31.08.2015 Views

IT Professional Security - ΤΕΥΧΟΣ 40

Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.

Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.

SHOW MORE
SHOW LESS

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

www.itsecuritypro.gr Μάρτιος - Απρίλιος 2015 • Τεύχος 40 • Τιμή 5€

GRC

Η αποτελεσματική

υλοποίηση

της διεργασίας

• Cyber Insurance ως εργαλείο

Διαχείρισης Κινδύνου

• Internet of Everything for Defense

ΟΤΕ Information Security

Ολοκληρωμένες υπηρεσίες ασφάλειας πληροφοριών

στη διάθεση της INTERAMERICAN


Customer

Facing

Click-stream data

Shopping cart data

Online transaction data

Outside

the network

SCADA

CDRs & IPDRs

Power consumption

RFID data

GPS data

Windows

Registry

Event logs

File system

Sysinternals

Virtualization

Hypervisor

Guest OS

Apps

Cloud

Linux/Unix

Syslog

File system

PS, iostat, top

Database

Audit/query

Logs

Tables

Schemas

Applications

Weblogs

Log4J, JMS, JMX

.NET events

Code and Scripts

SAP

Network

syslog

SNMP

Value Added Distributor

Affordable Cutting Edge

https://www.nss.gr


T4003/04.2015

Editorial

Η αξία μιας νέας οπτικής

Ένα ακόμα Infocom Security, το 5 ο κατά σειρά, μόλις ο-

λοκληρώθηκε και το συναίσθημα που κυριαρχεί σε όλους

μας στην οργανωτική επιτροπή, είναι μια βαθιά ικανοποίηση

από το θετικό αποτέλεσμα σε όλους τους τομείς. Η συνεχώς

ανοδική πορεία του συνεδρίου, αποτυπώθηκε για α-

κόμα μια χρονιά κυρίως από την πολύ μεγάλη προσέλευση

των συνέδρων, που φέτος ξεπέρασε κάθε προσδοκία, ενώ

και το ενδιαφέρον του κόσμου που μας έκανε την τιμή να

παρακολουθήσει τις περισσότερες των παρουσιάσεων, ή-

ταν ιδιαίτερα μεγάλο. Θα πρέπει φυσικά να σταθούμε και

στην πολύτιμη υποστήριξη των χορηγών εταιριών, που στη

φετινή διοργάνωση υπήρξε μεγαλύτερη από κάθε άλλη φορά,

αποδεικνύοντας την εμπιστοσύνη που δείχνει η αγορά

της ασφάλειας πληροφοριών στο συγκεκριμένο event και

γενικότερα στις δραστηριότητες της Smart Press και του

IT Security Professional. Μπορείτε να διαβάσετε περισσότερες

αναφορές και να δείτε φωτογραφικό υλικό από το

συνέδριο στο αναλυτικό ρεπορτάζ που υπάρχει στις σελίδες

του παρόντος τεύχους αλλά και στην ιστοσελίδα του συνεδρίου

www.infocomsecurity.gr.

Έχει όμως ιδιαίτερη αξία να σταθούμε σε ένα ποιοτικό χαρακτηριστικό

και της φετινής διοργάνωσης του Infocom

Security που αφορά τη συμμετοχή και το μεγάλο ενδιαφέρον

που δείχνουν για το χώρο της ασφάλειας πληροφοριών, αρκετοί

νέοι άνθρωποι, είτε βρίσκονται σε ακαδημαϊκό στάδιο,

σπουδάζοντας σε κάποια σχολή με ευρύτερο αντικείμενο την

πληροφορική, είτε είναι στο στάδιο αναζήτησης κάποιας ε-

παγγελματικής ευκαιρίας στο χώρο, είτε εργάζονται ήδη σε

κάποια εταιρία ή οργανισμό που προσφέρει ανάλογες υπηρεσίες,

είτε αποτελούν μέλη τμημάτων πληροφορικής και

ειδικότερα ασφάλειας σε κάποιο οργανισμό ή επιχείρηση.

Επιχειρώντας να ερμηνεύσουμε και να αναλύσουμε το συγκεκριμένο

στοιχείο, όχι επιφανειακά ή με καθαρά εμπορική

προσέγγιση, αλλά ουσιαστικά και μακροπρόθεσμα, μόνο

θετικά στοιχεία μπορούμε να βρούμε. Οι νέοι που σήμερα

δείχνουν αυτό το ενδιαφέρον για το τομέα της ασφάλειας

πληροφοριών, μπορούν πολύ σύντομα με τις ιδέες τους και

την φρεσκάδα των αντιλήψεων να προσφέρουν μια νέα ο-

πτική στον ευαίσθητο αυτό χώρο ως στελέχη εταιριών που

προσφέρουν υπηρεσίες και πολύ πιθανόν να αποτελέσουν

τους αυριανούς “decision maker” μέσα σε μεγάλους οργανισμούς

όπου θα καθορίζουν στρατηγικές και θα λαμβάνουν

μέρος σε σημαντικής αποφάσεις. Σε ένα τομέα όπου

οι εξελίξεις τρέχουν με ταχύτατους ρυθμούς η συνεισφορά

νέων στελεχών μπορεί να δώσει αναμφισβήτητα μια ώθηση

προς την ανάπτυξη, τη δημιουργικότητα και την ενίσχυση

παραγωγικότητας.

Βλάσης Αμανατίδης

Εκδότης

Κώστας Νόστης

Σύμβουλος Έκδοσης

Νίκη Πανδή

Αρχισυντάκτης

Βλάσης Αμανατίδης

va.editor@smartpress.gr

Συνεργάτες

Σήφης Ανδρουλιδάκης

Μίνα Ζούλοβιτς

Νότης Ηλιόπουλος

Αριστοτέλης Λυμπερόπουλος

Δημήτρης Παπίτσης

Αλέξανδρος Σουλαχάκης

Παναγιώτα Τσώνη

Διεύθυνση Διαφήμισης

Νίκος Σαράφογλου

ns.sales@smartpress.gr

DTP

Δημήτρης Τσούτσας

Διεύθυνση Events

Δημήτρης Μάσσας

Διεύθυνση Marketing

Ειρήνη Νόστη

Υπεύθυνος Ηλεκτρονικών

Μέσων

Φάνης Ζερβάκης

Υπεύθυνη Social Media

Δήμητρα Κατερέλου

Γραμματεία Εμπορικού

Έλλη Μαστρομανώλη

Φωτογράφος

Αλέξανδρος Γρυμάνης

Λογιστήριο

Ανδρέας Λουλάκης

Consulting by

SPEG

τηλ.: 2105238777,

www.speg.gr, info@speg.gr

Ιδιοκτήτης

Smart Press

Μάγερ 11, 10438, Αθήνα

Τηλ.: 210 5201500, 210

5230000, Fax: 210 5241900

Τμήμα συνδρομών

support@securitymanager.gr

www.smartpress.gr

www.itsecuritypro.gr

www.securitymanager.gr

info@securitymanager.gr

support@securitymanager.gr

ΚΩΔΙΚΟΣ 01-8267

security

1


T4003/04.2015

Contents

10 30 32

1 | Editorial

4 | News

10 | Interview

10 | Η ιδιωτικότητα είναι θέμα

δικαιωμάτων άλλα και

οικονομικής ανάπτυξης

Συνέντευξη με τον Ηλία Χάντζο

- Ανώτερος Διευθυντής,

Κυβερνητικές Σχέσεις,

Προστασία Κρίσιμων Υποδομών

και Ιδιωτικότητας στην περιοχή

EMEA, Symantec

12 | Cover Issue

12 | GRC

Η αποτελεσματική υλοποίηση

της διεργασίας

16 | Issue

16 | Ασφάλεια εφαρμογών και ERP

στον κόσμο του GRC

19 | Μεγαλύτερη ευελιξία στην

υλοποίηση λύσεων ασφαλείας

σε virtualized υποδομές

20 | ΟΤΕ Information Security

Ολοκληρωμένες υπηρεσίες

ασφάλειας πληροφοριών στη

διάθεση της INTERAMERICAN

22 | Internet of Everything

for Defense

25 | ESET

Τα 5 βήματα που πρέπει να

ακολουθήσει μία εταιρεία που

έχει πέσει θύμα κυβερνοεπίθεσης

26 | Η Αξιοπιστία σύνδεσης

στο Διαδίκτυο ως πυλώνας

παραγωγικότητας

των επιχειρήσεων

28 | Πόσο ασφαλές είναι το VoIP;

30 | Αντιμετωπίζοντας το άγνωστο

32 | Cyber Insurance ως εργαλείο

Διαχείρισης Κινδύνου

Business IT

1 | 5 o Infocom Security

Mind the Risk. Be Proactive!

2 security


McAfee Advanced

Threat Defense

Προηγμένη Ανίχνευση

«κρυφών» απειλών

και zero-day malware

Η λύση Advanced Threat Defense της Intel Security εντοπίζει τις σύγχρονες «κρυφές» απειλές και τα zero-day malware με μια πρωτοποριακή

πολυεπίπεδη προσέγγιση. Η λύση αυτή, συνδυάζει μεθόδους προστασίας, βασισμένες σε υπογραφές antivirus, στη φήμη αρχείων και λογισμικού καθώς

και real-time εξομοίωση με λεπτομερή δυναμική ανάλυση στατικού κώδικα και malware (sandboxing), προκειμένου να αναλυθεί σε βάθος η πραγματική

συμπεριφορά των κακόβουλων αρχείων. Ο συνδυασμός αυτός παρέχει την πλέον ισχυρή και προηγμένη τεχνολογία anti-malware εξισορροπώντας

αποτελεσματικά την απαίτηση για ασφάλεια και υψηλή απόδοση.

Η προσθήκη της λύσης Advanced Threat Defense στα προϊόντα της Intel Security, έρχεται να καλύψει τρεις πολύ βασικές

απαιτήσεις κλειδιά για την επίλυση των προβλημάτων ασφαλείας που σχετίζονται με τα εξελιγμένα malware. Συγκεκριμένα,

η λύση εντοπίζει τα πλέον εξελιγμένα malware και σε συνδυασμό με τις λύσεις network security του ίδιου κατασκευαστή

«παγώνει» κάθε ενδεχόμενη επέκταση της απειλής, ενώ ταυτόχρονα η λύση McAfee Real Time ξεκινά τη διαδικασία διόρθωσης

και τις ενέργειες αποκατάστασης.

Εξασφαλίζοντας ανίχνευση απειλών με την μεγαλύτερη ακρίβεια

Με τη λύση McAfee Advanced Threat Defense μπορείτε να μειώσετε σε πολύ μεγάλο βαθμό κάθε πιθανότητα αποτυχίας εντοπισμού malware ή των false

positives. Η λύση αξιοποιεί προηγμένο στατικό κώδικα και δυναμική ανάλυση (sandboxing) προκειμένου να προσφέρει την πλέον λεπτομερή αξιολόγηση

και κατηγοριοποίηση των απειλών και των κακόβουλων αρχείων με τη μεγαλύτερη δυνατή ακρίβεια.

Ανταπόκριση στις απειλές ακόμα πιο γρήγορα

Η λύση McAfee Advanced Threat Defense προσφέρει ταχύτατη και απρόσκοπτη ανάλυση των εξελιγμένων malware μέσα από

μια αποτελεσματική προσέγγιση που συνδυάζει τη χρήση τεχνικών ανίχνευσης με βάση τις υπογραφές, τη φήμη αρχείων και realtime

εξομοίωση. Με αυτό τον τρόπο επιτυγχάνεται ο εντοπισμός ενός πολύ μεγάλου αριθμού κακόβουλων αρχείων, παράγοντας

άμεσα τα αποτελέσματα και μειώνοντας σημαντικά τον αριθμό των αρχείων που απαιτούν μια πιο εμπεριστατωμένη ανάλυση.

Ελαχιστοποίηση του λειτουργικού κόστους

Η κεντροποιημένη ανάπτυξη της λύσης επιτρέπει σε πολλαπλές δικτυακές συσκευές της Intel Security να διαμοιράζονται την ίδια συσκευή ανάλυσης

malware, μειώνοντας έτσι αισθητά τον αριθμό των απαιτούμενων συσκευών, απλοποιώντας το έργο των διαχειριστών και επιτυγχάνοντας με οικονομικά

αποδοτικό τρόπο την κλιμάκωση της ασφάλειας σε ολόκληρο το δίκτυο. Η λύση McAfee Advanced Threat Defense αναβαθμίζει τις ήδη υπάρχουσες

εγκατεστημένες υποδομές ασφαλείας της Intel Security, μειώνοντας την απαίτηση για επανασχεδιασμό της αρχιτεκτονικής του δικτύου, ελαχιστοποιώντας

τα λειτουργικά κόστη.

Για περισσότερες πληροφορίες παρακαλώ επικοινωνήστε με την ITWAY Hellas (εξουσιοδοτημένος διανομέας):

Τηλέφωνο: 210-6801013 - E-mail: mcafee@itway.gr


T4003/04.2015

News

Η Arbor Networks καταγράφει τη μεγαλύτερη επίθεση DDoS όλων των εποχών

στην Έκθεση DDoS για το 1ο τρίμηνο του 2015

παρυφές του δικτύου τους με σκοπό τον αποκλεισμό κίνησης

με “πλαστογραφημένη” (παραπλανητική) διεύθυνση IP.

Επιπλέον, στο Διαδίκτυο υπάρχει πληθώρα συσκευών που

χαρακτηρίζονται από ανεπαρκή ρύθμιση παραμέτρων και

από ελλειμματική προστασία, οι οποίες παρέχουν υπηρεσίες

UDP προσφέροντας ένα συντελεστή ενίσχυσης μεταξύ

ενός query που αποστέλλεται σε αυτές και της απάντησης

που παράγεται.

Η Arbor Networks, Inc. κορυφαίος προμηθευτής λύσεων

DDoS και προηγμένης προστασίας έναντι απειλών για ε-

ταιρικά δίκτυα και δίκτυα παρόχων υπηρεσιών, δημοσίευσε

τα στοιχεία επιθέσεων DDoS σε παγκόσμια κλίμακα για

το 1ο τρίμηνο του 2015 τα οποία καταδεικνύουν μια συνεχή

ροή επιθέσεων εξαιρετικά μεγάλου όγκου. Ανάμεσα σε αυτές

συμπεριλαμβάνεται η μεγαλύτερη επίθεση που κατέγραψε

ποτέ το σύστημα συλλογής πληροφοριών για απειλές

ATLAS της Arbor, μια επίθεση τάξης μεγέθους 334 Gbps

με στόχο έναν πάροχο υπηρεσιών διαδικτύου στην Ασία. Κατά

το 1ο τρίμηνο του 2015, εκδηλώθηκαν 25 επιθέσεις μεγέθους

μεγαλύτερου από 100 Gbps σε παγκόσμιο επίπεδο.

Το περασμένο έτος, η Arbor τεκμηρίωσε μια δραματική αύξηση

στο μέγεθος των επιθέσεων DDoS. Η πλειονότητα των

πρόσφατων πολύ μεγάλων επιθέσεων εκμεταλλεύεται την

τεχνική ενίσχυσης της ανάκλασης η οποία χρησιμοποιεί το

Network Time Protocol (NTP), το Simple Service Discovery

Protocol (SSDP) και τους διακομιστές DNS, με ένα μεγάλο

αριθμό σημαντικών επιθέσεων να ανιχνεύεται παντού σε ο-

λόκληρο τον κόσμο.

Η ενίσχυση ανάκλασης είναι μια τεχνική η οποία επιτρέπει

στον εκάστοτε επιτιθέμενο ταυτόχρονα να μεγεθύνει την ποσότητα

της κίνησης που έχει τη δυνατότητα να παράγει αλλά

και να αποκρύψει τις αρχικές πηγές της εν λόγω απειλητικής

κίνησης. Η συγκεκριμένη τεχνική βασίζεται σε δύο ατυχείς

πραγματικότητες: Αρχικά, ακόμη και τώρα ένας μεγάλος α-

ριθμός παρόχων υπηρεσιών δεν χρησιμοποιούν φίλτρα στις

Τα δεδομένα της Arbor συλλέγονται μέσω του συστήματος

ATLAS, το οποίο είναι προϊόν συνεργασίας περισσότερων α-

πό 330 πελατών - παρόχων υπηρεσιών, που μοιράζονται δεδομένα

ανώνυμης κίνησης με την Arbor, έχοντας ως στόχο

να προσφέρουν μια συνολική, αθροιστική εικόνα της κίνησης

και των απειλών σε παγκόσμια κλίμακα. Η ATLAS συλλέγει

στατιστικά στοιχεία τα οποία αντιπροσωπεύουν 120 Tbps Διαδικτυακής

κίνησης και παρέχει τα δεδομένα για την κατάρτιση

του Χάρτη Ψηφιακών Επιθέσεων, Το τελευταίο οπτικοποιεί

την παγκόσμια απειλητική κίνηση και δημιουργήθηκε

σε συνεργασία με την υπηρεσία Google Ideas.

Άλλα αξιοσημείωτα στατιστικά στοιχεία αναφορικά με τις ε-

πιθέσεις DDoS που σημειώθηκαν το 1ο τρίμηνο του 2015:

• Οι επιθέσεις ανάκλασης SSDP αυξάνονται γεωμετρικά από

χρόνο σε χρόνο αποτελώντας ένα εξαιρετικό παράδειγμα

του τρόπου με τον οποίο οι επιτιθέμενοι αλλάζουν διαρκώς

τις τεχνικές που χρησιμοποιούν: Το 1ο τρίμηνο του 2015

καταγράφηκαν 126.000 επιθέσεις τέτοιου τύπου ενώ το 1ο

τρίμηνο του 2014 μόλις τρείς.

• Οι επιθέσεις είναι μικρότερης διάρκειας αλλά έχουν τη

δυνατότητα να επιφέρουν ισχυρότατο πλήγμα: Η πλειονότητα

των επιθέσεων είναι βραχύβιες, περίπου 90% αυτών

διαρκούν λιγότερο από 1 ώρα

«Επιθέσεις, μεγέθους σημαντικά μεγαλύτερου από το επίπεδο

των 200Gbps, μπορεί να αποδειχθούν εξαιρετικά επικίνδυνες

για τους παρόχους δικτυακών υπηρεσιών και σίγουρα

μπορούν να προκαλέσουν παράπλευρες ζημίες στα

δίκτυα παρόχων υπηρεσιών, υπηρεσιών φιλοξενίας Cloud

και εταιρικών δικτύων», δήλωσε ο Darren Anstee, Director,

Solutions Architects της Arbor Networks.

4 security


Information

Security by

Σχεδιασμός

Πρόληψη

Παρακολούθηση

Ίαση

NetBull LTD, Λ. Ελευθερίου Βενιζέλου 16, 17676, Καλλιθέα,

Τηλ: +30 210 9203400 - 300, Fax:+30 210 9203490 - www.netbull.gr


T4003/04.2015

News

Kaspersky Lab

Κοινός ο κίνδυνος των επιθέσεων DDoS

Σύμφωνα με έρευνα της B2B International και της

Kaspersky Lab, το 32% των Ευρωπαϊκών επιχειρήσεων

που παρέχουν online υπηρεσίες (π.χ. ηλεκτρονικά καταστήματα

και διαδικτυακά μέσα μαζικής ενημέρωσης), έπεσε

θύμα επιθέσεων DDoS (Distributed Denial of Service) μέσα

στους τελευταίους 12 μήνες. Αυτό αποδεικνύει ότι οι επιθέσεις

DDoS αποτελούν κοινά κι όχι μεμονωμένα περιστατικά

για τις online επιχειρήσεις. Γι’ αυτό το λόγο, οι επιχειρήσεις

καλούνται να λάβουν μέτρα για την προστασία τους από αυτές

τις απειλές, ώστε να διασφαλίσουν την απρόσκοπτη συνέχεια

των δραστηριοτήτων τους.

Οι επιθέσεις DDoS έχουν ως στόχο να εμποδίσουν την πρόσβαση

σε ηλεκτρονικούς πόρους, υπερφορτώνοντας τους με

«ανεπιθύμητα» αιτήματα. Σήμερα, οι επιθέσεις DDoS είναι

εύκολες και φτηνές και μπορεί να τις ξεκινήσει οποιοσδήποτε.

Το κόστος είναι χαμηλό και με μια απλή αναζήτηση, ο καθένας

μπορεί να βρει κάποιον να «κάνει τη δουλειά» γι’ αυτόν.

Επιπλέον, η χρήση ηλεκτρονικών/εικονικών νομισμάτων

μπορεί να συμβάλλει στην απόκρυψη της ταυτότητας όσων

εξαπολύουν ή παραγγέλνουν αυτές οι επιθέσεις. Η ευκολία

διενέργειας αυτών των επιθέσεων σημαίνει ότι κάθε εταιρεία

με εχθρούς ή αντιπάλους βρίσκεται σε κίνδυνο.

Ωστόσο, η έρευνα δείχνει ότι οι επιχειρήσεις στον τομέα της

Πληροφορικής υποφέρουν περισσότερο από τις επιθέσεις

DDoS. Παγκοσμίως, το 49% των εκπροσώπων του κλάδου

της Πληροφορικής ανέφερε ότι έχει αντιμετωπίσει τουλάχιστον

μία επίθεση DDoS κατά το τελευταίο έτος. Ψηλά στην

κατάταξη βρίσκονται και άλλες επιχειρήσεις που στηρίζονται

στην παροχή online υπηρεσιών, όπως εταιρείες ηλεκτρονικού

εμπορίου (44%), τηλεπικοινωνιακοί οργανισμοί (44%)

και μέσα μαζικής ενημέρωσης (42%). Οι χρηματοοικονομικές

επιχειρήσεις βρίσκονται επίσης μεταξύ των οργανισμών

που δέχονται πιο συχνά επιθέσεις DDoS (39%).

