IT Professional Security - ΤΕΥΧΟΣ 39
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Ιανουάριος - Φεβρουάριος 2015 • Τεύχος <strong>39</strong> • Τιμή 5€<br />
Identity & Access<br />
Management<br />
• Διαχείριση Ασφαλιστικών Δικλείδων στα πλαίσια<br />
της Εταιρικής Διακυβέρνησης<br />
• Οι τάσεις για το 2015 - Οι επιχειρήσεις στο στόχαστρο<br />
SMARTPRESS, MAΓΕΡ 11, 104 38 ΑΘΗΝΑ<br />
ΠΛHPΩMENO<br />
TEΛOΣ<br />
Tαχ. Γραφείο<br />
KEMΠ.KΡ.<br />
Aριθµός Άδειας<br />
116<br />
PRESS POST<br />
ENTYΠO KΛEIΣTO AP. A∆EIAΣ 22/2008 KEMΠ.A.ΚΡ.<br />
P R<br />
(X+7)<br />
E S S<br />
T<br />
P O S
1/4/2015<br />
Divani Caravel<br />
Hotel<br />
ΣΥΝΕ∆ΡΙΟ<br />
| www.infocomsecurity.gr |<br />
102 | security
Πώς θα αξιολογήσουμε τους κινδύνους;<br />
Πώς μπορούμε να γίνουμε περισσότερο<br />
Proactive;<br />
Όλες οι απαντήσεις στο 5ο Συνέδριο Infocom <strong>Security</strong>, που θα διεξαχθεί την 1η<br />
Απριλίου 2015 στο Divani Caravel Hotel και αποτελεί το ετήσιο ραντεβού της αγοράς<br />
<strong>IT</strong> <strong>Security</strong>, αλλά και το μεγαλύτερο event του χώρου!<br />
!<br />
!<br />
Ενότητα 1η<br />
The New Rules of Cyber <strong>Security</strong><br />
Η ψηφιακή ασφάλεια, αποτελεί σήμερα όσο ποτέ<br />
άλλοτε, μια σημαντικότατη πρόκληση για κάθε οργανισμό<br />
και επιχείρηση.Στην 1η ενότητα του 5ου<br />
Infocom <strong>Security</strong>, ειδικοί στο τομέα της ψηφιακής<br />
ασφάλειας αναδεικνύουν τους “νέους κανόνες του<br />
παιχνιδιού”, χαρτογραφώντας τις τάσεις των απειλών<br />
και το τοπίο των υποδομών του ΙΤ σήμερα.<br />
Ενότητα 2η<br />
How to Be Proactive;<br />
Το κλειδί για την προστασία των κρίσιμων δεδομένων<br />
των επιχειρήσεων και την αποφυγή των περιστατικών<br />
που θέτουν σε κίνδυνο την εύρυθμη λειτουργία τους<br />
είναι η δημιουργία συνθηκών που θα προλαμβάνουν<br />
τους κινδύνους. Τα κομμάτια του πάζλ που συνθέτουν<br />
μια proactive προσέγγιση στην ψηφιακή ασφάλεια θα<br />
αποκαλυφθούν στη συγκεκριμένη ενότητα.<br />
!<br />
!<br />
Ενότητα 3η<br />
Building a Smart Protection<br />
Strategy<br />
Στην 3η ενότητα του 5ου Infocom <strong>Security</strong>, οι σύνεδροι<br />
θα έχουν την ευκαιρία να ενημερωθούν για το<br />
πώς υλοποιούνται αποτελεσματικά μέτρα προστασίας,<br />
ολοκληρωμένες λύσεις και υπηρεσίες, ορθές<br />
πρακτικές και σύγχρονα μοντέλα που είναι απαραίτητα<br />
σήμερα για την εφαρμογή μιας εταιρικής πολιτικής<br />
προστασίας των υποδομών και των πληροφοριών.<br />
Ενότητα 4η<br />
The Hacking Games<br />
Στόχος της 4ης ενότητας που θα κλείσει τη διοργάνωση<br />
του Infocom <strong>Security</strong> 2015, είναι να ενημερωθούμε<br />
για το προφίλ των hackers σήμερα, τα κίνητρα<br />
τους, τη μεθοδολογία, τις τεχνικές και τα εργαλεία<br />
που χρησιμοποιούν, αναζητώντας παράλληλα τους<br />
δικούς μας αδύναμους κρίκους, έτσι ώστε να είμαστε<br />
σε θέση να αναπτύξουμε τα κατάλληλα μέτρα<br />
προστασίας.<br />
Εγγραφές: www.infocomsecurity.gr<br />
ΜΕΓΑΣ ΧΟΡΗΓΟΣ PLATINUM SPONSOR ΧΡΥΣΟΙ ΧΟΡΗΓΟΙ<br />
ΧΟΡΗΓΟΙ<br />
Affordable Cutting Edge<br />
ΥΠΟΣΤΗΡΙΚΤΕΣ<br />
ΜΕ ΤΗΝ ΥΠΟΣΤΗΡΙΞΗ<br />
security | 1
e ditorial<br />
Από την φορητότητα… στις συσκευές που φοριούνται!<br />
Προβλέψεις ερευνητών αναφέρουν ότι πολύ σύντομα, τα ε-<br />
πόμενα 2 με 3 χρόνια δηλαδή, η κίνηση στο διαδύκτιο μέσω<br />
φορητών συσκευών θα ξεπεράσει σημαντικά την αντίστοιχη<br />
κίνηση μέσω desktop pc, κάτι που αναδεικνύει σαφώς την<br />
καθολική κυριαρχία του mobility σε όλα τα επίπεδα. Όμως,<br />
μια ακόμα αναδυόμενη τεχνολογική τάση με κοινά χαρακτηριστικά<br />
με το mobility, αρχίζει να γίνεται ιδιαίτερα ελκυστική<br />
και δημοφιλής παγκοσμίως. Πρόκειται για τα λεγόμενα<br />
wearables, ή αλλιώς συσκευές που φοριούνται είτε<br />
στον καρπό και στον αγκώνα, είτε στο κεφάλι, είτε και σε<br />
άλλα σημεία του σώματός μας. Οι συσκευές αυτές αποτελούν<br />
τεχνολογικά αξεσουάρ όπως τα ρολόγια και τα γυαλιά<br />
και έχουν δυνατότητα σύνδεσης με smartphones και άλλες<br />
υπολογιστικές συσκευές, ενώ μπορούν να συλλαμβάνουν εικόνες<br />
και video, καθώς και να αποθηκεύουν, να λαμβάνουν<br />
και να αποστέλλουν δεδομένα και πληροφορίες, που αφορούν<br />
πολλές εφαρμογές της καθημερινότητας.<br />
Τι γίνεται όμως με την ασφάλεια αυτών των δεδομένων; Μήπως<br />
ανοίγεται μια ακόμα κερκόπορτα στους ψηφιακούς ε-<br />
γκληματίες για την υφαρπαγή πληροφοριών; Είναι σίγουρο,<br />
ότι τα wearables θα μας απασχολήσουν στο μέλλον όχι μόνο<br />
ως μια τεχνολογική καινοτομία, αλλά και ως μια νέα πρόκληση<br />
για την ασφάλεια, μιας και σε αυτές τις συσκευές μπορεί<br />
να βρίσκονται προσωπικά, επαγγελματικά και οικονομικά δεδομένα,<br />
ενώ κάποιες από αυτές μπορούν να συνδεθούν με<br />
ευρύτερα δίκτυα. Τα wearables χρησιμοποιούν τεχνικές, λογισμικά<br />
και ασύρματα πρότυπα επικοινωνίας που σε αυτή τη<br />
φάση τουλάχιστον δεν εμποδίζουν ιδιαίτερα τους hackers να<br />
δοκιμαστούν σε ένα νέο πεδίο δράσης. Επίσης, αναμένεται<br />
η χρήση των wearables και για ηλεκτρονικές πληρωμές αλλά<br />
και για πρόσβαση σε εταιρικά δίκτυα κάτι που θα μπορούσε<br />
να συνεπάγεται μια αύξηση του κακόβουλου λογισμικού στις<br />
ίδιες τις συσκευές ή στα smartphones που χρησιμοποιούνται<br />
για τη διαχείρισή τους και να απαιτείται η θέσπιση νέων πολιτικών<br />
στα πλαίσια των MDM ή BYOD. Σε κάθε περίπτωση,<br />
το ζήτημα της ιδιωτικότητας είναι το βασικό από την πλευρά<br />
της ασφάλειας σε σχέση με τα wearables, μιας και αυτές<br />
οι συσκευές παραμένουν ουσιαστικά ευάλωτες σε πολλούς<br />
κινδύνους. Τα επόμενα χρόνια, αναμένεται λοιπόν να προκληθούν<br />
πολλές συζητήσεις σχετικά με το πώς αυτές οι συσκευές<br />
θα γίνουν περισσότερο ασφαλείς και πιστοποιημένες<br />
μέσα από τεχνολογίες κρυπτογράφησης και όχι μόνο.<br />
Βλάσης Αμανατίδης<br />
Εκδότης<br />
Κώστας Νόστης<br />
Σύμβουλος Έκδοσης<br />
Νίκη Πανδή<br />
Αρχισυντάκτης<br />
Βλάσης Αμανατίδης<br />
va.editor@smartpress.gr<br />
Συνεργάτες<br />
Σήφης Ανδρουλιδάκης<br />
Μίνα Ζούλοβιτς<br />
Νότης Ηλιόπουλος<br />
Αριστοτέλης Λυμπερόπουλος<br />
Δημήτρης Παπίτσης<br />
Αλέξανδρος Σουλαχάκης<br />
Παναγιώτα Τσώνη<br />
Διεύθυνση Διαφήμισης<br />
Νίκος Σαράφογλου<br />
ns.sales@smartpress.gr<br />
DTP<br />
Δημήτρης Τσούτσας<br />
Διεύθυνση Events<br />
Δημήτρης Μάσσας<br />
Διεύθυνση Marketing<br />
Ειρήνη Νόστη<br />
Υπεύθυνος Ηλεκτρονικών Μέσων<br />
Φάνης Ζερβάκης<br />
Υπεύθυνη Social Media<br />
Δήμητρα Κατερέλου<br />
Γραμματεία Εμπορικού<br />
Έλλη Μαστρομανώλη<br />
Φωτογράφος<br />
Αλέξανδρος Γρυμάνης<br />
Λογιστήριο<br />
Ανδρέας Λουλάκης<br />
Consulting by<br />
SPEG<br />
τηλ.: 2105238777,<br />
www.speg.gr, info@speg.gr<br />
Ιδιοκτήτης<br />
Smart Press<br />
Μάγερ 11, 10438, Αθήνα<br />
Τηλ.: 210 5201500, 210 5230000,<br />
Fax: 210 5241900<br />
Τμήμα συνδρομών<br />
support@securitymanager.gr<br />
www.smartpress.gr<br />
www.itsecuritypro.gr<br />
www.securitymanager.gr<br />
info@securitymanager.gr<br />
support@securitymanager.gr<br />
ΚΩΔΙΚΟΣ 01-8267<br />
2 | security
DO MORE<br />
W<strong>IT</strong>H YOUR I.T.<br />
SECURED BY ESET
c ontents<br />
12 16 26<br />
2|editorial<br />
6|news<br />
interview<br />
12|Δραματική αύξηση χρήσης<br />
καινοτόμων τεχνικών από<br />
την πλευρά των εισβολέων<br />
Συνέντευξη με τον Ivan<br />
Straniero - Territory Manager<br />
for Italy and SE Europe, Arbor<br />
Networks<br />
16|Identity Management<br />
με βάση τη συμπεριφορά<br />
των χρηστών<br />
Συνέντευξη με τον Cyrille<br />
Badeau - Director - Southern<br />
Europe, Cisco <strong>Security</strong><br />
cover issue<br />
18|Identity & Access Management<br />
issue<br />
22| Διαχείριση Ασφαλιστικών<br />
Δικλείδων στα πλαίσια της<br />
Εταιρικής Διακυβέρνησης<br />
25| Η σημαντικότητα του<br />
Identity Management και<br />
Strong Authentication<br />
26| Οι τάσεις για το 2015<br />
31|Risk Based Authentication:<br />
H επόμενη γενιά της<br />
τεχνολογίας ισχυρής<br />
αυθεντικοποίησης<br />
32|Enterprise Information<br />
<strong>Security</strong> - Μια Ολιστική<br />
προσέγγιση<br />
34|Πέρα από τις δοκιμές<br />
παρείσδυσης …και τις<br />
πιστοποιήσεις στην<br />
ασφάλεια<br />
report<br />
<strong>39</strong>|OCEDO Global Roadshow<br />
41|Ενοποίηση και απλοποίηση<br />
της διαχείρισης ασφάλειας<br />
προσφέρει η Dell<br />
reference<br />
42|Cyberoam Layer 8<br />
Technology<br />
business <strong>IT</strong><br />
2|Cyber <strong>Security</strong> that matters<br />
4 | security
McAfee <strong>Security</strong>-as-a-Service<br />
McAfee Endpoint Protection for SMB<br />
Οι λύσεις McAfee <strong>Security</strong>-as-a-Service προσφέρουν ολοκληρωμένη προστασία σε endpoint, email, web και δίκτυα, μέσω cloud,<br />
εξοικονομώντας στο <strong>IT</strong> τμήμα, χρόνο, πόρους και κόστος. Ως μέρος του ευρύτερου πλαισίου λύσεων <strong>Security</strong> Connected της McAfee, που<br />
Μέγιστη προστασία για μικρομεσαίες επιχειρήσεις<br />
προσφέρουν αποτελεσματική ασφάλεια και ενοποιημένη διαχείριση, οι McAfee <strong>Security</strong> SaaS αναβαθμίζουν τη δυναμική του cloud και βοηθάνε<br />
τους οργανισμούς να προστατεύουν τις επιχειρηματικές τους λειτουργίες πολύ πιο γρήγορα.<br />
Η λύση McAfee Endpoint Protection for SMB προσφέρει εξαιρετικά επίπεδα ασφάλειας σε endpoints και είναι ειδικά σχεδιασμένη για<br />
Οι ολοκληρωμένες να καλύπτει τις ανάγκες σουίτες McAfee των μικρομεσαίων SaaS προστατεύουν επιχειρήσεων. από Συνδυάζει ιούς, spyware, τις βραβευμένες απειλές στο τεχνολογίες web και άλλες της επιθέσεις McAfee σε PC, laptops και file servers,<br />
ενώ για ταυτόχρονα προστασία “απελευθερώνουν” από απειλές, με εξαιρετικά το προσωπικό υψηλό επίπεδο του τμήματος ασφάλειας ΙΤ από στο διαδίκτυο, την ενασχόληση την ηλεκτρονική με πολύπλοκες αλληλογραφία διεργασίες, αναβαθμίσεις και τη<br />
διαχείριση<br />
και τα δεδομένα.<br />
ασφάλειας.<br />
Αποτελεί μια ολοκληρωμένη πρόταση ασφάλειας, για τη συνολική εσωτερική υποδομή <strong>IT</strong> και επιπλέον προσφέρει<br />
προστασία και βέλτιστη διαχείριση των φορητών συσκευών, έτσι ώστε διασφαλίζεται η ελεγχόμενη πρόσβαση στο εταιρικό δίκτυο.<br />
McAfee <strong>Security</strong> for Business<br />
H σουίτα McAfee <strong>Security</strong> for Business αποτελεί μια<br />
Αναγνωρισμένη ολοκληρωμένη από την Gartner λύση ως ηγέτης που προσφέρει στο endpoint όλα security τα οφέλη<br />
και την προστασία των SaaS δεδομένων λύσεων σε προστασίας φορητές συσκευές, για endpoint, η McAfee email και<br />
προσφέρει μια web ιδανική καθώς λύση και προστασίας τη διαχείριση που είναι τρωτότητας. έξυπνη, απλή Αξιοποιώντας<br />
τα οφέλη της συγκεκριμένης σουίτας ελαχιστο-<br />
και ασφαλής.<br />
ποιούμε τα λειτουργικά κόστη και ταυτόχρονα μεγιστοποιούμε το ε-<br />
πίπεδο ασφάλειας στο cloud.<br />
Έξυπνη απόδοση<br />
McAfee SaaS Endpoint & Email<br />
Protection Suite<br />
Η ασφάλεια που προσφέρει η λύση McAfee Endpoint<br />
Protection for SMB ενισχύει τη λειτουργικότητα της επιχείρησης<br />
αντί<br />
Η<br />
να<br />
σουίτα<br />
την επιβραδύνει.<br />
προσφέρει<br />
Διακρίνεται<br />
ολοκληρωμένη<br />
ως μια λύση<br />
endpoint<br />
που «τρέχει»<br />
ασφάλεια<br />
και αναβαθμισμένη προστασία για email, web και<br />
τις σαρώσεις ασφάλειας μόνο όταν η εκάστοτε συσκευή δεν<br />
βρίσκεται σε χρήση, έτσι ώστε η εργασία των χρηστών να μην<br />
επηρεάζεται.<br />
δίκτυα. Επίσης, παρέχει επιπρόσθετη ασφάλεια σε<br />
email μέσω cloud, εξασφαλίζοντας ότι τα εισερχόμενα<br />
και εξερχόμενα email θα φιλτράρονται για spam, επιθέσεις phising<br />
Απλότητα<br />
και ιούς προτού<br />
Αφιερώστε<br />
εισέλθουν<br />
λιγότερο<br />
στο<br />
χρόνο<br />
δίκτυο.<br />
στη διαχείριση της ασφάλειας<br />
και περισσότερο χρόνο στις βασικές επιχειρηματικές<br />
δραστηριότητες McAfee σας. SaaS Η λύση Endpoint McAfee Endpoint Protection Suite for<br />
SMB Η προσφέρει σουίτα McAfee ασφάλεια SaaS με μεγάλη Endpoint ευελιξία, Protection επιτρέποντας προσφέρει<br />
θεμελιώδη είτε στο cloud προστασία είτε στους για τοπικούς endpoints, server, μπλοκάρο-<br />
με απλό<br />
τη<br />
διαχείριση<br />
και γρήγορο ντας ιούς, τρόπο. spyware, απειλές στο διαδίκτυο και επιθέσεις<br />
hacker με μια μόνο λύση που διαχειρίζεται εύκολα<br />
μέσω Προστασία<br />
του online McAfee <strong>Security</strong>Center.<br />
Εγγυημένη<br />
Προσφέρει άμεση και επικαιροποιημένη ανά λεπτό προστασία<br />
ενάντια<br />
McAfee<br />
σε απειλές<br />
SaaS<br />
για desktops,<br />
Web &<br />
laptops,<br />
Email<br />
servers,<br />
Protection<br />
email και web<br />
traffic, βασισμένη στο McAfee Global Threat Intelligence<br />
Suite<br />
H σουίτα McAfee SaaS Web & Email Protection αντικαθιστά<br />
Ευέλικτη διαχείριση<br />
το αυξανόμενο κόστος της προστασίας στο<br />
Με βάση την cloud-based διαχείριση που προσφέρει η λύση<br />
web και email, με μια απλή και προβλέψιμη συνδρομή.<br />
Οι υπηρεσίες<br />
ePolicy Orchestrator, επιτρέπεται η ελαστική κλιμάκωση<br />
ώστε η λύση<br />
ασφάλειας<br />
να ανταποκρίνεται<br />
της McAfee<br />
στις δυναμικές<br />
που είναι<br />
ανάγκες,<br />
βασισμένες σε<br />
cloud, αξιοποιούν εξασφαλίζοντας και συνδιάζουν παράλληλα ανθρώπους ότι βασίζεται με στα υψηλή νεοτέρα τεχνογνωσία μέτρα<br />
και τις καλύτερες ασφαλείας. τεχνολογίες προστατεύοντας τις επιχειρηματικές<br />
λειτουργίες από τις απειλές του διαδικτύου.<br />
McAfee SaaS Email Encryption<br />
Η λύση McAfee SaaS Email Encryption είναι μια<br />
Η λύση McAfee cloud-based Endpoint Protection λύση for που SMB βοηθάει είναι διαθέσιμη στον εντοπισμό και<br />
σε δυο εκδόσεις: την McAfee κρυπτογράφηση Endpoint Protection πολύτιμων Essential πληροφοριών for SMB επιτρέποντας<br />
Protection τη διατήρηση Advanced της for δυναμικής SMB, προσφέροντας της επιχείρησης<br />
και McAfee Endpoint<br />
σημαντικά πλεονεκτήματα. σε υψηλό επίπεδο και τη συμμόρφωση με τα κανονιστικά<br />
πλαίσια ιδιωτικότητας.<br />
Προστασία McAfee των SaaS endpoints Email Archiving από παντού<br />
Ανώτερη Η προστασία λύση McAfee για Windows SaaS Email ή Mac Archiving endpoints, καθώς απλοποιεί και την<br />
φορητών αναζήτηση συσκευών, ενάντια των email σε απειλές και διευκολύνει του συστήματος, τη διαχείριση των<br />
δεδομένων,<br />
των<br />
των<br />
αρχείων<br />
email, του<br />
με<br />
web<br />
μια<br />
και<br />
οικονομικά<br />
δικτυακών<br />
αποδοτική<br />
απειλών.<br />
πρόταση<br />
που δεν απαιτεί επιπρόσθετο hardware ή software<br />
Γρήγορη και εύκολη ανάπτυξη<br />
Η ανάπτυξη<br />
McAfee<br />
της ασφάλειας<br />
SaaS<br />
γίνεται<br />
Email<br />
γρήγορα<br />
Protection<br />
και εύκολα<br />
&<br />
Continuity<br />
σύμφωνα με τις εκάστοτε ανάγκες στο cloud ή όπου αλλού<br />
απαιτεί η εγκατάσταση.<br />
H λύση McAfee SaaS Email Protection and Continuity<br />
μπλοκάρει σε ποσοστό άνω του 99% spam, ιούς και<br />
Ενοποίηση της ασφάλειας σε μια λύση<br />
άλλα malware στο cloud, προτού αυτά φθάσουν<br />
Προσφέρει απόλυτη προστασία σε μια all-in-one λύση antivirus,<br />
στο δίκτυο. ασφάλειας Επίσης, δεδομένων δημιουργεί και πολιτικές web καθώς διασφάλισης και προστασίας των και εξερχομένων<br />
email διαχείρισης και της φορητών πρόσβασης συσκευών. στο ηλεκτρονικό ταχυδρομείο με εύκολο<br />
τρόπο χωρίς την ανάγκη επιπλέον λογισμικού.<br />
Απλοποιημένη Διαχείριση<br />
McAfee SaaS Web Protection<br />
Η κεντρική διαχείριση ασφάλειας γίνεται εύκολα και γρήγορα<br />
από οπουδήποτε Η υπηρεσία και σε McAfee οποιαδήποτε SaaS στιγμή Web καθορίζοντας Protection μεγιστοποιεί<br />
δημιουργώντας την προστασία αναφορές έναντι συμβατότητας των απειλών, και αξιοποιώντας<br />
πολικές,<br />
προσθέτοντας επαγγελματίες ή αφαιρώντας στην συσκευές ασφάλεια με ένα της απλό McAfee πάτημα και διαχείριση<br />
<strong>Security</strong>-as-a-Service. Προσφέρει προ-<br />
κουμπιού.<br />
στασία έναντι των malware και κακόβουλων αρχείων καθώς και των<br />
ρίσκων που Πληροφορίες αντιμετωπίζει η σε επιχείρηση πραγματικό ενώ επιτρέπει χρόνο τον αποτελεσματικότερο<br />
Χάρη και στο οικονομικότερο McAfee Global Threat έλεγχο Intelligence των απειλών η λύση παρέχει απελευθερώνοντας<br />
την<br />
τις<br />
επιχείρησή<br />
πλέον επικαιροποιημένες<br />
προκειμένου<br />
πληροφορίες<br />
να επωφεληθεί<br />
ενάντια<br />
τα<br />
στις<br />
μέγιστα από<br />
αναδυόμενες απειλές.<br />
το Web 2.0.<br />
Για περισσότερες πληροφορίες παρακαλώ επικοινωνήστε με την <strong>IT</strong>WAY Hellas (εξουσιοδοτημένος διανομέας):<br />
Τηλέφωνο: 210-6801013 - E-mail: mcafee@itway.gr
n ews<br />
Ηλεκτρονικό εμπόριο μέσω κινητών συσκευών: Φίλος ή Εχθρός;<br />
Η RSA, το Τμήμα Ασφαλείας της EMC, και η εταιρεία ερευνών<br />
J. Gold Associates, με τη συμβολή της εταιρίας TeleSign,<br />
διεξήγαγαν την μελέτη: «Ηλεκτρονικό εμπόριο μέσω mobile<br />
συσκευών: Φίλος ή εχθρός;», η οποία αξιολογεί τις νέες τάσεις<br />
αλλά και τον οικονομικό αντίκτυπο του ηλεκτρονικού<br />
εμπορίου μέσω mobile συσκευών. Στην έρευνα αυτή συμμετείχαν<br />
250 μεσαίες αλλά και μεγάλες επιχειρήσεις και οργανισμοί<br />
της Βόρειας Αμερικής, οι οποίες είχαν κατά μέσο όρο<br />
έσοδα ύψους 2.54 δισεκατομμυρίων δολαρίων. Η έρευνα αυτή<br />
φέρνει στο φως τις ευρύτερες επιπτώσεις των υποθέσεων<br />
που σχετίζονται με απάτες μέσω κινητών τηλεφώνων, με το<br />
μέσο όρο των ερωτηθέντων να έχουν υποστεί απώλειες της<br />
τάξεως των 92.3 εκατομμυρίων δολαρίων ανά έτος.<br />
Τα κύρια ευρήματα της μελέτης:<br />
• Το 1/3 των οργανισμών δήλωσε ότι το εύρος των εσόδων<br />
που αποκομίζουν από το Διαδίκτυο ανέρχεται στο ύψος<br />
του 26-50% του συνολικού τους τζίρου.<br />
• Το 25% των ερωτηθέντων δηλώνει ότι το 11-25% των ε-<br />
σόδων τους προέρχεται από εφαρμογές για mobile συσκευές.<br />
• Το 50% αναμένει τα έσοδα που προέρχονται από τις συγκεκριμένες<br />
συσκευές να αυξηθούν κατά 11-50% τα επόμενα<br />
3 χρόνια.<br />
• Το 30% των οργανισμών προβλέπει αύξηση 51-100% των<br />
εσόδων που προέρχονται από mοbile συσκευές.<br />
Τα στοιχεία της έρευνας υποδηλώνουν ότι το διαδίκτυο και<br />
το mοbile κανάλι αποτελούν μια βασική πηγή εσόδων. Τα<br />
συγκεκριμένα, μεγάλα ποσοστά καθιστούν απαραίτητη για<br />
τις εταιρίες την εύρεση λύσεων για την προστασία των εσόδων<br />
τους από ενδεχόμενες απάτες. Ο μεγάλος αριθμός α-<br />
πωλειών, υποδεικνύει την ύπαρξη ενός ιδιαιτέρως σοβαρού<br />
προβλήματος το οποίο δεν αντιμετωπίζεται κατάλληλα από<br />
τα υπάρχοντα συστήματα και τις σχετικές διαδικασίες. Επιπλέον,<br />
καθώς η πλειονότητα των εταιριών προσδοκά στην<br />
συνεχή αύξηση αυτών των εσόδων, προκύπτει μια επιτακτική<br />
ανάγκη για διασφάλιση των συναλλαγών.<br />
Η μελέτη δείχνει επίσης ότι η πλειοψηφία των εταιριών διατηρεί<br />
μια λανθασμένη αντίληψη σχετικά με το θέμα της ασφάλειας:<br />
2/3 των ερωτηθέντων πιστεύουν ότι είναι κατάλληλα<br />
εξοπλισμένοι για να εντοπίσουν γρήγορα και να αντιμετωπίσουν<br />
οποιαδήποτε διαδικτυακή επίθεση που μπορεί να επηρεάσει<br />
τις ιστοσελίδες τους. Ωστόσο, το 59% όσων ρωτήθηκαν,<br />
δήλωσαν πως έχουν χάσει έως και 25% των εσόδων<br />
της εταιρίας λόγω δραστηριοτήτων εξαπάτησης.<br />
Οι δραστηριότητες μέσω mobile συσκευών αναπτύσσονται<br />
με γεωμετρική πρόοδο, αυξάνοντας τον κίνδυνο της απάτης.<br />
Για τον λόγο αυτό, οι εταιρίες πρέπει να ενισχύσουν τα πρωτόκολλα<br />
ασφαλείας τους καθώς και τις διαδικασίες login και<br />
authentication. Σχεδόν το 20% των εταιρειών που συμμετείχαν<br />
