σχετικά με διάχυση κακόβουλου λογισμικού όπου<br />

εντοπίστηκε διαρροή δεδομένων 5 κλπ.<br />

1 Άρθρο 4 παρ. 12 ΓΚΠΔ<br />

2 Guidelines 9/2022 on personal data breach notification under GDPR Version 2.0 Adopted 28 March 2023, EDPB<br />

3 ΑΠΔΠΧ 4/2023<br />

4 ΑΠΔΠΧ 7/2023<br />

5 ΑΠΔΠΧ 43/2021<br />

14 security


Γράφει η Αναστασία Φύλλα<br />

Δικηγόρος, LLM Information Technology<br />

and Communications Law<br />

Συμμόρφωση πριν και μετά την επέλευση της<br />

παραβίασης προσωπικών δεδομένων<br />

Η επέλευση μιας παραβίασης προσωπικών δεδομένων στο<br />

πλαίσιο της λειτουργίας μιας επιχείρησης, ενεργοποιεί μια<br />

σειρά υποχρεώσεων που απαιτείται η τελευταία να εκπληρώσει<br />

για να επιτύχει τη συμμόρφωση της με τον ΓΚΠΔ, με<br />

τις οποίες θα ασχοληθούμε σε άλλο άρθρο μας καθώς στο<br />

παρόν θα αναφερθούμε στις υποχρεώσεις της επιχείρησης<br />

στο στάδιο πριν λάβει χώρα μια ενδεχόμενη παραβίαση. Σημειώνουμε<br />

όμως ότι η συμμόρφωση στο στάδιο πριν, είναι<br />

ανεξάρτητη και πρέπει να συντρέχει και με τη συμμόρφωση<br />

στο στάδιο μετά την παραβίαση και ότι σε κάθε περίπτωση,<br />

οι υποχρεώσεις του υπευθύνου επεξεργασίας για τη συμμόρφωση<br />

με την νομοθεσία για τα προσωπικά δεδομένα δεν<br />

εξαντλούνται με την τήρηση των όσων θα αναφέρουμε ειδικότερα<br />

σε σχέση με την παραβίαση προσωπικών δεδομένων.<br />

Σχεδιασμός και υλοποίηση εσωτερικών<br />

διαδικασιών, λήψη τεχνικών και οργανωτικών<br />

μέτρων, εκπαίδευση προσωπικού<br />

Ξεκινώντας λοιπόν θα πρέπει να αναφέρουμε ότι η επιχείρηση<br />

που ενεργεί ως υπεύθυνος επεξεργασίας, δηλαδή καθορίζει<br />

τους σκοπούς και τον τρόπο της επεξεργασίας, θα πρέπει<br />

να έχει σχεδιάσει και να υλοποιεί εσωτερικές διαδικασίες<br />

μέσω των οποίων να μπορεί να εντοπίσει και να στη συνέχεια<br />

να αντιμετωπίσει μια παραβίαση. Τέτοια παραδείγματα, αποτελούν<br />

η υιοθέτηση τεχνικών μέτρων όπως η ροή δεδομένων<br />

και οι αναλυτές αρχείων καταγραφής, με τα οποία είναι<br />

δυνατόν να καθοριστούν περιστατικά και ειδοποιήσεις μέσω<br />

της συσχέτισης οποιονδήποτε δεδομένων καταγραφής 6 . Όταν<br />

εντοπίζεται μια παραβίαση, είναι σημαντικό να αναφέρεται<br />

στο ανώτερο διοικητικό επίπεδο ώστε να είναι δυνατή η<br />

αντιμετώπισή της και εάν απαιτείται να πραγματοποιείται η<br />

γνωστοποίηση στην εποπτική αρχή (άρθρο 33 ΓΚΠΔ) και η<br />

ανακοίνωση της στο υποκείμενο των δεδομένων (άρθρο 34<br />

ΓΚΠΔ). Αυτά τα μέτρα και οι μηχανισμοί αναφοράς θα πρέπει<br />

να περιγράφονται στα σχέδια αντιμετώπισης περιστατικών<br />

ή/και στις ρυθμίσεις διακυβέρνησης 7 . Ομοίως η επιχείρηση<br />

θα πρέπει να έχει μεριμνήσει ώστε τυχόν εκτελούντες την<br />

επεξεργασία για λογαριασμό της να έχουν την υποχρέωση<br />

την ενημερώσουν σε περίπτωση περιστατικού παραβίασης<br />

μέσω σχετικών συμβατικών ρυθμίσεων. Ορισμένα πρακτικά<br />

βήματα που προτείνονται από τις σχετικές κατευθυντήριες<br />

γραμμές του ΕΣΠΔ περιλαμβάνουν μεταξύ άλλων την<br />

υποβολή στο αρμόδιο πρόσωπο που είναι επιφορτισμένο με<br />

την αντιμετώπιση περιστατικών, την εξακρίβωση της ύπαρξης<br />

παραβίασης και την αξιολόγηση του κινδύνου των πληροφοριών<br />

που σχετίζονται με το περιστατικό, στη συνέχεια<br />

την αξιολόγηση του κινδύνου για το πρόσωπο (πιθανότητα<br />

μηδενικού κινδύνου, κίνδυνος ή υψηλός κίνδυνος) και την<br />

ενημέρωση των αρμοδίων τμημάτων και τη γνωστοποίηση<br />

της παραβίασης στην εποπτική αρχή ή την ανακοίνωση της<br />

παραβίασης στα πρόσωπα που αφορά, εφόσον απαιτούνται.<br />

Παράλληλα, θα πρέπει να υλοποιούνται ενέργειες για τον περιορισμό<br />

της παραβίασης και να τεκμηριώνεται η παραβίαση<br />

όσο εξελίσσεται. Όλα τα ανωτέρω συνήθως εμπεριέχονται<br />

και τεκμηριώνονται στη σχετική πολιτική που συντάσσει<br />

και υιοθετεί η επιχείρηση στο πλαίσιο της λειτουργίας<br />

της, την οποία θα πρέπει να φροντίζει να γνωστοποιεί στους<br />

εργαζόμενους της, γεγονός που είναι χρήσιμο να αποδεικνύεται<br />

και να την επικαιροποιεί ανά τακτά χρονικά διαστήματα<br />

ώστε να συμβαδίζει με τις ανάγκες της ίδιας και των σκοπών<br />

που η πολιτική εξυπηρετεί.<br />

Παράλληλα, η επιχείρηση θα πρέπει να φροντίζει ώστε να<br />

έχει λάβει όλα τα αναγκαία τεχνικά και οργανωτικά μέτρα,<br />

πριν η παραβίαση συμβεί ώστε να είναι δυνατόν η τελευταία<br />

να εντοπιστεί εγκαίρως, να συλλεχθεί η αναγκαία πληροφορία<br />

και να ληφθούν άμεσα οι αναγκαίες ενέργειες για άμεση<br />

και αποτελεσματική αντιμετώπισή της. Τέλος, η συνεχής<br />

εκπαίδευση και ενημέρωση του προσωπικού είναι ένα<br />

αδιαμφισβήτητα σημαντικό προληπτικό μέτρο, ώστε η επιχείρηση,<br />

ως ένα σύνολο πλέον να είναι καλύτερα προετοιμασμένη<br />

τόσο για να εντοπίζει τυχόν περιστατικά όσο και για<br />

να προχωρεί άμεσα και συντονισμένα στις αναγκαίες και εκ<br />

των προτέρων ορισμένες ενέργειες για την βέλτιστη αντιμετώπιση<br />

τους. Συμπερασματικά λοιπόν, η επιχείρηση θα<br />

πρέπει καταρχήν να εντοπίσει ότι η παραβίαση προσωπικών<br />

δεδομένων, είναι πλέον ένα πιθανό σενάριο που ενδέχεται<br />

να αντιμετωπίσει και να φροντίσει εγκαίρως ώστε να διαμορφώσει<br />

όλες τις αναγκαίες διαδικασίες και πολιτικές,<br />

για τις οποίες θα ενημερώσει στους εργαζόμενους ώστε με<br />

την υιοθέτηση και των κατάλληλων τεχνικών και οργανωτικών<br />

μέτρων εντοπισμού και αποκατάστασης να βρίσκεται σε<br />

υψηλό επίπεδο ετοιμότητας για την άμεση αντιμετώπισή της.<br />

Τα ανωτέρω αποτελούν απόψεις της γράφουσας και δε συνιστούν<br />

εξειδικευμένη νομική συμβουλή.<br />

6 Guidelines 9/2022 on personal data breach notification under GDPR Version 2.0 Adopted 28 March 2023, EDPB<br />

7 Guidelines 9/2022 on personal data breach notification under GDPR Version 2.0 Adopted 28 March 2023, EDPB<br />

8 Guidelines 9/2022 on personal data breach notification under GDPR Version 2.0 Adopted 28 March 2023, EDPB<br />

security<br />

15


T<strong>79</strong>03/04/05.2023<br />

Cover Issue<br />

Ασφάλεια Εφαρμογών &<br />

Κύκλος Ανάπτυξης Λογισμικού<br />

Secure Software Development Lifecycle- SDLC<br />

Εισαγωγή<br />

Ο ψηφιακός μετασχηματισμός που έχει σαρώσει όλους τους<br />

κλάδους της βιομηχανίας σημαίνει ότι κάθε επιχείρηση είναι<br />

πλέον μια επιχείρηση λογισμικού, είτε αναπτύσσεται για<br />

εμπορικούς σκοπούς, είτε για την εκτέλεση των επιχειρησιακών<br />

διεργασιών. Η ανάπτυξη λογισμικού αποτελεί κομβικό<br />

σημείο, και ο κάθε οργανισμός πρέπει να προστατεύει<br />

την αξία του χτίζοντας εμπιστοσύνη στο λογισμικό χωρίς να<br />

θυσιάζει την ταχύτητα και την ευελιξία που θα τον καταστήσει<br />

ανταγωνιστικό στην αγορά. Ωστόσο, πολλοί οργανισμοί<br />

εξακολουθούν να υστερούν όσον αφορά την οικοδόμηση<br />

ασφάλειας στον Κύκλο Ζωής Ανάπτυξης Λογισμικού<br />

τους (SDLC). Πάρα πολλές ομάδες ανάπτυξης εξακολουθούν<br />

να θεωρούν την ασφάλεια ως εμπόδιο - ένα πρόβλημα<br />

που τις αναγκάζει να επεξεργαστούν ξανά τον κώδικα που<br />

πίστευαν ότι είχε τελειώσει και που τις εμποδίζει να δώσουν<br />

στο προϊόν νέες δυνατότητες. Αλλά το μη ασφαλές λογισμικό<br />

θέτει τον οργανισμός σε αυξανόμενο κίνδυνο.<br />

Οι εντυπωσιακές νέες δυνατότητες του λογισμικού δεν πρόκειται<br />

να προστατεύσουν τον<br />

οργανισμό ή τους πελάτες του,<br />

εάν το λογισμικό είναι ανοιχτό<br />

σε εκμετάλλευση από κακόβουλους<br />

χρήστες ή κυβερνοεγκληματίες.<br />

Ο οργανισμός πρέπει<br />

να ενσωματώσει την ασφάλεια<br />

αναπτύσσοντας ασφαλείς διαδικασίες<br />

ανάπτυξης λογισμικού<br />

που επιτρέπουν, αντί να εμποδίζουν,<br />

την δημιουργία προϊόντων<br />

υψηλής ποιότητας, και υψηλής<br />

ασφάλειας.<br />

Κύκλος Ασφαλούς<br />

Ανάπτυξης Λογισμικού<br />

σημαίνει εξασφάλιση του<br />

οργανισμού<br />

Οι συνεχείς αναφορές για παραβιάσεις<br />

δεδομένων και επιθέσεις στην εφοδιαστική αλυσίδα<br />

καταδεικνύουν ότι το μη ασφαλές λογισμικό μπορεί να<br />

έχει καταστροφικό αντίκτυπο στους οργανισμούς. Όταν οι<br />

κίνδυνοι που προέρχονται από μη ασφαλές λογισμικό ισοδυναμούν<br />

με επιχειρηματικό κίνδυνο, πρέπει να δοθεί προτεραιότητα<br />

και να υπάρξει προληπτική διαχείριση. Για τη διαχείριση<br />

του κίνδυνου και την εξάλειψη των αποτρεπτικών<br />

παραγόντων από τις πρωτοβουλίες ψηφιακού μετασχηματισμού<br />

του οργανισμού, τα προγράμματα ασφάλειας των<br />

εφαρμογών πρέπει να "καταστεί πανταχού παρούσα". Αυτό<br />

σημαίνει ότι η ασφάλεια πρέπει να μετακινηθεί από το<br />

τελευταίο βήμα που απασχολεί τις ομάδες ανάπτυξης σε<br />

μια σειρά από διαδικασίες και εργαλεία που ενσωματώνονται<br />

σε κάθε στάδιο της διαδικασίας ανάπτυξης εφαρμογών.<br />

Και τα προγράμματα ασφαλείας λειτουργούν καλύτερα<br />

όταν οι ομάδες ανάπτυξης αγκαλιάζουν εργαλεία και<br />

λύσεις που συνδέονται απρόσκοπτα σε αλυσίδες εργαλείων<br />

ανάπτυξης και ροές εργασίας. Ο Κύκλος Ασφαλούς Ανάπτυξης<br />

Λογισμικού (Secure Software Development Lifecycle-<br />

16 security


Παναγιώτης Καλαντζής<br />

Cyber <strong>Security</strong> & Data Privacy Expert<br />

SDLC) είναι ένα καθιερωμένο πλαίσιο για την οργάνωση<br />

εργασιών ανάπτυξης εφαρμογών από τον σχεδιασμό έως<br />

την απόσυρση. Με τα χρόνια, έχουν εμφανιστεί πολλαπλά<br />

μοντέλα Ασφαλή Κύκλου Ανάπτυξης Λογισμικού — από το<br />

μοντέλο Καταρράκτη (Waterfall) και Επαναληπτικά Μοντέλα<br />

(Iterative) έως, πιο πρόσφατα, Ευκίνητα (Agile) μοντέλα<br />

ανάπτυξης λογισμικού. Κάθε νέο μοντέλο έχει την τάση να<br />

αυξάνει την ταχύτητα και τη συχνότητα ανάπτυξης.<br />

Ορισμός και έννοιες<br />

Αν θελήσουμε να ορίσουμε τυπικά την έννοια του Κύκλου<br />

Ασφαλούς Ανάπτυξης Λογισμικού (Secure Software<br />

Development Lifecycle- SDLC), θα λέγαμε ότι είναι μια συστηματική<br />

προσέγγιση για την ανάπτυξη λογισμικού<br />

με ιδιαίτερη έμφαση στην ασφάλεια. Περιλαμβάνει διάφορες<br />

φάσεις, διαδικασίες και βέλτιστες πρακτικές για τον<br />

εντοπισμό, τον μετριασμό και τη διαχείριση των κινδύνων<br />

ασφαλείας σε όλη τη διαδικασία ανάπτυξης λογισμικού.<br />

Με την ενσωμάτωση της ασφάλειας σε κάθε στάδιο του<br />

Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού, οι οργανισμοί<br />

μπορούν να δημιουργήσουν πιο ανθεκτικές και αξιόπιστες<br />

εφαρμογές λογισμικού.<br />

Ένας Κύκλος Ασφαλούς Ανάπτυξης Λογισμικού αποτελείτε<br />

από τις παρακάτω τυπικές φάσεις:<br />

1. Συγκέντρωση απαιτήσεων: Σε αυτή τη φάση, οι προγραμματιστές<br />

και οι ενδιαφερόμενοι προσδιορίζουν και<br />

τεκμηριώνουν τις λειτουργικές απαιτήσεις και τις απαιτήσεις<br />

ασφάλειας του λογισμικού. Αυτό περιλαμβάνει την κατανόηση<br />

των προβλεπόμενων χρηστών, των επιθυμητών<br />

δυνατοτήτων και τυχόν απαιτήσεις συμμόρφωσης ή κανονιστικών<br />

ρυθμίσεων.<br />

2. Σχεδιασμός: Κατά τη φάση σχεδιασμού, σχεδιάζεται η<br />

αρχιτεκτονική του λογισμικού και ορίζονται έλεγχοι ασφαλείας.<br />

Διεξάγονται μοντελοποίηση απειλών και εκτιμήσεις<br />

κινδύνου για τον εντοπισμό πιθανών τρωτών σημείων<br />

ασφαλείας και τον καθορισμό των κατάλληλων αντίμετρων.<br />

3. Υλοποίηση: Σε αυτή τη φάση, οι προγραμματιστές γράφουν<br />

κώδικα με βάση τις προδιαγραφές σχεδιασμού. Θα<br />

πρέπει να ακολουθούνται ασφαλείς πρακτικές κωδικοποίησης,<br />

όπως η επικύρωση εισόδου, ο σωστός χειρισμός<br />

σφαλμάτων και η χρήση ασφαλών βιβλιοθηκών και πλαισίων.<br />

Οι αναθεωρήσεις κώδικα και τα εργαλεία στατικής<br />

ανάλυσης μπορούν να βοηθήσουν στον εντοπισμό ελαττωμάτων<br />

ασφαλείας.<br />

4. Δοκιμές: Οι δοκιμές διαδραματίζουν κρίσιμο ρόλο στο<br />

ασφαλές SDLC. Περιλαμβάνει διάφορους τύπους δοκιμών,<br />

όπως δοκιμές μονάδων, δοκιμές ενοποίησης, δοκιμές<br />

συστήματος και δοκιμές ασφαλείας. Οι τεχνικές δοκιμών<br />

ασφαλείας, όπως η δοκιμή διείσδυσης, η σάρωση ευπάθειας<br />

και η ανάλυση κώδικα, βοηθούν στον εντοπισμό και την<br />

αντιμετώπιση αδυναμιών ασφαλείας.<br />

5. Ανάπτυξη: Μόλις το λογισμικό περάσει όλες τις απαραίτητες<br />

δοκιμές, αναπτύσσεται στο περιβάλλον παραγωγής. Οι<br />

πρακτικές ασφαλούς ανάπτυξης περιλαμβάνουν τη σκλήρυνση<br />

της υποδομής, την ασφαλή διαμόρφωση διακομιστών<br />

και δικτύων και τη χρήση ασφαλών μηχανισμών ανάπτυξης.<br />

6. Συντήρηση: Η φάση συντήρησης περιλαμβάνει συνεχή<br />

υποστήριξη, διορθώσεις σφαλμάτων και ενημερώσεις του<br />

λογισμικού. Οι ενημερώσεις κώδικα ασφαλείας και οι ενημερώσεις<br />

πρέπει να εφαρμόζονται εγκαίρως για την αντιμετώπιση<br />

τρωτών σημείων που ανακαλύφθηκαν πρόσφατα.<br />

Επιπλέον, η παρακολούθηση και η καταγραφή θα πρέπει να<br />

εφαρμόζονται για τον εντοπισμό και την αντιμετώπιση περιστατικών<br />

ασφαλείας.<br />

Ιστορικά, στις κλασικές μεθοδολογίες Κύκλου Ασφαλούς<br />

Ανάπτυξης Λογισμικού, οι οργανισμοί περίμεναν μέχρι το<br />

στάδιο της διαδικασίας, στο στάδιο των δοκιμών, για να<br />

εκτελέσουν δραστηριότητες που σχετίζονται με την ασφάλεια.<br />

Ακόμα χειρότερα, σε πολλές περιπτώσεις, ο μη ασφαλής<br />

κώδικας λογισμικού βγαίνει στην παραγωγή λόγω<br />

χρονικών περιορισμών. Αυτός είναι ο κύριος λόγος για<br />

τον οποίο οι ομάδες ασφάλειας, καθώς και οι ομάδες ανάπτυξης<br />

λογισμικού, καθιέρωσαν διαδικασίες «μετατόπισης<br />

αριστερά» των σχετικών ελέγχων, για να φέρουν τις δραστηριότητες<br />

ασφάλειας σε ευθυγράμμιση με τις διαδικασίες<br />

ανάπτυξης λογισμικού. Καθώς οι μεθοδολογίες Κύκλου<br />

Ασφαλούς Ανάπτυξης Λογισμικού έχουν εξελιχθεί ακόμη<br />

περισσότερο, αυτή η διαδικασία έχει επεκταθεί στην ιδέα<br />

της «μετατόπισης παντού», η οποία ενσωματώνει τις ανησυχίες<br />

αλλά και τους ελέγχους για την ασφάλεια σε όλα τα<br />

στάδια ανάπτυξης λογισμικού.<br />

security<br />

17


T<strong>79</strong>03/04/05.2023<br />

Cover Issue<br />

Εργαλεία υποστήριξης<br />

Κάθε φάση από τις παραπάνω του Κύκλου Ασφαλούς Ανάπτυξης<br />

Λογισμικού, είναι απαραίτητο να υποστηριχθεί από<br />

αντίστοιχα εργαλεία, ώστε να επιτευχθεί η βελτίωση και η<br />

μεγιστοποίηση της αξίας της υλοποίησης μιας μεθοδολογίας<br />

Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού. Υπάρχουν πολλά<br />

διαθέσιμα εργαλεία που μπορούν να χρησιμοποιηθούν για<br />

τον σκοπό αυτό, τα οποία καλύπτουν διάφορες πτυχές της διαδικασίας<br />

ανάπτυξης, συμπεριλαμβανομένης της ανάλυσης<br />

ασφαλείας, των δοκιμών, της αναθεώρησης κώδικα και της<br />

συνεργασίας. Ενδεικτικά τέτοιες κατηγορίες εργαλείων που<br />

χρησιμοποιούνται συνήθως σε ανά φάση του Κύκλου Ασφαλούς<br />

Ανάπτυξης Λογισμικού, περιγράφονται στην συνέχεια:<br />

• Φάση συγκέντρωσης απαιτήσεων<br />

o Εργαλεία τεκμηρίωσης και συνεργασίας δίνουν<br />

τη δυνατότητα ευκολότερης τεκμηρίωσης και διαχείρισης<br />

απαιτήσεων, ιστοριών χρηστών (user<br />

stories) και σχεδιασμού/διαχείρισης έργου<br />

• Φάση σχεδιασμού<br />

o Εργαλεία μοντελοποίησης απειλών: Εργαλεία<br />

όπως το OWASP Threat Dragon βοηθούν στον<br />

εντοπισμό και την ανάλυση πιθανών απειλών<br />

ασφαλείας κατά τη φάση του σχεδιασμού<br />

• Φάση υλοποίησης:<br />

o Ενσωματωμένα περιβάλλοντα ανάπτυξης (IDE)<br />

προσφέρουν δυνατότητες και πρόσθετα για<br />

ασφαλείς πρακτικές κωδικοποίησης, όπως επικύρωση<br />

κώδικα, εντοπισμός σφαλμάτων και<br />

ανακατασκευή κώδικα<br />

o Ανάλυση στατικού κώδικα: Εργαλεία Στατικής Δοκιμής<br />

Ασφάλειας Εφαρμογών (Static Application<br />

<strong>Security</strong> Testing – (DAST), τα οποία αναλύουν τον<br />

πηγαίο κώδικα για τρωτά σημεία ασφαλείας, πρότυπα<br />

κωδικοποίησης και βέλτιστες πρακτικές<br />

o Συνεργατική ανασκόπηση κώδικα, μέσω πλατφόρμων<br />

συνεργασίας που ενεργοποιούν τις<br />

αξιολογήσεις κώδικα από ομοτίμους προγραμματιστές<br />

(peer developers) και παρέχουν δυνατότητες<br />

για τη συζήτηση και την αντιμετώπιση<br />

