IT Professional Security - ΤΕΥΧΟΣ 43

www.itsecuritypro.gr 01/02.2016 • Τεύχος 43 • Τιμή 5€
Cyber Threat
Intelligence
Αναγνωρίζοντας και
αντιμετωπίζοντας
τις απειλές
• Η ανθεκτικότητα των
επιθέσεων «προκαλεί» τη
βιομηχανία λύσεων ασφάλειας
• Το μέλλον της ασφάλειας IT
• Threat Intelligence and beyond
with Security Analytics
• MOREAL - Threat Intelligence
& User Behavior Analysis
in Real Time

T4301/02.2016
Editorial
Ιχνηλατώντας την εξέλιξη των
απειλών
Πολλές εταιρείες και φορείς που δραστηριοποιούνται ευρύτερα
στο τομέα της ψηφιακής ασφάλειας, ανακοίνωσαν πρόσφατα
τα αποτελέσματα ερευνών που σχετίζονται με τις τάσεις που
κυριάρχησαν το 2015 αλλά και θα επικρατήσουν το επόμενο διάστημα.
Από τα αποτελέσματα αυτών των ερευνών, ξεχωρίσαμε μεταξύ
άλλων το γενικό συμπέρασμα της έκθεσης του ENISA ότι έχει
ενισχυθεί η συνεργασία μεταξύ εταιριών, φορέων και υπηρεσιών,
που ασχολούνται παγκοσμίως με το τομέα της ψηφιακής
ασφάλειας, κάτι που έχει επιφέρει θετικά αποτελέσματα στον
εντοπισμό και σύλληψη ατόμων με ενεργή δράση στο ηλεκτρονικό
έγκλημα και τις απάτες μέσω διαδικτύου. Η ίδια έρευνα
όμως, αναδεικνύει επίσης το γεγονός ότι οι επιτιθέμενοι αξιοποιούν
προηγμένα εργαλεία με μεγαλύτερη ισχύ και αποτελεσματικότητα.
Η Ετήσια Έκθεση Ασφαλείας της Cisco για το 2016 αποκαλύπτει
ότι μόλις το 45% των οργανισμών σε όλο τον κόσμο έχουν
εμπιστοσύνη στην τακτική τους σε θέματα ασφαλείας καθώς οι
«αντίπαλοι» εξαπολύουν πιο εξελιγμένες, τολμηρές και ισχυρές
επιθέσεις. Παράλληλα, οι ειδικοί της Symantec προβλέπουν ότι
το ΙoT (Internet of Things), χωρίς ενσωματωμένη ασφάλεια από
κατασκευής του, θα εξακολουθήσει να είναι ευάλωτο, καθιστώντας
το έτσι σε IoV (Internet of Vulnerabilities).
Επίσης πολύ πρόσφατα ερευνητές της ESET εντόπισαν 307 κακόβουλες
εφαρμογές τύπου Porn clicker στο Google Play μέσα
σε μόλις 7 μήνες ενώ οι κυβερνοεγκληματίες συνεχίζουν να
«ανεβάζουν» και άλλες παραλλαγές στην πλατφόρμα, που αποτελεί
το επίσημο app store για Android. Σύμφωνα με την τελευταία
έκδοση της έκθεσης Kaspersky Lab Security Bulletin, ο
όγκος των spam email το 2015 μειώθηκε, αγγίζοντας το 55,28%
του γενικού συνόλου των email. Η αξιοσημείωτη πτώση των
spam email μπορεί να αποδοθεί στην αυξανόμενη δημοτικότητα
νόμιμων πλατφορμών διαφήμισης στα μέσα κοινωνικής δικτύωσης,
στις υπηρεσίες προσφορών μέσω κουπονιών κ.ά. Τέλος,
η Arbor Networks Inc. δημοσιοποίησε την 11η Ετήσια παγκόσμια
έκθεση για την ασφάλεια υποδομών όπου μεταξύ άλλων
παρατηρεί μια αλλαγή του κινήτρου των επιθέσεων μιας και το
2015το κορυφαίο κίνητρο δεν ήταν ο ακτιβισμός ή ο βανδαλισμός
συστημάτων ηλεκτρονικών πληροφοριών αλλά η «επίδειξη των
ικανοτήτων των εγκληματιών», κάτι το οποίο σχετίζεται συνήθως
με τις προσπάθειες εκβιασμού στον κυβερνοχώρο.
Aπαντήσεις για το πώς θα διαχειριστούμε τις τάσεις των απειλών
για την ψηφιακή ασφάλεια και φέτος θα δοθούν στο 6 o Infocom
Security 2016 στις 6 και 7 Απριλίου.
Βλάσης Αμανατίδης
Εκδότης
Κώστας Νόστης
Σύμβουλος Έκδοσης
Νίκη Πανδή
Αρχισυντάκτης
Βλάσης Αμανατίδης
v.amanatidis@smartpress.gr
Συνεργάτες
Σήφης Ανδρουλιδάκης
Μίνα Ζούλοβιτς
Νότης Ηλιόπουλος
Αριστοτέλης Λυμπερόπουλος
Δημήτρης Παπίτσης
Αλέξανδρος Σουλαχάκης
Παναγιώτα Τσώνη
Διεύθυνση Διαφήμισης
Νίκος Σαράφογλου
n.sarafoglou@smartpress.gr
DTP
Παναγιώτης Βγενόπουλος
Λεωνίδας Πουλόπουλος
Διεύθυνση Events
Ανδρέας Καραντώνης
Διεύθυνση Marketing
Ειρήνη Νόστη
Υπεύθυνος Ηλεκτρονικών Μέσων
Φάνης Ζερβάκης
Υπεύθυνος Social Media
Σταύρος Ράπτης
Γραμματεία Εμπορικού
Έλλη Μαστρομανώλη
Φωτογράφος
Δήμητρα Κατερέλου
Λογιστήριο
Ανδρέας Λουλάκης
Consulting by
SPEG
τηλ.: 210 5238777,
www.speg.gr, info@speg.gr
Ιδιοκτήτης
Smart Press
Μάγερ 11, 10438, Αθήνα
Τηλ.: 210 5201500, 210 5230000,
Fax: 210 5241900
Τμήμα συνδρομών
support@securitymanager.gr
www.smartpress.gr
www.itsecuritypro.gr
www.securitymanager.gr
info@securitymanager.gr
support@securitymanager.gr
ΚΩΔΙΚΟΣ 01-8267
security
1