στην έρευνα δήλωσαν ότι η απάτη μέσω mobile συσκευών,<br />
κυμαίνονταν μεταξύ 25 έως 49% του συνόλου, ποσοστό<br />
που έχει οδηγήσει τους οργανισμούς σε μια μέση απώλεια 92<br />
δισεκατομμυρίων δολαρίων ετησίως. Επιχειρήσεις με έσοδα<br />
άνω του ενός δισεκατομμυρίου δολαρίων, υπέστησαν απώλειες<br />
εσόδων μεταξύ 15 και 240 εκατομμυρίων δολαρίων λόγω<br />
υποθέσεων που σχετίζονται με απάτες στο διαδίκτυο και<br />
το mobile κανάλι ενώ οι μικρομεσαίες επιχειρήσεις με έσοδα<br />
από 100 έως 999 εκατομμύρια δολάρια είχαν απώλειες από<br />
3 έως 13 εκατομμύρια δολάρια. Τα αποτελέσματα δείχνουν<br />
ότι οι εταιρείες θα κινηθούν προς τα πλέον προηγμένα μέσα<br />
πιστοποίησης ταυτότητας. Σήμερα τα πιο γνωστά συστήματα<br />
είναι εκείνα που απαιτούν ένα απλό όνομα χρήστη και τον<br />
κωδικό πρόσβασης. Το 47% του δείγματος ανέφερε ότι στα<br />
επόμενα 2-3 χρόνια, σχεδιάζει να εφαρμόσει προηγμένους<br />
μηχανισμούς ασφαλείας, όπως συστήματα που βασίζονται<br />
σε χρήση βιομετρικών στοιχείων και άλλα.<br />
6 | security
Sophos <strong>Security</strong>.<br />
Cloud Simplicity.<br />
Επιτέλους, συστήματα με Windows, Mac<br />
αλλά και φορητές συσκευές Android και iOS<br />
όλα μαζί σε ένα κοινό περιβάλλον διαχείρισης<br />
ασφάλειας στο σύννεφο, ειδικά για επιχειρήσεις<br />
Value Added Distributor<br />
Affordable Cutting Edge<br />
https://www.nss.gr
n ews<br />
Η μεγάλη ληστεία: Η ψηφιακή συμμορία Carbanak απέσπασε $1 δισ.<br />
από 100 χρηματοοικονομικούς οργανισμούς σε όλο τον κόσμο<br />
Η Kaspersky Lab, η INTERPOL, η Europol και αρχές από διάφορες<br />
χώρες ανά τον κόσμο συνεργάστηκαν για να αποκαλύψουν<br />
μια πρωτοφανή ψηφιακή ληστεία. Συγκεκριμένα, έως<br />
$1 δισ. κλάπηκαν από χρηματοοικονομικούς οργανισμούς απ’<br />
όλον τον κόσμο, μέσα σε περίοδο δύο ετών. Οι ειδικοί που<br />
ασχολήθηκαν με την έρευνα, αναφέρουν ότι την ευθύνη για<br />
τη ληστεία έχει μια διεθνής συμμορία ψηφιακών εγκληματιών<br />
από τη Ρωσία, την Ουκρανία, άλλες χώρες της Ευρώπης και<br />
την Κίνα. Η εγκληματική συμμορία Carbanak, η οποία είναι<br />
υπεύθυνη για την ψηφιακή ληστεία, χρησιμοποίησε τεχνικές<br />
απευθείας από το οπλοστάσιο των στοχευμένων επιθέσεων.<br />
Η συγκεκριμένη εξέλιξη σηματοδοτεί την απαρχή μιας νέας<br />
φάσης στην εξέλιξη της ψηφιακής εγκληματικής δραστηριότητας,<br />
στην οποία οι κακόβουλοι χρήστες κλέβουν χρήματα<br />
απευθείας από τις τράπεζες, αποφεύγοντας να βάλουν τους<br />
τελικούς χρήστες στο στόχαστρο. Εκτιμάται ότι τα μεγαλύτερα<br />
ποσά αποσπάστηκαν με το «χακάρισμα» τραπεζικών συστημάτων<br />
και την κλοπή $10 εκατομμυρίων σε κάθε «επιδρομή»<br />
της συμμορίας. Κατά μέσο όρο, κάθε ληστεία πραγματοποιούταν<br />
σε 2 έως 4 μήνες, από τη στιγμή της προσβολής<br />
του πρώτου υπολογιστή στο εταιρικό δίκτυο μιας τράπεζας<br />
έως την τελική κλοπή των χρημάτων. Οι ψηφιακοί εγκληματίες<br />
αποκτούσαν πρόσβαση σε υπολογιστές εργαζομένων<br />
μέσω τεχνικών spear-phishing, «μολύνοντας» τα θύματα με<br />
το malware Carbanak. Έπειτα ήταν σε θέση να διεισδύσουν<br />
στο εταιρικό δίκτυο, να εντοπίσουν τους υπολογιστές των διαχειριστών<br />
και να προχωρήσουν σε παρακολούθηση μέσω<br />
video. Αυτό τους επέτρεπε να βλέπουν και να καταγράφουν<br />
ό,τι συνέβαινε στις οθόνες του προσωπικού που ασχολούταν<br />
με τα συστήματα μεταφοράς χρημάτων. Με αυτό τον τρόπο,<br />
οι απατεώνες μπορούσαν να μάθουν μέχρι και την τελευταία<br />
λεπτομέρεια για τη δουλειά των εργαζομένων και να μιμηθούν<br />
τις δραστηριότητες του προσωπικού, ώστε να μεταφέρουν και<br />
να ρευστοποιήσουν χρηματικά ποσά.<br />
Όταν ερχόταν η ώρα να ρευστοποιήσουν τα ποσά που απέσπασαν<br />
από τις δραστηριότητες τους, οι απατεώνες χρησιμοποιούσαν<br />
online τραπεζικά συστήματα ή διεθνή συστήματα<br />
ηλεκτρονικών πληρωμών, για να μεταφέρουν τα χρήματα<br />
από τους τραπεζικούς λογαριασμούς στους δικούς τους. Σε<br />
αυτή την περίπτωση, τα κλεμμένα χρήματα καταθέτονταν σε<br />
τράπεζες στην Κίνα και την Αμερική. Οι ειδικοί δεν αποκλείουν<br />
την πιθανότητα κι άλλες τράπεζες, σε άλλες χώρες να<br />
χρησιμοποιούνταν ως «παραλήπτες».<br />
Σε άλλες περιπτώσεις, οι ψηφιακοί εγκληματίες διείσδυαν α-<br />
πευθείας στην «καρδιά» των λογιστικών συστημάτων, «μολύνοντας»<br />
τα λογιστικά υπόλοιπα των λογαριασμών πριν αποσπάσουν<br />
τα έξτρα χρήματα, μέσω συναλλαγών απάτης. Για<br />
παράδειγμα, αν ένας λογαριασμός είχε 1.000 δολάρια, οι ε-<br />
γκληματίες άλλαζαν την αξία του σε 10.000 δολάρια και έπειτα<br />
μετέφερα τα 9.000 σε δικούς τους λογαριασμούς. Ο κάτοχος<br />
του λογαριασμού δεν υποπτευόταν ότι υπήρχε κάποιο πρόβλημα,<br />
γιατί το κεφάλαιο των 1.000 δολαρίων ήταν ακόμη εκεί.<br />
Επιπλέον, οι εγκληματίες αποκτούσαν τον έλεγχο των ATM<br />
των τραπεζών και μέσω εντολών τα ρύθμιζαν, ώστε να δίνουν<br />
μετρητά σε προκαθορισμένα χρονικά διαστήματα. Όταν η<br />
πληρωμή ολοκληρωνόταν, ένα από τα «πρωτοπαλίκαρα»<br />
της συμμορίας περίμενε δίπλα στο μηχάνημα για να πάρει<br />
τα λεφτά που προέρχονταν από την «εθελοντική» πληρωμή.<br />
8 | security
Είναι τα έξυπνα σπίτια ευφυή από άποψη ασφάλειας<br />
στον κυβερνοχώρο;<br />
Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και<br />
Πληροφοριών (ENISA) δημοσίευσε την έκθεση με τίτλο Τοπίο<br />
απειλών και οδηγός ορθής πρακτικής για τo έξυπνο σπίτι<br />
και τα μέσα σύγκλισης, συμβάλλοντας έτσι στην προσπάθεια<br />
επίτευξης των στόχων που διατυπώνονται στη στρατηγική α-<br />
σφάλειας στον κυβερνοχώρο για την ΕΕ.<br />
Στόχος της μελέτης είναι να εντοπίσει αφενός τους κινδύνους<br />
και τις προκλήσεις της ασφάλειας και αφετέρου τα α-<br />
ντίμετρα που απαιτούνται για τις αναδυόμενες τεχνολογίες<br />
στα έξυπνα σπίτια, παρέχοντας συγκεκριμένη και εστιασμένη<br />
προσέγγιση, με μια επισκόπηση της τρέχουσας κατάστασης<br />
της ασφάλειας στον κυβερνοχώρο σε αυτόν τον αναδυόμενο<br />
τομέα. Στο πλαίσιο του πεδίου εφαρμογής της μελέτης<br />
έχουν εντοπιστεί παράγοντες απειλής που αποκαλύπτουν<br />
αρκετές πηγές τρωτότητας. Οι εγκληματίες του κυβερνοχώρου<br />
κατατάσσονται ως η μεγαλύτερη και εχθρικότερη κατηγορία<br />
απειλών, ενώ η ενδεχόμενη κατάχρηση των έξυπνων<br />
σπιτιών θα πρέπει να θεωρηθεί ιδιαίτερα πιθανή δεδομένου<br />
του αυξανόμενου αριθμού έξυπνων συσκευών και σπιτιών,<br />
αλλά και ιδιαίτερα των μέσων σύγκλισης. Ο εκτελεστικός<br />
διευθυντής Udo Helmbrecht δήλωσε: «Το έξυπνο σπίτι είναι<br />
ένα σημείο έντονης επαφής ανάμεσα στη δικτυωμένη τεχνολογία<br />
των πληροφοριών και στον φυσικό χώρο, συνεπώς συνδυάζει κινδύνους<br />
ασφάλειας τόσο από το εικονικό όσο και από το φυσικό<br />
περιβάλλον. Ο εντοπισμός των απειλών στον κυβερνοχώρο είναι<br />
κρίσιμος για την προστασία του έξυπνου σπιτιού και ως εκ τούτου<br />
αποτελεί βασικό στοιχείο για τη διασφάλιση της επιτυχούς<br />
ανάπτυξής του».<br />
security | 9
n ews<br />
Η ESET διαθέτει τη νέα γενιά λύσεων ασφάλειας για επιχειρήσεις<br />
Διαθέσιμη σε όλον τον κόσμο είναι η νέα, ολοκληρωτικά ε-<br />
πανασχεδιασμένη σειρά λύσεων <strong>IT</strong> ασφάλειας για επιχειρήσεις<br />
της ESET ® , σύμφωνα με ανακοίνωση της εταιρίας.<br />
Μετά από μήνες διεξοδικών ερευνών των εταιρικών χρηστών<br />
παγκοσμίως, η ESET ανέλυσε τα ευρήματα και τα χρησιμοποίησε<br />
για την ανάπτυξη αυτών των νέων προϊόντων ασφάλειας.<br />
Ακολουθώντας διαδικασίες εντατικού σχεδιασμού,<br />
κατασκευής, ανάπτυξης και δοκιμών, η ESET είναι σε θέση<br />
να διαθέτει πλέον την ολοκαίνουρια σειρά λύσεων για επιχειρήσεις<br />
σε οργανισμούς κάθε μεγέθους σε όλο τον κόσμο.<br />
Οι λύσεις <strong>IT</strong> ασφάλειας της ESET για επιχειρήσεις προσφέρουν<br />
μέγιστη προληπτική προστασία με χαμηλή επιβάρυνση<br />
των εταιρικών ΙΤ υποδομών, ενώ παράλληλα διαθέτουν πλούσια<br />
χαρακτηριστικά, όπως τις λειτουργίες Botnet Protection,<br />
Exploit Blocker, Anti-Phishing και Anti-Theft. «Το να σχεδιάζουμε<br />
προϊόντα ασφαλείας, που είναι παγκοσμίως αναγνωρισμένα<br />
για την ποιότητά τους, δεν είναι κάτι καινούριο για εμάς, αφού<br />
είναι κάτι που κάνουμε εδώ και περισσότερα από είκοσι χρόνια»<br />
δήλωσε ο Richard Marko, CEO της ESET. «Ωστόσο, καθώς η<br />
ψηφιακή επανάσταση έχει αλλάξει ριζικά το επιχειρησιακό τοπίο,<br />
θέλαμε να γυρίσουμε στα αρχικά στάδια και να κατανοήσουμε<br />
πραγματικά τι χρειάζονται οι πελάτες μας προκειμένου να μπορούν<br />
να αναπτύξουν τις επιχειρήσεις τους σήμερα αλλά και στο<br />
άμεσο μέλλον. Το μυστικό είναι η εξισορρόπηση της ευχρηστίας με<br />
τις επιδόσεις και την ευελιξία. Τα αποτελέσματα μιλούν από μόνα<br />
τους – πιστεύω ότι έχουμε σίγουρα κερδίσει το πρώτο βραβείο».<br />
Στον πυρήνα των προϊόντων <strong>IT</strong> ασφάλειας της ESET για<br />
επιχειρήσεις βρίσκεται το νέο εργαλείο ESET Remote<br />
Administrator. Αυτή η κονσόλα απομακρυσμένης διαχείρισης,<br />
που μπορεί να εγκατασταθεί τόσο σε πλατφόρμα<br />
Windows όσο και σε πλατφόρμα Linux, έχει επανασχεδιαστεί<br />
για να αυξήσει την ευχρηστία, να βελτιώσει την ασφάλεια<br />
και να μειώσει το συνολικό κόστος υλοποίησης και διαχείρισης.<br />
Περιλαμβάνει ένα ενσωματωμένο σύστημα διαχείρισης<br />
εργασιών για την ελαχιστοποίηση των διακοπών, ενώ ταυτόχρονα<br />
επιτρέπει την αυτόματη λειτουργία ενεργειών βάσει<br />
δυναμικής ομαδοποίησης τερματικών.<br />
Το νέο περιβάλλον εργασίας των λύσεων ασφάλειας της<br />
ESET για επιχειρήσεις απλοποιεί τις λειτουργίες παρακολούθησης,<br />
ρύθμισης και ελέγχου των εργασιών του δικτύου, διασφαλίζοντας<br />
την έγκαιρη ενημέρωση τη επιχείρησης και την<br />
προστασία της από ανεπιθύμητες και κακόβουλες ενέργειες.<br />
«Καθώς οι επιχειρήσεις συνεχίζουν να εξελίσσουν τη διασυνδεσιμότητά<br />
τους, μετατρέπονται σε ελκυστικότερο στόχο κακόβουλων<br />
επιθέσεων και προηγμένων, επίμονων απειλών» σημειώνει<br />
ο Ignacio Sbampato, Chief Sales and Marketing Officer της<br />
ESET. «Οι κατασκευαστές λογισμικού ασφάλειας θα πρέπει να<br />
προσφέρουν στους πελάτες τους καλύτερες λύσεις που δεν επιβαρύνουν<br />
τους πόρους μίας επιχείρησης κατά την αντιμετώπιση των<br />
απειλών. Για αυτό το λόγο προσφέρουμε στην αγορά απαράμιλλη<br />
αξία με τα να μας προϊόντα και υπηρεσίες. Έχουμε επενδύσει σημαντικά<br />
στη δημιουργία μίας πραγματικά εξαιρετικής σειράς λύσεων<br />
ασφάλειας για επιχειρήσεις. Στόχος μας είναι να ξεπεράσουμε<br />
τις προσδοκίες των πελατών μας, προσφέροντας τους αξεπέραστη<br />
ασφάλεια, που είναι απίστευτα αποτελεσματική και λειτουργική<br />
σε ότι αφορά την εγκατάσταση, τις ρυθμίσεις και τη λειτουργία».<br />
10 | security
Σε πλήρη εξέλιξη το έργο των δακτυλικών<br />
αποτυπωμάτων από την Space Hellas<br />
Η SPACE HELLAS ανέλαβε κατόπιν διαγωνισμού που διενήργησε<br />
η Κοινωνία της Πληροφορίας για λογαριασμό του<br />
Υπουργείου Δημόσιας Τάξης & Προστασίας του Πολίτη και<br />
υλοποιεί το έργο «Ηλεκτρονικές Υπηρεσίες Ταυτοποίησης<br />
& Αναγνώρισης Πολιτών (e-ΤΑΠ)». Ο χρόνος υλοποίησης<br />
του Έργου ορίζεται σε δεκαεννέα (19) μήνες και το συμβατικό<br />
τίμημα σε 6.848.506 χωρίς ΦΠΑ. Το έργο περιλαμβάνει την<br />
προμήθεια και εγκατάσταση ολοκληρωμένου Συστήματος<br />
Ηλεκτρονικών Υπηρεσιών Ταυτοποίησης και Αναγνώρισης<br />
(e-ΤΑΠ), Πανελλαδικής Εμβέλειας, που θα εγκατασταθεί σε<br />
όλα τα σημεία εισόδου/εξόδου-διαβατηριακού ελέγχου της<br />
χώρας, στη Διεύθυνση Εγκληματολογικών Ερευνών, στις Περιφερειακές<br />
Εγκληματολογικές Υπηρεσίες, στις Διευθύνσεις<br />
Αλλοδαπών και στις κατά τόπους Αστυνομικές Διευθύνσεις.<br />
Το έργο έχει δύο κύριους στόχους, πρώτον την αυτοματοποίηση<br />
και επιτάχυνση των διαδικασιών Δακτυλοσκοπικής<br />
εξακρίβωσης ταυτότητας–ταυτοποίησης ατόμου και την Ε-<br />
ξερεύνηση και Δακτυλοσκοπική έρευνα εγκληματιών, πάντα<br />
σε συμμόρφωση με τους Ευρωπαϊκούς Κανόνες και λειτουργίες<br />
για την καταπολέμηση του εγκλήματος και δεύτερον τη<br />
βελτιστοποίηση των υφιστάμενων υπηρεσιών, σε ότι αφορά<br />
την εξυπηρέτηση του πολίτη από το Υπουργείο και τις άλλες<br />
κρατικές υπηρεσίες. Περιλαμβάνει επίσης, την ανάπτυξη νέων<br />
υπηρεσιών και τη βελτιστοποίηση των υφιστάμενων υπηρεσιών,<br />
που αφορούν όλες τις εγκληματολογικές εφαρμογές στο<br />
πλαίσιο της δραστηριότητας του Υπουργείου με τους συνεργαζόμενους<br />
εθνικούς και διεθνείς οργανισμούς, και τέλος<br />
την ανάπτυξη νέων υπηρεσιών ηλεκτρονικής διακυβέρνησης.<br />
Automated event log management solution<br />
Listen to your data - Log data analysis<br />
and <strong>IT</strong> monitoring made easy<br />
GFI EventsManager provides real-time and<br />
complete eventlog data management integrated<br />
with <strong>IT</strong> infrastructure and operations<br />
monitoring, offering a unique approach to<br />
incident detection and remediation.<br />
www.gfi.com/eventsmanager<br />
Orhology Ltd<br />
294, Kifissias Avenue & 1, Tzouna St.<br />
14563 Kifissia<br />
(T) +30 210 6080091<br />
(F) +30 210 6080092<br />
(W) www.orthology.gr<br />
security | 11
i nterview<br />
Δραματική αύξηση χρήσης<br />
καινοτόμων τεχνικών<br />
από την πλευρά των εισβολέων<br />
Συνέντευξη με τον Ivan Straniero<br />
Territory Manager for Italy and SE Europe, Arbor Networks<br />
Με αφορμή την έκδοση της 10ης Ετήσιας<br />
Παγκόσμιας Έκθεσης Ασφαλείας<br />
Υποδομών της Arbor Networks ο<br />
Ivan Straniero (Territory Manager for<br />
Italy and SE Europe) μας παραχώρησε<br />
συνέντευξη αναλύοντας τα ποσοτικά και<br />
ποιοτικά χαρακτηριστικά των επιθέσεων<br />
DDoS, ξεδιαλύνοντας παράλληλα<br />
τους μύθους σχετικά με τους τρόπους<br />
αντιμετώπισής τους.<br />
Σε ποιους παράγοντες κατά τη γνώμη σας οφείλεται η<br />
πολύ μεγάλη αύξηση των επιθέσεων DDoS την προηγούμενη<br />
χρονιά, όπως καταγράφεται και από την 10η Ετήσια<br />
Παγκόσμια Έκθεση Ασφαλείας Υποδομών της Arbor<br />
Networks;<br />
Υπάρχουν αρκετοί λόγοι που οδήγησαν στην αύξηση της συχνότητας<br />
των επιθέσεων DDoS. Στη σημερινή εποχή υπάρχει<br />
μια μεγάλη γκάμα εργαλείων τα οποία επιτρέπουν στον<br />
καθένα να εξαπολύσει μια επίθεση απλοποιώντας ιδιαίτερα<br />
τη διαδικασία. Με μια απλή αναζήτηση στο Ίντερνετ μπορεί<br />
κάποιος να κατεβάσει κυριολεκτικά εκατοντάδες εργαλεία<br />
που κάνουν τη διαδικασία σχετικά απλή. Δεν χρειάζεται πλέον<br />
να έχει κάποιος εξειδικευμένες γνώσεις για να ξεκινήσει<br />
μια επίθεση DDoS. Επιπλέον, υπάρχουν κακόβουλοι οργανισμοί<br />
που διαθέτουν υπηρεσίες για επιθέσεις DDoS και έ-<br />
ναντι ενός μικρού τιμήματος μπορούν να εξαπολύσουν μια<br />
επίθεση για κάθε ενδιαφερόμενο. Οι συγκεκριμένοι οργανισμοί<br />
λειτουργούν όπως και οι νόμιμες διαδικτυακές επιχειρήσεις<br />
προσφέροντας επιλογές τιμολόγησης για επιθέσεις<br />
με διαφορετικά μεγέθη και διαφορετική διάρκεια, ενώ ορισμένες<br />
από αυτές προσφέρουν ακόμα και συμβάσεις παροχής<br />
υπηρεσιών.<br />
12 | security
Το μέγεθος των επιθέσεων DDoS αυξήθηκε σημαντικά κατά<br />
τη διάρκεια της προηγούμενης χρονιάς. Το 2014, οι πιο ικανοί<br />
εισβολείς ξεκίνησαν να εκμεταλλεύονται τις δυνατότητες<br />
reflection/amplification στοιχείων υποδομής όπως domain<br />
name servers (DNS) και network time protocol (NTP), προκειμένου<br />
να εξαπολύσουν ιδιαίτερα υψηλού όγκου επιθέσεις.<br />
To κύριο χαρακτηριστικό των επιθέσεων DDoS κατά τη διάρκεια<br />
του πρώτου εξαμήνου του 2014 ήταν ο όγκος. Για πρώτη<br />
φορά, το παγκόσμιο σύστημα πληροφοριών ATLAS ανέφερε<br />
περισσότερες από 100 επιθέσεις άνω των 100 GB/sec. Σημειώστε<br />
επίσης ότι οι επιθέσεις που κινήθηκαν στην κλίμακα των<br />
20 GB/sec ήταν διπλάσιες σε σχέση με το 2013.<br />
Οι επιθέσεις με τη χρήση τεχνικής NTP reflection κυριάρχησαν<br />
κατά την ίδια περίοδο. Όπως όμως συμβαίνει συχνά, οι<br />
εισβολείς άλλαξαν τη μεθοδολογία και τις τεχνικές που χρησιμοποιούσαν.<br />
Αυτό το στοιχείο εξηγεί γιατί οι επιθέσεις DDoS<br />
παραμένουν ένας αποτελεσματικός τύπος επίθεσης για πάρα<br />
πολλά χρόνια.<br />
Κατά το τρίτο τρίμηνο του 2014 οι εισβολείς άλλαξαν τακτική<br />
και άρχισαν να αξιοποιούν το Simple Service Discovery<br />
Protocol (SSDP) για να ενισχύσουν το μέγεθος των επιθέσεων.<br />
Το στοιχείο που παρουσιάζει ενδιαφέρον είναι ότι κατά<br />
τη διάρκεια του δευτέρου τριμήνου του 2014 δεν υπήρξε ουσιαστικά<br />
καμία επίθεση που να εκμεταλλεύεται το SSDP port<br />
(port 1900). Αντιθέτως, κατά τη διάρκεια του τρίτου τριμήνου<br />
του 2014, το ATLAS κατέγραψε σχεδόν 30.000 επιθέσεις τέτοιου<br />
τύπου.<br />
Ποια είναι τα ποιοτικά χαρακτηριστικά των επιθέσεων<br />
DDoS σήμερα; Τι μεθοδολογίες χρησιμοποιούνται στις ε-<br />
πιθέσεις, που στοχεύουν κυρίως και ποια τα κίνητρά τους;<br />
Όταν εμφανίστηκαν οι επιθέσεις DDoS στις αρχές του 2000,<br />
είχαν τη μορφή μιας επίθεσης βασικού τύπου που προσπαθούσε<br />
να κατακλύσει συνδέσεις στο Internet με κίνηση. Σήμερα ό-<br />
μως περιλαμβάνουν μια σειρά επιθέσεων οι οποίες στοχεύουν<br />
όχι μόνο στο bandwidth της σύνδεσης, αλλά σε πολλαπλές<br />
συσκευές οι οποίες απαρτίζουν τις υποδομές ασφαλείας μιας<br />
επιχείρησης όπως τα Firewall/IPS, καθώς και μια σειρά από ε-<br />
φαρμογές στις οποίες βασίζεται η επιχείρηση όπως οι HTTP,<br />
HTTPS, VoIP, DNS και SMTP.<br />
Οι επιθέσεις DDoS ποικίλουν, ενώ υπάρχουν χιλιάδες διαφορετικοί<br />
τρόποι με τους οποίους μπορούν να πραγματοποιηθούν.<br />
Μιλώντας γενικότερα όμως, μια επίθεση DDoS θα εμπίπτει<br />
σε μια από τις παρακάτω γενικές κατηγορίες:<br />
Ογκομετρικές Επιθέσεις: Οι συγκεκριμένες επιθέσεις προσπαθούν<br />
να καταναλώσουν το bandwidth είτε εντός του δικτύου<br />
στόχου/υπηρεσίας είτε μεταξύ του δικτύου στόχου/υπηρεσίας<br />
και του Διαδικτύου. Στόχος τους είναι να προκαλέσουν<br />
απλά συμφόρηση στο στόχο.<br />
Επιθέσεις TCP State-Exhaustion: Αυτού του τύπου οι επιθέσεις<br />
προσπαθούν να καταναλώσουν τα connection state tables<br />
τα οποία βρίσκονται σε υποδομές όπως στους load-balancers,<br />
στα firewalls και στους διακομιστές εφαρμογών (application<br />
servers). Αυτές οι επιθέσεις μπορούν να θέσουν εκτός λειτουργίας<br />
ακόμα και συσκευές υψηλής χωρητικότητας (capacity) οι<br />
οποίες μπορούν να διαχειριστούν εκατομμύρια συνδέσεων.<br />
Επιθέσεις στο επίπεδο της εφαρμογής: Οι συγκεκριμένες επιθέσεις<br />
έχουν ως στόχο κάποια από τα στοιχεία της εφαρμογής<br />
ή υπηρεσίας στο Layer-7. Αποτελούν τον πιο καταστροφικό<br />
τύπο επιθέσεων καθώς μπορούν να αποβούν άκρως αποτελεσματικές<br />
χρησιμοποιώντας ακόμα και μια μόνο επιτιθέμενη<br />
συσκευή η οποία δημιουργεί κίνηση σε χαμηλούς ρυθμούς<br />
(αυτό το στοιχείο κάνει την προληπτική ανίχνευση και αντιμετώπιση<br />
αυτού του τύπου των επιθέσεων πολύ δύσκολη). Οι<br />
επιθέσεις αυτές έχουν επικρατήσει τα τελευταία 3 - 4 χρόνια<br />
και αποτελούν μια από τις πιο κοινές μορφές επίθεσης DDoS<br />
που αντιμετωπίζουμε σήμερα.<br />
Σε αυτές τις τρείς κατηγορίες, οι φορείς που επιλέγονται για να<br />
εξαπολυθεί η επίθεση εξελίσσονται διαρκώς. Έχει παρατηρηθεί<br />
μια δραματική αύξηση χρήσης καινοτόμων τεχνικών από την<br />
πλευρά των εισβολέων. Στις μέρες μας, η πιο δημοφιλής τάση<br />
αφορά τις επιθέσεις που συμβαίνουν ταυτόχρονα από πολλαπλούς<br />
φορείς. Αυτές συνδυάζουν στοιχεία από ογκομετρικές<br />
επιθέσεις, επιθέσεις TCP state-exhaustion και επιθέσεις στο<br />
επίπεδο της εφαρμογής σε μια ενιαία, διαρκή επίθεση. Αυτές<br />
οι επιθέσεις είναι δημοφιλείς σήμερα γιατί είναι δύσκολο να<br />