ζητημάτων που σχετίζονται με την ασφάλεια<br />

• Φάση δοκιμών/ελέγχων<br />

o Εργαλεία Δυναμικής Δοκιμής Ασφάλειας Εφαρμογών<br />

(Dynamic Application <strong>Security</strong> Testing<br />

– DAST, τα οποία εκτελούν σάρωση ασφαλείας<br />

προσομοιώνοντας επιθέσεις πραγματικού κόσμου<br />

και εντοπίζοντας τρωτά σημεία σε εφαρμογές<br />

που εκτελούνται<br />

o Εργαλεία δοκιμής διείσδυσης, τα οποία βοηθούν<br />

στη διεξαγωγή μη αυτόματων ή αυτοματοποιημένων<br />

δοκιμών διείσδυσης για τον εντοπισμό<br />

αδυναμιών και ελαττωμάτων ασφαλείας<br />

o Σαρωτές ευπάθειας, τα οποία σαρώνουν δίκτυα<br />

ή εφαρμογές για να ανακαλύψουν τρωτά σημεία<br />

και να παρέχουν λεπτομερείς αναφορές.<br />

• Φάση Ανάπτυξης<br />

o Εργαλεία διαμόρφωσης υποδομής τα οποία βοηθούν<br />

στην αυτοματοποίηση της ανάπτυξης και<br />

της διαμόρφωσης των στοιχείων της υποδομής,<br />

διασφαλίζοντας ασφαλείς και συνεπείς ρυθμίσεις.<br />

o Εργαλεία ασφάλειας κοντέινερ, τα οποία δίνουν την<br />

δυνατότητα σάρωσης ευπάθειας και αξιολόγηση<br />

διαμόρφωσης για περιβάλλοντα με κοντέινερ.<br />

o Εργαλεία Ασφαλείας Πληροφοριών και Διαχείρισης<br />

Συμβάντων (<strong>Security</strong> Incident and Event<br />

Management - SIEM), τα οποία συλλέγουν και<br />

αναλύουν αρχεία καταγραφής και συμβάντα<br />

ασφαλείας, βοηθώντας στην παρακολούθηση<br />

και την απόκριση συμβάντων<br />

• Φάση Συντήρησης<br />

o Εργαλεία διαχείρισης ενημερώσεων κώδικα τα<br />

οποία αυτοματοποιούν την ανάπτυξη ενημερώσεων<br />

κώδικα ασφαλείας και ενημερώσεων για να διασφαλίσουν<br />

ότι το λογισμικό παραμένει ενημερωμένο<br />

καθ’ όλη την διάρκεια του κύκλου ζωής του<br />

o Διαχείριση και ανάλυση αρχείων καταγραφής τα<br />

οποία βοηθούν στη συλλογή, συγκέντρωση και<br />

ανάλυση αρχείων καταγραφής για παρακολούθηση<br />

ασφάλειας, ανίχνευση περιστατικών και<br />

εγκληματολογική ανάλυση<br />

18 security


security<br />

19


T<strong>79</strong>03/04/05.2023<br />

Cover Issue<br />

Είναι σημαντικό να σημειωθεί ότι η επιλογή των εργαλείων<br />

εξαρτάται από τις συγκεκριμένες απαιτήσεις, τις τεχνολογίες<br />

που χρησιμοποιούνται και τις προτιμήσεις του οργανισμού.<br />

Η διεξαγωγή ενδελεχούς έρευνας, η αξιολόγηση<br />

των χαρακτηριστικών του εργαλείου και η εξέταση των δυνατοτήτων<br />

ολοκλήρωσης είναι ζωτικής σημασίας κατά την<br />

επιλογή εργαλείων για εφαρμογή SDLC.<br />

Πλεονεκτήματα υλοποίησης μεθοδολογιών<br />

Τα δύο κύρια πλεονεκτήματα της εφαρμογής μιας μεθοδολογίας<br />

Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού είναι η<br />

βελτιωμένη ασφάλεια του παραγόμενου λογισμικού<br />

και ο έλεγχος και η μείωση του σχετικού κόστους.<br />

Αναλυτικότερα, η βελτιωμένη ασφάλεια επιτυγχάνεται με<br />

την ενσωμάτωση πρακτικών ασφαλείας σε κάθε φάση του<br />

Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού, λόγω του ότι<br />

με τον τρόπο αυτό, οι πιθανές ευπάθειες και τα ελαττώματα<br />

ασφαλείας μπορούν να εντοπιστούν και να αντιμετωπιστούν<br />

νωρίς στη διαδικασία ανάπτυξης. Αυτή η προληπτική<br />

προσέγγιση βοηθά στη δημιουργία πιο ασφαλών εφαρμογών<br />

λογισμικού, μειώνοντας τον κίνδυνο παραβιάσεων της<br />

ασφάλειας, διαρροών δεδομένων και άλλων περιστατικών<br />

ασφαλείας. O έλεγχος και η μείωση κόστους επιτυγχάνεται<br />

με τον εντοπισμό και την επίλυση θεμάτων ασφαλείας νωρίς<br />

στον Κύκλο Ασφαλούς Ανάπτυξης Λογισμικού. Όσο αργότερα<br />

εντοπιστεί ένα σφάλμα στον Κύκλο Ασφαλούς Ανάπτυξης<br />

Λογισμικού, τόσο πιο ακριβή γίνεται η διόρθωση του. Όταν<br />

εντοπιστεί ένα σφάλμα αργά στον κύκλο ανάπτυξης, οι προγραμματιστές<br />

πρέπει να εγκαταλείψουν την εργασία που κάνουν<br />

και να επιστρέψουν για να επανεξετάσουν τον κώδικα<br />

που μπορεί να έχουν γράψει πριν από εβδομάδες. Ακόμη<br />

χειρότερα, όταν εντοπιστεί ένα σφάλμα στην παραγωγή, ο<br />

κώδικας επανεξετάζεται μέχρι την αρχή του SDLC. Σε αυτό<br />

το σημείο, το “ντόμινο εφέ” μπορεί να ξεκινήσει και η διόρθωση<br />

σφαλμάτων καταλήγει στην ανατροπή άλλων αλλαγών<br />

κώδικα. Έτσι, όχι μόνο η επιδιόρθωση του σφάλματος<br />

θα κοστίσει περισσότερο αλλά θα μπορούσε να καθυστερήσει<br />

μια διαφορετική αλλαγή κώδικα, γεγονός που προσθέτει<br />

επίσης κόστος. Η καλύτερη, ταχύτερη και φθηνότερη<br />

προσέγγιση είναι η ενσωμάτωση των δοκιμών ασφαλείας<br />

σε κάθε στάδιο του Κύκλο Ασφαλούς Ανάπτυξης<br />

Λογισμικού, ώστε να καταστεί εφικτή η έγκαιρη ανακάλυψη<br />

και μείωση των τρωτών σημείων και των σφαλμάτων κατά<br />

την συγγραφή του λογισμικού, καθιστώντας την αντιμετώπισή<br />

τους αποδοτικότερη και βοηθώντας στην αποφυγή<br />

δαπανηρών επιδιορθώσεων, πιθανών νομικών ευθυνών,<br />

ζημιών στη φήμη και της ανάγκης για μέτρα αντιμετώπισης<br />

έκτακτης ανάγκης. Οι δοκιμές ασφάλειας περιλαμβάνουν<br />

ενδεικτικά την ανάλυση αρχιτεκτονικής κατά τη διάρκεια του<br />

σχεδιασμού, την ανασκόπιση κώδικα κατά την κωδικοποίηση<br />

και την υλοποίηση, αλλά και τη δοκιμή διείσδυσης πριν<br />

από την θέση του κώδικα στην παραγωγή.<br />

Η εφαρμογή μιας μεθοδολογίας Κύκλου Ασφαλούς Ανάπτυξης<br />

Λογισμικού έχει επίσης, θετικό αντίκτυπο στην<br />

Συμμόρφωση και Διαχείριση Κινδύνων. Η τήρηση ενός<br />

πλαισίου Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού βοηθά<br />

στην εκπλήρωση κανονιστικών απαιτήσεων και απαιτήσεων<br />

συμμόρφωσης. Διασφαλίζει ότι εφαρμόζονται οι απαραίτητοι<br />

έλεγχοι και πρακτικές ασφαλείας για τον μετριασμό<br />

των κινδύνων, την προστασία ευαίσθητων δεδομένων και<br />

τη διατήρηση της εμπιστευτικότητας, της ακεραιότητας και<br />

της διαθεσιμότητας των πληροφοριών.<br />

Επιπρόσθετα, η εφαρμογή μιας μεθοδολογίας Κύκλου<br />

Ασφαλούς Ανάπτυξης Λογισμικού έχει ως αποτέλεσμα τη<br />

βελτιωμένη ποιότητα του παραγόμενου λογισμικού. Ένα<br />

ολοκληρωμένο πλαίσιο Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού<br />

δεν περιλαμβάνει μόνο ζητήματα ασφάλειας, αλλά<br />

και διαδικασίες διασφάλισης ποιότητας. Με την ενσωμάτωση<br />

δοκιμών, αναθεωρήσεων κώδικα και άλλων πρακτικών<br />

διασφάλισης ποιότητας, η συνολική ποιότητα και αξιοπιστία<br />

του λογισμικού μπορεί να βελτιωθεί. Αυτό οδηγεί σε καλύτερη<br />

εμπειρία χρήστη και μειώνει την πιθανότητα αστοχιών<br />

ή ελαττωμάτων λογισμικού. Ακόμα, η εφαρμογή μιας μεθοδολογίας<br />

Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού έχει ως<br />

αποτέλεσμα την βελτιωμένη συνεργασία και επικοινωνία<br />

μεταξύ των ομάδων προγραμματιστών, αλλά και<br />

των ειδικών ασφάλειας. Οι σχετικές μεθοδολογίες, προωθούν<br />

τη συνεργασία και την επικοινωνία μεταξύ διαφορετικών<br />

ενδιαφερομένων που εμπλέκονται στη διαδικασία ανάπτυξης<br />

λογισμικού. Οι προγραμματιστές, οι ειδικοί σε θέματα<br />

ασφάλειας, οι ομάδες διασφάλισης ποιότητας και οι διαχειριστές<br />

έργων συνεργάζονται, μοιράζοντας γνώσεις, ιδέες και<br />

20 security


Detect threats, block viruses, control<br />

traffic, and more<br />

A next-generation<br />

firewall to control<br />

network traffic<br />

Web content and<br />

application filtering<br />

Intrusion prevention<br />

that detects and<br />

blocks threats<br />

Virtual private network<br />

(VPN)<br />

21<br />

security<br />

21


T<strong>79</strong>03/04/05.2023<br />

Cover Issue<br />

ευθύνες. Αυτή η συλλογική προσέγγιση βοηθά στον εντοπισμό<br />

κινδύνων για την ασφάλεια, στην αντιμετώπιση ανησυχιών<br />

και στη λήψη τεκμηριωμένων αποφάσεων καθ' όλη τη<br />

διάρκεια του κύκλου ζωής της ανάπτυξης. Τέλος, εφαρμογή<br />

μιας μεθοδολογίας Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού<br />

έχει ως αποτέλεσμα την αυξημένη εμπιστοσύνη στο<br />

παραγόμενο λογισμικό αλλά και την εμπιστοσύνη των πελατών<br />

του οργανισμού. Η δημιουργία ασφαλούς λογισμικού<br />

αποδεικνύει τη δέσμευση για την προστασία των δεδομένων<br />

των χρηστών και τη διατήρηση του απορρήτου. Η υλοποίηση<br />

ενός Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού ενισχύει<br />

την εμπιστοσύνη μεταξύ των πελατών, των χρηστών και των<br />

ενδιαφερόμενων μερών, ενισχύοντας τη φήμη του οργανισμού<br />

και των προϊόντων του. Αυτό μπορεί να οδηγήσει σε<br />

αυξημένη ικανοποίηση των πελατών, αφοσίωση και ανταγωνιστικό<br />

πλεονέκτημα στην αγορά.<br />

Προκλήσεις υλοποίησης μεθοδολογιών<br />

Ενώ η εφαρμογή ενός Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού<br />

προσφέρει πολλά πλεονεκτήματα, συνοδεύεται επίσης<br />

από το δικό του σύνολο προκλήσεων. Μερικές κοινές<br />

προκλήσεις που σχετίζονται με την υλοποίηση των σχετικών<br />

μεθοδολογιών, και οι οποίες αν δεν αντιμετωπιστούν<br />

εποικοδομητικά, μπορεί να έχουν καταστροφικά αποτελέσματα,<br />

είναι:<br />

1. Περιορισμοί χρόνου και πόρων: Η ενσωμάτωση πρακτικών<br />

ασφαλείας σε όλο τον Κύκλο Ανάπτυξης Λογισμικού<br />

απαιτεί επιπλέον χρόνο, προσπάθεια και πόρους. Οι<br />

οργανισμοί ενδέχεται να αντιμετωπίσουν προκλήσεις όσον<br />

αφορά την κατανομή επαρκών πόρων, συμπεριλαμβανομένων<br />

των ειδικευμένων επαγγελματιών ασφάλειας, των<br />

εργαλείων και των τεχνολογιών, που μπορεί να οδηγήσουν<br />

σε καθυστερήσεις ή συμβιβασμούς στα μέτρα ασφαλείας.<br />

2. Πολυπλοκότητα και καμπύλη μάθησης: Η εφαρμογή<br />

ενός Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού απαιτεί<br />

εξειδίκευση στις βέλτιστες πρακτικές ασφάλειας, τη μοντελοποίηση<br />

απειλών, την ασφαλή κωδικοποίηση και τις τεχνικές<br />

δοκιμών ασφαλείας. Οι οργανισμοί ενδέχεται να αντιμετωπίσουν<br />

προκλήσεις στην απόκτηση των απαραίτητων<br />

δεξιοτήτων και γνώσεων, ειδικά κατά τη μετάβαση από τις<br />

παραδοσιακές πρακτικές ανάπτυξης σε μια προσέγγιση που<br />

επικεντρώνεται περισσότερο στην ασφάλεια.<br />

3. Εξισορρόπηση απαιτήσεων ασφάλειας και επιχειρησιακών<br />

απαιτήσεων: Μπορεί να υπάρχει αντίρροπη<br />

τάση μεταξύ της εφαρμογής ισχυρών μέτρων ασφαλείας<br />

και της ικανοποίησης των επιχειρησιακών απαιτήσεων,<br />

όπως η ευκολία χρήσης, ο χρόνος υλοποίησης και εμπορίας<br />

στην αγορά. Η επίτευξη της σωστής ισορροπίας μεταξύ<br />

ασφάλειας και χρηστικότητας μπορεί να είναι μια πρόκληση,<br />

καθώς τα αυστηρά μέτρα ασφαλείας μπορεί να επηρεάσουν<br />

την εμπειρία χρήστη ή τα χρονοδιαγράμματα ανάπτυξης.<br />

4. Αλλαγή του τοπίου απειλών: Το τοπίο απειλών εξελίσσεται<br />

συνεχώς, με νέα τρωτά σημεία και φορείς επιθέσεων<br />

να εμφανίζονται τακτικά. Μπορεί να είναι δύσκολο να<br />

παραμένετε ενημερωμένοι με τις πιο πρόσφατες απειλές<br />

ασφαλείας, τα τρωτά σημεία και τις τεχνικές μετριασμού.<br />

Οι οργανισμοί πρέπει να παρακολουθούν συνεχώς και να<br />

προσαρμόζουν τις πρακτικές τους Κύκλου Ασφαλούς Ανάπτυξης<br />

Λογισμικού για την αντιμετώπιση αναδυόμενων κινδύνων<br />

ασφάλειας.<br />

5. Αντίσταση στην Αλλαγή: Η εισαγωγή ενός Κύκλου<br />

Ασφαλούς Ανάπτυξης Λογισμικού ενδέχεται να απαιτεί<br />

πολιτισμικές και οργανωτικές αλλαγές, οι οποίες μπορεί<br />

να αντιμετωπίσουν αντίσταση από ομάδες ανάπτυξης ή άλλους<br />

ενδιαφερόμενους φορείς που είναι συνηθισμένοι στις<br />

παραδοσιακές πρακτικές ανάπτυξης. Το να πείσετε τους ενδιαφερόμενους<br />

για τη σημασία της ασφάλειας και να κερδίσετε<br />

την απόκτησή τους μπορεί να είναι μια πρόκληση.<br />

6. Ενοποίηση με υπάρχουσες διαδικασίες: Οι οργανισμοί<br />

μπορεί να έχουν ήδη θεσπίσει διαδικασίες και εργαλεία<br />

ανάπτυξης. Η απρόσκοπτη ενσωμάτωση πρακτικών<br />

ασφαλείας σε αυτές τις υπάρχουσες διαδικασίες και η διασφάλιση<br />

της συμβατότητας με μεθοδολογίες ανάπτυξης<br />

(π.χ. Agile, DevOps) μπορεί να είναι μια πολύπλοκη εργασία.<br />

7. Συμμόρφωση και κανονιστικές απαιτήσεις: Διαφορετικοί<br />

κλάδοι και δικαιοδοσίες έχουν συγκεκριμένες<br />

απαιτήσεις συμμόρφωσης και ρυθμιστικές απαιτήσεις που<br />

σχετίζονται με την ασφάλεια και το απόρρητο. Η διασφάλιση<br />

ότι ο Κύκλος Ασφαλούς Ανάπτυξης Λογισμικού ευθυγραμμίζεται<br />

με αυτές τις απαιτήσεις μπορεί να είναι δύσκολο,<br />

22 security


καθώς μπορεί να περιλαμβάνει πλοήγηση σε πολύπλοκα<br />

νομικά και ρυθμιστικά πλαίσια.<br />

8. Θέματα κόστους: Η εφαρμογή ενός Κύκλου Ασφαλούς<br />

Ανάπτυξης Λογισμικού ενδέχεται να απαιτεί επενδύσεις σε<br />

εργαλεία ασφαλείας, εκπαίδευση και πόρους. Οι οργανισμοί<br />

ενδέχεται να αντιμετωπίσουν προκλήσεις όσον αφορά την αιτιολόγηση<br />

αυτών των δαπανών και την απόκτηση των απαραίτητων<br />

κονδυλίων του προϋπολογισμού, ειδικά όταν τα μέτρα<br />

ασφαλείας δεν έχουν άμεσες απτές αποδόσεις της επένδυσης.<br />

Η αντιμετώπιση των παραπάνω προκλήσεων, για την εξασφάλιση<br />

του μέγιστου των πλεονεκτημάτων, όπως αναλύθηκαν<br />

παραπάνω απαιτεί οργανωτική δέσμευση, σωστό<br />

προγραμματισμό, κατάρτιση και εκπαίδευση, κατανομή<br />

κατάλληλων πόρων και προθυμία προσαρμογής και βελτίωσης<br />

των πρακτικών ασφάλειας με την πάροδο του χρόνου.<br />

Η υπέρβαση αυτών των προκλήσεων οδηγεί τελικά<br />

σε ισχυρότερες πρακτικές ασφάλειας και πιο ανθεκτικές<br />

εφαρμογές λογισμικού.<br />

Βήματα υλοποίησης<br />

Η εφαρμογή ενός Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού<br />

σε έναν οργανισμό περιλαμβάνει πολλά βήματα. Αν και<br />

η συγκεκριμένη υλοποίηση μπορεί να διαφέρει ανάλογα με<br />

τις επιχειρησιακές απαιτήσεις και τις μεθοδολογίες ανάπτυξης<br />

του οργανισμού, οι παρακάτω βασικές αρχές και βήματα<br />

υλοποίησης είναι αναγκαίο να ληφθούν υπόψη:<br />

• η αξιολόγηση της υπάρχουσας διαδικασία ανάπτυξης<br />

λογισμικού και ο εντοπισμός τυχόν κενών ή<br />

αδυναμιών ασφαλείας πρέπει να είναι το πρώτο βήμα,<br />

και να περιλαμβάνει τις τρέχουσες μεθοδολογίες, τα<br />

εργαλεία και τις πρακτικές ανάπτυξης, για την εις βάθος<br />

κατανόηση των τομέων που χρήζουν βελτίωσης<br />

• η καθιέρωση σαφών πολιτικών και πρότυπων<br />

ασφαλείας που περιγράφουν τους επιθυμητούς στόχους<br />

ασφαλείας, τις προσδοκίες αλλά και τις κατευθυντήριες<br />

γραμμές για τον Κύκλο Ασφαλούς Ανάπτυξης Λογισμικού,<br />

οι οποίες θα πρέπει να καλύπτουν τομείς όπως<br />

ασφαλείς πρακτικές κωδικοποίησης, διαχείριση ευπάθειας,<br />

ασφαλή ανάπτυξη και απαιτήσεις συμμόρφωσης<br />

• η παροχή προγραμμάτων εκπαίδευσης και ευαισθητοποίησης<br />

για προγραμματιστές, ειδικών ποιότητας<br />

λογισμικού και ειδικών ασφάλειας, και άλλους ενδιαφερόμενους<br />

φορείς που εμπλέκονται στον Κύκλο Ασφαλούς<br />

Ανάπτυξης Λογισμικού SDLC, τα οποία θα πρέπει<br />

κατ’ ελάχιστο να περιλαμβάνουν ασφαλείς πρακτικές<br />

κωδικοποίησης, κοινά τρωτά σημεία και τη σημασία της<br />

ασφάλειας σε όλη τη διαδικασία ανάπτυξης ώστε να δη-<br />

μιουργηθεί μιας κουλτούρα συνειδητής ασφάλειας στον<br />

οργανισμό<br />

• ενσωμάτωση πρακτικών ασφαλείας από την αρχή<br />

του Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού, με την<br />

συμμετοχή ειδικών σε θέματα ασφάλειας στις φάσεις<br />

συλλογής απαιτήσεων και σχεδιασμού για τον εντοπισμό<br />

πιθανών απειλών και κινδύνων, αλλά και την διεξαγωγή<br />

ασκήσεων μοντελοποίησης απειλών για την ανάλυση<br />

της αρχιτεκτονικής του λογισμικού και τον εντοπισμό<br />

των ελέγχων ασφαλείας<br />

• προώθηση ασφαλών πρακτικές κωδικοποίησης<br />

μεταξύ των προγραμματιστών, με έμφαση σε έννοιες<br />

όπως η επικύρωση εισόδου, ο ασφαλής χειρισμός<br />

ευαίσθητων δεδομένων, η προστασία από κοινά τρωτά<br />

σημεία (π.χ. έγχυση SQL, δέσμη ενεργειών μεταξύ<br />

τοποθεσιών) και ο σωστός χειρισμός σφαλμάτων αλλά<br />

και την ενθάρρυνση της χρήσης οδηγιών και πλαισίων<br />

ασφαλούς κωδικοποίησης<br />

• υλοποίηση δοκιμών ασφαλείας σε όλο το εύρος του<br />

Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού SDLC, περιλαμβάνοντας<br />

