IT Professional Security - ΤΕΥΧΟΣ 43
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
www.itsecuritypro.gr 01/02.2016 • Τεύχος <strong>43</strong> • Τιμή 5€<br />
Cyber Threat<br />
Intelligence<br />
Αναγνωρίζοντας και<br />
αντιμετωπίζοντας<br />
τις απειλές<br />
• Η ανθεκτικότητα των<br />
επιθέσεων «προκαλεί» τη<br />
βιομηχανία λύσεων ασφάλειας<br />
• Το μέλλον της ασφάλειας <strong>IT</strong><br />
• Threat Intelligence and beyond<br />
with <strong>Security</strong> Analytics<br />
• MOREAL - Threat Intelligence<br />
& User Behavior Analysis<br />
in Real Time
T<strong>43</strong>01/02.2016<br />
Editorial<br />
Ιχνηλατώντας την εξέλιξη των<br />
απειλών<br />
Πολλές εταιρείες και φορείς που δραστηριοποιούνται ευρύτερα<br />
στο τομέα της ψηφιακής ασφάλειας, ανακοίνωσαν πρόσφατα<br />
τα αποτελέσματα ερευνών που σχετίζονται με τις τάσεις που<br />
κυριάρχησαν το 2015 αλλά και θα επικρατήσουν το επόμενο διάστημα.<br />
Από τα αποτελέσματα αυτών των ερευνών, ξεχωρίσαμε μεταξύ<br />
άλλων το γενικό συμπέρασμα της έκθεσης του ENISA ότι έχει<br />
ενισχυθεί η συνεργασία μεταξύ εταιριών, φορέων και υπηρεσιών,<br />
που ασχολούνται παγκοσμίως με το τομέα της ψηφιακής<br />
ασφάλειας, κάτι που έχει επιφέρει θετικά αποτελέσματα στον<br />
εντοπισμό και σύλληψη ατόμων με ενεργή δράση στο ηλεκτρονικό<br />
έγκλημα και τις απάτες μέσω διαδικτύου. Η ίδια έρευνα<br />
όμως, αναδεικνύει επίσης το γεγονός ότι οι επιτιθέμενοι αξιοποιούν<br />
προηγμένα εργαλεία με μεγαλύτερη ισχύ και αποτελεσματικότητα.<br />
Η Ετήσια Έκθεση Ασφαλείας της Cisco για το 2016 αποκαλύπτει<br />
ότι μόλις το 45% των οργανισμών σε όλο τον κόσμο έχουν<br />
εμπιστοσύνη στην τακτική τους σε θέματα ασφαλείας καθώς οι<br />
«αντίπαλοι» εξαπολύουν πιο εξελιγμένες, τολμηρές και ισχυρές<br />
επιθέσεις. Παράλληλα, οι ειδικοί της Symantec προβλέπουν ότι<br />
το ΙoT (Internet of Things), χωρίς ενσωματωμένη ασφάλεια από<br />
κατασκευής του, θα εξακολουθήσει να είναι ευάλωτο, καθιστώντας<br />
το έτσι σε IoV (Internet of Vulnerabilities).<br />
Επίσης πολύ πρόσφατα ερευνητές της ESET εντόπισαν 307 κακόβουλες<br />
εφαρμογές τύπου Porn clicker στο Google Play μέσα<br />
σε μόλις 7 μήνες ενώ οι κυβερνοεγκληματίες συνεχίζουν να<br />
«ανεβάζουν» και άλλες παραλλαγές στην πλατφόρμα, που αποτελεί<br />
το επίσημο app store για Android. Σύμφωνα με την τελευταία<br />
έκδοση της έκθεσης Kaspersky Lab <strong>Security</strong> Bulletin, ο<br />
όγκος των spam email το 2015 μειώθηκε, αγγίζοντας το 55,28%<br />
του γενικού συνόλου των email. Η αξιοσημείωτη πτώση των<br />
spam email μπορεί να αποδοθεί στην αυξανόμενη δημοτικότητα<br />
νόμιμων πλατφορμών διαφήμισης στα μέσα κοινωνικής δικτύωσης,<br />
στις υπηρεσίες προσφορών μέσω κουπονιών κ.ά. Τέλος,<br />
η Arbor Networks Inc. δημοσιοποίησε την 11η Ετήσια παγκόσμια<br />
έκθεση για την ασφάλεια υποδομών όπου μεταξύ άλλων<br />
παρατηρεί μια αλλαγή του κινήτρου των επιθέσεων μιας και το<br />
2015το κορυφαίο κίνητρο δεν ήταν ο ακτιβισμός ή ο βανδαλισμός<br />
συστημάτων ηλεκτρονικών πληροφοριών αλλά η «επίδειξη των<br />
ικανοτήτων των εγκληματιών», κάτι το οποίο σχετίζεται συνήθως<br />
με τις προσπάθειες εκβιασμού στον κυβερνοχώρο.<br />
Aπαντήσεις για το πώς θα διαχειριστούμε τις τάσεις των απειλών<br />
για την ψηφιακή ασφάλεια και φέτος θα δοθούν στο 6 o Infocom<br />
<strong>Security</strong> 2016 στις 6 και 7 Απριλίου.<br />
Βλάσης Αμανατίδης<br />
Εκδότης<br />
Κώστας Νόστης<br />
Σύμβουλος Έκδοσης<br />
Νίκη Πανδή<br />
Αρχισυντάκτης<br />
Βλάσης Αμανατίδης<br />
v.amanatidis@smartpress.gr<br />
Συνεργάτες<br />
Σήφης Ανδρουλιδάκης<br />
Μίνα Ζούλοβιτς<br />
Νότης Ηλιόπουλος<br />
Αριστοτέλης Λυμπερόπουλος<br />
Δημήτρης Παπίτσης<br />
Αλέξανδρος Σουλαχάκης<br />
Παναγιώτα Τσώνη<br />
Διεύθυνση Διαφήμισης<br />
Νίκος Σαράφογλου<br />
n.sarafoglou@smartpress.gr<br />
DTP<br />
Παναγιώτης Βγενόπουλος<br />
Λεωνίδας Πουλόπουλος<br />
Διεύθυνση Events<br />
Ανδρέας Καραντώνης<br />
Διεύθυνση Marketing<br />
Ειρήνη Νόστη<br />
Υπεύθυνος Ηλεκτρονικών Μέσων<br />
Φάνης Ζερβάκης<br />
Υπεύθυνος Social Media<br />
Σταύρος Ράπτης<br />
Γραμματεία Εμπορικού<br />
Έλλη Μαστρομανώλη<br />
Φωτογράφος<br />
Δήμητρα Κατερέλου<br />
Λογιστήριο<br />
Ανδρέας Λουλάκης<br />
Consulting by<br />
SPEG<br />
τηλ.: 210 5238777,<br />
www.speg.gr, info@speg.gr<br />
Ιδιοκτήτης<br />
Smart Press<br />
Μάγερ 11, 10<strong>43</strong>8, Αθήνα<br />
Τηλ.: 210 5201500, 210 5230000,<br />
Fax: 210 5241900<br />
Τμήμα συνδρομών<br />
support@securitymanager.gr<br />
www.smartpress.gr<br />
www.itsecuritypro.gr<br />
www.securitymanager.gr<br />
info@securitymanager.gr<br />
support@securitymanager.gr<br />
ΚΩΔΙΚΟΣ 01-8267<br />
security<br />
1
T<strong>43</strong>01/02.2016<br />
Contents<br />
10 12 40<br />
1 | Editorial<br />
4 | News<br />
Interview<br />
10 | Οι πιστοποιήσεις ασφάλειας<br />
(ISC) 2 ως βασική απαίτηση<br />
καταξίωσης<br />
12 | Vector - Ελληνικό, Προσιτό και<br />
Κορυφαίο Λογισμικό ασφάλειας<br />
Report<br />
14 | Οι NSS και Sophos<br />
πρωτοπορούν... και κοιτάζουν<br />
μόνο προς τα άστρα<br />
Cover issue<br />
16 | Cyber Threat Intelligence<br />
Αναγνωρίζοντας και<br />
αντιμετωπίζοντας τις απειλές<br />
Issue<br />
24 | Threat Intelligence and beyond<br />
with <strong>Security</strong> Analytics<br />
28 | Η ανθεκτικότητα των επιθέσεων<br />
«προκαλεί» τη βιομηχανία<br />
λύσεων ασφάλειας<br />
30 | MOREAL - Threat Intelligence &<br />
User Behavior Analysis in Real<br />
Time<br />
32 | Αρχιτεκτονική Ασφαλείας<br />
Στρατηγική ή Μόδα;<br />
34 | Το μέλλον της ασφάλειας <strong>IT</strong><br />
Η ομαδική εργασία αναδεικνύεται<br />
38 | Accept the Challenge<br />
Take Ownership<br />
40 | Γιατί τα e-shop χρειάζονται<br />
ασφάλιση cyber insurance!<br />
Business <strong>IT</strong><br />
1 | Το διαρκώς εξελισσόμενο Cyber<br />
Threat Landscape<br />
Η ιστορία επαναλαμβάνεται…<br />
4 | Η τεχνολογική καινοτομία στην<br />
καρδιά της στρατηγικής της<br />
Fortinet<br />
2 security
DO MORE<br />
W<strong>IT</strong>H YOUR I.T.<br />
SECURED BY ESET
T<strong>43</strong>01/02.2016<br />
News<br />
Συνεργασία Διανομής της <strong>IT</strong>Way Hellas με την Positive Technologies<br />
Η <strong>IT</strong>Way Hellas ανακοίνωσε την επίσημη συνεργασία<br />
διανομής με την Positive Technologies, ηγέτιδα εταιρία<br />
σε λύσεις vulnerability assessment, compliance<br />
management και threat analysis. Η Positive<br />
Technologies αποτελεί κυρίαρχο κατασκευαστή σε λύσεις<br />
εντοπισμού ευπαθειών, διαχείριση συμμόρφωσης<br />
με τα παγκόσμια πρότυπα και ανάλυση απειλών<br />
με περισσότερους από 1000 οργανισμούς παγκοσμίως<br />
να υιοθετούν τις λύσεις της. Τα προϊόντα της Positive<br />
Technologies μπορούν να ενσωματωθούν απρόσκοπτα<br />
σε ολόκληρο τον οργανισμό προστατεύοντας τις<br />
εφαρμογές υπό ανάπτυξη, εντοπίζοντας πιθανές ευπάθειες<br />
στο εταιρικό δίκτυο και τις εφαρμογές, διασφαλίζοντας<br />
τη συμμόρφωση με τις κανονιστικές απαιτήσεις<br />
και αποτρέποντας επιθέσεις σε πραγματικό χρόνο.<br />
Κύριος στόχος της Positive Technologies είναι να<br />
εγείρει την επίγνωση του χρήστη σε θέματα ασφαλείας<br />
εξασφαλίζοντας παράλληλα την έγκαιρη αντιμετώπιση<br />
νέων κινδύνων. «Με τη νέα αυτή συνεργασία, ενδυναμώνουμε<br />
το portfolio των προσφερόμενων λύσεων μας<br />
σε Vulnerability management. Εισάγουμε παράλληλα<br />
μερικά νέα στοιχεία τα οποία έχουμε διαπιστώσει ότι είναι<br />
αναγκαία στην Ελληνική αγορά. Το πρώτο στοιχείο<br />
αφορά την ασφάλεια των εφαρμογών - με την Positive<br />
Technologies προσφέρουμε πλέον πολύ δυνατά εργαλεία<br />
για Source Code Analysis των εφαρμογών. Ένα δεύτερο<br />
στοιχείο είναι η εξειδικευμένη λύση στην αντιμετώπιση<br />
απειλών που απευθύνονται σε Industrial Control<br />
Systems (ICS) και συστήματα SCADA. Και ένα τρίτο πολύ<br />
ενδιαφέρον στοιχείο της νέας αυτής συνεργασίας σχετίζεται<br />
με τις λύσεις της Positive Technologies για την<br />
ασφάλεια των τηλεπικοινωνιών, την ασφαλή μετάδοση<br />
του σήματος», δήλωσε ο κος Ιωάννης Γκιώνης, Sales<br />
& Marketing Manager της εταιρίας <strong>IT</strong>WAY Hellas. Για<br />
περισσότερες πληροφορίες επισκεφτείτε το επίσημο site<br />
της εταιρείας: www.ptsecurity.com.<br />
Οι φορητές συσκευές είναι ο νέος βασικός στόχος των επιθέσεων spam και<br />
κακόβουλου λογισμικού<br />
Σύμφωνα με την τελευταία έκδοση της έκθεσης<br />
Kaspersky Lab <strong>Security</strong> Bulletin, ο όγκος των spam<br />
email το 2015 μειώθηκε, αγγίζοντας το 55,28% του γενικού<br />
συνόλου των email. Συνολικά, σημειώθηκε μείωση<br />
11,48% σε σύγκριση με την προηγούμενη χρονιά. Η αξιοσημείωτη<br />
πτώση των spam email μπορεί να αποδοθεί<br />
στην αυξανόμενη δημοτικότητα νόμιμων πλατφορμών<br />
διαφήμισης στα μέσα κοινωνικής δικτύωσης, στις υπηρεσίες<br />
προσφορών μέσω κουπονιών κ.ά. Μεταξύ άλλων,<br />
η έκθεση της Kaspersky Lab για τα ανεπιθύμητα<br />
email σημειώνει κάποιες σημαντικές τάσεις. Πάνω από<br />
τα τρία τέταρτα (79%) του συνόλου των απεσταλμένων<br />
email είχαν μέγεθος μικρότερο από 2kb, γεγονός που<br />
δείχνει μία σταθερή μείωση στο μέγεθος των email που<br />
χρησιμοποιούνται για εκστρατείες spam τα τελευταία<br />
χρόνια. Οι χρηματοπιστωτικοί οργανισμοί (π.χ. τράπεζες,<br />
συστήματα πληρωμών, ακόμη και online καταστήματα)<br />
ήταν αυτοί που δέχτηκαν πιο συχνά επιθέσεις με<br />
phising email (34,33% επί του συνόλου των επιθέσεων,<br />
μια αύξηση της τάξης του 5,59%). Το 2015, οι ψηφιακοί<br />
εγκληματίες συνέχισαν να στέλνουν ψεύτικα email από<br />
φορητές συσκευές καθώς και ειδοποιήσεις από mobile<br />
εφαρμογές, που περιλάμβαναν<br />
κακόβουλο λογισμικό ή διαφημιστικά<br />
μηνύματα. Ανάμεσα<br />
στις νέες τακτικές των απατεώνων<br />
ήταν η εξάπλωση κακόβουλου<br />
λογισμικού με τη μορφή<br />
.apk (εκτελέσιμα αρχεία για<br />
συσκευές Android) και .jar (αρχεία<br />
ZIP που περιέχουν προγράμματα<br />
σε γλώσσα Java).<br />
4 security
T<strong>43</strong>01/02.2016<br />
News<br />
Νέες σημαντικές συνεργασίες για την Orthology στον τομέα της ασφάλειας<br />
Η Orthology σύναψε πρόσφατα νέες σημαντικές συνεργασίες<br />
που της δίνουν την ευκαιρία να προσφέρει καινοτόμες<br />
λύσεις στην Ελληνική αγορά στον τομέα της ασφάλειας,<br />
με στόχο τον εντοπισμό των τρωτών σημείων, τη<br />
μείωση κινδύνου και την διασφάλιση της συμμόρφωσης.<br />
Συγκεκριμένα:<br />
Η εταιρεία Thycotic Software αναπτύσσει έξυπνες, αξιόπιστες<br />
λύσεις ασφαλείας που ενισχύουν και βοηθούν<br />
τις επιχειρήσεις στον έλεγχο και την παρακολούθηση<br />
των ευαίσθητων δεδομένων (π.χ. privileged account<br />
credentials, web accounts).<br />
Η εταιρεία Druva προσφέρει λύσεις για την ευκολότερη<br />
διαχείριση πολλαπλών συστημάτων, μειώνοντας<br />
σημαντικά τους ενδεχόμενους κινδύνους και το κόστος<br />
κτήσης. Η Druva έχει βραβευτεί από την Gartner για<br />
τοEnterprise Endpoint Backup Report.<br />
Η εταιρεία Landesk περιλαμβάνει προϊόντα που καλύπτουν<br />
τους τομείς του Unified Endpoint Management,<br />
<strong>IT</strong> Service Management, Endpoint <strong>Security</strong>, <strong>IT</strong> Asset<br />
Management. Βραβευμένη από την Gartner για τα Client<br />
Management Tools για 8 συνεχή χρόνια, η Landesk<br />
παραμένει ένας παγκόσμιος ηγέτης στις λύσεις ασφαλείας.<br />
Η εταιρεία Tenable Network <strong>Security</strong> θεωρείται ηγέτης<br />
στιςλύσεις συνεχούς παρακολούθησης του δικτύου<br />
και διαχείρισης των ευπαθειών του. ΗTenable Network<br />
<strong>Security</strong> έχει βραβευτεί από την Gartner για τις λύσεις<br />
ασφαλείας που παρέχει.<br />
Η ESET αναλύει τις ευπάθειες που παρουσιάστηκαν στα Windows το 2015<br />
Η ESET δημοσίευσε πρόσφατα την ετήσια έκθεση<br />
«Windows Exploitation in 2015». Στην έκθεση αυτή,<br />
η ESET αναλύει τις κυριότερες ευπάθειες που εμφανίστηκαν<br />
στα Microsoft Windows κατά τους τελευταίους<br />
12 μήνες, τονίζοντας τα νέα χαρακτηριστικά<br />
ασφάλειας που παρουσιάστηκαν στα Windows, στους<br />
web browsers και στο σύστημα Enhanced Mitigation<br />
Experience Toolkit της Microsoft. «Ο κύριος στόχος της<br />
παρούσας έκθεσης είναι να ενημερώσει τους πελάτες<br />
και τους χρήστες της ESET σε όλο τον κόσμο για τη σημασία<br />
της εγκατάστασης των ενημερώσεων ώστε να<br />
επιδιορθώνονται διάφορες «unpatched» ευπάθειες»,<br />
δήλωσε ο Artem Baranov, Malware Researcher στην<br />
ESET Russia. Συγκριτικά με τα αποτελέσματα του 2014,<br />
ο αριθμός των «patched» ευπαθειών στα επιμέρους<br />
στοιχεία των Microsoft Windows τετραπλασιάστηκε κατά<br />
το 2015. Το στοιχείο με τα περισσότερα «patches»<br />
παραμένει ο Internet Explorer και ακολουθούν τα User<br />
Mode Components (UMC) των Windows. Οι αναγνώστες<br />
της έκθεσης μπορούν να βρουν στατιστικά στοιχεία σχετικά<br />
με τις σημαντικότερες ευπάθειες, συμπεριλαμβανομένης<br />
της «Hacking Team», όπως και τις πιο κοινές<br />
προσεγγίσεις που χρησιμοποιούνται, όπως τα drive-by<br />
downloads, και οι επιθέσεις Local Privilege Escalation<br />
(LPE) ή use-after-free (UAF). Η έκθεση επίσης προσφέρει<br />
χρήσιμες πληροφορίες σχετικά με τις πιο πρόσφατες<br />
τεχνικές μείωσης κινδύνου της Microsoft για το<br />
Google Chrome και το Edge. Αναλυτικότερες πληροφορίες<br />
υπάρχουν στο WeLive<strong>Security</strong>.com. Η πλήρης<br />
έκθεση «Windows Exploitation in 2015» είναι διαθέσιμη<br />
στην ενότητα «White Paper» του WeLive<strong>Security</strong>.com.<br />
6 security
T<strong>43</strong>01/02.2016<br />
News<br />
Η ENCODE στο RSA<br />
CONFERENCE 2016<br />
H ENCODE συμμετείχε σαν Εκθέτης στο Διεθνές Συνέδριο<br />
“RSA Conference” για την Ασφάλεια στον Κυβερνοχώρο<br />
που πραγματοποιήθηκε στο Σαν Φρανσίσκο<br />
στο χρονικό διάστημα 29 Φεβρουαρίου με 5 Μαρτίου<br />
2016.<br />
Καθώς η αναγκαιότητα και η σημαντικότητα του πεδίου<br />
της ασφάλειας της πληροφορικής συνεχίζει να αυξάνεται<br />
με ταχύτατους ρυθμούς, το Συνέδριο “RSA Conference”<br />
διαδραματίζει εδώ και χρόνια καθοριστικό ρόλο στην<br />
ενημέρωση και την μεταφορά γνώσης μεταξύ των επαγγελματιών<br />
της ασφάλειας πληροφοριών και δεδομένων.<br />
To Συνέδριο “RSA Conference” ξεκίνησε το 1991 ως φόρουμ<br />
για κρυπτογράφους με σκοπό την συλλογή και κοινοποίηση<br />
της πιο σύγχρονης γνώσης και την ενημέρωση<br />
για όλες τις εξελίξεις στο χώρο της τεχνολογίας με αποτέλεσμα<br />
να είναι σήμερα το κορυφαίο γεγονός στον τομέα<br />
της ασφάλειας Διαδικτύου.<br />
Τα στελέχη της ENCODE, βρίσκονταν εκεί εκπροσωπώντας<br />
τη χώρα μας για άλλη μια φορά, σε ένα γεγονός<br />
ορόσημο για την καινοτομία και την συνεχόμενη ανάπτυξη<br />
της τεχνολογίας.