T4301/02.2016
Contents
10 12 40
1 | Editorial
4 | News
Interview
10 | Οι πιστοποιήσεις ασφάλειας
(ISC) 2 ως βασική απαίτηση
καταξίωσης
12 | Vector - Ελληνικό, Προσιτό και
Κορυφαίο Λογισμικό ασφάλειας
Report
14 | Οι NSS και Sophos
πρωτοπορούν... και κοιτάζουν
μόνο προς τα άστρα
Cover issue
16 | Cyber Threat Intelligence
Αναγνωρίζοντας και
αντιμετωπίζοντας τις απειλές
Issue
24 | Threat Intelligence and beyond
with Security Analytics
28 | Η ανθεκτικότητα των επιθέσεων
«προκαλεί» τη βιομηχανία
λύσεων ασφάλειας
30 | MOREAL - Threat Intelligence &
User Behavior Analysis in Real
Time
32 | Αρχιτεκτονική Ασφαλείας
Στρατηγική ή Μόδα;
34 | Το μέλλον της ασφάλειας IT
Η ομαδική εργασία αναδεικνύεται
38 | Accept the Challenge
Take Ownership
40 | Γιατί τα e-shop χρειάζονται
ασφάλιση cyber insurance!
Business IT
1 | Το διαρκώς εξελισσόμενο Cyber
Threat Landscape
Η ιστορία επαναλαμβάνεται…
4 | Η τεχνολογική καινοτομία στην
καρδιά της στρατηγικής της
Fortinet
2 security

DO MORE
WITH YOUR I.T.
SECURED BY ESET

T4301/02.2016
News
Συνεργασία Διανομής της ITWay Hellas με την Positive Technologies
Η ITWay Hellas ανακοίνωσε την επίσημη συνεργασία
διανομής με την Positive Technologies, ηγέτιδα εταιρία
σε λύσεις vulnerability assessment, compliance
management και threat analysis. Η Positive
Technologies αποτελεί κυρίαρχο κατασκευαστή σε λύσεις
εντοπισμού ευπαθειών, διαχείριση συμμόρφωσης
με τα παγκόσμια πρότυπα και ανάλυση απειλών
με περισσότερους από 1000 οργανισμούς παγκοσμίως
να υιοθετούν τις λύσεις της. Τα προϊόντα της Positive
Technologies μπορούν να ενσωματωθούν απρόσκοπτα
σε ολόκληρο τον οργανισμό προστατεύοντας τις
εφαρμογές υπό ανάπτυξη, εντοπίζοντας πιθανές ευπάθειες
στο εταιρικό δίκτυο και τις εφαρμογές, διασφαλίζοντας
τη συμμόρφωση με τις κανονιστικές απαιτήσεις
και αποτρέποντας επιθέσεις σε πραγματικό χρόνο.
Κύριος στόχος της Positive Technologies είναι να
εγείρει την επίγνωση του χρήστη σε θέματα ασφαλείας
εξασφαλίζοντας παράλληλα την έγκαιρη αντιμετώπιση
νέων κινδύνων. «Με τη νέα αυτή συνεργασία, ενδυναμώνουμε
το portfolio των προσφερόμενων λύσεων μας
σε Vulnerability management. Εισάγουμε παράλληλα
μερικά νέα στοιχεία τα οποία έχουμε διαπιστώσει ότι είναι
αναγκαία στην Ελληνική αγορά. Το πρώτο στοιχείο
αφορά την ασφάλεια των εφαρμογών - με την Positive
Technologies προσφέρουμε πλέον πολύ δυνατά εργαλεία
για Source Code Analysis των εφαρμογών. Ένα δεύτερο
στοιχείο είναι η εξειδικευμένη λύση στην αντιμετώπιση
απειλών που απευθύνονται σε Industrial Control
Systems (ICS) και συστήματα SCADA. Και ένα τρίτο πολύ
ενδιαφέρον στοιχείο της νέας αυτής συνεργασίας σχετίζεται
με τις λύσεις της Positive Technologies για την
ασφάλεια των τηλεπικοινωνιών, την ασφαλή μετάδοση
του σήματος», δήλωσε ο κος Ιωάννης Γκιώνης, Sales
& Marketing Manager της εταιρίας ITWAY Hellas. Για
περισσότερες πληροφορίες επισκεφτείτε το επίσημο site
της εταιρείας: www.ptsecurity.com.
Οι φορητές συσκευές είναι ο νέος βασικός στόχος των επιθέσεων spam και
κακόβουλου λογισμικού
Σύμφωνα με την τελευταία έκδοση της έκθεσης
Kaspersky Lab Security Bulletin, ο όγκος των spam
email το 2015 μειώθηκε, αγγίζοντας το 55,28% του γενικού
συνόλου των email. Συνολικά, σημειώθηκε μείωση
11,48% σε σύγκριση με την προηγούμενη χρονιά. Η αξιοσημείωτη
πτώση των spam email μπορεί να αποδοθεί
στην αυξανόμενη δημοτικότητα νόμιμων πλατφορμών
διαφήμισης στα μέσα κοινωνικής δικτύωσης, στις υπηρεσίες
προσφορών μέσω κουπονιών κ.ά. Μεταξύ άλλων,
η έκθεση της Kaspersky Lab για τα ανεπιθύμητα
email σημειώνει κάποιες σημαντικές τάσεις. Πάνω από
τα τρία τέταρτα (79%) του συνόλου των απεσταλμένων
email είχαν μέγεθος μικρότερο από 2kb, γεγονός που
δείχνει μία σταθερή μείωση στο μέγεθος των email που
χρησιμοποιούνται για εκστρατείες spam τα τελευταία
χρόνια. Οι χρηματοπιστωτικοί οργανισμοί (π.χ. τράπεζες,
συστήματα πληρωμών, ακόμη και online καταστήματα)
ήταν αυτοί που δέχτηκαν πιο συχνά επιθέσεις με
phising email (34,33% επί του συνόλου των επιθέσεων,
μια αύξηση της τάξης του 5,59%). Το 2015, οι ψηφιακοί
εγκληματίες συνέχισαν να στέλνουν ψεύτικα email από
φορητές συσκευές καθώς και ειδοποιήσεις από mobile
εφαρμογές, που περιλάμβαναν
κακόβουλο λογισμικό ή διαφημιστικά
μηνύματα. Ανάμεσα
στις νέες τακτικές των απατεώνων
ήταν η εξάπλωση κακόβουλου
λογισμικού με τη μορφή
.apk (εκτελέσιμα αρχεία για
συσκευές Android) και .jar (αρχεία
ZIP που περιέχουν προγράμματα
σε γλώσσα Java).
4 security