ανάλυση στατικού κώδικα, δυναμική δοκιμή<br />

ασφάλειας εφαρμογών (DAST), δοκιμή διείσδυσης,<br />

σάρωση ευπάθειας και αναθεωρήσεις κωδικών ασφαλείας,<br />

αλλά και την τακτική αξιολόγηση της εφαρμογής<br />

των δοκιμών για τρωτά σημεία ασφαλείας και την έγκαιρη<br />

αντιμετώπιση τυχόν εντοπισμένων ζητημάτων<br />

• εφαρμογή μηχανισμών Ασφαλούς Αγωγού Συνεχούς<br />

Ενοποίησης και Ανάπτυξης (Continuous Integration/<br />

Continuous Delivery - CI/CD), με αυτοματοποίηση των<br />

ελέγχων ασφαλείας και ενσωμάτωση των δοκιμών<br />

ασφαλείας ως μέρος της διαδικασίας CI/CD, και αξιοποίηση<br />

εργαλείων και τεχνολογιών για ασφαλή σάρωση<br />

κώδικα, ανάλυση εξαρτήσεων και διαχείριση ευπάθειας<br />

security<br />

23


T<strong>79</strong>03/04/05.2023<br />

Cover Issue<br />

• αντιμετώπιση περιστατικών ασφαλείας, με καθιέρωση<br />

ενός σαφούς σχεδίου αντιμετώπισης συμβάντων για<br />

τον αποτελεσματικό χειρισμό των συμβάντων ασφαλείας,<br />

το οποίο σχέδιο πρέπει να περιλαμβάνει διαδικασίες<br />

για τον εντοπισμό, την αναφορά και την απόκριση σε<br />

ευπάθειες ή παραβιάσεις ασφαλείας και την εφαρμογή<br />

μηχανισμών καταγραφής και παρακολούθησης<br />

• συμμόρφωση και έλεγχος, με ευθυγράμμιση του<br />

Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού με τις<br />

ισχύουσες απαιτήσεις συμμόρφωσης και τις κανονιστικές<br />

απαιτήσεις, αλλά και την διεξαγωγή τακτικών<br />

περιοδικών ελέγχων για την αξιολόγηση της αποτελεσματικότητας<br />

των μέτρων ασφαλείας και τον εντοπισμό<br />

περιοχών προς βελτίωση και της διατήρησης<br />

της απαραίτητης τεκμηρίωσης και των αποδεικτικών<br />

στοιχείων των προσπαθειών συμμόρφωσης<br />

• συνεχής βελτίωση μέσω της εφαρμογής μηχανισμών<br />

για συνεχή βελτίωση του Κύκλου Ασφαλούς<br />

Ανάπτυξης Λογισμικού, με συλλογή μετρήσεων, ανάλυση<br />

περιστατικών ασφάλειας και συλλογή σχόλιων<br />

από τους ενδιαφερόμενους για τον εντοπισμό τομέων<br />

προς βελτίωση. Σε αυτό το πλαίσιο εντάσσεται και η<br />

επανεξέταση και τακτική ενημέρωση των πολιτικών,<br />

των προτύπων και των διαδικασιών ασφαλείας με<br />

βάση τα διδάγματα και τις αναδυόμενες απειλές<br />

Είναι κρίσιμο να μην ξεχνάει κανείς, ότι η εφαρμογή ενός<br />

ασφαλούς Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού είναι μια<br />

συνεχής διαδικασία. Απαιτεί δέσμευση για συνεχή βελτίωση,<br />

παραμονή ενημερωμένος με τις εξελισσόμενες πρακτικές<br />

ασφάλειας και προσαρμογή στις αλλαγές στο τοπίο απειλών.<br />

Το μέλλον και οι τάσεις<br />

Το μέλλον των αρχών και των μεθοδολογιών του Κύκλου<br />

Ασφαλούς Ανάπτυξης Λογισμικού είναι πιθανό να επηρεαστεί<br />

από διάφορους παράγοντες και αναδυόμενες τάσεις<br />

στον τομέα της ανάπτυξης λογισμικού και της ασφάλειας<br />

πληροφοριών, ορισμένες πιθανές πτυχές των οποίων αναλύονται<br />

στην συνέχεια.<br />

• Ενσωμάτωση αρχών DevSecOps: η ενσωμάτωση<br />

πρακτικών ασφαλείας στη μεθοδολογία DevOps,<br />

κερδίζει δυναμική. Το μέλλον του Κύκλου Ασφαλούς<br />

Ανάπτυξης Λογισμικού πιθανότατα θα επηρεαστεί<br />

από μια πιο απρόσκοπτη ενοποίηση της ασφάλειας σε<br />

όλη τη διαδικασία ανάπτυξης και λειτουργίας, με την<br />

ασφάλεια να γίνεται αναπόσπαστο μέρος της κουλτούρας<br />

και της αλυσίδας εργαλείων DevOps.<br />

• “Μετατόπιση της ασφάλεια αριστερά” (shift-seft):<br />

Θα υπάρχει συνεχής έμφαση στην "μετατόπιση προς τα<br />

αριστερά" της ασφάλειας, που σημαίνει ότι οι εκτιμήσεις<br />

και οι πρακτικές ασφαλείας θα εισαχθούν νωρίτερα στον<br />

Κύκλο Ασφαλούς Ανάπτυξης Λογισμικού. Αυτό περιλαμβάνει<br />

την περαιτέρω ενσωμάτωση της ασφάλειας<br />

στις φάσεις συλλογής απαιτήσεων, σχεδιασμού και κωδικοποίησης,<br />

επιτρέποντας τον έγκαιρο εντοπισμό και<br />

τον μετριασμό των τρωτών σημείων ασφαλείας.<br />

• Περαιτέρω αυτοματισμός και εισαγωγή νέων εργαλείων:<br />

Ο αυτοματισμός θα διαδραματίσει κρίσιμο<br />

ρόλο στο μέλλον του Κύκλου Ασφαλούς Ανάπτυξης<br />

Λογισμικού. Οι πρόοδοι στις τεχνολογίες αυτοματισμού,<br />

τη μηχανική μάθηση και την τεχνητή νοημοσύνη θα ενισχύσουν<br />

τις δοκιμές ασφαλείας, τη σάρωση ευπάθειας<br />

και την ανάλυση κώδικα. Τα έξυπνα εργαλεία θα βοηθήσουν<br />

στον εντοπισμό και την αποκατάσταση ζητημάτων<br />

ασφάλειας πιο αποτελεσματικά και αποτελεσματικά.<br />

• Συνεχής παρακολούθηση και ανατροφοδότηση:<br />

Το μέλλον του Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού<br />

θα περιλαμβάνει συνεχείς βρόχους παρακολούθησης<br />

και ανάδρασης. Οι οργανισμοί θα εφαρμόζουν<br />

παρακολούθηση σε πραγματικό χρόνο εφαρμογών<br />

λογισμικού, δικτύων και συμπεριφοράς χρηστών για<br />

τον εντοπισμό συμβάντων ασφαλείας και πιθανών<br />

απειλών. Οι μηχανισμοί ανάδρασης θα διευκολύνουν<br />

επαναλαμβανόμενες βελτιώσεις στις πρακτικές ασφάλειας<br />

που βασίζονται σε παρατηρούμενα δεδομένα και<br />

πληροφορίες.<br />

• Ασφαλής ανάπτυξη λογισμικού για αναδυόμενες<br />

τεχνολογίες: Καθώς οι αναδυόμενες τεχνολογίες<br />

όπως το Internet of Things (IoT), το blockchain, η<br />

τεχνητή νοημοσύνη και το cloud computing αποκτούν<br />

εξέχουσα θέση, οι μεθοδολογίες Κύκλου Ασφαλούς<br />

Ανάπτυξης Λογισμικού θα πρέπει να προσαρμοστούν<br />

για να αντιμετωπίσουν τις μοναδικές προκλήσεις<br />

ασφαλείας που σχετίζονται με αυτές τις τεχνολογίες.<br />

• Privacy by Design: Με αυξανόμενες ανησυχίες για το<br />

απόρρητο και αυστηρότερους κανονισμούς προστα-<br />

24 security


σίας δεδομένων, οι μεθοδολογίες Κύκλου Ασφαλούς<br />

Ανάπτυξης Λογισμικού θα ενσωματώσουν εξαρχής<br />

ζητήματα απορρήτου. Οι αρχές του απορρήτου βάσει<br />

σχεδιασμού θα ενσωματωθούν στη διαδικασία ανάπτυξης,<br />

διασφαλίζοντας ότι τα χαρακτηριστικά και οι<br />

διασφαλίσεις απορρήτου ενσωματώνονται σε εφαρμογές<br />

λογισμικού.<br />

• Ενισχυμένη ευφυΐα απειλών: Το μέλλον των μεθοδολογιών<br />

Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού<br />

θα περιλαμβάνει τη μόχλευση βελτιωμένων<br />

δυνατοτήτων πληροφοριών απειλών. Οι οργανισμοί<br />

θα έχουν πρόσβαση σε πιο ολοκληρωμένα δεδομένα<br />

πληροφοριών απειλών, επιτρέποντας τον καλύτερο<br />

εντοπισμό και τον μετριασμό των αναδυόμενων απειλών<br />

και τρωτών σημείων ασφαλείας.<br />

• Συμμόρφωση και κανονιστικά ζητήματα: οι μεθοδολογίες<br />

Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού θα<br />

συνεχίσουν να εξελίσσονται ώστε να ευθυγραμμίζονται<br />

με τις μεταβαλλόμενες απαιτήσεις συμμόρφωσης και<br />

κανονιστικών ρυθμίσεων. Οι οργανισμοί θα πρέπει να διασφαλίσουν<br />

ότι οι διαδικασίες ανάπτυξής τους συμμορφώνονται<br />

με τους ειδικούς κανονισμούς και τα πρότυπα<br />

του κλάδου, όπως το GDPR, το HIPAA ή το PCI DSS.<br />

• Κουλτούρα ασφάλειας και ευαισθητοποίηση: Η<br />

οικοδόμηση μιας ισχυρής κουλτούρας ασφάλειας θα<br />

παραμείνει προτεραιότητα. Οι οργανισμοί θα επικεντρωθούν<br />

στην προώθηση μιας νοοτροπίας συνειδητής<br />

ασφάλειας μεταξύ των προγραμματιστών, των<br />

δοκιμαστών και των ενδιαφερόμενων μερών μέσω<br />

συνεχούς εκπαίδευσης, κατάρτισης και προγραμμάτων<br />

ευαισθητοποίησης.<br />

Επίλογος<br />

Ο Κύκλος Ασφαλούς Ανάπτυξης Λογισμικού προσφέρει<br />

στον οργανισμό πλήθος πλεονεκτημάτων, όπως βελτιωμένη<br />

ασφάλεια, μείωση κόστους, συμμόρφωση και διαχείριση<br />

κινδύνου, βελτιωμένη ποιότητα λογισμικού, αυξημένη εμπιστοσύνη<br />

και εμπιστοσύνη πελατών, βελτιωμένη συνεργασία<br />

και επικοινωνία και επεκτασιμότητα και προσαρμοστικότητα.<br />

Ενσωματώνοντας πρακτικές ασφαλείας σε όλη τη διαδικασία<br />

ανάπτυξης λογισμικού, οι οργανισμοί μπορούν να ελαχιστοποιήσουν<br />

τον κίνδυνο παραβιάσεων της ασφάλειας, να<br />

προστατεύσουν τα δεδομένα των χρηστών, να διασφαλίσουν<br />

τη συμμόρφωση με τους κανονισμούς, να δημιουργήσουν<br />

πιο ανθεκτικές και ασφαλείς εφαρμογές λογισμικού, συμβάλλοντας<br />

στην εμπέδωση εμπιστοσύνης από τους πελάτες,<br />

αλλά και στην συνολική επιτυχία και αξιοπιστία των εφαρ-<br />

μογών λογισμικού. Ωστόσο, η εφαρμογή μιας μεθοδολογίας<br />

Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού εκτός των πλεονεκτημάτων,<br />

συνοδεύεται από προκλήσεις. Αυτές περιλαμβάνουν<br />

περιορισμούς χρόνου και πόρων, πολυπλοκότητα<br />

και καμπύλες εκμάθησης, εξισορρόπηση της ασφάλειας με<br />

τις επιχειρηματικές απαιτήσεις, την αλλαγή τοπίων απειλών,<br />

την αντίσταση στην αλλαγή, την ενοποίηση με τις υπάρχουσες<br />

διαδικασίες, τη συμμόρφωση και τις κανονιστικές απαιτήσεις<br />

και εκτιμήσεις κόστους. Η υπέρβαση αυτών των προκλήσεων<br />

απαιτεί οργανωτική δέσμευση, σωστό προγραμματισμό,<br />

κατάρτιση και εκπαίδευση, καθώς και προθυμία προσαρμογής<br />

και βελτίωσης των πρακτικών ασφάλειας με την πάροδο<br />

του χρόνου. Κοιτάζοντας στο μέλλον, οι μεθοδολογίες<br />

Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού είναι πιθανό<br />

να συνεχίσουν να εξελίσσονται για να αντιμετωπίσουν τις<br />

αναδυόμενες προκλήσεις ασφάλειας και τις τεχνολογικές<br />

εξελίξεις. Καθώς το τοπίο των απειλών εξελίσσεται, οι οργανισμοί<br />

θα πρέπει να παραμένουν ενημερωμένοι με<br />

τις πιο πρόσφατες απειλές ασφαλείας, τα τρωτά σημεία<br />

και τις τεχνικές μετριασμού. Η ενσωμάτωση με αναδυόμενες<br />

μεθοδολογίες και τεχνολογίες ανάπτυξης, όπως τα<br />

DevSecOps και οι εγγενείς αρχιτεκτονικές στο cloud, θα<br />

γίνεται όλο και πιο σημαντική. Επιπλέον, οι εξελίξεις στον<br />

αυτοματισμό, τη μηχανική μάθηση και την τεχνητή νοημοσύνη<br />

μπορεί να διαδραματίσουν ρόλο στην ενίσχυση των<br />

δοκιμών ασφαλείας, της ανίχνευσης ευπάθειας και της<br />

απόκρισης συμβάντων εντός του Κύκλου Ασφαλούς Ανάπτυξης<br />

Λογισμικού.<br />

Συνολικά, οι μεθοδολογίες Κύκλου Ασφαλούς Ανάπτυξης<br />

Λογισμικού παρέχουν ένα δομημένο πλαίσιο για την ανάπτυξη<br />

λογισμικού με γνώμονα την ασφάλεια. Υιοθετώντας μια<br />

ασφαλή προσέγγιση Κύκλου Ασφαλούς Ανάπτυξης Λογισμικού,<br />

οι οργανισμοί μπορούν να ενισχύσουν τις εφαρμογές<br />

λογισμικού τους, να μειώσουν τους κινδύνους ασφαλείας,<br />

να προστατεύσουν τα δεδομένα των χρηστών και να διασφαλίσουν<br />

τη συμμόρφωση με τους κανονισμούς, ενισχύοντας<br />

έτσι τη συνολική αξιοπιστία και αξιοπιστία τους.<br />

security<br />

25


T<strong>79</strong>03/04/05.2023<br />

Issue<br />

History Channel Special: From Zero<br />

(One) to Hero<br />

Βουτώντας απευθείας στα «βαθιά», είναι δυστυχώς αλήθεια ότι δεν έχουμε ”μάθει” ακόμη να<br />

αναπτύσσουμε ΑΣΦΑΛΕΣ λογισμικό, εξού και οι τόσες αδυναμίες ασφαλείας.<br />

κούγεται, συνεπώς, λογικό ότι όσο αυξάνονται<br />

οι επιθέσεις και οι κίνδυνοι, τόσο θα<br />

Α<br />

αυξάνεται και η ανάγκη για εφαρμογή προστατευτικών<br />

μέτρων καθ’ όλη την διάρκεια<br />

του SDLC (Software Development<br />

Lifecycle) aka Design, Development, Testing & Deployment.<br />

Στο παρελθόν, το Cybersecurity δεν είχε σίγουρα προέχουσα<br />

θέση στην όλη διαδικασία. Τα μέτρα ασφαλείας συνήθως<br />

θέτονταν σε ισχύ προς το τέλος της, ως διακριτό στάδιο, με<br />

αποτέλεσμα το οποιοδήποτε θέμα πρόκυπτε να επηρεάζει<br />

όλα τα προηγούμενα στάδια, την οποιαδήποτε απαιτούμενη<br />

αλλαγή να κοστίζει σε disruption, χρόνο και χρήμα. Και<br />

αυτό ήταν το καλό σενάριο…<br />

Το χειρότερο σενάριο ήταν η απουσία του Cybersecurity από<br />

τη διαδικασία. Ως αποτέλεσμα, καταλήγαμε με ένα λογισμικό<br />

το οποίο εξέθετε τους χρήστες, και κατ’ επέκταση τους<br />

δημιουργούς του, σε κίνδυνο.<br />

Εν αρχή ην ο χρόνος…<br />

Τις δεκαετίες του 1950 και 1960, η προτεραιότητα των μηχανικών<br />

λογισμικού ήταν να δημιουργηθεί λογισμικό το οποίο<br />

καλύπτει τις απαιτήσεις των χρηστών του και να είναι<br />

λειτουργικό. Το cybersecurity ήταν ελάσσονος σημασίας,<br />

μιας και οι χρήστες ήταν λιγοστοί, οι υπολογιστές ακόμα λιγότεροι<br />

και το Internet πολύ διαφορετικό από όπως το ξέρουμε<br />

σήμερα.<br />

Την δεκαετία του 1970 και ιδιαίτερα του 1980, υπήρξε σημαντική<br />

αύξηση στον αριθμό των χρηστών και ως φυσικό επόμενο,<br />

εμφανίστηκαν χρήστες με ανήσυχο πνεύμα, οι οποίοι<br />

δοκίμαζαν τα λογισμικά με τρόπο που δεν είχε φανταστεί<br />

ο δημιουργός τους. Αυτό είχε ως απόρροια (και) τα πρώτα<br />

<strong>Security</strong> Incidents.<br />

…και στην συνέχεια ο κόσμος.<br />

Στη δεκαετία του 1990 αρχίζουν να γίνονται φανερά τα πρώτα<br />

δείγματα cybersecurity στην ανάπτυξη λογισμικού. Καταλυτικό<br />

ρόλο φέρεται να έχει η εισαγωγή του Internet στην<br />

ζωή μας και η εκρηκτική αύξηση στον αριθμό των χρηστών.<br />

Γεννιούνται 2 μεθοδολογίες:<br />

• το Trusted Computing Base (TCB), όπου οι μηχανικοί<br />

χώριζαν το λογισμικό σε μέρη που εμπιστεύονταν<br />

(trusted) και σε μέρη που δεν εμπιστεύονταν<br />

(untrusted), κάτι το οποίο οδήγησε σε μείωση των<br />

ευπαθειών.<br />

26 security


Τηλέμαχος Βαλκανιώτης<br />

Cyber Assurance Lead, Cyber Noesis<br />

www.cybernoesis.com<br />

Γεώργιος Νικολάου<br />

Developer & Software <strong>Security</strong> Engineer, Cyber Noesis<br />

www.cybernoesis.com<br />

• το Common Criteria for Information Technology<br />

(CC), βάσει της οποίας η αξιολόγηση της ασφάλειας<br />

μιας εφαρμογής πραγματοποιείται από αναγνωρισμένα<br />

κέντρα, βάσει διεθνώς αναγνωρισμένων και<br />

τυποποιημένων προτύπων, ανάλογα με το σενάριο<br />

χρήσης της εφαρμογής.<br />

…μα ο κόσμος εξελίσσεται.<br />

Η εξέλιξη είναι αναπόφευκτη! Το SDLC δεν θα έπρεπε -<br />

μπορούσε να εξαιρεθεί από αυτό το γεγονός.<br />

Οι ολοένα αυξανόμενες απαιτήσεις και ο όγκος χρηστών,<br />

οδήγησε στο Agile Manifesto, ένα έγγραφο το οποίο ευαγγέλιζε<br />

τη συνεργασία μεταξύ μηχανικών, την ευελιξία και<br />

τους αστραπιαίους χρόνους παράδοσης. Αυτός ο τρόπος ναι<br />

μεν προσφέρει πολλαπλά παραδοτέα, αλλά απαιτεί από το<br />

cybersecurity να προσαρμοστεί και να εμπλακεί σε κάθε<br />

στάδιο του SDLC, αν θέλει να παραμείνει σχετικό (relevant).<br />

Ένας τρόπος να εφαρμόσουμε το cybersecurity στο SDLC<br />

είναι να αξιοποιήσουμε, συλλογικά, εργαλεία όπως τα ακόλουθα:<br />

• Threat Modeling - Διαδικασία που τοποθετείται στην<br />

αρχή του SDLC και πιο συγκεκριμένα στο στάδιο του<br />

Design. Μέσω του Threat Modeling, μπορούμε να<br />

αναδείξουμε ευπάθειες που μπορεί να προκύψουν<br />

από τον σχεδιασμό του λογισμικού, προτού καν αρχίσει<br />

η ανάπτυξη του. Έτσι, τα όποια μέτρα προστασίας<br />

χρειάζονται να δημιουργηθούν, γίνονται γνωστά<br />

εξ αρχής και οι μηχανικοί δεν βρίσκονται προ εκπλήξεως<br />

σε μεταγενέστερα στάδια.<br />

Το Threat Modeling, μοιάζει πολύ με το risk assessment,<br />

καθώς για κάθε πιθανή ευπάθεια, υπολογίζεται η πιθανότητα<br />

και η επίπτωση του κάθε κινδύνου. Αυτή η άσκηση, βοηθά<br />

στο να αποφασιστεί τι τελικά θα αναπτυχθεί και τι όχι.<br />

• Code Analysis - Ελληνιστί η Ανάλυση Κώδικα, κατά<br />

την διάρκεια της οποίας, ο πηγαίος κώδικας του λογισμικού<br />

ελέγχεται για πιθανές ευπάθειες.<br />

Ο έλεγχος του κώδικα από κάποιον μηχανικό, μπορεί να είναι<br />

μια διαδικασία πολύ αποδοτική, ωστόσο μπορεί να είναι<br />

αρκετά χρονοβόρα έως και μη εφικτή αν το λογισμικό αποτελείται<br />

από πολλές γραμμές κώδικα. Τα αυτόματα εργαλεία,<br />

μπορούν να βοηθήσουν σε αυτό και μάλιστα πλέον σε έναν<br />

πολύ ικανοποιητικό βαθμό, χρησιμοποιώντας τεχνικές όπως:<br />

o Static Code Analysis, κατά την οποία ο κώδικας<br />

εξετάζεται ως έχει, χωρίς να εκτελεστεί.<br />

o Dynamic Analysis, κατά την οποία το λογισμικό<br />

εξετάζεται κατά τη λειτουργία του.<br />

o Fuzz Testing, κατά την οποία το λογισμικό λαμβάνει<br />

ένα μεγάλο όγκο τυχαίων δεδομένων ως<br />

είσοδο, με σκοπό να εμφανιστούν τυχόν υποβόσκοντα<br />

σφάλματα.<br />

• <strong>Security</strong> Testing - Γνωστός και ως «ο επί τούτου<br />

έλεγχος ασφαλείας». Τα πατροπαράδοτα penetration<br />

tests, είναι το προπύργιο αυτού του σταδίου ωστόσο<br />

σε έναν κόσμο που τα παραδοτέα μπορούν να είναι<br />

καθημερινά, πόσο βιώσιμα μπορούν να είναι; Η αυτοματοποίηση<br />

μοιάζει και είναι μονόδρομος.<br />

Εν κατακλείδι..<br />

Ο κόσμος προχωρά.<br />

Μαζί έχουν προχωρήσει και τα εργαλεία που έχουμε στα<br />

χέρια μας για να αντιμετωπίσουμε τις προκλήσεις που αναφέρθηκαν<br />

παραπάνω. Η ραγδαία ανάπτυξη όλο και πιο εξελιγμένων<br />

εργαλείων <strong>Security</strong> Testing και Code Analysis και<br />

η παράλληλη εμφάνιση μεθόδων όπως το DevSecOps, το<br />

οποίο αποτελεί μια εξέλιξη του DevOps, επιδιώκουν να λύσουν<br />

τα προβλήματα αυτά. Μέσα από συνεχόμενους, αυτοματοποιημένους<br />

ελέγχους οι οποίοι πραγματοποιούνται<br />

νωρίς στο SDLC, αλλά και μέσα από την κουλτούρα κοινής<br />

ευθύνης σχετικά με την ασφάλεια, το DevSecOps προσφέρει<br />

λύσεις στα προβλήματα του αυξημένου όγκου παραδοτέων<br />

και των αντίστοιχων απαιτήσεων ασφαλείας.<br />

Αν αναλογιστούμε ότι βρισκόμαστε στην αυγή της 4ης βιομηχανικής<br />

επανάστασης, πόσο καιρό διαθέτουμε μέχρι να<br />

αρχίσουν να εμφανίζονται περιστατικά με την συνδρομή<br />

τεχνητής νοημοσύνης (ΑΙ); Ας μην είμαστε καταστροφολόγοι<br />

όμως… το Defense-in-Depth δείχνει να λειτουργεί<br />

και η υιοθέτηση του Secure SDLC είναι ένα σημαντικότατο<br />

σημείο το οποίο δε μπορούμε να αμελούμε άλλο!<br />

security<br />

27


T<strong>79</strong>03/04/05.2023<br />

Issue<br />

Protect your Applications at all<br />

times<br />

Πως μπορεί να επιτευχθεί η μηδενική εμπιστοσύνη και από την πλευρά των εφαρμογών;<br />

αρχιτεκτονική μηδενικής εμπιστοσύνης έχει<br />

Η<br />

μετακινήσει την άμυνα των οργανισμών από<br />

τη στατική περίμετρο στους χρήστες, στις<br />

εφαρμογές και στους πόρους. Ο καθένας<br />

αντιλαμβάνεται διαφορετικά τη μηδενική<br />

εμπιστοσύνη, και συνήθως τη μεταφράζει σε λύση όπως<br />

endpoint security, firewall, προστασία της ταυτότητας των<br />

χρηστών ή τμηματοποίηση του δικτύου. Αυτό οφείλεται κυρίως<br />

στο περιβάλλον που καλείται να προστατέψει αλλά και<br />

τις απαιτήσεις που διαφέρουν από οργανισμό σε οργανισμό.<br />

Όμως η μηδενική εμπιστοσύνη δεν είναι προϊόν, αλλά νοοτροπία,<br />

πορεία προς μια καλύτερη και ισχυρότερη ασφάλεια.<br />

Οι βασικές αρχές είναι κανένα στοιχείο δε θεωρείται<br />

έμπιστο, συνεχώς επαναξιολογείται η εμπιστοσύνη και<br />

επιβάλλονται τα ελάχιστα δυνατά προνόμια.<br />

Τι ισχύει για τις εφαρμογές;<br />

Το προηγούμενο διάστημα η συζήτηση επικεντρώθηκε στον<br />

χρήστη, το τερματικό και τα εργαλεία που βοηθούν στην εφαρμογή<br />

των παραπάνω αρχών. Παράλληλα, δόθηκε βάρος στην<br />

επέκταση των δυνατοτήτων των Network Access Control<br />

λύσεων πέρα από τη χρήση του 802.1x με posturing των συσκευών<br />

και πρόσβαση μόνο στους απαραίτητους πόρους που<br />

χρειάζεται ο χρήστης για να είναι παραγωγικός μέσω της τμη-<br />

ματοποίησης του δικτύου (micro-segmenation). Σύμφωνα με<br />

τον NIST 1 η αρχιτεκτονική μηδενικής εμπιστοσύνης μπορεί να<br />

εφαρμοστεί και από την πλευρά των εφαρμογών. Με τις λύσεις<br />

ασφαλείς που έχουν εγκαταστήσει οι οργανισμοί, οι χρήστες<br />

πρέπει να αποδείξουν ότι είναι έμπιστοι για να πάρουν<br />

πρόσβαση στις υπηρεσίες και τα δεδομένα. Όμως, τι ισχύει<br />

για τις εφαρμογές. Είναι «καθαρές» από κακόβουλα λογισμικά;<br />

Είναι το προπύργιο μιας επίθεσης που βρίσκεται<br />

σε εξέλιξη; Αποτελούν κίνδυνο για τους χρήστες και<br />

την υπόλοιπη υποδομή; Εφαρμόζονται πολιτικές για την<br />

ελάχιστη δυνατή πρόσβαση; Γίνεται αναγνώριση και διαχείριση<br />

των ευπαθειών με αποδοτικό τρόπο; Αυτές είναι<br />

μερικές από τις ερωτήσεις που πρέπει να απαντηθούν και<br />

ανάλογα με την απάντηση να αποφασιστεί αν μια εφαρμογή<br />

μπορεί να θεωρηθεί έμπιστη.<br />

Είναι σχεδόν ανέφικτο το να απαντηθούν τα παραπάνω ερωτήματα<br />

λαμβάνοντας υπόψιν την αυξανόμενη χρήση των<br />

containers και τον ταχύτατο ρυθμό δημιουργίας και «καταστροφής»<br />

των containers. Αυτό επιβεβαιώνεται και από την<br />

έρευνα της Enterprise Strategy Group (ESG) 3 όπου σχεδόν<br />

οι μισές εφαρμογές τρέχουν σε containers ή serverless. Το<br />

90% των οργανισμών ανησυχούν για misconfiguration<br />

στα workloads, στην ασφάλεια του δικτύου και τους<br />

privileged λογαριασμούς, ενώ το 47% των οργανισμών<br />

1 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf<br />

2 https://salesconnect.cisco.com/sc/s/simple-media?vtui__mediaId=a1m8c00000nicMBAAY<br />

28 security


Του Δημήτρη Τσακτσήρα<br />

Cybersecurity Solutions Manager, Space Hellas,<br />

www.space.gr<br />

έχει θέσει ως προτεραιότητα τη συμμόρφωση των εφαρμογών<br />

(workloads) με τις πολιτικές ασφαλείας και το κανονιστικό<br />

πλαίσιο. Στην έρευνα της Cybersecurity Insiders 2 για<br />

το 2022 η ανησυχία των ανθρώπων της κυβερνοασφάλειας<br />

για τις εφαρμογές επικεντρώνεται στις εξής τρεις κατηγορίες<br />

προστασία των δεδομένων (44%), γρήγορη ανταπόκριση στον<br />

αυξανόμενο αριθμό ευπαθειών (42%) και στον έγκαιρο εντοπισμό<br />

απειλών και παραβιάσεων (38%). Το 44% των<br />

οργανισμών επιβεβαίωσαν ότι έχουν δεχθεί<br />

επιτυχημένη επίθεση παραβίασης των<br />

εφαρμογών. Το 31% των επιθέσεων<br />

αφορούσαν malwares, ενώ ακολουθούν<br />

DDoS επιθέσεις (23%)<br />

και εσφαλμένη παραμετροποίηση<br />

των εφαρμογών (21%).<br />

Λύσεις για τη μείωση του<br />

κινδύνου<br />

Με βάση τα προαναφερθέντα πρέπει<br />

να χρησιμοποιηθούν λύσεις, ώστε να<br />

επιτευχθεί η μηδενική εμπιστοσύνη και<br />

από την πλευρά των εφαρμογών. Η περίμετρος<br />

είναι η εφαρμογή, άρα χρειάζεται<br />

η χρήση ενός «νέου τείχους προστασίας» που<br />

περιβάλλει κάθε φορτίο εργασίας (workload) επιτρέποντας<br />

να προστατευτούν αυτά που έχουν μεγαλύτερη<br />

σημασία, οι εφαρμογές και τα δεδομένα, είτε αυτά βρίσκονται<br />

σε on-premises υποδομή, είτε στο νέφος. Τέτοιου τύπου<br />

λύσεις συμβάλουν στη μείωση του κινδύνου, στην ενίσχυση<br />

της ασφάλειας και τη διατήρηση της συμμόρφωσης με:<br />

• Αυτόματη δημιουργία πολιτικών τμηματοποίησης<br />

μέσω ολοκληρωμένης ανάλυσης των επικοινωνιών<br />

και των εξαρτήσεων των εφαρμογών.<br />

• Δυναμικός ορισμός πολιτικών που βασίζονται σε<br />

χαρακτηριστικά με ένα ιεραρχικό μοντέλο πολιτικής<br />

για τον έλεγχο της πρόσβασης.<br />

• Συνεπής επιβολή πολιτικής μέσω κατανεμημένου<br />

ελέγχου των εγγενών host-based τοίχων προστασίας<br />

και της υποδομής, συμπεριλαμβανομένων των<br />

Application Delivery Controllers (ADC).<br />

• Παρακολούθηση συμμόρφωσης σχεδόν σε πραγματικό<br />

χρόνο όλων των επικοινωνιών για εντοπισμό<br />

και ειδοποίηση για παραβίαση πολιτικής ή ενδεχόμενη<br />

απειλή.<br />

• Βασική γραμμή συμπεριφοράς των εφαρμογών και<br />

προληπτικός εντοπισμός μη ομαλής συμπεριφοράς.<br />

• Εντοπισμός ευπαθειών με δυναμικό μετριασμό και<br />

τοποθέτηση σε καραντίνα βάσει των απειλών.<br />

Τα πλεονεκτήματα είναι ότι θα μειωθεί σημαντικά η επιφάνεια<br />

επιθέσεων, θα ελαχιστοποιηθεί η «πλευρική κίνηση»<br />

σε περίπτωση επιθέσεων και θα εντοπίζονται γρήγορα μη<br />

ομαλές συμπεριφορές, όπως για παράδειγμα<br />

privileged escalation, εντός του data<br />

center. Εκτός από την ενίσχυση της<br />

ασφάλειας η λύση προστασίας<br />

των εφαρμογών προσφέρει<br />

χρήσιμες πληροφορίες<br />

και προετοιμάζει<br />

τον οργανισμό για τη μετάβαση<br />

από το παραδοσιακό<br />

Data Center δίκτυο<br />

σε Software-Defined<br />

Data Center (SDDC 4 ). Το<br />

SDDC επιτρέπει την ευελιξία<br />

(agility) του Datacenter<br />

και κυρίως αποτυπώνει τις<br />

business ανάγκες και τις μετατρέπει<br />

σε πολιτικές δικτύου που είναι<br />

απαραίτητες για τη δυναμική παροχή<br />

υπηρεσιών δικτύου, ασφάλειας και υποδομής.<br />

Είναι πολλά τα δομικά στοιχεία που απαιτούνται για τη μετάβαση<br />

σε SDDC αρχιτεκτονική, αλλά μια από τις πρώτες ερωτήσεις<br />

είναι ποιο application πρέπει να επικοινωνεί με τι και<br />

αυτό μπορεί να απαντηθεί εύκολα μέσω της λύσης ασφάλειας<br />

των εφαρμογών.<br />

Φυσικά, η ασφάλεια δεν εξαντλείται στις λύσεις που προαναφέρθηκαν,<br />

για παράδειγμα στη περίπτωση των Web<br />

Application είναι αναγκαία η χρήση Web Application<br />

Firewall (WAF), ενώ για οποιοδήποτε τύπο εφαρμογής πρέπει<br />

να πραγματοποιείται ανά τακτά διαστήματα black/grey/<br />

white box penetration tests. Η Space Hellas μπορεί να προσφέρει<br />

τις προαναφερθείσες υπηρεσίες, διαθέτει την τεχνογνωσία<br />

και την εμπειρία να υλοποιήσει τις λύσεις που αναλύθηκαν<br />

παραπάνω, αλλά και κάθε είδους λύση που αφορά στην<br />

ασφάλεια των οργανισμών.<br />

Συνοψίζοντας, εφόσον έχει εγκαθιδρυθεί η πολιτική μηδενικής<br />

ασφάλειας στους χρήστες το επόμενο βήμα είναι η επέκταση<br />

της και στις εφαρμογές.<br />

3 https://salesconnect.cisco.com/sc/s/simple-media?vtui__mediaId=a1m8c00000niWJ0AAM<br />