Adwind: Μια πλατφόρμα “Malwareas-a-Service”<br />
που έπληξε πάνω από<br />
400.000 χρήστες και οργανισμούς παγκοσμίως<br />
Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της<br />
Kaspersky Lab δημοσίευσε μια εκτενή έρευνα σχετικά<br />
με το Εργαλείο Απομακρυσμένης Πρόσβασης (RAT)<br />
Adwind, ένα πολυλειτουργικό κακόβουλο πρόγραμμα<br />
που επηρεάζει πολλαπλές πλατφόρμες. Το πρόγραμμα<br />
αυτό είναι επίσης γνωστό και ως AlienSpy, Frutas,<br />
Unrecom, Sockrat, JSocket και jRat και διανέμεται μέσω<br />
μίας πλατφόρμας “Malware-as-a-Service”. Σύμφωνα<br />
με τα ευρήματα της έρευνας, η οποία πραγματοποιήθηκε<br />
μεταξύ 2013 και 2016, διαφορετικές εκδόσεις του<br />
κακόβουλου προγράμματος Adwind έχουν χρησιμοποιηθεί<br />
σε επιθέσεις κατά τουλάχιστον 4<strong>43</strong>.000 χρηστών,<br />
επιχειρήσεων και μη εμπορικών οργανισμών ανά τον<br />
κόσμο. Η πλατφόρμα και το κακόβουλο λογισμικό είναι<br />
ακόμα ενεργά. Κατά τη διάρκεια της έρευνας, οι ειδικοί<br />
της Kaspersky Lab κατάφεραν να αναλύσουν σχεδόν<br />
200 παραδείγματα επιθέσεων spear-phishing, οι οποίες<br />
οργανώθηκαν από άγνωστους εγκληματίες, με στόχο<br />
την εξάπλωση του κακόβουλου λογισμικού Adwind. Ένα<br />
από τα κύρια χαρακτηριστικά που διακρίνει το Adwind<br />
RAT από άλλα «εμπορικά» κακόβουλα προγράμματα<br />
είναι ότι διανέμεται ανοιχτά, με τη μορφή πληρωμένης<br />
υπηρεσίας, όπου ο «πελάτης» πληρώνει ένα τέλος σε<br />
αντάλλαγμα για τη χρήση του κακόβουλου προγράμματος.<br />
Με βάση έρευνα της δραστηριότητας των χρηστών<br />
στον εσωτερικό πίνακα μηνυμάτων και μερικές άλλες<br />
παρατηρήσεις, οι ερευνητές της Kaspersky Lab εκτιμούν<br />
ότι υπήρχαν περίπου 1.800 χρήστες στο σύστημα μέχρι<br />
το τέλος του 2015. Αυτή είναι μία από τις μεγαλύτερες<br />
πλατφόρμες κακόβουλου λογισμικού που έχουν καταγραφεί<br />
μέχρι σήμερα.<br />
security<br />
9
T<strong>43</strong>01/02.2016<br />
Interview<br />
Οι πιστοποιήσεις ασφάλειας<br />
(ISC) 2 ως βασική απαίτηση καταξίωσης<br />
Οι προκλήσεις για τους επαγγελματίες στην ασφάλεια πληροφοριών καθώς και οι δράσεις που<br />
αναπτύσσει το (ISC) 2 Hellenic Chapter αποτέλεσαν τα βασικά σημεία της συνέντευξης που μας<br />
παραχώρησε ο Κώστας Παπαδάτος - Προέδρς του, (ISC) 2 Hellenic Chapter.<br />
Πείτε μας λίγα λόγια για τον (ISC) 2 αλλά και τι ακριβώς<br />
είναι το Global Information <strong>Security</strong> Workforce Study;<br />
Έχοντας συσταθεί το 1989, ο (ISC)² είναι ο μεγαλύτερος<br />
μη κερδοσκοπικός οργανισμός πιστοποιημένων επαγγελματιών<br />
ασφάλειας πληροφοριών παγκοσμίως, με<br />
πάνω από 110.000 μέλη σε περισσότερες από 160 χώρες.<br />
O (ISC)² εκδίδει τη διεθνώς αναγνωρισμένη ως Gold<br />
Standard, πιστοποίηση Certified Information Systems<br />
<strong>Security</strong> <strong>Professional</strong> (CISSP®) μαζί με τις επιπρόσθετες<br />
εξειδικεύσεις της. Επίσης παρέχει πολλαπλές πιστοποιήσεις<br />
ασφάλειας όπως αυτές για Secure Software<br />
Development (CSSLP®), για Cyber Forensics (CCFPSM),<br />
για Cloud <strong>Security</strong> (CCSPSM) κλπ. Στα μέλη του (ISC)²<br />
συμπεριλαμβάνεται η παγκόσμια ελίτ επαγγελματιών<br />
cybersecurity, που έχει δεσμευθεί να ακολουθεί υψηλού<br />
επιπέδου ηθικές αρχές και βέλτιστες πρακτικές. Ανάμεσα<br />
στις πολλές δραστηριότητες του, ο (ISC)² διεξάγει<br />
κάθε διετία, μέσω του ιδρύματος Foundation,σε συνεργασία<br />
με τις Booz Allen Hamilton και Frost & Sullivan,<br />
μια παγκόσμια έρευνα που έχει σφυγμομετρεί την τάση<br />
του κλάδου, καταγράφοντας απόψεις των ίδιων των ειδικών<br />
ασφάλειας (υπάρχουν περίπου 14.000 συμμετέχοντες<br />
παγκοσμίως). Η έρευνα αυτή που ονομάζεται<br />
Global Information <strong>Security</strong> Workforce Study -<br />
GISWS διενεργήθηκε τελευταία φορά τον Απρίλιο του<br />
2015 και εκτιμά ότι η παγκόσμια έλλειψη ειδικών ασφάλειας<br />
θα ξεπεράσει το 1,5 εκατ. μέχρι το 2020 καθώς οι<br />
σύγχρονοι οργανισμοί αντιμετωπίζουν πλέον μια συνεχώς<br />
αυξανόμενη τάση στον αριθμό και στην επιτήδευση<br />
των επιθέσεων.<br />
Συνέντευξη με τον Κώστα Παπαδάτο<br />
Πρόεδρος, (ISC) 2 Hellenic Chapter<br />
MSc Infosec, CISSP-ISSMP, CISM, ISO27001 LA,<br />
ISO 27005 RM, PMP, MBCI<br />
Ποια είναι τα προσόντα που χρειάζεται να έχουν οι<br />
εργαζόμενοι στον τομέα ασφάλειας πληροφοριακών<br />
συστημάτων; Δεδομένου ότι τα εργαλεία είναι κοινά τι<br />
κάνει τη διαφορά;<br />
Όπως προανέφερα, η ζήτηση σε καταρτισμένους επαγγελματίες<br />
ασφάλειας πληροφορικής είναι αυξημένη ακόμη<br />
και σε χώρες που υπάρχει οικονομική ύφεση. Όμως,<br />
ο σύγχρονος επαγγελματίας ασφάλειας πέραν από την<br />
εις βάθος τεχνογνωσία στο συγκεκριμένο αντικείμενο,<br />
πρέπει να διαθέτει επικοινωνιακές δεξιότητες, κριτική<br />
σκέψη, κατανόηση των σύγχρονων επιχειρηματικών<br />
απαιτήσεων, τεχνογνωσία σε πολλαπλούς τομείς της<br />
πληροφορικής αλλά και ευρεία αντίληψη των σύγχρονων<br />
απειλών. Πέρα από τα προαναφερθέντα προσόντα<br />
και τη σχετική εμπειρία, απαιτούνται η αντικειμενική<br />
επιβεβαίωση αυτών των δεξιοτήτων μέσω καταξιωμέ-<br />
10 security
νων επαγγελματικών πιστοποιήσεων αλλά και η συνεχής<br />
επαφή και ενημέρωση με εξειδικευμένες επαγγελματικές<br />
ομάδες όπως είναι τα επαγγελματικά σωματεία<br />
και φορείς. Από τα αποτελέσματα πολλών ερευνών που<br />
εκπονούνται στον κλάδο, προκύπτει ότι οι πιστοποιήσεις<br />
ασφάλειας με κύρος, όπως αυτές του (ISC) 2 , όχι μόνο<br />
χαίρουν της απόλυτης εκτίμησης των υψηλά ιστάμενων<br />
στελεχών, αλλά σε πολλές περιπτώσεις έχουν καθοριστεί<br />
ως βασική απαίτηση για τη διεκδίκηση μιας σημαντικής<br />
θέσης.<br />
Πότε ιδρύθηκε το (ISC) 2 Hellenic Chapter και πώς θα<br />
βοηθήσει η παρουσία του στην Ελλάδα;<br />
Το ελληνικό Chapter πήρε την επίσημη άδεια ίδρυσης<br />
από τον (ISC)² τον Ιούλιο του 2014, ενώ η επίσημη ίδρυση<br />
της ελληνικής νομικής οντότητας (Μη-Κερδοσκοπικό<br />
Σωματείο) ολοκληρώθηκε τον Ιούλιο του 2015. Το<br />
(ISC)² Hellenic Chapter έχει ως στόχο να δημιουργήσει<br />
ένα εθνικό δίκτυο επαγγελματιών ασφάλειας πληροφοριών<br />
ώστε τα μέλη του να μοιράζονται τις γνώσεις τους,<br />
να ανταλλάσσουν ιδέες αλλά και να συνεισφέρουν στην<br />
τοπική κοινωνία. Η συμμετοχή των Ελλήνων επαγγελματιών<br />
ασφάλειας στο (ISC) 2 Hellenic Chapter μπορεί να<br />
τους προσφέρει μοναδικές ευκαιρίες για επαγγελματική<br />
εξέλιξη καθώς συμπεριλαμβάνει οφέλη όπως δωρεάν<br />
συμμετοχή σε όλες τις τακτικές εκδηλώσεις-ημερίδες<br />
μας, υψηλές εκπτώσεις σε πιστοποιημένες εκπαιδεύσεις,<br />
ειδικές εκπτώσεις σε προωθητικά και εκπαιδευτικά<br />
προϊόντα, συμμετοχή σε παγκόσμιες δράσεις του (ISC) 2<br />
όπως το Safe and Secure Online, η συγγραφή άρθρων<br />
κ.λπ. Να τονίσουμε ότι, το (ISC) 2 Hellenic Chapter ήδη<br />
ξεκινήσει να υιοθετεί πολλά διεθνώς καταξιωμένα προγράμματα<br />
του (ISC) 2 , που στοχεύουν να συνεισφέρουν<br />
στην τοπική κοινωνία, όπως το SafeandSecureOnline.<br />
Συναντήσατε δυσκολίες κατά την προσπάθεια ίδρυσης<br />
του Chapter στην Ελλάδα;<br />
Η αρχική έγκριση από τον (ISC) 2 ολοκληρώθηκε σε σύντομο<br />
χρονικό διάστημα. Όμως, αμέσως μετά διαπιστώσαμε<br />
ότι η γραφειοκρατική διαδικασία ίδρυσης ενός μηκερδοσκοπικού<br />
σωματείου στην Ελλάδα είναι μια αρκετά<br />
επίπονη και χρονοβόρα διαδικασία. Πάραυτα, η μεγαλύτερη<br />
πρόκληση ήρθε για εμάς όταν, στις αρχές του<br />
περασμένου καλοκαιριού, πήραμε επιτέλους την πρώτη<br />
επίσημη έγκριση από τις δημόσιες αρχές. Ενώ στην αρχή<br />
υπήρξε μεγάλος ενθουσιασμός, σύντομα αντιληφθήκαμε<br />
ότι λόγω του αυστηρού χρονικού πλαισίου που ορίζει<br />
ο νόμος, θα ήμασταν αναγκασμένοι να διεξάγουμε την<br />
πρώτη μας Γενική Συνέλευση και Εκλογές σε αρκετά<br />
αντίξοες συνθήκες. Έπρεπε συνειδητά να προγραμματίσουμε<br />
την εκδήλωση αυτή εν μέσω της διεξαγωγής<br />
του δημοψηφίσματος, χωρίς να έχουμε τη δυνατότητα<br />
να ανοίξουμε τραπεζικό λογαριασμό και με τους περιορισμούς<br />
ανάληψης μετρητών λόγω capital controls.<br />
Όταν εκδόθηκε η ανακοίνωση της ΓΣ, δε γνωρίζαμε αν<br />
οι ενδιαφερόμενοι θα είχαν τη δυνατότητα να εξασφαλίσουν<br />
τα απαιτούμενα μετρητά ώστε να πληρώσουν τη<br />
συνδρομή τους κατά την διαδικασία εγγραφής μελών στο<br />
σωματείο. Τελικά όχι μόνο η ΓΣ διεξαχθεί κανονικά, αλλά<br />
διοργανώσαμε μια επιτυχημένη εκπαιδευτική εκδήλωση,<br />
με πέντε χορηγούς και πέντε υποστηρικτές (τους<br />
οποίους ευχαριστούμε όλους θερμά).<br />
Ποιες θεωρείται ότι είναι οι σημαντικότερες επιτυχίες<br />
σας στο σύντομο χρόνο ζωής του (ISC) 2 Hellenic<br />
Chapter και τι βλέπετε για το μέλλον;<br />
Το ότι τελικά καταφέραμε να ολοκληρώσουμε τη διαδικασία<br />
σύστασης του μη-κερδοσκοπικού σωματείου κάτω<br />
από τις αντίξοες συνθήκες που προανέφερα, μπορεί<br />
να θεωρηθεί ως μια σημαντική επιτυχία. Εξίσου σημαντική<br />
επιτυχία είναι ότι μέσα στους πρώτους έξι μήνες της<br />
επίσημης λειτουργίας του σωματείου, αριθμούμε ήδη<br />
περίπου 90 επίσημα μέλη. Όμως, θεωρώ ότι η πιο σημαντική<br />
επιτυχία ήρθε τον περασμένο Δεκέμβρη καθώς<br />
γίναμε εγκεκριμένος Official Training Provider (OTP) από<br />
το (ISC) 2 . Αυτό σημαίνει ότι το chapter θα έχει σύντομα<br />
εκπαιδευμένους και εγκεκριμένους από το (ISC) 2 εκπαιδευτές<br />
ώστε να είναι σε θέση να διεξάγει στην Ελλάδα τις<br />
επίσημες εκπαιδεύσεις του οργανισμού.<br />
Η απόκτηση του συγκεκριμένου τίτλου είναι μια πολύ<br />
σημαντική διάκριση και δεν ήταν καθόλου εύκολο<br />
να επιτευχθεί. Αξίζει να τονίσω ότι το (ISC) 2 Hellenic<br />
Chapterείναι μόλις το δεύτερο chapter σε όλη την περιοχή<br />
της Ευρώπης - Μέσης Ανατολής - Αφρικής (EMEA)<br />
που αποκτά αυτόν τον τίτλο Όσο αφορά στο μέλλον, εγώ<br />
προσωπικά είμαι ιδιαίτερα αισιόδοξος. Καταρχάς μου<br />
δίνει μεγάλη ελπίδα η ανταπόκριση των χορηγών και<br />
υποστηρικτών. Για παράδειγμα, η εταιρεία δημοσίων<br />
σχέσεων μας υποστηρίζει ένθερμα από τα πρώτα βήματα<br />
μας μέχρι σήμερα. Όσο αφορά στα μέλη μας, θέλω<br />
να πω ότι όλη η ομάδα του (ISC) 2 Hellenic Chapter αποτελείται<br />
από καταξιωμένους επαγγελματίες του κλάδου<br />
που θέλουν ανιδιοτελώς να προσφέρουν στην τοπική<br />
κοινωνία. <strong>IT</strong><strong>Security</strong><br />
security<br />
11
T<strong>43</strong>01/02.2016<br />
Interview<br />
Vector - Ελληνικό, Προσιτό και<br />
Κορυφαίο Λογισμικό ασφαλείας<br />
Το ιστορικό, την τεχνολογική υλοποίηση και τον εμπορικό στόχο του Vector -του πρώτου<br />
ελληνικού λογισμικού ασφαλείας- μας περιγράφει στη συνέντευξη που μας παραχώρησε ο<br />
Νίκος Μαρκόπουλος.<br />
Συνέντευξη με τον Νίκο Μαρκόπουλο<br />
Ιδρυτής & CEO, Talos Software & <strong>IT</strong><br />
Κύριε Μαρκόπουλε, ας μπούμε κατευθείαν στο<br />
κεντρικό θέμα της συνέντευξης μας. Τι είναι λοιπόν<br />
το Vector που έκανε πρόσφατα την εμφάνιση του στην<br />
Ελληνική αγορά από την Talos; Πως ξεκίνησε αυτή η<br />
πρωτοβουλία;<br />
Το 2007, ίδρυσα την ΤΑΛΩΣ, μία εταιρεία που πραγματοποιεί<br />
μια αξιοσημείωτη πορεία με πολλές διακρίσεις και<br />
βραβεύσεις στον χώρο της ασφάλειας του διαδικτύου.<br />
Ασχολούμενος λοιπόν, με την ασφάλεια του διαδικτύου<br />
ενεργά για περισσότερα από 10 χρόνια και έχοντας αποκτήσει<br />
μια αρκούντως ικανοποιητική τεχνογνωσία στον<br />
χώρο, άρχισα να ονειρεύομαι την ανάπτυξη αντιστοίχων<br />
εφαρμογών εδώ στην Ελλάδα, απο Έλληνες για τους Έλληνες,<br />
και όχι μόνο. Μετά το 2012 -μια χρονιά ορόσημο<br />
για την αγορά και την εταιρεία μας- αποφάσισα ότι ήρθε<br />
η ώρα να προσπαθήσω να κερδίσω αυτό το στοίχημα.<br />
Έτσι, μετά από 6 μήνες, συνέστησα μια ομάδα επιστημόνων,<br />
μαθηματικών, προγραμματιστών και τεχνικών<br />
ασφάλειας δικτύου, ξεκινώντας το εγχείρημα μου με<br />
απόλυτη μυστικότητα. Τον Οκτώβριο του 2015 μετά<br />
από πολλές αναβολές λόγω των πολιτικών και οικονομικών<br />
εξελίξεων, παρουσιάσαμε στην αγορά τα Vector<br />
Antivirus, Internet <strong>Security</strong> & Total <strong>Security</strong> 2016.<br />
Αντιστοίχως με τα προϊόντα του ανταγωνισμού οι τρείς<br />
εκδόσεις καλύπτουν την βασική ασφάλεια με το αντιικό<br />
(Antivirus), μια πολύ καλύτερη προστασία με συνδυασμό<br />
αντιικού & τείχους προστασίας (Internet <strong>Security</strong>)<br />
συν κάποια βοηθήματα όπως defragmentation, safe pay<br />
system κτλ, και τέλος την ολοκληρωμένη προστασία και<br />
διαχείριση των δεδομένων ενός Η/Υ (Total <strong>Security</strong>).<br />
Θα είχε πολύ ενδιαφέρον να μας αναπτύξετε το<br />
τεχνολογικό υπόβαθρό αυτών των λύσεων και ποια<br />
πλεονεκτήματα προσφέρει στους χρήστες.<br />
Μαζί με την ομάδα του Vector, αποφασίσαμε να συνεργαστούμε<br />
με έναν πολύ γνωστό κατασκευαστή λύσεων<br />
ψηφιακής ασφάλειας, χρησιμοποιώντας τη “μηχανή”<br />
του και πάνω σε αυτή να παραμετροποιήσουμε όλο το<br />
υπόλοιπο προϊόν. Το interface είναι απλό και κατανοητό,<br />
ενώ με τη λειτουργία auto-pilot ακόμα και οι καθόλου<br />
εξοικειωμένοι χρήστες μπορούν να καλύψουν τις ανάγκες<br />
τους. Το προφίλ και τα settings του χρήστη στο My<br />
Vector, υποστηρίζονται σε δικό μας cloud περιβάλλον,<br />
12 security
ενώ τα definitions -που είναι και η ουσία ενός προϊόντος<br />
προστασίας Η/Υ- ετοιμάζονται καθημερινά, εξυπηρετώντας<br />
τα updates αυθημερόν στους χρήστες μας. Το λογισμικό,<br />
το δίκτυο και οι ίδιοι οι servers εξυπηρέτησης<br />
όλων των χρηστών, λειτουργούν και παρακολουθούνται<br />
στην Ελλάδα.<br />
Ποια είναι η εμπορική στόχευση του Vector και πως<br />
σκοπεύετε να το κάνετε ευρύτερα γνωστό;<br />
Ένα πρόβλημα γενικότερα στην ελληνική οικονομία, είναι<br />
οι πολικές εισαγωγής προϊόντων αλλά και η αντιπαραγωγική<br />
μας νοοτροπία. Από τη δεκαετία του 80 τα προβλήματα<br />
είναι σχεδόν τα ίδια. Συγκεκριμένα, αγοράζουμε<br />
ακριβά σαν εισαγωγείς και πουλάμε με όσο μικρότερο<br />
περιθώριο γίνεται για να είμαστε ανταγωνιστικοί σε πάρα<br />
πολλούς ενδιάμεσους. Με απλά λόγια, ένα 100% πρέπει<br />
να μοιραστεί στον εκδότη, στον αντιπρόσωπο, στον διανομέα,<br />
στον μικρό μεταπωλητή ή στην αλυσίδα καταστημάτων<br />
και στον τελικό καταναλωτή. Δυστυχώς, αυτό το<br />
μοντέλο εμπορίας ισχύει σχεδόν για όλους τους κλάδους<br />
από την εισαγωγή κρεάτων… μέχρι και το λογισμικό! Με<br />
μια απλή ματιά λοιπόν, καταλαβαίνει κάποιος γιατί οι τιμές<br />
πολλών προϊόντων φτάνουν σε δυσθεώρητα επίπεδα<br />
πλέον για την τσέπη του μέσου Έλληνα.<br />
Ας μη γελιόμαστε, στην Ελλάδα του 2016 υπάρχουν οικογένειες<br />
που δανείζονται για να καλύψουν τα βασικά<br />
έξοδα του μήνα και το τελευταίο που θα σκεφτεί ο απλός<br />
κόσμος είναι να δώσει 40, 50, 60 ευρώ για ένα antivirus.<br />
Έτσι λοιπόν, η εμπορική στόχευση πίσω από την ιδέα του<br />
Vector είναι πολύ απλή: ο εκδότης, ο αντιπρόσωπος<br />
και ο διανομέας είναι ο ίδιος άνθρωπος, αφήνοντας<br />
έτσι το περιθώριο τόσο στον μικρό μεταπωλητή όσο και<br />
στον τελικό πελάτη να έχει την ευκαιρία να αποκτήσει<br />
μια κορυφαία προστασία στον Η/Υ πολύ πιο οικονομική<br />
από τις υπόλοιπες κορυφαίες. Γι’ αυτό το λόγο ανέφερα<br />
ως κύριο μέλημα τους μικρούς μεταπωλητές. Αυτοί είναι<br />
εκείνοι, οι οποίοι στηρίζουν κάθε brand στο <strong>IT</strong> και αυτοί<br />
είναι οι αφανείς ήρωες πίσω από κάθε προϊόν του χώρου.<br />
Το Vector λοιπόν ξεκινάει από 14,5 ευρώ και σκοπός<br />
μας είναι να πάμε πολύ παρακάτω και αυτό είναι το<br />
όραμα μου. Το Vector να είναι το πιο προσιτό από τα τοπ<br />
5 προϊόντα της αγοράς στην Ελλάδα.<br />
Θα θέλατε να μας εκμυστηρευτείτε κάποιες<br />
μελλοντικές σκέψεις σας για την τεχνολογική και<br />
εμπορική προοπτική του vector;<br />
Το Vector είναι προσωπικό στοίχημα, είναι το απόσταγμα<br />
της εμπειρίας μου στον χώρο του antivirus στην Ελλάδα<br />
για το πως πρέπει να είναι ένα τέτοιο προϊόν, σε τι τιμή<br />
και σε ποιό δίκτυο πώλησης. Τον Ιούνιο ξεκινάμε “from<br />
scratch”, την ανάπτυξη του “Vector for SMB”, το οποίο θα<br />