αντιμετωπιστούν ενώ είναι και άκρως αποτελεσματικές.<br />
Θα μπορούσατε να μας περιγράψετε το προφίλ των εισβολέων<br />
σήμερα; Λειτουργούν μόνοι τους ή σε ομάδες; Πως<br />
ανταλλάσουν πληροφορίες και τι εργαλεία χρησιμοποιούν;<br />
Όπως αναφέρθηκε και προηγουμένως, ακόμα και αρχάριοι<br />
μπορούν να ξεκινήσουν μια επίθεση DDoS, χρησιμοποιώντας<br />
άμεσα διαθέσιμα εργαλεία. Τα εργαλεία αυτά αξιοποιούνται<br />
επίσης από ιδιαίτερα ικανούς εισβολείς προκειμένου να εξαπολύσουν<br />
μια συντονισμένη επίθεση από πολλαπλούς φορείς,<br />
χρησιμοποιώντας διαφορετικές τεχνικές και στόχους κατά τη<br />
διάρκεια μιας ενιαίας επίθεσης. Επιπλέον, οι επιθέσεις DDoS<br />
που υλοποιούνται για λόγους αντιπερισπασμού κατά τη διάρκεια<br />
στοχευμένων κακόβουλων ενεργειών έχουν αυξηθεί, αφού<br />
security | 13
i nterview<br />
Δραματική αύξηση χρήσης καινοτόμων τεχνικών από την πλευρά των εισβολέων<br />
χρησιμοποιούνται για να αποσπάσουν την προσοχή των ο-<br />
μάδων ασφαλείας, ενώ οι εισβολείς εισχωρούν στο δίκτυο<br />
από άλλο σημείο.<br />
Η επικοινωνία μπορεί να εμπλέκεται σε όλα τα επίπεδα. Οι<br />
συζητήσεις που κάνουν οι gamers σε chat rooms για να παραγκωνίσουν<br />
άλλους gamers είναι ένα χαρακτηριστικό παράδειγμα<br />
χαμηλού επιπέδου. Παράδειγμα υψηλού επιπέδου<br />
αποτελεί η ανταλλαγή πληροφοριών ανάμεσα σε cyber<br />
criminals σχετικά με πιθανούς στόχους, τεχνικές και τακτικές<br />
επίθεσης. Η επικοινωνία και η ανταλλαγή πληροφοριών είναι<br />
κάποιοι από τους λόγους για τους οποίους οι επιθέσεις<br />
είναι τόσο επιτυχημένες. Είναι ένα στοιχείο που πρέπει να<br />
σημειωθεί από τη μεριά των επιχειρήσεων. Ο διαμοιρασμός<br />
πληροφοριών είναι ένα πολύ σημαντικό κομμάτι της ασφάλειας<br />
των δικτύων. Υπάρχουν κλάδοι οι οποίοι ακολουθούν<br />
καλύτερη τακτική από άλλους, με τους κυβερνητικούς και<br />
τους χρηματοπιστωτικούς οργανισμούς να βρίσκονται στην<br />
κορυφή της πυραμίδας αφού δείχνουν μεγαλύτερη προθυμία<br />
να μοιραστούν πληροφορίες. Η περισσότερο συχνή και<br />
με μεγαλύτερη συνέπεια ανταλλαγή πληροφοριών βοηθά σημαντικά<br />
όλες τις επιχειρήσεις.<br />
Πως θα μπορούσαν λοιπόν σήμερα οι οργανισμοί να προστατεύσουν<br />
τα δίκτυά τους από τις εξελιγμένες επιθέσεις<br />
DDoS; Μας καλύπτουν τα παραδοσιακά μέτρα ή απαιτείται<br />
κάτι καινούργιο για την άμυνα των δικτύων ενός οργανισμού;<br />
Είναι μόνο θέμα τεχνολογίας ή παίζει σημαντικό<br />
ρόλο και ο ανθρώπινος παράγοντας και με ποιο τρόπο;<br />
Υπάρχουν αρκετοί «μύθοι» σχετικά με την αντιμετώπιση<br />
των επιθέσεων DDoS οι οποίοι βοηθούν τους εισβολείς. Ο<br />
πρώτος «μύθος» είναι ότι με τη χρήση της ήδη υπάρχουσας<br />
υποδομής άμυνας μπορούν οι επιχειρήσεις να προστατευθούν<br />
από επιθέσεις DDoS. Αυτή είναι μια λανθασμένη<br />
και επικίνδυνη εκτίμηση διότι μπορεί οι συσκευές IPS, τα<br />
firewall καθώς και άλλα προϊόντα ασφαλείας να αποτελούν<br />
μέρη μιας πολυεπίπεδης στρατηγικής άμυνας, έχουν όμως<br />
σχεδιαστεί για να αντιμετωπίζουν προβλήματα ασφαλείας τα<br />
οποία είναι τελείως διαφορετικά από εκείνα που επιλύουν<br />
τα προϊόντα που αναγνωρίζουν και αντιμετωπίζουν επιθέσεις<br />
DDoS. Οι συσκευές IPS για παράδειγμα αποτρέπουν<br />
τις προσπάθειες διάρρηξης οι οποίες έχουν σαν αποτέλεσμα<br />
την κλοπή δεδομένων. Εν τω μεταξύ, τα firewalls λειτουργούν<br />
με τέτοιο τρόπο έτσι ώστε να εμποδίζουν την μη<br />
εξουσιοδοτημένη πρόσβαση σε δεδομένα. Παρόλο που<br />
τα συγκεκριμένα προϊόντα ασφαλείας αντιμετωπίζουν αποτελεσματικά<br />
τα θέματα της «ακεραιότητας και εμπιστευτικότητας<br />
των δικτύων», αποτυγχάνουν να αντιμετωπίσουν<br />
ένα βασικό πρόβλημα το οποίο συνδέεται με τις επιθέσεις<br />
DDoS, αυτό της «διαθεσιμότητας των δικτύων». Επιπλέον,<br />
οι συσκευές IPS και τα firewalls αποτελούν «τοίχους προστασίας»<br />
και ευθύγραμμες λύσεις που σημαίνει ότι είναι ευάλωτες<br />
σε επιθέσεις DDoS ενώ συχνά γίνονται και οι ίδιες<br />
στόχοι επιθέσεων.<br />
Ο δεύτερος «μύθος» σχετικά με την άμυνα από επιθέσεις<br />
DDoS αφορά την αντίληψη ότι εφόσον μια επιχείρηση είναι<br />
εγγεγραμμένη σε μια cloud-based υπηρεσία αντιμετώπισης<br />
επιθέσεων DDoS, είναι προστατευμένη από αυτές τις επιθέσεις.<br />
Αυτό όμως είναι η μισή αλήθεια. Η επιχείρηση θα προστατευθεί<br />
όντως από τις ογκομετρικές επιθέσεις. Ωστόσο δε<br />
θα είναι προστατευμένη από τις επιθέσεις που συμβαίνουν σε<br />
επίπεδο εφαρμογής και οι οποίες εμφανίζονται παντού στις<br />
μέρες μας. Για την ακρίβεια, το 90% των συμμετεχόντων στην<br />
πρόσφατη Παγκόσμια Έρευνα για την Ασφάλεια Υποδομών<br />
της Arbor, ανέφεραν επιθέσεις του συγκεκριμένου τύπου. Οι<br />
συγκεκριμένες επιθέσεις μπορούν να αντιμετωπιστούν στις<br />
εγκαταστάσεις τις επιχείρησης από purpose built συστήματα<br />
αντιμετώπισης επιθέσεων DDoS. Όπως αναφέρθηκε και<br />
παραπάνω, οι υπάρχουσες συσκευές όπως τα firewalls και<br />
IPS δεν είναι σχεδιασμένες για επιθέσεις DDoS και συχνά<br />
γίνονται οι ίδιες στόχος.<br />
Ο καλύτερος τρόπoς άμυνας είναι η υιοθέτηση πολυεπίπεδων<br />
λύσεων οι οποίες συνδυάζουν προστασία βασισμένη<br />
στο cloud για της ογκομετρικές επιθέσεις με προστασία on<br />
premises για επιθέσεις που συμβαίνουν στο επίπεδο της ε-<br />
φαρμογής. iT<strong>Security</strong><br />
14 | security
EXCLUSIVE DISTRIBUTOR<br />
Το δίκτυό σας<br />
είναι σαν τa ψάριa<br />
Μόλις βγει στον ανοικτό ωκεανό, γίνεται άμεσα<br />
δελεαστικό για τους επίδοξους cyberattackers<br />
Ασφαλίστε το δίκτυό σας με τη Cyberoam Next-Generation network security technology<br />
• Layer 8 Identity-based <strong>Security</strong><br />
• Stateful Inspection Firewall<br />
• Advanced Threat Protection (IPS/AV/AS)<br />
• VPN (IPSec and SSL)<br />
• Application Controls<br />
• Web Application Firewall<br />
• On-Appliance Reporting<br />
• Granular Bandwidth Controls & QOS<br />
• Load Balancer<br />
• 3G/4G Backup<br />
Try & Buy<br />
Τ: 210 2116501<br />
sales@partnernet.gr<br />
www.partnernet.gr
i nterview<br />
Identity Management με βάση τη<br />
συμπεριφορά των χρηστών<br />
Συνέντευξη με τον Cyrille Badeau<br />
Director - Southern Europe, Cisco <strong>Security</strong><br />
Συνομιλώντας με τον Cyrille Badeau -<br />
Διευθυντή του Τομέα Ασφάλειας της<br />
CISCO για την Νότια Ευρώπη -στα<br />
πλαίσια επίσκεψής του στην Αθήναείχαμε<br />
την ευκαιρία να μας αναπτύξει<br />
την προσέγγισή του για τις νεότερες<br />
εξελίξεις στο κυβερνοέγκλημα και τις<br />
βέλτιστες πρακτικές ασφάλειας που<br />
πρέπει να ακολουθούν οι οργανισμοί.<br />
Η Cisco, εξέδωσε πρόσφατα την ετήσια έκθεση του 2015<br />
για την ασφάλεια. Πως λοιπόν εξελίσσεται η «μάχη» μεταξύ<br />
επιτιθέμενων και αμυνόμενων με βάση τα ευρήματα<br />
της έκθεσης; Ποια είναι τα χαρακτηριστικά των σύγχρονων<br />
απειλών;<br />
Η πιο πρόσφατη ετήσια έκθεση της Cisco για την ασφάλεια,<br />
παρουσιάζει ιδιαίτερο ενδιαφέρον σε σχέση με άλλες χρονιές,<br />
αποτυπώνοντας κάποιες σημαντικές εξελίξεις. Καταρχήν<br />
σήμερα, βρισκόμαστε αντιμέτωποι με πολλά και διαφορετικά<br />
είδη απειλής, ενώ οι επιτιθέμενοι αποκτούν συνεχώς<br />
περισσότερα κίνητρα σε σχέση με προηγούμενα χρόνια.<br />
Στις μέρες μας, το έγκλημα στον κυβερνοχώρο αποκτά χαρακτηριστικά<br />
μιας απόλυτα «επαγγελματικής επιχείρησης»,<br />
που αποσκοπεί φυσικά στην υφαρπαγή χρημάτων και όχι<br />
μόνο. Πολλοί κυβερνοεγκληματίες λειτουργούν σε ομάδες,<br />
οι οποίες λαμβάνουν χαρακτηριστικά δομημένης οργάνωσης.<br />
Οι οργανώσεις αυτές, εξαπολύουν πλέον επιθέσεις σε<br />
πάρα πολλούς στόχους ταυτόχρονα και κάποιες από αυτές<br />
τις επιθέσεις «παραδίδουν» οικονομικά στοιχεία τα οποία<br />
αξιοποιούνται με σκοπό το παράνομο κέρδος. Ένα ακόμα<br />
ενδιαφέρον στοιχείο που προκύπτει από την έκθεση, είναι<br />
η εξέλιξη του ακτιβισμού ως κίνητρο για hacking, όπου σε<br />
ορισμένες περιπτώσεις, όπως η επίθεση των Anonymous<br />
απέναντι στους τζιχανιστές, αρχίζουμε να αποδεχόμαστε<br />
το κίνητρο αυτό και μάλιστα να το βλέπουμε με συμπάθεια.<br />
Το πραγματικά νέο στοιχείο όμως, που προκύπτει από την<br />
τελευταία έκθεση για την ασφάλεια, είναι η ραγδαία εξέλιξη<br />
της κυβερνοκατασκοπείας παγκοσμίως. Η ομάδα μας στην<br />
Cisco συμμετέχει ενεργά σε πολλά έργα που αφορούν υ-<br />
ποθέσεις διερεύνησης κυβερνοκατασκοπείας τα τελευταία<br />
χρόνια και έχει διαπιστώσει μια αυξανόμενη ροπή προς τη<br />
συγκεκριμένη δράση, όχι μόνο μεταξύ κρατών, αλλά και ορ-<br />
16 | security
γανισμών που θεωρούνται κρίσιμης σημασίας όπως στρατιωτικές<br />
βιομηχανίες και τηλεπικοινωνιακοί πάροχοι, αλλά και άλλων<br />
εταιρειών άλλων δραστηριοτήτων με νούμερο ένα αυτή<br />
την περίοδο τις φαρμακοβιομηχανίες. Η Cisco λοιπόν, έχει τον<br />
τρόπο να βοηθήσει τις επιχειρήσεις να αμυνθούν απέναντι σε<br />
φαινόμενα εταιρικής κυβερνοκατασκοπείας και αυτό είναι ένα<br />
θέμα που αναδείξαμε στη συνάντησή μας με τα στελέχη τμημάτων<br />
<strong>IT</strong> από ελληνικούς οργανισμούς στην Αθήνα.<br />
Πως λοιπόν οι επαγγελματίες της ασφάλειας των πληροφοριών<br />
στους οργανισμούς και τις επιχειρήσεις μπορούν να<br />
αντιμετωπίσουν επιτυχώς τις προκλήσεις της εποχής μέσα<br />
σε αυτό το περιβάλλον;<br />
Καταρχήν πρέπει να επισημάνουμε ότι η ιδέα και η υλοποίηση<br />
της περιμετρικής ασφάλειας για την αποτροπή μιας επίθεσης<br />
είναι πάντα χρήσιμη, αλλά όχι απόλυτα επαρκής πλέον. Για<br />
αυτό και η Cisco έχει αναπτύξει την προσέγγιση front-centric<br />
που επικεντρώνεται στην πλήρη ορατότητα της απειλής, πριν<br />
αυτή εξελιχτεί, κατά τη διάρκειά της, αλλά και μετά από αυτήν.<br />
Η προσέγγιση αυτή μετουσιώνεται μέσα από τα προϊόντα της<br />
Cisco, τα οποία αντιμετωπίζουν την εκάστοτε απειλή σε όλο<br />
το εύρος και ειδικά πριν αυτή πραγματοποιηθεί προκειμένου<br />
να γνωρίζουμε τη δυναμική που έχει. Η προσέγγιση αυτή, που<br />
αφορά την πλήρη ορατότητα της εν δυνάμει απειλής, μας επιτρέπει<br />
να προετοιμαστούμε καλύτερα και να προσαρμόσουμε<br />
ανάλογα το επίπεδο άμυνας και τις δράσεις που θα αναπτύξουμε.<br />
Η κεντρική ιδέα λοιπόν, είναι να είμαστε σε θέση να<br />
λειτουργήσουμε αποτελεσματικά πριν, κατά τη διάρκεια και<br />
μετά την εκδήλωση μιας επίθεσης και για να επιτευχθεί αυτό<br />
αναπτύσσουμε τις δυνατότητες αυτές μέσα από μια σειρά λύσεων<br />
που προσφέρει η Cisco. Μια από τις χαρακτηριστικές<br />
τεχνολογίες που έχει ενσωματωθεί στις περισσότερες λύσεις<br />
της Cisco, ονομάζεται AMP Advanced Malware Protection, η<br />
οποία λειτουργεί στην ουσία σαν δυνατότητα forensic, επιτρέποντας<br />
την ελεγχόμενη εκδήλωση μιας επίθεσης από κακόβουλο<br />
λογισμικό προκειμένου να αποκτήσουμε μια πλήρη εικόνα<br />
της εκάστοτε απειλής έτσι ώστε να την αντιμετωπίσουμε<br />
αποτελεσματικά.<br />
Ας μιλήσουμε λίγο για το identity management. Πως η Cisco<br />
μπορεί να βοηθήσει τους οργανισμούς σε αυτό τον τομέα;<br />
Η ιδέα που υλοποιούμε για το identity management είναι πολύ<br />
διαφορετική από τα προηγούμενα χρόνια. H διαχείριση ταυτότητας<br />
και ο έλεγχος πρόσβασης τα προηγούμενα χρόνια βασίζονταν<br />
αποκλειστικά στους χρήστες και τις IP διευθύνσεις.<br />
Πλέον όμως η νέα προσέγγιση σε αυτό τον τομέα βασίζεται<br />
εν μέρει στο χρήστη αλλά κυρίως στη συμπεριφορά που αυτός<br />
αναπτύσσει συνεχώς. Αυτή η προσέγγιση, επιτρέπει για<br />
παράδειγμα να αναγνωρίσουμε οποιαδήποτε στιγμή, ποια είναι<br />
η εκάστοτε φορητή συσκευή που προσπαθεί να συνδεθεί<br />
στο δίκτυο, ποιο είναι το επίπεδο προστασίας της, αν είναι μια<br />
συσκευή της εταιρείας ή προσωπικής χρήσης, από πού προσπαθεί<br />
να συνδεθεί, πότε και πολλές άλλες πληροφορίες οι<br />
οποίες θα ληφθούν υπόψη για την αποδοχή ή όχι της πρόσβασης.<br />
Αναπτύσσοντας αυτή την προσέγγιση σχετικά με την συμπεριφοριστική<br />
ανάλυση του εκάστοτε χρήστη επιτυγχάνεται<br />
καταρχήν καλύτερη διαχείριση της έκθεσης στους κινδύνους,<br />
μιας και η συμπεριφορά των χρηστών μπορεί να αλλάξει πολύ<br />
γρήγορα και για αυτό και πρέπει να είμαστε σε θέση να προσαρμοζόμαστε<br />
ταχύτατα στις όποιες αλλαγές, ενώ από άλλη<br />
πλευρά διευκολύνεται ο έλεγχος των νέων εφαρμογών που συνεχώς<br />
κάνουν την εμφάνισή τους. Συνοπτικά, ό,τι καινούργιο<br />
στοιχείο προστίθεται σε σχέση με τον εκάστοτε χρήστη, θα<br />
ελέγχεται και δεν θα επιτρέπεται αυτός να έχει πρόσβαση στο<br />
εταιρικό δίκτυο προτού αξιολογηθεί το επίπεδο ασφάλειας.<br />
Κατά την επίσκεψή σας στην Αθήνα είχατε μια συνάντηση<br />
με στελέχη τμημάτων <strong>IT</strong> στην Ελλάδα όπου λόγω της<br />
οικονομικής κρίσης οι επενδύσεις σε νέες υποδομές είναι<br />
μειωμένες. Πως o Τομέας Ασφάλειας της Cisco μπορεί<br />
να βοηθήσει τις επιχειρήσεις να αντιμετωπίσουν αυτή την<br />
πρόκληση;<br />
Η παγκόσμια στρατηγική ασφάλειας της Cisco έχει σχεδιαστεί<br />
με τέτοιο τρόπο έτσι ώστε, όχι μόνο να απαντάει στις προκλήσεις<br />
που δημιουργεί η οικονομική κρίση αλλά παράλληλα να<br />
προσαρμόζεται άμεσα στο νέο τρόπο σκέψης και φιλοσοφίας<br />
των οργανισμών σε ότι έχει σχέση με τις υποδομές ΙΤ. Αυτό<br />
που κάνουμε λοιπόν στον τομέα ασφάλειας της Cisco είναι να<br />
εργαζόμαστε προς την κατεύθυνση ενσωμάτωσης δυνατοτήτων<br />
και λειτουργιών ασφάλειας στις ήδη υπάρχουσες λύσεις<br />
που σχετίζονται με τις υποδομές δικτύων, data center και συστημάτων<br />
επικοινωνιών της Cisco. Αυτό πρακτικά σημαίνει, ότι<br />
οι πελάτες μας, μπορούν να επωφεληθούν από τις δυνατότητες<br />
των εργαλείων ασφάλειας που αναπτύσσουμε χωρίς να χρειάζεται<br />
να εγκαταστήσουν νέο hardware. Καταφέρνουμε λοιπόν<br />
να παρέχουμε λύσεις και εργαλεία ασφάλειας που ενσωματώνονται<br />
στις υπόλοιπες υποδομές <strong>IT</strong> του οργανισμού από την<br />
CISCO και διακρίνονται για την απλότητα και λειτουργικότητα<br />
που προσφέρουν. Με αυτό τον τρόπο βοηθάμε τις επιχειρήσεις<br />
στην Ελλάδα όχι μόνο να μειώσουν συνολικά το κόστος<br />
για την ασφάλεια αλλά και να διαθέτουν την απαιτούμενη υποστήριξη<br />
του δικτύου και των υποδομών. iT<strong>Security</strong><br />
security | 17
c over issue<br />
Του Νότη Ηλιόπουλου<br />
Msc Infosec, ISO 27001 LA, CISA, CISM<br />
piliopou@me.com<br />
Identity & Access Management<br />
Μερικά χρόνια πριν, το 2009, είχαμε προσεγγίσει το ίδιο θέμα, ακολουθώντας την τότε<br />
τάση σύμφωνα με την οποία μιλούσαμε για identity & access management (IAM) αλλά<br />
δίχως να υπάρχουν και τόσες υλοποιήσεις και μάλιστα επιτυχημένες.<br />
Σήμερα, βρισκόμαστε σε μια πιο ώριμη εποχή και ταυτόχρονα<br />
σε μια εποχή στην οποία οι σπάταλες δεν ενδείκνυνται. Η<br />
αναγκαιότητα είναι ακόμα μεγαλύτερη εάν συλλογιστούμε τις<br />
απαιτήσεις για ανοικτά εταιρικά δίκτυα και συνεχή ανταλλαγή<br />
δεδομένων μεταξύ εταιριών/οργανισμών που συνεργάζονται<br />
σε παγκόσμιο επίπεδο.<br />
Στο χώρο του IAM υπάρχουν αλλαγές όσον αφορά στο τεχνικό<br />
μέρος. Μόνο οι προμηθευτές που προσφέρουν ολοκληρωμένες<br />
λύσεις οι οποίες έχουν τη δυνατότητα ολοκλήρωσης με<br />
τα περισσότερα λειτουργικά συστήματα και εφαρμογές, αλλά<br />
και επικοινωνίας με τις περισσότερες τεχνολογίες διαχείρισης<br />
χρηστών βρίσκονται στο επίκεντρο. Αυτοματοποίηση στη α-<br />
νακάλυψη και επιβολή των ρόλων, διεπαφές επικοινωνίας με<br />
συστήματα και εφαρμογές είναι τα σημεία που κάνουν κάποιες<br />
τεχνολογικές λύσεις να ξεχωρίζουν από κάποιες άλλες.<br />
Κάτι ακόμα που φαίνεται να έχει αλλάξει είναι και ο ορισμός<br />
αυτού που μέχρι τώρα ονομάζαμε διαχείριση ψηφιακών<br />
πιστοποιητικών και πρόσβασης (Identity & Access<br />
Management). Εδώ και μερικά χρόνια έχει αντικατασταθεί<br />
από τον ορισμό Διακυβέρνηση και Διαχείριση Ψηφιακών<br />
Πιστοποιητικών Πρόσβασης (Identity Governance &<br />
Administration).<br />
18 | security
Τα συστήματα Διακυβέρνησης και διαχείρισης ψηφιακών πιστοποιητικών<br />
πρόσβασης, διαχειρίζονται την όλη διαδικασία<br />
που αφορά στο κύκλο ζωής των ψηφιακών πιστοποιητικών<br />
πρόσβασης και της πρόσβαση σε πολλαπλά συστήματα.<br />
Η βασική λειτουργικότητα των εν λόγω συστημάτων περιλαμβάνει<br />
αυτοματοποιημένη δημιουργία λογαριασμών πρόσβασης<br />
χρηστών μεταξύ ετερογενών συστημάτων, την ικανοποίηση<br />
των αιτημάτων πρόσβασης (συμπεριλαμβανομένης<br />
και της υπηρεσίας self-service), διαχείριση των κωδικών<br />
πρόσβασης, τη διακυβέρνησης όσον αφορά την πρόσβαση<br />
των χρηστών μέσω αυτοματοποιημένων ροών εργασίας και<br />
πολιτικών, καθώς και τις διαδικασίες πιστοποίησης πρόσβασης.<br />
Στις πρόσθετες δυνατότητες συχνά περιλαμβάνονται η<br />
δυνατότητα αξιολόγησης του κινδύνου σε σχέση με τα δικαιώματα<br />
πρόσβασης ενός χρήστη, ο διαχωρισμός των καθηκόντων<br />
(segregation of duties), η επιβολή και διαχείριση ρόλων<br />
πρόσβασης.<br />
Η επιχειρηματική αξία<br />
Η έννοια της ψηφιακής ταυτότητας μπορεί να επεκταθεί πέρα<br />
από τους χρήστες του εκάστοτε Οργανισμού και να περιλαμβάνει<br />
προμηθευτές, πελάτες, οποιαδήποτε τεχνολογία η<br />
οποία εμπεριέχει την έννοια της ψηφιακής οντότητας, ακόμα<br />
και ηλεκτρονικές κάρτες φυσικής πρόσβασης.<br />
Η βελτίωση του τρόπου διαχείρισης της πρόσβασης στους<br />
επιχειρηματικούς πόρους, και η διαχείριση του κύκλου ζωής<br />
μιας ψηφιακής ταυτότητας μπορεί να προσφέρει σημαντικά<br />
οφέλη, όπως:<br />
Μείωση του συνολικού κόστος ιδιοκτησίας των εν λόγω<br />
λύσεων, μέσω της μεγιστοποίησης της αποτελεσματικότητας<br />
της διαδικασίες πιστοποίησης ταυτότητας.<br />
Βελτίωση του επιπέδου ασφάλειας μέσω της μείωσης των<br />
κινδύνων από εσωτερικές και εξωτερικές επιθέσεις.<br />
Μεγαλύτερη πρόσβαση σε πληροφορίες από συνεργάτες,<br />
εταιρικούς χρήστες και πελάτες, συμμετέχοντας έτσι στην<br />
αύξηση της παραγωγικότητας.<br />
Μεγαλύτερο επίπεδο κανονιστικής συμμόρφωσης μέσω<br />
της εφαρμογής ενιαίας πολιτικής ελέγχου πρόσβασης.<br />
Μεγαλύτερη επιχειρηματική ευελιξία στο πλαίσιο, συγχωνεύσεων<br />
και εξαγορών.<br />
Η Τεχνολογία<br />
Η υλοποίηση μιας υποδομής με συστήματα διακυβέρνησης<br />
και διαχείρισης ψηφιακών πιστοποιητικών πρόσβασης, ανεξάρτητα<br />
από τη τεχνολογική υποδομή η οποία θα επιλεγεί,<br />
είναι σημαντικό να καλύπτει τις παρακάτω κύριες απαιτήσεις<br />
υλοποίησης.<br />
Μείωση του κόστους λειτουργίας & διαχείρισης όσον αφορά στη<br />
διαχείριση των ψηφιακών ταυτοτήτων, διαθέτοντας τα ακόλουθα:<br />
Αυτοματοποιημένο τρόπο δημιουργίας, τροποποίησης &<br />
διαγραφής λογαριασμών πρόσβασης χρηστών.<br />
Κεντρική διαχείριση προσβάσεων χρηστών σε διαφορετικά<br />
και ετερογενή συστήματα, καθώς και δυνατότητα διασύνδεσης<br />
με τις περισσότερες εμπορικά διαθέσιμες εφαρμογές<br />
και λειτουργικά συστήματα.<br />
Χρήση τεχνολογίας workflow με σκοπό την αυτοματοποίηση<br />
της διεργασίας παροχής, τροποποίησης και ακύρωσης<br />
πρόσβασης χρηστών, που αφορά στο σύνολο των<br />
προσβάσεων που απαιτούνται στα πλαίσια του εργασιακού<br />
ρόλου του χρήστη.<br />
Λειτουργία του μηχανισμού παροχής, τροποποίησης και<br />
ακύρωσης πρόσβασης χρηστών βάσει προκαθορισμένων<br />
ρόλων πρόσβασης.<br />
Ολοκλήρωση με το σύστημα ηλεκτρονικού ταχυδρομείου<br />
προκειμένου να ειδοποιεί για εκκρεμότητες ή να προωθεί<br />
τις εγκρίσεις των προσβάσεων.<br />
Διαχείριση ρόλων πρόσβασης. Ολοκληρωμένο σύστημα<br />
διαχείρισης ρόλων το οποίο αρχικά βοηθά στη ανακάλυψη<br />
των κοινών προφίλ πρόσβασης και στη συνέχεια στη<br />
δημιουργία και διαχείριση των ρόλων πρόσβασης. Η συγκεκριμένη<br />
δυνατότητα πρέπει να διαθέτει και αυτοματοποιημένες<br />