4 https://en.wikipedia.org/wiki/Software-defined_data_center<br />

security<br />

29


T<strong>79</strong>03/04/05.2023<br />

Issue<br />

Πιο «επιθετικός έλεγχος» της<br />

ασφάλειας εφαρμογών με το<br />

beSTORM<br />

Η ασφάλεια αποτελεί πλέον κύρια ανησυχία μεταξύ των τελικών χρηστών και οι εταιρείες ανάπτυξης<br />

λογισμικού αγωνίζονται να καταστήσουν το λογισμικό τους ασφαλέστερο πριν διατεθεί δημοσίως.<br />

αθώς οι αποφάσεις των επιχειρήσεων καθοδηγούνται<br />

πλέον από τη νομοθεσία και τους<br />

Κ<br />

κανονισμούς συμμόρφωσης για τα οικονομικά<br />

αρχεία και την ασφάλεια των δεδομένων<br />

γενικότερα, πολλές εταιρείες πλέον θέλουν<br />

να διασφαλίσουν ότι οι εφαρμογές τρίτων που χρησιμοποιούν<br />

πληρούν τις αυστηρές πιστοποιήσεις και όλους τους κανονισμούς<br />

ασφαλείας. Οι εφαρμογές που δεν έχουν δοκιμαστεί<br />

πλήρως κατά την ανάπτυξή τους καθιστούν τις εταιρείες<br />

ευάλωτες και κάνουν τους πελάτες τους να μην αισθάνονται<br />

100% ασφαλείς<br />

Dynamic Application <strong>Security</strong> Testing<br />

Τα εργαλεία δυναμικού ελέγχου ασφάλειας εφαρμογών<br />

(DAST) είναι ένας από τους καλύτερους τρόπους για να<br />

ελεγχθεί μία εφαρμογή για ευπάθειες, κενά ασφαλείας και<br />

σφάλματα. Ένα τέτοιο εργαλείο σαρώνει και αναλύει μία διαδικτυακή<br />

εφαρμογή ή ένα προϊόν λογισμικού κατά τη διάρκεια<br />

της λειτουργίας του με στόχο τον έγκαιρο εντοπισμό<br />

ευπαθειών και τρωτών σημείων που θα μπορούσαν να αποτελέσουν<br />

αντικείμενο εκμετάλλευσης κάποιου αντίπαλου<br />

ή εισβολέα. Αυτός ο «δυναμικός έλεγχος» είναι εξαιρετικά<br />

χρήσιμος για τις εταιρείες ανάπτυξης λογισμικού και τους<br />

developers καθώς διασφαλίζει τη συμμόρφωση με τα πρότυπα<br />

του κλάδου και τη νομοθεσία.<br />

Ένα εξαιρετικό εργαλείο DAST που απευθύνεται σε εταιρείες<br />

ανάπτυξης λογισμικού/εφαρμογών για διάφορους τομείς<br />

είναι το beSTORM της Beyond <strong>Security</strong> που ανήκει στο<br />

προϊοντικό χαρτοφυλάκιο του γίγαντα της κυβερνοασφάλειας<br />

Fortra. Με το beSTORM, οι developers/προγραμματι-<br />

30 security


Γιώργος Καπανίρης<br />

Executive Director , NSS<br />

www.nss.gr<br />

στές λογισμικού μπορούν να δοκιμάσουν<br />

τις εφαρμογές και το λογισμικό τους (π.χ.<br />

ιστοσελίδες, APIs και άλλους τύπους δικτυακού<br />

ή διαδικτυακού λογισμικού) για<br />

κενά ασφαλείας και ευπάθειες (π.χ. SQL<br />

injection, Cross-Site Scripting ή XSS και<br />

Cross-Site Request Forgery ή CSRF) κατά<br />

τη διάρκεια της διαδικασίας ανάπτυξης,<br />

όπως γίνεται με τη Διασφάλιση Ποιότητας<br />

(QA) σε πολλούς τομείς σήμερα.<br />

Δεδομένου ότι η σάρωση και ο έλεγχος<br />

πραγματοποιείται αυτοματοποιημένα, οι<br />

developers μπορούν να δοκιμάζουν και<br />

να ξαναδοκιμάζουν νέες εκδόσεις του λογισμικού<br />

τους ανεξάρτητα από το πόσο<br />

σύντομος είναι ο κύκλος ανάπτυξής τους.<br />

Το εργαλείο δυναμικού ελέγχου της<br />

ασφάλειας εφαρμογών (DAST) beSTORM δοκιμάζει<br />

αυτόματα εκατομμύρια, ακόμη και δισεκατομμύρια,<br />

συνδυασμούς επιθέσεων.<br />

Το beSTORM σχεδιάστηκε για χρήση σε περιβάλλοντα μηχανικής<br />

λογισμικού και απευθύνεται σε προγραμματιστές, ομάδες<br />

διασφάλισης ποιότητας και επαγγελματίες ασφαλείας. Το<br />

beSTORM οπλίζει τους ρόλους αυτούς με ένα εργαλείο που<br />

τους βοηθά να δοκιμάσουν και να «τεστάρουν» της εφαρμογές<br />

τους για κενά ασφαλείας και ευπάθειες ενώ βρίσκονται<br />

ακόμη στη φάση της ανάπτυξης. Το συγκεκριμένο προϊόν<br />

μάλιστα δίνει τη δυνατότητα στις ομάδες ανάπτυξης να προγραμματίσουν<br />

δοκιμές ασφαλείας εντός της διαδικασίας του<br />

λανσαρίσματος του προϊόντος εξοικονομώντας τους χρόνο<br />

για να διορθώσουν τυχόν ζητήματα στον κώδικα.<br />

ο εργαλείο δυναμικού ελέγχου της ασφάλειας εφαρμογών<br />

(DAST) beSTORM δοκιμάζει αυτόματα εκατομμύρια, ακόμη<br />

και δισεκατομμύρια, συνδυασμούς επιθέσεων. Με αυτόν τον<br />

τρόπο διασφαλίζεται η ασφάλεια ενός προϊόντος πριν την κυκλοφορία<br />

του, εξοικονομώντας χρόνο και χρήμα (οι επιδιορθώσεις<br />

ασφαλείας μπορούν να είναι εξαιρετικά δαπανηρές<br />

μετά τη διάθεση/αποστολή του προϊόντος).<br />

Black Box Fuzzer<br />

Το beSTORM πηγαίνει ωστόσο τις λύσεις DAST ένα βήμα παραπέρα<br />

καθώς ενσωματώνει επιπλέον ένα εργαλείο «Black<br />

Box Fuzzer». Εκτός από το Dynamic Application <strong>Security</strong><br />

Testing που εκτελεί ολοκληρωμένες, υπολογισμένες δοκιμές,<br />

το Black Box Fuzzer επιτίθεται στην εφαρμογή σας με τον ίδιο<br />

τρόπο που θα έκανε ένας κυβερνοεγκληματίας. Αυτός ο συνδυασμός<br />

καθοδηγούμενου DAST και Black Box Fuzzer είναι<br />

που καθιστά το beSTORM ξεχωριστό καθώς αποκαλύπτει<br />

γνωστές και άγνωστες αδυναμίες ασφαλείας στον κώδικα.<br />

Οι δοκιμές αυτές μάλιστα εκτελούνται χωρίς να υπάρχει πρόσβαση<br />

στον πηγαίο κώδικα, αλλά με τον ίδιο τρόπο που ένας<br />

κυβερνοεγκληματίας ή μία κυβερνοαπειλή θα επιχειρούσε<br />

να παραβιάσει το προϊόν. Επιπλέον, το beSTORM μπορεί να<br />

ελέγξει σχεδόν οποιοδήποτε προϊόν λογισμικού (ενσωματώνει<br />

πάνω από 250+ προκατασκευασμένα modules και πρωτόκολλα<br />

και έχει την επιλογή για προσθήκη κοινών ή προσαρμοσμένων<br />

πρωτοκόλλων). Χρησιμοποιώντας το beSTORM,<br />

τα τρωτά σημεία ασφαλείας μπορούν να εντοπιστούν<br />

και να ιεραρχηθούν για να επιδιορθωθούν εντός του<br />

κύκλου ανάπτυξης, επομένως δεν χρειάζεται να θέσετε το<br />

προϊόν ή την εφαρμογή σας εκτός σύνδεσης μετά τη κυκλοφορία,<br />

κάτι που αναμφισβήτητα εξοικονομεί χρόνο και σε<br />

πολλές περιπτώσεις πολλά χρήματα. Η επιδιόρθωση ενός<br />

κενού ασφάλειας, μίας ευπάθειας ή ενός σφάλματος κοστίζει<br />

λιγότερο κατά το στάδιο της ανάπτυξης παρά μετά τη κυκλοφορία<br />

του. Σκεφτείτε πόσα μπορεί να χάσετε, σε χρόνο ή<br />

σε χρήματα, από τον χρόνο διακοπής λειτουργίας ή κάποιο<br />

πρόστιμο συμμόρφωσης σε περίπτωση που βρεθεί κάποια<br />

ευπάθεια μετά τη κυκλοφορία του προϊόντος σας.<br />

Δοκιμάζοντας αυτοματοποιημένα δισεκατομμύρια συνδυασμούς<br />

επιθέσεων, το beSTORM διασφαλίζει την ασφάλεια του<br />

προϊόντος εξοικονομώντας στις εταιρείες χρόνο και πολλά<br />

χρήματα σε κόστη που σχετίζονται με τη επιδιόρθωση κενών<br />

ασφαλείας μετά τη διάθεση του. Το beSTORM διαφέρει από τα<br />

εργαλεία παλαιότερης γενιάς που χρησιμοποιούν υπογραφές<br />

επιθέσεων ή που σαρώνουν τα προϊόντα για να εντοπίσουν<br />

ήδη γνωστές ευπάθειες και κενά ασφαλείας. Αυτή η αυτομα-<br />

security<br />

31


T<strong>79</strong>03/04/05.2023<br />

Issue<br />

τοποιημένη διαδικασία εισαγωγής τυχαίων παραμέτρων και<br />

δεδομένων στο πρόγραμμα/εφαρμογή (χωρίς να είναι απαραίτητο<br />

από τις ομάδες ανάπτυξης να δοκιμάζουν χειροκίνητα<br />

κάθε μικρή λειτουργία της εφαρμογής ξεχωριστά) και η επακόλουθη<br />

ανάλυση των αποτελεσμάτων για τον εντοπισμό δυνητικά<br />

αξιοποιήσιμων -από τους επιτιθέμενους- σφαλμάτων ή<br />

κενών ασφαλείας είναι που καθιστά το beSTORM ξεχωριστό.<br />

File Fuzzing<br />

Το beSTORM αποτελεί μία έξυπνη πλατφόρμα fuzzing με ευρεία<br />

κάλυψη περισσότερων από 250 modules (περιέχει διάφορα<br />

file fuzzing modules όπως ANI, JPEG, TIFF, MKV, ANI<br />

κ.ά). Τα εργαλεία fuzzing ή οι fuzzers χρησιμοποιούν μεγάλη<br />

ποικιλία τεχνικών για να ανιχνεύσουν ευπάθειες, όπως η εισαγωγή<br />

τυχαίων δεδομένων σε μια εφαρμογή για να ελεγχθεί<br />

η συμπεριφορά της. Το ενσωματωμένο εργαλείο fuzzing του<br />

beSTORM είναι εξαιρετικά προηγμένο και χρησιμοποιείται για<br />

την ανίχνευση ευπαθειών που άλλα εργαλεία αδυνατούν να<br />

εντοπίσουν. Είναι ικανό να ανιχνεύει ευπάθειες όχι μόνο σε<br />

επιφανειακό επίπεδο, αλλά και σε πολυπλοκότερες περιπτώσεις<br />

όπως για παράδειγμα σε κρυπτογραφημένες επικοινωνίες,<br />

σε κώδικα ή ακόμη και στο πρωτόκολλο επικοινωνίας.<br />

Οι επαγγελματίες του κλάδου της κυβερνοασφάλειας<br />

γνωρίζουν για τις επιθέσεις ransomware που ξεκινούν από<br />

έναν dropper που κρύβεται στον κώδικα ενός αρχείου PDF,<br />

για ευπάθειες όπως η αυθαίρετη εκτέλεση κώδικα σε συσκευές<br />

Apple ή για CVEs που έχουν δημοσιευτεί και σχετίζονται<br />

με ζητήματα σε πολύ κοινότυπα αρχεία που «ανοίγουν» ένα<br />

backdoor για την απομακρυσμένη εκτέλεση κώδικα ή υπερχείλιση<br />

buffer. Αν και οι εταιρείες συνήθως αντιμετωπίζουν τέτοιες<br />

ευπάθειες, διαθέτοντας για παράδειγμα ενημερώσεις με<br />

επιδιορθώσεις στον κώδικα, οι προγραμματιστές οφείλουν να<br />

έχουν προχωρήσει σε ελέγχους της ακεραιότητας του λογισμι-<br />

κού τους και της ικανότητας του να αφομοιώνει συγκεκριμένα<br />

αρχεία. Για παράδειγμα, αν χρησιμοποιείται σύστημα DLP για<br />

την επεξεργασία χιλιάδων αρχείων XLS καθημερινά, θα πρέπει<br />

να γίνει έλεγχος ακεραιότητας του DLP καθώς και η ικανότητά<br />

του να αντέχει σε μια εξαντλητική δοκιμή. Θα πρέπει να<br />

επαληθευτεί ότι η λειτουργία του DLP δεν διακόπτεται κατά τη<br />

σάρωση αρχείων XLS με ειδικά προσαρμοσμένη μορφή που<br />

έχουν προετοιμαστεί από έναν επιτιθέμενο ή εισβολέα. Η κύρια<br />

διαφορά μεταξύ των εργαλείων ανάλυσης πηγαίου<br />

κώδικα και του beSTORM είναι ότι το τελευταίο δεν χρειάζεται<br />

τον πηγαίο κώδικα. Το beSTORM ελέγχει το πρωτόκολλο<br />

και όχι το προϊόν και επομένως μπορεί να χρησιμοποιηθεί<br />

για τη δοκιμή εξαιρετικά περίπλοκων προϊόντων σε μεγάλη<br />

κλίμακα. Ένα άλλο βασικό στοιχείο διαφοροποίησης από την<br />

ανάλυση πηγαίου κώδικα είναι η ακρίβεια της αναφοράς που<br />

παραδίδει: το beSTORM ελέγχει την εφαρμογή εξωτερικά<br />

«πυροδοτώντας» πραγματικές επιθέσεις ενώ οι «τρύπες» και<br />

τα κενά ασφαλείας και τα σφάλματα αναφέρονται μόνο στην<br />

περίπτωση που κάποια από τις επιθέσεις ήταν επιτυχής. Συγκρίνοντας<br />

το beSTORM με εργαλεία που εκτελούν συγκεκριμένο<br />

αριθμό σεναρίων ή μελετών περίπτωσης, το beSTORM<br />

εκτελεί εκατομμύρια ή ακόμα και δισεκατομμύρια -ορισμένες<br />

φορές- συνδυασμούς επιθέσεων σε σύγκριση με τις χιλιάδες<br />

ή τις δεκάδες χιλιάδες μελέτες περίπτωσης.<br />

Βασικά χαρακτηριστικά<br />

• Fuzzing πραγματικού χρόνου: Δοκιμάζει τα συστήματα<br />

όπως ένας επιτιθέμενος, αποκαλύπτει αδυναμίες<br />

στον κώδικα και πιστοποιεί την ασφάλεια οποιουδήποτε<br />

προϊόντος χωρίς να έχει πρόσβαση στον<br />

πηγαίο κώδικα.<br />

• Δοκιμές πλήρους εύρους: Πραγματοποιεί δοκιμές<br />

έναντι γνωστών επιθέσεων, άγνωστων μελλοντικών<br />

επιθέσεων και γνωστών ευπαθειών. «Μαθαίνει» γρήγορα<br />

και πραγματοποιεί δοκιμές σε κοινά ή νέα πρωτόκολλα.<br />

• Αυτόματη σάρωση: Σάρωση για ευπάθειες με onsite<br />

ή cloud-based σύστημα.<br />

• Δοκιμές δυαδικής εφαρμογής: Δεν περιορίζεται σε<br />

ένα σετ γλωσσών προγραμματισμού ή σε κάποια βιβλιοθήκη<br />

συστήματος. Διαθέτει 250+ προκατασκευασμένα<br />

πρωτόκολλα και modules με κοινές ή και προσαρμοσμένες<br />

δυνατότητες.<br />

• Προσαρτάται σαν πρόγραμμα αποσφαλμάτωσης:<br />

Βρίσκει ακριβώς το πού και το πότε εντοπίζονται<br />

προβλήματα. Με επιλογή εξαγωγής και δυνατότητα<br />

offline δοκιμών.<br />

32 security


• Εξαλείφει τα ψευδώς θετικά: Ακριβή αποτελέσματα<br />

και εξαγωγή κατανοητών αναφορών για αποσφαλμάτωση.<br />

Εφαρμογές και Οφέλη<br />

Όλες οι εταιρείες ανάπτυξης, ανεξάρτητα από το λογισμικό<br />

και την εφαρμογή μπορούν να επωφεληθούν από τις εκπληκτικές<br />

δυνατότητες αυτού του εκπληκτικού εργαλείου<br />

DAST. Χρησιμοποιείται από κορυφαίες εταιρείες σε διάφορες<br />

βιομηχανίες όπως:<br />

Αυτοκινητοβιομηχανία και Αεροπλοΐα (CANbus): Η αυτοκινητοβιομηχανία<br />

και η αεροπορική βιομηχανία παράγουν<br />

κάθε χρόνο όλο και περισσότερα οχήματα και αεροπλάνα<br />

που είναι Διαδικτυακά συνδεδεμένα. Το BeSTORM Black<br />

Box Fuzzing λειτουργεί με το πρωτόκολλο CANbus κατά την<br />

ανάπτυξη κώδικα για προϊόντα και συστήματα οχημάτων. Η<br />

εύρεση αδυναμιών του κώδικα πριν από την κυκλοφορία τέτοιων<br />

υψηλού προφίλ προϊόντων στο κοινό συμβάλλει στην<br />

προστασία από κυβερνοεπιθέσεις που θα έθεταν σε κίνδυνο<br />

καταναλωτές.<br />

Ιατρικές ασύρματες συσκευές (WIFI, Bluetooth): Οι ιατρικές<br />

συσκευές, φορητές ή μη, βελτιώνουν την υγειονομική<br />

περίθαλψη των ασθενών και βοηθούν τους επαγγελματίες<br />

υγείας να παρακολουθούν τις ιατρικές διαδικασίες. Οι συγκεκριμένες<br />

συνδεδεμένες συσκευές ελέγχουν και διαχειρίζονται<br />

προσωπικές πληροφορίες υγείας ασθενών (PHI). Όταν<br />

χρησιμοποιείται στη φάση ανάπτυξης, το DAST Black Box<br />

Fuzzing μπορεί να διατηρήσει αυτά τα ευαίσθητα δεδομένα<br />

προστατευμένα από κυβερνοεπιθέσεις και ransomware μετά<br />

τη δημόσια διάθεση των προϊόντων.<br />

Συσκευές IoT: Στο Διαδίκτυο των Πραγμάτων (IoT) συμπεριλαμβάνεται<br />

κάθε προϊόν που μπορεί να συνδεθεί στο Διαδίκτυο.<br />

Αυτά τα προϊόντα κυμαίνονται μεταξύ φορετών συσκευών,<br />

συσκευών επιτήρησης και ασύρματης δικτύωσης<br />

μέχρι μεταφορικά μέσα και είναι σε θέση να ανταλλάσσουν<br />

προσωπικά δεδομένα μέσω του Διαδικτύου. Το DAST Black<br />

Box Fuzzing μπορεί να βοηθήσει στην εύρεση ευπαθειών<br />

και τρωτών σημείων σε συσκευές IoT και να διατηρήσει αυτή<br />

την ανταλλαγή ιδιωτικών δεδομένων ασφαλή κατά τη φάση<br />

ανάπτυξης κώδικα.<br />

Υποδομές κοινής ωφέλειας:Ορισμένες βιομηχανίες είναι<br />

τόσο απαραίτητες που δεν γίνεται σε καμία περίπτωση να<br />

σταματήσουν να λειτουργούν. Το νερό, η ηλεκτροδότηση, η<br />

υγειονομική περίθαλψη, οι μεταφορές, η επικοινωνία, ακόμη<br />

και οι υπηρεσίες τροφίμων έχουν εξαιρετικά μεγάλη σημασία<br />

και για αυτό υπάρχουν ακόμα μεγαλύτερες ανάγκες για<br />

δοκιμές στην κυβερνοασφάλεια. Η διασφάλιση του κώδικα<br />

σε αυτά τα συστήματα βοηθά εξασφαλιστεί ότι οποιαδήποτε<br />

κρίσιμης σημασίας υποδομή θα μπορεί να λειτουργεί απρόσκοπτα<br />

και απροβλημάτιστα.<br />

Δοκιμές fuzzing σε προσαρμοσμένα / κοινά<br />

πρωτόκολλα<br />

Τα κοινά συστήματα, η προσαρμοσμένη κωδικοποίηση και<br />

συγκεκριμένα modules λογισμικού μπορούν να δυσκολέψουν<br />

το δυναμικό fuzzing κάποιας εφαρμογής. Το BeSTORM<br />

σχεδιάστηκε για να λειτουργεί με οποιοδήποτε module ή<br />

πρωτόκολλο καθώς διαθέτει περισσότερα από 250+ προκατασκευασμένα<br />

module πρωτοκόλλου ενώ επιπλέον περιλαμβάνει<br />

και δυνατότητα αυτόματης εκμάθησης. Αν προκύψει<br />

ανάγκη για ένα κοινό πρωτόκολλο, μπορεί να προσαρμοστεί<br />

ώστε να επικοινωνεί με τη συγκεκριμένη εφαρμογή.<br />

Περισσότερα εργαλεία<br />

Εκτός από το εργαλείο DAST, beSTORM, η Beyond<br />

<strong>Security</strong> της Fortra προσφέρει και τα beSOURCE και<br />

beSECURE καθώς και εργαλεία δοκιμών συμμόρφωσης<br />

PCI-DSS και αξιολόγησης ευπαθειών για MSPs.<br />

Το beSECURE χρησιμοποιεί «ευφυία» μηχανικής εκμάθησης<br />

για να διακρίνει οποιαδήποτε απειλή και να ανταποκρίνεται<br />

στους σημερινούς κινδύνους στα δίκτυα, στα τερματικά και<br />

στα συστήματα σας που βασίζονται στο νέφος. Το beSOURCE<br />

από την άλλη είναι ένα εργαλείο στατικού ελέγχου εφαρμογών<br />

(SAST) εντοπίζει ευπάθειες και σφάλματα στα αρχικά<br />

στάδια του κύκλου ανάπτυξης του λογισμικού με αυτοματοποιημένη<br />

σάρωση πηγαίου κώδικα και κλιμακώνεται καθώς<br />

προχωρά η ανάπτυξη.<br />

security<br />

33


T<strong>79</strong>03/04/05.2023<br />

Issue<br />

7 Βήματα για να επιλέξετε<br />

Managed <strong>Security</strong> Service<br />

Provider (MSSP)<br />

Η επιλογή του σωστού MSSP για την επιχείρησή σας είναι θεμελιώδης σε ό,τι αφορά στην<br />