έχει 100% δική του μηχανή και θα είναι η εταιρική έκδοση<br />
ενός πλήρους λογισμικού της ασφάλειας δικτύου.<br />
Πρόκειται για ένα εντελώς καινοτόμο προϊόν το οποίο<br />
θα δίνει βάρος εκεί που όλοι οι κατασκευαστές δεν δίνουν,<br />
δηλαδή στις μικρές και μεσαίες επιχειρήσεις και<br />
εννοούμε με τα ελληνικά δεδομένα και όχι με τα διεθνή<br />
όπου SMB χαρακτηρίζονται οι εταιρείες με 50+ υπολογιστές.<br />
Προσαρμοσμένο εξαρχής στα ελληνικά συστήματα<br />
δικτύων, που χρησιμοποιούν αντίστοιχα ελληνικά λογισμικά<br />
τιμολόγησης και διαχείρισης και θα είναι στημένο<br />
ακόμα και στις πιο παλαιές εκδόσεις της Microsoft. Φυσικά<br />
όλα αυτά στην ίδια κατεύθυνση τιμολογιακής πολιτικής,<br />
ώστε να είναι το οικονομικότερο όλων.<br />
Το όραμα είναι κοινό και για τα προϊόντα home όσο και<br />
b2b: ελληνικό, προσιτό και κορυφαίο. <strong>IT</strong><strong>Security</strong><br />
security<br />
13
T<strong>43</strong>01/02.2016<br />
Report<br />
Οι NSS και Sophos πρωτοπορούν<br />
…και κοιτάζουν μόνο προς τ’ άστρα<br />
Σε μία πρωτοποριακή για τα Ελληνικά δεδομένα και συναρπαστική εκδήλωση που πραγματοποιήθηκε<br />
στο Εθνικό Αστεροσκοπείο Αθηνών, που βρίσκεται σε μία εκπληκτική τοποθεσία στον<br />
Λόφο Νυμφών στo Θησείο, οι NSS και Sophos μίλησαν και ανέδειξαν τις εκπληκτικές δυνατότητες<br />
των νέων τεχνολογιών της κορυφαίας εταιρείας στον χώρο της ασφάλειας δικτύου και τερματικών<br />
συσκευών σε επιλεγμένους μεταπωλητές / εταιρείες πληροφορικής στη χώρα μας.<br />
Σ<br />
την εκδήλωση, η Sophos εκπροσωπήθηκε<br />
από το Διευθυντή Πωλήσεων<br />
Βορειοανατολικής Ευρώπης Thomas<br />
Thölke καθώς και από το Διευθυντή<br />
Marketing Denis Brendelberger, ενώ<br />
από την NSS παρευρέθηκαν οι Αντώνης Βεντούρης<br />
(CTO), Γιώργος Καπανίρης (Business Development<br />
Director) και Γιώργος Κουϊμιντζής (Commercial Director).<br />
Το Εθνικό Αστεροσκοπείο Αθηνών (Ε.Α.Α.) είναι Δημόσιο<br />
Ερευνητικό Κέντρο και ιδρύθηκε το 1842 με δωρεά<br />
του Εθνικού ευεργέτη Γ. Σίνα. Οι επιστημονικές και<br />
ερευνητικές του δραστηριότητες αφορούν το εσωτερικό<br />
και το φλοιό της Γης, το ατμοσφαιρικό περιβάλλον, τον<br />
εγγύς διαστημικό χώρο και το αστροφυσικό Σύμπαν. Σημαντική,<br />
είναι η συνεισφορά του στην επιμόρφωση του<br />
κοινού και τον τομέα της διάχυσης της επιστήμης μέσω<br />
του Κέντρου Επισκεπτών Πεντέλης και Θησείου που περιλαμβάνει<br />
το Μουσείο Γεωαστροφυσικής.<br />
Οι δραστηριότητες του Κέντρου εξυπηρετούνται από τα<br />
Ινστιτούτα Αστρονομίας, Αστροφυσικής, Διαστημικών<br />
Εφαρμογών και Τηλεπισκόπησης, Ερευνών Περιβάλλοντος<br />
και Βιώσιμης Ανάπτυξης και το Γεωδυναμικό<br />
Ινστιτούτο.<br />
Το Εθνικό Αστεροσκοπείο Αθηνών ήταν το καταλληλότερο<br />
μέρος για την εκδήλωση και η επιλογή της τοποθεσίας<br />
είχε συμβολικό χαρακτήρα. Όπως είναι γνωστό,<br />
η Sophos με τα Project Galileo, Project Copernicus<br />
και Project Kepler, πρωτοπορεί και θα συνεχίσει να<br />
πρωτοπορεί στον χώρο της ασφάλειας, όπως πρωτοπόρησαν<br />
και οι διάσημοι αστρονόμοι Γαλιλαίος Γαλιλέι,<br />
Νικόλαος Κοπέρνικος και Γιοχάνες Κέπλερ, που τιμούν<br />
με τις ονομασίες τους τις μοναδικές στον κόσμο τεχνολογίες<br />
της Sophos. Έτσι, όπως οι Γαλιλαίος, Κοπέρνικος και<br />
Κέπλερ βρίσκονταν μπροστά από την εποχή τους, έτσι<br />
και η Sophos βρίσκεται μπροστά από την εποχή της, με<br />
τεχνολογίες μοναδικές στον κλάδο της ασφάλειας.<br />
14 security
Ο Γαλιλαίος Γαλιλέι, γνωστός ως Γαλιλαίος, ήταν φυσικός,<br />
μαθηματικός, αστρονόμος και φιλόσοφος κα έπαιξε<br />
σημαντικό ρόλο στην επιστημονική επανάσταση. Μεταξύ<br />
άλλων με δικής του κατασκευής τηλεσκόπιο παρατήρησε<br />
πρώτος τους κρατήρες, τα όρη και τις πεδιάδες στην<br />
επιφάνεια της Σελήνης, αποκάλυψε την αστρική φύση<br />
του Γαλαξία μας και απέδειξε την ισχύ της ηλιοκεντρικής<br />
θεωρίας. Ο Νικόλαος Κοπέρνικος ήταν μαθηματικός<br />
και αστρονόμος, και διατύπωσε το ηλιοκεντρικό μοντέλο<br />
του σύμπαντος, τοποθετώντας τον Ήλιο και όχι τη Γη στο<br />
κέντρο του ανοίγοντας τον δρόμο για επιστήμονες όπως<br />
ο Γιοχάνες Κέπλερ, μαθηματικός και αστρονόμος που<br />
είναι γνωστός και ως ο «Νομοθέτης του ουρανού» από<br />
τους φερώνυμους Νόμους που αφορούν την κίνηση των<br />
πλανητών γύρω από τον Ήλιο.<br />
Στην εκδήλωση, είχαν την τιμητική τους το Sophos XG<br />
Firewall καθώς και της ιδέας του Synchronized <strong>Security</strong><br />
που μέσω του <strong>Security</strong> Heartbeat προάγουν<br />
την ιδέα της συγχρονισμένης ασφάλειας που αποτελεί<br />
καινοτομία της Sophos σε παγκόσμιο επίπεδο.<br />
Το Synchronized <strong>Security</strong> (Project Galileo) αντιπροσωπεύει<br />
το όραμα της Sophos, που θέλει όλες τις τεχνολογίες<br />
επόμενης γενιάς enduser, server και network να<br />
εργάζονται παράλληλα, ως ένα ενοποιημένο, σύστημα<br />
ασφαλείας με ενιαία διαχείριση από το Cloud. Η Συγχρονισμένη<br />
Ασφάλεια (Synchronized <strong>Security</strong>) επιτέλους<br />
έγινε πραγματικότητα με τα νέα προϊόντα της Sophos.<br />
To Sophos XG Firewall (Project Copernicus) είναι η<br />
νέα επαναστατική πλατφόρμα Firewall της Sophos, που<br />
συμπεριλαμβάνει το ολοκαίνουριο λειτουργικό σύστημα<br />
Sophos OS (SF-OS) όπου μέσω του <strong>Security</strong> Heartbeat<br />
είναι το “the next-big thing” στην ασφάλεια επόμενης<br />
γενιάς. Το Sophos XG Firewall προσφέρει κορυφαία<br />
επιχειρησιακής κλάσης απόδοση, εκπληκτική ασφάλεια<br />
και απόλυτο έλεγχο. Το XG Firewall περιλαμβάνει το <strong>Security</strong><br />
Heartbeat, μία μοναδική δυνατότητα, που κάνει<br />
την εμφάνιση της για πρώτη φορά στην βιομηχανία και<br />
συνδέει τα firewall και endpoint μαζί, με αποτέλεσμα να<br />
τους δίνει την δυνατότητα να μοιράζονται νοημοσύνη<br />
και να βελτιστοποιούν την προστασία ενάντια στις προηγμένες<br />
απειλές.<br />
Το Project Kepler, που βρίσκεται σε διαρκή ανάπτυξη<br />
τον τελευταίο καιρό, αφορά την προστασία δεδομένων<br />
/ κρυπτογραφία επόμενης γενιάς (next generation data<br />
protection / encryption). Σύντομα θα μάθετε περισσότερες<br />
λεπτομέρειες, αυτό ωστόσο που υπόσχεται η<br />
Sophos, είναι ότι για ακόμη μία φορά, θα φέρει επανάσταση<br />
στον χώρο.<br />
Μετά την παρουσίαση των τεχνολογιών της Sophos, οι<br />
παρευρισκόμενοι είχαν την ευκαιρία να μάθουν ιστορικά<br />
στοιχεία καθώς και τεχνικές λεπτομέρειες για τον Μηχανισμό<br />
των Αντικυθήρων, τον πρώτο αναλογικό υπολογιστή<br />
στον κόσμο σε μία συναρπαστική παρουσίαση<br />
από την κα Φιόρη-Αναστασία Μεταλληνού διδάκτωρ<br />
Αστρονόμο του Πανεπιστημίου Αθηνών. Αργότερα, οι<br />
παρευρισκόμενοι ξεναγήθηκαν στο Μουσείο του Εθνικού<br />
Αστεροσκοπείου Αθηνών και παρατήρησαν στον<br />
Αττικό ουρανό τον Αστερισμό του Ωρίωνα και άλλους<br />
αστερισμούς με την βοήθεια του Τηλεσκόπιου Δωρίδη,<br />
ένα από τα μεγαλύτερα τηλεσκόπια στην Ελλάδα.<br />
Το Τηλεσκόπιο Δωρίδη ήταν το μεγαλύτερο τηλεσκόπιο<br />
στον ελληνικό χώρο από το 1902 μέχρι το 1959. Βρίσκεται<br />
σε ένα ειδικά διαμορφωμένο κτήριο με μεταλλικό<br />
θόλο επάνω στο λόφο της Πνύκας στο Θησείο. Είναι<br />
διοπτρικό τηλεσκόπιο με διπλό αχρωματικό φακό διαμέτρου<br />
40 εκατοστών και εστιακή απόσταση 5 μέτρα.<br />
Χρησιμοποιήθηκε εκτεταμένα για παρατηρήσεις πλανητών,<br />
δορυφόρων πλανητών, κομητών, μεταβλητών<br />
αστέρων, για αστρομετρία αλλά και για τη μελέτη του<br />
Ήλιου. Σήμερα το τηλεσκόπιο αυτό, χρησιμοποιείται για<br />
ξεναγήσεις, επιδείξεις, για παρατηρήσεις λαμπρών ουράνιων<br />
αντικειμένων, για εκπαιδευτικές και επιμορφωτικές<br />
δραστηριότητες που καλύπτουν ένα ευρύ φάσμα<br />
του χώρου της Αστρονομίας, της Αστροφυσικής και του<br />
Διαστήματος.<br />
Οι εταιρείες NSS και Sophos, ευχαριστούν ιδιαιτέρως<br />
όλους τους εκπροσώπους των εταιρειών για<br />
την παρουσία τους στην εκδήλωση. <strong>IT</strong><strong>Security</strong><br />
security<br />
15
T<strong>43</strong>01/02.2016<br />
Cover Issue<br />
Cyber Threat Intelligence<br />
Αναγνωρίζοντας και αντιμετωπίζοντας<br />
τις απειλές<br />
Οι πληροφορίες σήμερα προσλαμβάνουν συνεχώς ολοένα και μεγαλύτερη αξία, δίνοντας έτσι<br />
κίνητρο στους επιτιθέμενους hackers να αναζητούν συνεχώς νέους τρόπους και μεθόδους ώστε<br />
να τις αποκτήσουν και να τις εκμεταλλευτούν. Από την άλλη πλευρά, η συλλογή και ανάλυση<br />
πληροφοριών με σκοπό την κατανόηση αυτών των κινδύνων, στα πλαίσια μεθόδων Cyber<br />
Threat Intelligence, είναι ζωτικής σημασίας για τη λήψη και υλοποίηση σωστών αποφάσεων για<br />
τη προστασία των κρίσιμων δεδομένων.<br />
16 security
Πασσάς Σταμάτης<br />
MSc, MBA, Υποψήφιος Διδάκτορας (PhD Candidate)<br />
Παντείου Πανεπιστημίου<br />
Μαϊμάρης Δημήτρης<br />
Διπλ. Ηλεκτρολόγος Μηχανικός & Μηχανικός Υπολογιστών<br />
(ΗΜΜΥ) Δημοκριτείου Πανεπιστημίου Θράκης (Δ.Π.Θ.)<br />
Ρ<br />
ίχνοντας μια μικρή ματιά στην εξέλιξη των<br />
κυβερνοεπιθέσεων, μπορούμε να δούμε<br />
πως η ανάπτυξη τους είναι ραγδαία, δημιουργώντας<br />
ακόμα μεγαλύτερες επιπτώσεις<br />
στα ψηφιακά συστήματα σε σύγκριση<br />
με τα προηγούμενα χρόνια. Οι αυξημένοι πόροι (οικονομικοί,<br />
υπολογιστικοί), τα νέα εργαλεία και οι σκοποί που<br />
εξυπηρετούν τους hackers καθιστούν τις κυβερνοεπιθέσεις<br />
αρκετά επικίνδυνες για οποιαδήποτε επιχείρηση.<br />
Το φάσμα των κυβερνοαπειλών εξελίσσεται<br />
Κυβερνοαπειλή, είναι η κακόβουλη προσπάθεια να δημιουργηθεί<br />
ζημία ή πρόβλημα στη λειτουργία τόσο ενός<br />
δικτύου όσο και ενός συστήματος. Η πληθώρα κυβερνοαπειλών<br />
που υφίσταται, μπορεί να διακριθεί και να κατανοηθεί<br />
αν αναλύσουμε τα τρία συστατικά από τα οποία<br />
αυτές αποτελούνται. Αυτά είναι:<br />
• Η πλευρά που εξαπολύει την κυβερνοεπίθεση. Σε αυτό<br />
το σημείο έχουμε να κάνουμε πιθανά με χακτιβιστές (hacktivists),<br />
με κυβερνήσεις, με εταιρικό espionage και κυβερνοεγκληματίες.<br />
• Ο αντίκτυπος που έχει μία επίθεση. Αυτός προσδιορίζεται<br />
από τον τρόπο με τον οποίο η επίθεση σχεδιάζεται και<br />
υλοποιείται, αλλά και το στόχο που εκείνη έχει (εταιρικό δίκτυο,<br />
εφαρμογές, βάσεις δεδομένων κ.ά.).<br />
• Την ανοχή στον κίνδυνο (risk tolerance) που αποφασίζει<br />
να έχει κάποια επιχείρηση, από τα κενά ασφαλείας που<br />
προκύπτουν, είτε από τις υποδομές της είτε από υπαλλήλους<br />
(δικούς της ή τρίτους που εργάζονται σε αυτή π.χ. εξωτερικούς<br />
συνεργάτες).<br />
Οι επιθέσεις εξαρτώνται από τους σκοπούς που θέλουν<br />
οι επιτιθέμενοι να πετύχουν και μπορεί να είναι οικονομικοί<br />
ή ιδεολογικοί λόγοι, η αμαύρωση της φήμης μιας<br />
εταιρίας, αλλά και κυβερνοπόλεμος μεταξύ χωρών. Κυβερνοεπιθέσεις<br />
με τη μορφή viruses, Trojan horses,<br />
spyware και phishing και άλλα είδη malware είναι<br />
καθημερινές ανά τον κόσμο και έχουν ως στόχο οι επιτιθέμενοι<br />
να προσποριστούν οικονομικά οφέλη. Οι επιθέσεις<br />
Denial of Service - DOS αποσκοπούν στη μείωση<br />
της παραγωγικότητας μιας επιχείρησης και επιτυγχάνονται<br />
με τη διακοπή της εύρυθμης λειτουργίας του<br />
δικτύου της. Μία νέα μορφή όμως ψηφιακών επιθέσεων<br />
που εξαπλώνεται όλο και περισσότερο στο κόσμο των<br />
ψηφιακών εγκληματιών είναι οι επιθέσεις Advanced<br />
Persistent Threats (APTs) που στοχεύουν να πλήξουν<br />
μεγάλα χρηματοπιστωτικά ιδρύματα και κολοσσιαίους<br />
οργανισμούς.<br />
Σε πρόσφατη μελέτη το 2015, ο διεθνής οργανισμός<br />
ISACA (βλ. Advanced Persistent Threat Awareness<br />
Study Results) αποκάλυψε ότι οι APTs εξακολουθούν να<br />
απολαμβάνουν τα φώτα της δημοσιότητας στον απόηχο<br />
της επιτυχημένης χρήσης τους, με αρκετές παραβιάσεις<br />
δεδομένων, προφίλ. Η τέταρτη σε μια σειρά από μελέτες<br />
σχεδιασμένες για να αποκαλύψει την κατανόηση και τις<br />
θέσεις των APTs, έδειξε θετικές τάσεις που σημειώθηκαν<br />
συγκρινόμενες με την μελέτη που διεξήχθη το 2014<br />
(74% των ερωτηθέντων πιστεύουν ότι θα είναι ένας από<br />
τους επόμενους στόχους, 94% πιστεύουν ότι είναι τουλάχιστον<br />
κάπως εξοικειωμένοι με τα APTs, 28% έχουν<br />
υποστεί μια επίθεση, 67% πιστεύουν ότι είναι έτοιμοι να<br />
ανταποκριθούν και να αντεπεξέλθουν των απειλών).<br />
Η στατιστική λέει την αλήθεια<br />
Σύμφωνα με στατιστικές συγκρίσεις, ο αντίκτυπος των<br />
ψηφιακών επιθέσεων που έγιναν το τελευταίο τρίμηνο<br />
του 2015 παρουσίασε αύξηση 15%. Σημαντικό στοιχείο<br />
επίσης που τονίζει την σημασία που πρέπει να δοθεί στην<br />
προστασία από αυτές τις επιθέσεις από τις επιχειρήσεις,<br />
είναι πως σύμφωνα με προβλέψεις, το 2016 οι εγκληματίες<br />
στοχεύουν -με αύξηση 40%- στην παραποίηση των<br />
δεδομένων. Έτσι εστιάζουν στην ακεραιότητα (Integrity)<br />
της πληροφορίας και όχι στη διαθεσιμότητα (Availability)<br />
και την εμπιστευτικότητα (Confidentiality). Οι επιχειρήσεις<br />
που θα έχουν περίοπτη θέση στο στόχαστρο<br />
των ψηφιακών επιθέσεων αναμένεται να ανήκουν στους<br />
ακόλουθους τομείς:<br />
• Κυβερνήσεις<br />
• Οικονομικοί οργανισμοί<br />
• Τηλεπικοινωνιακός κλάδος<br />
• Λιανικό Εμπόριο<br />
• Ενεργειακές επιχειρήσεις<br />
Σύμφωνα μάλιστα με τη Kaspersky Lab και την B2B<br />
International μετά από έρευνα που πραγματοποίησαν<br />
για το 2015, το 57% των στελεχών των επιχειρήσεων<br />
πιστεύουν πως τα περιστατικά ψηφιακών επιθέσεων<br />
που δέχθηκαν είχαν μεγάλο αντίκτυπο στην φήμη της<br />
εταιρίας. Όπως γίνεται αντιληπτό σε μια νέα εποχή με<br />
τις κυβερνοαπειλές να εξελίσσονται με ραγδαίους ρυθμούς,<br />
τους hackers να είναι πλέον επαγγελματίες και τα<br />
συστήματα προστασίας των εταιρικών δικτύων να παραβιάζονται<br />
πολύ εύκολα, πρέπει να υιοθετηθούν νέες<br />
μέθοδοι ενίσχυσης της ασφάλειας των συστημάτων. Η<br />
επίγνωση των επικείμενων απειλών είναι το καλύτερο<br />
security<br />
17
T<strong>43</strong>01/02.2016<br />
Cover Issue<br />
χρησιμοποιηθούν για να παρθούν αποφάσεις σχετικές<br />
με την αντίδραση μιας επιχείρησης σε ένα κίνδυνο ή μία<br />
απειλή» Gartner.<br />
μέτρο προστασίας. Γνωρίζοντας πιθανές απειλές υπάρχει<br />
η δυνατότητα καλύτερης προετοιμασίας, η οποία οδηγεί<br />
σε αποτελεσματικότερες μεθόδους προστασίας. Η νέα<br />
τάση της αγοράς στην προστασία και στην αντιμετώπιση<br />
κυβερνοαπειλών σε παγκόσμιο επίπεδο ονομάζεται<br />
Cyber Threat Intelligence.<br />
Cyber Threat Intelligence<br />
Cyber Threat Intelligence - CTI, είναι εξελιγμένη μέθοδος<br />
που δίνει τη δυνατότητα σε οργανισμούς να συλλέξουν,<br />
να συγκεντρώσουν, να συσχετίσουν και να αναλύσουν<br />
τόσο εξωτερικές όσο και εσωτερικές πληροφορίες και<br />
δεδομένα με σκοπό να κατανοήσουν τους κινδύνους<br />
που ελλοχεύουν και μπορούν να προσαρμόζονται στα<br />
κενά ασφαλείας που έχει κάθε οργανισμός και τον κλάδο<br />
που δραστηριοποιείται. Υπάρχουν πολλοί ορισμοί για<br />
το τι είναι C<strong>IT</strong>, ο ποιο διαδεδομένος είναι:<br />
«Threat Intelligence είναι μια γνώση βασισμένη σε<br />
αποδεικτικά στοιχεία, που περιλαμβάνει ένα γενικό πλαίσιο,<br />
μηχανισμούς, δείκτες, επιπτώσεις και δραστικές συμβουλές<br />
για μία υπάρχουσα ή πιθανή απειλή ή για έναν<br />
κίνδυνο των περιουσιακών στοιχείων που μπορούν να<br />
Σκοπός αυτής της πρακτικής είναι να δοθεί η δυνατότητα<br />
σε επιχειρήσεις να αντιμετωπίσουν τις επιθέσεις<br />
που μπορούν να συμβούν στο μέλλον, να ανταποκριθούν<br />
δραστικότερα και αποτελεσματικότερα σε περίπτωση<br />
που δέχονται ήδη κάποια ψηφιακή εισβολή, ώστε<br />
να αποτρέψουν την κλοπή των δεδομένων τους ή να<br />
την περιορίσουν (στη μικρότερη δυνατή απώλεια). Επίσης,<br />
γνωρίζοντας νέους τρόπους επίθεσης και τους στόχους<br />
αυτών, ποια δεδομένα επιδίωκαν να αποκτήσουν οι<br />
hackers, είναι σε θέση να δημιουργήσουν μηχανισμούς<br />
που θα τους βοηθήσουν τις επιχειρήσεις να ανταποκριθούν<br />
πιο άμεσα σε μελλοντικές απόπειρες παραβίασης<br />
των συστημάτων τους. Η διαδικασία που χρησιμοποιείται<br />
σήμερα στην αντιμετώπιση των κυβερνοαπειλών<br />