ροές διεργασιών για διαδικασίες όπως ο έλεγχος<br />
των προσβάσεων που συμπεριλαμβάνονται σε κάθε<br />
ρόλο καθώς και η έγκριση αυτών. Επίσης, πρέπει να παρέχει<br />
τη δυνατότητα καταγραφής των τροποποιήσεων στις<br />
οποίες υπόκειται ο κάθε ρόλος. To υποσύστημα διαχείρισης<br />
των ρόλων επικοινωνεί αμφίδρομα με το υποσύστημα<br />
διαχείρισης χρηστών για να αντλεί την απαραίτητη πληροφορία,<br />
αλλά και να επιβάλει τους ρόλους.<br />
Εναρμόνιση με νομικές & θεσμικές απαιτήσεις, παρέχοντας τα<br />
ακόλουθα:<br />
Μηχανισμό παρακολούθησης & καταγραφής της διεργασίας<br />
διαχείρισης των χρηστών, η οποία διενεργείτε με βάση<br />
την εκάστοτε υφιστάμενη οργανωτική δομή.<br />
Μηχανισμό καταγραφής και ελέγχου των δραστηριοτήτων<br />
που φορούν στη διαχείριση των χρηστών, τις διαδικασίες<br />
έγκρισης και την απόδοση των δικαιωμάτων πρόσβασης<br />
σε κάθε σύστημα.<br />
Παρέχει και βοηθάει στο να διατηρηθεί ένα υψηλό επίπεδο<br />
επιχειρησιακής αποτελεσματικότητας και ασφάλειας.<br />
security | 19
c over issue<br />
Identity & Access Management<br />
τη δυνατότητα για τα παρακάτω:<br />
Συμμόρφωση με τις επιταγές της εκάστοτε Πολιτικής Α-<br />
σφάλειας που σημαίνει δυνατότητα υλοποίησης και επιβολής<br />
της Πολιτικής Ασφάλειας του Οργανισμού.<br />
Ελεγχόμενη πρόσβαση σε συστήματα και εφαρμογές με<br />
δυνατότητες καταγραφής και ελέγχου των προσβάσεων<br />
κάθε χρήστη.<br />
Κεντρική διαχείριση της διεργασίας διαχείρισης προσβάσεων, αλλά<br />
και της απόδοσης των προσβάσεων:<br />
Τόσο η διαχείριση όσο και η απόδοση των προσβάσεων<br />
των χρηστών, διενεργείται από κεντρικό σημείο και μέσω<br />
εφαρμογής διαχείρισης. Το ηλεκτρονικό ταχυδρομείο λειτουργεί<br />
βοηθητικά.<br />
Η διαχείριση γίνεται με τον ίδιο τρόπο και από την ίδια ε-<br />
φαρμογή διαχείρισης για όλα τα συστήματα / εφαρμογές.<br />
Υπάρχει δυνατότητα για αποτύπωση των προσβάσεων σε<br />
συστήματα / εφαρμογές για τα οποία δεν υπάρχει τεχνική<br />
δυνατότητα διασύνδεσης τους με το σύστημα identity<br />
management (virtual systems representation).<br />
Αυτοματοποίηση της ροής των διεργασιών που άφορους στη διαχείριση<br />
πρόσβασης (workflow processes), η οποία έχει τα παρακάτω<br />
χαρακτηριστικά:<br />
Οι διεργασίες έγκρισης για κάθε χρήστη, αλλά και όλες οι<br />
μετέπειτα τροποποιήσεις αυτών, πρέπει να διεκπεραιώνονται<br />
μέσω ενός αυτοματοποιημένου συστήματος ροής εργασιών,<br />
το οποίο θα καταγράφει όλες τις εγκρίσεις και<br />
μεταβολές.<br />
Το σύστημα αυτοματοποίησης της ροής των διεργασιών<br />
πρέπει να αποτυπώνει την οργανωτική δομή του κάθε Οργανισμού<br />
και τις ισχύουσες διαδικασίες πρόσβασης και<br />
έγκρισης αυτών.<br />
Δυνατότητα υλοποίησης υποδομής για federated identity,<br />
δηλαδή υλοποιείται υποδομή η οποία επιτρέπει στους<br />
χρήστες ενός Οργανισμού να χρησιμοποιούν το ίδιο ό-<br />
νομα χρήστη & κωδικό πρόσβασης ή άλλο αναγνωριστικό<br />
για να αποκτήσουν πρόσβαση σε συστήματα ή / και υπηρεσίες<br />
ενός ή και περισσότερων διαφορετικών Οργανισμών.<br />
Το συγκεκριμένο μοντέλο λειτουργεί μόνο μεταξύ<br />
συνεργαζόμενων Οργανισμών οι οποίοι εγγυούνται και<br />
αποδέχονται ο ένας για τους χρήστες του άλλου.<br />
Συμμόρφωση με πρότυπα ασφάλειας πληροφοριών, παρέχοντας<br />
Τρόπος αποτελεσματικής υλοποίησης<br />
Η αποτελεσματική υλοποίηση μιας υποδομής Διακυβέρνησης<br />
και διαχείρισης ψηφιακών πιστοποιητικών πρόσβασης, εξαρτάται<br />
από παράγοντες οι οποίοι δεν αφορούν στη τεχνολογία.<br />
Πρώτο σημείο στο οποίο χρειάζεται έμφαση είναι η συμμετοχή<br />
στην υλοποίηση του κατάλληλου προσωπικού. Η παρουσία<br />
των παρακάτω κρίνεται απαραίτητη:<br />
Το τμήμα Διαχείρισης προσωπικού που διαχειρίζεται το<br />
προσωπικό και τις μετακινήσεις αυτού στις οργανωτικές<br />
μονάδες της εταιρίας.<br />
Αντιπρόσωποι του τμήματος help desk του Οργανισμού<br />
εάν υπάρχει ή αν δεν υπάρχει, αντιπρόσωποι των μηχανικών<br />
που εμπλέκονται στη διαδικασία διεκπεραίωσης των<br />
προσβάσεων.<br />
Ανώτερα διοικητικά στελέχη που εγκρίνουν προσβάσεις<br />
και ρόλους για τους συνεργάτες τους.<br />
Μηχανικοί και διαχειριστές εφαρμογών οι οποίοι υλοποιούν<br />
τις προσβάσεις των χρηστών.<br />
Επόμενο σημαντικό σημείο, ίσως το σημαντικότερο όλων, είναι<br />
η διαμόρφωση των ρόλων πρόσβασης βάση των οποίων θα<br />
αποδίδονται οι προσβάσεις στους χρήστες. Ο ρόλος πρόσβασης<br />
αποτελείται από συγκεκριμένα προνόμια πρόσβασης<br />
σε κάθε πληροφοριακό πόρο ο οποίος είναι απαραίτητος για<br />
τη διεκπεραίωση της εργασίας των τελικών χρηστών. Η σωστή<br />
διαμόρφωση των ρόλων πρόσβασης είναι ο κρισιμότερος<br />
παράγοντας επιτυχίας μιας υποδομής identity management.<br />
Η συγκεκριμένη διεργασία είναι καλό να ξεκινά πρώτη κατά<br />
την υλοποίησης ενός έργου identity management ή ιδανικά<br />
να προϋπάρχει της υλοποίησης της υποδομής identity<br />
management.<br />
Ένα επίσης σημείο στο οποίο χρειάζεται προσοχή είναι η α-<br />
ποτύπωση των διαδικασιών διαχείρισης των απαιτήσεων<br />
πρόσβασης των χρηστών. Ποιος αιτείται τη πρόσβαση, ποιος<br />
την εγκρίνει και ποια η ροή που πρέπει να ακολουθηθεί. Σαν<br />
πρώτο βήμα βοηθά η αποτύπωση της υφιστάμενης διαδικασίας<br />
πρόσβασης, έτσι ώστε να αυτοματοποιηθεί και στη πορεία<br />
20 | security
να γίνουν οι αλλαγές οι οποίες θα την κάνουν περισσότερο<br />
άμεση και γρήγορη αφού θα συμμετέχουν σε αυτή μόνο όσοι<br />
χρειάζονται. Το συνηθισμένο λάθος είναι προσθήκη περισσότερων<br />
βημάτων έγκρισης, με αποτέλεσμα η διαδικασία παρόλο<br />
αυτοματοποιημένη να αποτελείται από πολλά βήματα και να<br />
απαιτεί την εμπλοκή πολλών εργασιακών ρόλων. Το κόστος<br />
υλοποίησης μεγαλώνει καθώς πολλές από τις τροποποιήσεις<br />
που ζητούνται απαιτούν τη συγγραφή προγραμματιστικού κώδικα<br />
για να υλοποιηθούν.<br />
Οι συνηθισμένοι ανασταλτικοί παράγοντες υλοποίησης μιας<br />
υποδομής identity management είναι οι ακόλουθοι:<br />
Υψηλό κόστος λογισμικού και υπηρεσιών υλοποίησης<br />
Δεν υπάρχουν καθορισμένοι εργασιακοί ρόλοι και κατ’ ε-<br />
πέκταση ρόλοι πρόσβασης<br />
Αρκετά μεγάλο ποσοστό του χρόνου υλοποίησης χρησιμοποιείται<br />
για την επανασχεδίαση και έγκριση των διαδικασιών<br />
διαχείρισης πρόσβασης και για το καθορισμό των<br />
ρόλων πρόσβασης<br />
Δεν υπάρχει η κατάλληλη υποστήριξη από τη Διοίκηση<br />
Γενικότερα και σύμφωνα με την Gartner, τα έργα υλοποίησης<br />
υποδομών Διακυβέρνησης και διαχείρισης ψηφιακών πιστοποιητικών<br />
πρόσβασης, παρουσιάζουν από τα μεγαλύτερα<br />
ποσοστά ανεπιτυχούς υλοποίησης.<br />
Μεθοδολογία Διαχείρισης Έργου<br />
Μια αποτελεσματική μέθοδος για την υλοποίηση έργων Διακυβέρνησης<br />
και διαχείρισης ψηφιακών πιστοποιητικών πρόσβασης,<br />
είναι η εξής<br />
Προσδιορισμός λειτουργικών απαιτήσεων<br />
Ορισμών ρόλων χρηστών<br />
Ορισμός ροών παροχής, τροποποίησης και διακοπής<br />
προσβάσεων<br />
Απαιτήσεις ελέγχου και πληροφόρησης (reporting)<br />
Αρχιτεκτονικός σχεδιασμός<br />
Ορισμός και τεκμηρίωση του αρχιτεκτονικού σχεδιασμού<br />
Εγκατάσταση & διαμόρφωση λύσης<br />
Εγκατάσταση και αρχική διαμόρφωση λογισμικού<br />
Διασυνδέσεις με εταιρικά συστήματα και εφαρμογές, Ρόλοι<br />
& Πολιτικές πρόσβασης<br />
Διαμόρφωση αυτοματοποιημένων ροών<br />
Αναφοράς και ελέγχου διαμόρφωσης<br />
Λειτουργικές δοκιμές<br />
Μεταφορά Τεχνογνωσίας<br />
Εργασίες διαχείρισης<br />
Αναφορά στη διαδικασία διαμόρφωσης<br />
Αναφορά στη διαδικασίας ανάκτησης<br />
Λύση Ανάπτυξη<br />
Τελικές λειτουργικές δοκιμές (σενάρια δοκιμών)<br />
Τεκμηρίωση αποτελεσμάτων δοκιμών<br />
Ολοκλήρου έργου<br />
Ενημέρωση του τελικού αρχιτεκτονικού σχεδιασμού<br />
Τεκμηρίωση λύσης<br />
Loging off<br />
Η υλοποίηση υποδομών διακυβέρνησης και διαχείρισης ψηφιακών<br />
πιστοποιητικών πρόσβασης δεν μπορεί να θεωρηθεί<br />
πολυτέλεια για Οργανισμούς οι οποίοι έχουν σημαντικό αριθμό<br />
χρηστών και ταυτόχρονα διαχειρίζονται κρίσιμα δεδομένα.<br />
Τέτοιου είδους Οργανισμοί οφείλουν να εναρμονίζονται με<br />
κανονιστικές ρυθμίσεις και η χρήση υποδομών Διακυβέρνησης<br />
και διαχείρισης ψηφιακών πιστοποιητικών πρόσβασης,<br />
βοηθάει σε αυτό. Εάν στα παραπάνω προσθέσουμε και το α-<br />
νοικτό σύγχρονο περιβάλλον όπου η περίμετρος δεν οριοθετείτε<br />
αυστηρά πλέον αλλά βρίσκεται εκεί που βρίσκετε ο κάθε<br />
συνεργάτης ή ο κάθε απομεμακρυσμένος χρήστης του Οργανισμού,<br />
τότε το ερώτημα δεν είναι εάν η υποδομή IGA είναι<br />
απαραίτητη αλλά εάν είναι έτοιμος ο Οργανισμός να βοηθηθεί<br />
από μια τέτοια λύση. Εάν δηλαδή έχει γίνει η κατάλληλη προεργασία<br />
ή εάν είναι διατεθειμένος ο Οργανισμός να λειτουργήσει<br />
στα πλαίσια κανόνων συγκεκριμένων πρόσβασης. Μέχρι<br />
το 2018, περισσότερο από το 50% των οργανισμών θα έχουν<br />
αυτοματοποιήσει τη διεργασία έγκρισης των προσβάσεων<br />
των χρηστών τους, ενώ στο 40% αυτών, οι λύσεις Διακυβέρνησης<br />
και διαχείρισης ψηφιακών πιστοποιητικών πρόσβασης,<br />
θα παρέχουν προ-διαμορφωμένες αυτοματοποιημένες διεργασίες<br />
πρόσβασης, προκειμένου να διευκολύνεται η χρήση<br />
των συστημάτων Διακυβέρνησης και διαχείρισης ψηφιακών πιστοποιητικών<br />
πρόσβασης σε μικρές και μεσαίες επιχειρήσεις.<br />
Σήμερα η διείσδυση εκεί είναι κάτι λιγότερο από 10%. iT<strong>Security</strong><br />
security | 21
i ssue<br />
Διαχείριση Ασφαλιστικών<br />
Δικλείδων στα πλαίσια<br />
της Εταιρικής Διακυβέρνησης<br />
Η εταιρική διακυβέρνηση (GRC)σχετίζεται με ένα σύστημα νόμων, ρυθμίσεων και<br />
πρακτικών, προάγοντας και διασφαλίζοντας την εγκυρότητα της επιχείρησης. Προκειμένου<br />
λοιπόν κάθε επιχείρηση να συμβάλει στη παγκόσμια ανάπτυξη και οικονομία, οφείλει να<br />
υπακούει σε κάποιους ενιαίους κανόνες και οδηγίες.<br />
Τόνια Μαρκογιαννοπούλου<br />
Accountant, MSc<br />
Σταμάτης Πασσάς<br />
<strong>IT</strong> GRC Specialist, MSc, MBA<br />
M<br />
ε τις συνεχείς αλλαγές στους ρόλους των<br />
οικονομικών διευθυντών και προέδρων, ο<br />
ρόλος των εξωτερικών οντοτήτων όπως είναι<br />
οι Ελεγκτές, Δημόσιες αρχές, Αναλυτές,<br />
Πιστωτές, είναι ιδιαίτερα σημαντικός μιας<br />
και συνεχώς απαιτείται διαβεβαίωση από τέτοιους<br />
ειδικούς. Στη διαβεβαίωση αυτή και στη δική τους<br />
πληροφόρηση, βασίζονται προκειμένου να ληφθούν αποφάσεις<br />
για επενδύσεις, για τη πιστοληπτική ικανότητα, επιτόκια<br />
ομολόγων και για τη συνολική σταθερότητα της επιχείρησης.<br />
Η πληροφόρηση αυτή διαδραματίζει σημαντικό ρόλο<br />
καθώς επηρεάζει τους εργαζομένους, τους πιστωτές, τους<br />
μετόχους και βασικά όλα τα ενδιαφερόμενα μέρη ως προς<br />
την πληροφόρηση αυτή. Είναι λογικό λοιπόν να προβλέπεται<br />
μια δαπάνη εκ μέρους των επιχειρήσεων, προκειμένου η<br />
πληροφόρηση η οποία αντλείται από τα πληροφοριακά συστήματα,<br />
να είναι έγκυρη και αξιόπιστη. Συνεπώς, πρέπει να<br />
υπακούει σε νόμους και κανονισμούς όπως : Sarbanes-Oxley<br />
Act, COSO II, Basel και άλλα. Ο στόχος της Εταιρικής Διακυβέρνησης<br />
είναι τρισδιάστατος:<br />
• Διαφάνεια πληροφοριών (Διαφανής λογιστική, γνωστοποίηση,<br />
εσωτερική και εξωτερική ανάλυση, αλλαγές αναφορών).<br />
• Εσωτερικός έλεγχος των διαδικασιών (συμμόρφωση με<br />
κανονισμούς και νομοθεσίες).<br />
• Αποτελεσματικότητα των εσωτερικών ελέγχων (περιοδικά<br />
κλεισίματα, αλλαγές).<br />
Προκειμένου να επιτευχθούν οι στόχοι αυτοί στα πλαίσια<br />
του GRC, υπάρχει το Management of Internal Controls<br />
(MIC) το οποίο καταγράφει διαδικασίες, κινδύνους, και α-<br />
σφαλιστικές δικλείδες (στη θέση των προϊόντων τρίτων).<br />
Το ΜΙC (Management of Internal Controls) υποστηρίζει ό-<br />
λες και τις κεντρικές αλλά και αποκεντρωμένες διαδικασίες.<br />
Οι κεντρικές λειτουργίες μπορούν να αντιγραφούν ή και να<br />
υιοθετηθούν έτσι ώστε να ταιριάζουν στις απαιτήσεις κάθε<br />
οργανισμού. Δεδομένου κιόλας ότι οι διοικήσεις χρειάζονται<br />
να γνωρίζουν ανά πάσα ώρα και στιγμή την κατάσταση<br />
των δικλείδων ασφαλείας, το MIC παρέχει τη δυνατότητα<br />
άντλησης εκτενών αναφορών ενώ διακρίνεται στις ακόλουθες<br />
κατηγορίες:<br />
22 | security
Configurable controls (Συντονιστικοί/<br />
Παραμετροποιήσιμοι έλεγχοι)<br />
Είναι εφικτό να συντονιστούν επιπρόσθετοι έλεγχοι, ιδιαίτερα<br />
σε επίπεδο πληροφοριακών συστημάτων από τα οποία<br />
εξάγονται οι οικονομικές καταστάσεις. Για παράδειγμα, υπάρχει<br />
η δυνατότητα να απομονωθούν εγγραφές, των οποίων<br />
τα ποσά υπερβαίνουν ένα συγκεκριμένο ποσό. Επίσης ανά<br />
πάσα ώρα και στιγμή τα οικονομικά στοιχεία μπορούν να<br />
παρακολουθηθούν. Γενικά τίθενται κρίσιμα όρια, τα οποία<br />
κάθε φορά που υπερβαίνονται δύναται να διερευνηθεί η αιτία<br />
του προβλήματος. Σε επίπεδο προηγμένων λογισμικών<br />
προγραμμάτων (π.χ SAP) oι χρήστες όταν ρυθμίζουν τις<br />
παραμέτρους του συστήματος, μπορούν να δημιουργήσουν<br />
και να προσδιορίσουν συντονιστικούς ελέγχους για τις ακόλουθες<br />
ενέργειες και στοιχεία:<br />
• Ανοχές ελέγχου (ορισμός περιθωρίων αποκλίσεων από<br />
τον έλεγχο).<br />
• Απαιτούμενα πεδία ή πεδία που συμπληρώνονται από το<br />
σύστημα.<br />
• Προκαθορισμένα βασικά αρχεία δεδομένων τα οποία εμφανίζονται<br />
ως προεπιλεγμένες τιμές.<br />
• Κωδικοί αιτιολόγησης.<br />
• Εμφάνιση σφαλμάτων ανά χρήστη και προειδοποιητικά<br />
μηνύματα.<br />
• Αυτόματες, ενσωματωμένες εγγραφές ανάλογα με προκαθορισμένα<br />
κλειδιά καταχώρησης/εγγραφής.<br />
• Ροή εργασιών.<br />
• Διαχείριση κινδύνου (SEM).<br />
• Πίνακας Διαχείρισης Ελέγχου (Management Cockpit, SEM).<br />
• Inherent system controls (εσωτερικές δικλείδες ασφαλείας).<br />
• Configurable controls (επίκτητοι-συντονιστικοί έλεγχοι).<br />
• <strong>Security</strong> controls (έλεγχοι ασφαλείας).<br />
• Report controls (έλεγχοι αναφοράς).<br />
Internal (or inherent controls)<br />
Οι εσωτερικοί έλεγχοι χρησιμοποιούνται για τη διάρθρωση<br />
των δραστηριοτήτων παρακολούθησης. Αυτό περιλαμβάνει<br />
τα ακόλουθα στάδια και αποτελέσματα:<br />
• Παρακολούθηση της χρήσης των συναλλαγών.<br />
• Παρακολούθηση της ασφάλειας και της πρόσβασης.<br />
• Αρχείο εγγραφών μεταφοράς δεδομένων.<br />
• Υποστηρικτικό πακέτο καταγραφής εγγραφών.<br />
<strong>Security</strong> controls (δικλείδες ασφαλείας)<br />
Οι έλεγχοι ασφαλείας χρησιμοποιούνται για να ρυθμίζουν<br />
την πρόσβαση των χρηστών και τις άδειες/εξουσιοδοτήσεις<br />
για τα προγράμματα, τις συναλλαγές, τους πίνακες δεδομένων,<br />
και τα πεδία. Οι έλεγχοι ασφαλείας μπορούν ακόμη να<br />
χρησιμοποιηθούν για τον εντοπισμό και την αποτροπή μη<br />
εξουσιοδοτημένης πρόσβασης ή πιθανών επιθέσεων.<br />
Report Controls (έλεγχοι αναφοράς)<br />
Η λύση διαχείρισης συμμόρφωσης που παρέχουν τα λογισμικά<br />
προγράμματα όσον αφορά το πρότυπο Sarbanes-Oxley<br />
αντιπροσωπεύει ένα εργαλείο που ενημερώνει τη Διοίκηση/<br />
Διεύθυνση για πιθανά ηθικά ζητήματα. Το Whistle-blowing<br />
είναι μια διαδικτυακή εφαρμογή που επιτρέπει στους υπαλλήλους<br />
να γνωστοποιούν τις ανησυχίες τους σχετικά με η-<br />
θικά ζητήματα σε ένα ανώνυμο τρόπο. Σε επίπεδο πληροφοριακών<br />
συστημάτων, παραδείγματα ελέγχων αναφοράς<br />
είναι τα ακόλουθα:<br />
• Άμεση παρακολούθηση των δραστηριοτήτων κλεισίματος,<br />
βασικές/πρότυπες εκθέσεις (σε διάταξη δέντρου) φιλικές<br />
προς το χρήστη.<br />
• Θεματικοί οδηγοί βοήθειας, δυνατότητα λειτουργίας αναφορών<br />
XBRL, ελεγκτικές λειτουργίες (ιστορία ,αλλαγή αρχείου<br />
εγγραφών, ροή εγγραφής.<br />
security | 23
i ssue<br />
Διαχείριση Ασφαλιστικών Δικλείδων στα πλαίσια της Εταιρικής Διακυβέρνησης<br />
Τα θετικά αποτελέσματα της διακυβέρνησης<br />
Αφενός με την εφαρμογή ρυθμίσεων και δικλείδων ασφαλείας,<br />
αφετέρου με σωστή διαχείριση και εν γένει διακυβέρνηση,<br />
η εκάστοτε επιχείρηση μπορεί να μετατρέψει τους κινδύνους<br />
σε θετικά αποτελέσματα. Ως τέτοιες περιπτώσεις<br />
σε βιβλιογραφικές αναφορές και σε έρευνες αναφέρονται<br />
οι παρακάτω:<br />
Ενίσχυση της στρατηγικής κινδύνου<br />
• Ευθυγράμμιση με τους στόχους και τη στρατηγική της ε-<br />
πιχείρησης.<br />
• Καλύτερη ενόραση των κινδύνων που έχουν μεγαλύτερη<br />
σημασία για την οργάνωση με αποτέλεσμα την βελτιστοποίηση<br />
στην λήψη των αποφάσεων.<br />
Ενσωμάτωση της διαχείρισης του κινδύνου στη λειτουργία της<br />
επιχείρησης<br />
• Πλήρης και συνεχής διαχείριση κινδύνων και παρακολούθηση<br />
αυτών.<br />
• Κεντρική διαχείριση των οικονομικών, λειτουργικών κινδύνων<br />
και κινδύνων συμμόρφωσης και τους ελέγχους σε ό-<br />
λο τον οργανισμό.<br />
Βελτίωση των ελέγχων και των διαδικασιών<br />
• Καλύτερη ευθυγράμμιση στην κάλυψη του κινδύνου, συμπεριλαμβανομένου<br />
του προσδιορισμού πιο διεισδυτικών<br />
ελέγχων (pervasive controls/reviews).<br />
• Μείωση χρόνου και προσπάθειας που συνδέονται με την<br />
εκτέλεση των ελέγχων και δοκιμών (testings).<br />
• Αυξημένος έλεγχος και αποδοτική διαδικασία (effective<br />
procedure), απόρροια της αυτοματοποίησης και της συνεχούς<br />
παρακολούθησης.<br />
Βελτιστοποίηση της λειτουργίας διαχείρισης κινδύνων<br />
• Ενοποίηση δραστηριοτήτων και συντονισμός μεταξύ των<br />
οργανωτικών μονάδων της επιχείρησης, όπως π.χ. της πληροφορικής<br />
και της συμμόρφωσης.<br />
Οι προαναφερόμενες ενέργειες έχουν ως αποτέλεσμα οφέλη,<br />
που αφορούν την αξία, τα κόστη/έξοδα ενός οργανισμού<br />
και εν τέλει το ρίσκο που καλείται εκείνος ο οργανισμός να<br />
διαχειριστεί. Εν ολίγοις, μπορεί μια επιχείρηση να επιτύχει<br />
μειωμένο κόστος ελέγχου λόγω ενός αξιόπιστου και αυτοματοποιημένου<br />
σε διαχείριση περιβάλλοντος πρόσβασης. Ως<br />
παράδειγμα μπορεί να αναφερθεί η ειδοποίηση που παρέχεται<br />
σε πραγματικό χρόνο των πιθανών θεμάτων πρόσβασης<br />
(vulnerabilities), μια απλοποιημένη διαδικασία έγκρισης<br />
προσβάσεων/εξουσιοδοτήσεων, η ταυτοποίηση των μη φυσιολογικών<br />
(abnormal activities) ενεργειών απόκτησης πρόσβασης,<br />
υποδεικνύοντας με αυτό τον τρόπο δόλιες δραστηριότητες<br />
μέσω ειδοποιήσεων. Η τελευταία περίπτωση μπορεί<br />
κάλλιστα να επηρεάσει την αξία μιας επιχείρησης δημιουργώντας<br />
αρνητικά παρεπόμενα σε ενδεχόμενη καταστρατήγηση<br />
των υφιστάμενων κανόνων.<br />
Τέλος, αξίζει να αναφερθεί η βελτίωση της αποτελεσματικότητας<br />
που συνδέεται με την προετοιμασία και ανάλυση των<br />
εκθέσεων «Segregation of Duties» και η μείωση του αριθμού<br />
των manual controls που απαιτούνται για να σχεδιαστεί και<br />
να λειτουργεί ο περιορισμός της πρόσβασης (διαδικασία ε-<br />
ξουσιοδοτήσεων).<br />
Ως εκ τούτου, δε χρειάζεται να περιμένει ο κλάδος ή η ε-<br />
πιχείρηση να βρεθεί στα πρόθυρα της κατάρρευσης για να<br />
προχωρήσει σε κρίσιμες αλλαγές. «Διαβάστε νωρίς το φλιτζάνι<br />
και έχετε το νου σας στα σημάδια του κινδύνου». Σε άρθρο<br />
τους οι Charles Farkas και Suzy Wetlaufer (Οι μέθοδοι με<br />
τις οποίες ηγούνται οι γενικοί διευθυντές) – μας ενημερώνουν<br />
με τον πιο εμφατικό τρόπο ότι «τα συστήματα ελέγχου<br />
μπορεί να δένουν τα χέρια κάποιων, αλλά εξασφαλίζουν τη<br />
σαφήνεια και την προβλεψιμότητα, που είναι δυο πανίσχυρες<br />
ανταγωνιστικές δυνάμεις». Μήπως είναι καιρός για τις επιχειρήσεις<br />
να ενεργοποιηθούν, να προσαρμοστούν και να προβλέψουν<br />
τον επερχόμενο κίνδυνο (ένεκα του 3A’s: Activate<br />
– Adapt – Anticipate). Είναι πασιφανές ότι σίγουρα όχι η πιο<br />
δυνατή επιχείρηση όχι η γρήγορη αλλά αυτή που θα προσαρμοστεί<br />
και θα υιοθετήσει τα σωστά πρότυπα θα εξελιχθεί<br />
και θα πάει μπροστά. Τα συμπεράσματα δικά σας… iT<strong>Security</strong><br />
24 | security