ασφάλεια των πελατών, των ανθρώπων σας, των διαδικασιών σας, των δεδομένων και της<br />

υποδομής σας. Αυτός είναι και ο λόγος για τον οποίο η επιλογή του σωστού MSSP για την<br />

επιχείρησή σας είναι ζωτικής σημασίας. Tο να γνωρίζετε όμως με ποιον MSSP να συνεργαστείτε<br />

μπορεί να είναι δύσκολο, ειδικά αν δεν είστε απόλυτα σίγουροι για το τι χρειάζεστε εξαρχής.<br />

την Pylones Hellas, έχοντας πάνω από 25<br />

Σ<br />

χρόνια εμπειρίας σε <strong>IT</strong> infrastructures & <strong>IT</strong><br />

services, με εξειδίκευση τα τελευταία 10 στο<br />

cybersecurity, αναγνωρίσαμε αυτήν την ανάγκη<br />

της αγοράς και σας παρουσιάζουμε τα 7<br />

βήματα που θα σας εξασφαλίσουν την κατάλληλη επιλογή<br />

του Managed <strong>Security</strong> Service Provider (MSSP) για την επιχείρησή<br />

σας. Πριν υπογράψετε, λοιπόν, ένα συμβόλαιο συνεργασίας<br />

με έναν MSSP, βεβαιωθείτε ότι παρέχει τα ακόλουθα<br />

επτά στοιχεία που θα ικανοποιούν την ανάγκη σας για<br />

άμεση ανταπόκριση και ισχυρή παρακολούθηση και ασφάλεια<br />

όπου τη χρειάζεστε:<br />

1. 24ωρη Υπηρεσία<br />

Ενώ το ωράριο των εργαζομένων σας μπορεί να είναι το συνηθισμένο<br />

(Δευτέρα έως Παρασκευή, 9-5), τα δίκτυά σας, τα<br />

δεδομένα σας και όλα όσα σχετίζονται με την επιχείρησή σας<br />

απαιτούν ασφάλεια 24/7. Γι' αυτό είναι απαραίτητο ο συνεργάτης<br />

σας να παρέχει πλήρη ασφάλεια 24/7, κάθε μέρα του<br />

χρόνου, ανεξάρτητα από αργίες, ωράρια εργασίας ή φυσικές<br />

34 security


Χρήστος Ζαχαρόπουλος<br />

Key Account Manager Pylones Hellas,<br />

www.pylones.gr<br />

καταστροφές. 24/7 σημαίνει υποστήριξη<br />

από ανθρώπους, όχι αυτοματοποιημένα<br />

μηχανήματα. Σε περίπτωση<br />

που έχετε συμφωνήσει υπηρεσίες SOC,<br />

είναι βασικό να γνωρίζετε πως θα μπορείτε<br />

να καλέσετε στις 4 π.μ. και κάποιος<br />

να είναι εκεί για να απαντήσει στην<br />

κλήση σας. Προσοχή: οι αυτοματοποιημένες<br />

υπηρεσίες δεν προσφέρουν την<br />

ίδια ποιότητα υπηρεσιών, ούτε θα ανταποκριθούν<br />

σε πιο συγκεκριμένες ανάγκες<br />

που αφορούν στην ασφάλειάς σας.<br />

2. Ταχεία Ανταπόκριση<br />

Αφού βεβαιωθείτε ότι ο MSSP συνεργάτης<br />

σας είναι διαθέσιμος 24/7, μάθετε ποια είναι η ταχύτητα<br />

απόκρισής του για απαιτήσεις και ερωτήματα διαφορετικής<br />

σοβαρότητας. Ο MSSP θα πρέπει να έχει έναν αριθμό<br />

τηλεφωνικής γραμμής ώστε να καλείτε είτε προκύψουν ύποπτες<br />

ενέργειες είτε πραγματικό περιστατικό ασφάλειας. Ένας<br />

MSSP θα πρέπει να σας παρέχει τη δυνατότητα να επικοινωνείτε<br />

κατευθείαν με την ομάδα ή το άτομο που είναι αρμόδιο<br />

να διαχειρίζεται τα επείγοντα περιστατικά. Ένα σύστημα λήψης<br />

αιτημάτων από μόνο του δεν είναι αρκετό.<br />

Ο συνεργάτης σας πρέπει να προσφέρει SLAs, τα οποία<br />

να είναι αποσαφηνισμένα εξαρχής για την εκάστοτε<br />

κατηγορία περιστατικών που προκύπτουν.<br />

Αξίζει επίσης να ελέγξετε μαρτυρίες άλλων πελατών του συνεργάτη<br />

καθώς επίσης και τις διακρίσεις του. Εάν ένας MSSP<br />

έχει κερδίσει βραβεία για τις υπηρεσίες ή την πλατφόρμα του<br />

από μια αξιόπιστη πηγή, είναι πιθανό να έχει θεσπίσει διαδικασίες<br />

για την καθοδήγηση και την υποστήριξη των πελατών<br />

του σε όλα τα ενδεχόμενα.<br />

3. Είναι ΕΚΕΙ, Όταν Τα Πράγματα Γίνονται<br />

Δύσκολα<br />

Είτε πρόκειται για φυσική καταστροφή, πανδημία, διακοπή<br />

ρεύματος, κλοπή ή οτιδήποτε αφήνει την επιχείρησή σας<br />

εκτεθειμένη, πρέπει να γνωρίζετε ότι η ομάδα ασφαλείας<br />

«βάζει πλάτη». Η εταιρεία που θα επιλέξετε ως MSSP θα σας<br />

συμβουλέψει για αυτές τις περιπτώσεις και θα έχει και η ίδια<br />

σχέδιο έκτακτης ανάγκης σε περίπτωση που αντιμετωπίσει<br />

και η ίδια μια καταστροφή. Με αυτόν τον τρόπο τα δεδομένα<br />

παραμένουν ασφαλή και από τις δύο πλευρές και θα μπορείτε<br />

και οι δύο πλευρές να συνεχίσετε τη λειτουργία σας, ανεξάρτητα<br />

από την περίσταση. Καλό είναι να βεβαιωθείτε ότι ο<br />

συνεργάτης που θα επιλέξετε εκτός από Data Center Tier-3,<br />

διαθέτει Disaster Recovery και HA (High Availability). Οι σοβαροί<br />

παίκτες έχουν σοβαρές υποδομές.<br />

4. Συνεχής Υποστήριξη<br />

Δεν αρκεί ο MSSP που θα επιλέξετε να σας υποστηρίζει μόνο<br />

όταν προκύπτουν σοβαρά ζητήματα, αλλά να είναι διαθέσιμος<br />

για συνεχή υποστήριξη. Εάν οι υπάλληλοί σας αντιμετωπίζουν<br />

συνεχώς τα ίδια προβλήματα ασφάλειας κάτι που<br />

τους επηρεάζει στην καθημερινή τους δουλειά, πρέπει να<br />

παρέχονται απαντήσεις σε συχνές ερωτήσεις που σχετίζονται<br />

με την ασφάλεια προκειμένου να ανταποκρίνονται και<br />

οι ίδιοι σε απειλές με αστραπιαία ταχύτητα.<br />

5. Proactive Και Όχι Reactive Ασφάλεια<br />

Χωρίς MSSP, οι επιχειρήσεις συχνά ανατρέχουν στην ασφάλεια<br />

μόνο όταν υπάρχει πρόβλημα. Με έναν MSSP, οι αρμόδιοι<br />

θα επικοινωνούν με την επιχείρησή σας συνεχώς ώστε<br />

να διατηρούνται ενημερωμένα τα συστήματά σας και θα ανιχνεύουν<br />

ευπάθειες, προτού εντοπιστούν από τα λάθος άτομα<br />

που θα τις χρησιμοποιήσουν εναντίον της επιχείρησης.<br />

Ο συνεργάτης σας θα πρέπει να σας τροφοδοτεί με τις απαραίτητες<br />

ειδοποιήσεις ανάλογα με την κρισιμότητά τους. Το<br />

να διαχειρίζεστε εσείς κάθε ειδοποίηση που λαμβάνετε από<br />

τα συστήματά σας, δεν είναι αυτό που έχετε ανάγκη στην<br />

πραγματικότητα. Αυτό που χρειάζεστε είναι έναν ειδικό που<br />

θα λαμβάνει τις ειδοποιήσεις, θα δημιουργεί το ticket, θα<br />

ενεργήσει σύμφωνα με το ticket και θα είναι δίπλα σας και<br />

θα σας συμβουλεύσει για τις περαιτέρω ενέργειες στα alerts<br />

που προκύπτουν. Η ασφάλεια μιας επιχείρησης αποτελεί ένα<br />

ταξίδι που όσο εξελίσσεται παίρνονται και πιο ώριμες αποφάσεις.<br />

Είναι σημαντικό, λοιπόν, να αναλογιστείτε: τι προβλήματα<br />

αντιμετωπίζατε πριν τη συνεργασία σας με τον εκά-<br />

security<br />

35


T<strong>79</strong>03/04/05.2023<br />

Issue<br />

στοτε MSSP και κατά πόσο έχετε<br />

εξελιχθεί στα θέματα αυτά και<br />

την ασφάλειά σας έχοντας πλέον<br />

συνεργασία μαζί του; Λαμβάνοντας<br />

υπόψη πως η εξέλιξη δεν είναι<br />

μόνο η τεχνολογία ούτε οι άνθρωποι<br />

ή η πρόσβαση σε πόρους<br />

24/7, αλλά κατά πόσο ο MSSP σάς<br />

έχει εμφυσήσει την προσοχή στα<br />

πραγματικά ζητήματα που πρέπει<br />

να βελτιώσετε στην ασφάλειά σας.<br />

Σας έχει συμβουλέψει για τις αρχιτεκτονικές<br />

αλλαγές που μπορεί να<br />

θέλετε να κάνετε. Αυτές οι πληροφορίες<br />

είναι κρίσιμες.<br />

6. Διατήρηση των Third-party Συνεργασιών<br />

Ένα εξαιρετικό χαρακτηριστικό ενός MSSP είναι ότι συνεργάζεται<br />

ήδη με μερικές από τις καλύτερες διαθέσιμες τεχνολογίες<br />

και υπηρεσίες έχοντας πρόσβαση σε εργαλεία και ειδικούς.<br />

Αυτό σημαίνει ότι, αντί να προωθείτε το παρά μικρό<br />

στοιχείο στον εκάστοτε εξωτερικό σας συνεργάτη, ο MSSP<br />

θα αναλαμβάνει να κάνει τις σωστές διεργασίες εκ μέρους<br />

σας ως μέρος της υπηρεσίας. Αυτό όχι μόνο σας εξοικονομεί<br />

χρόνο προσπαθώντας να εντοπίσετε τους προμηθευτές<br />

σας, αλλά διασφαλίζει ότι τα σωστά εργαλεία χρησιμοποιούνται<br />

με τον σωστό τρόπο, εξασφαλίζοντας περισσότερο<br />

χρόνο σε εσάς και την ομάδα σας για να διευθύνετε την επιχείρησή<br />

σας.<br />

7. Ρεαλιστικό Budget<br />

Η τεχνολογία εξελίσσεται συνεχώς, γεγονός που καθιστά τη<br />

μείωση του budget σε θέματα ασφαλείας πολύ δύσκολη. Ο<br />

MSSP συνεργάτης σας, ωστόσο, θα πρέπει να συνυπολογίσει<br />

όλες σας τις ανάγκες. Θα πρέπει, δηλαδή, να σας παρουσιάσει<br />

επιλογές που θα συμβαδίσουν με τις ανάγκες σας σε θέματα<br />

ασφάλειας, λαμβάνοντας υπόψιν το εργατικό σας δυναμικό,<br />

και να διερευνήσει πώς θα μπορούσατε να εξοικονομείτε<br />

ετήσιο budget από την επιχείρησή σας ενώ παράλληλα να<br />

εξασφαλίζετε την βέλτιστη δυνατή αποτελεσματικότητα. Θα<br />

πρέπει να παρέχει μια σταθερή τιμολόγηση, χωρίς κρυμμένα<br />

κόστη και να διασφαλίζει πώς μπορείτε να κάνετε περισσότερα<br />

με λιγότερα.<br />

Συνοπτικά για τον MSSP<br />

Ο σωστός MSSP θα πρέπει να βελτιώσει την αποτελεσματικότητα<br />

της επιχείρησής σας εξοικονομώντας χρόνο, χρη-<br />

σιμοποιώντας τους απαραίτητους πόρους και θέτοντας σε<br />

εφαρμογή τις πιο κατάλληλες υπηρεσίες για εσάς. Ένας<br />

MSSP μπορεί να διασφαλίσει ότι συμμορφώνεστε νομικά,<br />

να συμβάλλει στον μετριασμό των απειλών και να μειώσει<br />

τις δαπανηρές επισκευές καταστροφών σε περίπτωση επίθεσης.<br />

Αλλά, το πιο σημαντικό, ένας MSSP θα στηρίξει τα θεμέλιά<br />

σας, ώστε η επιχείρησή σας να συνεχίσει να χτίζεται και<br />

να αναπτύσσεται, χωρίς τη συνεχή ανησυχία ότι η ασφάλειά<br />

σας θα προκαλέσει την κατάρρευσή της, τόσο από εσωτερικές<br />

όσο και από εξωτερικές απειλές.<br />

Για να αξιολογήσετε την ποιότητα των υπηρεσιών ενός MSSP,<br />

ζητήστε του SLA και να σας παρουσιάσει πώς διαχειρίζεται<br />

τα ticket, ζητήστε του μηνιαίες και εβδομαδιαίες αναφορές,<br />

στοιχεία που θα σας βοηθήσουν να έχετε εικόνα των εργασιών<br />

και διαδικασιών του. Πρέπει να ξέρετε τι πρόκειται να<br />

αντιμετωπίσετε κατά τη μεταξύ σας συνεργασία. Συζητήστε<br />

για το «escalation procedure».<br />

Top tip – Ό,τι λάμπει δεν είναι χρυσός. Μην πέσετε στην παγίδα<br />

να αναζητάτε το πιο φουτουριστικό λειτουργικό σύστημα<br />

με εντυπωσιακούς αυτοματισμούς και ιδιαίτερο interface.<br />

Στο τέλος της ημέρας, αυτό που θα αναζητάτε τελικά είναι<br />

ολοκληρωμένα tickets, σαφείς απαντήσεις και ταχύτητα<br />

σε εντοπισμό και απόκριση.<br />

Στην Pylones, μέσω της πρόσφατης συνεργασία μας με<br />

την <strong>Security</strong> HQ, παγκόσμιο leader στα Managed <strong>Security</strong><br />

Services, και σε συνδυασμό με την εξειδικευμένη μας ομάδας<br />

μηχανικών δικτύων και μηχανικών ασφαλείας, παρέχουμε<br />

όλη την γκάμα υπηρεσιών και εργαλείων που θα εξασφαλίσουν<br />

στην εταιρεία σας τον ιδανικό MSSP. Επικοινωνήστε με<br />

τον εξειδικευμένο Συνεργάτη μας. Μάθετε περισσότερα<br />

εδώ: www.pylones.gr/security_hq<br />

36 security


CL8 Secure SD-WAN<br />

Branch Office<br />

powered by Cisco<br />

Connect any user to any application with integrated capabilities<br />

for multicloud, security, unified communications, and<br />

application optimization.<br />

SD-WAN<br />

On-premises | Cloud | Multitenant<br />

Any Deployment<br />

Automation | Network | Insights | Analytics<br />

Open | Programmable | Scalable<br />

Any Service<br />

Branch<br />

<strong>Security</strong><br />

Cloud<br />

<strong>Security</strong><br />

Application<br />

Quality of<br />

Experience<br />

UC, Voice and<br />

Collaboration<br />

Cloud<br />

OnRamp<br />

Any Transport<br />

Satellite<br />

Internet<br />

MPLS<br />

5G/LTE<br />

Any Location<br />

Branch<br />

Colocation<br />

Cloud<br />

OUR CLOUD. YOUR WAY.


T<strong>79</strong>03/04/05.2023<br />

Issue<br />

Bitdefender XDR:<br />

Από τις ευπάθειες στην ανθεκτικότητα<br />

Χαρτογραφήστε τα κρυφά μονοπάτια!<br />

α ακρωνύμια που συνεχώς προστίθενται στο<br />

Τ<br />

λεξικό της κυβερνοασφάλειας, τείνουν να<br />

μοιάζουν με ταμπλό scrabble για τις εταιρείες,<br />

που ενώ τα τελευταία χρόνια σημειώνουν<br />

σημαντικές επενδύσεις στην ασφάλεια<br />

των υποδομών πληροφορικής, συνεχίζουν να βομβαρδίζονται<br />

καθημερινά με νέες ορολογίες εργαλείων και λύσεων<br />

που χρειάζεται να προμηθευτούν για να διασφαλίσουν την<br />

ανθεκτικότητά τους έναντι των κυβερνοεπιθέσεων. Γιατί<br />

συμβαίνει αυτό όμως και πότε κανείς θα μπορούσε να<br />

πει πως είναι επαρκώς θωρακισμένος;<br />

Οι κυριότερες αιτίες που κάνουν το πηγάδι των επενδύσεων<br />

στο Cyber <strong>Security</strong> να μοιάζει απύθμενο, είναι : Η ραγδαία<br />

βελτίωση των μεθόδων και των τεχνολογιών των<br />

επιτιθέμενων σε συνδυασμό με την διεύρυνση των υποδομών<br />

που εκτίθενται. Δύο δυναμικές συνθήκες που δεν<br />

φαίνεται να σταθεροποιούνται στα επόμενα χρόνια. Οι πρώτες<br />

προγνώσεις για αύξηση των επιθέσεων εξαιτίας της διεύρυνσης<br />

των υποδομών στο Cloud και των συνδεδεμένων<br />

πλατφορμών, εφαρμογών και εργαλείων, ξεκίνησε ήδη στις<br />

αρχές του 2000. Έκτοτε, 23 χρόνια αργότερα, και παρότι<br />

πολλές επιχειρήσεις αντιστάθηκαν σθεναρά στην μετάβασή<br />

τους στο Cloud, ο χάρτης των ψηφιακών υποδομών<br />

έχει διαμορφωθεί, πιο σύνθετος ίσως από ότι περίμεναν οι<br />

αναλυτές του χώρου, συμπεριλαμβάνοντας μεγάλο όγκο IOT<br />

& OT συσκευών, BYOD, και αρκετά APIs που αναπτύσσονται<br />

και συνδέονται για χάριν του αυτοματισμού και της αύξησης<br />

της παραγωγικότητας. Έτσι οι κυβερνοεπιθέσεις<br />

που αξιοποιούν τις συνθήκες, εκτιμάται ότι κοστίζουν σήμερα<br />

στις επιχειρήσεις ~2.9Μ / 1’ , ενώ έρευνες δείχνουν πως<br />

μόλις το 5% των εταιρικών δεδομένων είναι πραγματικά<br />

ασφαλές. Παρατηρείται δε, πως ακόμη και σε υποδομές<br />

που διαθέτουν προστασία, δημιουργούνται περιστατικά που<br />

αποκαλύπτουν την παρουσία των κακόβουλων για μήνες<br />

μέσα στον οργανισμό, ενώ άλλοτε οι ακριβές ασπίδες<br />

των επιχειρήσεων, απενεργοποιούνται από τους εισβολείς<br />

που καταφέρνουν να πάρουν τον ρόλο του administrator.<br />

Ακόμη και στις πιο ώριμες υποδομές, που έχουν προχωρήσει<br />

σημαντικά στο ταξίδι της κυβερνοασφάλειας, διατηρούνται<br />

τυφλά σημεία. Κρυφά μονοπάτια από vulnerabilities,<br />

outdated libraries, misconfigurations κ.α., που μπορούν<br />

να αποτελέσουν όχι μόνο σημείο εισόδου των εισβολέων,<br />

αλλά κανάλι ανενόχλητης επικοινωνίας για μήνες. Αυτό το<br />

κενό έρχονται να καλύψουν προηγμένες λύσεις ασφαλείας,<br />

38 security


Σίσσυ Ρουσιά<br />

Business Development Manager, Bitdefender Greece & Cyprus<br />

www.bitdefender.gr<br />

που συνδυάζουν πολλαπλές τεχνολογίες και πολυεπίπεδους<br />

ελέγχους, στοχεύοντας να διευρύνουν την ορατότητα και τον<br />

έλεγχο στις ομάδες ασφαλείας. Το XDR, καθιερώθηκε ως<br />

τέτοια λύση από τα μέσα του 21’, προσφέροντας βελτιωμένη<br />

ακρίβεια εντοπισμού απειλών σε εφαρμογές και συστήματα<br />

που σχετίζονται με Identity, Cloud, Productivity ή<br />

Collaboration όπως η σουίτα MS 365, αλλά και το δίκτυο.<br />

Σε έρευνα της Cybersecurity Insiders το 2020: το 64%<br />

των οργανισμών δήλωσε ότι η ενσωμάτωση και η αυτοματοποίηση<br />

εργαλείων ασφαλείας όπως το XDR βελτίωσαν<br />

τις λειτουργίες ασφαλείας. Το 59% των ερωτηθέντων ανέφερε<br />

ότι το XDR μείωσε σημαντικά τον μέσο χρόνο ανίχνευσης<br />

(MTTD) αλλά και τον μέσο χρόνο απόκρισης (MTTR) σε<br />

συμβάντα ασφαλείας. Αργότερα, σε νέα έρευνα της ESG το<br />

2021: το 68% των οργανισμών ανέφερε βελτιωμένη ακρίβεια<br />

ανίχνευσης απειλών μετά την εφαρμογή XDR, και υψηλότερο<br />

επίπεδο εμπιστοσύνης στην ασφάλειά τους. Σύμφωνα<br />

με το SANS Institute 2021 XDR Survey: το 76% των<br />

οργανισμών θεωρεί ότι το XDR είναι σημαντικό ή εξαιρετικά<br />

σημαντικό μέρος της στρατηγικής τους για την ασφάλεια<br />

στον κυβερνοχώρο. Αυτά τα στατιστικά στοιχεία υπογραμμίζουν<br />

τα απτά οφέλη του XDR στην ασφάλεια στον κυβερνοχώρο,<br />

συμπεριλαμβανομένης της βελτιωμένης ακρίβειας<br />

ανίχνευσης απειλών, ταχύτερους χρόνους απόκρισης<br />

συμβάντων και μειωμένο κόστος που σχετίζεται με παραβιάσεις<br />

δεδομένων καθώς και αυξημένη εμπιστοσύνη στην<br />

στρατηγική ασφαλείας. Τι είναι αυτό που καθιστά το XDR<br />

τόσο σημαντικό εργαλείο λοιπόν;<br />

• Ενισχυμένη ανίχνευση απειλών: Το XDR βελτιώνει<br />

σημαντικά τις δυνατότητες ανίχνευσης απειλών<br />

στο αρχικό τους στάδιο, αξιοποιώντας προηγμένους<br />

αλγόριθμους ανάλυσης και Machine Learning.<br />

• Αναλύοντας δεδομένα από πολλαπλές πηγές,<br />

μπορεί να εντοπίσει πολύπλοκα μοτίβα επίθεσης και<br />

Indicators of Compromise που μπορούν να περάσουν<br />

απαρατήρητοι από μεμονωμένα εργαλεία ασφαλείας.<br />

Αυτή η ολοκληρωμένη προσέγγιση επιτρέπει ταχύτερη<br />

και ακριβέστερη ανίχνευση απειλών, ελαχιστοποιώντας<br />

τον κίνδυνο μη εντοπισμένων παραβιάσεων.<br />

• Ταχεία απόκριση σε περιστατικά: Όταν συμβαίνει<br />

ένα περιστατικό ασφαλείας, ο χρόνος είναι κρίσιμος.<br />

Το XDR διευκολύνει την ταχεία απόκριση σε συμβάντα,<br />

αυτοματοποιώντας τη συλλογή, την ανάλυση<br />

και τη συσχέτιση δεδομένων.<br />

• Παρέχοντας ειδοποιήσεις σε πραγματικό χρόνο<br />

και πληροφορίες με βάση τα συμφραζόμενα, το XDR<br />

επιτρέπει στις ομάδες ασφαλείας να εντοπίζουν γρήγορα<br />

το εύρος και τη σοβαρότητα ενός συμβάντος,<br />

επιτρέποντας ταχύτερη και πιο στοχευμένη απόκριση.<br />

Αυτή η δυνατότητα βοηθά στην ελαχιστοποίηση του<br />

αντίκτυπου που προκαλείται από απειλές στον κυβερνοχώρο.<br />

Η Bitdefender, Παγκόσμιος Ηγέτης στον χώρο της<br />

κυβερνοασφάλειας, ακολουθώντας τις ανάγκες των οργανισμών<br />

για ένα πιο ασφαλές ψηφιακό περιβάλλον, έχει<br />

εντάξει στην πλατφόρμα της, GravityZone την λύση XDR,<br />

προσφέροντας διευρυμένη ορατότητα, αυτοματοποιημένη<br />

ανίχνευση και καθοδηγούμενη απόκριση, βοηθώντας τις<br />

ομάδες ασφαλείας να είναι πιο στοχευμένες και αποτελεσματικές.<br />

Συσχετίζοντας πληροφορίες ασφαλείας<br />

από τα τερματικά, το δίκτυο, το Cloud (AWS & Azure), τα<br />

MSO και τον Active Directory, η Bitdefender προσφέρει<br />

μια ολοκληρωμένη και αξιόπιστη λύση με το XDR στην<br />

κορυφή της πυραμίδας που στηρίζεται στο μεγαλύτερο<br />

Intelligence Network παγκοσμίως. Η σουίτα Bitdefender<br />

GravityZone,που εξασφαλίζει θωράκιση-πρόληψη-εντοπισμό<br />

και απόκριση σε 1 κονσόλα με 1 μοναδικό agent,<br />

ενισχύεται με τους αντίστοιχους sensors XDR σύμφωνα με<br />

τις ιδιαίτερες ανάγκες κάθε οργανισμού. Συνδυάζει δυνατότητες<br />

αυτοματοποίησης μεταξύ endpoint protection – EDR &<br />

XDR, και με δυνατότητα παρακολούθησης των συμβάντων,<br />

το GravityZone Incident Advisor, παρέχει μία περιληπτική<br />

εικόνα όλων των σημαντικών πληροφοριών για να ελαχιστοποιήσει<br />

τον απαραίτητο χρόνο ανάλυσης και απόκρισης.<br />

Αυτή η σύνοψη παρέχει στους αναλυτές ασφαλείας αξιοποιήσιμες<br />

πληροφορίες για το τι έχει συμβεί σε ολόκληρο τον<br />

κύκλο ζωής της επίθεσης, το εύρος, και τυχόν σχετιζόμενα<br />

περιστατικά. Οι σύμβουλοι ασφαλείας της Bitdefender, μπορούν<br />

να σας βοηθήσουν να επιλέξετε την λύση που ταιριάζει<br />

στις δικές σας ανάγκες.<br />

Επικοινωνία : info@bitdefender.gr | 215-5353030 | www.<br />

bitdefender.gr<br />

security<br />

39


T<strong>79</strong>03/04/05.2023<br />

Issue<br />

4 βασικοί παράγοντες<br />

«ενορχήστρωσης» διαχείρισης<br />

του δικτύου<br />

Στο σημερινό ψηφιακό τοπίο, η παρακολούθηση και η διαχείριση του δικτύου έχουν καταστεί<br />