Οι συνέπειες των επιθέσεων DDoS εξαρτώνται από τον τύπο

και τη διάρκειά τους, καθώς και από τον τομέα της δραστηριότητας

και τα χαρακτηριστικά της επιχείρησης-στόχου. Η

έρευνα έδειξε ότι το 13% των επιθέσεων σε παγκόσμιο επίπεδο

καθιστά τους ιστότοπους-στόχους εντελώς απρόσιτους.

Την ίδια μοίρα έχουν τις περισσότερες φορές και τα sites των

μέσων μαζικής ενημέρωσης, με το 32% να αναφέρει ότι οι

διαδικτυακοί τους πόροι είχαν εντελώς απενεργοποιηθεί

λόγω μιας επίθεσης DDoS. Αλλά ακόμη και αν οι επιτιθέμενοι

απέτυχαν να εμποδίσουν εντελώς την πρόσβαση των

χρηστών στους πόρους μιας επιχείρησης, η μερική αδυναμία

πρόσβασης αποτελεί επίσης ένα σοβαρό πρόβλημα. Για

παράδειγμα, το 29% των ερωτηθέντων ανέφερε ότι οι ίδιοι

ή οι χρήστες τους είχαν αντιμετωπίσει προβλήματα κατά τη

διεξαγωγή ηλεκτρονικών συναλλαγών ως αποτέλεσμα μιας

επίθεσης DDoS. Το πρόβλημα αυτό είναι ιδιαίτερα σημαντικό

για τις επιχειρήσεις που δραστηριοποιούνται στον τομέα

των τηλεπικοινωνιών και των logistics, καθώς αναφέρθηκε

από το 49% και το 45% αντίστοιχα.

«Το να «πέσει» ένα site ή να μπλοκαριστεί μια συναλλαγή

είναι μόνο η κορυφή του παγόβουνου. Μια επίθεση DDoS

μπορεί να οδηγήσει σε ζημίες στη φήμη μιας εταιρείας ή σε

νομικές διεκδικήσεις εναντίον της. Για να διασφαλιστεί η α-

πρόσκοπτη πρόσβαση των πελατών στις online υπηρεσίες,

οι επιχειρήσεις πρέπει να σκεφτούν έγκαιρα το ζήτημα της

κατάλληλης προστασίας τους από επιθέσεις DDoS», δήλωσε

ο Eugene Vigovsky, Επικεφαλής του Kaspersky DDoS

Protection της Kaspersky Lab.

Οι προηγμένες τεχνολογίες της Kaspersky Lab για την προστασία

από επιθέσεις DDoS είναι ενσωματωμένες στη λύση

Kaspersky DDoS Protection. Αν μια επίθεση DDoS εντοπιστεί

από έναν ειδικό αισθητήρα, το σύνολο της κίνησης που

αποστέλλεται στον client ανακατευθύνεται σε ειδικό εξοπλισμό

της Kaspersky Lab, όπου τα «ανεπιθύμητα» αιτήματα

φιλτράρονται από εξελιγμένους και εξατομικευμένους

αλγόριθμους.

6 security


T4003/04.2015

News

Νέες Τακτικές Παραπλάνησης

Προσφέρουν στους Προηγμένους Επιτιθέμενους Ελευθερία Κινήσεων στα Εταιρικά Δίκτυα

Στον σημερινό υπερσυνδεδεμένο κόσμο, δεν τίθεται πλέον

το ερώτημα αν θα δεχτούμε επίθεση - αλλά πότε. Η έκθεση

της Symantec, Internet Security Threat Report (ISTR),

Volume 20, παρουσιάζει μία αλλαγή τακτικής στη συμπεριφορά

των κυβερνοεγκληματιών: διεισδύουν στα δίκτυα και

αποφεύγουν τον εντοπισμό μέσω της παραβίασης της υποδομής

μεγάλων οργανισμών και της χρήσης της υποδομής

αυτής προς όφελος τους.

«Οι επιτιθέμενοι δεν χρειάζεται να εισβάλουν σε ένα εταιρικό

δίκτυο “ρίχνοντας την πόρτα” όταν τα κλειδιά είναι ή-

δη διαθέσιμα προς χρήση” είπε ο κ. Χρήστος Βεντούρης,

Information Security Specialist Νοτιοανατολικής Ευρώπης

για τη Symantec. “Βλέπουμε τους επιτιθέμενους να ξεγελούν

τις εταιρείες, αφού καταφέρνουν να μολυνθούν μόνες

τους από λογισμικό αναβάθμισης κοινών προγραμμάτων

που περιέχουν Τrojan, αναμένοντας υπομονετικά τους στόχους

τους και κάνουν download το συγκεκριμένο αρχείο, το

οποίο εντέλει τους παρέχει απεριόριστη πρόσβαση στο ε-

ταιρικό δίκτυο».

Οι επιτιθέμενοι Επιτυγχάνουν με Ταχύτητα και Ακρίβεια

Σύμφωνα με την έκθεση της Symantec ήταν μία χρονιά ρεκόρ

για τις zero-day ευπάθειες. Η έκθεση αναφέρει επίσης

ότι οι εταιρείες λογισμικού χρειάστηκαν 59 μέρες κατά μέσο

όρο για να δημιουργήσουν και να θέσουν σε κυκλοφορία

patches - μεγάλη άνοδο από τις τέσσερις μέρες που ήταν ο

μέσος όρος το 2013. Οι επιτιθέμενοι εκμεταλλεύτηκαν αυτήν

την καθυστέρηση και στην περίπτωση του Heartbleed, εκμεταλλεύτηκαν

την ευπάθεια εντός τεσσάρων ωρών. Υπήρξαν

24 συνολικά zero-day ευπάθειες που ανακαλύφθηκαν

το 2014, αφήνοντας ανοιχτό το πεδίο για τους επιτιθέμενους

να εκμεταλλευτούν γνωστά κενά ασφαλείας πριν δημιουργηθούν

τα αντίστοιχα patches.

Εντωμεταξύ, οι πιο προηγμένοι επιτιθέμενοι συνεχίζουν να

παραβιάζουν δίκτυα με υψηλού επιπέδου spear-phishing ε-

πιθέσεις, οι οποίες αυξήθηκαν κατά 8% το 2014. Το στοιχείο

που είναι ιδιαίτερα ενδιαφέρον είναι η ακρίβεια αυτών των

επιθέσεων, οι οποίες χρησιμοποίησαν 20% λιγότερα email

για να διεισδύσουν με επιτυχία στους οργανισμούς - στόχους

και να ενσωματώσουν περισσότερα drive-by malware

downloads και άλλα web-based exploits.

Επιπρόσθετα, η Symantec παρατήρησε τους επιτιθέμενους:

• Να χρησιμοποιούν κλεμμένους λογαριασμούς email από

ένα θύμα - εταιρεία για να βρουν νέα θύματα υψηλότερα

στην αλυσίδα

• Να εκμεταλλεύονται τα εργαλεία διαχείρισης και τις διαδικασίες

των εταιρειών για να μετακινήσουν κλεμμένα δεδομενα

πνευματικης ιδιοκτησιας εντός του εταιρικού δικτύου

πριν την έξοδο τους από αυτό

• Να δημιουργούν προσαρμοσμένο λογισμικό επίθεσης ε-

ντός του δικτύου των θυμάτων τους για να καλύψουν περαιτέρω

τις δραστηριότητες τους.

Ψηφιακός Εκβιασμός σε Άνθηση

Το email παραμένει ένας σημαντικός φορέας των επιθέσεων

των κυβερνοεγκληματιών, αλλά συνεχίζουν να πειραματίζονται

με νέες μεθόδους επίθεσης σε φορητές συσκευές και

κοινωνικά δίκτυα, με στόχο να έχουν πρόσβαση σε περισσότερα

άτομα με μικρότερη προσπάθεια.

«Οι κυβερνοεγκληματίες είναι κατά βάση τεμπέληδες. Προτιμούν

τα αυτοματοποιημένα εργαλεία και τη συμβολή των α-

δέξιων καταναλωτών να κάνουν την “δύσκολη” δουλειά” είπε

ο κ. Χρήστος Βεντούρης, Information Security Specialist

Νοτιοανατολικής Ευρώπης για τη Symantec. “Πέρσι, το 70%

των περιστατικών απάτης που διενεργήθηκαν στα κοινωνικά

δίκτυα διοχετεύθηκαν χειροκίνητα, καθώς οι επιτιθέμενοι

εκμεταλλεύτηκαν την προθυμία των χρηστών να εμπιστεύονται

περιεχόμενο που μοιράζουν οι φίλοι τους».

8 security


Cisco Meraki

Η «μαγική» λύση της Cisco για τη διαχείριση του δικτύου

H Cisco δίνει τη δυνατότητα στις επιχειρήσεις να επιταχύνουν

την ψηφιακή τους εξέλιξη και να βελτιστοποιήσουν το μοντέλο

λειτουργίας τους με το Cisco Meraki που καθιστά εφικτή

την απομακρυσμένη διαχείριση της υποδομής μέσω cloud.

Η δυνατότητα αυτή επιτρέπει στις επιχειρήσεις να δομήσουν

και να διαχειριστούν το δίκτυο, τις συσκευές, την ασφάλεια

και τις εφαρμογές τους, αλλά και να τα παραμετροποιήσουν

εύκολα και γρήγορα.

Η Cloud-managed διαχείριση έχει τα παρακάτω βασικά

πλεονεκτήματα σε σχέση με την παραδοσιακά μοντέλα διαχείρισης:

1. Αμεσότητα

Ανάπτυξη νέων εφαρμογών και τροποποιήσεις ολόκληρης

της ψηφιακής υποδομής της επιχείρησης σε μερικά μόλις

λεπτά

2. Δυνατότητα ολοκληρωμένης προβολής

Μέσα από ένα dashboard φαίνεται όλο το φάσμα του δικτύου

της επιχείρησης (εφαρμογές, χρήστες, συσκευές, δίκτυο

και υπολογιστές), συμπεριλαμβανομένων των σημαντικών

μετρήσεων LoB και IT, για αποτελεσματική λήψη αποφάσεων

και επίλυση προβλημάτων

3. Προσαρμοσμένη επεκτασιμότητα υποδομών

Εύκολη και γρήγορη δημιουργία, αναβάθμιση ή υποβάθμιση

νέων τμημάτων δικτύου χωρίς on-site υποστήριξη από μηχανικό

IT και συνεχής λειτουργία με σύνδεση ή χωρίς στο cloud

4. Χαμηλότερο κόστος

Αποτελεσματικότερη χρήση πόρων και άριστο επίπεδο υ-

πηρεσιών

Όλα τα προϊόντα που υποστηρίζουν το Cisco Meraki είναι

πλήρως και κεντρικά διαχειρίσιμα μέσω cloud. Η εύχρηστη

αρχιτεκτονική με πληθώρα χαρακτηριστικών, δίνει τη δυνατότητα

στους χρήστες του να βρίσκουν λύσεις σε προβλήματα

που αφορούν στις επιχειρήσεις τους, αλλά και να μειώνουν

τα λειτουργικά τους κόστη.

Ασύρματο LAN

Το Cisco Meraki αποτελεί μια ασύρματη λύση, που περιλαμβάνει

ένα πλήρες και πανίσχυρο σετ δυνατοτήτων. Η ρύθμισή

του απαιτεί λίγα μόνο λεπτά και η παροχή είναι πλήρως

αυτόματη.

Switches

Τα switches του Cisco Meraki (MS) συνδυάζουν τα πλεονεκτήματα

της κεντρικής διαχείρισης μέσω cloud σε μία πανίσχυρη

και απόλυτα αξιόπιστη πλατφόρμα. Η διαχείριση μέσω

cloud δίνει τη δυνατότητα στον χρήστη να ρυθμίσει και

να παρακολουθήσει άμεσα χιλιάδες θύρες switches μέσω

διαδικτύου.

Συσκευές Ασφαλείας

Οι συσκευές Cisco Meraki (MX) προσφέρουν ολοκληρωμένη

λύση δικτύωσης και ασφάλειας, αφού είναι σχεδιασμένες να

παρέχουν εξαιρετικά ασφαλή, ταχύτατα και εύκολα διαχειρίσιμα

δίκτυα. Οι συσκευές MX είναι πλήρως διαχειρίσιμες

μέσω του διαδικτυακού πίνακα ελέγχου του Cisco Meraki, με

έξυπνες ρυθμίσεις και πλήρη αυτονομία, δίνοντας τη δυνατότητα

απομακρυσμένου ελέγχου, ενεργοποίησης και υλοποίησης

εντολών χωρίς τη φυσική παρουσία μηχανικού IT.

Mobility Management

Ενοποιημένη διαχείριση και έλεγχος χιλιάδων φορητών

και επιτραπέζιων συσκευών μέσα από την απόλυτα ασφαλή

πλατφόρμα διαχείρισης του Meraki. Αποτελεσματικός χειρισμός

της στρατηγικής κάθε επιχείρησης, χάρη στην απλούστατη

προσθήκη νέων συσκευών και την αυτόματη εφαρμογή

των πολιτικών ασφαλείας.

Η λύση Cisco Meraki έχει υλοποιηθεί με επιτυχία σχεδόν

σε κάθε επιχειρηματικό κλάδο από το Λιανικό Εμπόριο και

τη Βιομηχανία έως την Υγεία και την Εκπαίδευση. Ενδεικτικά

εταιρείες που εμπιστεύτηκαν τη λύση Cisco Meraki στην

ελληνική αγορά είναι το ξενοδοχείο Life Gallery, οι εκδόσεις

Ψυχογιός, η Generali Hellas, τα cash & carry METRO

και τα καταστήματα ηλεκτρολογικού υλικού Καυκάς. Αυτή

τη στιγμή περισσότερες από 50.000 εταιρείες παγκοσμίως

έχουν υλοποιήσει τη λύση Cisco Meraki με αύξηση 108%

το τελευταίο 12μηνο.

security

9


T4003/04.2015

Interview

Η ιδιωτικότητα

είναι θέμα δικαιωμάτων

αλλά και οικονομικής ανάπτυξης

Με αφορμή την παρουσία του ως ομιλητή στο 5 ο Infocom Security, είχαμε την ευκαιρία να

συνομιλήσουμε μαζί με τον κ. Ηλία Χάντζo και να μας αναπτύξει τις παραμέτρους ενός ιδιαίτερα

κρίσιμου ζητήματος, όπως είναι αυτό της ιδιωτικότητας, με βάση μια πρόσφατη έρευνα που

διοργάνωσε η Symantec.

Πόσο σημαντική είναι η έννοια της ιδιωτικότητας στην

Ευρώπη στις μέρες μας; Ποια είναι τα σημαντικότερα

στοιχεία που προκύπτουν από πρόσφατη σχετική έρευνα;

Η Symantec έκανε πρόσφατα μια έρευνα η οποία απευθύνθηκε

στους καταναλωτές σε 7 διαφορετικές χώρες και σε

συνολικό δείγμα 7000 χρηστών. Η έρευνα με τίτλο “η κατάσταση

της ιδιωτικότητας” (state of privacy), έγινε προκειμένου

να διαπιστώσουμε τις τάσεις και τις απόψεις του κοινού

γύρω από θέματα τις ιδιωτικότητας, καθώς όπως και εσείς

γνωρίζετε, η προστασία των προσωπικών δεδομένων είναι

ένα θέμα το οποίο βρίσκεται συχνά στην επικαιρότητα. Καταρχήν,

είναι ξεκάθαρο ότι η άποψη πως η ιδιωτικότητα δεν

είναι θέμα που αφορά Αγγλοσαξωνικές χώρες, ενώ αντίθετα

έχει μεγάλη σημασία για την νότια και κεντρική Ευρώπη,

είναι μάλλον αναληθές και σε κάθε περίπτωση υπεραπλουστευμένο.

Κατά μέσο όσο πάνω από το 50% των Ευρωπαίων,

ανησυχούν για την ιδιωτικότητα τους. Σε κάποιες χώρες,

ειδικά μάλιστα με βεβαρημένο ιστορικό παρελθόν π.χ

δικτατορικά καθεστώτα, αυτή η ανησυχία είναι εντονότερη.

Συνέντευξη με τον Ηλία Χάντζο

Ανώτερος Διευθυντής, Κυβερνητικές Σχέσεις, Προστασία Κρίσιμων

Υποδομών και Ιδιωτικότητας στην περιοχή EMEA, Symantec

Σε γενικές γραμμές πάντως η ανησυχία είναι διάχυτη και

βρίσκεται πολύ κοντά ή πάνω από το 50% το δείγματος για

όλες τις χώρες. Ένα θέμα για το οποίο ενδιαφέρετε το 50%

των χρηστών, δεν είναι σε καμία περίπτωση αμελητέο. Συνεπώς,

η ιδιωτικότητα είναι και παραμένει σημαντική στις

ημέρες μας. Άλλα σημαντικά στοιχεία που προκύπτουν, είναι

σχετικά με την οικονομική αξία των δεδομένων. Το γεγονός

δηλαδή ότι οι χρήστες πιστεύουν ότι τα δεδομένα τους

έχουν οικονομική αξία και μάλιστα σημαντική. Τα δεδομένα

αυτά, οι εταιρείες τα εκμεταλλεύονται και οι χρήστες προσδοκούν

και αυτοί οικονομικό όφελος από την εκμετάλλευση

μέσω πχ της παροχής δωρεάν υπηρεσιών. Όμως, μέσα

10 security


από την οικονομική αξία των δεδομένων προκύπτει και το

λεγόμενο κενό εμπιστοσύνης. Ότι δηλαδή, οι περισσότεροι

χρήστες πιστεύουν ότι τα δεδομένα που δίνουν δεν προστατεύονται

στο βαθμό που αντιστοιχεί στην σημασία και

ευαισθησία τους. Το κενό εμπιστοσύνης ανάλογα με τον

κάτοχο των δεδομένων μικραίνει ή διευρύνεται. Μάλιστα,

το κράτος αξιολογείται σχετικά μέτρια στο βαθμό εμπιστοσύνης

του πολίτη για το πως διαχειρίζεται τα δεδομένα του.

Οι εταιρείες τεχνολογίας κατατάσσονται ακόμη χαμηλότερα

μεγιστοποιώντας το κενό.

Ποιοι είναι αυτοί που κυρίως ευθύνονται για τη προστασία

της ιδιωτικότητας;

Καταρχήν, η απλοϊκή απάντηση θα ήταν πως εφόσον είναι

δικά σου τα δεδομένα, δικιά σου είναι και η ευθύνη. Προφανώς,

αν κάποιος έχει αποφασίσει να δημοσιοποιήσει

όλη την προσωπική του ζωή στα κοινωνικά δίκτυα κανένας

νόμος και καμία τεχνολογία δεν είναι αρκετή για να τον

προστατέψουν. Η πραγματικότητα είναι πιο περίπλοκη. Δεν

μπορούμε να κάνουμε συναλλαγές χωρίς να δώσουμε δεδομένα

για τον εαυτό μας. Ο βαθμός πληροφοριών που χρειάζεται

κάθε συναλλαγή είναι διαφορετικός. Δεν χρειάζομαι

να δείξω ταυτότητα για να αγοράσω κάτι από το περίπτερο.

Το ίδιο βέβαια δεν ισχύει για τις συναλλαγές στην τράπεζα.

Ανάλογα λοιπόν με το είδος της δραστηριότητας και τον

κίνδυνο που συνεπάγεται, πρέπει να χρησιμοποιούνται και

τα δεδομένα. Όμως, ο κάθε χρήστης δεν είναι εξειδικευμένος

νομικός ή τεχνολόγος σε θέματα προσωπικών δεδομένων,

ούτε μπορεί να έχει έναν στη διάθεση του κάθε φορά

που χρησιμοποιεί το διαδίκτυο. Συνεπώς, σε μια κοινωνία

που γίνεται πληροφοριο-κεντρική και δίκτυο-κεντρική, η

σημασία της παιδείας – κουλτούρας, καθώς και του ρόλου

του κράτους και του ιδιωτικού τομέα, γίνονται όλο και μεγαλύτερες.

Το κράτος ως φύλακας της νομιμότητας και της

εφαρμογής των κανόνων για τα προσωπικά δεδομένα, έχει

να παίξει το ρόλο του, όπως αντίστοιχα ο ιδιωτικός τομέας

μέσα από την υπεύθυνη χρήση των δεδομένων για τα προϊόντα

και τις υπηρεσίες που παρέχει. Τα στοιχεία που μας

έδωσε η έρευνα ήταν εξίσου ενδιαφέροντα. Σχεδόν ομόφωνα,

η άποψη των χρηστών είναι ότι “όλοι είναι υπεύθυνοι”.

Μπορούν να δημιουργηθούν επιχειρηματικές ευκαιρίες

στην προστασία της ιδιωτικότητας; Με ποιο τρόπο;

Ξεκάθαρα ναι! Οι ευκαιρίες υπάρχουν και είναι δυο κατηγοριών.