T4301/02.2016
News
Νέες σημαντικές συνεργασίες για την Orthology στον τομέα της ασφάλειας
Η Orthology σύναψε πρόσφατα νέες σημαντικές συνεργασίες
που της δίνουν την ευκαιρία να προσφέρει καινοτόμες
λύσεις στην Ελληνική αγορά στον τομέα της ασφάλειας,
με στόχο τον εντοπισμό των τρωτών σημείων, τη
μείωση κινδύνου και την διασφάλιση της συμμόρφωσης.
Συγκεκριμένα:
Η εταιρεία Thycotic Software αναπτύσσει έξυπνες, αξιόπιστες
λύσεις ασφαλείας που ενισχύουν και βοηθούν
τις επιχειρήσεις στον έλεγχο και την παρακολούθηση
των ευαίσθητων δεδομένων (π.χ. privileged account
credentials, web accounts).
Η εταιρεία Druva προσφέρει λύσεις για την ευκολότερη
διαχείριση πολλαπλών συστημάτων, μειώνοντας
σημαντικά τους ενδεχόμενους κινδύνους και το κόστος
κτήσης. Η Druva έχει βραβευτεί από την Gartner για
τοEnterprise Endpoint Backup Report.
Η εταιρεία Landesk περιλαμβάνει προϊόντα που καλύπτουν
τους τομείς του Unified Endpoint Management,
IT Service Management, Endpoint Security, IT Asset
Management. Βραβευμένη από την Gartner για τα Client
Management Tools για 8 συνεχή χρόνια, η Landesk
παραμένει ένας παγκόσμιος ηγέτης στις λύσεις ασφαλείας.
Η εταιρεία Tenable Network Security θεωρείται ηγέτης
στιςλύσεις συνεχούς παρακολούθησης του δικτύου
και διαχείρισης των ευπαθειών του. ΗTenable Network
Security έχει βραβευτεί από την Gartner για τις λύσεις
ασφαλείας που παρέχει.
Η ESET αναλύει τις ευπάθειες που παρουσιάστηκαν στα Windows το 2015
Η ESET δημοσίευσε πρόσφατα την ετήσια έκθεση
«Windows Exploitation in 2015». Στην έκθεση αυτή,
η ESET αναλύει τις κυριότερες ευπάθειες που εμφανίστηκαν
στα Microsoft Windows κατά τους τελευταίους
12 μήνες, τονίζοντας τα νέα χαρακτηριστικά
ασφάλειας που παρουσιάστηκαν στα Windows, στους
web browsers και στο σύστημα Enhanced Mitigation
Experience Toolkit της Microsoft. «Ο κύριος στόχος της
παρούσας έκθεσης είναι να ενημερώσει τους πελάτες
και τους χρήστες της ESET σε όλο τον κόσμο για τη σημασία
της εγκατάστασης των ενημερώσεων ώστε να
επιδιορθώνονται διάφορες «unpatched» ευπάθειες»,
δήλωσε ο Artem Baranov, Malware Researcher στην
ESET Russia. Συγκριτικά με τα αποτελέσματα του 2014,
ο αριθμός των «patched» ευπαθειών στα επιμέρους
στοιχεία των Microsoft Windows τετραπλασιάστηκε κατά
το 2015. Το στοιχείο με τα περισσότερα «patches»
παραμένει ο Internet Explorer και ακολουθούν τα User
Mode Components (UMC) των Windows. Οι αναγνώστες
της έκθεσης μπορούν να βρουν στατιστικά στοιχεία σχετικά
με τις σημαντικότερες ευπάθειες, συμπεριλαμβανομένης
της «Hacking Team», όπως και τις πιο κοινές
προσεγγίσεις που χρησιμοποιούνται, όπως τα drive-by
downloads, και οι επιθέσεις Local Privilege Escalation
(LPE) ή use-after-free (UAF). Η έκθεση επίσης προσφέρει
χρήσιμες πληροφορίες σχετικά με τις πιο πρόσφατες
τεχνικές μείωσης κινδύνου της Microsoft για το
Google Chrome και το Edge. Αναλυτικότερες πληροφορίες
υπάρχουν στο WeLiveSecurity.com. Η πλήρης
έκθεση «Windows Exploitation in 2015» είναι διαθέσιμη
στην ενότητα «White Paper» του WeLiveSecurity.com.
6 security

T4301/02.2016
News
Η ENCODE στο RSA
CONFERENCE 2016
H ENCODE συμμετείχε σαν Εκθέτης στο Διεθνές Συνέδριο
“RSA Conference” για την Ασφάλεια στον Κυβερνοχώρο
που πραγματοποιήθηκε στο Σαν Φρανσίσκο
στο χρονικό διάστημα 29 Φεβρουαρίου με 5 Μαρτίου
2016.
Καθώς η αναγκαιότητα και η σημαντικότητα του πεδίου
της ασφάλειας της πληροφορικής συνεχίζει να αυξάνεται
με ταχύτατους ρυθμούς, το Συνέδριο “RSA Conference”
διαδραματίζει εδώ και χρόνια καθοριστικό ρόλο στην
ενημέρωση και την μεταφορά γνώσης μεταξύ των επαγγελματιών
της ασφάλειας πληροφοριών και δεδομένων.
To Συνέδριο “RSA Conference” ξεκίνησε το 1991 ως φόρουμ
για κρυπτογράφους με σκοπό την συλλογή και κοινοποίηση
της πιο σύγχρονης γνώσης και την ενημέρωση
για όλες τις εξελίξεις στο χώρο της τεχνολογίας με αποτέλεσμα
να είναι σήμερα το κορυφαίο γεγονός στον τομέα
της ασφάλειας Διαδικτύου.
Τα στελέχη της ENCODE, βρίσκονταν εκεί εκπροσωπώντας
τη χώρα μας για άλλη μια φορά, σε ένα γεγονός
ορόσημο για την καινοτομία και την συνεχόμενη ανάπτυξη
της τεχνολογίας.

Adwind: Μια πλατφόρμα “Malwareas-a-Service”
που έπληξε πάνω από
400.000 χρήστες και οργανισμούς παγκοσμίως
Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της
Kaspersky Lab δημοσίευσε μια εκτενή έρευνα σχετικά
με το Εργαλείο Απομακρυσμένης Πρόσβασης (RAT)
Adwind, ένα πολυλειτουργικό κακόβουλο πρόγραμμα
που επηρεάζει πολλαπλές πλατφόρμες. Το πρόγραμμα
αυτό είναι επίσης γνωστό και ως AlienSpy, Frutas,
Unrecom, Sockrat, JSocket και jRat και διανέμεται μέσω
μίας πλατφόρμας “Malware-as-a-Service”. Σύμφωνα
με τα ευρήματα της έρευνας, η οποία πραγματοποιήθηκε
μεταξύ 2013 και 2016, διαφορετικές εκδόσεις του
κακόβουλου προγράμματος Adwind έχουν χρησιμοποιηθεί
σε επιθέσεις κατά τουλάχιστον 443.000 χρηστών,
επιχειρήσεων και μη εμπορικών οργανισμών ανά τον
κόσμο. Η πλατφόρμα και το κακόβουλο λογισμικό είναι
ακόμα ενεργά. Κατά τη διάρκεια της έρευνας, οι ειδικοί
της Kaspersky Lab κατάφεραν να αναλύσουν σχεδόν
200 παραδείγματα επιθέσεων spear-phishing, οι οποίες
οργανώθηκαν από άγνωστους εγκληματίες, με στόχο
την εξάπλωση του κακόβουλου λογισμικού Adwind. Ένα
από τα κύρια χαρακτηριστικά που διακρίνει το Adwind
RAT από άλλα «εμπορικά» κακόβουλα προγράμματα
είναι ότι διανέμεται ανοιχτά, με τη μορφή πληρωμένης
υπηρεσίας, όπου ο «πελάτης» πληρώνει ένα τέλος σε
αντάλλαγμα για τη χρήση του κακόβουλου προγράμματος.
Με βάση έρευνα της δραστηριότητας των χρηστών
στον εσωτερικό πίνακα μηνυμάτων και μερικές άλλες
παρατηρήσεις, οι ερευνητές της Kaspersky Lab εκτιμούν
ότι υπήρχαν περίπου 1.800 χρήστες στο σύστημα μέχρι
το τέλος του 2015. Αυτή είναι μία από τις μεγαλύτερες
πλατφόρμες κακόβουλου λογισμικού που έχουν καταγραφεί
μέχρι σήμερα.
security
9