ολοένα και πιο κρίσιμες για τις επιχειρήσεις, προκειμένου να διατηρούν την ασφάλεια και τη<br />

λειτουργικότητα των εφαρμογών και των δεδομένων τους.<br />

ε σύνθετα και δυναμικά περιβάλλοντα δικτύου<br />

να βρίσκονται σε συνεχή άνοδο, ο<br />

Μ<br />

πλήρης έλεγχος της κατάστασης και της<br />

απόδοσης του δικτύου είναι ζωτικής σημασίας.<br />

Αυτή την κρίσιμη λειτουργία έρχεται<br />

να «ενορχηστρώσει», όπως προδίδει και το όνομα του, το<br />

Exinda Network Orchestrator.<br />

1. Παρακολούθηση απόδοσης δικτύου σε πραγματικό<br />

χρόνο<br />

Ένα από τα βασικότερα χαρακτηριστικά του Exinda Network<br />

Orchestrator είναι το ολοκληρωμένο πακέτο δυνατοτήτων<br />

για την παρακολούθηση και τη βελτιστοποίηση της απόδοσης<br />

του δικτύου που προσφέρει και το καθιστά ως την πλέον<br />

ουσιαστική και χρήσιμη λύση για τις επιχειρήσεις. Ένα από τα<br />

βασικά χαρακτηριστικά του Exinda Network Orchestrator είναι<br />

η παρακολούθηση της απόδοσης δικτύου σε πραγματικό<br />

χρόνο. Αυτή η λειτουργία του επιτρέπει στους διαχειριστές<br />

δικτύου να έχουν πλήρη ορατότητα του δικτύου και των<br />

κρίσιμων εφαρμογών του. Με την παρακολούθηση σε πραγματικό<br />

χρόνο, οι διαχειριστές δικτύων έχουν την δυνατότητα<br />

να παρακολουθούν προληπτικά και να αξιολογούν συνεχώς<br />

το δίκτυο, προκειμένου να μετριάζουν τη συμφόρηση του δικτύου,<br />

πριν αυτή προκύψει και να βελτιώσουν την απόδοση<br />

των εφαρμογών για να εξασφαλίζουν μια εμπειρία υψηλής<br />

ποιότητας χρήστη ανά πάσα στιγμή.<br />

Ο πίνακας ελέγχου του Exinda Network Orchestrator εμφανίζει<br />

συγκεντρωμένες στον χρήστη πληροφορίες σε πραγματικό<br />

χρόνο, με απίστευτη ταχύτητα και ακρίβεια, συμπεριλαμβάνοντας<br />

δεδομένα σχετικά με την κατανάλωσης εύρους<br />

ζώνης, την χρήση ψυχαγωγικού traffic και το τρέχον επίπε-<br />

40 security


ORTHOLOGY<br />

www.orthology.gr<br />

δο βελτιστοποίησης δικτύου. Όλα τα παραπάνω αποτελούν<br />

πολύτιμα εργαλεία, τα οποία επιτρέπουν στις επιχειρήσεις<br />

να λαμβάνουν τεκμηριωμένες αποφάσεις στο συντομότερο<br />

δυνατό χρονικό διάστημα, εξασφαλίζοντας ότι θα παραμείνουν<br />

ένα βήμα μπροστά από την εμφάνιση πιθανών προβλημάτων<br />

στο δίκτυο.<br />

2. Λεπτομερής ανάλυση του traffic εφαρμογών<br />

Ένα άλλο βασικό χαρακτηριστικό του Exinda Network<br />

Orchestrator είναι η προβολή της λεπτομερούς κατανομής<br />

της κυκλοφορίας εφαρμογών. Αυτή η λειτουργία επιτρέπει<br />

στους διαχειριστές δικτύων να έχουν μια σαφή και ενεργή<br />

προβολή της εισερχόμενης και εξερχόμενης κυκλοφορίας,<br />

η οποία ομαδοποιείται αυτόματα σε διαφορετικές κατηγορίες<br />

εφαρμογών. Με την ομαδοποίηση της κυκλοφορίας<br />

σε διαφορετικές κατηγορίες εφαρμογών, οι διαχειριστές<br />

δικτύων μπορούν να αποκτήσουν πρόσβαση σε πληροφορίες<br />

σχετικές με τις εφαρμογές που εκτελούνται την δεδομένη<br />

στιγμή και τον όγκο bandwidth που καταναλώνει η κάθε<br />

εφαρμογή. Αυτές οι πληροφορίες παρέχουν στους διαχειριστές<br />

δικτύων άμεση κατανόηση του τρόπου με τον οποίο<br />

χρησιμοποιούνται οι πόροι του δικτύου τους.<br />

3. Αυτόματη ιεράρχηση εφαρμογών<br />

Επιλέγοντας μεμονωμένες εφαρμογές, οι διαχειριστές δικτύων<br />

μπορούν να δουν περισσότερες λεπτομέρειες σχετικά<br />

με την ιστορική κατανάλωση bandwidth, επιτρέποντάς<br />

τους να λαμβάνουν τεκμηριωμένες αποφάσεις σχετικά με<br />

τη βελτιστοποίηση του δικτύου που καλούνται να διαχειριστούν.<br />

Η αυτόματη ενορχήστρωση του traffic είναι ένα άλλο<br />

βασικό χαρακτηριστικό του Exinda Network Orchestrator,<br />

που το κάνει πολύτιμο για τις επιχειρήσεις. Αυτή η λειτουργία<br />

επιτρέπει στους διαχειριστές δικτύου να δίνουν αυτόματα<br />

προτεραιότητα στις κρίσιμες επιχειρηματικές εφαρμογές<br />

του δικτύου τους. Με την αυτόματη ενορχήστρωση της κυκλοφορίας,<br />

οι διαχειριστές δικτύων μπορούν να διασφαλίσουν<br />

με βεβαιότητα πως το δίκτυό τους είναι βελτιστοποιημένο<br />

για κρίσιμες εφαρμογές για τη λειτουργία<br />

της επιχείρησης, βελτιώνοντας την ποιότητα της εμπειρίας<br />

του χρήστη και ενισχύοντας παράλληλα την απόδοση, την<br />

ασφάλεια και την αποτελεσματικότητα του δικτύου και των<br />

συσκευών που είναι συνδεδεμένες σε αυτό. Αυτή η λειτουργία<br />

είναι ιδιαίτερα χρήσιμη σε περιβάλλοντα όπου το traffic<br />

δικτύου και ο κίνδυνος συμφόρησης του δικτύου είναι σε<br />

υψηλά επίπεδα και υπάρχουν πολλές πιθανότητες για εμφάνιση<br />

τεχνικών προβλημάτων.<br />

4. Ιεράρχηση μεμονωμένων εφαρμογών<br />

Το τέταρτο βασικό χαρακτηριστικό του Exinda Network<br />

Orchestrator είναι η δυνατότητα προτεραιότητας ενιαίας<br />

εφαρμογής. Αυτή η λειτουργία επιτρέπει στους διαχειριστές<br />

δικτύου να δίνουν προτεραιότητα σε συγκεκριμένες<br />

εφαρμογές έναντι άλλων. Αυτό σημαίνει πως παρέχοντας<br />

προτεραιότητα σε συγκεκριμένες εφαρμογές, οι διαχειριστές<br />

δικτύων μπορούν να διασφαλίσουν ότι οι κρίσιμες εφαρμογές,<br />

για την ομαλή λειτουργία της επιχείρησης, έχουν πάντα<br />

επαρκείς πόρους δικτύου, διασφαλίζοντας ότι θα παραμείνουν<br />

διαθέσιμοι και θα εκτελέσουν στο βέλτιστο επίπεδο.<br />

Αυτή η λειτουργία είναι ιδιαίτερα χρήσιμη σε περιβάλλοντα<br />

όπου συγκεκριμένες εφαρμογές απαιτούν υψηλότερους πόρους<br />

δικτύου από άλλες.<br />

Συμπερασματικά, το Exinda Network Orchestrator είναι<br />

ένα από τα κορυφαία εργαλεία διαχείρισης δικτύου, καθώς<br />

προσφέρει ένα ολοκληρωμένο σύνολο δυνατοτήτων για<br />

την παρακολούθηση και τη βελτιστοποίηση της απόδοσης<br />

του δικτύου μιας επιχείρησης. Χρησιμοποιώντας το Exinda<br />

Network Orchestrator, οι επιχειρήσεις μπορούν να παραμείνουν<br />

ένα βήμα μπροστά σε πιθανά θέματα δικτύου,<br />

να βελτιστοποιήσουν τους πόρους του δικτύου τους και να<br />

διασφαλίσουν ότι οι κρίσιμες εφαρμογές για την ομαλή λειτουργία<br />

της επιχείρησης εκτελούνται στο βέλτιστο επίπεδο<br />

και χωρίς διακοπές. Με την παρακολούθηση της απόδοσης<br />

του δικτύου σε πραγματικό χρόνο, τη λεπτομερή κατανομή<br />

της κυκλοφορίας εφαρμογών, την αυτόματη ενορχήστρωση<br />

της κυκλοφορίας και την ιεράρχηση μεμονωμένων εφαρμογών,<br />

οι διαχειριστές δικτύων μπορούν να έχουν πλήρη ορατότητα<br />

του δικτύου τους και των κρίσιμων εφαρμογών του,<br />

εξασφαλίζοντας μια εμπειρία υψηλής ποιότητας χρήστη και<br />

βελτιωμένη αποτελεσματικότητα του δικτύου.<br />

Στο σημερινό ψηφιακό τοπίο, η κατοχή ενός αξιόπιστου<br />

εργαλείου διαχείρισης δικτύου, όπως το Exinda Network<br />

Orchestrator, είναι απαραίτητη για όσες επιχειρήσεις θέλουν<br />

να παραμείνουν ανταγωνιστικές και να ασφαλίσουν το<br />

δίκτυο, τις εφαρμογές και τα δεδομένα τους.<br />

security<br />

41


T<strong>79</strong>03/04/05.2023<br />

Issue<br />

Digital Forensics as a Service<br />

Η άγνωστη αξία των υπηρεσιών Ψηφιακής<br />

Εγκληματολογίας<br />

Στο σημερινό ψηφιακό περιβάλλον, η ανάγκη προστασίας ευαίσθητων πληροφοριών και<br />

η γρήγορη αντίδραση σε περιστατικά ασφαλείας είναι μεγαλύτερη από κάθε άλλη χρονική<br />

στιγμή. Η άνοδος του κυβερνοεγκλήματος, σε συνδυασμό με την αυξανόμενη πολυπλοκότητα<br />

των επιθέσεων, θέτει σημαντικές προκλήσεις για τις επιχειρήσεις και τους οργανισμούς<br />

παγκοσμίως. Σε αυτό το τοπίο, οι υπηρεσίες Digital Forensics αναδεικνύονται σε ισχυρό<br />