Η μια αφορά την επιχειρηματικότητα που η νομοθεσία

της προστασίας της ιδιωτικότητας ευνοεί. Το γεγονός δηλαδή,

ότι δεν επιτρέπεται η ελεύθερη χρήση των δεδομένων

και ότι μάλιστα ορισμένες συμπεριφορές περιορίζονται σημαντικά,

όπως η στοχευμένη διαφήμιση μέσω της δημιουργίας

αυτόματου προφίλ για τον κάθε χρήστη, σημαίνει ότι σε

τεχνολογικό επίπεδο οι λύσεις που θα προσδίδουν τεχνικές

δυνατότητας που θα επιτρέπουν να γίνουν αυτές οι “προβληματικές”

δραστηριότητες χωρίς να παραβιάζεται η νομοθεσία

θα έχουν άμεσο ενδιαφέρον για την αγορά. Επιπλέον,

ακριβώς διότι η νομοθεσία επιβάλλει την χρήση τεχνολογιών

προστασίας των δεδομένων αυτή είναι μια άλλη αγορά

η οποία θα γνωρίσει άνθηση. Για παράδειγμα, πως μειώνουμε

τον κίνδυνο διαρροής δεδομένων ή πως μπορούμε

να επιβάλλουμε ή να ελέγξουμε την πολιτική προστασίας

προσωπικών δεδομένων στο υπολογιστικό νέφος. Η άλλη

κατηγορία που θα δούμε ευκαιρίες, είναι στην προστασία

των προσωπικών δεδομένων σε υπάρχοντα επιχειρηματικά

μοντέλα ως ανταγωνιστικό πλεονέκτημα. Δηλαδή, το γεγονός

ότι οι χρήστες θα προτιμήσουν να αγοράσουν από μια

εταιρεία που πιστεύουν ότι θα διαφυλάξει τα δεδομένα τους

αποτελεσματικά σε σύγκριση με μια άλλη.

Πως βλέπετε να εξελίσσεται το μέλλον της ιδιωτικότητας

στην Ευρώπης σε όλα τα επίπεδα; Τι πρέπει να κάνει

ο καθένας από τη πλευρά του για την προστασία των

δεδομένων;

Η ιδιωτικότητα θα συνεχίσει να είναι μείζον θέμα στην Ευρωπαϊκή

ατζέντα διότι εκτός από θέμα ανθρωπίνων δικαιωμάτων

και προστασίας καταναλωτή είναι και θέμα οικονομικής

ανάπτυξης.

Τεχνολογίες όπως το υπολογιστικό νέφος, τα δεδομένα μεγάλη

κλίμακας (big data) και το διαδίκτυο των πραγμάτων

(internet of things) θα μας οδηγήσουν σε μια κατάσταση ό-

που η ποσότητα των δεδομένων θα υπερπολλαπλασιαστεί,

τα τεχνολογικά προϊόντα θα είναι δικτυωμένα μεταξύ τους,

ανταλλάσοντας πληροφορίες και συχνά η επεξεργασία των

δεδομένων δεν θα γίνεται για να απαντήσει σε ερωτήσεις,

αλλά για να μας κάνει να καταλάβουμε ποιά θα πρέπει να

είναι η σωστή ερώτηση. Σε ένα τέτοιο περιβάλλον η δυσκολία

δεν θα είναι στην απόκτηση των δεδομένων, αλλά στον

εντοπισμό του “ψύλλου στα άχυρα”.Ο καθένας μας που βρίσκεται

στο χώρο της τεχνολογίας και όχι μόνο θα πρέπει να

κατανοήσει την σημασία των προσωπικών δεδομένων που

έχει στην διάθεση του και επεξεργάζεται διότι έχουν ξεκάθαρη

οικονομική αξία αλλά επιπλέον γιατί θα πρέπει να α-

ποφασίσει και να εξηγήσει πως και πόσο πολύ πρέπει να

τα προστατέψει. iTSecurity

security

11


T4003/04.2015

Cover Issue

GRC | Η αποτελεσματική υλοποίηση

της διεργασίας

Διακυβέρνηση, Διαχείριση Κινδύνων & Κανονιστική Συμμόρφωση. είναι τα στοιχεία αυτά

που συνιστούν την έννοια του Governance Risk & Compliance – GRC, που πλέον καθίσταται

ιδιαίτερα σημαντική για την ασφάλεια των εταιρικών πληροφοριών.

O

ι Επιχειρήσεις του σήμερα λειτουργούν σε

ένα ιδιαίτερα πολύπλοκο και δυναμικό περιβάλλον.

Η αναγκαιότητα τήρησης των νομικών,

κανονιστικών απαιτήσεων, η εξέλιξη

και εξάρτηση από τη τεχνολογία αλλά

και τα σύγχρονα επιχειρηματικά μοντέλα,

αυξάνουν τη πολυπλοκότητα και την έκταση των διεργασιών

που αφορούν στη Διακυβέρνηση, Διαχείριση Κινδύνων

και Κανονιστική Συμμόρφωση των εταιρικών πληροφοριών

(Governance Risk & Compliance – GRC).

Λόγω του ότι η τεχνολογία παίζει κυρίαρχο ρόλο στην επιχείρηση

αλλά και στη διαχείριση του επιχειρηματικού κινδύνου,

οι μονάδες/τμήματα πληροφορικής βρίσκονται στη μοναδική

θέση να είναι η κινητήρια δύναμη στο να είναι αρωγός στην

ευθυγράμμιση και συντονισμό των λειτουργικών απαιτήσεων

της επιχείρησης και του ταχέως μεταβαλλόμενου πλαισίου

διακυβέρνησης και κανονιστικής συμμόρφωσης.

Αποτελεσματικοί τρόποι στο να γίνει αυτό είναι οι ακόλουθοι:

• Στήριξη από την εταιρεία σχετικά με την χάραξη και υ-

λοποίηση στρατηγικής για τη συνολική αντιμετώπιση της

Διακυβέρνησης, τη Διαχείριση Κινδύνων και Κανονιστική

Συμμόρφωση των εταιρικών πληροφοριών (Governance

Risk & Compliance – GRC)

• Προώθηση και στήριξη των οργανωτικών και λειτουργικών

αλλαγών που απαιτούνται προκειμένου να διασφαλιστεί

η μακροπρόθεσμη επιτυχία της παραπάνω στρατηγικής.

• Ανάδειξη της αξίας ενός προγράμματος GRC, μέσω ενημέρωσης

για το τρόπο το εν λόγω πρόγραμμα, με τη μορφή

μιας διαρκούς διεργασίας, υποστηρίζει την επίτευξη της ε-

ταιρικής στρατηγικής και των εταιρικών στόχων.

12 security


Του Νότη Ηλιόπουλου

Msc Infosec, ISO 27001 LA, CISA, CISM

piliopou@me.com

• Ενσωμάτωση των διεργασιών αξιολόγησης κινδύνου και

κανονιστικής συμμόρφωσης στης επιχειρηματικές δραστηριότητες

της επιχείρησης. Ταυτόχρονη ενημέρωση και

εκπαίδευση του προσωπικού.

• Χρήση και αξιοποίηση υφιστάμενων εργαλείων και τεχνολογιών

σχετικές με την αξιολόγηση και μέτρηση του κινδύνου,

παρακολούθηση του επιπέδου συμμόρφωσης κτλ με

σκοπό συλλογή των απαραίτητων πληροφοριών αλλά και

την αυτοματοποίηση των σχετικών διεργασιών.

• Σταδιακή και μεθοδική μετάβαση από την αποσπασματική

υλοποίηση προγραμμάτων Διακυβέρνησης, τη Διαχείριση

Κινδύνων και Κανονιστική Συμμόρφωση των εταιρικών

πληροφοριών, σε μία ενιαία και συνεχόμενη διεργασία.

Διαδικασία Αποτελεσματικής Υλοποίησης

Οι εκάστοτε απαιτήσεις που αφορούν στη Διακυβέρνηση,

Διαχείριση Κινδύνων & Κανονιστική Συμμόρφωση (GRC)

σε σχέση με την ασφάλεια πληροφοριών, πρέπει να εφαρμοστούν

και να αποτελέσουν μέρος της λειτουργίας του Οργανισμού.

Κατά τη προσπάθεια αυτή τίθενται δύο σημαντικά ζητήματα:

ο τρόπος με τον οποίο θα εφαρμοστούν στο σύνολο τους οι

απαιτήσεις μια συνεχούς διεργασίας GRC και πώς o συγκεκριμένος

τρόπος εφαρμογής θα μπορεί να λειτουργεί αποτελεσματικά

μέσα στο εταιρικό περιβάλλον.

H μεθοδολογία που ακολουθεί αποτυπώνει μια προσέγγιση

με σκοπό τη δημιουργία μιας αποτελεσματικής συνεχούς διεργασίας

GRC που αφορά στην ασφάλεια πληροφοριών και

που μακροπρόθεσμα μπορεί να συνεισφέρει στο ανταγωνιστικό

πλεονέκτημα του Οργανισμού.

1ο Βήμα: Επιλογή πλαισίου Διακυβέρνησης

Ο αριθμός των κανονιστικών απαιτήσεων που πρέπει να

πληρούν οι Οργανισμοί είναι ήδη σημαντικός και συνεχώς

αυξάνεται. Όλες όμως οι απαιτήσεις συμμόρφωσης, αποτελούν

υποσύνολο των απαιτήσεων που προσδιορίζονται από

τα διάφορα ευρέως διαδεδομένα πλαίσια διακυβέρνησης της

πληροφορικής, είτε αυτά αφορούν στην υλοποίηση δικλείδων

εσωτερικού ελέγχου, είτε ασφάλειας πληροφοριών, είτε

διαχείρισης υπηρεσιών πληροφορικής.

Ταυτόχρονα, τα παραπάνω πλαίσια Διακυβέρνησης, αναγνωρίζουν

και χρησιμοποιούν τη διαχείριση κινδύνων ως το

βασικότερο συστατικό τους για την επιλογή των τεχνικών και

διαχειριστικών δικλείδων ασφάλειας.

Πλαίσια όπως τα παρακάτω, μπορούν αν χρησιμοποιηθούν

ως η βάση της διεργασίας GRC ενός Οργανισμού.

• COSO (Committee for the Sponsoring Organizations of

the Treadway Commission) που δίνει έμφαση στην υλοποίηση

εσωτερικών δικλείδων ελέγχου

• ISO 27001 που αφορά στην διαχείριση της ασφάλειας πληροφοριών,

ITIL (IT Infrastructure Library framework) που αφορά

στις καλές πρακτικές κατά την παροχή υπηρεσιών πληροφορικής

• COBIT (Control Objectives for Information and related

Technology) το οποίο αφορά στη διακυβέρνηση της πληροφορικής.

Οι Οργανισμοί θα επωφεληθούν από τη χρήση ενός από τα

παραπάνω πλαίσια διότι μέσα από αυτό θα αναγνωρίσουν

πολλές από τις (κοινές) απαιτήσεις που αφορούν στην ασφάλεια

πληροφοριών, οι οποίες υπάρχουν σε περισσότερες α-

πό μια κανονιστικές απαιτήσεις. Ταυτόχρονα η διεργασία της

αξιολόγησης κινδύνων θα διερευνήσει τόσο τους κινδύνους

από τη μη τήρηση των κανονιστικών απαιτήσεων, αλλά και

τους κινδύνους από τη υλοποίηση των δικλείδων που προσδιορίζονται

από το πλαίσιο διακυβέρνηση που έχει επιλεχθεί.

Τα πλεονεκτήματα από τη χρήση ενός ευρύτερου πλαισίου

με σκοπό τη διαμόρφωση μιας συνεχούς διεργασίας GRC,

είναι τα ακόλουθα:

• Δομημένη προσέγγιση η οποία είναι τεκμηριωμένη και είναι

εύκολο να ακολουθηθεί

• Η τήρηση των κανονιστικών απαιτήσεων και η συνεχής α-

ξιολόγηση κινδύνων, αποτελούν βασικές συνιστώσες των

παραπάνω πλαισίων

• Η συμμετοχή των Επιχειρηματικών οντοτήτων (εκτός πληροφορικής)

είναι αναγκαία

• Υπάρχει προηγούμενη γνώση από συνεργάτες και πελάτες

και ως εκ τούτου ευκολότερη κατανόηση των απαιτήσεων

υλοποίησης

• Υπάρχει συσσωρευμένη γνώση από άλλους οργανισμούς

με αποτέλεσμα την ευκολότερη επίλυση προβλημάτων υ-

λοποίησης μέσω ανταλλαγής παρόμοιων εμπειριών

2ο Βήμα: Επιλογή κατάλληλης μεθοδολογίας Αξιολόγησης

Κινδύνων

Η κρισιμότητα της διεργασίας αξιολόγησης και διαχείρισης

κινδύνων, απαιτεί την επιλογή της κατάλληλης μεθοδολογίας

η οποία θα μπορεί να εφαρμοσθεί στον εκάστοτε Οργανισμό.

Όσον αφορά στην αξιολόγηση κινδύνων, δεν υπάρχει

κάποια μεθοδολογία η οποία να θεωρείτε η ιδανική. Ο Κάθε

Οργανισμός πρέπει να επιλέξει ή να διαμορφώσει τη μεθοδολογία

που μπορεί να υποστηρίξει, μια μεθοδολογία ανάλογη

του λειτουργικού του περιβάλλοντος και των δυνατοτήτων

διενέργειάς της.

security

13


T4003/04.2015

Cover Issue

Η κανονιστική συμμόρφωση θα πρέπει να θεωρηθεί ως ένας

ακόμα κίνδυνος για τον Οργανισμό, που πρέπει να αντιμετωπιστεί

με τον ίδιο τρόπο που αντιμετωπίζονται και οι υπόλοιποι

κίνδυνοι που αφορούν στην Ασφάλεια Πληροφοριών.

Συνεπώς, οι κίνδυνοι από τη μη συμμόρφωση πρέπει να α-

ξιολογηθούν, να αποτιμηθεί η επίδραση της μη συμμόρφωσης

στον Οργανισμό και στη συνέχεια να ελαχιστοποιηθούν

σύμφωνα με τις επιταγές και προτεραιότητες της Διοίκησης.

Η αδυναμία εκπλήρωσης των απαιτήσεων ασφάλειας πληροφοριών

που προκύπτουν από τη μη συμμόρφωση είναι πιθανόν

να οδηγήσει σε κινδύνους, όπως:

• Περιστατικά παραβίασης της ασφάλειας και ενδεχόμενη

απώλεια της αξιοπιστίας του Οργανισμού

• Οικονομικές κυρώσεις ως αποτέλεσμα της μη συμμόρφωσης

με το κανονιστικό πλαίσιο

• Απώλεια ευκαιριών συνεργασίας με πελάτες σαν αποτέλεσμα

τη μη συμμόρφωσης με κανονιστικές και συμβατικές

απαιτήσεις με πελάτες.

3ο Βήμα: Οι Απαιτήσεις κανονιστικής συμμόρφωσης μέρος

της εταιρικής στρατηγικής

Η κανονιστική συμμόρφωση (compliance) αποτελεί μεγάλο

μέρος της διεργασίας GRC ενός Οργανισμού. Με το όρο κανονιστική

συμμόρφωση εννοούμαι το κάθε μορφής κανόνα

ή απαίτηση που μπορεί να προκύπτει τόσο από το Θεσμικό

& Νομικό πλαίσιο, όσο και από συμβάσεις που περιέχουν

όρους σχετικούς με τη προστασία των πληροφοριών. Κανένας

Οργανισμός δε μπορεί να συμμορφωθεί άμεσα με όλες

τις απαιτήσεις ασφάλειας πληροφοριών που τον αφορούν.

Για το λόγο αυτό, η συμμόρφωση πρέπει να γίνει μέρος της

εταιρικής στρατηγικής και να αποτελεί κομμάτι των ετήσιων

στρατηγικών πλάνων του Οργανισμού.

Σε αρχικό στάδιο, χρειάζεται να αποτιμηθεί το υφιστάμενο

επίπεδο συμμόρφωσης και ταυτόχρονα να προσδιορισθεί το

επιθυμητό επίπεδο συμμόρφωσης που προσδοκά ο Οργανισμός.

Το επιθυμητό επίπεδο συμμόρφωσης δε σημαίνει

απαραίτητα πλήρη συμμόρφωση.

Στο επόμενο στάδιο η συμμόρφωση γίνεται μέρος των Επιχειρηματικών

στόχων και ενσωματώνεται στη στρατηγική που

ακολουθεί ο Οργανισμός και για άλλα συστήματα Διαχείρισης,

όπως το ISO27001 & το ISO20000, ISO90001.

4ο Βήμα: Ενσωμάτωση διεργασίας GRC στο εταιρικό

πλαίσιο Διακυβέρνησης

Η αποτελεσματική διαχείριση της ασφάλειας πληροφοριών

χρειάζεται ανάπτυξη οργανωτικών δομών διαχείρισης,

καθώς και δομών ελέγχου τόσο της τήρησης των απαιτήσεων

ασφάλειας πληροφοριών, αλλά και της διαχείρισης των

σχετικών κινδύνων.

Η αποτελεσματική διακυβέρνηση της ασφάλειας πληροφοριών

αποτελεί έναν από τους κύριους παράγοντες επιτυχίας

της διεργασίας GRC.

14 security


GRC | Η αποτελεσματική υλοποίηση της διεργασίας

Αυτό που χρειάζεται να γίνει κατανοητό, είναι ότι όλα τα συστατικά

της διεργασίας GRC είναι άρρηκτα συνδεδεμένα

μεταξύ τους και αλληλεπιδρούν. Για το λόγο αυτό χρειάζεται

να αποτελέσουν μέρος της συνολικότερης στρατηγικής και

πλαισίου εταιρικής διακυβέρνησης.

5ο Βήμα : Δείκτες Μέτρησης Αποτελεσματικότητας

Η αποτελεσματική υλοποίηση της διεργασίας GRC, θα ωφεληθεί

ιδιαίτερα από τη δημιουργία υποδομής μέτρησης της

αποτελεσματικότητα της εν λόγο διεργασίας. Η μέτρηση αποτελεσματικότητας

επιτυγχάνεται με το προσδιορισμό συγκεκριμένων

δεικτών οι οποίοι αποτιμώνται ανά τακτά χρονικά

διαστήματα, ενώ ταυτόχρονα συλλέγονται στατιστικά στοιχεία

που αφορούν στους συγκεκριμένους δείκτες.

Ενδεικτικά κάποιοι από τους δείκτες μπορεί να είναι οι α-

κόλουθοι:

• Απόκλιση μεταξύ υφιστάμενου & απαιτούμενου βαθμού

συμμόρφωσης

• Μέτρηση ωριμότητας των δικλείδων ασφάλειας που αφορούν

στις απαιτήσεις συμμόρφωσης και στις απαιτήσεις

μείωσης του επίπεδου επικινδυνότητας

• Τήρηση των απαιτήσεων συμμόρφωσης από την εταιρεία

• Αξιολόγηση κινδύνων για τις περιπτώσεις μη συμμόρφωσης

και μη τήρησης των βασικών δικλείδων ασφάλειας,

όπως αυτές ορίζονται από τη πλαίσια Διακυβέρνησης της

Ασφάλειας Πληροφοριών

6ο Βήμα: Συμμετοχή των επιχειρηματικών μονάδων

Ο σκοπός της συμμετοχής των επιχειρηματικών μονάδων

είναι η κατανόηση των απαιτήσεων του εταιρικού πλαισίου

GRC και ο προσδιορισμός του τρόπου συμμετοχής τους στην

εν λόγω διεργασία. Για να γίνει αυτό χρειάζεται να ακολουθηθούν

τα παρακάτω βήματα:

• Ενημέρωση των επιχειρηματικών μονάδων για τις διαδικασίες

και απαιτήσεις Διακυβέρνησης & Συμμόρφωσης,

καθώς και για το δικό τους ρόλο στις συγκεκριμένες διαδικασίες.

• Ενημέρωση για τη σημασία της διαδικασίας συμμόρφωσης

και διαχείρισης κινδύνων για τον Οργανισμό

• Ενημέρωση για τη πρόοδο των όποιων εργασιών αφορούν

στις απαιτήσεις GRC

• Δημιουργία διαδικασίας αυτό-αξιολόγησης (της κάθε ε-

πιχειρηματικής μονάδας) σχετικά με τη τήρηση των α-

παιτήσεων συμμόρφωσης & τήρησης του πλαισίου Διακυβέρνησης

• Ενημέρωση σχετικά με υποχρεώσεις και ρόλους σε σχέση

με όλες τις διαδικασίες της διεργασίας GRC.

Απώτερος σκοπός είναι η αυτοματοποίηση της διεργασίας

GRC και η δημιουργία αντίστοιχης κουλτούρας στον Οργανισμό

που θα αφορά στην Ασφάλεια Πληροφοριών, στη συμμόρφωση

με τις κανονιστικές απαιτήσεις.

7ο Βήμα: Ενημέρωση & Εκπαίδευση

Η εταιρική κουλτούρα έχει αντίκτυπο στη επιτυχία και στο

κόστος της διεργασίας GRC. Η διαμόρφωση της κουλτούρας

ασφάλειας, συμμόρφωσης και συνεχούς διαχείρισης κινδύνων

επιτυγχάνεται μέσα από την ενημέρωση και την εκπαίδευση

του προσωπικού.

Η ενημέρωση του προσωπικού περιλαμβάνει την σημασία

της απαιτήσεων συμμόρφωσης, προστασίας των επιχειρηματικών

πληροφοριών και ελαχιστοποίησης των σχετικών

κινδύνων. για τον Οργανισμό είναι απαραίτητη διαδικασία.

Μία τέτοια ενημέρωση περιλαμβάνει και εκπαίδευση αναφορικά

με τις εταιρικές διαδικασίες & ρόλους σε θέματα GRC.

8ο Βήμα: Δημιουργία πλαισίου συνεχούς βελτίωσης

Η διεργασία που αποτυπώθηκε στα πλαίσια του συγκεκριμένου

άρθρου δεν είναι στατική και κυρίως δεν είναι δυνατόν

να υλοποιηθεί αποτελεσματικά από την αρχή της εφαρμογής

της. Χρειάζεται να βελτιώνεται συνεχώς και να ενσωματώνεται

ολοένα και περισσότερο στο λειτουργικό περιβάλλον

του Οργανισμού.