αρχίζει να μην μπορεί να υποστηριχτεί. Τα τρία αυτά στάδια<br />
είναι:<br />
• Tactical Level (NOC, SOC): το πλήθος των alerts δυσκολεύει<br />
τους αναλυτές να αναγνωρίσουν τον κίνδυνο.<br />
• Operation Level (Incident Response, <strong>Security</strong> Forensics):<br />
υπάρχει έλλειψη πληροφορίας / γνώσης, ώστε να αποσαφηνιστούν<br />
οι απειλές και να αποτραπούν οι επιθέσεις.<br />
• Strategic Level (CISO, <strong>IT</strong> Management): δεν υπάρχει η<br />
απαιτούμενη πληροφορία / γνώση που οδηγεί στη λήψη<br />
αποφάσεων για το προσωπικό και τον τρόπο “προτεραιοποίησης”<br />
των στόχων.<br />
Η νέα λοιπόν διαδικασία που αναπτύσσεται και ξεκινάει<br />
να επιλέγεται έχει να κάνει με την πιθανότητα ενός<br />
κινδύνου. Εξυπηρετεί τη δημιουργία μιας βάσης με τα<br />
περιστατικά παραβίασης της ψηφιακής ασφαλείας που<br />
έχουν συμβεί και το πώς αντιμετωπίστηκαν, την κατανόηση<br />
των εσωτερικών δομών, τους πιθανούς στόχους<br />
που μπορεί μια κυβερνοεπίθεση να πλήξει καθώς και τη<br />
παρακολούθηση των κυβερνοαπειλών που συμβαίνουν<br />
σε παγκόσμιο επίπεδο. Όλα αυτά γίνονται με ένα στόχο,<br />
ο οργανισμός που χρησιμοποιεί το Cyber Threat Intelligence<br />
να οργανώσει και να δημιουργήσει ένα πολύ ισχυρό<br />
πλάνο για την άμυνα των υποδομών του.<br />
Υλοποίηση - Οι πιο σημαντικές και θεμελιώδεις υπηρεσίες<br />
που προσφέρει η χρήση του CTI είναι η συλλογή<br />
δεδομένων σχετικά με τις κυβερνοαπειλές και η δυνατότητα<br />
ζωντανής ενημέρωσης για αυτές τις απειλές μαζί με<br />
τις αντίστοιχες αναφορές για κάθε μία από αυτές.<br />
Threat Data Collection (Συλλογή Δεδομένων) - Η<br />
18 security
Cyber Threat Intelligence<br />
υπηρεσία αυτή έχει να κάνει με τη συλλογή και τη πρόσβαση<br />
σε συνεχή και εμπεριστατωμένα δεδομένα σχετικά<br />
με τις κυβερνοαπειλές που ενδιαφέρουν την εκάστοτε<br />
επιχείρηση. Τα δεδομένα αυτά δεν είναι μόνο απλοί<br />
τρόποι επίθεσης όπως αναφέρθηκε παραπάνω, αλλά<br />
μπορούν να δώσουν πληροφορίες για επικίνδυνες ή μη<br />
- απειλές από το στοιχεία ήδη επιτυχημένων εισβολών<br />
ή και ακόμα επιθέσεων στηριζόμενες στο social engineering.<br />
Γενικότερα η συλλογή των ηλεκτρονικών απειλών μπορεί<br />
να διαχωριστεί σε τρεις κατηγορίες:<br />
• Threat Indicators: Θέλουν ιδιαίτερη προσοχή στην επιλογή<br />
τους, διότι αναπτύσσονται και πολλαπλασιάζονται σε καθημερινή<br />
βάση και μπορούν να περιλαμβάνουν file hashes<br />
(signatures) και πληροφορίες για domain names, IPs και<br />
γενικότερα malwares. Βοηθούν στον αποκλεισμό πολλών<br />
τεχνολογιών και χρησιμοποιούνται από τις υπόλοιπες υπηρεσίες<br />
που προσφέρει το CTI.<br />
• Threat Data feeds: Αποτελούν στατιστικά δεδομένα και<br />
τάσεις που κυκλοφορούν αλλά και την ανάλυση των Threat<br />
Indicators που προαναφέρθηκαν. Μπορούν να βρεθούν με<br />
οποιονδήποτε τρόπο από τις συγκεκριμένες πηγές (βλ. παρακάτω).<br />
Δίνουν την δυνατότητα στους αναλυτές των SOC<br />
και Incident Response τμημάτων να διακρίνουν τα κοινά χαρακτηριστικά<br />
μεταξύ των κυβερνοαπειλών.<br />
• Strategic Cyber Threat Intelligence: Πρόκειται για τις<br />
πληροφορίες που αφορούν τους hackers που στοχεύουν να<br />
εισβάλουν στη δομή ενός οργανισμού, συνεπαρμένοι από τα<br />
κίνητρα που έχουν. Η χρήση της γνώσης αυτής βοηθάει τους<br />
managers να βελτιώσουν την ψηφιακή άμυνα των επιχειρήσεων<br />
τους, να επενδύσουν κατάλληλα αλλά και τις ομάδες<br />
Incidence Response και εγκληματολογικής ανάλυσης<br />
(forensics) να πραγματοποιήσουν (δήθεν) επιθέσεις, ώστε<br />
να υπάρχει η καλύτερη δυνατή πρόληψη.<br />
Τα δεδομένα που συλλέγονται με τις παραπάνω μεθόδους<br />
μπορούν να προκύψουν από διαφορετικούς τύπους<br />
Threat Intelligence. Μπορεί να είναι Internal Threat<br />
Intelligence (εσωτερικές δομές τις εταιρίας), External<br />
Threat Intelligence (phishing details, botnets, locations<br />
and networks with high alert, IP mapping, malicious<br />
web sites), Community Threat Intelligence (καθημερινή<br />
παρατήρηση exploits και κενών ασφαλείας, μοτίβα επιθέσεων<br />
που συνέβησαν βοηθώντας την προστασία κάποιου<br />
άλλου) και Contextual Threat Intelligence (εσωτερικοί<br />
χρήστες υπό επιτήρηση, συσκευές που έχουν<br />
δεχθεί επίθεση, συσχετισμός ιστορικών και στατιστικών<br />
δεδομένων).<br />
Σημαντικό συστατικό λοιπόν για το CTI είναι οι πηγές από<br />
τις οποίες αντλούνται όλες αυτές οι πληροφορίες για τις<br />
κυβερνοαπειλές που μπορεί να προέρχονται από μεγάλη<br />
γκάμα πηγών. Σημαντικότερη πηγή από αυτές που αναφέρθηκαν<br />
είναι η γνώση που προκύπτει από τη παγκόσμια<br />
κοινότητα της ψηφιακής ασφάλειας. Άλλες πηγές<br />
προκύπτουν από εταιρίες υπηρεσιών ασφάλειας ψηφιακών<br />
συστημάτων, διασύνδεση ανάμεσα στις πλατφόρμες<br />
Cyber Threat Intelligence και ανταλλαγή πληροφοριών,<br />
επιχειρήσεις στο τομέα των Antivirus, πηγές open<br />
source στο διαδίκτυο καθώς και -τελευταία αλλά εξίσου<br />
σημαντική- από κυβερνητικές υπηρεσίες χωρών.<br />
Alerting and Reporting (Ειδοποιήσεις & Αναφορές)<br />
Στα πλαίσια αυτής της υπηρεσίας οι πλατφόρμες που<br />
έχουν αναπτυχθεί, παρέχουν ζωντανές (on line) ειδοποιήσεις,<br />
δίνουν συνεχώς νέες πληροφορίες που βοηθούν<br />
τη συνεχόμενη προστασία των επιχειρήσεων από<br />
διάφορους νέους κινδύνους. Μαζί με τις ειδοποιήσεις<br />
αυτές, χορηγούν και εκτενείς αναφορές που μπορεί να<br />
δίνονται σε καθημερινή ή εβδομαδιαία ή μηνιαία βάση<br />
σχετικά με διάφορα malware, επικείμενες απειλές, υποκινητές<br />
των επιθέσεων καθώς και των κινήτρων αυτών.<br />
Μπορούν όχι μόνο να σταλούν στα αντίστοιχα τμήματα<br />
ενός οργανισμού ανάλογα με το τμήμα που επηρεάζει η<br />
έκβαση μιας κυβερνοαπειλής, αλλά και ο ίδιος ο οργανισμός<br />
μπορεί να επιλέξει την ποσότητα των δεδομένων<br />
που θέλει να λαμβάνει γνώση και την περιοδικότητα αυτών<br />
των αναφορών. Τα εργαλεία είναι έτσι σχεδιασμένα<br />
να δίνουν το καλύτερο δυνατό αποτέλεσμα στον χρήστη<br />
τους όπως αυτός το επιθυμεί.<br />
security<br />
19
T<strong>43</strong>01/02.2016<br />
Cover Issue<br />
• timely - θα πρέπει δηλαδή να αναφέρει ένα συμβάν που είναι<br />
σε εξέλιξη ή την δυνατότητα του να συμβεί μελλοντικά,<br />
• accurate - να παρουσιάζει με ακρίβεια τις επικείμενες κυβερνοαπειλές<br />
που παρουσιάζονται,<br />
• actionable - να επιφέρει μια απόφαση, μία αντίδραση ή και<br />
πληροφορία σε εξωτερικές πηγές να μην δράσουν,<br />
• relevant - το περιεχόμενο και τα χαρακτηριστικά που δίδει<br />
προφανώς θα πρέπει να έχουν σχέση με την επιχείρηση, τον<br />
τομέα που βρίσκεται και καλύπτοντας στο μέτρο του δυνατού<br />
τις «ανησυχίες» της ίδιας επιχείρησης.<br />
Information vs Intelligence (Πληροφορία vs. Ευφυΐα)<br />
Είναι σημαντικό να κατανοηθεί η διαφορά μεταξύ της<br />
απλής πληροφορίας και του intelligence για να γίνει κατανοητό<br />
πόσο σημαντική είναι η χρήση του CTI. Οι πληροφορίες<br />
είναι ακατέργαστά και αφιλτράριστα δεδομένα<br />
που δεν παρέχουν επιπλέον χαρακτηριστικά για μία<br />
κυβερνοαπειλή σε αντίθεση με την έξυπνη πληροφορία<br />
η οποία είναι επεξεργασμένη και φιλτραρισμένη περιέχοντας<br />
πιο περιεκτικά χαρακτηριστικά που μπορούν να<br />
βοηθήσουν τους αναλυτές. Πάνω σε αυτή τη διαφορά<br />
έγκειται ακόμα μία, η πρώτη δεν αξιολογείται και απλά<br />
λαμβάνεται υπόψη ενώ η δεύτερη αναλύεται και αξιολογείται<br />
από ειδικούς αναλυτές. Επιπλέον, η μια συλλέγεται<br />
από οποιαδήποτε πιθανή πηγή ενώ η άλλη συλλέγεται<br />
μόνο από αξιόπιστες πηγές και στη συνέχεια εξετάζεται<br />
πόσο ακριβής είναι βελτιώνοντας έτσι τη λειτουργία των<br />
πλατφόρμων που παρέχουν CTI. Η απλή ανεπεξέργαστη<br />
πληροφορία μπορεί να είναι αληθής ή ψευδής, σχετική ή<br />
μη και να σε οδηγεί σε λάθος συμπεράσματα και ενέργειες,<br />
Η νοημοσύνη που προστίθεται σε αυτή την πληροφορία<br />
αποκλείει αυτές τις πιθανότητες και βελτιστοποιεί<br />
τα αποτελέσματα προς όφελος των χρηστών<br />
του CTI. Έτσι το «intelligence» (η ευφυΐα) σε σχέση με<br />
την απλή πληροφορία δίνει περισσότερα χαρακτηριστικά<br />
γνωρίσματα για μία κυβερνοαπειλή, παρέχοντας πληροφορίες<br />
για την επικινδυνότητα, το στόχο που έχει, ακόμα<br />
και την σύνδεσή της με τον κίνδυνο (την πιθανότητα<br />
η απειλή να εκμεταλλευτεί μια ευπάθεια) και σαφέστατα<br />
είναι σημαντικό/ή για τις επιχειρήσεις.<br />
Για να μπορέσει όμως να χρησιμοποιηθεί στο μέγιστο<br />
βαθμό και να είναι αποτελεσματικό θα πρέπει το «intelligence»<br />
να είναι:<br />
Πλεονεκτήματα<br />
Με τη χρήση του Cyber Threat Intelligence ένας οργανισμός<br />
μπορεί να προνοήσει και να αντιμετωπίσει ένα πιθανόν<br />
συμβάν κυβερνοεπίθεσης σε βάρος του. Συνεχής<br />
έλεγχος και αναφορές σχετικά με πιθανές κυβερνοαπειλές<br />
μπορούν να βοηθήσουν στη μείωση του κόστους<br />
σε ό,τι αφορά το κομμάτι της ασφάλειας των ψηφιακών<br />
συστημάτων, αλλά και στον περιορισμό (αν αυτό είναι<br />
εφικτό) των κινήτρων των hackers να επιλέξουν τον<br />
οργανισμό για να εξαπολύσουν την επίθεση τους. Το πιο<br />
σημαντικό όφελος όμως είναι η ενίσχυση της φήμης του<br />
οργανισμού, κάνοντας τον περιζήτητο στην αγορά, αυξάνοντας<br />
παράλληλα την ασφάλεια και την εμπιστοσύνη<br />
τόσο στους πελάτες όσο και στους «stakeholders». Η<br />
επίτευξη των προαναφερόμενων είναι εφικτή, διότι οι<br />
εταιρίες θα γνωρίζουν την εσωτερική τους δομή και θα<br />
είναι σε θέση να παρατηρήσουν μία αλλαγή στην συμπεριφορά<br />
του περιβάλλοντος τους και θα ανταλλάσσουν<br />
στοιχεία για κυβερνοαπειλές με την ευρύτερη κοινότητα.<br />
Θα είναι έτσι καλύτερα προετοιμασμένες (οι εταιρίες) σε<br />
επιθέσεις μεγαλύτερου μεγέθους / βεληνεκούς, καθώς<br />
πιθανώς να υπάρχει μια υπογραφή που θα έχει ήδη αναγνωριστεί<br />
και διαμοιραστεί. Μπορούν λοιπόν να ελαχιστοποιήσουν<br />
τις ευπάθειες των συστημάτων, τις αδυναμίες<br />
ή τις σχεδιαστικές ατέλειες τους, τις εφαρμογές ή τις<br />
υποδομές που μπορούν να γίνουν αιτία για την παραβίαση<br />
της ασφάλειας και της ακεραιότητας του συστήματος,<br />
και να αντιμετωπίσουν τέτοιου είδος επιθέσεις.<br />
Case studies<br />
Για να γίνουν καλύτερα αντιληπτά τα πλεονεκτήματα που<br />
παρέχει το C<strong>IT</strong>, μπορούμε να αναλύσουμε δύο περιπτώσεις,<br />
στις οποίες το C<strong>IT</strong> θα μπορούσε να αποτρέψει μια<br />
κυβερνοαπειλή.<br />
Στις 23 Δεκεμβρίου το ηλεκτρικό δίκτυο της Ουκρανίας<br />
δέχθηκε επίθεση με αποτέλεσμα να μη λειτουρ-<br />
20 security
Cyber Threat Intelligence<br />
γούν οι 30 από τους 135 υποσταθμούς που υπάρχουν. Το<br />
συμβάν αυτό μάλιστα δεν ήταν μικρής σημασίας, γιατί η<br />
πτώση του ρεύματος διήρκησε για τουλάχιστον έξι ώρες.<br />
Σήμερα πολλοί αναλυτές και εταιρείες προσπαθούν να<br />
αναλύσουν διεξοδικά αυτήν την επίθεση και να κατανοήσουν<br />
τον τρόπο με τον οποίο αυτή επιτεύχθηκε. Μάλιστα<br />
έχουν καταλήξει στο συμπέρασμα πως αυτή η κυβερνοεπίθεση<br />
πραγματοποιήθηκε σε δύο μέρη. Στο πρώτο<br />
στάδιο με τη βοήθεια ενός malware οι hackers κατάφεραν<br />
να αποσυνδέσουν τους υπολογιστές που ήλεγχαν<br />
τους υποσταθμούς που χτυπήθηκαν και στην συνέχεια<br />
με τη χρήση ενός ιού (virus) έκαναν τους υπολογιστές<br />
αυτούς να μην μπορούν να λειτουργήσουν.<br />
Έχοντας ως δεδομένο τα ευρήματα αυτά και το γεγονός<br />
πως το malware ήταν ήδη γνωστό στην κοινότητα<br />
των ψηφιακών αναλυτών, το Cyber Threat Intelligence<br />
θα μπορούσε να αποτρέψει τα καταστροφικά αποτελέσματα.<br />
Εφόσον δηλαδή υπήρχαν αναφορές με αναλύσεις<br />
του συγκεκριμένου malware στη βάση δεδομένων,<br />
θα βοηθούσε το SIEM (<strong>Security</strong> Information and Event<br />
Management) να εντοπίσει κατευθείαν τον κίνδυνο και<br />
να στείλει ειδοποίηση (alert) στους ειδικούς για να αποτρέψουν<br />
τον κίνδυνο. Η αναφορά αυτή θα μπορούσε να<br />
περιέχει στοιχεία με τους στόχους που είχε επηρεάσει<br />
στο παρελθόν, το σκοπό της χρήσης -ποιοι ήταν οι υποκινητές<br />
δηλαδή αλλά και το πώς χτυπάει τους στόχουςποιες<br />
ευπάθειες εκμεταλλεύεται. Εν τέλει, από τα στοιχεία<br />
που συλλέχθηκαν, φαίνεται να υπάρχει πιθανότητα<br />
πίσω από την επίθεση να κρύβεται κυβερνητικό espionage<br />
μεταξύ της Ουκρανίας και της Ρωσίας.<br />
Πέρυσι η Carbanak, μια κακόβουλη για τον τραπεζικό<br />
τομέα συμμορία ανιχνεύθηκε, η οποία τροποποιούσε<br />
επιλεκτικά έναν σχετικά μικρό αριθμό πολύ συγκεκριμένων<br />
συναλλαγών. Αυτή η οργανωμένη ομάδα έκλεψε<br />
από 300 εκατομμύρια έως ένα δισεκατομμύριο δολάρια<br />
συνολικά σε πάνω από 100 τράπεζες, μεταβάλλοντας<br />
μόνο λίγες συναλλαγές. Τέτοιες επιτυχίες ενισχύουν τη<br />
συνέχιση των δραστηριοτήτων των εισβολέων.<br />
Σε άλλη περίπτωση, έστω ότι έχουμε μια τράπεζα με μεγάλο<br />
αριθμό προσωπικού και πελάτες υψηλής δημοτικότητας.<br />
Επομένως θα έχει στην κατοχή της πληθώρα<br />
προσωπικών πληροφοριών που πρέπει να προστατευτούν<br />
με κάθε κόστος, ειδάλλως θα υποστεί ζημία η φήμη<br />
της τράπεζας. Ας θεωρηθεί ότι η τράπεζα έχει επιλέξει<br />
να χρησιμοποιεί ένα σύστημα SIEM και ένας υπάλληλος<br />
της τράπεζας δέχεται επίθεση phishing μέσω ενός ψεύτικου<br />
email. Την ανωμαλία αυτή την εντοπίζει το SIEM<br />
και λαμβάνονται τα απαραίτητα μέτρα. Αποσυνδέεται ο<br />
υπολογιστής από το δίκτυο, ελέγχεται, διορθώνεται και<br />
επανέρχεται πάλι σε λειτουργία. Εδώ έρχεται το «intelligence»<br />
και παίρνει /λαμβάνει αυτή την πληροφορία<br />
και την αξιοποιεί. Γίνεται εκτενής έλεγχος της πηγής του<br />
phishing από διάφορες βάσεις δεδομένων, ελέγχεται το<br />
domain name, οι λίστες που έχουν τις πηγές phishing,<br />
ελέγχεται με βάση την IP. Με τις πληροφορίες που συλλέχθηκαν<br />
δημιουργείται το «intelligence». Συνδυάζοντας<br />
τα στοιχεία καταλήγουμε στο ότι η επίθεση γίνεται<br />
από μία κοινότητα που αποσκοπεί στο κέρδος, η επίθεση<br />
δεν είναι ιδιαίτερα «τεχνική», δεν απαιτεί πολλή γνώση<br />
και σκοπός ήταν το κέρδος και όχι η καταστροφή ή απόκτηση<br />
δεδομένων. Εν συνεχεία μπορούν να προκύψουν<br />
ορισμένες ενέργειες και αντίμετρα για το μέλλον, όπως<br />
π.χ. να ανανεωθούν τα firewall, οι λίστες με μπλοκαρισμένες<br />
IP, να γίνει έλεγχος στα logs με βάση αυτές τις IP<br />
και domain names και πολλές ακόμα δράσεις πρόληψης<br />
παρόμοιων επιθέσεων.<br />
H αγορά σήμερα<br />
Υπάρχουν αρκετές εταιρείες που προσφέρουν υπηρεσίες<br />
Cyber Threat Intelligence στην αγορά που δίνουν πληροφορίες<br />
από διαφορετικές πηγές για τις κυβερνοαπειλές<br />
και παρέχουν αναλύσεις πάνω σε αυτές. Υπάρχουν<br />
ορισμένες διαφοροποιήσεις σχετικά με το που στοχεύει<br />
η καθεμία, άλλες ασχολούνται περισσότερο με το τεχνικό<br />
κομμάτι - technical intelligence, άλλες με την παροχή<br />
πληροφοριών για τις απειλές. Ο διαχωρισμός μπορεί<br />
ακόμα να γίνει με βάση τις απειλές που ερευνούν, άλλες<br />
εταιρείες δίνουν σημασία σε APT απειλές για παράδειγ-<br />
security<br />
21
T<strong>43</strong>01/02.2016<br />
Cover Issue<br />
μα και ασχολούνται με το εταιρικό ή κυβερνητικό espionage<br />
και άλλες με απειλές που πραγματοποιούνται από<br />
χακτιβιστές (hacktivists).<br />
Συμπεράσματα - Μελλοντικές Προβλέψεις<br />
Στην πρόσφατη σύσκεψη του Παγκόσμιου Οικονομικού<br />
Φόρουμ (World Economic Forum), ειπώθηκε ευθαρσώς<br />
ότι οι πληροφορίες και συγκεκριμένα τα δεδομένα<br />
είναι το νέο πετρέλαιο της ψηφιακής οικονομίας.<br />
Τα δεδομένα στον 21ο αιώνα, όπως το πετρέλαιο του<br />
18ου αιώνα, είναι πολύτιμα στοιχεία και βρίσκονται στα<br />
χέρια των ανθρώπων. Ο Joris Toonders της Yonego, σε<br />
συνέντευξή του στο περιοδικό WIRED επιμένει σε αυτό,<br />
τονίζοντας «όπως και στην περίπτωση του πετρελαίου,<br />
για όσους καταλαβαίνουν την αξία των δεδομένων και<br />
μάθουν να τα εξάγουν και να τα «χρησιμοποιούν» σωστά,<br />
θα υπάρξουν τεράστιες ανταμοιβές. Είμαστε σε μια ψηφιακή<br />
οικονομία, όπου τα δεδομένα είναι πιο πολύτιμα<br />
από ποτέ. Είναι το κλειδί για την ομαλή λειτουργία των<br />