T4301/02.2016
Interview
Οι πιστοποιήσεις ασφάλειας
(ISC) 2 ως βασική απαίτηση καταξίωσης
Οι προκλήσεις για τους επαγγελματίες στην ασφάλεια πληροφοριών καθώς και οι δράσεις που
αναπτύσσει το (ISC) 2 Hellenic Chapter αποτέλεσαν τα βασικά σημεία της συνέντευξης που μας
παραχώρησε ο Κώστας Παπαδάτος - Προέδρς του, (ISC) 2 Hellenic Chapter.
Πείτε μας λίγα λόγια για τον (ISC) 2 αλλά και τι ακριβώς
είναι το Global Information Security Workforce Study;
Έχοντας συσταθεί το 1989, ο (ISC)² είναι ο μεγαλύτερος
μη κερδοσκοπικός οργανισμός πιστοποιημένων επαγγελματιών
ασφάλειας πληροφοριών παγκοσμίως, με
πάνω από 110.000 μέλη σε περισσότερες από 160 χώρες.
O (ISC)² εκδίδει τη διεθνώς αναγνωρισμένη ως Gold
Standard, πιστοποίηση Certified Information Systems
Security Professional (CISSP®) μαζί με τις επιπρόσθετες
εξειδικεύσεις της. Επίσης παρέχει πολλαπλές πιστοποιήσεις
ασφάλειας όπως αυτές για Secure Software
Development (CSSLP®), για Cyber Forensics (CCFPSM),
για Cloud Security (CCSPSM) κλπ. Στα μέλη του (ISC)²
συμπεριλαμβάνεται η παγκόσμια ελίτ επαγγελματιών
cybersecurity, που έχει δεσμευθεί να ακολουθεί υψηλού
επιπέδου ηθικές αρχές και βέλτιστες πρακτικές. Ανάμεσα
στις πολλές δραστηριότητες του, ο (ISC)² διεξάγει
κάθε διετία, μέσω του ιδρύματος Foundation,σε συνεργασία
με τις Booz Allen Hamilton και Frost & Sullivan,
μια παγκόσμια έρευνα που έχει σφυγμομετρεί την τάση
του κλάδου, καταγράφοντας απόψεις των ίδιων των ειδικών
ασφάλειας (υπάρχουν περίπου 14.000 συμμετέχοντες
παγκοσμίως). Η έρευνα αυτή που ονομάζεται
Global Information Security Workforce Study -
GISWS διενεργήθηκε τελευταία φορά τον Απρίλιο του
2015 και εκτιμά ότι η παγκόσμια έλλειψη ειδικών ασφάλειας
θα ξεπεράσει το 1,5 εκατ. μέχρι το 2020 καθώς οι
σύγχρονοι οργανισμοί αντιμετωπίζουν πλέον μια συνεχώς
αυξανόμενη τάση στον αριθμό και στην επιτήδευση
των επιθέσεων.
Συνέντευξη με τον Κώστα Παπαδάτο
Πρόεδρος, (ISC) 2 Hellenic Chapter
MSc Infosec, CISSP-ISSMP, CISM, ISO27001 LA,
ISO 27005 RM, PMP, MBCI
Ποια είναι τα προσόντα που χρειάζεται να έχουν οι
εργαζόμενοι στον τομέα ασφάλειας πληροφοριακών
συστημάτων; Δεδομένου ότι τα εργαλεία είναι κοινά τι
κάνει τη διαφορά;
Όπως προανέφερα, η ζήτηση σε καταρτισμένους επαγγελματίες
ασφάλειας πληροφορικής είναι αυξημένη ακόμη
και σε χώρες που υπάρχει οικονομική ύφεση. Όμως,
ο σύγχρονος επαγγελματίας ασφάλειας πέραν από την
εις βάθος τεχνογνωσία στο συγκεκριμένο αντικείμενο,
πρέπει να διαθέτει επικοινωνιακές δεξιότητες, κριτική
σκέψη, κατανόηση των σύγχρονων επιχειρηματικών
απαιτήσεων, τεχνογνωσία σε πολλαπλούς τομείς της
πληροφορικής αλλά και ευρεία αντίληψη των σύγχρονων
απειλών. Πέρα από τα προαναφερθέντα προσόντα
και τη σχετική εμπειρία, απαιτούνται η αντικειμενική
επιβεβαίωση αυτών των δεξιοτήτων μέσω καταξιωμέ-
10 security