εργαλείο με νέες ειδικές δυνατότητες.<br />

Τι είναι η Ψηφιακή Εγκληματολογία (Digital<br />

Forensics);<br />

Πρόκειται για μία σειρά εξειδικευμένων υπηρεσιών συλλογής,<br />

ανάλυσης και ερμηνείας ψηφιακών αποδεικτικών στοιχείων,<br />

αναγκαίων για τη διερεύνηση περιστατικών στον κυβερνοχώρο,<br />

που αφορούν σε αστικές ή ποινικές υποθέσεις. Απαιτεί το<br />

συνδυασμό τεχνικών έρευνας ψηφιακών πειστηρίων<br />

και νομικών γνώσεων για την ανακατασκευή γεγονότων,<br />

τον εντοπισμό των δραστών και την παροχή ακριβών και αξιόπιστων<br />

πορισμάτων για περαιτέρω ενέργειες. Λειτουργεί πολύ<br />

συχνά ως υπηρεσία - σύνδεσμος μεταξύ των στελεχών <strong>IT</strong>/<br />

CISO, διοικήσεων και νομικών συμβούλων, και των κρατικών<br />

εποπτικών, αστυνομικών ή δικαστικών αρχών.<br />

Η σημασία των Digital Forensics: η αποκάλυψη<br />

της αλήθειας<br />

Η Ψηφιακή Εγκληματολογία συνεισφέρει σημαντικά στη διερεύνηση<br />

και επίλυση πλήθους περιστατικών, από επιθέσεις<br />

στον κυβερνοχώρο, παραβιάσεις δεδομένων και ψηφιακών<br />

συστημάτων και εισβολές σε δίκτυα, έως κλοπές πνευματικής<br />

ιδιοκτησίας, οικονομικές ή άλλες απάτες, κακόβουλη<br />

χρήση εκ μέρους εσωτερικών ή εξωτερικών προσώπων. Η<br />

ψηφιακή εγκληματολογία διαδραματίζει κρίσιμο ρόλο στην<br />

ανεξάρτητη αποκάλυψη αποδεικτικών στοιχείων, στην ανακατασκευή<br />

γεγονότων και στον εντοπισμό των υπευθύνων.<br />

Είτε πρόκειται για απλά είτε για σύνθετα περιστατικά ασφάλειας,<br />

οι τεχνικές και οι μεθοδολογίες ψηφιακής εγκληματο-<br />

42 security


Σπύρος Πιτικάρης<br />

Information <strong>Security</strong> Consultant, Alphabit AE<br />

www.alphabit.gr<br />

λογίας συμβάλλουν καθοριστικά στην αποκάλυψη της<br />

αλήθειας πίσω από σύνθετα ψηφιακά περιστατικά.Η σημασία<br />

της ψηφιακής εγκληματολογίας εκτείνεται πέρα από την<br />

καθαυτού αντιμετώπιση περιστατικών. Συντελεί καθοριστικό<br />

ρόλο σε νομικές διαδικασίες, προδικαστικές διαπραγματεύσεις<br />

και δικαστικές διαμάχες. Τα ψηφιακά αποδεικτικά στοιχεία<br />

που συλλέγονται και αναλύονται, χρησιμοποιούνται ως<br />

θεμέλιο για τη χάραξη στρατηγικής σε νομικές υποθέσεις,<br />

ως πειστήρια που μπορούν να αντέξουν τον έλεγχο σε ένα<br />

δικαστήριο. Η ψηφιακή εγκληματολογία βοηθά το τεχνικό<br />

προσωπικό να διαχειριστεί το μη αμιγώς τεχνικό σκέλος μιας<br />

έρευνας παρέχοντάς του παράλληλα υποστήριξη και διασφάλιση<br />

αξιοπιστίας στην εξαγωγή στοιχείων από συστήματα<br />

ευθύνης του, αλλά και το νομικό προσωπικό στη δόμηση<br />

ισχυρών υποθέσεων, μέσω έκθεσης πραγματογνωμοσύνης<br />

που υποστηρίζεται από αδιάσειστα αποδεικτικά στοιχεία. Οι<br />

ανεξάρτητες υπηρεσίες Digital Forensics αποτελούν<br />

εργαλείο στα χέρια των διοικήσεων για τη διασφάλιση<br />

της αντικειμενικότητας και την αποφυγή της περίπτωσης<br />

επίκλησης διένεξης συμφερόντων ή μόλυνσης των αποδεικτικών<br />

στοιχείων από τους αντιδίκους.<br />

Το πλαίσιο DFIR (Digital Forensics & Incident<br />

Response)<br />

Η Alphabit, αντλώντας εμπειρία από τα έργα που έχει υλοποιήσει,<br />

εφαρμόζει μια διαδικασία-πλαίσιο τεσσάρων βημάτων,<br />

στην κατεύθυνση μιας ολιστικής προσέγγισης στα<br />

ζητήματα διαχείρισης και διερεύνησης των περιστατικών<br />

κυβερνοασφάλειας:<br />

1. Προετοιμασία |2. Ανταπόκριση | 3. Διερεύνηση | 4.<br />

Αναφορά<br />

Εμβαθύνουμε σε κάθε βήμα ξεχωριστά, αναλύουμε την ειδική<br />

σημασία τους και αξιοποιούμε τεχνογνωσία και ίδιους<br />

πόρους (προσωπικό, πιστοποιήσεις, εξοπλισμός, εργαστήριο),<br />

με σκοπό την παροχή υπηρεσιών υψηλής αποτελεσματικότητας<br />

σε κάθε φάση της ψηφιακής εγκληματολογίας<br />

και την παράδοση αξιοποιήσιμων αποτελεσμάτων στους τελικούς<br />

πελάτες μας.<br />

Βήμα 1: Προετοιμασία - Περιλαμβάνει τη διενέργεια εκτίμησης<br />

κινδύνων, την εφαρμογή κατάλληλων μέτρων ελέγχου και<br />

την κατάρτιση πολιτικών και σχεδίων αντιμετώπισης περιστατικών.<br />

Οι δράσεις αυτές βοηθούν τους οργανισμούς να κτίσουν<br />

ισχυρές άμυνες ασφάλειας, να ελαχιστοποιήσουν τους κινδύνους<br />

εμφάνισης περιστατικών, αλλά και να εξασφαλίσουν την<br />

ταχύτερη και αποτελεσματικότερη αντιμετώπισή τους.<br />

Βήμα 2: Ανταπόκριση - Η ομάδα αντιμετώπισης περιστατικών<br />

της Alphabit κινητοποιείται γρήγορα για να περιορίσει<br />

το περιστατικό, να διαφυλάξει τα αποδεικτικά στοιχεία και να<br />

μετριάσει την περαιτέρω ζημία. Η ταχεία και συντονισμένη<br />

ανταπόκριση των πιστοποιημένων και έμπειρων στελεχών<br />

μας βοηθά τους οργανισμούς να ανακτήσουν τον έλεγχο των<br />

συστημάτων τους και να εξαλείψουν τις επιπτώσεις των περιστατικών<br />

στον κυβερνοχώρο.<br />

Βήμα 3: Διερεύνηση - Στη φάση αυτή, οι εξειδικευμένοι<br />

ερευνητές της Alphabit (Digital Forensics Investigators), συλλέγουν,<br />

αναλύουν και ερμηνεύουν τα ψηφιακά πειστήρια, με<br />

τη χρήση διεθνώς αναγνωρισμένων επιστημονικών μεθόδων<br />

και προηγμένων εργαλείων και τεχνικών για τον εντοπισμό<br />

των ψηφιακών ιχνών και την ανασύνθεση των γεγονότων.<br />

Βήμα 4: Αναφορά - Τα αποτελέσματα της διερεύνησης καταγράφονται<br />

και μελετώνται εις βάθος. Η Alphabit παραδίδει<br />

ολοκληρωμένες Εκθέσεις Πραγματογνωμοσύνης, με σαφή<br />

και αναλυτική περιγραφή των ευρημάτων. Οι εκθέσεις, που<br />

είναι στην πράξη ειδικές επιστημονικές μελέτες, παρέχουν<br />

ενδελεχή ανάλυση του περιστατικού, των μεθόδων διερεύνησης<br />

που χρησιμοποιήθηκαν και των στοιχείων που συλλέχθηκαν.<br />

Χρησιμεύουν ως πόροι υψίστης σημασίας για τις<br />

διοικήσεις, το νομικό προσωπικό και λοιπούς ενδιαφερόμενους<br />

φορείς που εμπλέκονται στην επίλυση των περιστατικών<br />

και σε νομικές διαδικασίες.<br />

Η σημασία ενός οργανωμένου εργαστηρίου -<br />

Πηγές συλλογής και ανάλυσης πληροφοριών<br />

Η ψηφιακή εγκληματολογία απαιτεί υψηλή κατάρτιση, διαρκή<br />

ενημέρωση και ειδικά εργαλεία ελέγχου. Η Alphabit διαθέτει<br />

εξοπλισμένο εργαστήριο και τεχνογνωσία για την εκτέλεση<br />

μεγάλου αριθμού ελέγχων, χωρίς να βασίζεται σε εξωτερικά<br />

εργαστήρια και υπηρεσίες τρίτων. Η ψηφιακή εγκληματολογία<br />

αφορά ένα ευρύ φάσμα συσκευών και ψηφιακών συστημάτων<br />

που μπορούν να αποτελέσουν αντικείμενο έρευνας:<br />

υπολογιστές, ηλεκτρονικές συσκευές, smartphones και<br />

tablets, διάφορα μέσα αποθήκευσης , π.χ. σκληρούς δίσκους<br />

security<br />

43


T<strong>79</strong>03/04/05.2023<br />

Issue<br />

και κάρτες μνήμης, στοιχεία υποδομής δικτύου, συσκευές<br />

IoT, ακόμη και υπηρεσίες cloud ή εν γένει ο,τιδήποτε μπορεί<br />

να εξάγει δεδομένα προς ανάλυση. Στο εργαστήριο ανάλυσης<br />

ψηφιακών πειστηρίων της Alphabit αναλύουμε τις ως άνω<br />

πηγές, προκειμένου να αποκαλύψουμε ίχνη που σχετίζονται<br />

με επιθέσεις κακόβουλου λογισμικού, παραβιάσεις<br />

δεδομένων, κακόβουλη χρήση και απάτες. Εξάγουμε<br />

και αναλύουμε δεδομένα από αυτές, συμπεριλαμβανομένων<br />

ψηφιακών αρχείων, αρχείων καταγραφών, της δραστηριότητας<br />

του δικτύου και μηνυμάτων, για να ανακατασκευάσουμε<br />

τα γεγονότα και να εντοπίσουμε τα υπεύθυνα μέρη. Καθώς η<br />

τεχνολογία συνεχίζει να εξελίσσεται, οι μεθοδολογίες ψηφιακής<br />

εγκληματολογίας προσαρμόζονται, ώστε να περιλαμβάνουν<br />

νέες συσκευές και τεχνολογίες, διασφαλίζοντας ότι οι<br />

έρευνες παραμένουν ολοκληρωμένες και αποτελεσματικές<br />

σε ένα διαρκώς μεταβαλλόμενο ψηφιακό τοπίο.<br />

Η σημασία επιλογής Digital Forensics<br />

Investigator<br />

Οι υπηρεσίες Digital Forensics είναι εξαιρετικά σημαντικές<br />

στο σύγχρονο ψηφιακό τοπίο και η επιλογή συνεργάτη πριν<br />

από την έλευση ενός δυσμενούς περιστατικού είναι σημαντική<br />

για να υπάρχει οργανωμένο πλαίσιο ταχείας ανταπόκρισης.<br />

Η Alphabit αποτελεί τον πλέον αξιόπιστο πάροχο εξειδικευμένων<br />

υπηρεσιών στον τομέα αυτό. Μέσω μίας ολιστικής<br />

προσέγγισης DFIR, η Alphabit βοηθά τους οργανισμούς<br />

να οργανώσουν τις άμυνές τους στον κυβερνοχώρο,<br />

να ανταποκριθούν γρήγορα σε περιστατικά, να αποκαλύψουν<br />

κρίσιμα ηλεκτρονικά ίχνη και να αποκτήσουν πρόσβαση σε<br />

σαφή και αξιοποιήσιμα πορίσματα.<br />

Με τήρηση απόλυτης εμπιστευτικότητας, με πιστοποιημένους<br />

ερευνητές, υπερσύγχρονο εργαστήριο ψηφιακής<br />

εγκληματολογίας, τεχνογνωσία και ολοκληρωμένο φάσμα<br />

υπηρεσιών, η Alphabit διαδραματίζει καθοριστικό ρόλο τόσο<br />

στον προληπτικό μετριασμό των απειλών στον κυβερνοχώρο<br />

όσο και στην εκ των υστέρων αντιμετώπιση των δυ-<br />

σμενών αποτελεσμάτων περιστατικών κυβερνοασφάλειας,<br />

δίνοντας τη δυνατότητα στους οργανισμούς να λαμβάνουν<br />

τεκμηριωμένες αποφάσεις για τις ενέργειές τους και να διατηρούν<br />

την ασφάλειά τους στο υψηλότερο επίπεδο σε έναν<br />

ολοένα πιο σύνθετο και πολύπλοκο ψηφιακό κόσμο.<br />

Η Alphabit ως πολύτιμος συνεργάτης ψηφιακής<br />

ασφάλειας<br />

Η Alphabit, έμπειρη και εξειδικευμένη εταιρεία υπηρεσιών<br />

πληροφορικής και ψηφιακής ασφάλειας, με δραστηριότητα<br />

από το 2008, προσφέρει ένα ευρύ φάσμα υπηρεσιών για να<br />

βοηθήσει τους οργανισμούς να μετριάσουν τους κινδύνους<br />

και να ανταποκριθούν αποτελεσματικά σε περίπτωση παραβιάσεων<br />

κατά των πληροφοριακών αγαθών και της ασφάλειας<br />

τους. Οι υπηρεσίες της περιλαμβάνουν:<br />

Incident Response: Η ομάδα της Alphabit ανταποκρίνεται<br />

γρήγορα σε περιστατικά στον κυβερνοχώρο, περιορίζοντας<br />

την έκταση του προβλήματος, διατηρώντας τα αποδεικτικά<br />

στοιχεία και ελαχιστοποιώντας τις πιθανές ζημίες. Οι ενέργειες<br />

αυτές είναι πολύ πιο αποτελεσματικές, όταν έρχονται<br />

σε συνέχεια προηγούμενης προετοιμασίας και εξοικείωσης<br />

με τις ιδιαιτερότητες κάθε οργανισμού.<br />

Data Recovery: Η Alphabit διαθέτει ένα υπερσύγχρονο εργαστήριο<br />

ψηφιακής εγκληματολογίας για την ανάκτηση, συλλογή<br />

και διαφύλαξη ψηφιακών δεδομένων, ακόμη και από<br />

κατεστραμμένα, κλειδωμένα ή παραβιασμένα συστήματα,<br />

επιτρέποντας στους οργανισμούς να ανακτήσουν την πρόσβαση<br />

σε ζωτικής σημασίας πληροφορίες που τους αφορούν.<br />

Digital Forensics: Η Alphabit διεξάγει ενδελεχείς έρευνες,<br />

εφαρμόζοντας εγκληματολογικές μεθοδολογίες για τον εντοπισμό<br />

των βαθύτερων αιτιών των περιστατικών, τον εντοπισμό<br />

ηλεκτρονικών ιχνών και τη συλλογή κρίσιμων αποδεικτικών<br />

στοιχείων τηρώντας απόλυτες δεσμεύσεις εμπιστευτικότητας.<br />

Εκθέσεις Πραγματογνωμοσύνης: Η Alphabit παρέχει ολοκληρωμένες<br />

εκθέσεις πραγματογνωμοσύνης που παρουσιάζουν<br />

σαφή και αναλυτικά πορίσματα, υποστηριζόμενα από<br />

ισχυρά αποδεικτικά στοιχεία, κατάλληλα για το νομικό προσωπικό<br />

και λοιπές ενδιαφερόμενες αρχές.<br />

Καταθέσεις Πραγματογνωμόνων: Οι έμπειροι σύμβουλοι<br />

της Alphabit είναι σε θέση να παράσχουν αναλύσεις και εξήγηση<br />

υψηλού επιπέδου σε νομικές διαδικασίες, ενισχύοντας<br />

την αξιοπιστία των παρεχόμενων αποδεικτικών στοιχείων.<br />

vCISO as a service: Οι υπηρεσίες vCISO προσφέρουν<br />

καθοδήγηση και υποστήριξη σε νομικό και τεχνικό προσωπικό<br />

οργανισμών ή και σε διοικήσεις που χρειάζονται<br />

καθοδήγηση στη λήψη αποφάσεων, σε ειδικές διαπραγματεύσεις<br />

κ.λπ.<br />

44 security


T<strong>79</strong>03/04/05.2023<br />

Issue<br />

Γιατί η ασφάλεια τελικού σημείου<br />

(end point) και ο έλεγχος ταυτότητας<br />

πολλαπλών παραγόντων (MFA)<br />

πρέπει να συνδυάζονται!<br />

ο τρέχον πεδίο απειλών στον κυβερνοχώρο<br />

Τ<br />

έχει οδηγήσει τις εταιρείες να αναζητήσουν<br />

νέες μορφές προστασίας, με αποτέλεσμα όλο<br />

και περισσότεροι να καταλήγουν σε λύσεις<br />

κυβερνοασφάλειας. Τα νούμερα είναι ανησυχητικά:<br />

καθημερινά καταγράφονται 148.104 επιθέσεις με<br />

κακόβουλο λογισμικό, δηλαδή 6.172 επιθέσεις την ώρα. Οι<br />

συνέπειες μιας παραβίασης μπορεί να σημαίνουν τη διάθεση<br />

μεγάλου μέρους των πόρων μιας εταιρείας για την αποκατάσταση<br />

πληροφοριακών συστημάτων και την αντιμετώπιση<br />

τυχόν επακόλουθων κυρώσεων και μηνύσεων. Σύμφωνα<br />

με στοιχεία από την IBM, μια παραβίαση δεδομένων κοστίζει<br />

κατά μέσο όρο σε μια επιχείρηση 4,35 εκατομμύρια δολάρια.<br />

Λαμβάνοντας υπόψη την ταχεία αύξηση του αριθμού των<br />

απειλών, οι ασφαλιστικές εταιρείες εισάγουν νέες απαιτήσεις<br />

κυβερνοασφάλειας και εγγυήσεις ελάχιστου ασφαλίσματος.<br />

Για να είναι για να είναι επιλέξιμες για ένα ασφαλιστικό συμβόλαιο,<br />

οι εταιρείες πρέπει να διαθέτουν βασικά στοιχεία, όπως<br />

τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), τακτικά<br />

ενημερωμένα εξωτερικά και εσωτερικά αντίγραφα ασφαλείας<br />

και ένα σχέδιο αντιμετώπισης κυβερνοεπιθέσεων. Επιπλέον,<br />

ανάλογα με το μέγεθός τους, οι επιχειρήσεις πρέπει να<br />

αποδείξουν ότι διαθέτουν μόνιμο προσωπικό κυβερνοασφάλειας<br />

ή ότι συνεργάζονται με έναν εξωτερικό πάροχο, που<br />

παρέχει υπηρεσίες ασφάλειας στον κυβερνοχώρο, καθώς<br />

και λύσεις ασφάλειας τελικού σημείου που να συνιστούν ένα<br />

Zero-Trust μοντέλο που θα διασφαλίζει την πολυεπίπεδη<br />

προστασία της υποδομής πληροφοριακών συστημάτων<br />

της εταιρείας από όλους τους τύπους απειλών.<br />

Γιατί είναι σημαντικές αυτές οι προτάσεις/λύσεις;<br />

Η συνηθισμένη σύνδεση με όνομα χρήστη και κωδικούς πρόσβασης<br />

μπορούν εύκολα να παραβιαστούν. Γενικά, οι άνθρωποι<br />

τείνουν να επαναχρησιμοποιούν τους κωδικούς πρόσβασής<br />

τους ή να δημιουργούν απλούς κωδικούς πρόσβασης<br />

υποθέτοντας ότι οι λογαριασμοί τους δεν έχουν ενδιαφέρον<br />

46 security


WatchGuard Technologies<br />

www.watchguard.com<br />

για τους εγκληματίες του κυβερνοχώρου. Για τον λόγο αυτό,<br />

απαιτούν MFA για τη χρήση των προϊόντων τους, καθώς η<br />

λύση αυτή συνιστάται για την αποτροπή επιθέσεων για την<br />

κλοπή στοιχείων πρόσβασης/κωδικών (ή προστασία από<br />

επιθέσεις που στοχεύουν στην κλοπή στοιχείων πρόσβασης/<br />

κωδικών). Για παράδειγμα, ο επικεφαλής εθνικής ασφάλειας<br />

για τον κυβερνοχώρο των ΗΠΑ δήλωσε ότι η εφαρμογή του<br />

MFA μπορεί να αποτρέψει έως και το 80-90% των κυβερνοεπιθέσεων.<br />

Παρόλα αυτά, δεν παρέχουν όλες οι επιλογές MFA<br />

το ίδιο επίπεδο προστασίας. Οι εγκληματίες του κυβερνοχώρου<br />

γνωρίζουν πώς να χρησιμοποιούν εξελιγμένες τακτικές<br />

για να παρακάμψουν μερικές από τις πιο διαδεδομένες μεθόδους,<br />

όπως κωδικούς μίας χρήσης που αποστέλλονται μέσω<br />

SMS. Οπότε, τι θα συμβεί εάν ο εισβολέας καταφέρει να αποκτήσει<br />

πρόσβαση στο δίκτυο; Εάν οι κακόβουλοι παίχτες του<br />

κυβερνοχώρου, καταφέρουν να ξεπεράσουν το εμπόδιο του<br />

MFA ή ίσως να αποκτήσουν πρόσβαση σε έναν υπολογιστή<br />

από απόσταση μέσω νόμιμων εργαλείων απομακρυσμένης<br />

σύνδεσης όπως το Πρωτόκολλο Απομακρυσμένης Επιφάνειας<br />

Εργασίας (RDP), θα προσπαθήσουν να πάρουν τον<br />

έλεγχο του συστήματος για να πραγματοποιήσουν την επίθεση.<br />

Μόλις εισέλθουν στο δίκτυο, θα προσπαθήσουν να εισβάλλουν<br />

και σε άλλα συστήματα κινούμενοι πλευρικά εντός του<br />

δικτύου και έτσι να αποκτήσουν προνομιακά στοιχεία πρόσβασης<br />

που θα τους επιτρέψουν να φτάσουν στα ευαίσθητα<br />

δεδομένα μιας εταιρείας. Αυτές οι τεχνικές είναι χαρακτηριστικές<br />

των επιθέσεων κακόβουλου λογισμικού, γνωστές ως<br />

ransomware, όπου οι χάκερς εκμεταλλεύονται τις αδυναμίες<br />

του συστήματος και τη χρήση εργαλείων για να κάνουν μια<br />

επίθεση με απώτερο σκοπό την κλοπή πληροφοριών, την κρυπτογράφηση<br />

δεδομένων και στη συνέχεια την απαίτηση λύτρων.<br />

Ανησυχητικά δεδομένα αποκαλύπτουν ότι καθημερινά<br />

εντοπίζονται 338.000 νέα κακόβουλα προγράμματα και<br />

δυνητικά ανεπιθύμητες εφαρμογές (PUAs). Για να αποτρέψουν<br />

αυτούς τους τύπους επιθέσεων, οι εταιρείες, πρέπει<br />

να αναπτύξουν μια λύση που μπορεί να παρέχει προστασία,<br />

εντοπισμό και αντιμετώπιση στο τελικό σημείο.<br />

MFA + Ασφάλεια Τελικού Σημείου: ο συνδυασμός<br />

της επιτυχίας<br />

Ο καλύτερος τρόπος για την προστασία του δικτύου μιας εταιρείας,<br />

είναι η χρήση συμπληρωματικών λύσεων MFA και<br />

ασφάλειας τελικού σημείου. Η εφαρμογή και των δύο τεχνολογιών<br />

ενισχύει την ασφάλεια με τους ακόλουθους τρόπους:<br />

1. Το MFA είναι το πρώτο εμπόδιο για την αποτροπή κλοπής<br />

κωδικών. Ωστόσο, το 86% των οργανισμών το χρησιμοποιούν<br />

μέσω email ή SMS, το οποίο, ενώ προσθέτει ένα επίπεδο δυσκολίας,<br />

μπορεί να παρακαμφθεί. Για να αποφευχθεί αυτό, είναι<br />

σημαντικό να αποκτήσετε μια προηγμένη λύση που ενσωματώνει<br />

χαρακτηριστικά όπως το mobile DNA για να<br />

εξαλείψετε την πιθανότητα οι χάκερ να αποκτήσουν πρόσβαση<br />

στο δίκτυο σας χρησιμοποιώντας παραβιασμένους κωδικούς.<br />

2.Εάν οι εγκληματίες του κυβερνοχώρου προσπαθήσουν να<br />

αναπτύξουν το κακόβουλο λογισμικό στο δίκτυο χρησιμοποιώντας<br />

άλλους τρόπους επίθεσης, όπως ηλεκτρονικό ψάρεμα<br />

(phishing), εκμετάλλευση τρωτών σημείων ή κοινωνική<br />

μηχανική, θα χρειαστεί μια λύση ασφαλείας τελικού σημείου<br />

για να σταματήσει η επίθεση. Μέσω της υπηρεσίας εφαρμογών<br />

Zero-Trust, η τεχνολογία WatchGuard EPDR<br />

παρακολουθεί συνεχώς τα τελικά σημεία και με τη βοήθεια<br />

της τεχνητής νοημοσύνης, ταξινομεί όλες τις διαδικασίες και<br />

τις εφαρμογές στο σύστημα ως κακόβουλο ή καλόβουλο λογισμικό,<br />

εμποδίζοντας την εκτέλεσή τους εάν δεν επαληθευτούν<br />

ως αξιόπιστες. Αυτή η τεχνολογία εξασφαλίζει ότι μόνο<br />

οι διαδικασίες που έχουν ταξινομηθεί ως αξιόπιστες εκτελούνται<br />

στις συσκευές. Επιπλέον, σε συνδυασμό με την Υπηρεσία<br />

Αναζήτησης Απειλών -Threat Hunting Service, αυτή η<br />

υπηρεσία μπορεί να ανιχνεύσει παράξενη ή ασυνήθιστη συμπεριφορά<br />

που πραγματοποιείται από χάκερ που προσπαθούν<br />

να αναπτύξουν κακόβουλο λογισμικό, χρησιμοποιώντας<br />

προηγμένες τακτικές με νόμιμα εργαλεία που περνούν<br />

απαρατήρητα, ώστε να διαπράξουν μια επίθεση.<br />

Η επίτευξη ολοκληρωμένης, απλοποιημένης, αυτοματοποιημένης<br />

και έξυπνης διαχείρισης αυτών των λύσεων είναι δυνατή<br />

με με την αρχιτεκτονική της Ενοποιημένης Πλατφόρμας<br />

Ασφαλείας (Unified <strong>Security</strong> Platform) της Watchguard,<br />

η οποία, σύμφωνα με στοιχεία έρευνας της Pulse, θεωρείται<br />

πως παρεμποδίζει την παραγωγικότητα των ομάδων από το<br />

95% των MSP. Είναι λογικό λοιπόν, ότι οι ασφαλιστικές εταιρείες<br />

απαιτούν πλέον τη συνδυασμένη χρήση αυτών των λύσεων,<br />

μιας και αποτελεί έναν συνδυασμό επιτυχίας που μειώνει<br />

σημαντικά τις πιθανότητες μιας εταιρείας να υποστεί τις αρνητικές<br />

επιπτώσεις λόγω παραβίασης δεδομένων.<br />

security<br />

47


T<strong>79</strong>03/04/05.2023<br />

Report<br />

13 o Infocom <strong>Security</strong> 2023<br />

The Power of AI in Cyber <strong>Security</strong><br />

To 13 o Infocom <strong>Security</strong>, επιβεβαίωσε ότι είναι η κορυφαία και πιο επιδραστική εκδήλωση στην<br />

Ελλάδα για την ασφάλεια πληροφοριών, συγκεντρώνοντας στον εξαιρετικό χώρο του Ωδείου<br />

Αθηνών, πάνω από χίλιους επαγγελματίες του χώρου της πληροφορικής και της τεχνολογίας,<br />

τις κορυφαίες εταιρίες και τα σημαντικότερα brands του cyber security, αναδεικνύοντας<br />

παράλληλα ένα σύγχρονο και πολύ ενδιαφέρον περιεχόμενο, δίνοντας έμφαση μεταξύ άλλων<br />

θεματικών αντικειμένων στην Τεχνητή Νοημοσύνη.<br />

ο Infocom <strong>Security</strong> από την πρώτη χρονιά διοργάνωσης<br />

του το 2011 και ύστερα, αναγνω-<br />

Τ<br />

ρίζεται ως στο μεγαλύτερο και σημαντικότερο<br />

event στην Ελλάδα για την Ασφάλεια Πληροφοριών,<br />

αποτελώντας την κορυφαία συνάντηση<br />

των επαγγελματιών της πληροφορικής που ειδικεύεται<br />

στον συγκεκριμένο τομέα και γνωρίζοντας την καθολική<br />

αναγνώριση της αγοράς των υπηρεσιών και λύσεων του<br />

Cyber <strong>Security</strong>. Το 13 ο Infocom <strong>Security</strong> που πραγματοποιήθηκε<br />

στις 26 και 27 Απριλίου και διοργανώθηκε για<br />

πρώτη φορά στον εξαιρετικό χώρο του Ωδείου Αθηνών,<br />

ήταν κατά γενική ομολογία ένα από τα καλύτερα και πιο επιτυχημένα<br />

συνέδρια για φέτος και σίγουρα το πολυπληθέστερο<br />

στο τομέα της τεχνολογίας στη χώρα μας.<br />

48 security


13 O INFOCOM SECUR<strong>IT</strong>Y 2023<br />

Οι επισκέπτες και όλοι οι συμμετέχοντες, αποκόμισαν εξαιρετικές<br />

εντυπώσεις από τον νέο χώρο διοργάνωσης που<br />

ανταποκρίθηκε απόλυτα στις υψηλές απαιτήσεις που<br />

υπάρχουν για ένα event όπως το Infocom <strong>Security</strong> και σε ότι<br />

αφορά το αμφιθέατρο της ολομέλειας και τις αίθουσες των<br />

workshop, αλλά σε σχέση με το φουαγιέ που φιλοξένησε<br />

τον εκθεσιακό τομέα του συνεδρίου. Φυσικά το μεγαλύτερο<br />

μερίδιο επιτυχίας του φετινού Infocom <strong>Security</strong>, ανήκει για<br />

ακόμα μια φορά στους επισκέπτες του συνέδριου και στην<br />

πολύ μεγάλη προσέλευση που ξεπέρασε συνολικά και τις<br />

δυο ημέρες τα 1000 άτομα.<br />

Η μεγάλη κοινότητα των επαγγελματιών από το χώρο<br />

της πληροφορικής και των τεχνολογιών ευρύτερα, κάθε<br />

επαγγελματικής βαθμίδας και θέσης, που έχει δημιουργήσει το<br />

συνέδριο Infocom <strong>Security</strong> της Smart Press και το περιοδικό<br />

<strong>IT</strong> <strong>Security</strong> <strong>Professional</strong>, ανταποκρίθηκε θετικά στο φετινό<br />

κάλεσμα καθιστώντας το 13o Infocom <strong>Security</strong> σε τόπο συνάντησης<br />

και δικτύωσης, στελεχών τμημάτων <strong>IT</strong> (CTOs, CIOs,<br />

CISOs, <strong>IT</strong> Managers, <strong>IT</strong> Auditors – Engineers – Administrators,<br />

Risk & Compliance Managers, DPOs, e.t.c) από όλη την Ελλάδα<br />

και από εταιρίες και οργανισμούς όλων κάθετων<br />

αγορών του Ιδιωτικού και Δημόσιου τομέα, καθώς και<br />

για επαγγελματίες από το κανάλι της Πληροφορικής, εταιριών<br />

που δραστηριοποιούνται στην υλοποίηση έργων και<br />

την παροχή λύσεων και υπηρεσιών ΙΤ, όπως επίσης και για<br />

πολλούς ακαδημαϊκούς, επιστήμονες και ερευνητές.<br />

Περιεχόμενο που<br />

έκανε τη διαφορά με<br />

επίκεντρο το AI<br />

Όλοι οι επισκέπτες είχαν την<br />

ευκαιρία να παρακολουθήσουν<br />

ένα διήμερο πλήρες<br />

πρόγραμμα ομιλιών, παρουσιάσεων,<br />

workshops και πάνελ<br />

συζήτησης, με τη συμμετοχή<br />

διακεκριμένων εισηγητών<br />

- ειδικών στον τομέα<br />

της ασφάλειας πληροφοριών,<br />

που ανέδειξαν τις εξελίξεις<br />

στο Cyber <strong>Security</strong> στην<br />

εποχή της ραγδαίας ανάπτυξης<br />

του Ψηφιακού Μετασχηματισμού<br />

και των ολοένα και αυξανόμενων<br />

ποσοτικά και ποιοτικά,<br />

απειλών στο κυβερνοχώρο.<br />

Κοινός τόπος στο περιεχόμενο<br />

του συνεδρίου αποτέλεσε η επίδραση της Τεχνητής Νοημοσύνης<br />

στο τομέα της κυβερνοασφάλειας, που άλλωστε<br />

αποτυπώθηκε και από την κεντρική ιδέα της φετινής<br />

διοργάνωσης.<br />

Οι εισηγητές του συνεδρίου ανέπτυξαν τους λόγους για τους<br />

οποίους η Τεχνητή Νοημοσύνη αποτελεί σήμερα τη βασικότερη<br />

τεχνολογική τάση με ευρεία εφαρμογή σε πολλές καθημερινές<br />

και επαγγελματικές διεργασίες, εστιάζοντας μεταξύ<br />

άλλων στις θετικές αλλά και τις αρνητικές επιπτώσεις της ευρείας<br />

χρήστης της. Είδαμε πως από τη μια πλευρά, οι εγκληματίες<br />

του κυβερνοχώρου μπορούν να αξιοποιήσουν προηγμένα<br />

εργαλεία κακόβουλου λογισμικού με ΑΙ, προκειμένου<br />

να εισβάλουν ως επιτιθέμενοι στις <strong>IT</strong> υποδομές, ενώ από<br />

security<br />

49


T<strong>79</strong>03/04/05.2023<br />

Report<br />

την άλλη πλευρά, διαπιστώσαμε ότι η τεχνητή<br />

νοημοσύνη μπορεί να προσφέρει συστήματα<br />

και λύσεις με δυνατότητες αποτελεσματικής<br />

ανταπόκρισης σε κυβερνοεπιθέσεις σε ελάχιστο<br />

χρόνο και με τη μέγιστη απόδοση. Επίσης<br />

συζητήθηκαν εκτενώς τα ζητήματα της προάσπισης<br />

της ιδιωτικότητας στα πλαίσια της<br />

ολοένα και μεγαλύτερης εφαρμογής του ΑΙ.<br />

Επιπρόσθετα συζητήθηκαν, μια σειρά από κρίσιμα<br />

θέματα με βασικότερα όλων την αντιμετώπιση<br />

των σύγχρονων απειλών σε διαφορετικούς<br />

κλάδους και κάθετες αγορές, όπως της<br />

βιομηχανίας, της ναυτιλίας, της εφοδιαστικής<br />

αλυσίδας, του χρηματοοικονομικού τομέα και<br />

των κρίσιμων υποδομών, καθώς επίσης και<br />

νέες προσεγγίσεις στη διαχείριση ταυτότητας<br />

(Identity), την εξέλιξη στην ασφάλεια στο υπολογιστικό<br />

νέφος (cloud) και το Διαδίκτυο των Πραγμάτων (IoΤ), τη<br />

βέλτιστη παροχή υπηρεσιών διαχειριζόμενης ασφάλειας<br />

(MSSP) και την ανάπτυξη μοντέλων αρχιτεκτονικής μηδενικής<br />

εμπιστοσύνης (Zero Trust). Μεγάλο μέρος του προγράμματος,<br />

κάλυψε φυσικά και κομβικός ρόλος του ανθρώπινου<br />

παράγοντα και των επαγγελματιών στο τομέα της<br />

κυβερνοασφάλειας, η διαχείριση της δυσκολίας κάλυψης<br />

των αναγκών που υπάρχουν σε ανθρώπινο δυναμικό στην<br />

αγορά, οι δεξιότητες και τα γνωστικά αντικείμενα που πρέπει<br />

να έχουν οι επαγγελματίες ασφάλειας πληροφοριών προκειμένου<br />

να αποτελέσουν πυλώνες προώθησης του awareness<br />

και καθοδήγησης των ανθρώπων μέσα στις επιχειρήσεις.<br />

Βασικό συμπέρασμα όλων των ομιλιών και των συζητήσεων<br />

που πραγματοποιήθηκαν, ήταν ότι η ασφάλεια είναι μια<br />

συνεχής διαδικασία, στην οποία δεν χωράει ο παραμικρός<br />

εφησυχασμός, απαιτώντας συνεχή προσοχή και προσαρμογή<br />

στις εκάστοτε συνθήκες όπως αυτές διαμορφώνονται από<br />

την εμφάνιση νεών απειλών, αλλά και από τον επιχειρηματικό<br />

μετασχηματισμό. Διαπιστώσαμε επίσης πόσο σημαντική είναι<br />

η ενσωμάτωση ζητημάτων ασφάλειας στους κύκλους ζωής<br />

ανάπτυξης λογισμικού, τη θέσπιση πολιτικών και διαδικασιών<br />

σχετικά με την προστασία δεδομένων και την παροχή τακτικής<br />

εκπαίδευσης ασφάλειας για τους υπαλλήλους στα πλαίσια<br />

του awareness.<br />

Έκθεση Εταιριών Χορηγών<br />

Όπως κάθε χρόνο, στα πλαίσια του Infocom <strong>Security</strong><br />

2023, πραγματοποιήθηκε παράλληλη έκθεση των χορηγών<br />

εταιριών, δίνοντας την ευκαιρία στους επισκέπτες να<br />

έρθουν σε επαφή με τις επιχειρήσεις που δραστηριοποιούνται<br />

στον τομέα των υπηρεσιών και λύσεων για την ψηφιακή<br />

ασφάλεια, προκειμένου να συναντηθούν με τα στελέχη<br />

τους και να ενημερωθούν για τις δραστηριότητες τους<br />

και γενικότερα για όλες τις εξελίξεις στο χώρο. Το InfoCom<br />

<strong>Security</strong>, έχοντας την καθολική αναγνώριση από το σύνολο<br />

της συγκεκριμένης αγοράς, συγκέντρωσε όπως κάθε<br />

χρόνο τις σημαντικότερες και μεγαλύτερες Ελληνικές εταιρίες<br />

του χώρου της κυβερνοασφάλειας, καθώς και κορυφαία<br />

brands παγκόσμιας δραστηριότητας που υποστήριξαν<br />

το event και συμμετείχαν στις ομιλίες της ολομέλειας, των<br />

workshops και στην έκθεση.<br />

Στις επόμενες σελίδες ακολουθεί πλούσιο φωτογραφικό<br />

υλικό από τους ομιλητές του συνεδρίου με κάποια βασικά<br />

στοιχεία αναφοράς της συμμετοχής τους και από τις εταιρίες<br />

που συμμετείχαν στην έκθεση, ενώ περισσότερες φωτογραφίες,<br />

τις παρουσιάσεις αλλά και βίντεο των ομιλιών<br />

μπορείτε να βρείτε στην ιστοσελίδα του συνεδρίου www.<br />

infocomsecurity.gr<br />

50 security


13 O INFOCOM SECUR<strong>IT</strong>Y 2023<br />

1 η ημέρα – 26 Απριλίου<br />

Κώστας Νόστης<br />

Βλάσης<br />

Αμανατίδης<br />

Τους Συνέδρους<br />

καλωσόρισαν ο<br />

CEO της Smart<br />

Press και Πρόεδρος<br />

της Οργανωτικής Επιτροπής Κώστας Νόστης και ο<br />

Αρχισυντάκτης του <strong>IT</strong> <strong>Security</strong> <strong>Professional</strong> και υπεύθυνος<br />