i ssue<br />
Η σημαντικότητα του Identity<br />
Management και Strong Authentication<br />
Χαράλαμπος Ιωαννίδης<br />
Network Infrastructure Solutions Manager<br />
H<br />
αυξανόμενη χρήση νέων τεχνολογιών στον<br />
επιχειρηματικό κόσμο, σε συνάρτηση με τις<br />
ιδιαιτερότητες του ψηφιακού περιβάλλοντος,<br />
έχουν καταστήσει τη Διαχείριση Ταυτότητας<br />
μια μεγάλη αναγκαιότητα και ταυτόχρονα ένα<br />
πολύπλοκο ζήτημα για κάθε σύγχρονο οργανισμό.<br />
Η Διαχείριση Ταυτότητας (Identity Management), α-<br />
ποτελείται από ένα ολοκληρωμένο σύστημα διαδικασιών και<br />
τεχνολογιών οι οποίες βοηθούν τις επιχειρήσεις να ελέγχουν<br />
την πρόσβαση των χρηστών τους σε λειτουργικά συστήματα,<br />
δίκτυα και εφαρμογές, όπως επίσης να προστατεύουν την ε-<br />
μπιστευτικότητα πληροφοριών από μη εξουσιοδοτημένους<br />
χρήστες. Η έλλειψη αποτελεσματικής διαχείρισης ταυτότητας<br />
και πρόσβασης δημιουργεί σοβαρούς κινδύνους για τoν<br />
οργανισμό, όχι απλά λόγω των κανονιστικών πλαισίων συμμόρφωσης,<br />
αλλά κυρίως για την ασφάλεια πληροφοριακών<br />
συστημάτων και δεδομένων, αφού αυξάνεται ο κίνδυνος από<br />
εσωτερικές και εξωτερικές απειλές. Το σύστημα Διαχείρισης<br />
Ταυτότητας, εκτός από το να στοχεύει στην απλοποίηση των<br />
διαδικασιών και να βοηθά τους χρήστες να έχουν πρόσβαση<br />
στους σωστούς πόρους, την κατάλληλη στιγμή, για τους ορθoύς<br />
λόγους, πρέπει ταυτόχρονα να στοχεύει και στην ενίσχυση<br />
της ασφάλειας. Το σημερινό απαιτητικό επιχειρηματικό<br />
περιβάλλον χαρακτηρίζεται ακόμα από την επέκταση των<br />
ηλεκτρονικών υποδομών των οργανισμών πέρα από τα στενά<br />
φυσικά πλαίσια του ίδιου του οργανισμού αφού καλούνται να<br />
παρέχουν περισσότερη ευελιξία σε ότι αφορά την πρόσβαση<br />
των χρηστών τους σε ηλεκτρονικούς πόρους και δεδομένα,<br />
είτε αυτοί είναι εργαζόμενοι, πελάτες ή συνεργάτες. Συγκεκριμένα,<br />
οι σημερινές επιχειρησιακές ανάγκες απαιτούν ό-<br />
πως οι χρήστες έχουν τη δυνατότητα πρόσβασης όχι μόνο<br />
μέσα από τις εταιρικές διαδικτυακές εφαρμογές και συστήματα,<br />
αλλά και από φορητές συσκευές και υπολογιστές που<br />
βρίσκονται εκτός του οργανισμού. Το γεγονός αυτό αυξάνει<br />
περισσότερο τους κινδύνους που αφορούν στην ασφάλεια<br />
των δεδομένων και ως εκ τούτου την αναγκαιότητα για την<br />
εφαρμογή κατάλληλων μέτρων για αποτελεσματικό έλεγχο<br />
τόσο της ταυτοποίησης (Authentication), όσο και των δικαιωμάτων<br />
πρόσβασης του κάθε χρήστη ανάλογα με το ρόλο<br />
και τα καθήκοντά του. Το Authentication είναι η διαδικασία<br />
διαπίστωσης της αυθεντικότητας της ταυτότητας του χρήστη<br />
και αποτελεί ένα από τα σημαντικότερα συστατικά της υποδομής<br />
της ασφάλειας ενός οργανισμού. Στην ουσία, για να επιτευχθεί<br />
επαρκής ασφάλεια και έλεγχος της πρόσβασης των<br />
χρηστών στους πόρους και τα δεδομένα που έχουν «δικαίωμα»<br />
πρόσβασης, θα πρέπει τα μέτρα για το Authentication<br />
των χρηστών να λειτουργούν σε συνάρτηση με τα μέτρα για<br />
το identification (εξακρίβωση) και το authorization (εξουσιοδότηση).<br />
Πρακτικά, τα μέτρα Authentication ελέγχουν ότι ο<br />
χρήστης είναι πράγματι αυτός που λέει ότι είναι (διαπίστωση<br />
της αυθεντικότητας της ταυτότητας), τα μέτρα identification<br />
επιβεβαιώνουν κατά πόσον ο χρήστης υπάρχει και τέλος τα<br />
μέτρα authorization ελέγχουν σε ποιους πόρους και δεδομένα<br />
έχει δικαίωμα πρόσβασης ο χρήστης. Υπάρχουν τρία<br />
είδη authentication τα οποία βασίζονται στα ακόλουθα: Κάτι<br />
που ο χρήστης γνωρίζει (π.χ. Password, pin, κ.λπ.), κάτι που<br />
ο χρήστης έχει στην κατοχή του (smartcard, iButton), και<br />
κάτι πιο προσωπικό του (π.χ. αποτύπωμά του). Ο συνδυασμός<br />
δύο ή και των τριών αυτών μεθόδων ονομάζεται Multifactor<br />
Authentication ή Strong Authentication. Ο βαθμός<br />
του Authentication που δύναται να εφαρμόσει μια εταιρεία<br />
καθορίζεται από την κρισιμότητα του κινδύνου και το κόστος<br />
(οικονομικό ή άλλο) που ενδέχεται να υποστεί ο οργανισμός<br />
σαν αποτέλεσμα μη εξουσιοδοτημένης πρόσβασης.<br />
H Odyssey Consultants, παρέχει ολοκληρωμένες λύσεις συστημάτων<br />
Διαχείρισης Ταυτότητας και Πρόσβασης. Οι λύσεις<br />
αυτές προσαρμόζονται ανάλογα με τις ανάγκες ενός οργανισμού<br />
και έχουν σαν αποτέλεσμα τη διασφάλιση ευαίσθητων<br />
εφαρμογών και δεδομένων που φιλοξενούνται σε εσωτερικές<br />
εταιρικές υποδομές. Παράλληλα υποβοηθούν την επιτυχή και<br />
ταχεία συμμόρφωση με τα κανονιστικά πλαίσια. Τέλος συμβάλλουν<br />
στη μείωση του λειτουργικού κόστους ενός οργανισμού,<br />
αφού η εφαρμογή τέτοιων μέτρων υποβοηθούν στην<br />
απρόσκοπτη πρόσβαση των χρηστών στους πόρους και δεδομένα<br />
που χρειάζονται, ενώ αποφεύγονται χρονοβόρες διαδικασίες<br />
εξουσιοδότησης και ελέγχου πρόσβασης. iT<strong>Security</strong><br />
security | 25
i ssue<br />
Οι τάσεις για το 2015<br />
Οι επιχειρήσεις στο στόχαστρο<br />
Η έκθεση του ESET LATAM Research Lab με τίτλο «Οι τάσεις του 2015 – Οι επιχειρήσεις<br />
στο στόχαστρο» σας καλεί να ενημερωθείτε για κάποια από τα πιο σημαντικά ζητήματα<br />
που απασχόλησαν την ασφάλεια στο <strong>IT</strong> το 2014. Παράλληλα, η έκθεση παρουσιάζει τις<br />
προκλήσεις και τις απειλές που αναμένονται για το 2015.<br />
* Το άρθρο βασίζεται στην έκθεση του ESET LATAM Research Lab με τίτλο “Trends for 2015 – Targeting the Corporate World”<br />
H<br />
συγκεκριμένη έκθεση καλύπτει όλα τα διαφορετικά<br />
ήδη των απειλών και των συμβάντων<br />
που έχουμε αντιμετωπίσει κατά τη διάρκεια<br />
του προηγούμενου έτους ταξινομημένα σε<br />
κατηγορίες, προκειμένου να δώσει απαντήσεις<br />
στα ακόλουθα ερωτήματα: τι αναμένουμε<br />
να αντιμετωπίσουμε το 2015 σε ότι αφορά την ασφάλεια<br />
του <strong>IT</strong>; Mε ποιο τρόπο οι εταιρείες και οι απλοί χρήστες θα<br />
μπορέσουν να προστατευθούν για να ανταπεξέλθουν στις<br />
επερχόμενες απειλές;<br />
Κατά τη διάρκεια του 2014, έχουμε δει πολλές αναφορές<br />
γύρω από επιθέσεις που αφορούσαν σε APTs (Advanced<br />
Persistent Threats – Προηγμένες Επίμονες Απειλές). Ό-<br />
μως, τι ακριβώς είναι μια APT; Ποιες είναι οι επιπτώσεις της<br />
σε μια εταιρεία; Και για ποιο λόγο αναμένουμε να αντιμετωπίσουμε<br />
τέτοιου είδους απειλές και μέσα στο 2015; Αυτές<br />
είναι μερικές από τις ερωτήσεις στις οποίες απαντάμε στο<br />
παρόν κείμενο, καθώς πραγματοποιούμε μια ανασκόπηση<br />
των συμβάντων των προηγούμενων ετών και ετοιμαζόμαστε<br />
για το επόμενο.<br />
Η εξέλιξη των APTs<br />
Δεν υπάρχει καμία αμφιβολία για το γεγονός ότι τα τελευταία<br />
χρόνια έχουμε γίνει μάρτυρες αλλαγών στον τρόπο που<br />
οι κυβερνοεγκληματίες πραγματοποιούν τις επιθέσεις τους.<br />
Ακόμα κι αν οι λεγόμενες «παραδοσιακές απειλές» συνεχίζουν<br />
να αποτελούν έναν σημαντικό κίνδυνο για τις εταιρείες,<br />
αυτό που διαπιστώσαμε είναι μια σαφής τάση προς μια<br />
συγκεκριμένη κατηγορία απειλών που είδαμε καθ’ όλη τη διάρκεια<br />
του 2014: απειλές, δηλαδή, που έχουν σχεδιαστεί<br />
ειδικά για να επιτεθούν σε συγκεκριμένα θύματα.<br />
Το είδος αυτό των απειλών είναι γνωστό ως Προηγμένες Ε-<br />
πίμονες Απειλές (APT – Advanced Persistent Threats). Σύμφωνα<br />
με το Αμερικανικό Ινστιτούτο Επιστημών και Τεχνολογίας<br />
(National Institute of Science and Technology – NIST),<br />
μία APT «είναι μια απειλή που διαθέτει εξελιγμένα επίπεδα τεχνογνωσίας,<br />
καθώς και σημαντικούς πόρους, οι οποίοι της επιτρέπουν<br />
να δημιουργεί τις κατάλληλες προϋποθέσεις προκειμένου να<br />
επιτυγχάνει τους αντικειμενικούς της στόχους, χρησιμοποιώντας<br />
πολλαπλές επιθέσεις από διάφορες κατευθύνσεις (π.χ. ψηφιακές,<br />
26 | security
φυσικές και διάφορα τεχνάσματα).Μια Προηγμένη Επίμονη Απειλή:<br />
(i) επιδιώκει να επιτύχει τους σκοπούς της κατά τη διάρκεια<br />
μιας παρατεταμένης χρονικής περιόδου, (ii) προσαρμόζεται σε<br />
κάθε προσπάθεια αντίστασης, (iii) είναι αποφασισμένη να διατηρήσει<br />
το επίπεδο αλληλεπίδρασης που απαιτείται προκειμένου να<br />
εκτελέσει τους στόχους της».<br />
Όπως φαίνεται στο Γράφημα 1, ο αριθμός των αναλύσεων<br />
και μελετών γύρω από τις APTs έχει αυξηθεί τα τελευταία<br />
πέντε χρόνια και μάλιστα εμφανίζεται να έχει διπλασιαστεί το<br />
2013, αλλά και κατά τους δέκα πρώτους μήνες του 2014. Παρόλα<br />
αυτά, η αύξηση του όγκου των συγκεκριμένων απειλών,<br />
δεν σημαίνει ότι έχουν χρησιμοποιηθεί σε πιο ευρεία κλίμακα.<br />
Στην πραγματικότητα, έχουν γίνει πιο διακριτικές, αφού<br />
ο αντικειμενικός στόχος των επιτιθέμενων είναι αποκτήσουν<br />
κρυφά πρόσβαση στα δεδομένα και να λάβουν παράνομα<br />
τον έλεγχο του συστήματος.<br />
Γράφημα 1. Η αύξηση των APTs που αναλύονται κάθε χρόνο είναι μεγάλη.<br />
Ο Κίνδυνος από τις APTs<br />
Οι απειλές τύπου APT μπορούν να διαρκέσουν ένα πολύ<br />
μεγάλο χρονικό διάστημα, ενώ είναι σε θέση να μεταλλάσσονται,<br />
προκειμένου να μολύνουν το μεγαλύτερο δυνατό α-<br />
ριθμό συστημάτων μέσα στο ίδιο δίκτυο.<br />
Όπως μπορούμε να δούμε στο Γράφημα 2, ακόμα και κατά<br />
τη διάρκεια του 2014, οι απειλές όπως η BlackEnergy, χρησιμοποιήθηκαν<br />
για επιθέσεις τύπου Distributed Denial of<br />
Service, για αποστολή spam, για τραπεζικές απάτες, ακόμα<br />
και για στοχευμένες απειλές.<br />
Γράφημα 2. Οι πλέον γνωστές APT εκστρατείες.<br />
Αλλαγές στις στρατηγικές των κυβερνοαπειλών<br />
Όταν αναφερόμαστε σε κυβερνοαπειλές, συνήθως εννοούμε<br />
ενέργειες κατά τις οποίες επηρεάζεται η τεχνολογική υποδομή<br />
των εταιρειών, προκειμένου να εκμεταλλευτούν τα τρωτά<br />
σημεία και να υποκλαπούν ευαίσθητα δεδομένα, τα οποία θα<br />
μπορούσαν να αξιοποιηθούν προς όφελος των επιτιθέμενων.<br />
Η διαφορά σε σχέση με τις απειλές τύπου APT έγκειται στο<br />
γεγονός ότι, αν και ο αντικειμενικός σκοπός είναι συνήθως<br />
παρόμοιος με αυτόν των παραδοσιακών απειλών, έχουμε διαπιστώσει<br />
ότι η δράση των APT διαρκεί περισσότερο, είναι<br />
περισσότερο στοχευμένες και πιο δύσκολες στον εντοπισμό,<br />
ενώ αυτό που κάνουν είναι να προσπαθούν να συλλέξουν<br />
όσο το δυνατόν μεγαλύτερες ποσότητες δεδομένων για να<br />
βλάψουν τα συστήματα μακροπρόθεσμα. Επί προσθέτως, οι<br />
απειλές αυτές είναι σε θέση να παρακολουθούν κάθε τι που<br />
συμβαίνει μέσα στα συστήματα των θυμάτων τους.<br />
Οι APTs δημιουργούν κερκόπορτες για<br />
κυβερνοκατασκοπία<br />
Αφού αναφερθήκαμε στις διαφορές μεταξύ των APTs και<br />
τις πιο παραδοσιακές απειλές, θα πρέπει να πούμε ότι είναι,<br />
πολύ συνηθισμένο να ανακαλύπτει κανείς όλο περισσότερες<br />
μολυσμένες εταιρείες και συστήματα με τέτοιου είδους<br />
απειλές. Επί προσθέτως, είναι σημαντικό να μην ξεχνάμε ό-<br />
τι αυτό που επιδιώκουν οι επιτιθέμενοι είναι να υποκλέψουν<br />
συγκεκριμένα δεδομένα ή να προκαλέσουν συγκεκριμένες<br />
ζημίες. Επομένως, μέσα στο 2015, θα πρέπει να αναμένουμε<br />
περισσότερες εταιρείες να αναφέρουν ότι έχουν πέσει<br />
θύματα όλο και πιο πολύπλοκων και εξελιγμένων απειλών<br />
APT, οι οποίες θα εκμεταλλεύονται τα διαρκώς αυξανόμενα<br />
κενά ασφαλείας, προκαλώντας υποκλοπές ακόμα μεγαλύτερης<br />
ποσότητας δεδομένων.<br />
Λαμβάνοντας υπόψη μας τη φύση αυτών των απειλών, θα<br />
πρέπει να θυμόμαστε ότι οι περισσότερες από τις περιπτώσεις<br />
που θα αναφερθούν το 2015, πιθανόν θα έχουν διαπραχθεί<br />
μέσα στο 2014.Τέλος, αν και έχουμε ήδη δει εταιρείες<br />
να έχουν επηρεαστεί από APT, περιμένουμε ότι από το 2015<br />
και μετά, οι απειλές αυτές θα κυριαρχήσουν, όπως άλλωστε<br />
έχει ήδη συμβεί σε ανάλογες περιπτώσεις απειλών, οι οποίες<br />
αρχικά ήταν πιο συνηθισμένες σε συγκεκριμένες γεωγραφικές<br />
περιοχές και με το πέρασμα του χρόνου εξαπλώθηκαν<br />
σε παγκόσμιο επίπεδο.<br />
Κακόβουλο λογισμικό στα σημεία πώλησης<br />
Το κακόβουλο λογισμικό στα Σημεία Πώλησης (Point-of-Sale<br />
security | 27
i ssue<br />
Οι τάσεις για το 2015<br />
ή PoS Malware, όπως συνήθως ονομάζεται), αναφέρεται σε<br />
μια διαφορετική οικογένεια κακόβουλων προγραμμάτων, τα<br />
οποία μολύνουν τα τερματικά στα σημεία πώλησης προκειμένου<br />
να υποκλέψουν τα στοιχεία πιστωτικών ή χρεωστικών<br />
καρτών, τη στιγμή που ο πελάτης πραγματοποιεί μια<br />
αγορά. Για να επιτύχουν τους σκοπούς τους, οι κυβερνοεγκληματίες<br />
δεν χρειάζεται απλά να μολύνουν τα μηχανήματα<br />
που χρησιμοποιούνται για τη ανάγνωση των μαγνητικών ταινιών<br />
που βρίσκονται στις κάρτες, αλλά θα πρέπει να παρακάμψουν<br />
και όλα τα συστήματα προστασίας που διαθέτουν<br />
τα συστήματα πωλήσεων (POS).<br />
Οι πιστωτικές κάρτες διαθέτουν μια μαγνητική ταινία, στην<br />
οποία αποθηκεύονται κάποιες σημαντικές πληροφορίες. Τα<br />
απαραίτητα δεδομένα που απαιτούνται για να πραγματοποιηθεί<br />
μια αγορά, όπως ο αριθμός της πιστωτικής κάρτας, το<br />
όνομα του κατόχου της, η ημερομηνία λήξης της και ο κωδικός<br />
ασφαλείας αποθηκεύονται σε τρία τμήματα τα οποία<br />
αποτελούν τη μαγνητική ταινία. Τη στιγμή που σαρώνουμε<br />
την κάρτα μέσα στον αναγνώστη, όλες αυτές οι πληροφορίες<br />
φορτώνονται στο σύστημα POS προκειμένου να επικυρωθεί<br />
η αγορά.<br />
Είναι πολύ σημαντικό να αντιληφθούμε πόσο σημαντικές είναι<br />
οι συγκεκριμένες απειλές. Στην περίπτωση της Target,<br />
υποκλάπηκαν τα δεδομένα 40 εκατομμυρίων πιστωτικών και<br />
χρεωστικών καρτών, οδηγώντας τον CEO της τράπεζας σε<br />
παραίτηση. Μια από τις πιο γνωστές περιπτώσεις, ήταν αυτή<br />
της UPS, όπου καταγράφηκαν περίπου 105.000 συναλλαγές<br />
με πιστωτικές και χρεωστικές κάρτες.<br />
Συμβουλές προστασίας των σημείων πώλησης<br />
Εάν θέλουν να προστατέψουν τα σημεία πώλησής τους από<br />
παρόμοια περιστατικά, οι εταιρείες θα πρέπει να λάβουν υ-<br />
πόψη τους κάποια συγκεκριμένα πράγματα.<br />
Χρήση ισχυρού κωδικού - Είναι σημαντικό να τονίσουμε,<br />
ότι σε γενικές γραμμές, πολλά από τα τερματικά που μολύνθηκαν,<br />
χρησιμοποιούσαν τους προεπιλεγμένους κωδικούς<br />
ή απλές παραλλαγές του ονόματος του κατασκευαστή.<br />
Για παράδειγμα, οι τρεις πιο συνηθισμένοι κωδικοί ήταν<br />
“aloha1234”, “micros” και “pos12345”. Μπορεί κανείς να θυμάται<br />
εύκολα έναν κωδικό εάν αντί για μια απλή λέξη χρησιμοποιήσει<br />
μια ολόκληρη φράση. Από την άλλη, το σπάσιμό<br />
της απαιτεί πάρα πολύ χρόνο εξαιτίας του μεγάλου της μήκους.<br />
Ποτέ δεν θα πρέπει να χρησιμοποιούνται οι προεπιλεγμένοι<br />
κωδικοί σε λογισμικό σημείου πώλησης.<br />
Ελαχιστοποίηση των προσπαθειών σύνδεσης - Μια απλή<br />
και συνηθισμένη στρατηγική ασφάλειας, είναι να μπλοκάρεται<br />
η διαδικασία σύνδεσης μετά από την 3η ή την 5η λανθασμένη<br />
προσπάθεια. Αυτό μειώνει σημαντικά τις επιθέσεις<br />
τύπου Brute Force, επειδή ο επιτιθέμενος δεν θα μπορεί να<br />
δοκιμάσει πολλούς διαφορετικούς συνδυασμούς, προκειμένου<br />
να σπάσει τον κωδικό.<br />
Περιορισμός πρόσβασης - Περιορίστε την πρόσβαση όποτε<br />
μπορείτε. Για παράδειγμα, εάν δεν χρειάζεται να συνδέεστε<br />
στο μηχάνημα από μακριά, δεν θα πρέπει να ενεργοποιήσετε<br />
το RDP. Εάν τώρα χρειάζεστε αυτή τη δυνατότητα,<br />
βεβαιωθείτε ότι είναι ασφαλές.<br />
Επιθεωρείστε τη διαδικασία αναβάθμισης - Ένα από τα μέτρα<br />
προστασίας που μπορείτε να πάρετε για τα τερματικά<br />
πώλησης είναι να βρείτε ένα λογισμικό ασφαλείας, το οποίο<br />
επιτρέπει να ρυθμίσετε να τρέχουν μόνο εκείνες οι διεργασίες<br />
και οι εφαρμογές που έχουν χαρακτηριστεί ως ασφαλείς.<br />
Σε αρκετές περιπτώσεις, οι απειλές εγκαταστάθηκαν κατά τη<br />
διάρκεια της αναβάθμισης του λογισμικού. Αν τώρα, λάβουμε<br />
υπόψη μας τον αριθμό των μηχανημάτων που αναβαθμίζονται,<br />
τα μολυσμένα αρχεία, μπορεί να παραμείνουν από<br />
μερικές εβδομάδες μέχρι αρκετούς μήνες.<br />
Διαρροή δεδομένων - Πως μπορούμε να την<br />
αποφύγουμε<br />
Στην προηγούμενή έκθεση που αφορούσε τις τάσεις του 2014<br />
εστιάσαμε στην ανάγκη χρήσης ενός εργαλείου πιστοποίησης<br />
δύο παραγόντων το γνωστό two-factor authentication,<br />
προκειμένου να βελτιωθεί η προστασία κατά τη διάρκεια της<br />
εισόδου του χρήστη. Σύμφωνα με δεδομένα που αποκάλυψε<br />
η Risk Based <strong>Security</strong>, κατά το πρώτο μισό του 2014, το<br />
70% των παραβιάσεων ασφαλείας οφείλονταν σε διαρροή<br />
κωδικού. Το γεγονός αυτό καταδεικνύει για ακόμα μια φορά<br />
την σημασία της χρήσης συστημάτων πιστοποίησης δύο<br />
παραγόντων από τις εταιρείες, μια πρόκληση που θα πρέπει<br />
να αντιμετωπίσουν κατά τη διάρκεια του 2015.<br />
Ανάμεσα στις υπηρεσίες και τους δικτυακούς τόπους που<br />
υιοθέτησαν πιστοποίηση δύο παραγόντων για να προστατέψουν<br />
τους χρήστες τους, βρίσκονται εταιρείες όπως οι<br />
Google, Facebook, Twitter και Github. Η ενσωμάτωση ε-<br />
νός δεύτερου συστήματος πιστοποίησης, όπως για παράδειγμα<br />
ένα OTP (One-Time-Password – Κωδικός Μιας<br />
Χρήσης) αυξάνει την ασφάλεια κατά τη διάρκεια της εισόδου<br />
του χρήση, ενώ επί προσθέτως, διασφαλίζει τα δεδομένα<br />
σε περίπτωση που ο κωδικός του χρήση υποκλαπεί, είτε<br />
εξαιτίας μόλυνσης από κακόβουλο λογισμικό στο σύστημά<br />
28 | security
συσκευές, σε εταιρικούς server, laptop ή άλλα endpoint ελαχιστοποιεί<br />
την πιθανότητα υποκλοπής εταιρικών δεδομένων<br />
εξαιτίας κάποιας επίθεσης κακόβουλου λογισμικού, την απώλεια<br />
εξοπλισμού ή την μη εξουσιοδοτημένη παρείσφρηση.<br />
Επί προσθέτως, μια σωστά εγκατεστημένη λύση πιστοποίησης<br />
δύο παραγόντων, αυξάνει την ασφάλεια των συστημάτων<br />
της εταιρείας κατά τη διάρκεια της εισόδου των χρηστών στο<br />
δίκτυο. Σύμφωνα με τα δεδομένα της αναφοράς 2014 Risk<br />
Based <strong>Security</strong>, το 57% των παραβιάσεων κατά τη διάρκεια<br />
του πρώτου μισού του 2014 περιλάμβαναν ονόματα χρήστη,<br />
διευθύνσεις email και κωδικούς χρήστη.<br />
του, είτε λόγω κάποιου προβλήματος ασφαλείας στο δίκτυο<br />
της εταιρείας.<br />
Γιατί θα πρέπει οι εταιρείες να υιοθετήσουν πιστοποίηση<br />
two-factor authentication;<br />
Η ενσωμάτωση πιστοποίησης δύο παραγόντων για σύνδεση<br />
στο εταιρικό VPN, CRM ή σε άλλες δικτυακές υπηρεσίες, δεν<br />
προστατεύει απλά τους υπαλλήλους, αλλά επιπλέον αποτελεί<br />
μια υπηρεσία προστιθέμενης αξίας, η οποία μπορεί να προσφερθεί<br />
σε πελάτες και παρόχους που αλληλεπιδρούν με την<br />
εταιρεία. Προκειμένου να μπορέσουν να αντιμετωπίσουν ό-<br />
λες τις προκλήσεις του 2015 σχετικά με απώλειες δεδομένων<br />
και άλλες επιθέσεις που μπορούν να επηρεάσουν την ομαλή<br />
δραστηριότητα των εταιρειών, η υιοθέτηση ενός συστήματος<br />
πιστοποίησης δύο παραγόντων, θα αποτελέσει μια σημαντική<br />
ασπίδα προστασίας. Η προστασία των δεδομένων αποτελεί<br />
μια σημαντική απαίτηση για τις εταιρείες, όπως επίσης<br />
και μια εγγύηση για τη συνέχιση των δραστηριοτήτων τους.<br />
Με βάση τα συμβάντα ασφαλείας που διαπιστώσαμε κατά τη<br />
διάρκεια του 2014 και τις μεθοδολογίες που χρησιμοποιήθηκαν<br />
για να παραβιαστούν οι εταιρικές άμυνες, μπορούμε να<br />
αναμένουμε ότι μέσα στο τρέχον έτος, τα τμήματα ΙΤ θα<br />
αντιμετωπίσουν περισσότερο πολύπλοκες και ανθεκτικές<br />
επιθέσεις. Η συνεχής εξέλιξη της πολυπλοκότητας των επιθέσεων<br />
είναι μια συνεχής πρόκληση για την ασφάλεια των<br />
εταιρικών δεδομένων, μια και οι εταιρείες δεν θα πρέπει μόνο<br />
να δώσουν τη δέουσα προσοχή στα κενά ασφαλείας τα<br />
οποία δέχονται επίθεση, αλλά επιπλέον θα πρέπει να κατανοήσουν<br />
για πιο λόγο γίνονται στόχος επιθέσεων.<br />
Η ενσωμάτωση κρυπτογράφησης δεδομένων σε φορητές<br />
Οι προκλήσεις του 2015 σε σχέση με τα κενά<br />
ασφαλείας<br />