Log off ...

Οι ταχείες αλλαγές των επιχειρηματικών μοντέλων, της τεχνολογίας,

του κανονιστικού πλαισίου και οι κίνδυνοι σε σχέση

με την ασφάλεια πληροφοριών, αυξάνουν τις δυσκολίες

αποτελεσματικής υλοποίηση μια συνεχούς διεργασίας GRC.

Η υιοθέτηση μιας συνεχούς διεργασίας GRC, παρέχει ολοκληρωμένη

εικόνα για το επίπεδο συμμόρφωσης και διαχείρισης

κινδύνων αλλά και το βαθμό υλοποίηση του πλαισίου

διακυβέρνησης της ασφάλειας πληροφοριών. Ταυτόχρονα,

η μετατροπή των απαιτήσεων GRC σε μια συνεχή διεργασία,

μπορεί να αποτελέσει εργαλείο λήψης αποφάσεων και εργαλείο

αποτελεσματικής υλοποίησης των όλων των συστατικών

της διεργασίας GRC.

Για να γίνει αυτό χρειάζονται τα ακόλουθα:

• Συγκεκριμένη στρατηγική και πλαίσιο GRC το οποίο θα

συμπορεύεται με την εταιρική και τεχνολογική στρατηγική

του Οργανισμού

• Χρήση κατάλληλης τεχνολογίας με σκοπό την αυτοματοποίηση

μέρους της διεργασίας GRC

• Συνολική και όχι αποσπασματική υλοποίηση του συνόλου

της διεργασίας. iTSecurity

security

15


T4003/04.2015

Issue

Ασφάλεια εφαρμογών και ERP

στον κόσμο του GRC

Στο νέο περιβάλλον η παρακολούθηση διακίνησης των δεδομένων χωρίς την εισβολή σε

ιδιωτικές πληροφορίες είναι μια σημαντική απαίτηση. Για αυτό και μια λύση που θα παρέχει

υψηλά επίπεδα ασφάλειας, προστατεύοντας τα πολύτιμα περιουσιακά στοιχεία μιας επιχείρησης

και την ιδιωτικότητα είναι κάτι παραπάνω από ωφέλιμη.

ήμερα, σχεδόν όλες οι επικοινωνίες γίνονται

Σ

ψηφιακά, και τα δεδομένα ταξιδεύουν μέσω

διαφόρων δικτύων, μέσα από επιχειρήσεις

και οργανισμούς, διασχίζοντας διαφορετικά

κράτη και ηπείρους. Ως εκ τούτου, οι ε-

πικοινωνίες είναι πλέον ευαίσθητες αφού

μπορούν θεωρητικά να υποκλαπούν και να οδηγήσουν σε

εγκλήματα, κατασκοπεία ή τρομοκρατικές ενέργειες. Έτσι,

ενώ η ψηφιακή επικοινωνία έχει γίνει ευέλικτη και πολύ

φθηνότερη, τα προβλήματα και οι παρεμβολές που συμβαίνουν

καθημερινά στα δίκτυα, δημιουργούν μία παγκόσμια

απειλή για την οικονομία και την κοινωνία. Είναι πλέον σαφές

ότι η ασφάλεια στον κυβερνοχώρο είναι απαραίτητη για

τις επιχειρηματικές αλλά και τις προσωπικές δραστηριότητες

των πολιτών.

Τα δεδομένα που διακινούνται στα δίκτυα έχουν διαρκή αύξηση

σε όγκο και πολυπλοκότητα, και η αποτελεσματική παρακολούθηση

τους είναι πολύ σύνθετη και δύσκολη διαδικασία.

Ταυτόχρονα, όλος ο κόσμος έχει μια βασική ανάγκη για

προστασία της ιδιωτικής ζωής, αφού σε κανέναν δεν αρέσει

η ιδέα ότι κάποιος άλλος μπορεί να παρακολουθεί προσωπικές

πληροφορίες. Οι ψηφιακές επικοινωνίες αφήνουν ένα

ίχνος των κρίσιμων πληροφοριών σχετικά με το χρόνο, τον

τόπο και τις διαδρομές που έχουν ακολουθήσει. Η ουσιαστική

ανάγκη λοιπόν είναι η παρακολούθηση της συμπεριφορά

αυτής της κυκλοφορίας καταγραφής χωρίς την εισβολή σε

ιδιωτικές πληροφορίες.

μεγέθους. Η λύση αναβαθμίζει τις επιχειρησιακές δυνατότητες

μίας εταιρίας, προστατεύοντας τα πολύτιμα περιουσιακά

στοιχεία της και δίνοντας εξαιρετική πληροφόρηση σε

όλα τα επίπεδα μέσω της ενσωμάτωσης όλων των αρχείων

καταγραφής από όλα τα σημαντικά συστήματα, σε ένα ενιαίο

υπερσύνολο. Η ενσωματωμένη μηχανή ανάλυσης αρχείων

καταγραφής αυτόματα ανιχνεύει και ειδοποιεί για όλα τα

κρίσιμα περιστατικά σχετικά με τα πληροφοριακά συστήματα.

Τα κρίσιμα γεγονότα μπορεί να περιλαμβάνουν μια συνεχιζόμενη

επίθεση σε συστήματα (Advanced Persistent

Threat / APT), ένα σύστημα που βρίσκεται σε κίνδυνο, την

κατάρρευση ενός συστήματος, ζητήματα ταυτοποίησης χρηστών

και πολλά άλλα.

Το πιο σημαντικό ζήτημα που ξεχνιέται συχνά στις μεγάλες

επιχειρήσεις είναι ο έλεγχος των εφαρμογών, αφού η βασική

εστίαση είναι στο υλικό (hardware) όπως servers, firewalls,

switches, routers κλπ. Ωστόσο, οι εφαρμογές είναι πολύ σημαντικό

να συμπεριληφθούν στο πεδίο εφαρμογής της προληπτικής

παρακολούθησης της ασφάλειας. Συχνά είναι δύσκολο

για τις εταιρίες να δώσουν προτεραιότητα στην ασφάλεια

των εφαρμογών, αφού πρόκειται για διαδικασία που δεν

αποφέρει έσοδα, οπότε συχνά οι πτυχές της ασφάλειας μίας

επίθεσης σε μία εφαρμογή διαρκώς υποτιμούνται.

Μια αξιόπιστη λύση για μεγάλη πρόκληση

Η λύση SIEM της LogPoint αποσπά με έξυπνο τρόπο τις πληροφορίες

από σημαντικά γεγονότα και περιστατικά μέσα από

τα δισεκατομμύρια των αρχείων καταγραφής (log files) που

υπάρχουν σε κάθε υποδομή πληροφορικής οποιουδήποτε

16 security


Γιώργος Καπανίρης

Διευθυντής Στρατηγικής Ανάπτυξης,

NSS

Η πρόκληση της παρακολούθησης της ασφάλειας των ε-

φαρμογών συνδέεται με την ποσότητα των πληροφοριών που

πρέπει να συλλέγονται, να αντιπαραβάλλονται, να αναλύονται,

και να συνοψίζονται έτσι ώστε να μπορεί η διοίκηση μίας ε-

πιχείρησης να χρησιμοποιεί τις πληροφορίες ως εργαλείο

για τη λήψη αποφάσεων. Για την ενεργοποίηση μιας επιτυχημένης

στρατηγικής ασφάλειας εφαρμογών, οι διαχειριστές

πρέπει να έχουν ορατότητα στις ισχύουσες πολιτικές και τις

επιθέσεις που επιχειρούνται. Το κλειδί για τη μεγιστοποίηση

του χρόνου λειτουργίας και απόδοσης μίας εφαρμογής, είναι

η κατανόηση του τι αντιπροσωπεύει μία επίθεση καθώς και

ο τρόπος λειτουργίας της.

Βέλτιστη απόδοση, μέγιστη διαθεσιμότητα

Μέσω του LogPoint μπορεί να γίνει συσχετισμός από αρχεία

καταγραφής καθώς και δομημένες πηγές δεδομένων

πχ. CMDBs, βάσεις δεδομένων Κοινωνικής Ασφάλισης, ιατρικά

αρχεία, χρηματοπιστωτικά συστήματα κ.α. Επίσης, το

LogPoint αποτελεί μια αξιόπιστη πλατφόρμα ασφαλείας υ-

ψηλού επιπέδου διαχείριση ασφάλειας σε οποιοδήποτε ε-

πιχειρησιακό περιβάλλον εφαρμογών όπως SAP, Oracle,

Microsoft κ.ά.

Τα συστήματα λογισμικού έχουν τρωτά σημεία, πόσο μάλλον

τα συστήματα ERP. Αυτό συμβαίνει αφού έχουμε τα παρακάτω

τέσσερα χαρακτηριστικά:

• Μεγάλη Προσαρμογή, αφού δεν υπάρχουν συστήματα ERP

που να είναι ακριβώς τα ίδια.

• Εξαιρετική Πολυπλοκότητα, η οποία «σκοτώνει» την α-

σφάλεια. Τα συστήματα ERP είναι τεράστια συστήματα

που περιλαμβάνουν διαφορετικές βάσεις δεδομένων, διακομιστές

εφαρμογών, συστήματα middleware, λογισμικά

frontend ΝΔ, διαφορετικά λειτουργικά συστήματα και

γενικά χρησιμοποιούν πολλές διαφορετικές τεχνολογίες.

• Μεγάλη Επικινδυνότητα, αφού τα συστήματα ERP αποθηκεύουν

και επεξεργάζονται κρίσιμα επιχειρηματικά δεδομένα.

Ακόμα και μία μικρή διακοπή συνεπάγεται σημαντικό

κόστος και η όποια επιδιόρθωση είναι επικίνδυνη. Είναι

γνωστό ότι υπάρχουν ευάλωτα λογισμικά που λειτουργούν

εδώ και χρόνια.

• Άγνωστη Δομή, αφού τα συστήματα ERP έχουν διερευνηθεί

λιγότερο διεξοδικά και στοχευμένα αλλά συχνά περιέχουν

απλά και εύκολα να ανακαλυφθούν τρωτά σημεία.

Συγκεκριμένα για τα συστήματα και τις εφαρμογές του SAP,

το LogPoint μπορεί να αναλύσει τις κρίσιμες εφαρμογές της

παραγωγής διασφαλίζοντας βέλτιστη απόδοση και μέγιστη

διαθεσιμότητα. Συγκεκριμένα, μπορεί να δώσει δυνατότητες

για πλήρη ανίχνευση ανωμαλιών, παρακολούθηση σημαντικών

αλλαγών για τον έλεγχο βασικών δεδομένων, συσχετισμούς

σχετικά με πιθανές παραβιάσεις επιχειρησιακού ε-

πιπέδου (business violations) κα. Αυτό μπορεί να γίνει χρησιμοποιώντας

έτοιμα πρότυπα που παραπέμπουν σε ειδικές

περιπτώσεις χρήσης επιχειρησιακής ασφάλειας (business

security use cases) αλλά και δημιουργία νέων με εύκολη

προσαρμογή και επέκταση. Ενδεικτικά μέσω του συστήματος

μπορεί να γίνει:

• Εντοπισμός τιμολογίων χωρίς εντολές αγοράς.

• Προσδιορισμός πωλητών όπου τα εναλλακτικά ονόματα δικαιούχου

έχει αλλάξει πριν την πληρωμή.

• Πολλαπλή χρήση της διαδικασίας των πωλητών one-time.

• Ανίχνευση των πληρωμών πάνω από την οριακή τιμή για

τους πωλητές one-time.

• Προσδιορισμός συναλλαγών όπου ο υπεύθυνος έγκρισης

αγοράς είναι ο ίδιος με τον υπεύθυνο παραλαβής.

• Προσδιορισμός συναλλαγών όπου ο υπεύθυνος έγκρισης

σειρά είναι ο ίδιος με τον υπεύθυνο έκδοσης του παραστατικού.

• Προσδιορισμός συναλλαγών στις οποίες ο υπεύθυνος δημιουργίας

της παραγγελίας είναι ο ίδιος με τον υπεύθυνο

πληρωμών.

• Προσδιορισμός εντολών αγοράς που δημιουργήθηκαν κατά

security

17


T4002/03.2015

Issue

Ασφάλεια εφαρμογών και ERP στον κόσμο του GRC

ή μετά την ημερομηνία έκδοσης του τιμολογίου.

• Εντοπισμός Τιμολογίων στα οποία τα αγαθά είναι περισσότερα

από το έγγραφο παραλαβής.

• Εντοπισμός αύξησης της αξίας για τις αγορές παραγγελίες

πάνω από ένα ορισμένο όριο.

• Έλεγχος τραπεζικών κρατήσεων που δεν έχουν υποστεί ε-

πεξεργασία με μία από τις γνωστές συναλλαγές.

• Έλεγχος ύποπτων κρατήσεων σε ασυνήθιστα ωράρια.

• Εντοπισμός τιμολογίων που έχουν διασπαστεί για να αποφευχθεί

η χρήση των ειδικών ορίων.

Υψηλά επίπεδα ασφάλειας και ελέγχου

Λόγω του ότι στο σύστημα SAP μίας εταιρίας αποθηκεύονται

συχνά οι πιο σημαντικές πληροφορίες που αναζητούν

οι κυβερνοεγκληματίες, τα συστήματα αυτά είναι ιδιαίτερα

επιρρεπή σε σαμποτάζ, απάτη και κατασκοπεία. Ορισμένα

από τα πιο κρίσιμα στοιχεία που βρίσκονται στο ERP είναι:

• Οικονομικά στοιχεία, στοιχεία οικονομικού σχεδιασμού (FI).

• Δεδομένα προσωπικού, ιδιωτικά στοιχεία επικοινωνίας

(HR).

• Εταιρικά μυστικά (PLM).

• Προσφορές Προμηθευτών (SRM).

• Λίστες πελατών (CRM).

Υπάρχουν πολλές αδυναμίες που ενδέχεται να καταστήσουν

το σύστημα SAP ευάλωτο. Εκτός από ιδιαίτερες απειλές

που ενδέχεται να προκύψουν, άλλες συνήθεις απειλές περιλαμβάνουν:

• Κώδικα που δεν είναι ασφαλής.

• Διορθώσεις ασφαλείας που δεν έχουν γίνει.

• Ανεξέλεγκτη απομακρυσμένη πρόσβαση (RFC, SOAP).

• Ενεργοί χρήστες SAP.

• Μεταφορές / ανάπτυξη λογισμικού.

• Μη εξουσιοδοτημένες αλλαγές σε προφίλ.

Η προληπτική παρακολούθηση του SAP χρησιμοποιώντας

το LogPoint μπορεί να προσφέρει μία ποικιλία από οφέλη,

όπως:

• Βελτιώσεις στην ασφάλεια & διαχείριση κινδύνου του SAP.

• Μείωση του αριθμού και του επίπεδου των κρίσιμων σημείων

που μπορούν να καταγραφούν στο πόρισμά ενός ε-

λεγκτή ασφάλειας.

• Μετασχηματισμός κινδύνων σε αποκατάσταση.

• Κανονιστική συμμόρφωση σε όλο το τοπίο του συστήματος

SAP.

• Ενσωμάτωση της ασφάλειας πολλαπλών υποσυστημάτων

του SAP μέσω μίας ολιστικής προσέγγισης σε πραγματικό

χρόνο.

Μέσω της λύσης Ανάλυσης Πληροφοριών Ασφάλειας και

Διαχείρισης Καταγραφών (SIEM) της LogPoint, μπορείτε να

παρατηρήσετε τα περιστατικά που συμβαίνουν στα πληροφοριακά

συστήματα σας, πριν αυτά να αποτελέσουν απειλή για

την επιχείρησής. Η λύση της Logpoint επιτρέπει:

• Την επισκόπηση των δεδομένων του δικτύου σε πραγματικό

χρόνο διασφαλίζοντας τις σημαντικές υπηρεσίες και δίνοντας

μία νέα εικόνα στις πληροφορίες που διακινούνται.

• Τον εντοπισμό ανεπιθύμητης συμπεριφοράς εντός του δικτύου

και τη διερεύνηση περιστατικών μέσα από τον ε-

μπλουτισμό των δεδομένων.

• Τη συμμόρφωση με κανονιστικά πρότυπα όπως ISO2700x,

SOX, HIPAA, PCI, GPG13 κλπ.

Η εταιρεία LogPoint πρόσφατα συνεργάστηκε με το τμήμα

Άμυνας, Αεροδιαστημικής και Ασφάλειας της Boeing (The

Boeing Company), με στόχο την κατάκτηση της πιστοποίησης

ποιότητας EAL-3 (Evaluation Assurance Level 3), επονομαζόμενη

και ως πιστοποίηση ποιότητας ΝΑΤΟ, για την

ομώνυμη πλατφόρμα SIEM LogPoint που κατασκευάζει. Το

πρωτοποριακό αυτό προϊόν διαθέτει στην αγορά η εταιρία

NSS, που είναι Διανομέας Προστιθέμενης Αξίας και Κέντρο

Καινοτομίας της LogPoint για τις χώρες της Νοτιοανατολικής

Μεσόγειου.

H LogPoint, εταιρεία με έδρα την Κοπεγχάγη και διεθνή παρουσία

στο χώρο της πληροφορικής, προωθεί την ομώνυμη

τεχνολογία LogPoint – μια προηγμένη πλατφόρμα SIEM

(Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών και Συμβάντων).

Η πιστοποίηση αυτή τοποθετεί την πλατφόρμα

LogPoint στην κορυφή της αγοράς, κατατάσσοντάς την

μεταξύ των σημαντικότερων λύσεων ασφαλείας SIEM για

οργανισμούς, επιχειρήσεις, μεγάλες εταιρίες ακόμη και

κυβερνητικές αρχές, επιτρέποντας στην εταιρία να είναι α-

νταγωνιστική σε παγκόσμιο επίπεδο στην ταχέως αναπτυσσόμενη

αγορά SIEM, η οποία σημειώνει σήμερα διψήφιο

ρυθμό ανάπτυξης.

Το σύστημα LogPoint διανέμεται στην Νοτιοανατολική

Ευρώπη από την εταιρία NSS, που είναι διανομέας

προστιθέμενης αξίας και κέντρο καινοτομίας για συνολικές

ή μεμονωμένες λύσεις στον τομέα της πληροφορικής.

iTSecurity

18 security


T4003/04.2015

Issue

Μεγαλύτερη ευελιξία

στην υλοποίηση λύσεων ασφαλείας

σε virtualized υποδομές

T

ο cloud computing περιλαμβάνει ένα σύνολο

από υπηρεσίες και εργαλεία τα οποία

είναι προσβάσιμα και αξιοποιήσιμα από το

χρήστη μέσω του internet. Η επαφή με αυτήν

τη νέα τεχνολογία από επαγγελματίες

που αναζητούν καινοτόμες τεχνολογικές και χαμηλού κόστους

λύσεις για τις επιχειρήσεις τους, είναι εύλογο να δημιουργεί

ερωτηματικά σε σχέση με την ασφάλεια των δεδομένων

και το βαθμό προστασίας των παρεχομένων υπηρεσιών.

Η Fortinet προσφέρει λύσεις δικτυακής ασφάλειας,

ιδανικές για την κάλυψη των αναγκών όλων των σύγχρονων

μοντέλων επιχειρήσεων. Με την προσθήκη των virtual

appliances στην γκάμα των προϊόντων της, προσφέρει περισσότερες

επιλογές και μεγαλύτερη ευελιξία στην υλοποίηση

λύσεων ασφαλείας σε υπάρχουσες virtualized υποδομές.

Οι virtual appliance εφαρμογές της Fortinet διαθέτουν όλα

τα χαρακτηριστικά των υπηρεσιών ασφάλειας και δικτύωσης

τα οποία είναι κοινά με τις παραδοσιακές hardware-based

συσκευές, δίνοντας την δυνατότητα υλοποίησης μεικτών λύσεων

και διαχείρισης τους από μια κοινή κεντρική πλατφόρμα.

Αναλυτικότερα, η οικογένεια των Virtual Appliances της

Fortinet περιλαμβάνει:

Fortigate-VM. H πολυβραβευμένη σειρά FortiGate σε

virtual form factor, αποτελείται από νέας γενιάς συστήματα

Firewall (Next Generation Firewall) που προσφέρουν ολοκληρωμένη

δικτυακή προστασία ενσωματώνοντας λειτουργίες

όπως IPS, Antivirus/Antispam, VPN, Application Control,

με εξαιρετική απόδοση και εξαιρετικά χαμηλό latency σε ι-

διαίτερα προσιτή τιμή.

FortiManager-VM. Το σύστημα FortiManager είναι μια

“single pane of glass” κονσόλα κεντρικού ελέγχου και διαχείρισης,

που επιτρέπει σε επιχειρήσεις και ISPs να διαχειρίζονται

με ευκολία μεγάλο αριθμό συσκευών FortiGate.

FortiAnalyzer-VM. Η σειρά FortiAnalyzer προσφέρει κεντρική

καταγραφή, εξάγοντας αναφορές και ειδοποιήσεις

σχετικά µε την κατάσταση όλων των συστημάτων ασφάλειας

του δικτύου.

FortiMail-VM. Η εφαρμογή FortiMail προσφέρει προηγμένες

λειτουργίες antispam και antivirus με πλήθος δυνατοτήτων,

όπως quarantine και archiving, για την ασφάλεια της

ηλεκτρονικής αλληλογραφίας.