νων επαγγελματικών πιστοποιήσεων αλλά και η συνεχής
επαφή και ενημέρωση με εξειδικευμένες επαγγελματικές
ομάδες όπως είναι τα επαγγελματικά σωματεία
και φορείς. Από τα αποτελέσματα πολλών ερευνών που
εκπονούνται στον κλάδο, προκύπτει ότι οι πιστοποιήσεις
ασφάλειας με κύρος, όπως αυτές του (ISC) 2 , όχι μόνο
χαίρουν της απόλυτης εκτίμησης των υψηλά ιστάμενων
στελεχών, αλλά σε πολλές περιπτώσεις έχουν καθοριστεί
ως βασική απαίτηση για τη διεκδίκηση μιας σημαντικής
θέσης.
Πότε ιδρύθηκε το (ISC) 2 Hellenic Chapter και πώς θα
βοηθήσει η παρουσία του στην Ελλάδα;
Το ελληνικό Chapter πήρε την επίσημη άδεια ίδρυσης
από τον (ISC)² τον Ιούλιο του 2014, ενώ η επίσημη ίδρυση
της ελληνικής νομικής οντότητας (Μη-Κερδοσκοπικό
Σωματείο) ολοκληρώθηκε τον Ιούλιο του 2015. Το
(ISC)² Hellenic Chapter έχει ως στόχο να δημιουργήσει
ένα εθνικό δίκτυο επαγγελματιών ασφάλειας πληροφοριών
ώστε τα μέλη του να μοιράζονται τις γνώσεις τους,
να ανταλλάσσουν ιδέες αλλά και να συνεισφέρουν στην
τοπική κοινωνία. Η συμμετοχή των Ελλήνων επαγγελματιών
ασφάλειας στο (ISC) 2 Hellenic Chapter μπορεί να
τους προσφέρει μοναδικές ευκαιρίες για επαγγελματική
εξέλιξη καθώς συμπεριλαμβάνει οφέλη όπως δωρεάν
συμμετοχή σε όλες τις τακτικές εκδηλώσεις-ημερίδες
μας, υψηλές εκπτώσεις σε πιστοποιημένες εκπαιδεύσεις,
ειδικές εκπτώσεις σε προωθητικά και εκπαιδευτικά
προϊόντα, συμμετοχή σε παγκόσμιες δράσεις του (ISC) 2
όπως το Safe and Secure Online, η συγγραφή άρθρων
κ.λπ. Να τονίσουμε ότι, το (ISC) 2 Hellenic Chapter ήδη
ξεκινήσει να υιοθετεί πολλά διεθνώς καταξιωμένα προγράμματα
του (ISC) 2 , που στοχεύουν να συνεισφέρουν
στην τοπική κοινωνία, όπως το SafeandSecureOnline.
Συναντήσατε δυσκολίες κατά την προσπάθεια ίδρυσης
του Chapter στην Ελλάδα;
Η αρχική έγκριση από τον (ISC) 2 ολοκληρώθηκε σε σύντομο
χρονικό διάστημα. Όμως, αμέσως μετά διαπιστώσαμε
ότι η γραφειοκρατική διαδικασία ίδρυσης ενός μηκερδοσκοπικού
σωματείου στην Ελλάδα είναι μια αρκετά
επίπονη και χρονοβόρα διαδικασία. Πάραυτα, η μεγαλύτερη
πρόκληση ήρθε για εμάς όταν, στις αρχές του
περασμένου καλοκαιριού, πήραμε επιτέλους την πρώτη
επίσημη έγκριση από τις δημόσιες αρχές. Ενώ στην αρχή
υπήρξε μεγάλος ενθουσιασμός, σύντομα αντιληφθήκαμε
ότι λόγω του αυστηρού χρονικού πλαισίου που ορίζει
ο νόμος, θα ήμασταν αναγκασμένοι να διεξάγουμε την
πρώτη μας Γενική Συνέλευση και Εκλογές σε αρκετά
αντίξοες συνθήκες. Έπρεπε συνειδητά να προγραμματίσουμε
την εκδήλωση αυτή εν μέσω της διεξαγωγής
του δημοψηφίσματος, χωρίς να έχουμε τη δυνατότητα
να ανοίξουμε τραπεζικό λογαριασμό και με τους περιορισμούς
ανάληψης μετρητών λόγω capital controls.
Όταν εκδόθηκε η ανακοίνωση της ΓΣ, δε γνωρίζαμε αν
οι ενδιαφερόμενοι θα είχαν τη δυνατότητα να εξασφαλίσουν
τα απαιτούμενα μετρητά ώστε να πληρώσουν τη
συνδρομή τους κατά την διαδικασία εγγραφής μελών στο
σωματείο. Τελικά όχι μόνο η ΓΣ διεξαχθεί κανονικά, αλλά
διοργανώσαμε μια επιτυχημένη εκπαιδευτική εκδήλωση,
με πέντε χορηγούς και πέντε υποστηρικτές (τους
οποίους ευχαριστούμε όλους θερμά).
Ποιες θεωρείται ότι είναι οι σημαντικότερες επιτυχίες
σας στο σύντομο χρόνο ζωής του (ISC) 2 Hellenic
Chapter και τι βλέπετε για το μέλλον;
Το ότι τελικά καταφέραμε να ολοκληρώσουμε τη διαδικασία
σύστασης του μη-κερδοσκοπικού σωματείου κάτω
από τις αντίξοες συνθήκες που προανέφερα, μπορεί
να θεωρηθεί ως μια σημαντική επιτυχία. Εξίσου σημαντική
επιτυχία είναι ότι μέσα στους πρώτους έξι μήνες της
επίσημης λειτουργίας του σωματείου, αριθμούμε ήδη
περίπου 90 επίσημα μέλη. Όμως, θεωρώ ότι η πιο σημαντική
επιτυχία ήρθε τον περασμένο Δεκέμβρη καθώς
γίναμε εγκεκριμένος Official Training Provider (OTP) από
το (ISC) 2 . Αυτό σημαίνει ότι το chapter θα έχει σύντομα
εκπαιδευμένους και εγκεκριμένους από το (ISC) 2 εκπαιδευτές
ώστε να είναι σε θέση να διεξάγει στην Ελλάδα τις
επίσημες εκπαιδεύσεις του οργανισμού.
Η απόκτηση του συγκεκριμένου τίτλου είναι μια πολύ
σημαντική διάκριση και δεν ήταν καθόλου εύκολο
να επιτευχθεί. Αξίζει να τονίσω ότι το (ISC) 2 Hellenic
Chapterείναι μόλις το δεύτερο chapter σε όλη την περιοχή
της Ευρώπης - Μέσης Ανατολής - Αφρικής (EMEA)
που αποκτά αυτόν τον τίτλο Όσο αφορά στο μέλλον, εγώ
προσωπικά είμαι ιδιαίτερα αισιόδοξος. Καταρχάς μου
δίνει μεγάλη ελπίδα η ανταπόκριση των χορηγών και
υποστηρικτών. Για παράδειγμα, η εταιρεία δημοσίων
σχέσεων μας υποστηρίζει ένθερμα από τα πρώτα βήματα
μας μέχρι σήμερα. Όσο αφορά στα μέλη μας, θέλω
να πω ότι όλη η ομάδα του (ISC) 2 Hellenic Chapter αποτελείται
από καταξιωμένους επαγγελματίες του κλάδου
που θέλουν ανιδιοτελώς να προσφέρουν στην τοπική
κοινωνία. ITSecurity
security
11