Το 2014 ήταν μια κρίσιμη χρονιά σε ότι αφορά τα κενά α-<br />
σφαλείας σε επίπεδο λογισμικού, όχι μόνο λόγω της επίδρασής<br />
τους στα μολυσμένα συστήματα, αλλά επίσης εξαιτίας<br />
του μεγάλου αριθμού τους. Αρκεί μόνο να αναφέρουμε τις<br />
χαρακτηριστικές περιπτώσεις των Heartbleed, Shellshock<br />
και Poodle, οι οποίες έλαβαν τεράστια δημοσιότητα λόγω<br />
των επιπτώσεών τους σε παγκόσμιο επίπεδο, αλλά και λόγω<br />
των μέτρων που έλαβαν εταιρείες και ομάδες ασφαλείας. Η<br />
πιθανή επίπτωση ενός κρίσιμου κενού ασφαλείας είναι εξαιρετικά<br />
σημαντική, κυρίως επειδή επηρεάζει άμεσα τα δύο<br />
τρίτα των Internet server, όπως συνέβη στην περίπτωση του<br />
Heartbleed. Το κενό ασφαλείας του OpenSSL επηρέασε<br />
χιλιάδες server σε παγκόσμιο επίπεδο, εξαιτίας του γεγονότος<br />
ότι επέτρεπε στον επιτιθέμενο να αποκτήσει πρόσβαση<br />
σε μια περιοχή της μνήμης στην οποία αποθηκεύονταν<br />
τα πιστοποιητικά ή τα κλειδιά που χρησιμοποιούνταν<br />
για την κρυπτογράφηση δεδομένων. Κατά τη διάρκεια του<br />
2015, τα κενά ασφαλείας θα παίξουν έναν σημαντικό ρόλο<br />
στην ασφάλεια των εταιρειών. Όσες εταιρείες αποφασίσουν<br />
να δράσουν προληπτικά θα βρεθούν ένα βήμα μπροστά α-<br />
πό πιθανές επιθέσεις, ενώ επιπλέον θα έχουν στην κατοχή<br />
τους τις πιο πρόσφατες τεχνικές για να προστατέψουν τα<br />
συστήματα και τα δεδομένα τους. Τα βασικά όπλα ενάντια<br />
σε τέτοιες επιθέσεις είναι ο καθορισμός των σωστών πολιτικών<br />
προστασίας, η εφαρμογή λύσεων ασφαλείας, οι ο-<br />
ποίες επιτρέπουν τον εντοπισμό προσπαθειών επίθεσης,<br />
και τέλος η υιοθέτηση πολλαπλών μέτρων προστασίας.<br />
IoT - Internet of Things ...ή Internet of Threats;<br />
Η φράση Internet of Things (IoT) ακούγεται εδώ και αρκετά<br />
χρόνια και αναφέρεται στο δίκτυο συσκευών, οι οποίες δι-<br />
security | 29
i ssue<br />
Οι τάσεις για το 2015<br />
αθέτουν την απαραίτητη τεχνολογία για να επικοινωνήσουν<br />
και να αλληλεπιδράσουν μέσω Internet με άλλες συσκευές, ή<br />
με ανθρώπους. Σήμερα, μπορούμε να βρούμε παραδείγματα<br />
τέτοιων συσκευών σε αυτοκίνητα, συστήματα φωτισμού,<br />
ψυγεία, οικιακά συστήματα ασφαλείας, τηλεοράσεις και τηλέφωνα.<br />
Αν και αυτές είναι οι πιο συνηθισμένες συσκευές, η<br />
λίστα είναι πολύ μεγαλύτερη και μπορεί ακόμα να περιλαμβάνει<br />
και εταιρικό περιβάλλον, εάν για παράδειγμα λάβουμε<br />
υπόψη μας τα συστήματα SCASA ή οποιοδήποτε άλλο βιομηχανικό<br />
σύστημα ελέγχου. Πολλές οικιακές συσκευές έ-<br />
χουν εξελιχθεί σε τέτοιο βαθμό ώστε οι πιο πρόσφατες γενιές<br />
να επιτρέπουν τη σύνδεση στο Internet προκειμένου να<br />
καταναλώσουν περιεχόμενο ή να μοιραστούν πληροφορίες<br />
που θα μπορούσαν να χαρακτηριστούν ως ευαίσθητες. Κατά<br />
τη διάρκεια του 2014 έχουμε ήδη διαπιστώσει κάποιες περιπτώσεις<br />
απειλών. Για παράδειγμα, έχουμε γίνει μάρτυρες της<br />
ύπαρξης διάφορων κενών ασφαλείας σε Smart TV που θα<br />
μπορούσαν να επιτρέψουν τη διεξαγωγή μαζικών επιθέσεων.<br />
Η ιδέα του να βρισκόμαστε σε ένα αυξανόμενα αυτόνομο<br />
περιβάλλον το οποίο κάνει τη ζωή μας πιο εύκολη, μπορεί<br />
να φαίνεται δελεαστικό για κάποιους ανθρώπους. Από την<br />
άλλη, η ανάγκη των κατασκευαστών να αντιμετωπίσουν τα<br />
προβλήματα ασφαλείας είναι πραγματική. Επομένως, οι βασικοί<br />
παράγοντες που θα έπρεπε να ληφθούν υπόψη το 2015<br />
είναι ανάμεσα σε άλλους οι παρακάτω:<br />
Συνδεσιμότητα - Το βασικό χαρακτηριστικό των συσκευών<br />
αυτών είναι να επιτρέπει την αλληλεπίδραση με το Internet.<br />
Επομένως, είναι πολύ σημαντικό να προστατευθεί ο τρόπος<br />
που συνδέονται και μοιράζονται δεδομένα.<br />
Εύκολη αναβάθμιση - Εξαιτίας του ότι πρόκειται για μια α-<br />
ναδυόμενη και αναπτυσσόμενη τεχνολογία, είναι κάτι περισσότερο<br />
από δεδομένο ότι θα ανακαλύπτονται συνεχώς<br />
κενά ασφαλείας, τα οποία θα πρέπει να επιλύονται όταν η<br />
συσκευή βρεθεί στα χέρια νέου ιδιοκτήτη. Κατά συνέπεια, έ-<br />
να πολύ σημαντικό ζήτημα που θα πρέπει να αντιμετωπιστεί<br />
είναι η ταχύτητα και η ευκολία εγκατάστασης αναβαθμίσεων,<br />
εάν οι κατασκευαστές θέλουν να κερδίσουν τον αγώνα<br />
ενάντια στις επιθέσεις.<br />
Πιστοποίηση - Εφόσον αυτές οι συσκευές θα έχουν μόνιμη<br />
σύνδεση με το Internet, θα είναι πολύ σημαντικό να διασφαλιστεί<br />
ότι οι άνθρωποι που αλληλεπιδρούν με τα δεδομένα<br />
είναι όντως αυτοί που ισχυρίζονται, προκειμένου να αποφευχθεί<br />
η απώλεια ευαίσθητων δεδομένων.<br />
Έμπιστες εφαρμογές - Τα ειδικά χαρακτηριστικά και οι εκφάνσεις<br />
της τεχνολογίας αυτής προσφέρουν πολλές δυνατότητες<br />
στην αυτοματοποίηση κάποιων καθημερινών ενεργειών.<br />
Για να μπορούμε να χρησιμοποιούμε τις συσκευές<br />
αυτές με εμπιστοσύνη, θα πρέπει να διασφαλιστεί το ότι δεν<br />
θα γίνουν αντικείμενο επίθεσης από κακόβουλες εφαρμογές.<br />
Κρυπτογράφηση δεδομένων - Δεδομένου ότι αυτές οι συσκευές<br />
διαχειρίζονται εμπιστευτικές πληροφορίες, θα πρέπει<br />
να το κάνουν με ασφάλεια και προστασία. Επομένως, η κρυπτογράφηση<br />
των δεδομένων αυτών αποτελεί μια καλή επιλογή,<br />
ούτως ώστε κάποιος τρίτος να μην είναι σε θέση να έχει<br />
πρόσβαση προκειμένου να τις αλλάξει ή να τις υποκλέψει.<br />
Συμπεράσματα<br />
Μέσα σε αυτό το πλαίσιο των πολύτιμων δεδομένων, η πρόκληση<br />
των εταιρειών για το 2015 έγκειται στον τρόπο με τον<br />
οποίο θα προστατέψουν τα δεδομένα τους, την δραστηριότητά<br />
τους και ειδικά στον τρόπο με τον οποίο θα καταφέρουν<br />
να πείσουν τους υπαλλήλους τους να επενδύσουν στα<br />
προγράμματα ασφαλείας.<br />
Σε έναν κόσμο στον οποίο συνδεόμαστε και διασυνδεόμαστε<br />
με όλο μεγαλύτερο ρυθμό, έναν κόσμο όπου η online<br />
ζωή μας αντανακλά στην πραγματική, έναν κόσμο όπου η<br />
πολιτική Bring-Your-Own-Device γίνεται συνεχώς πιο αποδεκτή<br />
σε όλο περισσότερα σημεία, οι χρήστες θα πρέπει να<br />
ζουν με ένα προφίλ που αντιπροσωπεύει την εργασία τους<br />
και ένα την ζωή έξω από αυτήν. Αυτό το διπλό προφίλ, σημαίνει<br />
ότι οι χρήστες θα χρησιμοποιούν διαφορετικές online<br />
υπηρεσίες, όπως email, κοινωνικά δίκτυα, cloud αποθηκευτικούς<br />
χώρους, κ.ό.κ. ενώ την ίδια στιγμή πολλοί από αυτούς<br />
στο πλαίσιο της εργασίας τους θα έχουν πρόσβαση σε α-<br />
πόρρητα δεδομένα.<br />
Κάποιες φορές, οι χρήστες αυτοί θα είναι ταυτόχρονα υπεύθυνοι<br />
για την προστασία των δεδομένων σε εταιρείες, κυβερνητικούς<br />
ή άλλους οργανισμούς. iT<strong>Security</strong><br />
30 | security
i ssue<br />
Του Δημήτρη Πατσού<br />
CTO<br />
Risk Based Authentication: H επόμενη<br />
γενιά της τεχνολογίας ισχυρής αυθεντικοποίησης<br />
H<br />
αυθεντικοποίηση με βάση το ρίσκο<br />
(risk-based authentication ή adaptive<br />
authentication – RBA) ορίζεται σαν το σύνολο<br />
των παραμέτρων και των μεταβλητών<br />
ρίσκου στη διάρκεια της διαδικασίας αυθεντικοποίησης.<br />
Οι παράμετροι που συνθέτουν ένα προφίλ ρίσκου στη διαδικασία<br />
αυθεντικοποίησης χωρίζονται, συνήθως, σε δυο μεγάλες<br />
κατηγορίες:<br />
1. Παράμετροι ρίσκου στην πλευρά του χρήστη, που συμπεριλαμβάνουν<br />
διεύθυνση ΙΡ του χρήστη, αναγνωριστικά<br />
της συσκευής του (π.χ. MAC address, τύπος επεξεργαστή,<br />
κ.τ.λ.), browser, ημερομηνία και ώρα, κ.ά.<br />
2. Παράμετροι ρίσκου στην εφαρμογή στην οποία ζητείται<br />
πρόσβαση, που συμπεριλαμβάνουν το βαθμό κρισιμότητας<br />
του εν λόγω συστήματος, το επίπεδο πρόσβασης, την πηγή<br />
προέλευσης του αιτήματος αυθεντικοποίησης, τους τυχόν<br />
χρονικούς περιορισμούς πρόσβασης, καθώς και άλλες ιδιαίτερες<br />
παραμέτρους που συνθέτουν ένα κρίσιμο ή σημαντικό<br />
γεγονός αυθεντικοποίησης (π.χ. πρόσβαση σε διαβαθμισμένες<br />
πληροφορίες).<br />
Τα συστήματα RBA σχεδιάζονται με στόχο να ανιχνεύουν<br />
-και ταυτόχρονα να ελαχιστοποιούν- το υψηλό ρίσκο που υ-<br />
πάρχει στη διαδικασία αυθεντικοποίησης σαν σύνθεση των<br />
παραπάνω παραμέτρων.<br />
Σενάρια Ρίσκου κατά τη διαδικασία αυθεντικοποίησης<br />
Για παράδειγμα, ένας χρήστης ο οποίος -συνήθως- συνδέεται<br />
στο e-banking μιας τράπεζας από τον υπολογιστή του<br />
σπιτιού του, ορισμένες φορές το μήνα και πάντοτε σε συγκεκριμένες<br />
ώρες της ημέρας (π.χ. γύρω στις 8-10 το βράδυ),<br />
εμφανίζεται να αιτείται πρόσβαση από μια εντελώς ασυνήθιστη<br />
γεωγραφική περιοχή, από μια συσκευή που ποτέ δεν έχει<br />
χρησιμοποιήσει στο παρελθόν, σε μια εντελώς ασυνήθιστη<br />
ώρα (π.χ. στις 3 το πρωί).<br />
Η συμπεριφορά αυτή εκλαμβάνεται ως υψηλού ρίσκου από<br />
το σύστημα RBA, μιας και διαφέρει αρκετά από την «τυπική»<br />
συμπεριφορά του συγκεκριμένου χρήστη.<br />
Έτσι, το σύστημα RBA μπορεί να ζητήσει μια πρόσθετη πληροφορία<br />
αυθεντικοποίησης (π.χ. εισαγωγή ενός πρόσθετου<br />
κωδικού μιας χρήσης), προκειμένου να εξακριβώσει αν ο<br />
συγκεκριμένος χρήστης είναι εκείνος που ισχυρίζεται (π.χ.<br />
βρίσκεται σε ένα ταξίδι και αιτείται πρόσβαση από τον υπολογιστή<br />
ενός ξενοδοχείου), ή αν εκείνη τη στιγμή είναι σε ε-<br />
ξέλιξη μια απόπειρα παραβίασης του λογαριασμού του από<br />
κάποιον άλλον. Η χρήση των συστημάτων RBA μπορεί να<br />
επεκταθεί και πέρα από την αυθεντικοποίηση κατά την αίτηση<br />
πρόσβασης (login), ώστε να αποτρέψει τη διενέργεια<br />
μη-εξουσιοδοτημένων συναλλαγών (transaction).<br />
Για παράδειγμα, αν ένας χρήστης πραγματοποιεί συναλλαγές<br />
ενός συγκεκριμένου ποσού κάθε φορά που χρησιμοποιεί<br />
το e-banking μιας Τράπεζας (π.χ. πληρωμές λογαριασμών)<br />
και κάποια στιγμή αποπειραθεί να εκτελέσει μια συναλλαγή<br />
άλλου τύπου (π.χ. μεταφορά μεγάλου χρηματικού ποσού σε<br />
κάποιον τρίτο), τότε το σύστημα RBA μπορεί να επιτρέψει,<br />
χωρίς πρόσθετες πληροφορίες, την πληρωμή του λογαριασμού<br />
αλλά να ζητήσει έναν πρόσθετο κωδικό ασφάλειας κατά<br />
τη διαδικασία μεταφοράς του μεγάλου χρηματικού ποσού.<br />
Έτσι, ενώ παρέχει πρόσθετη ασφάλεια σε μια συναλλαγή υ-<br />
ψηλού ρίσκου, ταυτόχρονα δεν «ενοχλεί» το χρήστη στις<br />
τυπικές του συναλλαγές, μιας και αυτές χαρακτηρίζονται ως<br />
χαμηλού ρίσκου συναλλαγές, δεδομένης της τυπικής συμπεριφοράς<br />
του συγκεκριμένου χρήστη.<br />
Η αγορά των συστημάτων RBA<br />
Η αγορά των RBA συστημάτων βρίσκεται σε αλματώδη ανάπτυξη,<br />
μιας και -σύμφωνα με τo Gartner Group- περισσότερες<br />
από το 30% των εταιρειών που επιτρέπουν την απομακρυσμένη<br />
πρόσβαση με παραδοσιακές μεθόδους (π.χ. χρήση<br />
username/password) θα μεταβούν σε συστήματα RBA<br />
μέχρι το τέλος του 2016, ενώ ολοένα και περισσότεροι κατασκευαστές<br />
προσφέρουν ιδιαίτερα ευέλικτα και ευφυή συστήματα<br />
που βασίζονται στη συγκεκριμένη τεχνολογία. iT<strong>Security</strong><br />
security | 31
i ssue<br />
Παναγιώτης Καλαντζής<br />
InfoSec Consultant, Networking Solutions<br />
Enterprise Information <strong>Security</strong><br />
Μια Ολιστική προσέγγιση<br />
Π<br />
αρότι οι συντριπτική πλειοψηφία των οργανισμών<br />
επενδύουν δυσθεώρητα ποσά για την<br />
διασφάλιση των δικτύων υπολογιστών και<br />
των ψηφιακών δεδομένων που έχουν στην<br />
κατοχή τους, κάθε χρόνο συμβαίνουν σοβαρές<br />
παραβιάσεις ασφάλειας, οι οποίες γίνονται<br />
πρώτο θέμα στα δελτία ειδήσεων. Πρόσφατα παραδείγματα<br />
παραβίασης είναι τα περιστατικά ασφάλειας στην<br />
SONY Pictures που οδήγησε σε απώλεια ηλεκτρονικής αλληλογραφίας<br />
υπαλλήλων και υλικού υπό πνευματική ιδιοκτησία,<br />
καθώς και στην Morgan Stanley που οδήγησε σε απώλεια<br />
στοιχείων 350.000 πελατών τις τράπεζας, δίνουν μια ανάγλυφη<br />
εικόνα. Αυτές είναι μόνο μερικές από τις πρόσφατες παραβιάσεις,<br />
οι οποίες θα συνεχίσουν να συμβαίνουν μέχρις<br />
ότου αλλάξει η προσέγγισή μας σχετικά με την ασφάλεια.<br />
Η φύση των απειλών έχει αλλάξει<br />
Οι απειλές για έναν οργανισμό δεν είναι πια τοπικές. Ο τρόπος<br />
που διασυνδέονται οι οργανισμοί μέσω της ανταλλαγής<br />
πληροφοριών, η προσβασιμότητα που απολαμβάνουμε μέσω<br />
της κινητής τεχνολογίας και η ευκολία με την οποία οι άνθρωποι,<br />
τα προϊόντα και οι πληροφορίες μετακινούνται κατά<br />
μήκος των συνόρων, δημιουργούν νέες απειλές. Περιστατικά<br />
σε μακρινές χώρες μπορούν να επηρεάσουν έναν οργανισμό.<br />
Ταραχές σε μία κοινότητα, περιοχή ή χώρα, μπορούν<br />
να δημιουργήσουν διακοπή υπηρεσιών για χιλιάδες επιχειρήσεις,<br />
η οποία με τη σειρά της, επηρεάζει τις επιχειρήσεις<br />
/ πελάτες που αυτές εξυπηρετούν.<br />
Η σημερινή εποχή της πληροφορίας, ειδικά η εποχή του cloud<br />
computing και των κοινωνικών δικτύων, έφερε στην επιφάνεια νέες<br />
απειλές. Συχνά τα φώτα της δημοσιότητας καταλαμβάνουν ειδήσεις<br />
που αφορούν περιστατικά ασφάλειας, τα οποία εν τέλει έ-<br />
χουν ως αποτέλεσμα σοβαρό πλήγμα στην δημόσια εικόνα γνωστών<br />
οργανισμών. Ακόμα και σε προσωπικό επίπεδο, γινόμαστε<br />
στόχος επιθέσεων που αποβλέπουν σε προσωπικά δεδομένα.<br />
Η κατακερματισμένη προσέγγιση της<br />
Ασφάλειας Πληροφοριών δεν είναι αποδοτική<br />
Δυστυχώς, η κατακερματισμένη προσέγγιση της ασφάλειας<br />
πληροφοριών που εστιάζει μόνο σε μια περιοχή, χωρίς να<br />
ληφθούν υπόψη πιθανές συνέργειες και επιπτώσεις σε άλλες<br />
περιοχές, και που στο παρελθόν ήταν σε θέση να προστατεύσει<br />
τον οργανισμό, δεν είναι πια επαρκής.<br />
Οι λειτουργίες του οργανισμού – βασίζονται – και συγκλίνουν<br />
με τις πληροφορίες. Οι οργανισμοί που εξακολουθούν να τις<br />
θεωρούν ανεξάρτητες αντιμετωπίζουν αυξανόμενες απειλές<br />
και κινδύνους. Αντίθετα, η εξάρτηση του οργανισμού από τις<br />
πληροφορίες για να λάβουν περίπλοκες, κρίσιμες επιχειρηματικές<br />
αποφάσεις, δημιουργεί πίεση για την ασφάλειά τους. Το<br />
πρόβλημα προκύπτει όταν οι οργανισμοί αντιδρούν σε ορισμένες<br />
απειλές, επικεντρώνοντας την προσοχή σε εκείνες τις<br />
περιοχές και άμυνες, αφήνοντας άλλες περιοχές χωρίς άμυνα.<br />
Η ολιστική προσέγγιση στην Ασφάλεια<br />
Πληροφοριών<br />
Προσεγγίζοντας την ασφάλεια και τη διαχείριση κινδύνου<br />
ολιστικά, δηλαδή λαμβάνοντας υπόψη το σύνολο των πτυχών<br />
της λειτουργίας ενός οργανισμού - δεδομένου ότι σχετίζονται<br />
μεταξύ τους – είναι μια τάση που προβλέπουμε ό-<br />
τι θα συνεχιστεί, δεδομένου ότι οδηγεί σε αποδοτικότερο<br />
μετριασμό των κινδύνων που αντιμετωπίζει ο οργανισμός.<br />
Προσεγγίζοντας την ασφάλεια του οργανισμού ολιστικά, με<br />
πολλά μέρη που επηρεάζουν άλλα μέρη, ο οργανισμός έχει<br />
την δυνατότητα πρόβλεψης των θεμάτων και δυσλειτουργιών<br />
που πιθανόν να αντιμετωπίσει λόγω της έστω προσωρινής,<br />
δυσλειτουργίας ενός κρίσιμου συστήματος, και πώς αυτή θα<br />
επηρεάσει τα αλληλοεξαρτώμενα με αυτό, συστήματα.<br />
Ακρογωνιαίος λίθος στην προτεινόμενη προσέγγιση αποτελεί,<br />
εκτός του προφανούς στόχου για την ασφάλεια των<br />
πληροφοριών του οργανισμού, η συμμόρφωση με το κανονιστικό<br />
πλαίσιο που πιθανά ο οργανισμός είναι υποχρεωμένος<br />
να διατηρεί, οι λειτουργίες του οργανισμού και τέλος, η<br />
επιχειρησιακοί στόχοι.<br />
Αναλυτικότερα, η ασφάλεια πληροφοριών έχει ως στόχο<br />
την αντιμετώπιση των ρίσκων που ο οργανισμός αντιμετωπίζει<br />
μέσω της διαρκούς παρακολούθησης των εσωτερικών<br />
και εξωτερικών απειλών. Ταυτόχρονα, η συμμόρφωση με<br />
το κανονιστικό πλαίσιο που διέπει τη λειτουργία του ορ-<br />
32 | security
Εικόνα 1. Πλαίσιο Ολιστικής Ασφάλειας.<br />
γανισμού, καθορίζει τους κινδύνους που πρέπει να αντιμετωπιστούν<br />
διαφορετικά μπορεί να οδηγήσουν σε σοβαρές<br />
επιπτώσεις (πρόστιμα, φυλάκιση, αφαίρεση άδειας λειτουργίας),<br />
αυξάνοντας ταυτόχρονα τις δυνατότητες απόδοσης<br />
ευθυνών. Τέλος, η ολιστική προσέγγιση της ασφάλειας, έχει<br />
τη δυνατότητα να βελτιώσει τις εσωτερικές λειτουργίες του<br />
οργανισμού (ταχύτερη επίλυση προβλημάτων, διαχείριση<br />
αλλαγών, ελαχιστοποίηση λαθών), ενώ έχει αποτέλεσμα την<br />
επίτευξη επιχειρησιακών στόχων (μείωση λειτουργικού κόστους,<br />
αποδοτικότερα SLAs, ελαχιστοποίηση τεχνολογικών<br />
προβλημάτων και περιστατικών, βελτίωση της συνολικής α-<br />
ποδοτικότητας του οργανισμού).<br />
Η ασφάλεια των πληροφοριών, όμως, δεν αφορά μόνο τεχνολογίες<br />
και προϊόντα. Η προτεινόμενη προσέγγιση, αφορά<br />
τους παρακάτω παράγοντες, ώστε να επιτυγχάνονται οι<br />
προαναφερθέντες στόχοι:<br />
• Άνθρωποι – το κατάλληλο προσωπικό του οργανισμού<br />
πρέπει να εκτελεί τις κατάλληλες εργασίες.<br />
• Πολιτικές και διαδικασίες – οι κατάλληλες πολιτικές και διαδικασίες<br />
έχουν θεσπιστεί για την διαχείριση της ασφάλειας<br />
και επιχειρησιακής συνέχειας του οργανισμού.<br />
• Διεργασίες – τα κατάλληλα μοντέλα διεργασιών ασφάλειας/επιχειρησιακής<br />
συνέχειας είναι σε θέση να εξασφαλίζουν<br />
την ανταλλαγή πληροφοριών μεταξύ του οργανισμού<br />
και των εξωτερικών συνεργατών ή πελατών.<br />
• Προϊόντα – τα κατάλληλα προϊόντα / τεχνολογίες έχουν<br />
υλοποιηθεί για την μείωση των σχετικών ρίσκων.<br />
• Βελτίωση – οι κατάλληλες μέθοδοι επαλήθευσης, μετρικές<br />
και δείκτες απόδοσης έχουν θεσπιστεί για την αποδοτική<br />
μέτρηση της αποδοτικότητας των μηχανισμών ελέγχου.<br />
Τέλος, η ολοκληρωμένη διαχείριση των παραπάνω παραγόντων<br />
με σκοπό την επίτευξη των καθορισμένων στόχων,<br />
γίνεται μέσα από έναν επαναλαμβανόμενο κύκλο δραστηριοτήτων<br />
(Εικόνα 1):<br />
• Θέσπισης Στρατηγικής • Στοχοθεσίας • Σχεδιασμού<br />
• Υλοποίησης • Λειτουργίας • Παρακολούθησης • Βελτιστοποίησης.<br />
Σύνοψη<br />
Στο παρόν άρθρο, έγινε μια συνοπτική αναφορά στην ολιστική<br />
προσέγγιση της ασφάλειας πληροφοριών, μια προσέγγιση που<br />
θεωρούμε ότι έχει ως αποτέλεσμα το βέλτιστο βαθμό προστασίας<br />
του οργανισμού, έναντι πιθανών περιστατικών ασφάλειας.<br />
Παρά το γεγονός ότι οι απαιτήσεις σε θέματα κυβερνοασφάλειας<br />
διαφέρουν ανάλογα με τη φύση και το μέγεθος του οργανισμού,<br />
το κανονιστικό πλαίσιο και τους περιβαλλοντικούς<br />
παράγοντες στους οποίους λειτουργεί, η παρατιθέμενη προσέγγιση<br />
θεωρούμε ότι είναι εφαρμόσιμη στο σύνολο των οργανισμών,<br />
ενισχύοντας σημαντικά το επίπεδο ανθεκτικότητας<br />
του οργανισμού έναντι επιθέσεων και τον περιορισμό των ε-<br />
πιπτώσεων σε περίπτωση περιστατικών παραβίασης.<br />
Στο πλαίσιο αυτό, η Space Hellas, με πολυετή εμπειρία στο<br />
χώρο της ασφάλειας των πληροφοριών είναι σε θέση να παρέχει,<br />
τόσο συμβουλευτικές υπηρεσίες, όσο και συγκεκριμένες<br />
λύσεις που θωρακίζουν στο μέγιστο δυνατό βαθμό τους<br />
«πόρους» της σύγχρονης επιχείρησης. Ακόμα περισσότερο,<br />
μέσα από το πλήρως εξοπλισμένο <strong>Security</strong> Operation<br />
Center (SOC) που διαθέτει, αλλά και με το εξειδικευμένο<br />
προσωπικό της, παρακολουθεί 24x7 προληπτικά και δίνει ά-<br />
μεση λύση σε περιστατικά, πριν ακόμα αυτά γίνουν επιβλαβή<br />
για έναν οργανισμό. iT<strong>Security</strong><br />
Ολιστική Ασφάλεια και Space Hellas.<br />
security | 33
i ssue<br />
Ari Davies<br />
Senior Manager, Cyber Risk Services<br />
Πέρα από τις δοκιμές<br />
παρείσδυσης<br />
..και τις πιστοποιήσεις στην ασφάλεια<br />
Πλέον τα λειτουργικά συστήματα και οι εφαρμογές σχεδιάζονται έτσι ώστε να είναι όλο<br />
και πιο ασφαλή. Με τον τρόπο αυτό η περιφρούρηση της ασφάλειας απομακρύνεται<br />
σταδιακά από το μηχανογραφικό κέντρο, καθώς δεν προσφέρει ιδιαίτερο όφελος να<br />
συνεχίζουμε να εστιάζουμε στα θέματα ασφαλείας αποκλειστικά από τη σκοπιά των<br />
τεχνικών μέτρων.<br />
α λειτουργικά συστήματα και οι εφαρμογές, σχεδιάζονται σήμερα έτσι ώστε να είναι όλο και πιο ασφαλή. Με<br />
T<br />
τον τρόπο αυτό η περιφρούρηση της ασφάλειας απομακρύνεται σταδιακά από το μηχανογραφικό κέντρο,<br />