FortiWeb-VM. H οικογένεια προϊόντων FortiWeb παρέχει

Web-based προστασία των εφαρμογών και των δεδομένων

από επιθέσεις μέσω διαδικτύου. Χρησιμοποιώντας προηγμένες

τεχνικές και αλγορίθμους θωρακίζει το δίκτυο από ε-

πιθέσεις άρνησης παροχής υπηρεσίας (DoS) και εξελιγμένες

επιθέσεις, όπως SQL injection και Cross-site scripting.

FortiRecorder-VM. Η εφαρμογή FortiRecorder, σε συνδυασμό

με Forticameras παρέχει πλήρη ασφάλεια επιτήρησης

χώρου.

FortiVoice-VM. Ένα ολοκληρωμένο Virtual IP-PBX σύστημα

επικοινωνίας

που δίνει τον απόλυτο έλεγχο κλήσεων για την άριστη εξυπηρέτηση

των πελατών και την αποδοτική συνεργασία των

εργαζομένων.

FortiAuthenticator-VM. Σε συνδυασμό με τα FortiTokens

παρέχει έλεγχο ταυτότητας και πιστοποίησης των χρηστών

ενός δικτύου, εξασφαλίζοντας 2 step verification.

FortiADC-VM. Παρέχει προηγμένες δυνατότητες load

balancing τόσο σε μικρές εγκαταστάσεις με λίγους εξυπηρετητές

όσο και σε μεγάλα κέντρα δεδομένων.

FortiCache-VM. Αυξάνει την απόδοση του δικτύου ελαχιστοποιώντας

τις καθυστερήσεις ενώ παράλληλα το FortiGuard

Web Filtering και Antimalware μπλοκάρει το ανεπιθύμητο

περιεχόμενο ιστοσελίδων.

Η LEXIS Πληροφορική (www.lexis.gr), επίσημος αντιπρόσωπος

και διανομέας των προϊόντων της Fortinet στην Ελλάδα

από το 2005, διαθέτει ισχυρή τεχνογνωσία και πολυετή

εμπειρία στον τομέα της ασφάλειας δικτύων με πλήθος ε-

γκαταστάσεων στον ιδιωτικό και τον δημόσιο τομέα, και είναι

σε θέση να σχεδιάζει και να υποστηρίζει την πλέον συμφέρουσα

λύση για κάθε εφαρμογή. iTSecurity

security

19


T4003/04.2015

Issue

ΟΤΕ Information Security

Ολοκληρωμένες υπηρεσίες ασφάλειας

πληροφοριών στη διάθεση της INTERAMERICAN

Οι επιχειρήσεις αντιμετωπίζουν καθημερινά απειλές από κακόβουλες επιθέσεις στα

πληροφοριακά τους συστήματα, που μπορεί να αποβούν εξαιρετικά καταστρεπτικές για την

εύρυθμη λειτουργία τους.

O

ι ολοένα και πιο προηγμένες επιθέσεις που

δέχονται οι επιχειρήσεις, συχνά δεν μπορούν

να αντιμετωπιστούν με τις παραδοσιακές

τεχνολογίες και τεχνικές προστασίας

όπως τις γνωρίζαμε μέχρι σήμερα, ενώ η

συνεχής κατάρτιση του προσωπικού των

επιχειρήσεων σε θέματα ασφαλείας και προστασίας των

πληροφορικών συστημάτων δεν είναι πάντα εφικτή.

Αυτήν την ανάγκη για ασφάλεια έρχεται να καλύψει ο

ΟΤΕ δημιουργώντας το κατάλληλο κάθε φορά για την ε-

πιχείρηση περιβάλλον προστασίας και τις προϋποθέσεις

εκείνες που θα οδηγήσουν στον εντοπισμό και τη βέλτιστη

αντιμετώπιση καταστάσεων έκτακτης ανάγκης. Για τον Ο-

ΤΕ είναι εξαιρετικά σημαντική η παροχή όχι απλά μεμονωμένων

λύσεων ασφαλείας υψηλού επιπέδου, αλλά και

μίας συνολικής στρατηγικής ασφάλειας που οδηγεί στην

αποτελεσματική ανίχνευση και αποτροπή των πλέον σύγχρονων

απειλών. Διαθέτοντας κατάλληλες υποδομές, εξειδικευμένο

και πιστοποιημένο δυναμικό, αλλά και πλούσια

εμπειρία σε θέματα ΙΤ, ο ΟΤΕ δραστηριοποιείται στον χώρο

του Information Security και προσφέρει ολοκληρωμένες

λύσεις ασφάλειας πληροφοριών με υψηλά επίπεδα ποιότητας

και αξιοπιστίας.

Με αυτήν την λογική η INTERAMERICAN απευθύνθηκε

στον ΟΤΕ αναζητώντας τις λύσεις Information Security

που θα καλύψουν ολοκληρωμένα τις ανάγκες της και θα

την θωρακίσουν έναντι των απειλών που μπορεί ανά πάσα

στιγμή να δεχθεί.

Οι λύσεις που υιοθέτησε αφορούν στον εντοπισμό αδυναμιών

που μπορεί να τύχουν εκμετάλλευσης από κακόβουλες

επιθέσεις μέσα από εξειδικευμένες υπηρεσίες

Vulnerability Assessment και Penetration Testing, τόσο

σε επίπεδο δικτύου όσο και σε επίπεδο εφαρμογής.

Επιπλέον, εξασφάλισε την προστασία των υποδομών της

20 security


από επιθέσεις τύπου DDoS με χρήση των πλέον σύγχρονων

ολοκληρωμένων λύσεων προστασίας, που μόνο πάροχοι

τηλεπικοινωνιακών υπηρεσιών όπως ο ΟΤΕ μπορούν

να προσφέρουν. Τέλος, πέτυχε την παρακολούθηση κρίσιμων

πληροφοριακών υποδομών, μέσω των υπηρεσιών ΟΤΕ

Managed Security Services, με στόχο την άμεση ενημέρωση

στην περίπτωση εκδήλωσης επίθεσης.

Ειδικά μέσα από τις υπηρεσίες Managed Security Services,

η INTERAMERICAN προστατεύει αποτελεσματικά τις υποδομές

της από τις πλέον εξελιγμένες επιθέσεις, ελαχιστοποιώντας

σημαντικά το κόστος τόσο σε υποδομές, όσο και

σε ανθρώπινο δυναμικό. Ο ΟΤΕ έχει αναλάβει την ευθύνη

της παρακολούθησης των κρίσιμων πληροφοριακών συστημάτων

της εταιρείας και της ενημέρωσής της για πιθανά

περιστατικά ασφάλειας σε πραγματικό χρόνο, και με

τον πλέον άμεσο και αποτελεσματικό τρόπο. Έτσι, δίνει τη

δυνατότητα στην INTERAMERICAN να αξιολογεί ανά πάσα

στιγμή το επίπεδο ασφάλειας των πληροφοριακών της υ-

ποδομών, να εντοπίζει έγκαιρα και να αποτρέπει επιθέσεις

που θα μπορούσαν να έχουν σημαντικές επιπτώσεις στην

επιχειρησιακή της λειτουργία.

Όλες οι λειτουργίες των υπηρεσιών Managed Security

Services του ΟΤΕ παρέχονται από το SOC (Security

Operations Center) του ΟΤΕ που λειτουργεί σε 24ωρη βάση,

365 μέρες το χρόνο και έχει ως βασική λειτουργία τη συνεχή

παρακολούθηση και ανάλυση των δεδομένων που συλλέγονται

με στόχο τον εντοπισμό επιθέσεων. Έτσι, σε κάθε ένδειξη

για πιθανό περιστατικό ασφάλειας, ανωμαλία στη ροή

πληροφοριών, απόπειρα μη εξουσιοδοτημένης πρόσβασης

ή οποιαδήποτε άλλη δυσλειτουργία, οι εξειδικευμένοι και

πιστοποιημένοι μηχανικοί και τα κεντρικά συστήματα ασφαλείας

του SOC αναλαμβάνουν άμεσα δράση, προκειμένου να

αναλύσουν το συμβάν, να ενημερώσουν την επιχείρηση και

να προτείνουν τα αναγκαία μέτρα για την αντιμετώπισή του.

Επιπλέον, μέσω της κεντρικής δικτυακής πύλης ασφαλείας

(ΟΤΕ Managed Security Services Web Portal) του SOC παρέχεται

στην INTERAMERICAN ένα περιβάλλον διαχείρισης

που της επιτρέπει να έχει ανά πάσα στιγμή πλήρη εποπτεία

της κατάστασης ασφάλειας των κρίσιμων υποδομών της.

Οι υπηρεσίες Managed Security Services του ΟΤΕ διακρίνονται

για την προηγμένη τεχνολογία ανάλυσης δεδομένων

και συσχέτισης πληροφοριών, καθώς μέσα από την next

generation SIEM πλατφόρμα που χρησιμοποιείται, παρέχονται

με εξαιρετική ακρίβεια κορυφαίες δυνατότητες α-

νάλυσης μεγάλου όγκου δεδομένων (big data) με ένα πολύ

ευέλικτο, εύχρηστο και γρήγορο τρόπο. Είναι σημαντικό να

σημειωθεί ότι η λειτουργία τους διέπεται από αυστηρές διαδικασίες,

ενώ το SOC του ΟΤΕ είναι πιστοποιημένο κατά

ISO 27001. Αναφορικά με το επίπεδο των προσφερόμενων

υπηρεσιών καθώς και τους χρόνους απόκρισης, προβλέπεται

αυστηρό SLA. iTSecurity

Κάλυψη σε βάση 24Χ7

Νίκος Μαρουλιανάκης,

Infrastructure & Enterprise Data

Manager της INTERAMERICAN

«Είναι αυτονόητη η ανάγκη της

εταιρείας μας για διασφάλιση

υψηλών standards ασφάλειας

στα πληροφοριακά μας

συστήματα, η οποία αντανακλάται

άμεσα στην παροχή υ-

ψηλού επιπέδου υπηρεσιών

προς τους πελάτες μας», ε-

πισημαίνει ο Νίκος Μαρουλιανάκης,

Infrastructure &

Enterprise Data Manager της

INTERAMERICAN. «Έτσι, α-

πευθυνθήκαμε στον ΟΤΕ και

διευρύναμε την υπάρχουσα ά-

ριστη συνεργασία μας, αφού βεβαιωθήκαμε ότι μας παρέχονται

τα εχέγγυα για 100% κάλυψη των αναγκών μας, σε βάση 24Χ7».

OTE Information Security

Για τις αυξημένες ανάγκες α-

σφάλειας των επιχειρήσεων, ο

ΟΤΕ προσφέρει μία σειρά ολοκληρωμένων

λύσεων αναφορικά

με την προστασία των Πληροφοριακών

Συστημάτων και Δικτύων τους προκειμένου να αντιμετωπίσουν

και να μειώσουν κινδύνους από τυχόν επιθέσεις.

Συγκεκριμένα, προσφέρει Συμβουλευτικές Υπηρεσίες (Consulting

Services) που στοχεύουν στην αξιολόγηση της ασφάλειας

των συστημάτων μίας επιχείρησης και στην παροχή προτάσεων

διαμόρφωσης στρατηγικής για τη βελτίωσή του συνολικού επιπέδου

ασφάλειας. Οι υπηρεσίες αυτές περιλαμβάνουν Vulnerability

Assessment, Penetration Testing, Regulatory Compliance Audit,

δημιουργία νέων ή αξιολόγηση των υφιστάμενων πολιτικών και διαδικασιών

ασφάλειας.

Παράλληλα, ο ΟΤΕ σχεδιάζει και υλοποιεί Ολοκληρωμένες Λύσεις

Ασφάλειας (Integrated Security Solutions) που περιλαμβάνουν

την προμήθεια, εγκατάσταση και υποστήριξη λύσεων κορυφαίων

παγκοσμίως κατασκευαστικών οίκων που εξειδικεύονται σε προηγμένες

τεχνολογίες ασφάλειας.

Τέλος, παρέχει Υπηρεσίες Managed Security Services με στόχο

την παρακολούθηση ή διαχείριση πληροφοριακών υποδομών

ασφάλειας, καθώς και την άμεση ενημέρωση για περιστατικά α-

σφάλειας. Οι υπηρεσίες αυτές βασίζονται στη λειτουργία σε 24ωρη

βάση ενός Security Operations Center (SOC), που στελεχώνεται

με εξειδικευμένους και πιστοποιημένους μηχανικούς.

security

21


T4003/04.2015

Issue

Internet of Everything for Defense

Η τάση του Internet of Everything (IoE) κερδίζει συνεχώς έδαφος και αρχίζει να εφαρμόζεται σε

πολλούς τομείς. Ένας από τους πλέον κρίσιμους τομείς εφαρμογής του Internet of Everything

που παρουσιάζει ιδιαίτερο ενδιαφέρον, είναι μεταξύ άλλων και οι στρατιωτικές επιχειρήσεις.

Τ

ο όραμα Υπηρεσιών Άμυνας για τη διαχείριση

των επιχειρήσεων στα πεδία των πολεμικών

μαχών μέσα από μια δικτυο-κεντρική

προσέγγιση ξεκίνησε το 1996 και βασίζονταν

σε 4 βασικά χαρακτηριστικά:

• Δικτύωση όλων των εμπλεκόμενων δυνάμεων με σκοπό τον

αποτελεσματικότερο διαμοιρασμό πληροφοριών

• Ανταλλαγή πληροφοριών και καλύτερη συνεργασία των δυνάμεων

μεταξύ τους με σκοπό την ενίσχυση της ποιότητας

των λαμβανόμενων πληροφοριών

• Κοινή αντίληψη της κατάστασης για την επίτευξη του ιδανικού

συγχρονισμού των δυνάμεων άμυνας

• Συνδυασμός και των τριών παραπάνω για την αναβάθμιση

της αποτελεσματικότητας των επιχειρήσεων

Το όραμα αυτό, γίνεται πλέον πραγματικότητα, μέσω του

Internet of Everything (IoE)

Το Δίκτυο και η πλατφόρμα του IoE

Η πλατφόρμα του IoE αποτελεί τη βάση για ένα δίκτυο στο

οποίο επιτυγχάνεται διασύνδεση ανθρώπων, διαδικασιών,

δεδομένων και συσκευών, προσφέροντας μια μεγάλη δυνατότητα

σύγκλισης των λειτουργιών και υποδομών security –

mobility – cloud και big data, στα πλαίσια των στρατιωτικών

επιχειρήσεων.

Έως το 2020, αναμένεται να είναι συνδεδεμένες στο IοΕ, 50

δισεκατομμύρια συσκευές, έτσι ώστε να επικοινωνούν και να

ανταλλάσσουν πληροφορίες μεταξύ τους, καθώς και να λαμβάνουν

δεδομένα από m2m αισθητήρες. Αυτού του είδους η

επικοινωνία, επιτρέπει την ανταλλαγή και την ανάλυση δεδομένων

σε πραγματικό χρόνο, καθώς και τον αποτελεσματικότερο

σχεδιασμό του τρόπου αντίδρασης και διαχείρισης κάθε

γεγονότος, προσφέροντας έτσι στο πεδίο μάχης:

• Καλύτερη προστασία του ανθρώπινου δυναμικού των στρα-

The Connected Battlefield in Action

HYBRID CLOUD

Data Center

Navigation System

Fog Nodes

COMBAT CLOUD

Sensors

COCOMs

Secure Voice

to Collaboration

Data Virtualization-

Analytic Fusion

Communications

HQ

Weapons

C2 and Sensor

Integration

Mobility Systems

Enterprise

Information Technology

Deployed Operations

Operational Technology

Secure Mission Fabric

Connected Edge

22 security


Internet of Everything for Defense

Δικτυακή Σύνδεση

μεταξύ ατόμων,

διαδικασιών, δεδομένων

και συσκευών

Ανθρώπινο Δυναμικό

Διασύνδεση ατόμων με πιο

αποτελεσματικούς τρόπους

Δεδομένα

Ευφυής χρήση των δεδομένων

για την λήψη πιο εύστοχων αποφάσεων

Διεργασίες

Παράδοση της κατάλληλης πληροφορίας

στον σωστό άνθρωπο (ή μηχανή)

στον σωστό χρόνο

Συσκευές

Αντικείμενα συνδεδεμένα στο Internet και

μεταξύ τους για την λήψη στοχευόμενων

αποφάσεων. (Internet of Things- IoT)

τευμάτων

• Παραγωγικότερες επιχειρήσεις

• Δυναμικές και καλύτερα αξιοποιήσιμες πληροφορίες

• Ικανοποιητικότερα αποτελέσματα στην έκβαση των μαχών

Αυτή η ενοποίηση των επικοινωνιών μηχανών και ανθρώπων,

επιτρέπει τη λήψη των σωστών αποφάσεων σε πραγματικό

χρόνο, κάτι είναι που είναι ζωτικής σημασίας για την έκβαση

των στρατιωτικών επιχειρήσεων.

Πιο αναλυτικά, σε στρατιωτικές επιχειρήσεις η αξιοποίηση

του IoE επιτρέπει την ενσωμάτωση αντικειμένων όπως τα

κράνη, τα οχήματα, τα όπλα και τα μη επανδρωμένα αεροπλάνα,

σε ένα ασφαλές δίκτυο επικοινωνιών ώστε να παρέχεται

το πλεονέκτημα της άμεσης πληροφόρησης.

Το σύνολο των στρατευμάτων και κυρίως οι αξιωματικοί που

λαμβάνουν τις σημαντικές αποφάσεις, μπορούν να παραμένουν

σε συνεχή επικοινωνία, αποκτώντας άμεση γνώση των

κρίσιμων πληροφοριών προκειμένου να μπορούν να ανταποκριθούν

αποτελεσματικά στις συνεχώς μεταβαλλόμενες

συνθήκες μίας μάχης.

Real time επικοινωνία στο πεδίο της μάχης

Στις μέρες μας, οι στρατιωτικές επιχειρήσεις απαιτούν μη

διακοπτόμενη επικοινωνία σε πραγματικό χρόνο, μεταξύ

των στρατευμάτων, των αξιωματικών, των διαφόρων αναλυτών

και ειδικών καθώς και των μηχανών. Η ενοποίηση των

συστημάτων C4ISR, αισθητήρων, βίντεο, συστημάτων φωνητικής

επικοινωνίας και ανάλυσης δεδομένων και φορητών

συσκευών, αυξάνει κατά πολύ τα επίπεδα ευελιξίας στο πεδίο

της μάχης. Η αξιοποίηση της τεχνολογίας Cisco® IoE

εξασφαλίζει δυνατότητες ανάλυσης μεγάλου όγκου δεδομένων,

ασφάλειας σε πολλαπλά επίπεδα, δικτύωσης SDN και

οπτικής απεικόνισης της δικτυακής δομής. Έτσι, δημιουργείται

μια αρχιτεκτονική που επιτρέπει κάθε στρατιωτική α-

ποστολή να παρακολουθείται σε πραγματικό χρόνο, να επανασχεδιάζεται

και να μπορεί να αντιμετωπίσει οποιαδήποτε

νέα απειλή τη στιγμή που αυτή ανακύπτει.

Η αρχιτεκτονική Cisco® IoE περιλαμβάνει:

• Δυνατότητες επεξεργασίας, αποθήκευσης και virtualization

των διαθέσιμων πόρων στα data center

• Κόμβους fog computing, που επεκτείνουν το ΙΡ έως τους

τελικούς χρήστες

• Βέλτιστες πολιτικές ασφαλείας μεταξύ data center και

τελικών χρηστών

• Διασύνδεση μέσω του Cisco Intercloud Fabric

• Ασφαλείς δομές για επικοινωνία φωνής και βίντεο μέσω

φορητών συσκευών

• Φορητοί αισθητήρες που μπορούν να φορεθούν στο πεδίο

της μάχης

Η κεντρική διαχείριση, σε συνδυασμό με την εξελιγμένη δικτύωση

και την παροχή ασφάλειας σε επίπεδο εφαρμογών,

βοηθούν ουσιαστικά στην προστατευμένη πρόσβαση σε ευαίσθητές

ή απόρρητες πληροφορίες και ελαχιστοποιούν τον

κίνδυνο ύπαρξης τρωτών σημείων. Αξίζει να σημειωθεί, ότι

ο σωστός σχεδιασμός της δομής του IoE και η αξιόπιστη υ-

λοποίηση του, είναι στοιχεία που θα διασφαλίσουν τη θετική

έκβαση μιας στρατιωτικής επιχείρησης.

Προστασία μέσω αισθητήρων

Η ενοποιημένη επεξεργασία των δεδομένων που προέρχονται

από τους αισθητήρες, που βρίσκονται στρατηγικά τοποθετημένοι

σε ένα πεδίο μάχης, βοηθά στην έγκυρη και έγκαιρη

ενημέρωση των στρατευμάτων για οποιοδήποτε συμβάν,

την μεταξύ τους ουσιαστική συνεργασία στις επιχειρήσεις και

κατ’ επέκταση την ενίσχυση της αποτελεσματικότητάς τους.

Επιπρόσθετα, διάφορες φορητές συσκευές, που αντλούν δεδομένα

για τις ζωτικές λειτουργίες των στρατιωτών, την θερμοκρασία

τους, τα επίπεδα ακτινοβολίας στα οποία εκτίθενται

ή την δύναμη μιας κρούσης που δέχτηκαν, βοηθούν στην

αμεσότερη αντίδραση και την παροχή ιατρικής βοήθειας κάτι

που αποδεικνύεται σωτήριο στις περισσότερες περιπτώσεις.

Ασφαλές δίκτυο στο πεδίο της μάχης.