πάντων από τις κυβερνήσεις έως τις τοπικές επιχειρήσεις.<br />
Χωρίς αυτό, η πρόοδος θα σταματήσει».<br />
Τα μηνύματα για το 2016 δεν είναι αρκετά αισιόδοξα, καθότι,<br />
θα δούμε μια επέκταση των τεχνικών των επιτιθεμένων<br />
(attackers’ techniques). Οι επιθέσεις που θα βλάπτουν<br />
την ακεραιότητα των δεδομένων θα αυξηθούν.<br />
Αυτές θα είναι πιο εξελιγμένες, καλά σχεδιασμένες και<br />
εκτελέσιμες (π.χ. τροποποίηση αξιόπιστων επικοινωνιών,<br />
ransomware βλ. Fleece). Οι εγκληματίες επωφελούνται<br />
από τα σαφή πλεονεκτήματα των τεχνικών και θα συνεχίσουν<br />
την δράση τους όσο πιο «λαίμαργα» μπορούν.<br />
Είναι δύσκολο για τις εταιρίες επιθέσεις να προστατευτούν,<br />
την ανιχνεύσουν τις απειλές και την αποκαταστήσουν<br />
άμεσα τις «βλάβες». Η βιομηχανία της ασφάλειας<br />
δεν έχει ακόμη προσαρμοστεί στις νέες προκλήσεις και<br />
οι επιτιθέμενοι εκμεταλλεύονται την ευκαιρία. Όμως οι<br />
εταιρίες μπορούν και πρέπει να λάβουν -στο μέτρο του<br />
δυνατού- τα μέτρα τους και να μην αγνοήσουν την προβληματική<br />
κατάσταση.<br />
Χρειαζόμαστε λοιπόν ένα οικοσύστημα, όπου οι πληροφορίες<br />
για τις απειλές στον κυβερνοχώρο θα μοιράζονται<br />
αυτόματα σε όλες τις δομές των ΤΠΕ δημόσιου και<br />
ιδιωτικού τομέα σε πραγματικό χρόνο. Έφτασε πλέον<br />
η ώρα να διαχειριστούμε το συνεχώς αυξανόμενο σε<br />
απειλές στον κυβερνοχώρο τοπίο (threat landscape)<br />
με συγκεκριμένη στρατηγική. Ο Ευρωπαϊκός Οργανισμός<br />
για την Ασφάλεια Δικτύων και Πληροφοριών<br />
(ENISA) δημιουργήθηκε για να ενδυναμώσει τη δυνατότητα<br />
της Ευρωπαϊκής Ένωσης, των Κρατών μελών<br />
της Ε.Ε. και της επαγγελματικής κοινότητας να αποφεύγει,<br />
να διευθύνει και να ανταποκρίνεται σε προβλήματα<br />
που αφορούν την ασφάλεια των δικτύων και πληροφοριών.<br />
Το 2014, ο ENISA εξέδωσε μια έκθεση για το τοπίο<br />
των απειλών (Threat Landscape) για να ενημερώσει<br />
όσο το δυνατόν περισσότερους για την κατάσταση στον<br />
κυβερνοχώρο. Για να καταλάβει κάποιος την τάση στην<br />
εποχή του Internet of Things (IoT) και την διάθεση για<br />
ενημέρωση, πρόσφατα (01/2016) “βγήκε στο φως” μια<br />
μελέτη με τίτλο «Cyber <strong>Security</strong> and Resilience of<br />
Intelligent Public Transport. Good practices and<br />
recommendations». Αυτή ουσιαστικά προτείνει μια<br />
ρεαλιστική προσέγγιση που θα αναδείξει τα κρίσιμα περιουσιακά<br />
στοιχεία των ευφυών συστημάτων δημόσιων<br />
μεταφορών, δίδει μια γενική επισκόπηση των υφιστάμενων<br />
μέτρων ασφάλειας (καλές πρακτικές) που θα<br />
μπορούσαν να χρησιμοποιηθούν για την προστασία των<br />
κρίσιμων στοιχείων και τη διασφάλιση της ασφάλειας του<br />
συστήματος IPT, βασισμένη σε έρευνα και συνεντεύξεις<br />
από ειδικούς του τομέα, δήμους, φορείς, κατασκευαστές<br />
και διαφόρους “policy-makers”.<br />
Κλείνοντας, ας χρησιμοποιήσουμε ένα απόσπασμα από<br />
τον Γουόλτερ Λίλαντ Κρόνκαϊτ -παλαιό Αμερικανό δημοσιογράφο<br />
του ραδιοφώνου και της τηλεόρασης που<br />
μας προτρέπει στο να «δουλέψουμε» περισσότερο πάνω<br />
στις θεματικές περιοχές της επίγνωσης (awareness), της<br />
εκπαίδευσης (education/training) και εν τέλει ευφυΐας<br />
(intelligence)- “Whatever the cost of our libraries, the<br />
price is cheap compared to that of an ignorant nation”<br />
(«Οποιοδήποτε και αν είναι το κόστος των βιβλιοθηκών<br />
μας, η τιμή του είναι φθηνή συγκρινόμενη με εκείνη του<br />
έθνους εν αγνοία»).<br />
Τα συμπεράσματα δικά σας… <strong>IT</strong><strong>Security</strong><br />
22 security
Σ<br />
Ο<br />
Ο<br />
Σ<br />
Υ<br />
Ν<br />
Ε<br />
Δ<br />
Ρ<br />
Ι<br />
Ι<br />
Ρ<br />
Δ<br />
Ε<br />
Ν<br />
Υ<br />
#ICS16<br />
www.infocomsecurity.gr<br />
twitter.com/InfoComWorld facebook.com/InfoComConferences instagram.com/infocomworld<br />
youtube.com/InfoComWorld<br />
SMART PRESS A.E.<br />
Μάγερ 11, 10<strong>43</strong>8, Αθήνα<br />
Τ. 210.5201500, 210.5231555<br />
F. 210.5241900<br />
www.smartpress.gr<br />
smart@smartpress.gr<br />
Παρέχεται Βεβαίωση<br />
Παρακολούθησης<br />
Δωρεάν<br />
Συμμετοχή
T<strong>43</strong>01/02.2016<br />
Issue<br />
Threat Intelligence and beyond with<br />
<strong>Security</strong> Analytics<br />
Παρόλη τη σημαντική προσφορά των Threat Feeds σε επιθέσεις που στοχεύουν έναν σημαντικό<br />
αριθμό από χρήστες και οργανισμούς, δεν είναι αρκετά αποτελεσματικά κατά στοχευμένων<br />
επιθέσεων.<br />
Ποια απαίτηση οδήγησε στην πρακτική -<br />
μεθοδολογία του Threat Intelligence;<br />
Το Threat Intelligence δημιουργήθηκε για να ενισχύσει<br />
τις δυνατότητες των μηχανισμών ανίχνευσης απειλών<br />
ώστε να μπορούν να εντοπίσουν πιο αποτελεσματικά<br />
γνωστές προηγμένες επιθέσεις.<br />
Οι υπηρεσίες Τhreat Intelligence ή αλλιώς Threat<br />
Feeds, όπως είναι ευρέως γνωστές, ενισχύουν την αμυντική<br />
γραμμή ενός οργανισμού ως ένα επιπλέον εργαλείο<br />
άμεσου εντοπισμού των “known-knowns”. Πρόκειται<br />
για γνωστές απειλές οι οποίες, συνήθως, δεν είναι<br />
στοχευμένες και έχουν αποτελέσει μέρος κάποιας άλλης<br />
επιθετικής καμπάνιας. Ως εκ τούτου, τα Threat Feeds<br />
βοηθούν άμεσα τις ομάδες αντιμετώπισης περιστατικών<br />
ασφάλειας (Incident Response Teams) στην γρήγορη<br />
αναγνώριση και αντιμετώπιση μιας γνωστής απειλής.<br />
Παράλληλα όμως, βασίζοντας την άμυνα ενός οργανισμού<br />
σε λύσεις οι οποίες βασίζονται μόνο ή κατά κύριο<br />
λόγο σε Threat Feeds, συνεχίζουμε να ακολουθούμε το<br />
μοντέλο ασφάλειας πληροφοριών που έχει καθιερωθεί<br />
τα τελευταία 20 χρόνια. Με την εν λόγω τακτική, η αμυντική<br />
στρατηγική ενός οργανισμού επαφίεται στον εντοπισμό<br />
γνωστών απειλών-επιθέσεων, οι οποίες έχουν<br />
εντοπισθεί προηγουμένως σε άλλους οργανισμούς ή<br />
honeypots. Στην πραγματικότητα όμως, η προκειμένη<br />
τακτική έχει αποτύχει σχεδόν σε ολοκληρωτικό<br />
βαθμό να αντιμετωπίσει στοχευμένες κυβερνοεπιθέσεις<br />
(cyber-attacks) αλλά ακόμα και κάποιες γνωστές,<br />
ελαφρώς τροποποιημένες επιθέσεις. Με λίγα λόγια τα<br />
Threat Feeds/Intelligence είτε με την μορφή κάποιας<br />
λίστας που εμπεριέχει IP διευθύνσεις και Host είτε με<br />
την μορφή IOCs (Indicators of Compromise) παραμένουν<br />
να αποτελούν στατικές, “signatured based” τακτικές<br />
άμυνας.<br />
Η επιθετική στρατηγική από την άλλη πλευρά όμως δεν<br />
είναι στατική. Πίσω από μία κυβερνοεπίθεση καλούμαστε<br />
να αντιμετωπίσουμε ανθρώπους, οι οποίοι στα<br />
πλαίσια της επίθεσής έχουν τη δυνατότητα να αντιληφθούν<br />
γρήγορα αν έχουν αποτύχει ή αν έχουν<br />
εντοπιστεί οι ενέργειές τους, οπότε και να τροποποιήσουν<br />
αναλόγως τις μεθόδους τους, αλλά και να αλλάξουν<br />
επιμέρους χαρακτηριστικά επόμενων επιθέσεων<br />
για την αποφυγή εντοπισμού από Threat Feeds (π.χ. C2<br />
IPs/Domain names, RAT/Malware fingerprints, Attack<br />
tools fingerprints κλπ). Δεν πρέπει να ξεχνάμε στα πλαίσια<br />
μιας στοχευμένης επίθεσης, ή αλλιώς ενός Advanced<br />
24 security
Δημήτρης Δόριζας<br />
Manager, MSS & Integration Services,<br />
Encode<br />
Persistent Threat (APT), τέτοιες μέθοδοι αποφυγής εντοπισμού<br />
είναι συνηθισμένες και δεν έχουν ιδιαίτερο κόστος<br />
για τον επιτιθέμενο.<br />
Πως κινείται η αγορά σε σχέση με τη συγκεκριμένη<br />
τάση;<br />
Στην αγορά υπάρχουν πολλές υπηρεσίες που προσφέρουν<br />
Threat Feeds/Intelligence είτε open source είτε<br />
κατόπιν συνδρομής. Δυστυχώς όμως πολύ λίγα Τhreat<br />
feeds μπορούν να προσφέρουν καλής ποιότητας δεδομένα<br />
και σχεδόν καμία τέτοιου είδους υπηρεσία δεν είναι<br />
κατάλληλη από μόνη της για τον έγκαιρο εντοπισμό<br />
στοχευμένων επιθέσεων.<br />
Πλέον σχεδόν όλες οι λύσεις ασφαλείας περιμέτρου<br />
(π.χ. Firewalls, IDS, κ.λπ.) ενσωματώνουν threat feeds<br />
με σκοπό να ενισχύσουν την έγκαιρη ανίχνευση κάποιας<br />
γνωστής επίθεσης (π.χ. malicious IP host, malicious<br />
downloaded executable κ.λπ.). Επιπλέον τα NG SIEMs<br />
έχουν την δυνατότητα να λάβουν αυτοματοποιημένα<br />
threat feeds τα οποία σε συνδυασμό με τα σχετικά logs<br />
από άλλα συστήματα (π.χ. Antivirus logs, Firewalls Traffic<br />
logs, Internet Access Logs κ.λπ.) οδηγούν στον εντοπισμό<br />
πιθανών attacking nodes ή τερματικών που έχουν<br />
προσβληθεί από κάποιο μολυσμένο λογισμικό.<br />
Tο μεγαλύτερο κίνητρο για την αγορά και την ενσωμάτωση<br />
κάποιου Threαt intelligence feed, είναι η δυνατότητα<br />
που δίνεται στον οργανισμό να προετοιμασθεί για<br />
ενδεχόμενες επιθέσεις και κυρίως να αξιολογήσει την<br />
κρισιμότητα μιας επίθεσης που εντοπίστηκε, αναλύοντας<br />
συγκεκριμένες τακτικές επίθεσης σε άλλους οργανισμούς.<br />
Που και με ποιους τρόπους χρησιμοποιεί Threat<br />
Intelligence/Feeds η Encode;<br />
Τα Threat Feeds βοηθούν τους SOC Analysts της MSS<br />
υπηρεσίας μας στην έγκαιρη ενημέρωση και κατ’ επέκταση<br />
αντιμετώπιση περιστατικών ασφαλείας τα οποία<br />
προέρχονται από επιθέσεις οι οποίες έχουν εντοπιστεί<br />
σε οργανισμούς ανά τον κόσμο.<br />
Ενσωματώνοντας τα Threat Feeds στο Correlation<br />
Engine του Enorasys NG SIEM (powered by IBM<br />
QRadar) δημιουργείται μία βασική γραμμή άμυνας<br />
για συστήματα με αυξημένη επικινδυνότητα για άμεση<br />
εξωτερική επίθεση. Επιπρόσθετα, τα threat intelligence<br />
feeds αποτελούν βασικό εργαλείο για την αντιμετώπιση<br />
επιθέσεων που στοχεύουν τους χρήστες (client side)<br />
μέσω email. Βασικοί έλεγχοι του Correlation Engine είναι<br />
τόσο η φήμη (reputation) του SMTP server που παραδίδει<br />
το email όσο και του φαινομενικού αποστολέα<br />
του email.<br />
Tα Threat Intelligence Feeds αποτελούν εργαλείο του<br />
Correlation Engine για να εντοπίζει επικοινωνίες με γνωστούς<br />
Command and Control Servers, συμπεριφορά<br />
που προσδίδει την ύπαρξη κακόβουλου λογισμικού σε<br />
συγκεκριμένο μολυσμένο τερματικό. Με αυτό τον τρόπο<br />
μπορεί να γίνει πιο άμεση η αντιμετώπιση του συγκεκριμένου<br />
περιστατικού ασφαλείας πριν το κακόβουλο λογισμικό<br />
μεταλλαχθεί σε μη ανιχνεύσιμο.<br />
Παρόλη τη σημαντική προσφορά των Threat Feeds σε<br />
επιθέσεις που στοχεύουν έναν σημαντικό αριθμό από<br />
χρήστες και οργανισμούς, δεν είναι αρκετά αποτελεσματικά<br />
κατά στοχευμένων επιθέσεων. Σημαντικοί παράγοντες<br />
για την απόδοση ενός Feed για στοχευμένες<br />
επιθέσεις είναι η αξιοπιστία τους, ο ρυθμός ανανέωσης<br />
τους, το είδος τους αλλά και η ευκολία πρόσβασής τους<br />
από το ευρύ κοινό.<br />
H πλατφόρμα Enorasys NG SIEM (powered by IBM<br />
QRadar) της Encode, ενσωματώνει μια σειρά από Threat<br />
Intelligence Feeds ώστε να συμπεριλάβει γεωγραφικά<br />
περιεχόμενα και βαθμό φήμης (reputation score) σε όλα<br />
τα επίπεδα λειτουργίας του SIEM όπως το Correlation<br />
Engine αλλά και στην απεικόνιση της πληροφορίας στους<br />
<strong>Security</strong> Analysts. Ορισμένες από τις πηγές που χρησιμοποιούνται<br />
είναι οι παρακάτω:<br />
• Threat Intelligence: IBM X-force labs<br />
(www.ibm.com/security/xforce/)<br />
• Geographic: maxmind ( www.maxmind.com)<br />
• Top Targeted Ports: D-Shield<br />
(www.dshield.org)<br />
• Botnets: Emerging threats. ( www.emergingthreats.<br />
net/rules/emerging-botcc.rules)<br />
• Bogon IPs: ( www.cymru.com/Documents/bogonbn-nonagg.txt)<br />
Αξίζει να αναφέρουμε μια επιπλέον δυνατότητα που θα<br />
προσφέρουμε σύντομα στους MSS πελάτες μας που έχει<br />
ως στόχο την έγκαιρη αναγνώριση επικείμενων επιθέ-<br />
security<br />
25
T<strong>43</strong>01/02.2016<br />
Issue<br />
σεων. Πρόκειται για τη δημιουργία ενός δικτύου από<br />
honeypots τα οποία θα είναι στρατηγικά διεσπαρμένα<br />
και ομαδοποιημένα αναλόγως του είδους του οργανισμού<br />
καθώς και της χώρας στην οποία δραστηριοποιούνται.<br />
Τα honeypots είναι συστήματα τα οποία φαινομενικά<br />
είναι ευάλωτα σε αρκετές επιθέσεις. Ο επιτιθέμενος προσπαθώντας<br />
να επιτεθεί σε αυτά για να αποκτήσει πρόσβαση<br />
θα δημιουργείται ένα Intelligence Feed το οποίο<br />
περιλαμβάνει στοιχεία όπως, επικίνδυνους κόμβους<br />
(hostile nodes) που ενδέχεται σύντομα να πραγματοποιήσουν<br />
κάποια επίθεση, τον τύπο του οργανισμού που<br />
στοχεύουν καθώς και τη μεθοδολογία που χρησιμοποιούν<br />
για να αποκτήσουν πρόσβαση.<br />
Επιπρόσθετα, το προϊόν μας Enorasys <strong>Security</strong><br />
Analytics, παρόλο που η βασική λειτουργία του δεν<br />
εξαρτάται από τα Threat Feeds, τα χρησιμοποιεί σαν<br />
εξωτερική πηγή δεδομένων για τον υπολογισμό του ρίσκου.<br />
Με αυτόν τον τρόπο συνδυάζουμε και χρησιμοποιούμε<br />
δεδομένα από την ανάλυση της συμπεριφοράς<br />
χρηστών-συστημάτων, που είναι και η βασική λειτουργία<br />
του Enorasys <strong>Security</strong> Analytics, με feeds από πολλαπλές<br />
πηγές threat intelligence.<br />
Πιο συγκεκριμένα κατά τον υπολογισμό του ρίσκου, χρησιμοποιώντας<br />
αλγόριθμους τύπου regression analysis,<br />
τα δεδομένα για κάθε κανάλι επικοινωνίας του χρήστη/<br />
τερματικού συσχετίζονται με διάφορες εξωτερικές αλλά<br />
και εσωτερικές πηγές threat intelligence και συμβάλουν<br />
σαν μία επιπρόσθετη παράμετρο στον υπολογισμό της<br />
τιμής του τελικού ρίσκου.<br />
Όπως προαναφέρθηκε, το Enorasys <strong>Security</strong> Analytics<br />
δεν βασίζεται στα Threat intelligence feeds.<br />
Η προσέγγιση που ακολουθείται βασίζεται στην ανίχνευση<br />
υπόπτων προτύπων επικοινωνίας σε συνδυασμό<br />
με τον βαθμό παρέκκλισης από τη συνήθη ιστορική<br />
συμπεριφορά του χρήστη/τερματικού. Τα στοιχεία που<br />
συλλέγονται, αποθηκεύονται και αναλύονται, έχουν επι-<br />
λεχθεί μετά από εκτεταμένη έρευνα των Threat Analyst<br />
της Encode και είναι βασισμένα στην πολυετή εμπειρία<br />
της εταιρίας σε στοχευμένες επιθέσεις. Η συγκεκριμένη<br />
λύση μπορεί να διασυνδεθεί με οποιαδήποτε SIEM πλατφόρμα<br />
και να συσχετίσει τις παραγόμενες ειδοποιήσεις<br />
(alerts) του Enorasys <strong>Security</strong> Analytics με σχετικά logs<br />
(π.χ. enpoint analysis) ώστε να εντοπίσει έγκαιρα και με<br />
ακρίβεια μια εξελισσόμενη απειλή, γεγονός που προσδίδει<br />
στην προσφερόμενη MSS υπηρεσία ένα τρομερό<br />
ανταγωνιστικό πλεονέκτημα.<br />
Μελλοντικές Προβλέψεις<br />
Για να ενισχυθεί η ασφάλεια απέναντι σε πολύπλοκες<br />
και στοχευμένες επιθέσεις θα πρέπει να αναπτυχθούν<br />
μηχανισμοί που έχουν τη δυνατότητα να καταγράφουν,<br />
να αναλύουν συμπεριφορές και να αποφασίζουν για την<br />
ύπαρξη μιας απειλής-επίθεσης με βάση την διαφοροποίηση<br />
από την κανονικότητα, αυτοματοποιώντας την<br />
ανάλυση ενός έμπειρου αναλυτή ασφαλείας.<br />
Είναι δεδομένο ότι αυτή η τάση στο μέλλον θα αυξήσει τις<br />
signature-less λύσεις ανίχνευσης απειλών όπως είναι<br />
το Enorasys <strong>Security</strong> Analytics και όπως σήμερα αναφέρονται<br />
ως User and Entity Behavior Analytics (UEBA).<br />
Αυτές οι λύσεις θα χρησιμοποιούν τα Threat Intel feeds<br />
σαν ένα ακόμα βοηθητικό στοιχείο για τους αναλυτές<br />
στην κατηγοριοποίηση συγκεκριμένων επιθέσεων αλλά<br />
και στην ανάλυση καινούριων συμπεριφορών επίθεσης.<br />
<strong>IT</strong><strong>Security</strong><br />
26 security
T<strong>43</strong>01/02.2016<br />
Issue<br />
Η ανθεκτικότητα των επιθέσεων<br />
«προκαλεί» τη βιομηχανία λύσεων<br />
ασφάλειας<br />
Η πρόσφατη Ετήσια Έκθεση Ασφάλειας (Annual <strong>Security</strong> Report) της Cisco για το 2016,<br />
παρουσιάζει ένα δύσκολο τοπίο για τη διαδικτυακή ασφάλεια. Τα τμήματα ΙΤ «αγωνίζονται»<br />
να συμβαδίσουν με την ψηφιοποίηση σε παγκόσμιο επίπεδο, προσπαθώντας ταυτόχρονα να<br />
ενσωματώσουν λύσεις από δεκάδες προμηθευτές, να επιταχύνουν την ανίχνευση των απειλών<br />
και να εκπαιδεύσουν τους οργανισμούς τους σε όλα τα επίπεδα.<br />
Π<br />
αράλληλα, οι επιτιθέμενοι αναβαθμίζονται<br />
κάθε μέρα, γίνονται περισσότερο<br />
τολμηροί, ευέλικτοι και ανθεκτικοί,<br />
«στήνοντας» επαγγελματικές υποδομές<br />
που μοιάζουν πολύ με αυτές που θα βρίσκαμε<br />
σε νόμιμες επιχειρήσεις. Σε παγκόσμιο επίπεδο,<br />