καθώς δεν προσφέρει ιδιαίτερο όφελος να συνεχίζουμε να εστιάζουμε στα θέματα ασφαλείας αποκλειστικά<br />
από τη σκοπιά των τεχνικών μέτρων.<br />
Ως εκ τούτου, είναι σημαντικό να διαχωρίσουμε τις έννοιες Ασφάλεια Πληροφοριακών Συστημάτων (<strong>IT</strong><br />
<strong>Security</strong>) και Ασφάλεια Πληροφοριών (Information <strong>Security</strong>). Αδιαμφισβήτητα, το πραγματικό πεδίο ενδιαφέροντος<br />
είναι η Ασφάλεια Πληροφοριών, καθώς η πληροφορία είναι αυτή που εμπεριέχει ουσιαστική αξία.<br />
Για να επιτύχουμε λοιπόν πραγματική Ασφάλεια Πληροφοριών, πρέπει να χρησιμοποιήσουμε μια τρισδιάστατη προσέγγιση,<br />
η οποία περιλαμβάνει όχι μόνο την τεχνολογική υποδομή, αλλά επίσης τον ανθρώπινο παράγοντα και το φυσικό περιβάλλον.<br />
Οι καλά σχεδιασμένες επιθέσεις στοχεύουν ακόμα και έξω από το παραδοσιακό πλαίσιο του κυβερνοχώρου προκειμένου<br />
34 | security
να εντοπίσουν αδυναμίες που θα οδηγήσουν σε εταιρικές<br />
πληροφορίες. Οι αδυναμίες αυτές συχνά δεν εντοπίζονται<br />
κατά τη διάρκεια των συνηθισμένων ελέγχων και δοκιμών<br />
ασφαλείας. Για το λόγο αυτό, στη Deloitte σχεδιάσαμε την<br />
προσέγγιση «Covert Operations» ως έναν καινοτόμο συνδυασμό<br />
της μεθόδου επιθετικών δοκιμών παρείσδυσης «red<br />
teaming» και των αιφνιδιαστικών αξιολογήσεων ωριμότητας<br />
των δικλείδων ασφαλείας.<br />
Σκοπός της υπηρεσίας αυτής είναι να βοηθήσουμε στην α-<br />
ξιολόγηση του βαθμού ετοιμότητας και της ευαισθητοποίησης<br />
των οργανισμών απέναντι στις κυβερνοεπιθέσεις, μέσα<br />
από την πραγματοποίηση στοχευμένων επιθέσεων βασισμένων<br />
σε προσυμφωνημένα σενάρια. Η προσέγγιση «Covert<br />
Operations» παρέχει τη δυνατότητα στους οργανισμούς να<br />
εντοπίσουν νέες ευπάθειες και ταυτόχρονα να αξιολογήσουν<br />
την ικανότητά τους να αντιμετωπίσουν πραγματικά περιστατικά<br />
επιθέσεων. Επιπλέον, μέσα από τη διαδικασία αυτή είναι δυνατό<br />
να βελτιωθεί η ευαισθητοποίηση τόσο της Διοίκησης όσο<br />
και των εργαζομένων απέναντι στις απειλές που προέρχονται<br />
από τον κυβερνοχώρο, καθώς τους δίνεται η δυνατότητα να<br />
δουν στην πράξη πώς εκδηλώνονται οι κίνδυνοι που μέχρι ε-<br />
κείνη τη στιγμή αντιμετωπίζονταν σε θεωρητικό μόνο επίπεδο.<br />
Οι τρελοί και οι καινοτόμοι!<br />
Η δουλειά των Επικεφαλείς Ασφαλείας των Πληροφοριών<br />
και των Εσωτερικών Ελεγκτών είναι να ενημερώνονται συνεχώς<br />
για τις εξελίξεις στον τομέα της ασφάλειας και να προωθούν<br />
τους στόχους της ασφάλειας στους οργανισμούς.<br />
Προκειμένου να είναι κάποιος επιτυχημένος σε αυτό το ε-<br />
πάγγελμα πρέπει να είναι καινοτόμος και η καινοτομία συνεπάγεται<br />
ότι πρέπει να βρισκόμαστε πάντα μπροστά από<br />
τις εξελίξεις.<br />
Θα ήθελα πάρα πολύ να προσποιηθώ ότι η ιδέα πίσω από<br />
το «Covert Operations» ήταν δική μου, αλλά αυτό θα ήταν<br />
ψέμα. Όταν γύρω στο 2006 ξεκίνησα, φυσικά με τη βοήθεια<br />
πολλών άλλων, να σχηματίζω την ιδέα που σήμερα έχει μετεξελιχθεί<br />
σε αυτό που ονομάζουμε «Covert Operations»,<br />
πάρα πολλοί -αλλά όχι όλοι- με θεωρούσαν τρελό. Αυτό σήμαινε<br />
είτε ότι ήμουν πραγματικά τρελός, είτε ότι η πρωτοβουλία<br />
αυτή ήταν καινοτόμα και είχα καταφέρει να έχω κάτι στα<br />
χέρια μου που με τοποθετούσε μπροστά από τις εξελίξεις.<br />
«Υπάρχει μόνο μια διαφορά ανάμεσα σε εμένα και έναν τρελό.<br />
Ο τρελός νομίζει ότι είναι λογικός. Εγώ ξέρω ότι είμαι τρελός» –<br />
Σαλβαδόρ Νταλί.<br />
Ιστορικό<br />
Στις αρχές της δεκαετίας του 2000 η μέθοδος της «κοινωνικής<br />
μηχανικής» (social engineering) βρισκόταν σε πολύ αρχικό<br />
στάδιο. Ωστόσο, εκείνο το διάστημα είχα την ευκαιρία<br />
να εργάζομαι για έναν οργανισμό που διοικούνταν από νέους<br />
ανθρώπους, οι οποίοι ήταν διατεθειμένοι να ρισκάρουν.<br />
Συνεπώς, οι δοκιμές ασφάλειας με τη μέθοδο της «κοινωνικής<br />
μηχανικής» ήταν μια υπηρεσία που μας διαφοροποιούσε<br />
σημαντικά από τον ανταγωνισμό και φυσικά αποτελούσε ένα<br />
σημαντικό όπλο στη φαρέτρα της ομάδας πωλήσεων. Πολλοί<br />
από τους «κοινωνικούς μηχανικούς» ξεκίνησαν την καριέρα<br />
τους από αυτή την εταιρεία στο Ηνωμένο Βασίλειο, ενώ στη<br />
συνέχεια εργάστηκαν σε πολλές άλλες χώρες ανά τον κόσμο.<br />
Κατά τη διάρκεια του 2010 και του 2011 το «phishing» είχε<br />
αρχίσει να έρχεται στο προσκήνιο. Οι οργανισμοί άρχισαν<br />
να ζητούν επίμονα τη διεξαγωγή δοκιμών ασφαλείας με τη<br />
μέθοδο του «phishing», γεγονός που για εμένα αποτελούσε<br />
τον προάγγελο για τη δημιουργία ακόμα πιο ρεαλιστικών<br />
μεθόδων αξιολόγησης της ασφάλειας στον κυβερνοχώρο.<br />
Οι δοκιμές ασφάλειας με τη μέθοδο του «phishing» μέσα σε<br />
λίγα χρόνια εξελίχθηκαν σταδιακά από μια άγνωστη έννοια<br />
σε μια καινοτόμα ιδέα, για να φτάσουν σήμερα να θεωρούνται<br />
καθιερωμένες στο εξωτερικό. Η μέθοδος του «phishing»<br />
αποτελεί σήμερα ένα από τα βασικά αλλά και πιο διασκεδαστικά<br />
συστατικά των «Covert Operations».<br />
Τι είναι λοιπόν η υπηρεσία «Covert Operations»;<br />
Με την πάροδο του χρόνου και την αύξηση των αντισυμβατικών<br />
τεχνικών επίθεσης, αναδείχθηκε η σημασία που έχει ο<br />
συνυπολογισμός όλων των παραγόντων που προαπαιτούνται<br />
για την ασφάλεια, καθώς και η σταδιακή απαγκίστρωση από<br />
την ιδέα ότι η ασφάλεια πληροφοριών επιτυγχάνεται μόνο<br />
με την χρήση όλο και περισσότερων τεχνικών προστατευτικών<br />
μέσων. Η προσθήκη ενός ακόμα τείχους προστασίας<br />
(firewall) δεν αποτελεί πανάκεια. Η φυσική ασφάλεια και ο<br />
ανθρώπινος παράγοντας αναδείχθηκαν σε εξίσου βασικά<br />
συστατικά προκειμένου να επιτευχθεί μια ολιστική και τρισδιάστατη<br />
θεώρηση της ασφάλειας πληροφοριών.<br />
Η βασική ιδέα πίσω από την υπηρεσία «Covert Operations»<br />
βασίζεται σε δυο άξονες:<br />
• Από τη μια, αποτελεί μια προσπάθεια να συνδυαστούν ό-<br />
λες οι πτυχές της ασφάλειας (φυσική ασφάλεια, ανθρώπινος<br />
παράγοντας και κυβερνοχώρος), με βασικό στόχο την<br />
παροχή στον εκάστοτε οργανισμό μιας ρεαλιστικής εκτίμησης<br />
σχετικά με τα επίπεδα της ασφάλειάς του.<br />
• Από την άλλη, αποτελεί μια αποτελεσματική μέθοδο αξιολόγησης<br />
όχι μόνο του επιπέδου ασφαλείας των υφισταμένων<br />
δικλείδων ασφαλείας του εκάστοτε οργανισμού αλλά<br />
και του τρόπου με τον οποίο οι διάφορες ομάδες και<br />
τα τμήματά του θα ανταποκριθούν και θα αντιδράσουν σε<br />
«ελεγχόμενα περιστατικά παραβίασης της ασφάλειας» που<br />
θα λάβουν χώρα με τη μορφή αιφνιδιαστικών ελέγχων.<br />
Ένα τυπικό έργο «Covert Operations» ξεκινά με ένα απλό<br />
ερώτημα: «Ποια είναι τα ζωτικά για τη λειτουργία του οργανι-<br />
security | 35
i ssue<br />
Πέρα από τις δοκιμές παρείσδυσης …και τις πιστοποιήσεις στην ασφάλεια<br />
σμού δεδομένα, τα οποία αν παραβιαστούν θα θέσουν άμεσα<br />
σε κίνδυνο την λειτουργία του;». Αφότου αποκτήσουμε μια<br />
σαφή εικόνα των απειλών, των παραγόντων κινδύνου και του<br />
επιπέδου ωριμότητας του οργανισμού, σχεδιάζουμε μια σειρά<br />
σεναρίων με απειλές βασιζόμενοι στις ανάγκες του οργανισμού<br />
όσον αφορά στη φυσική του υπόσταση, στην παρουσία<br />
του στον κυβερνοχώρο αλλά και στον ανθρώπινο παράγοντα.<br />
Ασφάλεια κυβερνοχώρου (Cyber <strong>Security</strong>)<br />
Οι περισσότεροι από τους επαγγελματίες ασφάλειας πληροφοριών<br />
αισθάνονται πιο άνετα όταν αναφέρονται σε αυτό<br />
τον τομέα, καθώς συνήθως αποτελεί τον τομέα εξειδίκευσής<br />
τους. Η ασφάλεια του κυβερνοχώρου περιλαμβάνει τον<br />
ψηφιακό κόσμο, το διαδίκτυο καθώς και εσωτερικά εταιρικά<br />
δίκτυα ή άλλα δίκτυα υπολογιστικών συστημάτων. Αποτελεί<br />
τον τομέα στον οποίο επικεντρώνονται οι περισσότερες συζητήσεις<br />
σχετικά με την ασφάλεια πληροφοριών.<br />
Γνωρίζουμε ότι οι σοβαρότερες κυβερνοεπιθέσεις των τελευταίων<br />
χρόνων δεν πραγματοποιήθηκαν μέσω επίθεσης και<br />
εκμετάλλευσης αδυναμιών στην εξωτερική ψηφιακή περίμετρο.<br />
Οι επιτιθέμενοι είτε παραβίασαν τη φυσική περίμετρο,<br />
είτε εγκατέστησαν μια φυσική συσκευή παρακολούθησης ή<br />
– τις περισσότερες φορές – έστειλαν κακόβουλο λογισμικό<br />
μέσω στοχευμένων επιθέσεων παραπλάνησης (spearphishing<br />
attacks).<br />
Ωστόσο, μόλις οι επιτιθέμενοι παραβιάσουν την περίμετρο<br />
και βρεθούν στο εσωτερικό του οργανισμού που έχουν στοχεύσει,<br />
τι υπάρχει για να τους σταματήσει, να τους αποτρέψει,<br />
να τους καθυστερήσει και ιδανικά να τους εντοπίσει;<br />
Φυσική Ασφάλεια<br />
Η Φυσική Ασφάλεια περιλαμβάνει τα δικά της εργαλεία «hacking», όπως<br />
αντιγραφείς καρτών πρόσβασης, κάμερες και εργαλεία ξεκλειδώματος.<br />
Στους περισσότερους οργανισμούς, η φυσική ασφάλεια διαχωρίζεται<br />
οργανωτικά από την ασφάλεια πληροφοριών. Παρατηρείται<br />
συνήθως ότι υπάρχει ξεχωριστή ομάδα που διαχειρίζεται<br />
τη φυσική ασφάλεια, η οποία έχει ελάχιστη ή καθόλου<br />
σχέση με την ομάδα ασφάλειας πληροφοριών. Αυτό<br />
σημαίνει ότι πολλές φορές υπάρχουν σημαντικές αποκλίσεις<br />
και καθυστερήσεις στην επικοινωνία μεταξύ των δυο ομάδων,<br />
με αποτέλεσμα η φυσική ασφάλεια να αποτελεί συχνά ένα<br />
«τυφλό σημείο» για την ασφάλεια πληροφοριών.<br />
Σε κάθε περίπτωση, θα έπρεπε να ανησυχούμε; Φυσικά! Η<br />
πληροφορία έχει υπόσταση και στον υλικό κόσμο και - ό-<br />
πως ξέρουμε - οι επιτιθέμενοι θα ακολουθήσουν πάντοτε το<br />
δρόμο με τη λιγότερη δυνατή αντίσταση.<br />
Ανθρώπινος Παράγοντας<br />
Ο ρόλος του ανθρώπινου παράγοντα και η συνεισφορά του<br />
στην ασφάλεια πληροφοριών γίνεται πιο ξεκάθαρος όταν<br />
προσεγγιστεί από την οπτική του επιτιθέμενου και συγκεκριμένα<br />
μέσω της έννοιας της «κοινωνικής μηχανικής». Η εκμετάλλευση<br />
των συναισθημάτων και των έμφυτων ανθρώπινων<br />
συμπεριφορών προκειμένου να αποκομιστεί ίδιον όφελος<br />
έχουν αναχθεί σήμερα σε τέχνη.<br />
Όπως εύστοχα αναφέρει ένας καθηγητής μου: «Γιατί να<br />
μπεις στη διαδικασία να επιτεθείς σε ένα υπερπολύπλοκο<br />
δίκτυο υπολογιστών, όταν το μόνο που χρειάζεσαι είναι να<br />
κεράσεις μερικές μπύρες έναν διαχειριστή συστημάτων στην<br />
τοπική παμπ; Και αν αυτό δε δουλέψει, μπορείς πάντα να τον<br />
εκβιάσεις. Με τον έναν ή τον άλλο τρόπο, θα βγάλεις τις πληροφορίες<br />
που θες από το κεφάλι τους».<br />
Αξίζει να σημειωθεί ότι είναι πολύ πιο εύκολο για έναν επιτιθέμενο<br />
να επιχειρήσει μια επίθεση «κοινωνικής μηχανικής»<br />
απομακρυσμένα, έχοντας ασφαλή απόσταση, παρά να έρθει<br />
σε κατά πρόσωπο συνάντηση με το υποψήφιο «θύμα». Ως<br />
εκ τούτου, έχει σημειωθεί σημαντική αύξηση τέτοιου τύπου<br />
επιθέσεων είτε μέσω τηλεφώνου αυτοτροφοδοτούν τη βιωσιμότητά<br />
τους. Αυτό πιθανότατα οφείλεται στις ισχύουσες<br />
36 | security
διατάξεις για την προστασία των προσωπικών δεδομένων,<br />
καθώς και στους προβληματισμούς τόσο των οργανισμών,<br />
όσο και των πωλητών σε θέματα πιθανής διατάραξης της ο-<br />
μαλής επιχειρησιακής λειτουργίας.<br />
Οι νέες τάσεις<br />
Συνεπώς ποια είναι η τάση που επικρατεί σήμερα στον κλάδο;<br />
Τον τελευταίο χρόνο έχω παρατηρήσει μια δραστική<br />
αύξηση στην αναζήτηση υποψηφίων «Red Team Leaders»<br />
από υπεύθυνους προσλήψεων μεγάλων πολυεθνικών εταιρειών<br />
στους τομείς των Χρηματοοικονομικών Υπηρεσιών,<br />
της Ενέργειας, των Υπηρεσιών Κοινής Ωφελείας, καθώς και<br />
της Τεχνολογίας, Μέσων Μαζικής Ενημέρωσης και Τηλεπικοινωνιών.<br />
Αυτό είναι λογικό, αφού οι συγκεκριμένοι οργανισμοί ανησυχούν<br />
ιδιαίτερα δεδομένου ότι βρίσκονται στο επίκεντρο<br />
των επιθέσεων, με αποτέλεσμα να διαμορφώνουν σταδιακά<br />
μια ωριμότητα όσον αφορά στον τρόπο με τον οποίο αντιμετωπίζουν<br />
τα θέματα ασφαλείας και ως εκ τούτου να έχουν<br />
πολλές πιθανότητες να καταφέρουν να βρεθούν μπροστά<br />
από τις εξελίξεις.<br />
Σήμερα στο Ηνωμένο Βασίλειο υπάρχει μια επίσημη πιστοποίηση<br />
με τίτλο «Simulated Attack Manager/Specialist», η<br />
οποία παρέχεται από τον οργανισμό CREST, έναν αναγνωρισμένο<br />
φορέα πιστοποίησης στο Ηνωμένο Βασίλειο με ι-<br />
σχυρούς δεσμούς τόσο στον ιδιωτικό όσο και στον δημόσιο<br />
τομέα και ιδιαίτερα στην κοινότητα των επαγγελματιών<br />
των υπηρεσιών ασφαλείας. Οι πιστοποιήσεις είναι συνήθως<br />
ένας πολύ καλός δείκτης των τάσεων που επικρατούν στον<br />
κλάδο και καταδεικνύουν ότι βρισκόμαστε πολύ κοντά στο<br />
να αγγίξουμε το σημείο της «κρίσιμης μάζας» που αναφέρθηκε<br />
προηγουμένως.<br />
Μια ακόμα κατηγορία υπηρεσιών που βρίσκεται μπροστά<br />
από τις εξελίξεις και για την οποία παρατηρούμε αυξημένα<br />
επίπεδα ζήτησης και κατά συνέπεια ωριμότητας από<br />
τις εταιρείες του κλάδου, είναι αυτή των υπηρεσιών παροχής<br />
πληροφοριών σχετικά με τις απειλές ασφαλείας (threat<br />
intelligence). Υπάρχει πλέον πληθώρα εταιρειών που παρέχουν<br />
πληροφορίες «threat intelligence» και ο όρος Open<br />
Source Intelligence (OSINT) γίνεται σταδιακά ιδιαίτερα δημοφιλής.<br />
Οι υπηρεσίες «threat intelligence» αποτελούν, από<br />
μια επιχειρησιακή σκοπιά, ένα τμήμα των υπηρεσιών «Covert<br />
Operations» αφού καμία λειτουργία δε μπορεί να πραγματοποιηθεί<br />
με επιτυχία αν υπάρχει έλλειψη πραγματικών και<br />
έγκυρων πληροφοριών.<br />
Συμπεράσματα<br />
Τόσο η επίτευξη της συμμόρφωσης με τα όσα καθορίζονται<br />
από τα πρότυπα και τα πλαίσια σχετικά με την ασφάλεια<br />
των πληροφοριών και τη διακυβέρνηση των πληροφοριακών<br />
συστημάτων, όσο και ο έλεγχος των δικλείδων<br />
ασφαλείας βάσει των αξιολογήσεων κινδύνων, δε συνεπάγονται<br />
ότι είμαστε προετοιμασμένοι για μια στοχευμένη<br />
κυβερνοεπίθεση.<br />
Το πεδίο του κυβερνοχώρου είναι τόσο δυναμικό που μας<br />
υποχρεώνει να χρησιμοποιήσουμε πρακτικότερες μεθόδους<br />
ώστε να καλύψουμε τα κενά που αφήνουν οι υπάρχουσες<br />
δικλείδες ασφαλείας. Με αυτό τον τρόπο θα έχουμε την ευκαιρία<br />
να παρατηρήσουμε τις ενέργειες που ένας εισβολέας<br />
θα μπορούσε να πραγματοποιήσει στο περιβάλλον μας. Οι<br />
ρεαλιστικές δοκιμές ασφαλείας όχι μόνο αποκαλύπτουν τις<br />
ασφαλιστικές δικλείδες που μπορούν να παρακαμφθούν, αλλά<br />
επιπλέον μας επιτρέπουν να καταλάβουμε τον τρόπο με<br />
τον οποίο οι ομάδες διαχείρισης συστημάτων, παρακολούθησης<br />
των προστατευτικών μηχανισμών και αντιμετώπισης<br />
περιστατικών θα αντιδράσουν σε ένα πραγματικό γεγονός<br />
παραβίασης της ασφάλειας.<br />
Η κατανόηση του περιβάλλοντός μας πέραν των απαιτήσεων<br />
των προτύπων διακυβέρνησης της ασφάλειας, μας δίνει<br />
τη δυνατότητα να βελτιώσουμε τον τρόπο με τον οποίο α-<br />
ντιμετωπίζουμε την ασφάλεια και να πραγματοποιήσουμε μια<br />
ρεαλιστική αξιολόγηση του οργανισμού μας βάσει των πραγματικών<br />
απαιτήσεων του εσωτερικού ελέγχου.<br />
Είναι αλήθεια ότι απλά και μόνο στο άκουσμα των υπηρεσιών<br />
«Covert Operations» μπορεί να αισθανόμαστε μια σύγχυση<br />
που προκύπτει από την περιπλοκότητα του όρου. Ω-<br />
στόσο, η κατανόηση του κυβερνοχώρου και του τρόπου με<br />
τον οποίο αυτός εξελίσσεται, αποτελεί βασική προϋπόθεση<br />
ώστε να μπορέσουμε να καταλάβουμε τη σημασία που έχει<br />
για την ασφάλεια του εκάστοτε οργανισμού η διαφοροποίηση<br />
από τα καθιερωμένα και η υιοθέτηση νέων μεθόδων ε-<br />
λέγχου της ασφάλειας.<br />
Ως επαγγελματίες της ασφάλειας, για να το πετύχουμε αυτό<br />
θα πρέπει να εργαστούμε σκληρά, να είμαστε συγκεντρωμένοι<br />
στον στόχο, να αποδείξουμε την «τρέλα» μας και να<br />
είμαστε ένα βήμα μπροστά από τις εξελίξεις, έτοιμοι να συμπαρασύρουμε<br />
τους συναδέλφους μας, τον κλάδο μας και<br />
γιατί όχι, τους ανταγωνιστές μας προς αυτή την κατεύθυνση.<br />
iT<strong>Security</strong><br />
security | 37
eport<br />
OCEDO Global Roadshow<br />
Η επόμενης γενιάς λύση Software Defined<br />
Networking<br />
Στις 12 Φεβρουαρίου η εταιρεία OCEDO σε συνεργασία με την εταιρεία NSS γιόρτασε την<br />
είσοδό της στην Ελληνική αγορά με μία επίσημη παρουσίαση των λύσεών της, σε ειδική<br />
εκδήλωση με την ονομασία OCEDO Roadshow 2015, που πραγματοποιήθηκε στην Αθήνα<br />
στο ξενοδοχείο Royal Olympic Hotel στις 12 Φεβρουαρίου. Η Αθήνα αποτελεί έναν από<br />
τους πολλούς προορισμούς σε όλο τοn κόσμο που θα γίνει η εν λόγω παρουσίαση.<br />
H<br />
OCEDO είναι μία νέα εταιρεία που δραστηριοποιείται<br />
στις επιχειρησιακές λύσεις<br />
δικτύωσης, η οποία κατασκευάζει λύσεις για<br />
την ολοένα αναπτυσσόμενη αγορά SDN<br />
(Software Defined Networking) και τράβηξε<br />
την προσοχή της βιομηχανίας χάρη στις ιδιαίτερα ισχυρές<br />
στον τομέα της ασφάλειας αλλά και ιδιαίτερα απλές στην ε-<br />
γκατάσταση και ανάπτυξη λύσεις δικτύωσης που προτείνει.<br />
Η εταιρεία OCEDO δημιουργήθηκε από τους ιδρυτές της<br />
Astaro, της γνωστής εταιρείας δικτυακής ασφάλειας, που την<br />
περασμένη δεκαετία ανέπτυξε συστήματα ασφάλειας δικτύων<br />
για χιλιάδες οργανισμούς σε παγκόσμιο επίπεδο και εξαγοράστηκε<br />
από την Sophos το 2011.<br />
Το Software Defined Networking (SDN) είναι μια ορολογία<br />
που χρησιμοποιείται για να περιγράψει ένα σύστημα στο<br />
οποίο χρησιμοποιείται ένα ειδικό λογισμικό για να διαμορφώσει<br />
και να διαχειριστεί δυναμικά όλο το δικτυακό εξοπλισμό<br />
μίας επιχείρησης ή ενός οργανισμού που μεταβάλλεται<br />
δυναμικά ανάλογα με τις απαιτήσεις και τις ανάγκες που υ-<br />
πάρχουν και προκύπτουν.<br />
Πρόσφατα, η εταιρεία με όλα τα ιδρυτικά στελέχη της και με<br />
εκπροσώπους εταιρειών στην χώρα μας, γιόρτασε την είσοδό<br />
της στην Ελληνική αγορά, σε ειδική εκδήλωση με την ο-<br />
νομασία OCEDO Roadshow 2015, που πραγματοποιήθηκε<br />
στο Royal Olympic Hotel στις 12 Φεβρουαρίου σε συνεργασία<br />
με την εταιρεία NSS που είναι ο διανομέας της OCEDO<br />
στη Νοτιοανατολική Ευρώπη.<br />
Κατά τη διάρκεια της εκδήλωσης, η εταιρεία OCEDO γνώρισε<br />
σημαντικές Ελληνικές εταιρείες του κλάδου της πληροφορικής<br />
και εξήγησε τους λόγους που οι λύσεις SDN υπερτερούν<br />
έναντι των συμβατικών λύσεων δικτύωσης. Επίσης<br />
έδειξε πως οι εταιρείες ενοποίησης συστημάτων πληροφορικής<br />
(System Integrators) και οι πάροχοι διαχειριζόμενων<br />
υπηρεσιών (Managed Service Providers) μπορούν εύκολα<br />
και με ταχύτητα να δημιουργήσουν τα δικά τους ιδιωτικά δίκτυα<br />
στο σύννεφο ή στο δικό τους περιβάλλον τοπικά, εξασφαλίζοντας<br />
ότι η λύση ταιριάζει στις απαιτήσεις ιδιωτικότητας<br />
των τελικών πελατών. Αυτό τους δίνει τη δυνατότητα<br />
να δημιουργούν ολόκληρα δίκτυα εξ’ αποστάσεως από το<br />
σύννεφο, να ανιχνεύουν την δικτυακή δραστηριότητα εις<br />
βάθος και να προωθούν αλλαγές μαζικά στην διαμόρφωση<br />
του δικτύου σε πραγματικό χρόνο.<br />
Η σχεδίαση του συστήματος της OCEDO βοηθάει τους διαχειριστές<br />
να εφαρμόζουν δυναμικούς κανόνες πρόσβασης<br />
στο επιχειρησιακό δίκτυο εξατομικευμένους επάνω στους<br />
χρήστες (User-Based <strong>Security</strong> & Management) και όχι μόνο<br />
τις συσκευές όπως γίνεται συνήθως. Επίσης, επιτρέπει<br />
στους ίδιους τους χρήστες να ενσωματώνουν τις συσκευές<br />
τους στο σύστημα (User Provisioning) ανεξαρτήτως από το<br />
αν είναι εταιρικές ή προσωπικές (BYOD / Bring Your Own<br />
Device). Επίσης, η OCEDO διασυνδέει με ασφάλεια τοποθεσίες<br />
όπως γραφεία, κέντρα δεδομένων, καταστήματα και<br />
γραφεία μέσω SDN-αυτοματοποιημένων IPSec VPNs και τοίχους<br />
προστασίας επόμενης γενιάς (firewall).<br />
Αλλά αυτό που καθιστά τη λύση της OCEDO μοναδική<br />
είναι η προσέγγιση επάνω στο SDN, όπως επισημαίνει ο<br />
Andrew Lerner, Διευθυντής Έρευνας της Gartner: «Το<br />
Software-Defined Networking (SDN) είναι μία νέα, ριζοσπαστική<br />
προσέγγιση στη σχεδίαση, κατασκευή και λειτουργία δικτύων<br />