Η δημιουργία ενός δικτύου επικοινωνίας πολλαπλών σημείων

στο πεδίο μάχης, μπορεί να επιφέρει πολλά πλεονεκτήματα

και δυνατότητες, όμως από την άλλη πλευρά, δημιουργεί

και αρκετές ανησυχίες σχετικά με την ασφάλεια και ειδικότερα

με το ενδεχόμενο μη εξουσιοδοτημένων προσβάσεων

στα κρίσιμα για τις στρατιωτικές επιχειρήσεις δίκτυα. Καθώς

security

23


T4003/04.2015

Issue

Internet of Everything for Defense

το πλήθος των διασυνδεδεμένων αισθητήρων και συσκευών

αυξάνεται και οι εφαρμογές video μεταβαίνουν σε IP δίκτυα,

η σημασία της φυσικής αλλά και δικτυακής ασφάλειας καθίσταται

ιδιαίτερα επιτακτική.

Η παλαιότερη τακτική της προστασίας των δεδομένων απλά

και μόνο με τη χρήση firewalls, δεν επαρκεί σε καμία περίπτωση,

ειδικά στις στρατιωτικές επιχειρήσεις. Σήμερα, είναι

απαραίτητο όσο ποτέ άλλοτε η προστασία των δεδομένων να

επεκταθεί σε όλες τις επιμέρους δομές μιας στρατιωτικής

επιχείρησης, στα πλαίσια ενός νέου κατανεμημένου υπολογιστικού

περιβάλλοντος, που είναι γνωστό ως FOG.

Κάθε στρατιωτικός οργανισμός, αλλά και οποιοσδήποτε οργανισμός

επιθυμεί να εκμεταλλευτεί τις δυνατότητες του ΙοΕ,

πρέπει πρωταρχικά να κατανοήσει τον τρόπο που θα μείνει

προστατευμένος και αυτό προϋποθέτει τα εξής :

Ασφάλεια των αισθητήρων και των συσκευών. Όταν χρησιμοποιούνται

αισθητήρες και συσκευές που έχουν περιορισμένο

αποθηκευτικό χώρο και δυνατότητες επεξεργασίας

για κρυπτογράφηση, πρέπει να γίνεται κρυπτογράφηση των

δεδομένων στα σημεία, αποθήκευσης, επικοινωνίας και

πρόσβασης

Ασφάλεια του Fog. Το Fog είναι ένα νέο κατανεμημένο υπολογιστικό

επίπεδο, το οποίο περιλαμβάνει αισθητήρες, συσκευές,

μηχανισμούς ανάλυσης αλλά και τελικούς χρήστες,

καθορίζοντας έτσι ένα νέο επιχειρησιακό τρόπο τέλεσης των

στρατιωτικών αποστολών, μέσω κατανεμημένου ελέγχου.

Ουσιαστικά, παρέχει τη δυνατότητα να συγκεντρώνει, να α-

θροίζει και να διαχειρίζεται τα δεδομένα που αντλεί τοπικά

και να συνδέεται με τον κεντρικό οργανισμό και άλλες cloud

υποδομές για περαιτέρω ανάλυση και χρήση των αποτελεσμάτων.

Το Fog είναι επίσης γνωστό ως Combat Cloud και

πρέπει να διατηρείται ασφαλές, με δεδομένα ακέραια και

προστατευμένα για όσο χρονικό διάστημα χρησιμοποιείται.

Ασφάλεια της αλυσίδας διανομής των δεδομένων. Τα δεδομένα

πρέπει να διατηρηθούν ασφαλή από το σημείο στο

οποίο δημιουργήθηκαν, σε όλη τη διαδρομή τους στο δίκτυο

και στον τελικό προορισμό τους στο κέντρο δεδομένων. Η α-

σφάλεια πρέπει να διατηρηθεί τόσο κατά την διανομή των δεδομένων

όσο και κατά την αντιγραφή και την ανάλυσή τους.

Το διασυνδεδεμένο πεδίο μάχης στη πράξη

Ο όραμα ενός διασυνδεδεμένου πεδίου μάχης γίνεται σήμερα

πραγματικότητα. Ο στρατιώτης στο πεδίο των επιχειρήσεων

μετατρέπεται σε μέρος ενός ευρύτερου δικτύου και

ανάγεται σε έναν επικοινωνιακό κόμβο, που μπορεί να συλλέγει

και να μεταδίδει δεδομένα από πολυάριθμες πηγές και

ποικίλους δέκτες. Εν συνεχεία, τα δεδομένα διανέμονται σε

ανώτερα στελέχη σε διάφορα επίπεδα της στρατιωτικής ιεραρχίας,

όπου αναλύονται και βοηθούν στη λήψη εξαιρετικά

εύστοχων αποφάσεων με το πλεονέκτημα της αντίδρασης σε

πραγματικό χρόνο.

Πέραν, της ανάλυσης τόσο σε πραγματικό χρόνο όσο και μεταγενέστερα,

με στόχο τον ορθότερο σχεδιασμό επιχειρήσεων,

η χρήση του ΙοΕ δεν σταματά εκεί. Εξασφαλίζει την

άμεση παροχή πόρων στο πεδίο της μάχης, όπου αυτό κρίνεται

αναγκαίο. Το Cisco IoE Connected Battlefield μπορεί

να παρέχει επικαιροποιημένες πληροφορίες για το επίπεδο

που βρίσκονται οι κρίσιμες προμήθειες, τα πυρομαχικά, το

νερό, τα τρόφιμα και τα καύσιμα και αλλάζει έτσι τελείως τον

τρόπο διαχείρισης ενός επιχειρησιακού σχεδιασμού. Το ΙοΕ

βοηθά επίσης στην αύξηση της απόδοσης και τον έλεγχο του

κόστους μέσω αυτοματοποιημένων διαδικασιών.

Η συμβολή της Cisco

Αυτό λοιπόν που μπορεί κάποτε να φάνταζε ως ταινία επιστημονικής

φαντασίας, είναι σήμερα ρεαλιστικός στόχος. Από τα

δίκτυα νέας γενιάς μέχρι τις εφαρμογές mobility και cloud,

η CISCO παρέχει πλέον μια ασφαλή και ενοποιημένη αρχιτεκτονική

που διασύνδεει ανθρώπους, διαδικασίες, δεδομένα

και συσκευές. Προσφέρει δηλαδή μια δικτυακή πλατφόρμα

ως πυλώνα παγκόσμιας επικοινωνίας και συνεργασίας που

συνδέει οργανισμούς μεταξύ τους και ενισχύει την αποτελεσματικότητα

κάθε επιχειρησιακής λειτουργίας.

Η Cisco σε συνεργασία με τις Υπηρεσίες Άμυνας μπορεί να

κάνει σήμερα πράξη το όραμα ενός δικτυο-κεντρικού πεδίου

μαχών, δημιουργώντας μια ενοποιημένη δομή στις εκάστοτε

επιχειρήσεις. iTSecurity

24 security


T4003/04.2015

Issue

ESET: Τα 5 βήματα που πρέπει

να ακολουθήσει μία εταιρεία που

έχει πέσει θύμα κυβερνοεπίθεσης

O

ι εταιρίες όλο και περισσότερο μετατρέπουν

τα περιουσιακά στοιχεία τους σε ψηφιακή

μορφή και στηρίζουν ακριβώς εκεί τη λειτουργία

και τη δραστηριότητά τους, γεγονός

που προσδίδει στην προστασία των εταιρικών

δεδομένων ακόμη μεγαλύτερη σημασία. Καθώς οι ειδικοί

εκτιμούν ότι οι κυβερνοεπιθέσεις δεν θα σταματήσουν

να υφίστανται, η ESET Hellas κατέγραψε πέντε σημαντικά

βήματα που μπορούν να ακολουθήσουν εταιρίες που έχουν

πέσει θύμα επίθεσης για να ξεπεράσουν ευκολότερα την κατάσταση

αυτή και να διαφυλάξουν την επιχειρηματική τους

συνέχεια.

1. Για αρχή, είναι σημαντικό οι εταιρίες να προβούν σε α-

ναλυτική εξέταση της επίθεσης. Με τον τρόπο αυτό, θα

μπορέσει να προσδιοριστεί καλύτερα και σωστότερα ποια

συστήματα έχουν παραβιαστεί και με ποιο τρόπο, και να

απαντηθούν σημαντικά ερωτήματα όπως: Η μόλυνση περιορίζεται

σε ένα μόνο κομμάτι του εξοπλισμού ή σε μέρος

του δικτύου; Έχουν διαρρεύσει ευαίσθητα δεδομένα;

Μιλάμε για εταιρικά ή προσωπικά δεδομένα, που αφορούν

τους εργαζομένους ή / και τους πελάτες;

2. Σε περίπτωση διαρροής πληροφοριών που θα μπορούσαν

να θέσουν σε κίνδυνο εργαζόμενους ή πελάτες, το δεύτερο

βήμα είναι η ενημέρωση για πιθανή παράβαση και η

παροχή συμβουλών να προσέξουν τυχόν ασυνήθιστες κινήσεις.

Αν υπάρχει σημαντική βλάβη του hardware, τότε

θα πρέπει να ξεκινήσουν διαδικασίες ενεργοποίησης α-

ντιγράφων ασφαλείας, ώστε να διατηρηθεί η εξυπηρέτηση

των πελατών.

3. Στη συνέχεια, θα πρέπει να γίνουν ενέργειες για τον περιορισμό

της μόλυνσης, ξεκινώντας με την απομόνωση

του εξοπλισμού που έχει παραβιαστεί. Αν διαπιστωθεί

ότι πρόκειται για κακόβουλο λογισμικό που χρησιμοποιεί

κρυπτογράφηση, θα πρέπει να γίνει προσπάθεια αντίστροφης

μηχανικής για να αποκτηθούν τα κλειδιά. Ωστόσο,

εάν η επικοινωνία λαμβάνει χώρα σε μη εμπιστευτικά

πρωτόκολλα όπως HTTP, η παρακολούθηση θα είναι πιο

εύκολη. Σε κάθε περίπτωση, θα πρέπει να δημιουργηθούν

νέοι κανόνες firewall. Δεδομένου ότι οι περισσότερες

από τις παραπάνω διαδικασίες προϋποθέτουν τη

μη αυτοματοποιημένη ανάλυση των πληροφοριών, είναι

σημαντικό να τεθεί σε εφαρμογή μια ολοκληρωμένη λύση

ασφάλειας.

4. Στο τέταρτο βήμα βρίσκονται οι πολύπλοκες διαδικασίες

απομάκρυνσης του κακόβουλου κώδικα, στις οποίες συνίσταται

η χρήση λύσεων Antivirus για ταχύτερα και καλύτερα

αποτελέσματα. Αξίζει να σημειωθεί ότι ακόμα και μετά

τον καθαρισμό, υφίσταται κίνδυνος να υπάρχει και άλλος

μολυσμένος εξοπλισμός που δεν έχει ανακαλυφθεί ενώ

λειτουργεί κανονικά. Για να αποφευχθεί αυτό, πρέπει να

ενισχυθεί η ανάλυση των πακέτων που μεταδίδονται από

το δίκτυο. Η αλλαγή των κωδικών πρόσβασης σε εταιρικά

δίκτυα είναι ένα άλλο προληπτικό μέτρο, παράλληλα με

την επικαιροποίηση των κλειδιών. Σε αυτό το σημείο, α-

ξίζει να διαπιστωθεί κατά πόσον η μόλυνση ήταν το απλό

αποτέλεσμα μίας online απροσεξίας, ή αν αποτελεί ένα

κρίκο σε μια αλυσίδα επίμονων στοχευμένων επιθέσεων.

5. Κλείνοντας, η διεξαγωγή εις βάθος έρευνας για το τι συνέβη,

θα δώσει αφορμή για τη βελτίωση των διαδικασιών

εντός του οργανισμού. Η αφαίρεση τυχόν τρωτών σημείων

ενισχύει την περίμετρο των εταιρικών δικτύων, αποδεικνύοντας

ότι πολλές φορές οι μολύνσεις δεν είναι πάντα

απολύτως αρνητικά γεγονότα για μια εταιρεία, αφού

υποδεικνύον τα σημεία που πρέπει να ενισχυθούν για ένα

καλύτερο σχεδιασμό της εταιρικής προστασίας. iTSecurity

security

25


T4003/04.2015

Issue

Η αξιοπιστία σύνδεσης

στο Διαδίκτυο ως πυλώνας

παραγωγικότητας των επιχειρήσεων

Το Διαδίκτυο αποτελεί πια ένα σημαντικό κομμάτι της καθημερινότητάς μας. Προκειμένου

να είναι οι επιχειρήσεις βιώσιμες και κατ’ επέκταση επικερδείς, η ανάγκη για όσο γίνεται

μεγαλύτερο bandwidth, αλλά ταυτόχρονα και υψηλότερη αξιοπιστία είναι παρούσα περισσότερο

από ποτέ.

ίτε αφορά τη χρήση στο εμπόριο, είτε για

Ε

την ανταλλαγή εταιρικών δεδομένων, ή για

τα ιδιαίτερα ασφαλή συστήματα πληρωμής,

ή ακόμη και για την ασφαλή διασύνδεση υ-

ποκαταστημάτων, η εργασία χωρίς Internet

είναι πλέον αδιανόητη. Εντούτοις, οι συχνές βλάβες των ε-

πίγειων γραμμών και η συμφόρηση των δικτύων κινητής τηλεφωνίας

των παρόχων, ακόμα κι αν προσφέρουν ικανοποιητικά

επίπεδα υπηρεσιών στους επιχειρησιακούς πελάτες

τους, κάνουν την επιλογή των γραμμών αυτών εξαιρετικά

δαπανηρή ενώ ταυτόχρονα η αξιοπιστία τους είναι σε πολύ

χαμηλά επίπεδα.

Λαμβάνοντας υπόψη τα παραπάνω, μια αξιόπιστη σύνδεση

με υψηλά ποσοστά διαθεσιμότητας (άνω του 99,9%)

και ικανοποιητικό bandwidth, είναι απαραίτητη για όλες

τις επιχειρήσεις προκειμένου να κινούνται με ανοδικούς

στόχους και με αποτελεσματικά κριτήρια. Για την ικανοποίηση

αυτών των απαιτήσεων, οι κίνδυνοι διακοπής λειτουργίας

πρέπει να μοιραστούν σε διαφορετικούς παρόχους, σε

διαφορετικές τεχνολογίες πρόσβασης και σε διαφορετικές

backbone υποδομές. Για να επιτευχθεί κάτι τέτοιο υπάρχουν

διάφορες προσεγγίσεις: load balancing, performancebased

routing και WAN bonding τις οποίες αναλύουμε

παρακάτω.

Load balancing

Με το Load balancing, μπορείτε να ισορροπείτε την κυκλοφορία

των δεδομένων σας σε διαφορετικές τεχνολογίες δικτύων.

Κατά συνέπεια, οι εφαρμογές διανέμονται (π.χ. σε

μια round-robin προσέγγιση) στις διαφορετικές συνδέσεις,

Με αυτόν τον τρόπο, χρησιμοποιώντας το εύρος ζώνης των

μεμονωμένων συνδέσεων ταυτόχρονα, η εφαρμογή Ένα ταξιδεύει

στη σύνδεση ένα, η εφαρμογή Δυο στη σύνδεση δύο,

και ούτω καθ’ εξής. Αυτή η προσέγγιση έχει διάφορες ανεπάρκειες:

• Οι εφαρμογές μπορούν να εκμεταλλευτούν το bandwidth

μιας μεμονωμένης σύνδεσης και όχι το bandwidth όλων

των συνδέσεων μαζί.

• Εάν μια σύνδεση διακοπεί, όλες τις εφαρμογές που τη χρησιμοποιούσαν

διακόπτονται.

• Εάν η ποιότητα μιας σύνδεσης μειώνεται βαθμιαία (π.χ. η

αύξηση στο latency ή αύξηση στην απώλεια πακέτων), το

σύστημα είναι αδύνατο να μεταφέρει τα δεδομένα της ε-

φαρμογής (π.χ. IP Τηλεφωνία) σε μια διαφορετική σύνδεση

με καλύτερη συμπεριφορά.

Performance-based Routing

Το Performance-based Routing αφήνει τις εφαρμογές σας

να μεταδοθούν με βάση διαφορετικά κριτήρια, μέσω παράλληλων

δικτυακών υποδομών. Αυτά τα κριτήρια μπορούν να

περιλαμβάνουν το χρόνο απόκρισης, την απώλεια πακέτων,

το jitter, το mean opinion score (MOS), τη διαθεσιμότητα, το

φόρτο, και πολιτικές κόστους. Αυτός ο τρόπος διασύνδεσης

αξιοποιεί καλύτερα δυναμικά πρωτόκολλα δρομολόγησης,

όπως τα BGP, OSPF, και EIGRP. Το Performance-based

Routing είναι ανώτερο από το load balancing δεδομένου ότι

λαμβάνει υπόψη τις συγκεκριμένες ανάγκες των εφαρμογών.

Όμως, η τεχνολογία απαιτεί μεγάλη επεξεργαστική ισχύ και

ως εκ τούτου στοχεύει σε μεσαίου ή υψηλού κόστους δρομολογητές.

Οι περιορισμοί της τεχνολογίας αυτής είναι:

• Οι εφαρμογές μπορούν μόνο να έχουν πρόσβαση στο

26 security


Του Ηλία Παύλου

General Manager,

iPhoenix Networks

bandwidth μιας μεμονωμένης σύνδεσης και όχι στο

bandwidth των συνδέσεων μαζί.

• Εάν μια σύνδεση βγει εκτός λειτουργίας, όλες τις εφαρμογές

που τη χρησιμοποιούσαν διακόπτονται και απαιτούνται

μερικά δευτερόλεπτα για να μεταφερθούν τα δεδομένα σε

μια διαφορετική σύνδεση και ν αρχίσει την αναμετάδοση

τους εκ νέου.

• Εάν η ποιότητα μιας σύνδεσης μειώνεται βαθμιαία (π.χ.

η αύξηση στο latency ή αύξηση στην απώλεια πακέτων),

το σύστημα είναι αδύνατο να μεταφέρει τα δεδομένα της

εφαρμογής (π.χ. IP Τηλεφωνία) σε μια διαφορετική σύνδεση.

WAN Bonding

Το WAN Bonding υιοθετεί μια πολύ διαφορετική προσέγγιση.

Δημιουργεί μια εικονική σύνδεση υψηλού bandwidth

συνδυάζοντας διάφορες μεμονωμένες φυσικές συνδέσεις.

Αυτό σημαίνει, ότι όλες οι διαθέσιμες συνδέσεις συνδυάζονται

για να διαμορφώσουν μια μεγάλη σύνδεση που παρέχει

το άθροισμα του bandwidth όλων των γραμμών είτε

για μια μόνο υπηρεσία (π.χ. video conferencing, streaming,

backup) ή για πολλές εφαρμογές. Με το WAN Bonding, έ-

χετε διάφορες επιλογές όπως δρομολόγηση βασισμένη

στο latency ή στο bonding, ανάλογα με τις ανάγκες κάθε

εφαρμογής. Η ουσία του WAN Bonding είναι ότι ακόμα κι

αν μια σύνδεση διακοπεί ή μειωθεί η απόδοση της, ο δρομολογητής

διαβιβάζει αυτόματα τα ενδεχομένως «χαμένα»

πακέτα δια μέσου μιας διαφορετικής σύνδεσης. Τα οφέλη

του WAN Bonding είναι:

• Όλο το bandwidth είναι διαθέσιμο ακόμη και για μια ε-

φαρμογή και μόνο

• Εξαιρετικά χαμηλή απώλεια πακέτων ακόμη και στα δυσκολότερα

περιβάλλοντα εφαρμογής (π.χ. ζωντανή αναμετάδοση

από κινούμενα οχήματα)

• Συνδυασμός πολλών διαφορετικών τεχνολογιών που μας

επιτρέπει διαθεσιμότητα 100% με κατανομή του κινδύνου

διακοπής

• Καμία απώλεια σύνδεσης για τις εφαρμογές εάν μια σύνδεση

διακοπεί, εφ’ όσον παραμένει τουλάχιστον μια σύνδεση

ενεργή

• Το επίπεδο της ασφάλειας είναι εξαιρετικά υψηλό αφού

τα πακέτα σπάνε σε μικρότερα κομμάτια και αποστέλλονται

μέσα από τις διαφορετικές συνδέσεις. Επομένως, είναι

σχεδόν αδύνατο να παραβιαστούν ταυτόχρονα τα δίκτυα

όλων των παρόχων, να συσχετιστούν τα κομμάτια και να ε-

πανοικοδομηθεί το πακέτο IP.

WAN Bonding: Some Industry Examples

Το wan bonding μπορεί να βοηθήσει δεκάδες τομείς του

εμπορίου και της βιομηχανίας να βελτιώσουν δραματικά τη

σύνδεση τους με το διαδίκτυο.

• Καράβια κάθε είδους μπορούν να προσφέρουν στους ε-

πιβάτες τους σύνδεση υψηλής ταχύτητας και χαμηλής

καθυστέρησης μέσω συνδυασμένων γραμμών 3G/4G.

• Οι υπηρεσίες ασφαλείας και δημόσιας τάξης χρειάζονται

ασφαλή σύνδεση με το διαδίκτυο ανεξάρτητα από ποιον

πάροχο προσφέρεται αυτή σε κάθε σημείο.

• Λεωφορεία και τρένα που κινούνται με μεγάλη ταχύτητα είναι

το πλέον αφιλόξενο περιβάλλον για μια σταθερή σύνδεση

με το διαδίκτυο. Με το wan bonding και τη κατάλληλη

τεχνολογία ο κάθε επιβάτης μπορεί να απολαμβάνει σταθερή

και υψηλής ταχύτητας σύνδεση με το διαδίκτυο!