T4301/02.2016
Interview
Vector - Ελληνικό, Προσιτό και
Κορυφαίο Λογισμικό ασφαλείας
Το ιστορικό, την τεχνολογική υλοποίηση και τον εμπορικό στόχο του Vector -του πρώτου
ελληνικού λογισμικού ασφαλείας- μας περιγράφει στη συνέντευξη που μας παραχώρησε ο
Νίκος Μαρκόπουλος.
Συνέντευξη με τον Νίκο Μαρκόπουλο
Ιδρυτής & CEO, Talos Software & IT
Κύριε Μαρκόπουλε, ας μπούμε κατευθείαν στο
κεντρικό θέμα της συνέντευξης μας. Τι είναι λοιπόν
το Vector που έκανε πρόσφατα την εμφάνιση του στην
Ελληνική αγορά από την Talos; Πως ξεκίνησε αυτή η
πρωτοβουλία;
Το 2007, ίδρυσα την ΤΑΛΩΣ, μία εταιρεία που πραγματοποιεί
μια αξιοσημείωτη πορεία με πολλές διακρίσεις και
βραβεύσεις στον χώρο της ασφάλειας του διαδικτύου.
Ασχολούμενος λοιπόν, με την ασφάλεια του διαδικτύου
ενεργά για περισσότερα από 10 χρόνια και έχοντας αποκτήσει
μια αρκούντως ικανοποιητική τεχνογνωσία στον
χώρο, άρχισα να ονειρεύομαι την ανάπτυξη αντιστοίχων
εφαρμογών εδώ στην Ελλάδα, απο Έλληνες για τους Έλληνες,
και όχι μόνο. Μετά το 2012 -μια χρονιά ορόσημο
για την αγορά και την εταιρεία μας- αποφάσισα ότι ήρθε
η ώρα να προσπαθήσω να κερδίσω αυτό το στοίχημα.
Έτσι, μετά από 6 μήνες, συνέστησα μια ομάδα επιστημόνων,
μαθηματικών, προγραμματιστών και τεχνικών
ασφάλειας δικτύου, ξεκινώντας το εγχείρημα μου με
απόλυτη μυστικότητα. Τον Οκτώβριο του 2015 μετά
από πολλές αναβολές λόγω των πολιτικών και οικονομικών
εξελίξεων, παρουσιάσαμε στην αγορά τα Vector
Antivirus, Internet Security & Total Security 2016.
Αντιστοίχως με τα προϊόντα του ανταγωνισμού οι τρείς
εκδόσεις καλύπτουν την βασική ασφάλεια με το αντιικό
(Antivirus), μια πολύ καλύτερη προστασία με συνδυασμό
αντιικού & τείχους προστασίας (Internet Security)
συν κάποια βοηθήματα όπως defragmentation, safe pay
system κτλ, και τέλος την ολοκληρωμένη προστασία και
διαχείριση των δεδομένων ενός Η/Υ (Total Security).
Θα είχε πολύ ενδιαφέρον να μας αναπτύξετε το
τεχνολογικό υπόβαθρό αυτών των λύσεων και ποια
πλεονεκτήματα προσφέρει στους χρήστες.
Μαζί με την ομάδα του Vector, αποφασίσαμε να συνεργαστούμε
με έναν πολύ γνωστό κατασκευαστή λύσεων
ψηφιακής ασφάλειας, χρησιμοποιώντας τη “μηχανή”
του και πάνω σε αυτή να παραμετροποιήσουμε όλο το
υπόλοιπο προϊόν. Το interface είναι απλό και κατανοητό,
ενώ με τη λειτουργία auto-pilot ακόμα και οι καθόλου
εξοικειωμένοι χρήστες μπορούν να καλύψουν τις ανάγκες
τους. Το προφίλ και τα settings του χρήστη στο My
Vector, υποστηρίζονται σε δικό μας cloud περιβάλλον,
12 security

ενώ τα definitions -που είναι και η ουσία ενός προϊόντος
προστασίας Η/Υ- ετοιμάζονται καθημερινά, εξυπηρετώντας
τα updates αυθημερόν στους χρήστες μας. Το λογισμικό,
το δίκτυο και οι ίδιοι οι servers εξυπηρέτησης
όλων των χρηστών, λειτουργούν και παρακολουθούνται
στην Ελλάδα.
Ποια είναι η εμπορική στόχευση του Vector και πως
σκοπεύετε να το κάνετε ευρύτερα γνωστό;
Ένα πρόβλημα γενικότερα στην ελληνική οικονομία, είναι
οι πολικές εισαγωγής προϊόντων αλλά και η αντιπαραγωγική
μας νοοτροπία. Από τη δεκαετία του 80 τα προβλήματα
είναι σχεδόν τα ίδια. Συγκεκριμένα, αγοράζουμε
ακριβά σαν εισαγωγείς και πουλάμε με όσο μικρότερο
περιθώριο γίνεται για να είμαστε ανταγωνιστικοί σε πάρα
πολλούς ενδιάμεσους. Με απλά λόγια, ένα 100% πρέπει
να μοιραστεί στον εκδότη, στον αντιπρόσωπο, στον διανομέα,
στον μικρό μεταπωλητή ή στην αλυσίδα καταστημάτων
και στον τελικό καταναλωτή. Δυστυχώς, αυτό το
μοντέλο εμπορίας ισχύει σχεδόν για όλους τους κλάδους
από την εισαγωγή κρεάτων… μέχρι και το λογισμικό! Με
μια απλή ματιά λοιπόν, καταλαβαίνει κάποιος γιατί οι τιμές
πολλών προϊόντων φτάνουν σε δυσθεώρητα επίπεδα
πλέον για την τσέπη του μέσου Έλληνα.
Ας μη γελιόμαστε, στην Ελλάδα του 2016 υπάρχουν οικογένειες
που δανείζονται για να καλύψουν τα βασικά
έξοδα του μήνα και το τελευταίο που θα σκεφτεί ο απλός
κόσμος είναι να δώσει 40, 50, 60 ευρώ για ένα antivirus.
Έτσι λοιπόν, η εμπορική στόχευση πίσω από την ιδέα του
Vector είναι πολύ απλή: ο εκδότης, ο αντιπρόσωπος
και ο διανομέας είναι ο ίδιος άνθρωπος, αφήνοντας
έτσι το περιθώριο τόσο στον μικρό μεταπωλητή όσο και
στον τελικό πελάτη να έχει την ευκαιρία να αποκτήσει
μια κορυφαία προστασία στον Η/Υ πολύ πιο οικονομική
από τις υπόλοιπες κορυφαίες. Γι’ αυτό το λόγο ανέφερα
ως κύριο μέλημα τους μικρούς μεταπωλητές. Αυτοί είναι
εκείνοι, οι οποίοι στηρίζουν κάθε brand στο IT και αυτοί
είναι οι αφανείς ήρωες πίσω από κάθε προϊόν του χώρου.
Το Vector λοιπόν ξεκινάει από 14,5 ευρώ και σκοπός
μας είναι να πάμε πολύ παρακάτω και αυτό είναι το
όραμα μου. Το Vector να είναι το πιο προσιτό από τα τοπ
5 προϊόντα της αγοράς στην Ελλάδα.
Θα θέλατε να μας εκμυστηρευτείτε κάποιες
μελλοντικές σκέψεις σας για την τεχνολογική και
εμπορική προοπτική του vector;
Το Vector είναι προσωπικό στοίχημα, είναι το απόσταγμα
της εμπειρίας μου στον χώρο του antivirus στην Ελλάδα
για το πως πρέπει να είναι ένα τέτοιο προϊόν, σε τι τιμή
και σε ποιό δίκτυο πώλησης. Τον Ιούνιο ξεκινάμε “from
scratch”, την ανάπτυξη του “Vector for SMB”, το οποίο θα
έχει 100% δική του μηχανή και θα είναι η εταιρική έκδοση
ενός πλήρους λογισμικού της ασφάλειας δικτύου.
Πρόκειται για ένα εντελώς καινοτόμο προϊόν το οποίο
θα δίνει βάρος εκεί που όλοι οι κατασκευαστές δεν δίνουν,
δηλαδή στις μικρές και μεσαίες επιχειρήσεις και
εννοούμε με τα ελληνικά δεδομένα και όχι με τα διεθνή
όπου SMB χαρακτηρίζονται οι εταιρείες με 50+ υπολογιστές.
Προσαρμοσμένο εξαρχής στα ελληνικά συστήματα
δικτύων, που χρησιμοποιούν αντίστοιχα ελληνικά λογισμικά
τιμολόγησης και διαχείρισης και θα είναι στημένο
ακόμα και στις πιο παλαιές εκδόσεις της Microsoft. Φυσικά
όλα αυτά στην ίδια κατεύθυνση τιμολογιακής πολιτικής,
ώστε να είναι το οικονομικότερο όλων.
Το όραμα είναι κοινό και για τα προϊόντα home όσο και
b2b: ελληνικό, προσιτό και κορυφαίο. ITSecurity
security
13