βλέπουμε διακυμάνσεις στη διαχείριση του Internet από<br />
χώρα σε χώρα, γεγονός που δυσκολεύει τη συνεργασία<br />
και την ικανότητα αντιμετώπισης των επιθέσεων.<br />
Οι απειλές ασφάλειας και οι διαδικτυακές επιθέσεις δεν<br />
είναι κάτι καινούργιο (η Cisco παρουσίασε την πρώτη<br />
ASR έρευνα το 2007). Ενώ οι βασικές τάσεις παραμένουν<br />
ουσιαστικά ίδιες, η συσσωρευμένη εμπειρία από<br />
τις εκθέσεις, δείχνει πόσο γρήγορα οι επιτιθέμενοι με την<br />
πολυτέλεια που τους δίνει η εργασία εκτός νομιμότητας,<br />
καινοτομούν ώστε να αξιοποιήσουν νέα κενά ασφάλειας.<br />
Η φετινή έρευνα αποκαλύπτει ότι οι επιτιθέμενοι χρησιμοποιούν<br />
όλο και περισσότερο νόμιμους δικτυακούς<br />
πόρους για να εξαπολύσουν τις επιθέσεις τους. Αν και οι<br />
περισσότερες σχετικές ειδήσεις αναφέρονται συχνά σε<br />
επιθέσεις όπου χρησιμοποιήθηκε σύγχρονη τεχνολογία,<br />
οι χάκερ συνεχίζουν να αξιοποιούν απαρχαιωμένο λογισμικό<br />
για να επωφεληθούν από αδύναμα σημεία, όπως<br />
οι ελλιπώς ενημερωμένοι διακομιστές. Η «γηρασμένη»<br />
υποδομή αφήνει εκτεθειμένα ανεκμετάλλευτα σημεία<br />
προσβολής ενώ οι αντιφατικές πρακτικές ασφαλείας<br />
εξακολουθούν να αποτελούν πρόκληση.<br />
Άλλα βασικά συμπεράσματα της έρευνας περιλαμβάνουν<br />
την αυξανόμενη τάση κρυπτογράφησης (ιδιαίτερα<br />
HTTPS) στη διακίνηση internet δεδομένων, η οποία συχνά<br />
παρέχει μια ψευδή αίσθηση ασφάλειας στους χρήστες<br />
και τις εταιρείες, καλύπτοντας την ύποπτη δρα-<br />
28 security
Νίκος Μουρτζίνος<br />
<strong>Security</strong> Product Sales Specialist<br />
της Cisco για Ελλάδα, Κύπρo, Μάλτα<br />
Η εικόνα που βλέπουμε είναι ανησυχητική<br />
Με δεδομένο αυτό το περιβάλλον, η ικανότητα αναγνώρισης<br />
και ανταπόκρισης στις επιθέσεις και απειλές, σε<br />
σχεδόν πραγματικό χρόνο, είναι τουλάχιστον επιτακτική<br />
ανάγκη για μια επιχείριση. Δεν μπορούμε να συνεχίσουμε<br />
να δημιουργούμε «τεχνικό χρέος», αφήνοντας<br />
συστήματα χωρίς διορθωτικές ενημερώσεις, με κρίσιμες<br />
εκτεθειμένες υπηρεσίες και εφαρμογές ευάλωτες<br />
σε επιθέσεις. Πρόκειται για θέματα που μπορούμε<br />
να ελέγξουμε και όμως τα στοιχεία δείχνουν ότι δεν τα<br />
καταφέρνουμε. Αυτό σημαίνει ότι πρέπει να ισχυροποιήσουμε<br />
τους πιο αδύναμους κρίκους, όπως το παλιάς<br />
τεχνολογίας λογισμικό δικτύωσης, να προσεγγίσουμε<br />
με προληπτική λογική τις αναβαθμίσεις των συστημάτων<br />
και να αναλάβουμε τον έλεγχο των υποδομών. Σημαίνει,<br />
επίσης, ότι πρέπει να εργαστούμε προς την κατεύθυνση<br />
μιας ενιαίας πλατφόρμας επικοινωνίας, όπου<br />
επιχειρήσεις, βιομηχανικοί κλάδοι και κυβερνήσεις, επικοινωνούν<br />
και συνεργάζονται για να αποτρέψουν τις<br />
επιθέσεις, υιοθετώντας μια ολοκληρωμένη προσέγγιση<br />
έναντι των απειλών, που θα λειτουργεί σε σχεδόν πραγματικό<br />
χρόνο προς όφελος όλων μας.<br />
στηριότητα. Διαπιστώνουμε επίσης, αυξημένη χρήση<br />
WordPress servers για την υποστήριξη ransomware<br />
λογισμικού, τραπεζικής απάτης και επιθέσεων phishing.<br />
Ιδιαίτερα μεταξύ Φεβρουαρίου-Οκτωβρίου 2015, ο<br />
αριθμός των υποδομών WordPress που χρησιμοποιήθηκε<br />
για κακόβουλες επιθέσεις αυξήθηκε περισσότερο<br />
από 221%.<br />
Η άποψη της Cisco για το τι μπορούμε να κάνουμε όλοι,<br />
τώρα<br />
Οι επικεφαλής των οργανισμών και εταιρειών πρέπει να<br />
αναγνωρίσουν τη σημασία της ασφάλειας και να ηγηθούν<br />
οι ίδιοι του στρατηγικού σχεδιασμού. Δεν είναι πλέον<br />
αρμοδιότητα μόνο ενός υπευθύνου ασφάλειας (CISO)<br />
ή ενός τμήματος πληροφορικής. Οι vendors που ενσωματώνουν<br />
προϊόντα και υπηρεσίες πληροφορικής στις<br />
προσφορές τους, πρέπει να προσφέρουν λύσεις που οι<br />
πελάτες να μπορούν να εμπιστευτούν και οι οποίες να<br />
έχουν σχεδιαστεί με γνώμονα την ασφάλεια. Πρέπει να<br />
επιβραδύνουμε την εισαγωγή νέων ευπαθειών και αδύναμων<br />
περιοχών στο δίκτυο. Η προσθήκη «ενός ακόμα<br />
προμηθευτή» δεν μπορεί να συνεχίσει να αποτελεί την<br />
απάντηση, στις προκλήσεις των θεμάτων ασφάλειας. Κάτι<br />
τέτοιο απλώς αυξάνει την πολυπλοκότητα και αφήνει τις<br />
εταιρείες πιο ευάλωτες σε επιθέσεις. Για να μειωθεί το<br />
κόστος, να υπάρχει απόδοση των επενδύσεων, αποτελεσματικότητα<br />
και ευελιξία, η στρατηγική για την ασφάλεια<br />
πρέπει να ακολουθεί επιχειρηματικά κριτήρια, να υλοποιείται<br />
με αρχιτεκτονικό σχεδιασμό και να είναι αποδεδειγμένα<br />
αποτελεσματική. Η πλήρης έρευνα Cisco Annual<br />
<strong>Security</strong> Report 2016, είναι διαθέσιμη στο<br />
www.cisco.com/go/asr2016. <strong>IT</strong><strong>Security</strong><br />
security<br />
29
T<strong>43</strong>01/02.2016<br />
Issue<br />
MOREAL - Threat Intelligence & User<br />
Behavior Analysis in Real Time<br />
Καταπολεμήστε τη νέα γενιά απειλών του κυβερνοχώρου, συμπεριλαμβανόμενων των<br />
εστιασμένων προηγμένων απειλών, των zero day malwares, του κυβερνοεγκλήματος και των<br />
οποιοδήποτε αχαρτογράφητων απειλών με τις καινοτόμες λύσεις security-as-a-service της<br />
Crypteia Networks.<br />
α σύγχρονα δίκτυα αποτελούνται από<br />
T<br />
συσκευές διαφορετικών κατασκευαστών,<br />
οι οποίες επιτρέπουν στους ΙΤ και<br />
Information <strong>Security</strong> administrators να<br />
πετυχαίνουν το υψηλότερο επίπεδο αξιοπιστίας<br />
και απόδοσης των δικτύων τους. Όμως, τέτοια<br />
ανομοιογενή περιβάλλοντα, που αποτελούνται από διαφορετικές<br />
τεχνολογίες και από πλήθος κατασκευαστών,<br />
δημιουργούν διαχειριστικά ζητήματα που πρέπει να επιλύονται<br />
με ακρίβεια και αποτελεσματικότητα.<br />
Σε αυτή την κατεύθυνση, η εγκατάσταση και συστηματική<br />
χρήση συστημάτων διαχείρισης δικτύων (NMS) προβάλλει<br />
μεν ως μια καλή εναλλακτική, αλλά ακριβή, λύση.<br />
Παράλληλα, η συνεχής αύξηση της αξίας της πληροφορίας<br />
οδηγεί τους οργανισμούς να λαμβάνουν υπ’όψιν τους<br />
και να εισάγουν συστήματα διαχείρισης πληροφορίας και<br />
γεγονότων ασφάλειας (SIEM) για να διασφαλίσουν την<br />
έγκαιρη ανίχνευση και αντιμετώπιση πιθανών απειλών<br />
και επιθέσεων.<br />
Παρ’ όλα αυτά, η ορθή και αποτελεσματική χρήση συστημάτων<br />
NMS και SIEM προϋποθέτει την ύπαρξη έμπειρου<br />
και εκπαιδευμένου προσωπικού, με συνεχή αφοσίωση<br />
στην κατανόηση και υιοθέτηση των εξελίξεων στο παγκόσμιο<br />
τοπίο του Cyber<strong>Security</strong>, ειδικότερα όταν οι υπό<br />
προστασία υποδομές χρησιμοποιούνται για τη διαχείριση<br />
και επικοινωνία ευαίσθητων και κρίσιμων δεδομένων.<br />
Από τις λειτουργίες Monitoring, Reporting και Alerting<br />
στο Threat Intelligence Management<br />
Το MOREAL είναι μια cloud-based πλατφόρμα διαχείρισης<br />
μεγάλου όγκου δεδομένων δικτύου και ασφάλειας.<br />
Η πλατφόρμα έχει σχεδιαστεί για να προσφέρει<br />
υψηλού επιπέδου επεκτασιμότητα και αξιοπιστία. Το<br />
MOREAL προσφέρει στους <strong>IT</strong> και Information <strong>Security</strong><br />
administrators τη δυνατότητα να έχουν πρόσβαση σε<br />
παρακολούθηση δεδομένων, reports και alerts σε πραγ-<br />
Εικόνα 1: Το MOREAL με μια ματιά.<br />
ματικό χρόνο, χωρίς την εγκατάσταση, διαχείριση και<br />
χρήση ακριβών και πολύπλοκων λύσεων NMS και SIEM.<br />
Αυτό επιτυγχάνεται μέσω του MOREAL και μιας Web<br />
διεπαφής, σε ένα φιλικό προς τον χρήστη και πλήρως<br />
ασφαλές περιβάλλον. Το MOREAL προσφέρει στους <strong>IT</strong><br />
και Information <strong>Security</strong> administrators τη δυνατότητα<br />
να λαμβάνουν αποφάσεις, χωρίς την ανάγκη περίπλοκων<br />
αναλύσεων, μέσω χειροκίνητων συσχετισμών και<br />
γεγονότων, αφού ενστερνίζεται τεχνικές διαχείρισης μεγάλου<br />
όγκου δεδομένων και επωφελείται από την επεξεργαστική<br />
ισχύ και την υψηλή διαθεσιμότητα των cloud<br />
computing τεχνολογιών. Σχεδιασμένο υπό μη διεισδυτική<br />
οπτική, το MOREAL αναλύει δεδομένα σε βάθος,<br />
από τις λύσεις περιμετρικής ασφάλειας του προστατευόμενου<br />
δικτύου.<br />
Πιο συγκεκριμένα, οι συσκευές των οποίων τα δεδομένα<br />
αναλύονται και συσχετίζονται από το MOREAL είναι<br />
30 security
Θεοχάρης Τσιγκρίτης, MEng, PhD<br />
Head of R&D, MSDS, PCCW Global<br />
routers, firewalls, UTMs, IPSs, DDoS κ.λπ., ενώ τα<br />
υποστηριζόμενα πρωτόκολλα διαχείρισης δεδομένων<br />
βασίζονται σε standards όπως τα syslog, SNMP και την<br />
xFlow οικογένεια πρωτοκόλλων. Λόγω της σχετικά περιορισμένης<br />
πληροφoριακής αξίας των δεδομένων που<br />
έρχονται από το δικτυακό επίπεδο, το MOREAL εξελίσσεται<br />
σε τρεις σημαντικούς άξονες για τον εμπλουτισμό<br />
των πληροφοριών ασφάλειας, καθώς και για τη διορατικότητα<br />
που παρέχει στους χρήστες του.<br />
Κατά τον πρώτο άξονα εξέλιξής του, το MOREAL επεκτείνεται<br />
ώστε να μπορεί να κατανοήσει, αναλύσει και<br />
συσχετίσει πληροφορίες που προέρχονται από πιθανώς<br />
ήδη υπάρχουσες λύσεις NMS και SIEM. Παράλληλα, το<br />
MOREAL βελτιώνεται ώστε να συλλέγει, κανονικοποιεί<br />
και να χρησιμοποιεί Threat Intelligence καταχωρήσεις,<br />
ερχόμενες από ποικίλες Open Source πηγές ασφάλειας.<br />
Βάση τέτοιου τύπου πληροφορίας, η πλατφόρμα παρέχει<br />
στους χρήστες της ειδοποιήσεις, που σχετίζονται άμεσα<br />
με το υπάρχον status του Threat Intelligence όπως εξελίσσεται<br />
παγκοσμίως. Πιο συγκεκριμένα, μια πληθώρα<br />
τέτοιου τύπου πηγών πληροφοριών περί απειλών, όπως<br />
τα deep web, RSS, CERTs, twitter, open repositories,<br />
κ.λπ., έχουν ληφθεί υπ΄όψιν.<br />
Επιπλέον, η ερευνητική ομάδα της Crypteia Networks<br />
σχεδιάζει αλγορίθμους ανάλυσης που μπορούν να συσχετίσουν<br />
οποιουδήποτε τύπου δεδομένα για να παρέχουν<br />
άμεση και έγκαιρη ανίχνευση όλων των δυνητικών<br />
απειλών ή και να προβλέψουν patterns που δυνητικά θα<br />
μπορούσαν να μετατραπούν σε παραβιάσεις ασφάλειας,<br />
βάσει της κρισιμότητας των στοιχείων (assets) που λαμβάνονται<br />
υπ όψιν στην ανάλυση και της υπολογισθείσας<br />
πιθανότητας. Τα αποτελέσματα αυτών των μηχανισμών<br />
ανάλυσης και πρόβλεψης χρησιμοποιούνται για την ενημέρωση<br />
και τον εμπλουτισμό της ThreatDB, με πληροφορία<br />
προερχόμενη από την ανάλυση και κατ’ επέκταση τη<br />
διαχείριση συμβάντων ασφάλειας που γίνονται σε δίκτυα<br />
που επιβλέπονται με τη χρήση του MOREAL.<br />
Εικόνα 3: ThreatDB επισκόπηση.<br />
Εικόνα 2: O δρόμος προς το Threat Intelligence.<br />
Η Crypteia Networks είναι μια εξειδικευμένη εταιρεία<br />
που παρέχει αναβαθμισμένες λύσεις ασφάλειας<br />
πληροφοριών, με τη μορφή υπηρεσίας (Managed<br />
<strong>Security</strong> Services). Στόχος της Crypteia Networks είναι<br />
να «θωρακίσει» τις υποδομές της επιχείρησης από<br />
δυνητικές ηλεκτρονικές απειλές που θα προέλθουν<br />
από κενά ασφάλειας, επιθέσεις τρίτων μερών ή αμέλεια<br />
κάποιου χρήστη. Οι υπηρεσίες της ελέγχονται και παρακολουθούνται<br />
σε Real Time όλο το εικοσιτετράωρο<br />
(24x7) από τους <strong>Security</strong> Engineers & Analysts του<br />
<strong>Security</strong> Operations Center (SOC), ώστε να αντιμετωπισθούν<br />
άμεσα τυχόν επιθέσεις, να δράσουν προληπτικά,<br />
να εγκατασταθούν επείγουσες αναβαθμίσεις,<br />
καθώς και να επιλυθούν άλλα προβλήματα ή παράξενες<br />
συμπεριφορές σε επίπεδο δικτύου ή χρηστών, που<br />
μπορεί να προκύψουν.<br />
Η Crypteia Networks ανήκει στην Όμιλο της PCCW<br />
Global, ο οποίος αποτελεί τον βραχίονα διεθνών δραστηριοτήτων<br />
της Hong Kong Telecom (HKT), κορυφαίου<br />
παρόχου τηλεπικοινωνιακών υπηρεσιών του Χονγκ<br />
Κονγκ, η οποία ανήκει κατά πλειοψηφία στην PCCW<br />
Limited. Καλύπτοντας περισσότερες από 3.000 πόλεις<br />
και 130 χώρες, το δίκτυο της PCCW Global υποστηρίζει<br />
ένα χαρτοφυλάκιο ολοκληρωμένων, λύσεων τηλεπικοινωνίας<br />
για την παγκόσμια αγορά, συμπεριλαμβανομένων<br />
λύσεων Ethernet, IP, μετάδοσης μέσω οπτικών<br />
ινών και δορυφόρων, υπηρεσιών managed services και<br />
σχετικών λύσεων, καθώς και διεθνών υπηρεσιών μετάδοσης<br />
φωνής (voice) και VoIPX. <strong>IT</strong><strong>Security</strong><br />
security<br />
31
T<strong>43</strong>01/02.2016<br />
Issue<br />
Αρχιτεκτονική Ασφαλείας<br />
Στρατηγική ή Μόδα;<br />
Οι μηχανισμοί ασφαλείας πρέπει να καλύπτουν την εμπιστευτικότητα, την ακεραιότητα και την<br />
απρόσκοπτη διαθεσιμότητα των πόρων και των πληροφοριών, ενώ πρέπει να καθιστούν τη<br />
λειτουργία της υποδομής αξιόπιστη, ευέλικτη και ελεγχόμενη.<br />
α συστήματα και οι τεχνολογίες επικοινωνιών<br />
και πληροφορίας αποτελούν σήμε-<br />
T<br />
ρα έναν από τους πιο σημαντικούς παράγοντες<br />
οικονομικής ανάπτυξης των επιχειρήσεων,<br />
ενώ αδιαμφισβήτητα αποτελούν<br />
απαραίτητα εργαλεία στην ομαλή λειτουργία τους.<br />
Παράλληλα με την ανάπτυξη του κυβερνοχώρου, γίνεται<br />
όλο και πιο ουσιαστική η ανάγκη ανάλυσης και αναπροσαρμογής<br />
των ηλεκτρονικών συστημάτων, έτσι ώστε<br />
οποιαδήποτε δραστηριότητα μέσω των τεχνολογιών<br />
αυτών να είναι ασφαλής.<br />
Η ασφάλεια των υποδομών αναφέρεται στη δυνατότητα<br />
και την ανθεκτικότητα τους να αντιμετωπίσουν κινδύνους<br />
και βλάβες που δυνατόν να προκληθούν στα<br />
διάφορα δομοστοιχεία τους. Τα μέτρα ασφάλειας που<br />
λαμβάνονται στοχεύουν κυρίως στην αύξηση της ετοιμότητας<br />
και την ενίσχυση των δυνατοτήτων πρόληψης,<br />
στον εντοπισμό και την αντίδραση σε ενδεχομένους κινδύνους,<br />
τυχόν κακόβουλες ενέργειες ή και επιθέσεις,<br />
καθώς και στη λήψη μέτρων για μετριασμό και αποκατάσταση<br />
τυχόν βλαβών, δυσλειτουργιών και της διαθεσιμότητας<br />
των παρεχομένων υπηρεσιών, συμπεριλαμβανομένων<br />
και καταστάσεων έκτακτης ανάγκης ή κρίσης.<br />
Το θέμα είναι όμως πως επιλέγουμε τους κατάλληλους<br />
μηχανισμούς ασφαλείας πληροφοριών μίας<br />
εταιρείας; Από μόδα ή μετά από μία ολιστική προσέγγιση<br />
για την αντιμετώπιση των κινδύνων που την<br />
απειλούν;<br />
Η υιοθέτηση μιας στρατηγικής για την ασφάλεια πληροφοριών,<br />
την αξιολόγηση των κινδύνων και την αποτελεσματική<br />
υλοποίηση των βασικών αρχών της ασφάλειας<br />
πληροφοριών, είναι η μόνη σωστή αντιμετώπιση. Η εταιρεία<br />
netbull, πρωτοπόρος στον τομέα της ασφάλειας<br />
πληροφοριών, έχει σχεδιάσει μία αρχιτεκτονική ασφαλείας,<br />
την netbull 3D <strong>Security</strong> Architecture (nSA<br />
3D) η οποία αντιμετωπίζει ολιστικά τους κινδύνους και<br />
τις προκλήσεις ασφαλείας, εξασφαλίζοντας την αξιοπιστία<br />
των πληροφοριών, κάτω από την ομπρέλα ενός<br />
ασφαλούς περιβάλλοντος, σε συμμόρφωση πάντα με τις<br />
εκάστοτε επιχειρηματικές ανάγκες. Τα κύρια σημεία της<br />
αρχιτεκτονικής nSA 3D είναι:<br />
• Προστασία των δεδομένων ανεξαρτήτως που επεξεργάζονται<br />
ή είναι αποθηκευμένα.<br />
• Ολοκλήρωση μεταξύ των τεχνολογιών ασφαλείας με σκοπό<br />
μία ασπίδα προστασίας γύρω από τους πόρους και τις<br />
πληροφορίες.<br />
• Τρισδιάστατη προστασία: άνθρωποι, πολιτικές και διαδικασίες,<br />
καθώς και τεχνολογίες ασφαλείας να λειτουργούν ως<br />
ένας ενιαίος μηχανισμός προστασίας.<br />
Δομικά στοιχεία της αρχιτεκτονικής αυτής αποτελούν τα<br />
UTMs και Firewalls NG, Intrusion Prevention Systems,<br />
Web Application Firewalls, Data Leak Prevention<br />
Systems, Database <strong>Security</strong> Systems, Secure Web &<br />
Mail Gateways, Endpoint Protection, <strong>Security</strong> Information<br />
and Event Management Systems, Risk management &<br />
Compliance Management Systems, Identity & Access<br />
Management, Public Key Infrastructures (PKI) και<br />
Secure Smartphones.<br />
32 security
Νικήτας Κλαδάκης<br />
Information <strong>Security</strong> Manager, NetBull<br />
Σχήμα 1: Αρχιτεκτονική Ασφαλείας nSA 3D.<br />
Τα ανωτέρω δομικά στοιχεία αποτελούν τον θεμελιώδη<br />
λίθο στους ακόλουθους τομείς:<br />
Περιμετρική Ασφάλεια - Σε κάθε επιχείρηση, η περίμετρος<br />
θεωρείται το σύνολο των διεπαφών του δικτύου<br />
με τον εξωτερικό κόσμο. Η περίμετρος είναι υπεύθυνη<br />
για την εξωστρέφεια των επιχειρησιακών διαδικασιών<br />
μίας επιχείρησης. Βάσει των παραπάνω, γίνεται εύκολα<br />