Το wan Bonding εκμηδενίζει τα μειονεκτήματα των load

balancing και Performance-based Routing και είναι πιο

οικονομικό: Συνδυάζοντας φθηνές γραμμές σύνδεσης όπως

ADSL, VDSL, 3G/4G αποκτάτε μια γρήγορη και αξιόπιστη

σύνδεση, η οποία κοστίζει αρκετά χαμηλότερα από μια μισθωμένη

γραμμή ή ένα MPLS. Επιπλέον, με το wan Bonding

εκμεταλλεύεστε τα διαφορετικά φυσικά μέσα (ενσύρματα ή

ασύρματα) για να απολαμβάνετε μια εξαιρετικά υψηλής αξιοπιστίας

σύνδεση.

Το wan Bonding είναι η καθιερώνουσα τεχνολογία κι εμείς

στην iPhoenix Networks επιλέξαμε τον κορυφαίο κατασκευαστή

wan bonding routers, την Γερμανική VIPRINET για να

προσφέρουμε υπηρεσίες και εξοπλισμό που θα βοηθήσουν

τους πελάτες μας να αποκτήσουν μια σταθερή και αξιόπιστη

σύνδεση με το διαδίκτυο. iTSecurity

security

27


T4003/04.2015

Issue

Πόσο ασφαλές είναι το VoIP;

Με τους μεγαλύτερους φορείς τηλεπικοινωνιών να μπαίνουν στη διαδικασία του να

προετοιμάζουν VoIP υπηρεσίες για μαζική χρήση, έχει αυξηθεί σημαντικά ο κίνδυνος των

ευρέως διαδεδομένων παραβιάσεων ασφαλείας, δημιουργώντας την ανάγκη να καλυφθούν

άμεσα τα εν δυνάμει κενά ασφαλείας, πριν οι χάκερς δημιουργήσουν χάος στα επιχειρηματικά

δίκτυα φωνής.

ως τώρα, το VoIP security δεν αποτελούσε

Έ

ένα ιδιαιτέρως κρίσιμο θέμα καθώς στο παρελθόν

το μεγαλύτερο VoIP traffic, παρέμενε

σε τοπικά και ευρείας περιοχής επιχειρησιακά

δίκτυα, τα οποία ήταν λίγο πολύ ασφαλή

και προστατεύονταν από το δημόσιο Internet. Καθώς όμως η

χρήση VoIP διαδίδεται και η διαδικτυακή τηλεφωνία μπαίνει

στο παιχνίδι, οι επιχειρήσεις και οι οικιακοί χρήστες υπόκεινται

στους ίδιους κινδύνους ασφαλείας που επηρεάζουν εδώ

και δεκαετίες τα δίκτυα δεδομένων, ανοίγοντας κατά αυτό τον

τρόπο την πόρτα σε μια καινούρια πραγματικότητα κινδύνων

ασφαλείας. Αυτό οφείλεται σε μεγάλο βαθμό στο γεγονός ό-

τι τα δίκτυα φωνής επόμενης γενιάς είναι IP-based και όλα

τα IP πρωτόκολλα που στέλνουν φωνητική κίνηση περιέχουν

κενά ασφαλείας στο βασικό κορμό τους.

Ποιός είναι σε κίνδυνο;

Ένα διαδικτυακό περιβάλλον μπορεί να χαρακτηριστεί ως ε-

χθρικό για VoIP εφαρμογές για πολλούς λόγους. Ο πιο σημαντικός

είναι ότι οι επιθέσεις δεν είναι ανιχνεύσιμες και όλο το

δίκτυο είναι εκτεθειμένο σε κάθε είδους spoofing και sniffing.

Τι είδους τρωτά σημεία υπάρχουν? Οι υποκλοπές είναι μια

από τις πιο κοινές απειλές σε VoIP περιβάλλοντα. Μη εξουσιοδοτημένη

συνακρόαση των συνομιλιών αλλά και η αποκωδικοποίηση

των σημάτων του πρωτοκόλλου επικοινωνίας

ηχητικών σημάνσεων, μπορούν να επιτρέψουν στον υποκλοπέα

να μαγνητοφωνήσει συνομιλίες σε ένα μη ασφαλές VoIP

περιβάλλον. Φανταστείτε το Γιάννη στο γραφείο αλληλογραφίας,

να κρυφακούει τον CEO και το διευθυντή ανθρώπινου

δυναμικού να συζητάνε για το τελευταίο κύμα απολύσεων. Ή

το Γιώργο να δίνει τον αριθμό της πιστωτικής του κάρτας σε

έναν υπάλληλο αεροπορικών κρατήσεων. Το μόνο που χρειάζεται

ο υποκλοπέας είναι ένα εργαλείο packet capture (διαθέσιμο

δωρεάν στο Διαδίκτυο) για να αρχίσει να παγιδεύει

τα πακέτα VoIP στο διαδίκτυο. Έπειτα μπορεί να τις σώσει σε

ένα wav αρχείο και να τις πάρει σπίτι.

Και αυτό είναι μόνο η κορυφή του παγόβουνου. Οι χάκερς

μπορούν να ξεγελάσουν SIP μηνύματα και IP διευθύνσεις

και να υποκλέψουν και αναδρομολογήσουν ολόκληρες συνομιλίες.

Ή φανταστείτε μια “man-in-the-middle” επίθεση,

όπου ο πελάτης καταλήγει να μιλάει σε ένα οργανωμένο ε-

28 security


Angelo Gentili

Business Development Manager

της PartnerNET

γκληματικό συνδικάτο υποκρινόμενο το τμήμα πωλήσεών της

εταιρίας. Οι πιστωτικές κάρτες των πελατών μιας εταιρίας,

οι προσωπικές τους πληροφορίες, ακόμα και το ΑΦΜ τους,

μπορούν να χαθούν εν ριπή οφθαλμού. Και το χειρότερο, ο

πελάτης να πιστεύει πως μίλησε με το τμήμα πωλήσεων, χωρίς

έχει μιλήσει ποτέ.

Ακόμη, τι γίνεται με το “denial of service”; Ο επιτιθέμενος

μπορεί να βομβαρδίσει έναν VoIP server ή μια voicegateway

συσκευή στο Internet με οτιδήποτε πακέτα κατακλύζοντας

το server και καθιστώντας τις υπηρεσίες που προσφέρει

μη διαθέσιμες σε κανονικούς χρήστες. Ένας χάκερ

θα μπορούσε εύκολα να κατακλύσει το SIP server με ψεύτικα

requests, κάνοντάς το αδύνατο να στείλει ή να δεχθεί

κλήσεις. Και τι γίνεται με τις replay επιθέσεις; Φανταστείτε

ένας χάκερ να σπαμάρει ένα αρχείο 4 ΜΒ σε 4000 τηλέφωνα

ή να μεταδίδει 500 bogus ηχητικά μηνύματα ταυτόχρονα!

Φανταστείτε ένα τηλέφωνο που χτυπάει ασταμάτητα. Το σηκώνετε,

δεν απαντά, το κλείνετε, και χτυπάει ξανά. Ο μόνος

τρόπος για να σταματήσει είναι να το αποσυνδέσετε. Ή να το

πετάξετε από το παράθυρο!

Ποιές είναι οι εναλλακτικές;

Η VoIP κίνηση μπορεί να χωριστεί σε call signaling, call

control, και media communications. Αναλόγως το πρωτόκολλο

και τις πολιτικές που χρησιμοποιούνται, αυτές οι ε-

πικοινωνίες μπορούν να χρησιμοποιήσουν είτε ένα κανάλι

είτε πολλά διαφορετικά. Τα κανάλια είναι TCP/UDP συνδέσεις

μεταξύ 2 στοιχείων του δικτύου. Από την οπτική γωνία

της ασφάλειας, όλες αυτές οι συνδέσεις ίσως χρειαστεί να

ασφαλιστούν, δηλαδή να επικυρωθούν και να κωδικοποιηθούν.

Κάποιοι από τους μηχανισμούς που μπορούν να παρέχουν

ασφάλεια σε VoIP περιβάλλοντα είναι:

Authorization, Authentication, Transport Layer Security

(TLS), Media encryption (SRTP). Τα VoIP call signaling και

call control μπορούν να ασφαλιστούν με την εφαρμογή κάποιου

είδους Authorization, Authentication ή Transport

Layer Security (TLS/SSL) μηχανισμού.

Authorization

Το authorization υπονοεί ότι οι συσκευές μπορούν να ρυθμιστούν

με τέτοιο τρόπο ώστε να επιτρέπουν την κίνηση από

ένα μόνο επιλεγμένο group IP διευθύνσεων. Αυτός ο μηχανισμός

προστατεύει τη συσκευή έως ένα βαθμό, από denialof-service

επιθέσεις.

Authentication

Στο authentication ίσως χρειαστεί 2 επικοινωνούσες VoIP

συσκευές για να επικυρώσουν (authentication) η μια την

άλλη πριν αρχίσει η πραγματική επικοινωνία. Αυτή η αμοιβαία

επικύρωση μπορεί να βασιστεί σε ένα κοινό κωδικό

ή πιστοποιητικό που γνωστοποιείται πριν την επικοινωνία,

κάνοντάς το δύσκολο αν όχι αδύνατο για τον χάκερ να αλλάζει

ταυτότητα.

Transport Layer Security

Ο πρωταρχικός στόχος, του Transport Layer Security (TLS)

Πρωτόκολλου είναι να παρέχει ιδιωτικότητα και ακεραιότητα

των δεδομένων ανάμεσα στις δύο επικοινωνούσες εφαρμογές.

Το πρωτόκολλο επιτρέπει σε εφαρμογές client/server

να επικοινωνούν με ένα τρόπο σχεδιασμένο για να εμποδίζει

τις υποκλοπές, την αλλοίωση και την πλαστογράφηση του μηνύματος.

Καθώς αυτή η ασφαλής σύνδεση βασίζεται σε ένα

κοινό μυστικό ή πιστοποιητικό, γνωστό μόνο στο server και

τον πελάτη, είναι πολύ δύσκολο, ίσως και αδύνατο για έναν

υποκλοπέα να δει, να χειριστεί και να αναπαράγει τα μηνύματα

που ανταλλάχθηκαν.

SRTP

Τα media communications μπορούν επίσης να διασφαλιστούν

με την ενσωμάτωση κάποιου είδους μηχανισμού κωδικοποίησης.

Τα VoIP τηλέφωνα θα μπορούσαν να κρυπτογραφούν

τα ηχητικά πακέτα μέσω του SRTP (Secure Real-time

Transport Protocol), το οποίο είναι ένα προφίλ ασφαλείας

για RTP που προσθέτει εμπιστευτικότητα, authentication του

μηνύματος, και προστασία αναπαραγωγής σε αυτό το πρωτόκολλο.Το

SRTP είναι ιδανικό για την προστασία του VoIP

traffic, γιατί μπορεί να χρησιμοποιηθεί σε συνδυασμό με συμπίεση

της σηματοδοσίας ελέγχου χωρίς καμία επίπτωση

στην ποιότητα της φωνητικής επικοινωνίας.

STM

Το STM της Allo εγκαθίσταται πριν από οποιοδήποτε SIP

based IP PBX ή gateway προσφέροντας πολλαπλά επίπεδα

ασφάλειας ενάντια σε πολυάριθμους τύπους επιθέσεων.

Χρησιμοποιώντας την SNORT based Real Time Deep packet

inspection μηχανή, το STM της Allo αναλύει κάθε SIP πακέτο

που πηγαίνει στο τηλεφωνικό σύστημα, εντοπίζει τα κακόβουλα

και τα ανώμαλα sessions μπλοκάροντας δυναμικά

την IP από όπου προέρχονται.

Η συσκευή έχει σχεδιαστεί για να ενσωματώνεται εύκολα

και αρμονικά με την υπάρχουσα υποδομή του δικτύου, εξαλείφοντας

οποιαδήποτε πολυπλοκότητα στην εγκατάσταση.

Η PartnerNET είναι αποκλειστικός αντιπρόσωπος των προϊόντων

Allo στην Ευρώπη.

Για περισσότερες πληροφορίες επισκεφτείτε το

www.partnernet.gr iTSecurity

security

29


T4003/04.2015

Issue

Αντιμετωπίζοντας το άγνωστο

Πως μπορούμε να προστατευθούμε από άγνωστες απειλές και exploits μηδενικού – χρόνου;

Πως μπορεί να ανιχνευθεί και να αντιμετωπισθεί μία στοχευμένη επίθεση; Ποιο είναι το πλάνο

αντιμετώπισης των σύγχρονών εισβολών;

Τ

α νέα από τον κόσμο της ασφάλειας είναι

καταιγιστικά. Σύμφωνα με την αναφορά

της κατασκευάστριας εταιρείας

Checkpoint (http://www.checkpoint.com/

resources/2014-security-report/):

• Κάθε λεπτό (1 min) ένας σταθμός εργασίας έχει πρόσβαση

σε κακόβουλο Διαδικτυακό τόπο

• Κάθε εννιά λεπτά (9 min) χρησιμοποιείται μία εφαρμογή

υψηλής επικινδυνότητας

• Κάθε είκοσι επτά λεπτά (27 min) οι χρήστες κατεβάζουν

άγνωστο κακόβουλο λογισμικό

• Κάθε σαράντα εννιά λεπτά (49 min) ευαίσθητα δεδομένα

αποστέλλονται εκτός οργανισμών

• Κάθε είκοσι τέσσερις ώρες (24 hours) ένας σταθμός εργασίας

μολύνεται με bot

Οι hackers πλέον χρησιμοποιούν εξειδικευμένες και στοχευμένες

επιθέσεις τις οποίες προετοιμάζουν μήνες και τις

προσαρμόζουν στο περιβάλλον του εκάστοτε Οργανισμού –

Στόχου. Η επίθεση έχει ως πρωταρχικό στόχο μία μικρή ο-

μάδα ανυποψίαστων χρηστών με σκοπό να αποκτήσουν μη

εξουσιοδοτημένη πρόσβαση στον Οργανισμό έτσι ώστε σε

δεύτερο χρόνο να αποκτήσουν πρόσβαση σε εμπορικά δεδομένα,

δεδομένα πνευματικής ιδιοκτησίας, πηγαίο κώδικα

του υπολογιστή, καθώς και σε οποιαδήποτε άλλη κρίσιμη

πληροφορία.

Η μεθοδολογία τους είναι συμπαγής, αποτελεσματική και

την ακολουθούν μέχρι να πετύχουν τον στόχο τους. Διαιρείται

σε πέντε (5) κύριες φάσεις (εικόνα 1). Κάθε φάση μπορεί

να εκτελείται και από διαφορετική ομάδα ανάλογα με το

γνωσιακό της επίπεδο.

Εικόνα 1

Κατά την πρώτη φάση προετοιμάζεται η επίθεση, ελέγχεται η

τεχνολογική και η οργανωτική υποδομή του οργανισμού και

ετοιμάζεται το κακόβουλο λογισμικό μηδενικού χρόνου (zero

day) το οποίο θα χρησιμοποιηθεί για την πρωτογενή επίθεση.

Στο πλαίσιο της φάσης αυτής είναι και η σωστή επιλογή των

χρηστών οι οποίοι θα χρησιμοποιηθούν ως η κερκόπορτα

από την οποία θα εισβάλουν οι hackers στον Οργανισμό. Η

φάση αυτή μπορεί να διαρκέσει και μήνες.

Στην δεύτερη φάση επιτυγχάνεται η αρχική πρόσβαση στον

Οργανισμό – Στόχο. Συνήθως αποστέλλεται ένα ηλεκτρονικό

μήνυμα, μέσω της τεχνικής spear phishing, σε μία μικρή

ομάδα χρηστών ώστε να μην προκληθεί συναγερμός στον

Οργανισμό. To κακόβουλο λογισμικό είτε περιέχεται ως επισυναπτόμενο

αρχείο είτε περιέχεται εξωτερικός σύνδεσμος

από τον οποίο θα το «κατεβάσει» ο χρήστης. Το κακόβουλο

30 security


Νικήτας Κλαδάκης

Information Security Manager,

NetBull

λογισμικό, από την στιγμή που εκτελεστεί επιτρέπει την αρχική

πρόσβαση των hackers στο σταθμό εργασίας του χρήστη

και ολοκληρώνεται η φάση αυτή.

Στην συνέχεια, κατά την τρίτη φάση, οι hackers επεκτείνουν

τις επιθετικές δραστηριότητες τους εντός του Οργανισμού

με δευτερογενής επιθέσεις και κλιμάκωση προνομίων

(privilege escalation). Στόχος της φάσης αυτής είναι η κτήση

λογαριασμού υψηλών προνομίων π.χ. administrator, root

κ.λπ. και ο εντοπισμός των κρίσιμων δεδομένων.

Από την στιγμή που θα εντοπισθούν τα κρίσιμα δεδομένα

αρχίζει και η επόμενη φάση (τέταρτη φάση) εξαγωγής των

δεδομένων, συνήθως μέσω κρυπτογραφημένου καναλιού

επικοινωνίας. Η φάση αυτή διαρκεί αρκετό χρονικό διάστημα

έτσι ώστε να μην γίνει αντιληπτή η δικτυακή κίνηση και

προκαλέσουν υποψίες.

Τέλος κατά την τελευταία φάση (πέμπτη φάση) αφού εξάγουν

τα κρίσιμα δεδομένα διαγράφουν τα ίχνη τους και οποιαδήποτε

απόδειξη των κακόβουλών πράξεων τους και ολοκληρώνεται

η επίθεση.

Τα ερωτήματα που γεννιούνται είναι πολλά και χωρίς εύκολες

απαντήσεις. Πως προστατευόμαστε από άγνωστες α-

πειλές και exploits μηδενικού – χρόνου; Πως θα ανιχνευθεί

και θα αντιμετωπισθεί μία στοχευμένη επίθεση; Ποιο είναι

το πλάνο αντιμετώπισης των εισβολών;

Θα πρέπει να γίνει αντιληπτό ότι δεν υπάρχει «ασημένια

σφαίρα» στην ασφάλεια η οποία θα μας προστατεύει από

κάθε γνωστή και άγνωστη απειλή. Ο κάθε οργανισμός θα

πρέπει να υιοθετήσει μία στρατηγική ασφάλειας πολλαπλών

επιπέδων σχεδιασμένη ειδικά για τις ανάγκες και τις απαιτήσεις

του. Η εταιρεία netbull έχει αναπτύξει μία 3D αρχιτεκτονική

ασφαλείας η οποία έχει ως στόχο την προστασία

των δεδομένων ενός Οργανισμού, μέσα από μία ολιστική

Εικόνα 2

προσέγγιση (εικόνα 2). Η ανωτέρω αρχιτεκτονική δεν βασίζεται

μόνο σε τεχνολογικούς μηχανισμούς προστασίας αλλά

επεκτείνεται πρώτιστα στους ανθρώπους που στηρίζουν τους

τεχνολογικούς μηχανισμούς καθώς και στις πολιτικές και τις

διαδικασίες που επιτρέπουν την υλοποίηση και την διαχείριση

των μηχανισμών αυτών. Τα κύρια δομικά στοιχεία της

ανωτέρω αρχιτεκτονικής που έχουν ως στόχο την προστασία

από άγνωστες απειλές διακρίνονται σε δύο (2) κύρια στάδια

ανάλογα με την φάση ανίχνευσης της επίθεσης (εικόνα 3).

Εικόνα 3

Στάδιο Α ( Φάση 1η – Φάση 2η)

Οι μηχανισμοί προστασίας του σταδίου Α είναι οι ακόλουθοι:

• Σύστημα προστασίας της υπηρεσίας ηλεκτρονικού ταχυδρομείου

• Σύστημα ανίχνευσης κακόβουλου λογισμικού μηδενικού

χρόνου

• Σύστημα ασφαλούς πρόσβασης στο Διαδίκτυο

• Σύστημα προστασίας UTM

• Προστασία των τελικών σημείων (workstations, tablets,

mobile phones κ.λπ.)

Οι μηχανισμοί προστασίας του πρώτου σταδίου βασίζονται

στην έγκαιρη ανίχνευση της επίθεσης κατά τις πρώτες δύο (2)

φάσεις. Κύριος μηχανισμός είναι η προστασία από κακόβουλο

λογισμικό μηδενικού χρόνου μέσω τεχνολογίας εξομοίωσης

απειλών (threat emulation) η οποία ολοκληρώνεται με

τους υπόλοιπους μηχανισμούς της φάσης αυτής.

Στάδιο Β (Φάση 3η – Φάση 5η)

Οι μηχανισμοί προστασίας του σταδίου Β είναι οι ακόλουθοι:

• Σύστημα ανίχνευσης ανωμαλιών δικτύου

• Σύστημα προστασίας των βάσεων δεδομένων ενός Οργανισμού

• Σύστημα προστασίας από διαρροή δεδομένων

• Σύστημα προστασίας από bots

Οι μηχανισμοί προστασίας του δεύτερου σταδίου επικεντρώνονται

στην ανίχνευση του περιστατικού μετά την ολοκλήρωση

της επιτυχούς επίθεσης (φάση 2η) και έχουν ως στόχο την

ελαχιστοποίηση του χρόνου ανίχνευσης του περιστατικού και

συνεπώς και των επιπτώσεων του. iTSecurity

security

31


T4003/04.2015

Issue

Cyber Insurance ως εργαλείο

Διαχείρισης Κινδύνου

Οι παραβιάσεις ηλεκτρονικών συστημάτων και η διαρροή εμπιστευτικών πληροφοριών είναι

καθημερινό φαινόμενο το οποίο εκδηλώνεται στις μέρες μας με πολλούς τρόπους. Η συχνότητα

του φαινομένου και οι επιπτώσεις του οδηγεί στη ζήτηση και την ανάπτυξη αντίστοιχων

ασφαλιστικών προϊόντων.