T4301/02.2016
Report
Οι NSS και Sophos πρωτοπορούν
…και κοιτάζουν μόνο προς τ’ άστρα
Σε μία πρωτοποριακή για τα Ελληνικά δεδομένα και συναρπαστική εκδήλωση που πραγματοποιήθηκε
στο Εθνικό Αστεροσκοπείο Αθηνών, που βρίσκεται σε μία εκπληκτική τοποθεσία στον
Λόφο Νυμφών στo Θησείο, οι NSS και Sophos μίλησαν και ανέδειξαν τις εκπληκτικές δυνατότητες
των νέων τεχνολογιών της κορυφαίας εταιρείας στον χώρο της ασφάλειας δικτύου και τερματικών
συσκευών σε επιλεγμένους μεταπωλητές / εταιρείες πληροφορικής στη χώρα μας.
Σ
την εκδήλωση, η Sophos εκπροσωπήθηκε
από το Διευθυντή Πωλήσεων
Βορειοανατολικής Ευρώπης Thomas
Thölke καθώς και από το Διευθυντή
Marketing Denis Brendelberger, ενώ
από την NSS παρευρέθηκαν οι Αντώνης Βεντούρης
(CTO), Γιώργος Καπανίρης (Business Development
Director) και Γιώργος Κουϊμιντζής (Commercial Director).
Το Εθνικό Αστεροσκοπείο Αθηνών (Ε.Α.Α.) είναι Δημόσιο
Ερευνητικό Κέντρο και ιδρύθηκε το 1842 με δωρεά
του Εθνικού ευεργέτη Γ. Σίνα. Οι επιστημονικές και
ερευνητικές του δραστηριότητες αφορούν το εσωτερικό
και το φλοιό της Γης, το ατμοσφαιρικό περιβάλλον, τον
εγγύς διαστημικό χώρο και το αστροφυσικό Σύμπαν. Σημαντική,
είναι η συνεισφορά του στην επιμόρφωση του
κοινού και τον τομέα της διάχυσης της επιστήμης μέσω
του Κέντρου Επισκεπτών Πεντέλης και Θησείου που περιλαμβάνει
το Μουσείο Γεωαστροφυσικής.
Οι δραστηριότητες του Κέντρου εξυπηρετούνται από τα
Ινστιτούτα Αστρονομίας, Αστροφυσικής, Διαστημικών
Εφαρμογών και Τηλεπισκόπησης, Ερευνών Περιβάλλοντος
και Βιώσιμης Ανάπτυξης και το Γεωδυναμικό
Ινστιτούτο.
Το Εθνικό Αστεροσκοπείο Αθηνών ήταν το καταλληλότερο
μέρος για την εκδήλωση και η επιλογή της τοποθεσίας
είχε συμβολικό χαρακτήρα. Όπως είναι γνωστό,
η Sophos με τα Project Galileo, Project Copernicus
και Project Kepler, πρωτοπορεί και θα συνεχίσει να
πρωτοπορεί στον χώρο της ασφάλειας, όπως πρωτοπόρησαν
και οι διάσημοι αστρονόμοι Γαλιλαίος Γαλιλέι,
Νικόλαος Κοπέρνικος και Γιοχάνες Κέπλερ, που τιμούν
με τις ονομασίες τους τις μοναδικές στον κόσμο τεχνολογίες
της Sophos. Έτσι, όπως οι Γαλιλαίος, Κοπέρνικος και
Κέπλερ βρίσκονταν μπροστά από την εποχή τους, έτσι
και η Sophos βρίσκεται μπροστά από την εποχή της, με
τεχνολογίες μοναδικές στον κλάδο της ασφάλειας.
14 security

Ο Γαλιλαίος Γαλιλέι, γνωστός ως Γαλιλαίος, ήταν φυσικός,
μαθηματικός, αστρονόμος και φιλόσοφος κα έπαιξε
σημαντικό ρόλο στην επιστημονική επανάσταση. Μεταξύ
άλλων με δικής του κατασκευής τηλεσκόπιο παρατήρησε
πρώτος τους κρατήρες, τα όρη και τις πεδιάδες στην
επιφάνεια της Σελήνης, αποκάλυψε την αστρική φύση
του Γαλαξία μας και απέδειξε την ισχύ της ηλιοκεντρικής
θεωρίας. Ο Νικόλαος Κοπέρνικος ήταν μαθηματικός
και αστρονόμος, και διατύπωσε το ηλιοκεντρικό μοντέλο
του σύμπαντος, τοποθετώντας τον Ήλιο και όχι τη Γη στο
κέντρο του ανοίγοντας τον δρόμο για επιστήμονες όπως
ο Γιοχάνες Κέπλερ, μαθηματικός και αστρονόμος που
είναι γνωστός και ως ο «Νομοθέτης του ουρανού» από
τους φερώνυμους Νόμους που αφορούν την κίνηση των
πλανητών γύρω από τον Ήλιο.
Στην εκδήλωση, είχαν την τιμητική τους το Sophos XG
Firewall καθώς και της ιδέας του Synchronized Security
που μέσω του Security Heartbeat προάγουν
την ιδέα της συγχρονισμένης ασφάλειας που αποτελεί
καινοτομία της Sophos σε παγκόσμιο επίπεδο.
Το Synchronized Security (Project Galileo) αντιπροσωπεύει
το όραμα της Sophos, που θέλει όλες τις τεχνολογίες
επόμενης γενιάς enduser, server και network να
εργάζονται παράλληλα, ως ένα ενοποιημένο, σύστημα
ασφαλείας με ενιαία διαχείριση από το Cloud. Η Συγχρονισμένη
Ασφάλεια (Synchronized Security) επιτέλους
έγινε πραγματικότητα με τα νέα προϊόντα της Sophos.
To Sophos XG Firewall (Project Copernicus) είναι η
νέα επαναστατική πλατφόρμα Firewall της Sophos, που
συμπεριλαμβάνει το ολοκαίνουριο λειτουργικό σύστημα
Sophos OS (SF-OS) όπου μέσω του Security Heartbeat
είναι το “the next-big thing” στην ασφάλεια επόμενης
γενιάς. Το Sophos XG Firewall προσφέρει κορυφαία
επιχειρησιακής κλάσης απόδοση, εκπληκτική ασφάλεια
και απόλυτο έλεγχο. Το XG Firewall περιλαμβάνει το Security
Heartbeat, μία μοναδική δυνατότητα, που κάνει
την εμφάνιση της για πρώτη φορά στην βιομηχανία και
συνδέει τα firewall και endpoint μαζί, με αποτέλεσμα να
τους δίνει την δυνατότητα να μοιράζονται νοημοσύνη
και να βελτιστοποιούν την προστασία ενάντια στις προηγμένες
απειλές.
Το Project Kepler, που βρίσκεται σε διαρκή ανάπτυξη
τον τελευταίο καιρό, αφορά την προστασία δεδομένων
/ κρυπτογραφία επόμενης γενιάς (next generation data
protection / encryption). Σύντομα θα μάθετε περισσότερες
λεπτομέρειες, αυτό ωστόσο που υπόσχεται η
Sophos, είναι ότι για ακόμη μία φορά, θα φέρει επανάσταση
στον χώρο.
Μετά την παρουσίαση των τεχνολογιών της Sophos, οι
παρευρισκόμενοι είχαν την ευκαιρία να μάθουν ιστορικά
στοιχεία καθώς και τεχνικές λεπτομέρειες για τον Μηχανισμό
των Αντικυθήρων, τον πρώτο αναλογικό υπολογιστή
στον κόσμο σε μία συναρπαστική παρουσίαση
από την κα Φιόρη-Αναστασία Μεταλληνού διδάκτωρ
Αστρονόμο του Πανεπιστημίου Αθηνών. Αργότερα, οι
παρευρισκόμενοι ξεναγήθηκαν στο Μουσείο του Εθνικού
Αστεροσκοπείου Αθηνών και παρατήρησαν στον
Αττικό ουρανό τον Αστερισμό του Ωρίωνα και άλλους
αστερισμούς με την βοήθεια του Τηλεσκόπιου Δωρίδη,
ένα από τα μεγαλύτερα τηλεσκόπια στην Ελλάδα.
Το Τηλεσκόπιο Δωρίδη ήταν το μεγαλύτερο τηλεσκόπιο
στον ελληνικό χώρο από το 1902 μέχρι το 1959. Βρίσκεται
σε ένα ειδικά διαμορφωμένο κτήριο με μεταλλικό
θόλο επάνω στο λόφο της Πνύκας στο Θησείο. Είναι
διοπτρικό τηλεσκόπιο με διπλό αχρωματικό φακό διαμέτρου
40 εκατοστών και εστιακή απόσταση 5 μέτρα.
Χρησιμοποιήθηκε εκτεταμένα για παρατηρήσεις πλανητών,
δορυφόρων πλανητών, κομητών, μεταβλητών
αστέρων, για αστρομετρία αλλά και για τη μελέτη του
Ήλιου. Σήμερα το τηλεσκόπιο αυτό, χρησιμοποιείται για
ξεναγήσεις, επιδείξεις, για παρατηρήσεις λαμπρών ουράνιων
αντικειμένων, για εκπαιδευτικές και επιμορφωτικές
δραστηριότητες που καλύπτουν ένα ευρύ φάσμα
του χώρου της Αστρονομίας, της Αστροφυσικής και του
Διαστήματος.
Οι εταιρείες NSS και Sophos, ευχαριστούν ιδιαιτέρως
όλους τους εκπροσώπους των εταιρειών για
την παρουσία τους στην εκδήλωση. ITSecurity
security
15