κατανοητό ότι η περίμετρος αποτελεί τον πρώτο και κυριότερο<br />
στόχο κακόβουλων επιθέσεων είτε αυτές αφορούν<br />
σε επίθεση στην ιστοσελίδα ή στη εφαρμογή ηλεκτρονικών<br />
συναλλαγών είτε σε κακόβουλες επιθέσεις<br />
Άρνησης Εξυπηρέτησης (Denial of Service).<br />
Ασφάλεια Εσωτερικού Δικτύου και Κέντρων Δεδομένων<br />
- Ως εσωτερικό δίκτυο θεωρείται το πλήθος<br />
της πληροφοριακής υποδομής που υποστηρίζει όλες τις<br />
λειτουργίες μίας επιχείρησης Η εν λόγω υποδομή περιλαμβάνει<br />
το σύνολο των εξυπηρετητών, το δικτυακό<br />
εξοπλισμό, τις εφαρμογές και πλήθος άλλων πληροφοριακών<br />
συστημάτων που υποστηρίζουν υπηρεσίες της<br />
επιχείρησης. Το εσωτερικό δίκτυο των οργανισμών είναι<br />
ευάλωτο σε κινδύνους τόσο από εξωτερικούς όσο και<br />
από εσωτερικούς παράγοντες. Οι εξωτερικοί κίνδυνοι<br />
μπορεί να αφορούν σε επιθέσεις που επιτυχώς έχουν διαπεράσει<br />
τους μηχανισμούς ασφάλειας της περιμέτρου<br />
είτε σε μολύνσεις ιομορφικού υλικού και άλλου επικίνδυνου<br />
κώδικα (TrojanViruses, Malware κ.ά.).<br />
Ασφάλεια Τελικών Συσκευών - Μέχρι και σχετικά<br />
πρόσφατα ένα αντιικό (antivirus) σύστημα ήταν αρκετό<br />
για να καλύψει τις ανάγκες προστασίας των τελικών<br />
χρηστών από επιθέσεις στις τερματικές τους συσκευές.<br />
Πλέον το τοπίο έχει αλλάξει μιας και οι τελικές συσκευές<br />
πλην του κοινού αντιικού μηχανισμού απαιτούν επιπλέον<br />
μηχανισμούς προστασίας αφού οι κίνδυνοι / απειλές<br />
έχουν αλλάξει μορφή και τρόπο μετάδοσης.<br />
Πλέον τα απλά αντιικά προγράμματα δεν έχουν<br />
την «ευφυΐα» να προστατέψουν τους χρήστες από<br />
“TrojanHorses”, “Botnets” και άλλους έξυπνους ιούς με<br />
αποτέλεσμα τα κρούσματα μολύνσεων να αυξάνονται<br />
δραματικά. Επιπλέον, οι μολύνσεις αυτές δεν εντοπίζονται<br />
πάντα από τα διαχειριστικά συστήματα με αποτέλεσμα<br />
να μολύνονται και γειτονικά συστήματα και στο τέλος,<br />
το σύνολο της υποδομής μίας επιχείρησης.<br />
Ασφάλεια Κινητής Υπολογιστικής - Όλο και περισσότερο<br />
παρουσιάζεται η ανάγκη για την πρόσβαση απομακρυσμένων<br />
χρηστών σε εσωτερικούς πόρους μίας<br />
πιχείρησης. Οι χρήστες αυτοί μπορεί να είναι διαχειριστές,<br />
απλοί χρήστες ή και συνεργάτες της επιχείρησης.<br />
Από την άλλη, το πλήθος και η ποικιλία των συσκευών<br />
που χρησιμοποιούνται για να συνδέονται στην υποδομή<br />
είναι όλο και μεγαλύτερο: από κινητά τηλέφωνα/<br />
smartphones, laptops, tablets έως και InternetCafe ή<br />
InternetBrowser.<br />
Ασφάλεια Ηλεκτρονικών Συναλλαγών - Οι υπηρεσίες<br />
ηλεκτρονικής συναλλαγής αποτελούν βασική<br />
δραστηριότητα κάθε ηλεκτρονικής επιχείρησης μιας και<br />
προσφέρουν ευελιξία και ευκολία στις συναλλαγές των<br />
πελατών. Ως υπηρεσία οφείλει να λειτουργεί σε 24ώρη<br />
βάση, να είναι αξιόπιστη και εύκολη στην πλοήγηση για<br />
όλους τους χρήστες.<br />
Οι ευπάθειες που κρύβουν τα συστήματα ηλεκτρονικών<br />
υπηρεσιών αφορούν κενά ασφάλειας στο σχεδιασμό<br />
του συστήματος ηλεκτρονικών συναλλαγών. Τέτοια<br />
προβλήματα σχεδιασμού μπορεί να αφορούν στη δικτυακή<br />
υποδομή και τοπολογία, στους εξυπηρετητές που<br />
φιλοξενούν την εφαρμογή, ευπάθειες της εφαρμογής ή<br />
τέλος βασικά ζητήματα αυθεντικοποίησης χρηστών και<br />
αποθήκευσης των σχετικών δεδομένων.<br />
Ασφάλεια Νέφους - Η εκτεταμένη χρήση της εικονικοποίησης<br />
στην υλοποίηση των υποδομών cloud φέρνει<br />
νέους κινδύνους για τους πελάτες των υπηρεσιών<br />
cloud. Η τεχνολογία εικονικοποίησης μεταβάλλει<br />
τη σχέση μεταξύ του λειτουργικού συστήματος και του<br />
υλικού εξοπλισμού - υπολογιστών, δίκτυο, αποθηκευτικής<br />
υποδομής. Η εικονικοποίηση εισάγει ένα πρόσθετο<br />
επίπεδο κινδύνου, και πρέπει να ρυθμιστεί με ασφάλεια.<br />
Στους νέους κινδύνους περιλαμβάνεται και η δυνατότητα<br />
να τεθεί σε κίνδυνο το λογισμικό της εικονικοποίησης.<br />
<strong>IT</strong><strong>Security</strong><br />
security<br />
33
T<strong>43</strong>01/02.2016<br />
Issue<br />
Το μέλλον της ασφάλειας <strong>IT</strong><br />
Η ομαδική εργασία αναδεικνύεται<br />
Πολλές σημερινές πρακτικές ασφαλείας πάσχουν από μια αντιδραστική και αποσπασματική<br />
προσέγγιση χωρίς συγχρονισμό. Αυτό που απαιτείται είναι ολιστικές λύσεις που ενσωματώνουν<br />
ένα ευρύτερο σύνολο τεχνολογιών για την ασφάλεια.<br />
ίναι σχεδόν βέβαιο, ότι σύντομα οι σημερινές<br />
επιχειρήσεις θα αντιμετωπίσουν<br />
E<br />
προκλήσεις άνευ προηγουμένου στην<br />
ασφάλεια. Τα αποδεικτικά στοιχεία μάλιστα<br />
είναι ήδη συναρπαστικά, αφού οι<br />
κυβερνο-επιθέσεις και τα περιστατικά παραβίασης των<br />
δικτυακών υποδομών αυξάνονται τόσο σε συχνότητα,<br />
όσο σε όγκο και σε πολυπλοκότητα, φθάνοντας σε ανησυχητικά<br />
υψηλά επίπεδα, με παραδείγματα παραβίασης<br />
δικτύων κορυφαίων επιχειρήσεων στον κόσμο, όπως<br />
εταιρειών Fortune 500 και κρατικών υπηρεσιών.<br />
Για τους υπεύθυνους ασφάλειας (Chief <strong>Security</strong> Officers<br />
/ CSOs), το ερώτημα που τίθεται, είναι τί συνέβη στις «λεγόμενες»<br />
λύσεις ασφάλειας επόμενης γενιάς; Το πλήθος<br />
των επιθέσεων, το εξελισσόμενο τοπίο των απειλών και<br />
το αυξανόμενο χάος που φέρνει μαζί του το malware, είναι<br />
πράγματα που δείχνουν ότι δυστυχώς έρχονται αναπόφευκτα<br />
και άλλες παραβιάσεις ασφάλειας στο μέλλον.<br />
Και δεν υπάρχει διαθέσιμη κάποια εύκολη λύση, ούτε<br />
κάποιο μαγικό περιβάλλον ελέγχου «sandbox» και δεν<br />
θα ήταν ρεαλιστικό να περιμένουμε ότι η αυτή η κατάσταση<br />
θα βελτιωθεί βραχυπρόθεσμα. Οι υπάρχουσες<br />
υποδομές ασφάλειας σε πολλές εταιρείες και οργανισμούς<br />
είναι αναμφισβήτητα ελλιπείς με αρκετά προβλήματα<br />
και κενά, ενώ επιπλέον, οι δεκαετίες κακού σχεδιασμού<br />
και οργάνωσης δεν μπορούν να αναθεωρηθούν<br />
μόνο με την εφαρμογή μερικών patches ή με κάποια λεγόμενη<br />
λύση ασφάλειας τερματικών συσκευών «επόμενης<br />
γενιάς» (Next Generation Endpoint).<br />
Υπάρχουν επίσης ζητήματα στη στάση που κρατάμε απέναντι<br />
στην ασφάλεια αφού υπάρχουν πολλά κενά και οι<br />
περισσότερες επιχειρήσεις δυστυχώς δεν κατανοούν τις<br />
πρωταρχικές τους ανάγκες στον τομέα αυτό. Αυτό έχει<br />
ως αποτέλεσμα, οι περισσότεροι οργανισμοί και εταιρείες<br />
να μην γνωρίζουν ποσοτικά τα περιουσιακά τους στοιχεία<br />
σε δεδομένα και πληροφορίες που διαθέτουν. Στην<br />
πραγματικότητα, αξίζει να αναφερθεί ότι η ενισχυμένη<br />
περίμετρος έχει αρχίσει να ξεθωριάζει και η περιμετρο-<br />
34 security
Γιώργος Καπανίρης<br />
Διευθυντής Στρατηγικής Ανάπτυξης, NSS<br />
ποίηση (the perimeterization) αποτελεί μία πραγματικότητα.<br />
Η καθοδηγούμενη από την Πληροφορική «τέλεια<br />
καταιγίδα», που επιδεινώθηκε περαιτέρω από τις<br />
δυνάμεις του Σύννεφου (Cloud), της Εικονικοποίησης<br />
(Virtualization) και της Φορητότητας (Mobility) κατέστησε<br />
παρωχημένη την παραδοσιακή επιχειρησιακή<br />
δικτυακή / περιμετρική ασφάλεια, στερώντας από τους<br />
διαχειριστές πληροφορικής και ασφάλειας από βασικούς<br />
ελέγχους ασφαλείας, παρεμποδίζοντας παράλληλα την<br />
ορατότητα που αφορούν συμβάντα σχετικά με τους χρήστες<br />
ή το δίκτυο. Οι επιχειρήσεις Big Data είναι εδώ, αλλά<br />
η ασφάλεια συνεχίζει να βρίσκεται στο περιθώριο. Οι<br />
μεγάλες ποσότητες δεδομένων που αποθηκεύονται και<br />
οι πολλαπλοί χρήστες που έχουν πρόσβαση σε αυτά σε<br />
μεγάλους, κατανεμημένους και ολοένα περισσότερο συνεργατικούς<br />
οργανισμούς, καθιστούν τον αποτελεσματικό<br />
τους έλεγχο μία αποθαρρυντική πρόκληση.<br />
Θεραπεύοντας την αχίλλειο πτέρνα με την ενοποίηση<br />
της Ασφάλειας Δικτύου και Τερματικών Συσκευών<br />
Η «τέλεια καταιγίδα» των απειλών και του μετασχηματισμού<br />
που οδήγησε η Πληροφορική, ευτυχώς δεν έχει<br />
επιφέρει μόνο άγχος και χάος, εφόσον υπάρχει βέβαια η<br />
κατάλληλη προετοιμασία στον τομέα ασφάλειας. Μέσω<br />
της δυνατότητας συνεργασίας της Δικτυακής Ασφάλειας<br />
(Network <strong>Security</strong>) και της Ασφάλειας Τερματικών<br />
Συσκευών (Endpoint <strong>Security</strong>), οι επιχειρήσεις όχι μόνο<br />
μπορούν να καταπολεμήσουν πιο αποτελεσματικά τις<br />
απειλές, αλλά επίσης μπορούν να περιορίσουν σημαντικά<br />
τα κενά ασφάλειας, να αποτρέψουν την μη εξουσιοδοτημένη<br />
πρόσβαση και να ενισχύσουν τις άμυνες τους<br />
με πολύ απλό τρόπο. Ο αυξανόμενος αριθμός των τερματικών<br />
συσκευών παραμένει η αχίλλειος πτέρνα, καθιστώντας<br />
τα δεδομένα, τις πληροφορίες και τις υποδομές<br />
επιρρεπείς σε προηγμένες κυβερνο-απειλές.<br />
Ξεκινώντας από δικτυακές σαρώσεις (ping sweeps<br />
& port scanning) έως νέες πιο εξελιγμένες μεθόδους<br />
επίθεσης όπως ένας έντεχνα κατασκευασμένος πολυμορφικός<br />
κώδικας, οι κυβερνο-εγκληματίες βάζουν ως<br />
στόχο τις τερματικές συσκευές για να προκαλέσουν σοβαρές<br />
βλάβες σε δίκτυα επιχειρήσεων με στόχο να αποσπάσουν<br />
εμπιστευτικά δεδομένα κρίσιμης σημασίας εξ<br />
αποστάσεως (remotely).<br />
Ο έλεγχος, τέλος, του ολοένα αυξανόμενου όγκου αλλά<br />
και της ποικιλίας των τερματικών συσκευών από μόνο<br />
του έχει γίνει μία σημαντική πρόκληση στη διαχείριση<br />
από τις ομάδες ασφαλείας πληροφορικής, οδηγώντας σε<br />
μαζικές υλικοτεχνικές υπερβολές για την αναγκαστική<br />
επιβολή πολιτικών ασφαλείας και ελέγχου πολλαπλών<br />
παραγόντων ασφαλείας σε κάθε τερματική συσκευή.<br />
Οι περισσότερες σημερινές πρακτικές ασφαλείας πάσχουν<br />
από μια αντιδραστική και αποσπασματική προσέγγιση<br />
με πολλαπλές υποδομές, επικαλυπτόμενες λειτουργίες<br />
και ποικίλα συστήματα διαχείρισης που στερούνται<br />
κατάλληλου συγχρονισμού. Επίσης, εκείνοι που ισχυρίζονται<br />
ότι έχουν ενσωματώσει σε μία την προστασία τερματικών<br />
συσκευών και δικτύου δεν κοιτάζουν πέρα από<br />
την πρόληψη. Παρεκκλίνοντας από αυτή την αναποτελεσματική<br />
προσέγγιση, το Project Galileo της Sophos<br />
που συνθέτει ένα ευρύτερο οικοσύστημα ασφάλειας,<br />
εξερευνά μια νέα και ολιστική διάσταση που ενοποιεί<br />
και ενσωματώνει ένα ευρύτερο σύνολο τεχνολογιών<br />
στην ασφάλεια τερματικών συσκευών και δικτύου και<br />
το ενισχύει περαιτέρω μέσω της διαχείρισης στο Cloud,<br />
της νοημοσύνης έναντι απειλών (threat intelligence)<br />
και της συνολικής διαχείρισης όλων των παραμέτρων<br />
ασφάλειας. Η συγκεκριμένη προσέγγιση έχει ως βασικό<br />
στόχο να προάγει την επικοινωνία και να συνασπίσει<br />
την ασφάλεια μεταξύ των προστασιών δικτύου, διακομιστή<br />
και τερματικών συσκευών, διασφαλίζοντας ότι οι<br />
προηγμένες επιθέσεις και οι άγνωστες απειλές όχι μόνο<br />
μπορούν να αντιμετωπιστούν αποτελεσματικά, αλλά και<br />
πως όλες οι δραστηριότητες και τα γεγονότα που ενέχουν<br />
κίνδυνο μπορούν να ανιχνεύονται και να αποκαθίστανται<br />
σε ελάχιστο χρόνο, εξασφαλίζοντας παράλληλα<br />
ότι τα κρίσιμης σημασίας δεδομένα κρυπτογραφούνται<br />
για να περιοριστούν οι απώλειες.<br />
Κοιτάζοντας πέρα από την “Αλυσίδα του<br />
Κυβερνο-θανάτου”<br />
Η βασική πτυχή της παραπάνω προσέγγισης είναι ότι<br />
επιτρέπει σε στελέχη στον τομέα της ασφάλειας ή σε διαχειριστές<br />
να κοιτάζουν πέρα από τις κλισέ πρακτικές,<br />
συμπεριλαμβανομένης και της αντιδραστικής προσέγγισης,<br />
έχοντας αντίληψη ουσιαστικά του Cyber Kill Chain<br />
που περιλαμβάνει τα διαφορετικά στάδια μίας κυβερνο-<br />
security<br />
35
T<strong>43</strong>01/02.2016<br />
Issue<br />
επίθεσης. Αρκετά συχνά, ακούμε από τους αναλυτές<br />
ασφαλείας ότι υπάρχει μια αυξανόμενη ανάγκη για να<br />
ενσωματωθεί η ασφάλεια στις βασικές επιχειρηματικές<br />
διαδικασίες, συμπεριλαμβανομένου και του τρόπου που<br />
γίνεται η διαχείριση πληροφορικής. Ωστόσο, πολλές επιχειρήσεις<br />
εξακολουθούν να αποτυγχάνουν να ακολουθήσουν<br />
μια προληπτική προσέγγιση από εξελιγμένους<br />
παράγοντες απειλών για την προστασία των δικτύων<br />
τους, των περιουσιακών στοιχείων πληροφορικής, των<br />
δεδομένων, των χρηστών και της επιχειρησιακής φήμης<br />
τους, επειδή πολύ απλά η προσέγγιση τους είναι εσφαλμένη<br />
και συνεχίζει να είναι αντιδραστική. Έτσι, τα δίκτυα<br />
των επιχειρήσεων παραμένουν ευάλωτα σε κυβερνοεπιθέσεις,<br />
δυστυχώς ακούσια.<br />
Αλλά γιατί συμβαίνει αυτό; Η απάντηση πάντως δεν μπορεί<br />
να είναι ότι πολλές επιχειρήσεις δεν αντιμετωπίζουν<br />
την ασφάλεια δικτύου σοβαρά, με τόσες παραβιάσεις<br />
δικτύων που συμβαίνουν και που βρίσκονται στις επικεφαλίδες<br />
των μεγαλύτερων ειδησεογραφικών ιστοσελίδων.<br />
Από ότι φαίνεται, οι επιχειρήσεις βασίζονται σε<br />
μεγάλο βαθμό σε μυωπικές ή αντιδραστικές μεθόδους<br />
ασφαλείας, που δεν επιτρέπουν στον τακτικό και έγκαιρο<br />
εκσυγχρονισμό των πληροφοριακών συστημάτων, κάτι<br />
που επίσης θολώνει τον τρόπο σκέψης των υπευθύνων<br />
ασφάλειας των εταιρειών.<br />
Υπάρχει απόλυτη ανάγκη για απόκλιση από αυτήν την<br />
προσέγγιση, η οποία επικεντρώνεται περισσότερο στην<br />
πρόληψη από γνωστές απειλές ή εξωτερικές απειλές<br />
και δεν λαμβάνει υπόψη τις ασύμμετρες απειλές, όπως<br />
επεμβατικές μεθόδους ή απειλές που προέρχονται από<br />
το εσωτερικό της επιχείρησης (π.χ. κάποιον υπάλληλο).<br />
Επόμενης γενιάς ασφάλεια πληροφοριών για το<br />
μέλλον<br />
Η φράση «νοημοσύνη έναντι απειλών» (threat<br />
intelligence) ενδεχομένως να ακούγεται κάπως περίεργα,<br />
όμως υπάρχουν σίγουρα πολλά περισσότερα που<br />
πρέπει να γίνουν ακόμα. Ανεξάρτητες εταιρείες στον<br />
τομέα της ασφάλειας, αλλά και ομάδες ερευνητών σε<br />
διάφορες επιχειρήσεις, συνεχώς αναζητούν νέες απειλές,<br />
ευπάθειες zero-day και διεξάγουν διαρκώς πολλές<br />
έρευνες σε βάθος για το θέμα. Παρόλο που υπάρχει ένας<br />
τεράστιος όγκος κρίσιμης σημασίας ερευνών πάνω στη<br />
νοημοσύνη έναντι απειλών, το μεγαλύτερο μέρος είναι<br />
πληροφορίες μη επεξεργασμένες. Αν και η νοημοσύνη<br />
έναντι απειλών και ο διαμοιρασμός αξιοποιήσιμων πληροφοριών<br />
ασφαλείας μπορούν να βοηθήσουν να εστι-<br />
άσουμε και να δώσουμε προτεραιότητα στην χρήση τεράστιων<br />
ποσοτήτων σύνθετων πληροφοριών ασφάλειας<br />
δικτύου, οι οργανισμοί έχουν μια στοιχειώδη ανάγκη για<br />
τυποποιημένη και δομημένη παρουσίαση των πληροφοριών<br />
αυτών, για να τις μετατρέπουν σε πληροφορίες που<br />
μπορούν να διαχειριστούν και να κοινοποιηθούν σε άλλους.<br />
Είναι ζωτικής σημασίας να εκτιμήσουμε αυτή την<br />
διάκριση σήμερα, όπου σχεδόν κάθε συνδεδεμένη επιχείρηση<br />
είναι ένας big-data οργανισμός.<br />
Το ευρύ φάσμα δικτυακών συσκευών, συστημάτων<br />
ασφαλείας καθώς και των πολλαπλών χρηστών, παράγουν<br />
terabytes δεδομένων και αρχείων καταγραφής<br />
συμβάντων (logfiles). Αν και υπάρχουν πολλές ενδείξεις<br />
και στοιχεία εγκληματικής δραστηριότητας που καταγράφονται,<br />
οι κρίσιμης σημασίας και αξιοποιήσιμες<br />
πληροφορίες ασφαλείας χάνονται ή παρερμηνεύονται<br />
εξαιτίας της τεράστιας ποσότητας δεδομένων. Επιπλέον,<br />
μία ακόμα παρανόηση που συνδέεται με τη νοημοσύνη<br />
έναντι απειλών (threat intelligence) είναι ότι συχνά<br />
συγχέεται με τις ψηφιακές υπογραφές απειλών (threat<br />
signatures)!<br />
Το παλλόμενο καρδιοχτύπι της επόμενης γενιάς<br />
ασφαλείας πληροφοριών<br />
Στη Sophos έχει επικρατήσει η αντίληψη στο να προσφέρονται<br />
πραγματικά αξιοποιήσιμες πληροφορίες νοημοσύνης<br />
έναντι απειλών με πλούσιες εισροές σχετικών<br />
σημαντικών πληροφοριών (contextual inputs) που βοηθούν<br />
τις ομάδες ασφαλείας να κατανοήσουν σε μεγάλο<br />
ποσοστό τις παλαιότερες, σημερινές αλλά και μελλοντικές<br />
μεθοδολογίες επιθέσεων καθώς και να κατανοήσουν<br />
τις διάφορες μεθόδους επίθεσης, είτε πρόκειται<br />
για εσωτερικές ή εξωτερικές.<br />
Για την αποτελεσματική αντιμετώπιση της τρέχουσας<br />
κατάστασης στον τομέα της ασφάλειας του δικτύου, θα<br />
πρέπει να αντικαταστήσουμε τις υπάρχουσες πρακτικές<br />
ασφαλείας, με ένα πολυδιάστατο παράδειγμα σχετικών<br />
πληροφοριών που έχει περισσότερη ουσία και επιτρέπει<br />
στις τεχνολογίες ασφαλείας δικτύου και τερματικών<br />
συσκευών να μοιράζονται σημαντικές πληροφορίες με<br />