ι επιχειρήσεις χωρίζονται σε δύο κατηγορίες

σε αυτές που εχουν υποστεί παραβίαση

O

συστημάτων και το γνωρίζουν και σε αυτές

που δεν το γνωρίζουν. Η παραβίαση συστημάτων

και η κλοπή προσωπικών δεδομένων

είναι ένα φαινόμενο που κάθε εταιρία που

κατέχει δεδομένα πελατών ενδέχεται να βιώσει στο μέλλον.

Η ασφαλιστική αγορά ανταποκρινόμενη στις ανάγκες των ε-

πιχειρήσεων για οικονομική προστασία από τους κινδύνους

που απειλούν τα συστήματά τους με παραβίαση και διαρροή

εμπιστευτικών πληροφοριών δημιούργησε προϊόντα και υ-

πηρεσίες Cyber Insurance.

Τι είναι η παραβίαση συστημάτων και η απώλεια δεδομένων;

Παραβίαση Συστημάτων μπορούμε να έχουμε από μη εξουσιοδοτημένη

πρόσβαση σε εταιρικά συστήματα, η οποία συνοδεύεται

από απώλεια δεδομένων πελατών που περιλαμβάνουν

οικονομικά στοιχεία, στοιχεία πιστωτικών καρτών ή

τραπεζικού λογαριασμού, δεδομένα υγείας ή εταιρικών δεδομένων

όπως εμπορικά μυστικά ή ζητήματα πνευματικής

ιδιοκτησίας. Η απώλεια δεδομένων μπορεί να συντελεστεί

και με την κλοπή συστημάτων αποθήκευσης δεδομένων ό-

πως usb, δίσκους αποθήκευσης ή πιο απλά από απροσεξία

όταν κάποιο στέλεχος μιας εταιρίας ξεχάσει σε ένα αεροδρόμιο

ένα tablet, ένα κινητό τηλέφωνο ή ένα laptop στο

οποίο δεν έχει χρησιμοποιηθεί κάποιο πρόγραμμα για την

κρυπτογράφηση των δεδομένων που περιέχει.

Σε πολλούς τομείς όπως το λιανικό εμπόριο, την υγειονομική

περίθαλψη, τις τράπεζες και τη φιλοξενία, που κατέχουν

σημαντικές ποσότητες προσωπικών δεδομένων, οι προσπά-

32 security


Νίκος Γεωργόπουλος

ΜΒΑ, CyRM, Cyber Risks Advisor

Cromar Lloyds Coverholder

θειες παραβίασης των δεδομένων είναι ένας διαρκής κίνδυνος

για την επιχειρηματική δραστηριότητα.

Τι ζημιά μπορεί να δημιουργήσει η παραβίαση συστημάτων

και η απώλεια δεδομένων;

Μέχρι σήμερα, η χρηματοοικονομική επίπτωση στις ευρωπαϊκές

Εταιρείες ήταν λιγότερο σοβαρή, διότι δεν ισχύει επί

του παρόντος η πανευρωπαϊκή νομοθεσία για την προστασία

των δεδομένων. Η νομοθεσία αυτή που παρουσιάστηκε τον

Ιανουάριο του 2013 από την Επίτροπο Δικαιοσύνης της ΕΕ, κα

Viviane Reding, προβλέπει την αναθεώρηση των νόμων περί

προστασίας δεδομένων της ΕΕ και αναμένεται να ενσωματωθεί

στο ευρωπαϊκό δίκαιο. Σύμφωνα με τη νέα νομοθεσία,

οι εταιρίες που δεν κατάφεραν να διατηρήσουν την ασφάλεια

των δεδομένων τους κινδυνεύουν με διοικητικά πρόστιμα για

παραβίαση των κανόνων που φθάνουν μέχρι 100 εκ. € ή έως

5 % του ετήσιου παγκόσμιου κύκλου εργασιών της εταιρείας,

όποιο από τα δύο είναι μεγαλύτερο. Ωστόσο, η Χρηματοοικονομική

επίπτωση θα μπορούσε να είναι το λιγότερο από

τις ανησυχίες μιας εταιρείας σε σχέση με την απώλεια της

εμπιστοσύνης των πελατών. Οι ασφαλισμένες εταιρίες θεωρούν

ότι η υπ ‘αριθμόν μία ανησυχία τους είναι βλάβη

της φήμης τους. Ενδεικτικά το κόστος ανά χαμένο record

και ανά κατηγορία επιχειρηματικής δραστηριότητας σύμφωνα

με τα στοιχεία του Ponemon institute για παραβιάσεις

δεδομένων στην Αμερική φαίνεται στον παρακάτω πίνακα 1.

Πίνακας 1

Όπως περίφημα είπε ο Warren Buffett: «Χρειάζονται 20

χρόνια για να χτιστεί η φήμη και πέντε λεπτά για να καταστραφεί».

Σε μια μελέτη που πραγματοποιήθηκε από την Economist

Intelligence Unit του περασμένου έτους, το ένα τέταρτο

των ερωτηθέντων ανέφερε ότι είχε πέσει θύμα της παραβίασης

των δεδομένων κατά τα τελευταία δύο χρόνια.

Οι πελάτες /συνεργάτες των εταιριών αυτών δήλωσαν οτι δεν

θα συνεργάζονταν ξανά με αυτες τις επιχειρήσεις που έχουν

υποστεί παραβίαση συστημάτων και διαρροή προσωπικών

δεδομένων.

Η Πρόληψη είναι αρκετή;

Παραβιάσεις ηλεκτρονικών συστημάτων και διαρροή εμπιστευτικών

πληροφοριών συμβαίνουν καθημερινά και σε

πολύ μεγάλη κλίμακα. Οι εταιρείες πρέπει να είναι προετοιμασμένες

για την αντιμετώπιση συμβάντων παραβίασης

δεδομένων.

Οι μεγαλύτερες εταιρείες, αν και έχουν δημιουργήσει ειδικές

ομάδες διαχείρισης κρίσης για την αντιμετώπιση αυτών

των περιστατικών μπορούν να αντιμετωπίσουν μεγάλες οικονομικές

ζημίες οι οποίες χωρίς την ύπαρξη ασφαλιστικής

κάλυψης μπορούν να καταστούν καταστροφικές. Οι μικρές

και μεσαίες επιχειρήσεις πιθανό να είναι λιγότερο προετοιμασμένες

για την αντιμετώπιση περιστατικών παραβίασης

συστημάτων και απωλειας εμπιστευτικών πληροφοριών και

δεν θα είναι σε θέση να απορροφήσουν το κόστος που συνδέεται

με αυτά.

Πώς ανταποκρίνεται η ασφαλιστική αγορά;

Η ανάπτυξη της αγοράς των ΗΠΑ είναι ένα ενδιαφέρον παράδειγμα

του τι οδηγεί τη ζήτηση. Το πρώτο βήμα ήταν η υ-

ποχρεωτική ενημέρωση του πελάτη σε περίπτωση που έ-

χουν χαθεί προσωπικά του δεδομένα και η γνωστοποίηση

του περιστατικού στις αρμόδιες αρχές , η οποία ξεκίνησε

στην Καλιφόρνια το 2003 και τώρα υπάρχει σε 48 πολιτείες.

Η υποχρεωτική ενημέρωση των αρμοδίων αρχών και του

πελάτη για κάθε παραβίαση δεδομένων είτε μεγάλη είτε

μικρή ήταν αυτό που άλλαξε την αγορά.

Με την αποκάλυψη του συμβάντος κάθε εταιρία εκτέθηκε

νομικά, και άρχισε να γίνεται εμφανές ότι η αντιμετώπιση

παραβιάσεων δεδομένων ήταν τόσο πολύπλοκη όσο και

δαπανηρή. Όλο αυτό έχει οδηγήσει τόσο τη ζήτηση όσο και

την ανάπτυξη των ασφαλιστικών προϊόντων. Όταν οι κανόνες

της ΕΕ αλλάξουν και η υποχρεωτική κοινοποίηση όλων των

παραβιάσεων δεδομένων και τα διοικητικά πρόστιμα για ε-

σφαλμένη διαχείριση των δεδομένων των πελατών γίνουν νόμος,

αυτό θα αναγκάσει τις επιχειρήσεις να λάβουν σοβαρά

υπόψη τους κινδύνους αυτούς. Επίσης, θα αυξήσει τη ζήτηση

για αυτά τα προγράμματα και θα επηρεάσει την τιμή τους, τις

παροχές και τους όρους προσφέρουν.

Πως αναπτύχθηκαν τα ασφαλιστικά προϊόντα

Αρχικά τα ασφαλιστικά προϊόντα που σχεδιάστηκαν κάλυπταν

τις χρηματοοικονομικές ανάγκες των εταιριών σε περίπτωση

παραβίασης συστημάτων και διαρροής δεδομένων.

Στην συνέχεια και λαμβάνοντας υπόψη τις ανάγκες των εταιριών

πελατών δημιουργήθηκαν νέα ασφαλιστικά καινοτόμα

προϊόντα τα οποία ενσωμάτωσαν υπηρεσίες διαχείρισης

security

33


T4003/04.2015

Issue

Οι ασφαλιστές αναζητούν εταιρίες οι οποίες κατανοούν τον

κίνδυνο, κάνουν σωστή διαχείρισή του και έχουν εχουν τις

κατάλληλες πολιτικές και διαδικασίες. Η διαχείριση της

κατάστασης σε περίπτωση απώλειας δεδομένων είναι

αρμοδιότητα των ανωτάτων στελεχών και του διοικητικού

συμβουλίου. Σήμερα δεν έχει σημασία πόσο πολλά

firewalls έχει μια εταιρεία, ή το πόσο καλά είναι τα συστήματά

της, καθώς κανένα σύνολο ελέγχων δε μπορεί να εγγυηθεί

ότι δεν θα έχουν μια παραβίαση συστημάτων και α-

πώλεια δεδομένων.

συμβάντων σε συνεργασία με εγνωσμένης αξίας παρόχους

υπηρεσιών ψηφιακής εγκληματολογίας, νομικούς, επικοινωνιολόγους

με σκοπό την αποτελεσματική διαχείριση των συμβάντων

και την μείωση των συνεπειών στην εταιρική φήμη.

Η προσέγγιση αυτή αποδείχθηκε πολύτιμη για τους πελάτες,

ιδιαίτερα εκείνους που δεν έχουν εξελιγμένες ομάδες

διαχείρισης κινδύνου. Οι υπηρεσίες διαχείρισης συμβάντων

βοηθάνε την εταιρία να καθορίσει τι έχει παραβιαστεί, να α-

ξιολογήσει τις ευθύνες της, να ενημερώσει τους σωστούς

ανθρώπους και να γίνει ό, τι είναι απαραίτητο για να σταθεί

η επιχείρηση και πάλι στα πόδια της και πάλι.

Ποιοι παράγοντες επηρεάζουν το κόστος ασφάλισης και

την δυνατότητα ασφάλισης

Το κόστος των προϊόντων αυτών εξαρτάται από διάφορους

παράγοντες όπως: α) η δραστηριότητα της εταιρίας β) το μέγεθος

των εσόδων γ) ο όγκος και ο τύπος των δεδομένων δ) η

εξάπλωση της εταιρίας διεθνώς ε) η προηγούμενη εμπειρία

σε περιπτώσεις data breach στ) o ανταγωνισμός και κατά

πόσο ή όχι οι ασφαλιστές θεωρούν ότι ο ασφαλισμένος κίνδυνος

είναι καλός ή κακός.

Η δυνατότητα ασφάλιση της εταιρίας εξαρτάται απο τα μέτρα

προστασίας που έχει λάβει και τις διαδικασίες και πολιτικές

που ακολουθεί για την αποφυγή και αντιμετώπιση περιστατικών

παραβίασης συστημάτων και διαρροής δεδομένων.

Ένας άλλος σημαντικός παράγοντας που επηρεάζει τόσο το

κόστος όσο και τη δυνατότητα ασφάλισης είναι η εμπειρία

της ασφαλιστικής εταιρίας στην αντιμετώπιση περιστατικών.

Ποια εταιρία είναι κατάλληλη για ασφάλιση;

Η ύπαρξη ενός Information Security Officer είναι καθοριστικός

παράγοντας στην δημιουργία πολιτικών και διαδικασιών

ασφάλειας, πλάνου αντιμετώπισης αυτών των περιστατικών

και στην αξιολόγηση της προς ασφάλιση εταιρίας.

Τι μπορεί να κάνει η ασφαλιστική βιομηχανία κάνει για

να βοηθήσει τις εταιρείες;

Η ασφαλιστική αγορά για την αποτελεσματική διαχείριση των

οικονομικών συνεπειών περιστατικών παραβίασης συστημάτων

και απώλειας δεδομένων προσφέρει την κάλυψη των

εξόδων διαχείρισης της κρίσης που προκαλεί ένα τέτοιο

περιστατικό όπως: α) έξοδα για την πρόσληψη Εξειδικευμένων

Ερευνητών Ασφαλείας β) έξοδα για την ενημέρωση

πελατών γ) έξοδα δημοσίων σχέσεων και διαχείρισης κρίσης,

δ) νομικά έξοδα για την διαχείριση των κανονιστικών

απαιτήσεων ε) έξοδα νομικών συμβουλών για την αξιολόγηση

των συνεπειών του περιστατικού στ) έξοδα πρόσληψης

ειδικών διαπραγματευτών σε περίπτωση εκβιασμού και του

κόστους απώλειας κερδών λόγω μη λειτουργίας των συστημάτων

λόγω ddos.

Επίσης ασφαλίζει για την ευθύνη του ασφαλισμένου έ-

ναντι τρίτων, οι οποίοι θα μπορούσαν να ασκήσουν αγωγή

κατά του ασφαλισμένου για ζημία που μπορούν να υποστούν

λόγω περιστατικών παραβιάσεις ηλεκτρονικών συστημάτων

και διαρροής προσωπικών τους δεδομένων και την Απώλεια

Κερδών σε περίπτωση άρνησης παροχής υπηρεσίας

(ddos) λόγω κυβερνοεπιθεσεων.

Η καινοτομία των νέων ασφαλιστικών προϊόντων προέρχεται

από την παροχή υπηρεσιών διαχείρισης συμβάντων σε συνεργασία

με εγνωσμένης αξίας παρόχους υπηρεσιών ψηφιακής

εγκληματολογίας, νομικούς, επικοινωνιολόγους με

σκοπό την αποτελεσματική διαχείριση των συμβάντων και την

μείωση των συνεπειών στην εταιρική φήμη.

Παράγοντες που λαμβάνονται υπόψη στον σχεδιασμό ε-

νός προγράμματος

Η ασφάλιση των οικονομικών συνεπειών μια εταιρίας σε περίπτωση

παραβίασης συστημάτων και απώλειας δεδομένων

δεν είναι μια συνηθισμένη κάλυψη – η μη γνώση των κινδύνων,

οι υπηρεσίες που παρέχονται και η διαχείριση τέτοιων

συμβάντων απαιτεί εξειδικευμένους ασφαλιστικούς διαμε-

34 security


Cyber Insurance ως εργαλείο Διαχείρισης Κινδύνου

σολαβητές. Οι εταιρίες πελάτες δεν έχουν την γνώση να διαχειριστούν

μόνοι τους τα περιστατικά παραβίασης.

Η σωστή αξιολόγηση των κινδύνων, η κατανόηση των ιδιαιτεροτήτων

κάθε επιχείρησης σε περίπτωση παραβίασης συστημάτων

και απώλειας δεδομένων, οι διαδικασίες που ακολουθεί

και το ύψος της κάλυψης είναι ζωτικής σημασίας. Η δημιουργία

μιας ομάδας που αποτελείται από τον ασφαλιστή, τον

μεσίτη και τεχνικούς εμπειρογνώμονες θα εξασφαλίσει ότι το

πρόγραμμα που θα δημιουργηθεί θα καλύψει αποτελεσματικά

τις ανάγκες της εταιρίας. Για να σχεδιαστεί ένα πρόγραμμα

που θα καλύπτει τις ανάγκες μιας εταιρίας θα πρέπει να σκεφτούμε

τα ακόλουθα θέματα: α) ποιοι είναι οι κίνδυνοι β) ποιες

είναι οι υφιστάμενες ασφαλιστικές καλύψεις γ) ποια είναι τα

σωστά όρια και υποόρια του προγράμματος δ)ποιες είναι οι

εξαιρέσεις ε)πως καλύπτονται οι εταιρίες σε περίπτωση χρήσης

εξωτερικών παρόχων ζ)ποιες οι διαδικασίες που ακολουθούν

οι εταιρίες στ)αν τα δεδομένα είναι κρυπτογραφημένα.

Τι προσφέρουμε στην ελληνική αγορά σαν λύση αντιμετώπισης

περιστατικών παραβίασης συστημάτων και διαρροής

δεδομένων

Η Cromar Insurance Brokers (www.cromar.gr) , ανταποκριτής

των Lloyds (Lloyds Coverholder), με 15 έτη συνεχούς

παρουσίας στην ελληνική αγορά και δυνατότητα τοποθέτησης

κινδύνων στην διεθνή αγορά προσφέρει σε συνεργασία

με τους Beazley, εταιρία με μεγάλη εμπειρία στην διαχείριση

περιστατικών data breach, η οποία έχει διαχειριστεί

άνω των 2.000 περιστατικών και υψηλή αξιολόγηση

προσφέρει στην ελληνικη αγορά το Beazley Global

Breach solution.

Tο Beazley Global Breach Solution το οποίο αποτελεί μια

συνολική λύση αποτελεσματικής διαχείρισης των κινδύνων

παραβίασης συστημάτων και απώλειας δεδομένων και επιτρέπει

στις επιχειρήσεις να διαχειριστούν την αυξανόμενη

ευθύνη τους λόγω της διαχείρισης μεγάλου όγκου προσωπικών

δεδομένων των πελατών τους, καθώς και να μετριάσουν

τον κίνδυνο να θιγεί η εταιρική φήμη από πιθανή παραβίαση

συστημάτων και απώλειας των δεδομένων αυτών.

Πως μπορεί κάποιος να εμπλουτίσει τις γνώσεις του για

θέματα ασφάλισης και διαχείρισης περιστατικών παραβίασης

συστημάτων και απώλειας δεδομένων

Δημιουργήσαμε την πρώτη ελληνική κοινότητα συζήτησης

περιστατικών data breach στην οποία προσφέρουμε καθημερινή

ενημέρωση μέσω του Cyber Risks Advisors

Linkedin Group το οποίο είναι group στο Linkedin.Η αποδοχή

του συγκεκριμένου Group είναι μεγάλη και συμμετέχουν

μέλη από όλο τον κόσμο και πολλοί Ελληνες που διαπρέπουν

στο εξωτερικό σε τομείς που σχετίζονται με την διαχείριση

περιστατικών data breach.

Άλλη μια καινοτομία που κάναμε είναι η δημιουργία του

www.privacyrisksadvisors.com το οποίο αποτελεί ένα εργαλείο

ενημέρωσης και γνώσης αντιμετώπισης περιστατικών

παραβίασης ιδιωτικότητας και αντιμετώπισής τους. Με

την βοήθεια του “The Data Breach Toolkit” μπορείτε να

υπολογίσετε το κόστος των οικονομικών συνεπειών σε περίπτωση

παραβίασης συστημάτων και διαρροής δεδομένων,

να βρείτε αναλύσεις για το κόστος των περιστατικών αυτών,

το νομικό πλαίσιο που ισχύει σε όλο τον κόσμο και οδηγούς

αντιμετώπισης αυτών των περιστατικών.

“Cyber Risks Academy” είναι μια ψηφιακή ακαδημία με

παρουσιάσεις από ειδικούς για θέματα αντιμετώπισης περιστατικών

παραβίασης συστημάτων και τρόπους ασφαλιστικής

αντιμετώπισής τους.

Ποιες είναι οι ποιο συχνές απαντήσεις μη ασφάλισης

μιας εταιρίας.

• Οι Οικονομικές συνέπειες παραβίασης συστημάτων και

απώλειας δεδομένων καλύπτονται από το συμβόλαιο Γενικής

Αστικής Ευθύνης.

• Οι εργαζόμενοι της εταιρίας γνωρίζουν πως πρέπει να προστατεύσουν

τα δεδομένα και την εταιρεία.

• Έχουμε το καλύτερο τμήμα μηχανογράφησης.

• Το κόστος ανταπόκρισης σε ένα περιστατικό είναι πολύ

μικρό.

• Τα περισσότερα περιστατικά συμβαινουν σε μεγάλες εταιρίες

iTSecurity

Νικος Γεωργόπουλος, Cyber

Risks Advisor CyRM, Cromar

Insurance Brokers

Ο Νίκος Γεωργόπουλος είναι

κάτοχος Master in Business

Administration (ALBA) και πτυχίου

Φυσικής του Πανεπιστημίου

Πάτρας. Διαθέτει 21 έτη εργασιακή

εμπειρία στο χρηματοοικονομικό

τομέα (XIOSBANK,

Alpha Trust, Generali Hellas)

στους τομείς Marketing,

Πωλήσεων και Εναλλακτικών

Δικτύων, είναι μέλος του

International Association of

Privacy Professionals και ε-

ξειδικευμένος σύμβουλος

στην παροχή ασφαλιστικών λύσεων Cyber /Privacy Liability &

Data Breach Management. Είναι δημιουργός του “Cyber Risks

Advisors” Linkedin Group και του www.privacyrisksadvisors.com.

security

35

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!