προγράμματος Βλάσης Αμανατίδης<br />

Θωμάς Δομπρίδης<br />

Στις εναρκτήριες ομιλίες, ο Θωμάς Δομπρίδης<br />

– Προϊστάμενος Γενικής Διεύθυνσης<br />

Κυβερνοασφάλειας του Υπουργείου<br />

Ψηφιακής Διακυβέρνησης παρουσίασε<br />

το ενοποιημένο κέντρο αναφοράς<br />

και το εθνικό δίκτυο SOC.<br />

Βασίλειος Παπακώστας<br />

Στη συνέχεια ο Βασίλειος Παπακώστας<br />

– Διευθυντής της Διεύθυνσης Δίωξης<br />

Ηλεκτρονικού Εγκλήματος της<br />

Ελληνικής Αστυνομίας ανέδειξε την<br />

επίδραση του AI ως ένα εργαλείο που<br />

μπορεί να χρησιμοποιηθεί και για επίθεση<br />

και για άμυνα ενώ τόνισε χαρακτηριστικά ότι «όσα μέτρα<br />

και αν ληφθούν σε οποιοδήποτε επίπεδο, αδύναμος κρίκος<br />

παραμένει ο άνθρωπος.<br />

Παναγιώτης Καλαντζής<br />

Οι εναρκτήριες ομιλίες έκλεισαν με τον συνεργάτη<br />

του <strong>IT</strong> <strong>Security</strong> <strong>Professional</strong>, Παναγιώτη<br />

Καλαντζής (Cyber <strong>Security</strong> &<br />

Data Privacy Expert, CISO, vCISO, Cyber<br />

<strong>Security</strong> Strategist & Board Advisor) να<br />

αναλύσει όλες τις θετικές και αρνητικές<br />

πτυχές της Τεχνητής Νοημοσύνης στη κυβερνοασφάλεια, παρουσιάζοντας<br />

ταυτόχρονα σύγχρονα εργαλεία που εφαρμόζουν<br />

το AI στη πράξη.<br />

Γιώργος Δάγλας<br />

Στην έναρξη της 1ης ενότητας ο Γιώργος<br />

Δάγλας – Αντιπρόεδρος και Chief<br />

of Strategy και Customer Success<br />

της OBRELA – ανέδειξε ως βασικό στόχο<br />

να δοθεί τέλος στην απρόβλεπτη πολυπλοκότητα<br />

που αντιμετωπίζουν οι οργανισμοί<br />

στη διαχείριση της ασφάλειας στον κυβερνοχωρό.<br />

Νικήτας Κλαδάκης<br />

Ο Νικήτας Κλαδάκης – General<br />

Manager της ADACOM – παρουσίασε<br />

στο κοινό τις επιπτώσεις του AI<br />

malware Deeplocker ως μια εξέλιξη<br />

στο κυβερνοέγκλημα αλλά και το πως<br />

μπορεί να αντιμετωπιστεί.<br />

Γιάννης Παυλίδης<br />

Ο Γιάννης Παυλίδης – <strong>Security</strong><br />

Solutions Architect της UNI SYSTEMS<br />

– στο πνεύμα του συνεδρίου ιχνηλάτησε<br />

τις διαφορετικές πτυχές και τα ρίσκα του<br />

AI σχετικά με την ασφάλεια στον κυβερνοχώρο,<br />

επισημαίνοντας τους τρόπους<br />

με τους οποίους θα πρέπει να προετοιμαστούμε κατάλληλα<br />

για να διαχειριστούμε αυτή τη σημαντική εξέλιξη.<br />

Αντώνης Παράβαλος<br />

Ο Αντώνης Παράβαλος – Networking<br />

Unit Manager, Solution Architect της<br />

PERFORMANCE Technologies – έθεσε<br />

ως κύριο θέμα προβληματισμού το<br />

αν και με ποιο τρόπο μπορούμε σήμερα<br />

να φθάσουμε στα ίδια επίπεδα ασφάλειας<br />

ένα υβριδικό περιβάλλον οργανισμού σε σχέση με αυτό<br />

που επικρατούσε μέχρι πριν μερικά χρόνια.<br />

security<br />

51


T<strong>79</strong>03/04/05.2023<br />

Report<br />

Νίκος Αστυφίδης<br />

Ο Νίκος Αστυφίδης – Manager, Cyber<br />

<strong>Security</strong>, Consulting της KPMG στην<br />

Ελλάδα – μοιράστηκε την πρόβλεψη<br />

βάση στοιχείων της εταιρίας του ότι η<br />

αγορά του AI το 2030 θα αγγίξει παγκοσμίως<br />

το 1,5 τρις δολάρια.<br />

Λάμπρος Κατσώνης<br />

Ο Λάμπρος Κατσώνης – Solutions<br />

Director της GUARDBYTE – επικέντρωσε<br />

την παρουσίαση του στις μεθόδους<br />

απλοποίησης της διαχείρισης και της<br />

προστασίας από διαρροές δεδομένων.<br />

Εύη Καστανιά<br />

& Κωνσταντίνα Συντίλα<br />

Η Εύη Καστανιά – Senior<br />

Presales Engineer της INFO<br />

QUEST TECHNOLOGIES -<br />

και η Κωνσταντίνα Συντίλα<br />

- Cisco Cyber <strong>Security</strong><br />

Sales Specialist, Leader Greece/Portugal/Cyprus/Malta –<br />

στην κοινή τους εισήγηση παρουσίασαν τις προκλήσεις σχετικά<br />

με τη διαχείριση των ευπαθειών και πως μπορούν να αντιμετωπιστούν<br />

με τη χρήση ΑΙ.<br />

Σοφία Μιχαηλίδου<br />

Η Σοφία Μιχαηλίδου – Technology<br />

Consultant της SYSTECOM – είχε την ευκαιρία<br />

να παρουσιάσει μια νέα προσέγγιση<br />

η οποία μπορεί να βοηθήσει τους οργανισμούς<br />

να μεταβούν σε μια πιο ελεγχόμενη<br />

κατάσταση της ασφάλειας τους μέσα από<br />

μια cloud all-in-one πλατφόρμα.<br />

Στο πλαίσιο του Infocom<br />

<strong>Security</strong> διοργανώθηκαν<br />

πολλά παράλληλα<br />

workshops<br />

Sandrine Roux<br />

Κλείνοντας την 1η ενότητα η Sandrine<br />

Roux – International Channel Manager<br />

της SEALPATH – εστίασε στην έξυπνη<br />

προστασία για ευαίσθητα δεδομένα με<br />

την εφαρμογή εργαλείων ΑΙ/ML.<br />

Άννα Λούζη<br />

Τον συντονισμό της 1η ενότητας της<br />

1ης ημέρας του Συνεδρίου είχε η Άννα<br />

Λούζη – Editor in chief του SecNews.<br />

gr που ήταν και χορηγός επικοινωνίας<br />

του συνεδρίου.<br />

Φάνης Τσομής<br />

Στην έναρξη της 2ης ενότητας ο Φάνης<br />

Τσομής – <strong>Security</strong> Engineer της CHECK<br />

POINT – παρουσίασε στο κοινό του συνεδρίου<br />

τις εξαιρετικές δυνατότητες πληροφόρησης<br />

που προσφέρει το THREATCLOUD AI<br />

ως μια εκτενέστατη βάση threat intelligence<br />

που τροφοδοτείται από εκατομμύρια διαφορετικές πηγές.<br />

Ηλίας Πολυχρονιάδης<br />

Ο Ηλίας Πολυχρονιάδης – Regional<br />

Systems Engineer της PALO ALTO<br />

NETWORKS – ανέδειξε τις προκλήσεις<br />

που προκύπτουν σχετικά με την τεχνολογική<br />

υλοποίηση των SOC, τις υπηρεσίες και τις<br />

ομάδες ανθρώπων που εργάζονται σε αυτά.<br />

Βασίλης Κρεατσάς<br />

Ο Βασίλης Κρεατσάς – Cybersecurity<br />

Presales Consultant Networking<br />

Solutions Division της SPACE HELLAS<br />

– εστίασε στην προσέγγιση του Zero-<br />

Trust ως ιδανική λύση για τη διαχείριση<br />

των identity, app & network threats.<br />

Αλέξανδρος Βασιλάκης<br />

Ο Αλέξανδρος Βασιλάκης – Regional<br />

Sales Manager Greece, Cyprus & Malta<br />

της TREND MICRO - επικεντρώθηκε στην<br />

αξιοποίηση λύσεων XDR που βασίζονται σε<br />

AI ως ιδανική προσέγγιση αντιμετώπισης<br />

του μεταβαλλόμενου τοπίου απειλών.<br />

52 security


13 O INFOCOM SECUR<strong>IT</strong>Y 2023<br />

Αντώνης<br />

Καλοχριστιανάκης<br />

& Ιωάννης<br />

Δασκαλόπουλος<br />

Εκπροσωπώντας<br />

την DIG<strong>IT</strong>AL SIMA<br />

ο Αντώνης Καλοχριστιανάκης<br />

– Διευθυντής Πωλήσεων και ο Ιωάννης Δασκαλόπουλος<br />

– <strong>Security</strong> Services Supervisor – ανέδειξαν<br />

τον ρόλο του NG Firewall στο Penetration Test.<br />

XDR της SEQR<strong>IT</strong>E.<br />

Angelo Gentili<br />

O Angelo Gentili – CEO & FOUNDER<br />

της PARTNERNET – ανέλυσε τα οφέλη<br />

της στρατηγικής προσέγγισης του Zero<br />

Trust για κάθε μέγεθος επιχειρήσεων,<br />

εστιάζοντας παράλληλα στις δυνατότητες<br />

που προσφέρει η λύση HawkkHunt<br />

Κώστας Παπαδάτος<br />

Ο Κώστας Παπαδάτος – R2D2<br />

Consortium Partner / Managing<br />

Director της CYBER NOESIS – παρουσίασε<br />

στο κοινό το πολύ ενδιαφέρον<br />

ερευνητικό project R2D2 της Ε.Ε και<br />

αφορά την ασφάλεια και ανθεκτικότητα<br />

δικτύων και υποδομών ενέργειας.<br />

Βαγγέλης Ξανθάκης<br />

Ο Βαγγέλης Ξανθάκης είχε τον συντονισμό<br />

της 2ης ενότητας της 1ης ημέρας.<br />

Πάνελ Συζήτησης για την Τεχνητή Νοημοσύνη<br />

Νικόλαος Βάνας<br />

Ο Νικόλαος Βάνας – Technical<br />

Engineer της DATA ALLY – εστίασε<br />

στο κρίσιμο σημείο του “Multifactor<br />

Authentication” παρουσιάζοντας πως<br />

αυτή η προσέγγιση υλοποιείται αποτελεσματικά<br />

με λύσεις της Watchguard<br />

Δημήτρης Πισσανίδης<br />

"Η θωράκιση της εταιρικής κυβερνοασφάλειας<br />

στο σύγχρονο ψηφιακό περιβάλλον<br />

με την τεχνολογία Open XDR»<br />

ήταν το θέμα που παρουσίασε ο Δημήτρης<br />

Πισσανίδης – Chief Information<br />

Officer της ΑΩΖ S.Ltd – εστιάζοντας στις<br />

λύσεις της StellarCyber.<br />

Πολύ χρήσιμα συμπεράσματα και ενδιαφέρουσες απόψεις<br />

ακούστηκαν στο πάνελ για την Τεχνητή Νοημοσύνη,<br />

που έκλεισε την 1η ημέρα του 13ου Infocom <strong>Security</strong><br />

με τη συμμετοχή του Αθανάσιου Κοσμόπουλου (Υπεύθυνος<br />

Προστασίας Δεδομένων Υπουργείου Ψηφιακής<br />

Διακυβέρνησης, Εθνικός Αντιπρόσωπος στο European<br />

Cybersecurity Competence Center), του Δρ. Λεωνίδα<br />

Κανέλλου (Πρόεδρος DPO Network) και του Βασίλη<br />

Βασιλόπουλου (Δημοσιογράφος – DPO της ΕΡΤ) που είχε<br />

και την ευθύνη συντονισμού της συζήτησης μέσα από<br />

την οποία αναδείχθηκαν οι σημαντικές αλλαγές που επιφέρει<br />

και θα επιφέρει στο μέλλον η χρήση της τεχνητής<br />

νοημοσύνης σε πολλές πτυχές στη ζωή μας αλλά και η<br />

ανάγκη άμεσης δημιουργίας ενός ρυθμιστικού πλαισίου<br />

χρήσης της Τεχνητής Νοημοσύνης.<br />

security<br />

53


T<strong>79</strong>03/04/05.2023<br />

Report<br />

2 η ημέρα – 27 Απριλίου<br />

Γιάννης Ηλιάδης<br />

Στις εναρκτήριες ομιλίες της 2ης ημέρας<br />

ο Γιάννης Ηλιάδης – Πρόεδρος Δ.Σ. του<br />

(ISC) 2 HELLENIC CHAPTER – υπογράμμισε<br />

την μεγάλη πρόκληση που σχετίζεται<br />

με το ανθρώπινο δυναμικό στον<br />

τομέα του cyber security, τονίζοντας χαρακτηριστικά<br />

ότι η έλλειψη σε επαγγελματίες του χώρου σήμερα<br />

παγκοσμίως, φθάνει τα 3.4 εκατομμύρια ανθρώπους.<br />

Δήμητρα Λάρδα<br />

Στη συνέχεια η Δήμητρα Λάρδα –<br />

Γενική Γραμματέας Δ.Σ. του ISACA<br />

ATHENS CHAPTER – άδραξε την ευκαιρία<br />

να ενημερώσει το κοινό για τις<br />

πιστοποιήσεις του οργανισμού και τα<br />

οφέλη που προκύπτουν από αυτές.<br />

Γιώργος Παπούλιας<br />

Ο Γιώργος Παπούλιας – Πρόεδρος Δ.Σ.<br />

του itSMF Hellas – μίλησε για την αξία της<br />

διαχείρισης των υπηρεσιών και πως αυτές<br />

μπορούν να προσφέρουν αναβαθμισμένη<br />

εμπειρία στους πελάτες των οργανισμών.<br />

Βαλίνα Παντελή &<br />

Στέλλα Τσιτσούλα<br />

Κλείνοντας τις εναρκτήριες<br />

ομιλίες οι συνιδρύτριες<br />

του Ελληνικού<br />

παραρτήματος<br />

του Women4Cyber,<br />

Βαλίνα Παντελή και η Στέλλα Τσιτσούλα, μίλησαν για τις<br />

προσπάθειες για έναν Ελληνικό και Ευρωπαϊκό χώρο κυβερνοασφάλειας<br />

χωρίς διακρίσεις, όπου θα ενθαρρύνεται ακόμα<br />

περισσότερο οι συμμετοχή των γυναικών.<br />

Ηρακλής Μαθιόπουλος<br />

Ο Ηρακλής Μαθιόπουλος – Chief Services<br />

Delivery Officer της OBRELA – παρουσίασε<br />

τον οδικό χάρτη εφαρμογής πολιτικών<br />

και λύσεων κυβερνοασφάλειας για τις κρίσιμες<br />

υποδομές με επίκεντρο το OT<br />

Κωνσταντίνος Μουρίκης<br />

Ανοίγοντας την 1η θεματική ενότητα της<br />

2ης ημέρας ο Κωνσταντίνος Μουρίκης<br />

– Senior Cybersecurity Consultant,<br />

Advisory Services της ODYSSEY – παρουσίασε<br />

την μεθοδολογία και τα εργαλεία<br />

που απαιτούνται για την οικοδόμηση<br />

μιας αποτελεσματικής στρατηγικής ασφάλειας.<br />

Console Connect.<br />

Μάκης Απόκοτος<br />

Ο Μάκης Απόκοτος – Cyber <strong>Security</strong><br />

Senior Product Manager της PCCW<br />

GLOBAL – είχε την ευκαιρία να παρουσιάσει<br />

στο κοινό του συνεδρίου την<br />

απλή και έξυπνη ανάπτυξη υπηρεσιών<br />

ασφάλειας μέσα από την πλατφόρμα<br />

Θεόδωρος Ντούσκας<br />

Ο Θεόδωρος Ντούσκας – Managing<br />

Director της ICT PROTECT – «ταξίδεψε»<br />

το κοινό του συνεδρίου στον κόσμο<br />

του τεχνολογικού οικοσυστήματος<br />

της ναυτιλίας, αναδεικνύοντας τους τρόπους<br />

και τις τεχνικές που θα επιτρέψουν<br />

αυτό το ταξίδι να γίνεται με ασφάλεια και συμμόρφωση στο<br />

κανονιστικό πλαίσιο.<br />

Σπύρος Κυριακόπουλος<br />

Ο Σπύρος Κυριακόπουλος – Presales<br />

<strong>Security</strong> Architect της PYLONES<br />

HELLAS – παρουσίασε μια νέα προσέγγιση<br />

στο τομέα της κυβερνοασφάλειας<br />

που αφορά το Intercloud και βελτιστοποιεί<br />

τη δυνατότητα διαχείρισης πολλαπλών<br />

εργαλείων ασφάλειας από διαφορετικούς κατασκευαστές.<br />

Δημήτρης Γεωργίου<br />

& Σπύρος Πιτικάρης<br />

Στο ιδιαίτερα ξεχωριστό<br />

θεματικό αντικείμενο<br />

των Digital<br />

Forensics επικεντρώθηκε<br />

η παρουσίαση<br />

των δύο εκπροσώπων της εταιρίας ALPHAB<strong>IT</strong> και συγκεκριμένα<br />

του Δημήτρη Γεωργίου (Partner-CSO) και Σπύρο<br />

Πιτικάρη (Information <strong>Security</strong> Specialist), αποδεικνύοντας<br />

54 security


13 O INFOCOM SECUR<strong>IT</strong>Y 2023<br />

τη σημαντική αξία που έχουν και πως η εταιρία τους μπορεί<br />

να βοηθήσει αποτελεσματικά στην αξιοποίηση τους.<br />

Αργύρης Μακρυγεώργου<br />

Ο Αργύρης Μακρυγεώργου –<br />

Operations Director της CYBER NOESIS<br />

– ανέδειξε την ανάγκη ενίσχυσης του<br />

awareness σε ότι αφορά την ασφάλεια<br />

στις επιχειρήσεις και τα ανθρώπινα λάθη,<br />

επισημαίνοντας χαρακτηριστικά ότι…<br />

«δεν φταίει ο χρήστης που δεν γνωρίζει».<br />

Πέτρος Λιβάνιος<br />

Η παρουσίαση του Πέτρου Λιβάνιου<br />

– Technology Advisory Lead της<br />

OFFICE LINE – εστίασε στον τομέα του<br />

cloud, δίνοντας έμφαση στη λύση του<br />

Microsoft 365, που παρέχει ασφάλεια<br />

και συνδυάζει εξοικονόμησή κόστους<br />

και παραγωγικότητα.<br />

Νίκος Γεωργόπουλος<br />

Ο Νίκος Γεωργόπουλος – Cyber Tech<br />

Risks Insurance Advisor της CROMAR<br />

INSURANCE BROKERS – ενημέρωσε<br />

το κοινό για τη δημιουργία του Κέντρου<br />

Καινοτομίας «Cromar Innovation Lab for<br />

Digital Risks» με στόχο μεταξύ άλλων την<br />

παρακολούθηση των διεθνών εξελίξεων στον τεχνολογικό τομέα,<br />

και πως αυτές επηρεάζουν τα επιχειρηματικά μοντέλα δημιουργώντας<br />

ασφαλιστικές λύσεις Digital Risks και υπηρεσίες<br />

που υποστηρίζονται από εξειδικευμένες ασφαλιστικές αγορές.<br />

Enrique Serrano<br />

Ο Enrique Serrano – Sales Engineer<br />

Lead Southern EMEA της DELINEA –<br />

παρουσίασε την προσέγγιση τους βέλτιστους<br />

τρόπους διαχείρισης των ρίσκων<br />

στο Privilege Access και τα οφέλη που<br />

προσφέρει η πλατφόρμα της Delinea<br />

Παναγιώτης Πανταζής<br />

Στο πλαίσιο της συνεργασίας με την εταιρία<br />

<strong>IT</strong> WAY, o Παναγιώτης Πανταζής –<br />

Sales Manager for Balkans and Greece<br />

Country Manager της CYBERARK,<br />

μοιράστηκε με το κοινό τα στοιχεία που<br />

αποτυπώνουν το περιβάλλον των κυβερνο-εγκλήματος<br />

και τις τάσεις σχετικά με την ασφάλεια<br />

ταυτότητας.<br />

Nadji Raib<br />

Ο Nadji Raib – Area Director της<br />

SECUR<strong>IT</strong>YSCORECARD – συμμετείχε<br />

ως εισηγητής στο συνέδριο με τη συνεργασία<br />

της εταιρίας GUARDBYTE και<br />

τόνισε την ανάγκη θέσπισης προτεραιοτήτων<br />

και καλύτερης αξιολόγησης του<br />

προϋπολογισμού στη διαχείριση κινδύνων<br />

Ιωάννης Σολωμάκος<br />

Ο Ιωάννης Σολωμάκος – Chief <strong>Security</strong><br />

Officer South Balkans της HUAWEI –<br />

πρόβαλε την ανάγκη να ενισχυθεί η<br />

ασφάλεια στις εφαρμογές της τεχνητής<br />

νοημοσύνη με στόχο τη δημιουργία ενός<br />

έξυπνου κόσμου μέσα από μια κοινή κατανόηση<br />

των κίνδυνων και συλλογική προσπάθεια.<br />

Στέλιος Γεράρδης<br />

Ο Στέλιος Γεράρδης – Διευθυντής<br />

Πωλήσεων της NSS – παρουσίασε τις<br />

δυνατότητες και τα οφέλη που προκύπτουν<br />

από τη χρήση της λύση SOPHOS<br />

MDR στο πλαίσιο προσέγγισης του<br />

Cybersecurity as a Service<br />

Χρήστος Κοτσακάς<br />

Τον συντονισμό της 1ης ενότητας είχε<br />

ο δημοσιογράφος και Διευθυντής του<br />

INFOCOM Χρήστος Κοτσακάς.<br />

security<br />

55


T<strong>79</strong>03/04/05.2023<br />

Report<br />

Γιάννης Ξανθάκος<br />

Η αναγνώριση, αξιολόγηση & διαχείριση<br />

του ρίσκου κυβερνοασφάλειας ήταν το<br />

θέμα που ανέδειξε ο Γιάννης Ξανθάκος<br />

– Technology Consultant at SYSTECOM<br />

και εκ μέρους της B<strong>IT</strong>SIGHT – μέσα από<br />

μια ολιστική προσέγγιση στο ρίσκο των<br />

οργανισμών με τη βοήθεια των βαθμολογιών ασφαλείας.<br />

Leandro Roisenberg<br />

Ο Leandro Roisenberg – Global Sales<br />

Manager της TERAFENCE Israel – είχε<br />

την ευκαιρία να παρουσιάσει στο κοινό<br />

την τεχνολογία Air-Gap που προάγει<br />

τη διασύνδεση με τη μέγιστη ασφάλεια.<br />

Πάνος Τσάδαρης<br />

Ο Πάνος Τσάδαρης – General Manager<br />

της NEXION <strong>IT</strong> <strong>Security</strong> Solutions –<br />

ενημέρωσε τους συνέδρους για τις καινοτομίες<br />

που προσφέρουν οι λύσεις της<br />

εταιρίας Heimdal.<br />

Δημήτρης Σκιάννης<br />

Τον συντονισμό της ενότητας είχε ο Δημοσιογράφος<br />

Δημήτρης Σκιάννης<br />

Πάνελ Συζήτησης: Ο κρίσιμος ρόλος των<br />

υπευθύνων ασφάλειας πληροφοριών στις<br />

επιχειρήσεις<br />

Το Συνέδριο έκλεισε με ένα πολύ ενδιαφέρον πάνελ συζήτησης<br />

που ανέδειξε όλες τις σημαντικές πτυχές που<br />

αφορούν τον σύγχρονο ρόλο των επαγγελματιών που<br />

έχουν την ευθύνη της ασφάλειας πληροφοριών στους<br />

οργανισμούς το οποίο συντόνισε ο συνεργάτης του περιοδικού<br />

Παναγιώτης Καλαντζής ( Cyber <strong>Security</strong> & Data<br />

Privacy Expert, CISO, vCISO, Cyber <strong>Security</strong> Strategist<br />

& Board Advisor)και συμμετείχαν: Μελέτης Μπελσής<br />

(Group Information <strong>Security</strong> Director , OPTASIA GROUP)<br />

- Απόστολος Δοξανίδης (<strong>IT</strong> Director, ΜΑΣΟΥΤΗΣ) - Νίκος<br />

Γρηγοριάδης (Group Information <strong>Security</strong> Officer,<br />

ARCHIRODON N.V.) - - Παναγιώτης Σούλος (Global<br />

Information <strong>Security</strong> Manager, INTRUM) - Παναγιώτης<br />

Αναγνώστου (Διευθυντής Τεχνολογιών και Συστημάτων,<br />

AVAX).<br />

Τις παρουσιάσεις και τις ομιλίες όλων των ομιλητών μπορείτε να<br />

δείτε στο site του συνεδρίου, www.infocomsecurity.gr.<br />

56 security


13 O INFOCOM SECUR<strong>IT</strong>Y 2023<br />

Εκθεσιακός Χώρος Infocom <strong>Security</strong> 2023<br />

Για ακόμα μια χρονιά, στον εκθεσιακό τομέα του Infocom <strong>Security</strong> συμμετείχαν πολλές<br />

και σημαντικές εταιρίες από την Ελλάδα και το Εξωτερικό, που στα περίπτερα τους<br />

είχαν την ευκαιρία να συναντήσουν τους επισκέπτες σε έναν χώρο που κέρδισε τις<br />

εντυπώσεις από όλους<br />

Obrela Adacom Check Point<br />

Info Quest<br />

Uni Sytems<br />

Odyssey<br />

Space Hellas<br />

security<br />

57


T<strong>79</strong>03/04/05.2023<br />

Report<br />

Palo Alto Consoleconnect – PCCW Guardbyte – GTB Technologies<br />

ICT Protect Partnernet Guardbyte – <strong>Security</strong>Scorecard<br />

Data Ally Bitdefender <strong>IT</strong>Way Hellas - Cyberark<br />

Delinea – Multipoint E-systems Motivian<br />

58 security


13 O INFOCOM SECUR<strong>IT</strong>Y 2023<br />

Digital Sima Office Line Systecom<br />

Trend Micro SealPath – Multipoint Nexion - Heimdal<br />

To Συνέδριο υποστήριξαν σημαντικοί φορείς όπως : (ISC)2 Hellenic Chapter, ISACA Athens Chapter, Itsmf Hellas, Οργανισμός Ανοιχτών<br />

Τεχνολογιών (ΕΕΛΛΑΚ), Women4Cyber Greece, Ελληνική Ένωση για την Προστασία της Ιδιωτικότητας (HADPP), Homo Digitalis, Κέντρο<br />

Μελέτης του Εγκλήματος (ΚΕ.Μ.Ε.), IAPP Greek KnowledgeNet Chapter.<br />

security<br />

59

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!