τη χρήση ενός μηχανισμού που ονομάζεται “Heartbeat”.<br />
Το Heartbeat μπορεί να προσφέρει καλύτερη προστασία<br />
αλλά και να παρακολουθεί την κατάσταση των τερματικών<br />
συσκευών, εξασφαλίζοντας ότι μόνο οι τερματικές<br />
συσκευές που έχουν συμμορφωθεί με την πολιτική<br />
ασφάλειας, έχουν πρόσβαση στο δίκτυο και σε άλλους<br />
πόρους της επιχείρησης. <strong>IT</strong><strong>Security</strong><br />
36 security
T<strong>43</strong>01/02.2016<br />
Issue<br />
Accept the Challenge<br />
Take Ownership<br />
Το Business Continuity Management συχνά αποτελεί ένα αντικείμενο που δεν έχει βρει τη<br />
σωστή του θέση στις διοικητικές ομάδες εταιρειών και ομίλων. Υπάρχουν οργανισμοί που<br />
θεωρούν δεδομένο ότι θα πρέπει να αναφέρεται στον Chief Risk Officer καθώς και άλλοι που<br />
πιστεύουν ότι δεν μπορεί να είναι πουθενά αλλού εκτός από τον Chief Information Officer.<br />
Π<br />
οια είναι όμως η λογική τοποθέτηση ενός<br />
αντικειμένου που καλείται να μας βγάλει<br />
από τη δύσκολη θέση όταν όλες οι άλλες<br />
λειτουργίες έχουν ήδη σταματήσει<br />
τη ροή των εργασιών τους και πόσο κοντά στη διοίκηση<br />
πρέπει να είναι; Αν δούμε το αντικείμενο του Business<br />
Continuity με μεγαλύτερη προσοχή θα διαπιστώσουμε<br />
κάποια σημαντικά χαρακτηριστικά του που θα μας επιτρέψουν<br />
να το τοποθετήσουμε καλύτερα σε σχέση με τη<br />
σημερινή του θέση στην οργανωτική δομή. Αυτά τα χαρακτηριστικά<br />
μεταξύ άλλων είναι:<br />
• Πολύ βαθιά γνώση και κατανόηση όλων των λειτουργιών<br />
της εταιρείας<br />
• Στενή συνεργασία με τον CEO για θέματα διαχείρισης<br />
κρίσεων<br />
• Διαχείριση άκρως εμπιστευτικών θεμάτων της εταιρείας<br />
και διαφύλαξή τους<br />
• Εξειδικευμένες τεχνικές γνώσης υλοποίησης σχεδίων<br />
και στρατηγικών<br />
• Αντιμετώπιση τόσο τεχνικών, όσο κι επιχειρηματικών<br />
θεμάτων, αποτελεσματικά<br />
• Άμεση συνεργασία με το γραφείο τύπου σε θέματα διαχείρισης<br />
επικοινωνιακών κρίσεων<br />
• Διασφάλιση της εφοδιαστικής αλυσίδας κι έλεγχος των<br />
κρίσιμων προμηθευτών<br />
Η λίστα δεν εξαντλείται ασφαλώς εδώ αλλά περιλαμβάνει<br />
και πολλά άλλα θέματα, δεξιότητες, γνώσεις, διαπραγματεύσεις<br />
και πάνω από όλα εξαιρετικό αυτοέλεγχο<br />
προκειμένου να είμαστε ψύχραιμοι όταν οι υπόλοιποι<br />
πανικοβάλλονται. Θα μπορούσε κανείς να πει ότι<br />
αυτά που αναφέρθηκαν παραπάνω, είναι χαρακτηριστικά<br />
ενός ανθρώπου με πολύ ψηλή θέση σε έναν οργανισμό,<br />
ή σε κάθε περίπτωση είναι χαρακτηριστικά<br />
που πρέπει να βρίσκονται όσο πιο κοντά γίνεται στη<br />
διοικητική ομάδα, κάτι το οποίο θεωρείται δεδομένο<br />
σε πολλές άλλες χώρες με αρκετά χρόνια λειτουργίας<br />
του Business Continuity Management στις επιχειρησιακές<br />
δομές. Υπάρχει όμως ιδανική θέση στο οργανόγραμμα<br />
ενός οργανισμού και αν ναι, ποια είναι<br />
αυτή; Αυτό το ερώτημα θα απαντήσουμε αμέσως τώρα,<br />
αναφερόμενοι σε 3 διαφορετικές περιπτώσεις που<br />
είναι και οι πιο δόκιμες σύμφωνα με τις ανάγκες του<br />
αντικειμένου:<br />
38 security
Γιάννης Ζέππος<br />
Managing Partner<br />
Resilience Guard GmbH<br />
1. Το Business Continuity Management αναφέρεται κατευθείαν<br />
στον Διευθύνοντα Σύμβουλο<br />
Αυτή είναι η ιδανική περίπτωση που μπορούμε να έχουμε,<br />
δεδομένων των αναγκών του αντικειμένου καθώς<br />
και της υποστήριξης του CEO σε θέματα στρατηγικής και<br />
διαχείρισης κρίσεων. Μέχρι πρόσφατα, οι εταιρείες θεωρούσαν<br />
ότι τη στρατηγική τη χαράσσει ο Διευθύνων Σύμβουλος<br />
μαζί με τον Οικονομικό και τον Εμπορικό Διευθυντή,<br />
έτσι ώστε να διασφαλιστεί η ανάπτυξη των εργασιών<br />
και να γίνουν οι δέουσες επενδύσεις. Αυτή η κατάσταση<br />
πλέον έχει αλλάξει, έχοντας προσθέσει αρκετά νέα θέματα<br />
και ορισμούς στην ατζέντα των διοικητικών συμβουλίων,<br />
όπως Sustainability, Efficiency, Optimization κ.λπ.<br />
Για να γίνει πλέον ένας σωστός στρατηγικός σχεδιασμός<br />
πρέπει η εταιρεία να λάβει πολύ σοβαρά υπόψη όλα τα<br />
τρωτά της σημεία καθώς και πως μπορεί να επηρεάσει<br />
τα αποτελέσματά της, η οικονομική, κοινωνική και πολιτική<br />
κατάσταση, όπως φυσικά και τα διάφορα απρόβλεπτα<br />
συμβάντα που θα εμφανιστούν. Ποτέ δεν υπήρχε μεγαλύτερη<br />
ανάγκη από σήμερα, να υπάρχει σοβαρός και<br />
υπεύθυνος σχεδιασμός Επιχειρησιακής Συνέχειας. Οι διοικήσεις<br />
των εταιριών πλέον απαιτούν να λαμβάνονται οι<br />
πιο ασφαλείς και υπεύθυνες διαδρομές, προκειμένου ο<br />
οργανισμός να επιτύχει το στόχο του, και το ίδιο ζητούν<br />
εναγωνίως και οι επενδυτές.<br />
2. Το Business Continuity Management αναφέρεται στον<br />
CRO<br />
Πολλοί οργανισμοί και κυρίως αυτοί που ασχολούνται<br />
με χρηματοοικονομικά ή ασφαλιστικά θέματα έχουν<br />
ήδη ένα ρόλο Chief Risk Officer, αν και τις περισσότερες<br />
φορές δεν έχει το χαρακτήρα του αντικειμένου ως<br />
Enterprise Risk Management, παρά σαν Financial Risk<br />
Management. Δεδομένων των κοντινών σχέσεων του<br />
Business Continuity Management με το Enterprise<br />
Risk Management, θα έλεγε κανείς ότι και ο CRO θα<br />
ήταν ίσως μια σχετικά ασφαλής επιλογή για να έχει την<br />
ευθύνη της Επιχειρησιακής Συνέχειας ενός οργανισμού.<br />
Σε παρόμοιες περιπτώσεις πάντως κι επειδή το Risk<br />
Management βασίζεται κυρίως σε υποθέσεις, όλος ο<br />
σχεδιασμός έχει σαν κορμό τη λογική των σεναρίων<br />
αντιμετώπισης διαφορετικών προβλημάτων, κάτι που<br />
είναι αντίθετο με τη λογική του Business Continuity<br />
που σχεδιάζει την απόκριση σύμφωνα με το impact<br />
που έχει ένα συμβάν στον οργανισμό και όχι στο Root<br />
Cause. Στην πράξη λοιπόν ίσως να φαντάζουν κοντινά<br />
τα αντικείμενα, παρόλα αυτά έχει αποδειχθεί ότι το<br />
Business Continuity & Crisis Management δεν εκπροσωπούνται<br />
επαρκώς στο Board.<br />
3. Το Business Continuity Management αναφέρεται<br />
στον CIO<br />
Πολλοί επαγγελματίες του Business Continuity<br />
Management σήμερα προέρχονται από το χώρο του ΙΤ,<br />
και ίσως να ήταν λογικό για το αντικείμενο της Επιχειρησιακής<br />
Συνέχειας να αναφέρεται στον CIO. Η πραγματικότητα<br />
όμως κι εδώ είναι ότι στελέχη με Engineering<br />
Background έχουν αρκετές φορές δυσκολίες να αντιληφθούν<br />
το business extent του αντικειμένου του<br />
Business Continuity & Crisis Management και θεωρούν<br />
ότι BCM=DR. Χρειάζεται μεγάλη εμπειρία από την<br />
CIO για να μην παρασυρθεί και θεωρήσει ότι τα πάντα<br />
αφορούν την τεχνολογία, γιατί η Επιχειρησιακή Συνέχεια<br />
αφορά στην απόκριση και διαχείριση συμβάντων<br />
και κρίσεων από ολόκληρο τον οργανισμό και όχι μόνο<br />
το τεχνικό τμήμα. Σήμερα πλέον το επιχειρηματικό περιβάλλον<br />
κρύβει περισσότερες αβεβαιότητες από ποτέ, η<br />
εικόνα της αγοράς δεν είναι η ίδια, δεν υπάρχει εύκολη<br />
πρόσβαση σε πόρους, δεν μπορείς να γυρίσεις πίσω εύκολα<br />
πελάτη που πήγε στον ανταγωνισμό επειδή η εταιρία<br />
που τον εξυπηρετούσε παρουσίασε αδυναμία να το<br />
κάνει όταν ο πελάτης το είχε ανάγκη. Η όποια ασφάλεια<br />
λήψης αποφάσεων του παρελθόντος πλέον δεν υπάρχει<br />
και η αγορά έχει ανάγκη από ανθρώπους με δεξιότητες<br />
που μπορούν να χειριστούν δύσκολες καταστάσεις και<br />
όχι την απλή καθημερινότητα, εκεί ξεχωρίζουν οι χαρισματικοί<br />
από τους λοιπούς. Δεδομένου ότι δεν υπάρχει<br />
καμία διοίκηση εταιρίας που να μην έχει ανάγκη από<br />
εμπειρία καθοδήγησης, ο ρόλος του Business Continuity<br />
Manager είναι πλέον ύψιστης σημασίας γιατί πρέπει<br />
πάντα να υπάρχει κάποιος ψηλά, που θα πάρει συμβουλέψει<br />
τη διοίκηση να πάρει αποφάσεις για να πορευτεί η<br />
εταιρεία σε στιγμές κρίσης ή και απλών απρόβλεπτων<br />
περιστατικών όπως διακοπές ρεύματος, απειλές βόμβας,<br />
σεισμού κ.λπ. Αν παρόλα αυτά ακόμη κάποιοι πιστεύουν<br />
ότι δεν υφίσταται ανάγκη γιατί δεν υπάρχουν περιστατικά<br />
ή συμβάντα που να μας ωθούν προς αυτή την κατεύθυνση,<br />
συνιστώ ανεπιφύλακτα μια ερώτηση στους<br />
τεχνικούς του <strong>IT</strong> Operations, στους φύλακες ασφαλείας,<br />
στους υπευθύνους Health & Safety, στο τμήμα σχέσεων<br />
με τα ΜΜΕ, και θα μάθετε την πραγματικότητα αναφορικά<br />
με θέματα που καθημερινά εμφανίζονται αλλά για<br />
διάφορους λόγους δεν αναφέρονται. <strong>IT</strong><strong>Security</strong><br />
security<br />
39
T<strong>43</strong>01/02.2016<br />
Issue<br />
Γιατί τα e-shop χρειάζονται ασφάλιση<br />
cyber insurance!<br />
Φθορές σε ιστοσελίδες και διαδικτυακά καταστήματα πώλησης προϊόντων (e-shop) προκαλούν<br />
επιτήδειοι, έναντι αμοιβής τους από ανταγωνιστές των εταιρειών που πλήττονται, καθώς<br />
αποκτούν πρόσβαση σε κωδικούς πιστωτικών καρτών τρίτων ατόμων και στοιχεία διαδικτυακών<br />
πληρωμών.<br />
€<br />
350.000 η ζημιά ελληνικού e-<br />
shop λόγω κυβερνοεπίθεσης. To<br />
δικό σας είναι ασφαλισμένο;<br />
Αρχικά η Δίωξη Ηλεκτρονικού Εγκλήματος<br />
διερευνούσε υπόθεση που αφορούσε<br />
σε διαδικτυακή επίθεση σε βάρος διαδικτυακού<br />
φαρμακείου, που διήρκησε πέραν του ενός χρόνου,<br />
με αποτέλεσμα να προκληθεί στην επιχείρηση συνολική<br />
ζημιά ύψους 350.000 ευρώ. Οι διαδικτυακές αυτές<br />
επιθέσεις σε βάρος του φαρμακείου ήταν τύπου μαζικής<br />
άρνησης παροχής υπηρεσιών (Distributed Denial<br />
of Service-DDoS) και ήταν ιδιαιτέρως σφοδρές, καθώς<br />
κατά καιρούς χρησιμοποιήθηκαν ηλεκτρονικοί υπολογιστές<br />
«φαντάσματα» που προκαλούσαν 70.000.000<br />
επισκέψεις ημερησίως στο εν λόγω ηλεκτρονικό κατάστημα,<br />
καθιστώντας το έτσι μη λειτουργικό. Η ανάλυση<br />
των ηλεκτρονικών ιχνών μέσω των οποίων έγιναν οι<br />
διαδικτυακές αυτές επιθέσεις συνεχίζεται, σε συνεργασία<br />
με τις εμπλεκόμενες χώρες του εξωτερικού, για τον<br />
εντοπισμό και την ταυτοποίηση προσώπων που ενεργούσαν<br />
οργανωμένα σε βάρος διαδικτυακών επιχειρήσεων,<br />
«εκτελώντας» συμβόλαια από ανταγωνίστριες<br />
εταιρείες, με σκοπό να αποκομίζουν αμοιβές για τους<br />
ψηφιακούς βανδαλισμούς που έκαναν. Εκτος από την<br />
περίπτωση άρνησης παροχής υπηρεσίας τα Εshops κινδυνεύουν<br />
με απώλεια δεδομένων των πελατών τους.<br />
Ας δούμε λίγο την διαδικασία αγοράς κατα την διάρκεια<br />
της οποίας ο πελάτης επιλέγει το προϊόν που θέλει<br />
να αγοράσει, συμπληρώνει προσωπικά του δεδομένα<br />
και χρησιμοποιεί πιστωτικές ή χρεωστικές κάρτες για<br />
την ολοκλήρωση της συναλλαγής. Τα δεδομένα αυτά<br />
αποτελούν στόχο κάθε κυβερνοεγκληματία γιατί μπορούν<br />
εύκολα να πουληθούν στην μαύρη αγορά. Εάν<br />
δεδομένα που χρησιμοποιούν οι πελάτες για την αγορά<br />
προϊόντων πέσουν στα χέρια κυβερνοεγκληματιών<br />
και χρησιμοποιηθούν παράνομα τότε ο επιχειρηματίας<br />
ιδιοκτήτης του e shop μπορεί να αντιμετωπίσει αγωγές<br />
αποζημίωσης από αυτούς και από τις συνεργαζόμενες<br />
εταιρίες διαχείρισης πιστωτικών και χρεωστικών καρτών.<br />
Για την αντιμετώπιση και διαχείριση περιστατικών<br />
παραβίασης συστημάτων, απώλειας δεδομένων και άρνησης<br />
παροχής υπηρεσίας απαιτούνται να καλυφθούν<br />
άμεσο και έμμεσο κόστος όπως: Άμεσο κόστος το οποίο<br />
περιλαμβάνει, επαγγελματικές αμοιβές εξειδικευμένων<br />
συμβούλων διαχείρισης περιστατικών παράβασης συστημάτων,<br />
πρόστιμα και έξοδα όπως:<br />
40 security
Νίκος Γεωργόπουλος, ΜΒΑ, CyRM.<br />
Cyber Risk Advisor , www.cyberinsurancegreece.com<br />
CROMAR Coverholder at LLOYD΄S<br />
• αμοιβές εξειδικευμένου δικηγόρου<br />
• υπηρεσίες ειδικών ψηφιακης εγκληματολογίας<br />
(forencic investigators)<br />
• υπηρεσίες δημοσίων σχέσεων και επικοινωνίας<br />
• υπηρεσίες τηλεφωνικού κέντρου<br />
• credit monitoring - παρακολούθηση συναλλαγών πιστωτικών<br />
καρτών των οποίων χάθηκαν τα δεδομένα<br />
• αντικατάστασης στοιχείων ενεργητικού όπως αντικατάσταση<br />
της πιστωτικής κάρτας του πελάτη ή αντικατάσταση<br />
υλικού hardware ή software κ.λπ.<br />
• για μη τήρηση της νομοθεσίας περί προσωπικών δεδομένων<br />
• έξοδα για την επίτευξη επιχειρησιακής συνέχειας<br />
Έμμεσο κόστος μπορεί να είναι ακόμα πιο σημαντικά<br />
πράγματα, συμπεριλαμβανομένων:<br />
• μείωση της φήμης της εταιρείας<br />
• την πτώση των εσόδων<br />
• χαμένων επιχειρηματικών ευκαιριών<br />
• απώλειας πελατών<br />
• απώλειας συνεργατών<br />
• αύξηση των αμοιβών των υπηρεσιών τρίτων παρόχων<br />
• κόστη εκπαίδευσης και ευαισθητοποίησης σε θέματα<br />
ασφάλειας πληροφοριών του ανθρώπινου δυναμικού<br />
της εταιρείας,<br />
• καθώς και πρόσθετα επαναλαμβανόμενα έξοδα για<br />
ελέγχους ασφάλειας.<br />
Δυστυχώς, πολλά από αυτά τα κόστη είναι απρογραμμάτιστα<br />
και μπορούν να έχουν αρνητική επίπτωση στην<br />
ρευστότητα και τις ταμειακές ροές μιας επιχείρησης.<br />
Σύμφωνα με τα στοιχεία της έρευνας “Global Corporate<br />
<strong>IT</strong> <strong>Security</strong> Risks 2014” έδειξαν ότι ο παγκόσμιος μέσος<br />
όρος του κόστους ενός περιστατικού ασφάλειας, για μία<br />
μικρομεσαία επιχείρηση, μπορεί να φτάσει τα $47.000.<br />
Στη Δυτική Ευρώπη, το ποσό αυτό διαμορφώνεται στα<br />
$55.000. Στο κόστος αυτό περιλαμβάνεται η απώλεια<br />
επιχειρηματικών ευκαιριών, η πρόσληψη εξωτερικού<br />
συνεργάτη Πληροφορικής για τη διόρθωση του προβλήματος<br />
και - ενδεχομένως - η αγορά νέου εξοπλισμού. Εν<br />
τω μεταξύ, σύμφωνα με εκπροσώπους εταιρειών απ’<br />
όλο τον κόσμο, το μέσο κόστος ενός περιστατικού ασφάλειας<br />
δεδομένων ήταν $720.000 για μια μεγάλη εταιρεία.<br />
Τα κόστη πάντως δεν είναι μόνο οικονομικά.<br />
• Το 57% των συμβάντων απώλειας δεδομένων είχε<br />
αρνητικό αντίκτυπο στη συνολική λειτουργία της<br />
επιχείρησης.<br />
• Επίσης, πάνω από τα μισά περιστατικά απώλειας δεδομένων<br />
(56%) έχουν αρνητικό αντίκτυπο στη φήμη<br />
και την αξιοπιστία μιας εταιρείας.<br />
• Όπως προκύπτει από την έρευνα, το 61% των ερωτηθέντων<br />
αντιμετώπισε προβλήματα με ιούς, worms,<br />
Trojans και άλλα είδη κακόβουλου λογισμικού.<br />
Τι προσφέρει η ασφάλιση<br />
Τα κύρια στοιχεία της ασφάλισης Cyber Insurance είναι:<br />
• Αστική Ευθύνη έναντι τρίτων οι οποίοι υπέστησαν<br />
ζημιά λόγω απώλειας των προσωπικών τους δεδομένων<br />
από την εταιρία στην οποία τα είχαν δώσει<br />
• Ανταπόκριση - Έξοδα και Υπηρεσίες διαχείρισης περιστατικών<br />
παραβίασης συστημάτων και απώλειας<br />
εμπιστευτικών πληροφοριών<br />
• Διακοπή Εργασιών - Κάλυψη για απώλεια εσόδων<br />
λόγω διακοπής της επιχειρηματικής δραστηριότητας<br />
από περιστατικά παραβίασης συστημάτων και<br />
απώλειας εμπιστευτικών πληροφοριών<br />
• Κυβερνοεκβιασμός - Κάλυψη για διαχείριση περιστατικών<br />
εκβιασμού από απειλές που μπορεί να βλάψουν<br />
ένα δίκτυο ή να οδηγήσουν σε διαρροή εμπιστευτικών<br />
πληροφοριών<br />
Λαμβάνοντας υπόψη τις συνθήκες της αγοράς η<br />
Cromar σχεδίασε την λύση Cyber Secure Solution η<br />
οποία υποστηρίζεται από την αγορά των Lloyds. Πιο<br />
συγκεκριμένα μέσω της λύσης Cyber Secure Solution<br />
διαθέτει στην ελληνική αγορά σε συνεργασία με τους<br />
Beazley μία από τις καλύτερες ασφαλιστικές λύσεις<br />
διαχείρισης περιστατικών απώλειας εμπιστευτικών<br />
πληροφοριών και προσωπικών δεδομένων παγκοσμίως<br />
το “Beazley Global Breach Solution”. Tο “Beazley<br />
Global Breach Solution” αποτελεί μια συνολική λύση<br />
αποτελεσματικής διαχείρισης των κινδύνων παραβίασης<br />
συστημάτων και απώλειας δεδομένων και επιτρέπει<br />
στις επιχειρήσεις να διαχειριστούν την αυξανόμενη<br />
ευθύνη τους λόγω της διαχείρισης μεγάλου όγκου δεδομένων<br />
των πελατών τους, καθώς και να μετριάσουν<br />
τον κίνδυνο να θιγεί η εταιρική φήμη από πιθανή παραβίαση<br />
συστημάτων και απώλειας των δεδομένων<br />
αυτών. Tο “Beazley Global Breach Solution” προσφέρει<br />
εκτός από τις χρηματικές αποζημιώσεις πρόσβαση<br />
στην Ομάδα Διαχείρισης Περιστατικών του η οποία<br />
έχει αντιμετωπίσει άνω των 3.000 περιστατικών παγκοσμίως<br />
και έχει βραβευθεί από την Advisen ως η<br />
καλύτερη ομάδα διαχείρισης για το 2014. <strong>IT</strong><strong>Security</strong><br />
security<br />
41