που φέρνει ένα βαθμό ευελιξίας, παρόμοιο με αυτό που η αφαι-<br />
38 | security
ρετικότητα, εικονικοποίηση και η ενορχήστρωση έφερε στην υποδομή<br />
των διακομιστών».<br />
«Το SDN είναι έτοιμο να κινηθεί πλέον έξω από τα κέντρα δεδομένων<br />
και να προσφέρει πραγματική καινοτομία στα διανεμημένα<br />
ή κατανεμημένα επιχειρησιακά δίκτυα και η Ocedo εστιάζει στο<br />
να καταστήσει την δικτύωση δραστικά απλούστερη για τους σημερινούς<br />
ευέλικτους και ολοένα αναπτυσσόμενους οργανισμούς»<br />
συμπληρώνει ο Jan Hichert, CEO της OCEDO.<br />
Ο Jan Hichert, CEO της OCEDO στη διάρκεια της παρουσίασής του.<br />
Πράγματι, η μεγαλύτερη πρόκληση για τα σημερινά επιχειρησιακά<br />
δίκτυα είναι η ολοένα αυξημένη πολυπλοκότητα<br />
λόγω της φορητότητας, του σύννεφου (cloud computing),<br />
του λεγόμενου Internet of Things, του παλαιού δικτυακού<br />
εξοπλισμού, καθώς και εξαιτίας των ολοένα αυξανόμενων<br />
ανησυχιών για την προστασία της ιδιωτικής ζωής.<br />
Οι παραδοσιακές προσεγγίσεις στη διαχείριση δικτύων α-<br />
παιτούν μεγάλες δεξιότητες και πολύ χρόνο. Η OCEDO ω-<br />
στόσο έχει τη λύση αφού πρόσφατα ανακοίνωσε το νέο της<br />
αυτοματοποιημένο σύστημα δικτύωσης. Το σύστημα της<br />
OCEDO αποτελείται από ένα σύστημα ελέγχου στο σύννεφο<br />
(Cloud Connect Controller), συστήματα Gateways με<br />
φυσικές ή εικονικές συσκευές για VMWare, Hyper-V, XEN,<br />
KVM και Amazon EC2, διαμεταγωγείς (switches) και σημεία<br />
ασύρματης πρόσβασης (access points) και μπορεί να θέσει<br />
σε λειτουργία επιχειρησιακά δίκτυα κυριολεκτικά μέσα σε ο-<br />
ρισμένα λεπτά. Με τις αυτοματοποιημένες δυνατότητες διαμόρφωσης<br />
και ρύθμισης, τη συγκεντρωτική δικτυακή ορατότητα<br />
και την αντιμετώπιση προβλημάτων, όλα διαχειριζόμενα<br />
από μία κεντρική κονσόλα στο σύννεφο, οι διαχειριστές δικτύων<br />
μπορούν αποτελεσματικά να ελέγχουν ακόμα περισσότερο<br />
κατανεμημένα δίκτυα με πολύ χαμηλότερο κόστος.<br />
«Η OCEDO απλοποιεί τόσο την εγκατάσταση όσο και την διαχείριση<br />
των δικτύων, προσφέροντας ένα ιδιαίτερα απλό στην χρήση<br />
cloud controller μαζί με ένα οικονομικό οικοσύστημα hardware<br />
και απευθύνεται σε όλες τις επιχειρήσεις ανεξαρτήτου μεγέθους»<br />
λέει ο Γιώργος Καπανίρης, Διευθυντής Στρατηγικής Ανάπτυξης<br />
της εταιρείας NSS.<br />
To οικοσύστημα της OCEDO<br />
Τα σημαντικότερα στοιχεία του οικοσυστήματος της<br />
OCEDO είναι τα εξής:<br />
OCEDO Connect. Είναι ο ελεγκτής στο cloud, ο οποίος<br />
επιτρέπει στους διαχειριστές δικτύων εύκολα και αποτελεσματικά<br />
να σχεδιάζουν, να αναπτύσσουν και να διαχειρίζονται<br />
επιχειρησιακά δίκτυα. Μέσω μίας κεντρικής κονσόλας<br />
στο Web, οι διαχειριστές έχουν πλήρη εικόνα για την δικτυακή<br />
δραστηριότητα επιτρέποντας μία δυναμική προσέγγιση<br />
στην δικτυακή ασφάλεια και τη διαχείριση υποδομών.<br />
Οι διαχειριστές μπορούν να χρησιμοποιήσουν το OCEDO<br />
Connect στο εξελιγμένο κέντρο δεδομένων της OCEDO,<br />
εντός των συστημάτων Amazon Web Services ή σε κάποια<br />
ιδιωτική υποδομή αν αυτό είναι αναγκαίο λόγω κανονιστικών<br />
περιορισμών.<br />
OCEDO Gateway. Τα μοντέλα G50, G100 και VM Gateway<br />
μπορούν να συνδέσουν μεταξύ τους τοπικά δίκτυα έως και<br />
1000 χρηστών και κέντρα δεδομένων σε δίκτυα ευρείας περιοχής<br />
(Wide Area Networks), εξασφαλίζοντας την δικτυακή<br />
κίνηση σύφωνα με τους χρήστες και τις εφαρμογές<br />
(L7 Firewall) και να διαχειρίζονται την συνδεσιμότητα του<br />
Internet με πολλαπλές συνδέσεις (Uplink Balancing). Το<br />
σύστημα Ocedo AutoVPN κρυπτογραφεί και δρομολογεί<br />
αυτόματα την κυκλοφορία επιτρέποντας την απρόσκοπτη<br />
σύνδεση απομακρυσμένων τοπικών δικτύων μεταξύ τους, ή<br />
προς συστήματα που βρίσκονται στο ιδιωτικό ή το δημόσιο<br />
σύννεφο (Private / Public Cloud) με ένα απλούστατο setup<br />
ενός κλικ. Τα συστήματα OCEDO Physical Gateways είναι<br />
λύσεις hardware για συνδεσιμότητα επιχειρήσεων μεσαίου<br />
μεγέθους, αποτελώντας ένα ενιαίο σύστημα σχετικά με το<br />
δίκτυο και την ασφάλεια. Προαιρετικά διατίθεται και με ενσωματωμένο<br />
ασύρματο access point ή σύστημα 3G. Τα Ocedo<br />
VM Gateways μπορούν να διασυνδέσουν τοπικά δίκτυα με<br />
απομακρυσμένες εικονικές υποδομές. Εννοείται ότι σε περίπτωση<br />
μετακίνησης διακομιστών (servers) από μία φυσική<br />
θέση που βρίσκονται σήμερα, στο σύννεφο οι χρήστες δε<br />
θα αντιληφθούν απολύτως τίποτα.<br />
OCEDO Wireless. Τα μοντέλα access point AP3, AP5 και<br />
AP5r παρέχουν επιχειρησιακής κλάσης ασύρματη δικτύωση<br />
σε εργαζομένους, επισκέπτες καθώς και άλλες συσκευές<br />
που αποτελούν το λεγόμενο Internet of Things. Χάρη στις<br />
security | <strong>39</strong>
eport<br />
OCEDO Global Roadshow<br />
σύγχρονες τεχνολογίες φορητότητας (smart roaming) α-<br />
πλοποιείται και εκσυγχρονίζεται η συνδεσιμότητα μεταξύ των<br />
διάφορων σημείων πρόσβασης (access points) και των τοποθεσιών,<br />
ενώ ο έλεγχος δικτυακής πρόσβασης που βασίζεται<br />
στους χρήστες προστατεύει τα περιβάλλοντα BYOD. Στην<br />
συγκεκριμένη περίπτωση καλό είναι να αναφέρουμε ότι χρήστες<br />
μπορούν να ταυτοποιήσουν οι ίδιοι τις συσκευές τους<br />
για άμεση πρόσβαση στο δίκτυο. Οι Πολιτικές πρόσβασης<br />
που βασίζονται στους χρήστες, δίνουν τη δυνατότητα στο<br />
διαχειριστή να μπορεί να διαχειριστεί με επιτυχία όλες τις<br />
συσκευές που πολλαπλασιάζονται αλλά αυτόματα ανατίθενται<br />
στους ιδιοκτήτες τους. Η εταιρεία προσφέρει μοντέλα<br />
Access Points για εσωτερική ή εξωτερική χρήση και φυσικά<br />
και για βιομηχανικά περιβάλλοντα.<br />
OCEDO Switching. Αποτελείται από διαμεταγωγείς<br />
(switches) SDN πλήρως διαχειρίσιμους στο σύννεφο, που<br />
επιτρέπουν συνδεσιμότητα plug-and-play, υποστηρίζουν PoE<br />
και έχουν διαφορετικό αριθμό από πόρτες και λειτουργικότητα<br />
για κάθε επιθυμητή συνδεσιμότητα. Τα βασικά χαρακτηριστικά<br />
τους περιλαμβάνουν cloud stacking, αυτόματη<br />
διαμόρφωση δικτυακών ζωνών (network zoning), ασφάλιση<br />
θυρών, προτεραιότητα κίνησης και μάλιστα με μηδενικό<br />
θόρυβο, αφού δεν διαθέτουν μετακινούμενα στοιχεία όπως<br />
ανεμιστήρες.<br />
Σήμερα, τα επιχειρησιακά δίκτυα που έχουν δημιουργηθεί<br />
χρησιμοποιώντας τεχνολογίες SDN προβάλουν ως οφέλη<br />
την αυξημένη ευελιξία, κλιμάκωση και ταχύτητα καθώς και το<br />
χαμηλό κόστος κτήσης και λειτουργίας. Και αυτό είναι που<br />
καθιστά την OCEDO μοναδική, ότι εστιάζει ξεκάθαρα στο<br />
να φέρει όλα τα παραπάνω οφέλη του SDN σε κατανεμημένα<br />
επιχειρησιακά δίκτυα ειδικά στις μεσαίες επιχειρήσεις.<br />
OCEDO & NSS<br />
Τα συστήματα της OCEDO διανέμονται από την εταιρεία<br />
NSS. Η NSS είναι ένας διεθνής διανομέας Value Added<br />
Distributor (VAD), εξειδικευμένος σε λύσεις αιχμής στον τομέα<br />
της πληροφορικής, που καλύπτουν τους τεχνολογικούς<br />
τομείς της ασφάλειας των πληροφοριών, της δικτύωσης, των<br />
ενοποιημένων επικοινωνιών, της αποθήκευσης δεδομένων,<br />
της εικονικοποίησης (virtualization), καθώς και σε συστήματα<br />
υποδομής υπολογιστικών κέντρων δεδομένων (datacenters).<br />
Μέσω της υψηλής τεχνολογίας και της βαθιάς γνώσης<br />
της αγοράς, η NSS με πολύ μεγάλη προσοχή έχει συνάψει<br />
στρατηγικές συνεργασίες με κατασκευάστριες εταιρείες<br />
που ηγούνται στο χώρο τους όπως SOPHOS, LOGPOINT,<br />
SEP, WD, COMMUNIGATE SYSTEMS, PEPLINK, ARRAY<br />
NETWORKS, JACARTA κ.ά. Μέσα από την ανάπτυξη συνεργασιών<br />
με επιλεγμένες επιχειρήσεις πληροφορικής, η NSS<br />
έχει δημιουργήσει ένα διευρυμένο δίκτυο εξουσιοδοτημένων<br />
μεταπωλητών στην Ελλάδα, στην Κύπρο, στη Μάλτα και στις<br />
Βαλκανικές χώρες. Τα προϊόντα της NSS ήδη αξιοποιούν<br />
πλήθος μικρών, μεσαίων και μεγάλων επιχειρήσεων και Οργανισμών<br />
του Δημόσιου και του Ιδιωτικού τομέα, σε όλες τις<br />
παραπάνω χώρες. iT<strong>Security</strong><br />
Το OCEDO Roadshow 2015 αποτέλεσε μια πολύ καλή ευκαιρία για στελέχη της OCEDO και της NSS να αναδείξουν τη στρατηγική τους συνεργασία στη Νοτιοανατολική<br />
Ευρώπη.<br />
40 | security
eport<br />
Ενοποίηση και απλοποίηση<br />
της διαχείρισης ασφάλειας<br />
προσφέρει η Dell<br />
Το όραμα και τη στρατηγική της Dell Software, εστιάζοντας κυρίως στον τομέα της<br />
ασφάλειας, παρουσίασε σε ειδική εκδήλωση κατά την επίσκεψή του στην Ελλάδα<br />
ο Ramsés Gallego, <strong>Security</strong> Strategist & Evangelist της Dell Software και Διεθνής<br />
Αντιπρόεδρος του ISACA.<br />
H<br />
Dell, είναι μια εταιρεία που παραδοσιακά η<br />
δραστηριότητά της ήταν ταυτισμένη με λύσεις<br />
hardware, που απευθύνονται σε επαγγελματικό<br />
περιβάλλον, αλλά φυσικά και στο καταναλωτικό<br />
κοινό με ιδιαίτερη επιτυχία.<br />
Παρατηρώντας τα τελευταία χρόνια όμως την πορεία της Dell,<br />
διακρίνουμε την ιδιαίτερη δυναμική που έχει αναπτύξει πλέον<br />
και στον τομέα του λογισμικού, ως αποτέλεσμα σημαντικών<br />
εξαγορών εταιρειών software, καθώς και παράλληλης εσωτερικής<br />
ανάπτυξης και εξέλιξης.<br />
Όπως ανέφερε στην παρουσίασή του ο Ramsés Gallego, η<br />
συγκεκριμένη στρατηγική της Dell βασίστηκε στην ανάγκη για<br />
επανασχεδιασμό του <strong>IT</strong>, λαμβάνοντας υπόψη τις σύγχρονες<br />
τάσεις όπως το Cloud, τα Big Data, το Mobility, που από την<br />
μια πλευρά δημιουργούν μεγάλες δυνατότητες αλλά παράλληλα<br />
μπορεί να επιφέρουν και νέους κινδύνους. Έτσι, η ανάγκη<br />
για προστασία των δεδομένων και διαχείριση των κινδύνων,<br />
μέσα από νέα τεχνολογικά εργαλεία, καθίσταται κομβικής σημασίας<br />
μέσα στα πλαίσια των αλλαγών που επιφέρουν οι συγκεκριμένες<br />
τάσεις στο οικοσύστημα της πληροφορικής των<br />
επιχειρήσεων. Βασικός πυρήνας της στρατηγικής της Dell, ό-<br />
πως μας την ανέπτυξε ο εκπρόσωπος της εταιρείας, είναι η<br />
ενοποίηση και απλοποίηση των λειτουργιών διαχείρισης της<br />
ασφάλειας με άξονα τη δημιουργία λύσεων για την προστασία<br />
των δεδομένων σε Data Center και υποδομές cloud καθώς<br />
και τη διαχείριση πληροφοριών και του mobility μέσα από μια<br />
αποτελεσματικά ολιστική προσέγγιση.<br />
Όλες αυτές οι νέες τάσεις έχουν ως κοινό τόπο και είναι άρρηκτα<br />
συνδεδεμένες με την απαίτηση για προστασία των δεδομένων<br />
μέσα από συγκεκριμένα εργαλεία που προσφέρει η<br />
Dell για: Email security - Endpoint security & management<br />
- Identity & access management - Network security &<br />
secure remote access - Application & email protection -<br />
Backup & recovery - Disaster recovery & replication - Virtual<br />
protection.<br />
Όπως χαρακτηριστικά επισήμανε ο ομιλητής, η Dell Software<br />
έχει το πλεονέκτημα να αντιμετωπίζει αποτελεσματικά τα θέματα<br />
της διαχείρισης της ασφάλειας, του cloud και του mobility,<br />
με βάση την πολύχρονη εμπειρία της στις εταιρικές υποδομές<br />
πληροφορικής, αλλά και μέσα από μια «φρέσκια προσέγγιση»<br />
που της επιτρέπει να προσφέρει ταυτόχρονα απόλυτη<br />
ορατότητα και έλεγχο στις υποδομές <strong>IT</strong>, υψηλή απόδοση και<br />
αυτοματοποίηση στην ενσωμάτωση λύσεων καθώς και τη βέλτιστη<br />
διαχείριση κόστους. iT<strong>Security</strong><br />
security | 41
eference<br />
Angelo Gentili<br />
Business Development Manager<br />
Cyberoam Layer 8 Technology<br />
Ασφάλεια χτισμένη γύρω από την ταυτότητα<br />
του χρήστη<br />
Οι τρέχουσες εταιρικές πολιτικές γύρω από την ασφάλεια δικτύων συχνά παραμελούν το<br />
πιο κρίσιμο και αδύναμο στοιχείο για την ασφάλεια: το ανθρώπινο στοιχείο. Η συνολική<br />
ασφάλεια μιας εταιρείας είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της: ο χρήστης.<br />
Λ<br />
όγω της ανάγκης για μεγαλύτερο έλεγχο και<br />
βαθύτερη ορατότητα στη διαδικτυακή δραστηριότητα<br />
του κάθε χρήστη ενός οργανισμού,<br />
η Cyberoam εφηύρε την τεχνολογία<br />
Layer 8 (πατέντα της Cyberoam) την ο-<br />
ποία ενσωμάτωσε στα UTM της (UTM, Next Generation<br />
Firewalls). Με αυτό τον τρόπο καλύπτει την ανάγκη για ένα<br />
πιο ισχυρό σύστημα ασφάλειας του δικτύου το οποίο μπορεί<br />
να συμπεριλαμβάνει και την ταυτότητα του κάθε χρήστη<br />
ή μιας ομάδας χρηστών, ως παράμετρο των κριτηρίων του<br />
κάθε κανόνα του firewall. Το Layer 8 της Cyberoam που διαχειρίζεται<br />
την ταυτότητα του χρήστη, χρησιμοποιεί τις δικτυακές<br />
συσκευές ασφάλειας για να προσθέσει το 8ο layer<br />
ή το «ανθρώπινο layer» σε κάθε πακέτο δεδομένων που μεταφέρεται<br />
και να το διαχειριστεί αναλόγως. Αυτό επιτρέπει<br />
στους διαχειριστές να θεσπίσουν εξατομικευμένες πολιτικές<br />
ασφαλείας, ποιότητας και προτεραιότητας κατά την πρόσβαση<br />
στο εσωτερικό δίκτυο και στο διαδίκτυο με βάση το<br />
username. Επίσης δίνει τη δυνατότητα για εξατομικευμένες ε-<br />
νεργές αναφορές (drill-down reports) πάνω στη διαδικτυακή<br />
δραστηριότητα του εκάστοτε χρήστη βάσει του username.<br />
Οφέλη<br />
• Αναγνώριση των θυμάτων επιθέσεων μέσω του username<br />
του θύματος.<br />
• Οι διαχειριστές έχουν την δυνατότητα για άμεση ορατότητα<br />
στις πηγές των επιθέσεων.<br />
• Μέγιστος εξατομικευμένος έλεγχος του τι κάνει ο κάθε<br />
χρήστης του δικτύου.<br />
• Επιτρέπει να δημιουργηθούν πολιτικές με βάση τον κάθε<br />
άνθρωπο ξεχωριστά ανεξαρτήτως συσκευής.<br />
• Αναφορές ανά χρήστη που προβάλουν αναλυτικά την χρήση,<br />
τα προβλήματα, τις εισβολές.<br />
Πλήρης και ολοκληρωμένη ασφάλεια του δικτύου κάνοντας<br />
χρήση μίας και μόνο Cyberoam συσκευής ασφαλείας<br />
(UTM, NGFW). Το 8ο layer ή το «ανθρώπινο layer» είναι<br />
ενσωματωμένο σε όλες τις διακριτές υπομονάδες του. Δίνει<br />
τη μέγιστη ευκολία στο διαχειριστή να κάνει όλες τις παραμετροποιήσεις<br />
και την διαχείριση των πολιτικών ασφαλείας<br />
στο σύνολό τους, συνοψίζοντάς τες πάνω σε μια και μόνο<br />
γραφική σελίδα διαχείρισης του firewall. Το Layer 8 συνδυάζεται<br />
με όλα τα χαρακτηριστικά ασφαλείας δημιουργώντας<br />
μια μοναδική, ενοποιημένη συσκευή ασφαλείας και επιτρέπει<br />
στον διαχειριστή να αλλάζει δυναμικά τις πολιτικές ασφάλειας,<br />
ενώ παράλληλα το σύστημα καταγράφει αναλυτικά όλες<br />
τις κινήσεις ανά χρήστη: συνδέσεις, αποσυνδέσεις, αλλαγές<br />
επιπέδων ιεραρχίας και πρόσβασης, κ.λπ.<br />
Ταχύτητα στην ασφάλεια. Λόγω της έλλειψης διαβαθμισμένου<br />
ελέγχου εφαρμογών με βάση την ταυτότητα του χρήστη,<br />
οι ομάδες ΙΤ συχνά σπαταλούν πολύτιμο χρόνο για να<br />
βρουν την πηγή των επιθέσεων κατά τη διάρκεια ενός περιστατικού<br />
ασφάλειας. Με το layer 8 δίνεται η δυνατότητα<br />
στους διαχειριστές να έχουν άμεση ορατότητα στις πηγές<br />
των επιθέσεων και να αναγνωρίσουν τα θύματα/θύτες των<br />
επιθέσεων μέσω του username που είναι θύμα/θύτης, το ο-<br />
ποίο επιτρέπει την προληπτική/δυναμική αποκατάσταση των<br />
42 | security
περιστατικών ασφαλείας.<br />
Ασφάλεια σε Wi-Fi περιβάλλον. Το Layer 8 διασφαλίζει την<br />
ασφάλεια στον οργανισμό και σε δυναμικό περιβάλλον Wi-<br />
Fi, όπου δεν εντοπίζονται εύκολα οι χρήστες, μόνο με την<br />
IP διεύθυνσή τους. Προσφέρει ισχυρή ταυτότητα χρήστη, ε-<br />
λέγχει την πρόσβαση στο διαδίκτυο, δίνει αναφορές με βάση<br />
την ταυτότητα και προσφέρει ξεχωριστή πρόσβαση στο<br />
δίκτυο σε επισκέπτες και εργαζόμενους.<br />
Αύξηση παραγωγικότητας. Η Cyberoam έχει δημιουργήσει<br />
ένα σύστημα με το οποίο φιλτράρει το περιεχόμενο και τις<br />
εφαρμογές, το οποίο διαχειρίζεται αναλυτικά το σερφάρισμα<br />
στο διαδίκτυο ρυθμίζοντας πολιτικές για χρήστες και ομάδες,<br />
δίνοντας τη δυνατότητα στον διαχειριστή να ορίσει περιορισμούς<br />
πρόσβασης βασισμένους σε προκαθορισμένες<br />
ιστοσελίδες κατηγοριοποιημένες σε 82+ ομάδες αλλά και<br />
συνδυαστικά βάσει της συνολικής διάρκειας χρόνου σερφαρίσματος<br />
ανά χρήστη και ανά σελίδα (π.χ. επιτρέπεται 1 ώρα<br />
Facebook ανά χρήστη, ανά ημέρα, ανεξαρτήτως ωραρίου)<br />
Bandwidth control QOS. Η διαχείριση του bandwidth α-<br />
νά χρήστη, ανά ώρα και ανά ρόλο αποτρέπει τους χρήστες<br />
από το να καταναλώνουν τεράστιες ποσότητες bandwidth<br />
για μη παραγωγικό surfing και downloads. Οι άμεσοι έλεγχοι<br />
άμεσων μηνυμάτων (ΙΜ) επιτρέπουν στους διαχειριστές να<br />
ρυθμίζουν ποιός μπορεί να συνομιλήσει με ποιόν χρησιμοποιώντας<br />
text chat, webcam, file transfer.<br />
Ενσωματωμένη καταγραφή και αναφορά. Το Cyberoam<br />
iView εμπεριέχεται σε όλα τα appliances και μέσω του Layer<br />
8 identity-based συστήματος αναφοράς, εντοπίζει την ακριβή<br />
δραστηριότητα για κάθε χρήστη στο δίκτυο. Το ταμπλό<br />
του δείχνει όλες τις επιθέσεις του δικτύου σε μία μόνο οθόνη<br />
με αναλυτικές δυναμικές αναφορές πολλαπλών επιπέδων<br />
(1200+ αναφορές) για την διερεύνηση της συμπεριφοράς<br />
των χρηστών και των επιθέσεων πίσω από αυτές.<br />
Multilink Μanagement Loadbalancer, πολλαπλές γραμμές<br />
Internet. Όλα τα συστήματα της Cyberoam υποστηρίζουν<br />
τη σύνδεση δυνητικά απεριόριστων γραμμών Internet (4096<br />
WANs), τις οποίες μπορεί να διαχειριστεί μέσω του ενσωματωμένου<br />
Loadbalancer και παράλληλα με πολλαπλές διαφορετικές<br />
πολιτικές δρομολόγησης ανά χρήστη, ομάδα<br />
χρηστών, εφαρμογές, πρωτόκολλου, ώρα της ημέρας. Ακόμα,<br />
και από backup 3G/4G γραμμές που δέχεται μέσω του<br />
USB Host που έχει ενσωματωμένο.<br />
CCNSP Training από PartnerNET -<br />
Παγκοσμίως αναγνωρισμένη εκπαίδευση<br />
πάνω στην ασφάλεια δικτύων<br />
Με απόλυτη επιτυχία ολοκληρώθηκε η διήμερη εκπαίδευση<br />
CCNSP(Cyberoam Certified Network & <strong>Security</strong><br />
<strong>Professional</strong>) που διοργανώθηκε στις 13 & 14 Φεβρουαρίου<br />
στην Αθήνα από την PartnerNET. Η εταιρεία στα πλαίσια της<br />
διαρκούς εκπαίδευσης και ενίσχυσης του δικτύου συνεργατών<br />
της, οργάνωσε σε συνεργασία με τη Cyberoam την 4η<br />
κατά σειρά εκπαίδευση πάνω στην ασφάλεια δικτύων σε κεντρικό<br />
ξενοδοχείο της Αθήνας. Μέσα σε 2 ημέρες οι συμμετέχοντες<br />
απέκτησαν πρακτικές γνώσεις πάνω στο identitybased<br />
network security και εργάστηκαν με πραγματικά παραδείγματα<br />
διαμόρφωσης των συσκευών, οι οποίες χρησιμοποιούν<br />
τα πιο κοινά χαρακτηριστικά που εφαρμόζονται σε<br />
επιχειρήσεις όλων των μεγεθών. Τα παγκοσμίως βραβευμένα<br />
UTMs της Cyberoam προσφέρουν layer 8 security και περιλαμβάνουν:<br />
Firewall, VPN, Bandwidth Management, Load<br />
Balancing, Reporting, Gateway Antivirus, Gateway Antispam,<br />
Web - Application Filtering, IPS και άλλα.<br />
Η εκπαίδευση πραγματοποιήθηκε στην ελληνική γλώσσα από<br />
τον πιστοποιημένο Cyberoam εκπαιδευτή Κωνσταντίνο Κωνσταντόπουλο,<br />
μέλος της τεχνικής ομάδας της PartnerNET.<br />
Παρών ήταν και ο Angelo Gentili, Business Development<br />
Manager της PartnerNET, ο οποίος μίλησε για την παρουσία<br />
της Cyberoam στην Ελλάδα και παρουσίασε τα σενάρια χρήσης<br />
των προϊόντων. Στο τέλος της δεύτερης ημέρας πραγματοποιήθηκαν<br />
online εξετάσεις για την απόκτηση πιστοποίησης<br />
όπου για πρώτη φορά στην Ελλάδα υπήρξε 100%<br />
επιτυχία. Οι συμμετέχοντες εκτός από την έγγραφη πιστοποίηση<br />
και την τιμητική πλακέτα από τη Cyberoam, έλαβαν<br />
και μια σειρά προνομίων που περιλαμβάνουν τη δωρεάν α-<br />
ποκλειστική πρόσβαση στη βάση γνώσεων της Cyberoam<br />
σχεδιασμένη για πιστοποιημένους επαγγελματίες και ένα<br />
virtual appliance. Οι συμμετέχοντες στις Cyberoam εκπαιδεύσεις<br />
μπορούν να στοχεύσουν σε 3 τεχνικές πιστοποιήσεις:<br />
CCNSP, CCNSE και CCT. Η εταιρεία ανακοίνωσε ότι<br />
θα πραγματοποιήσει εκπαίδευση CCNSE, το δεύτερο επίπεδο<br />
πιστοποίησης, στα τέλη Απριλίου. iT<strong>Security</strong><br />
security | 43