T4301/02.2016
Cover Issue
Cyber Threat Intelligence
Αναγνωρίζοντας και αντιμετωπίζοντας
τις απειλές
Οι πληροφορίες σήμερα προσλαμβάνουν συνεχώς ολοένα και μεγαλύτερη αξία, δίνοντας έτσι
κίνητρο στους επιτιθέμενους hackers να αναζητούν συνεχώς νέους τρόπους και μεθόδους ώστε
να τις αποκτήσουν και να τις εκμεταλλευτούν. Από την άλλη πλευρά, η συλλογή και ανάλυση
πληροφοριών με σκοπό την κατανόηση αυτών των κινδύνων, στα πλαίσια μεθόδων Cyber
Threat Intelligence, είναι ζωτικής σημασίας για τη λήψη και υλοποίηση σωστών αποφάσεων για
τη προστασία των κρίσιμων δεδομένων.
16 security

Πασσάς Σταμάτης
MSc, MBA, Υποψήφιος Διδάκτορας (PhD Candidate)
Παντείου Πανεπιστημίου
Μαϊμάρης Δημήτρης
Διπλ. Ηλεκτρολόγος Μηχανικός & Μηχανικός Υπολογιστών
(ΗΜΜΥ) Δημοκριτείου Πανεπιστημίου Θράκης (Δ.Π.Θ.)
Ρ
ίχνοντας μια μικρή ματιά στην εξέλιξη των
κυβερνοεπιθέσεων, μπορούμε να δούμε
πως η ανάπτυξη τους είναι ραγδαία, δημιουργώντας
ακόμα μεγαλύτερες επιπτώσεις
στα ψηφιακά συστήματα σε σύγκριση
με τα προηγούμενα χρόνια. Οι αυξημένοι πόροι (οικονομικοί,
υπολογιστικοί), τα νέα εργαλεία και οι σκοποί που
εξυπηρετούν τους hackers καθιστούν τις κυβερνοεπιθέσεις
αρκετά επικίνδυνες για οποιαδήποτε επιχείρηση.
Το φάσμα των κυβερνοαπειλών εξελίσσεται
Κυβερνοαπειλή, είναι η κακόβουλη προσπάθεια να δημιουργηθεί
ζημία ή πρόβλημα στη λειτουργία τόσο ενός
δικτύου όσο και ενός συστήματος. Η πληθώρα κυβερνοαπειλών
που υφίσταται, μπορεί να διακριθεί και να κατανοηθεί
αν αναλύσουμε τα τρία συστατικά από τα οποία
αυτές αποτελούνται. Αυτά είναι:
• Η πλευρά που εξαπολύει την κυβερνοεπίθεση. Σε αυτό
το σημείο έχουμε να κάνουμε πιθανά με χακτιβιστές (hacktivists),
με κυβερνήσεις, με εταιρικό espionage και κυβερνοεγκληματίες.
• Ο αντίκτυπος που έχει μία επίθεση. Αυτός προσδιορίζεται
από τον τρόπο με τον οποίο η επίθεση σχεδιάζεται και
υλοποιείται, αλλά και το στόχο που εκείνη έχει (εταιρικό δίκτυο,
εφαρμογές, βάσεις δεδομένων κ.ά.).
• Την ανοχή στον κίνδυνο (risk tolerance) που αποφασίζει
να έχει κάποια επιχείρηση, από τα κενά ασφαλείας που
προκύπτουν, είτε από τις υποδομές της είτε από υπαλλήλους
(δικούς της ή τρίτους που εργάζονται σε αυτή π.χ. εξωτερικούς
συνεργάτες).
Οι επιθέσεις εξαρτώνται από τους σκοπούς που θέλουν
οι επιτιθέμενοι να πετύχουν και μπορεί να είναι οικονομικοί
ή ιδεολογικοί λόγοι, η αμαύρωση της φήμης μιας
εταιρίας, αλλά και κυβερνοπόλεμος μεταξύ χωρών. Κυβερνοεπιθέσεις
με τη μορφή viruses, Trojan horses,
spyware και phishing και άλλα είδη malware είναι
καθημερινές ανά τον κόσμο και έχουν ως στόχο οι επιτιθέμενοι
να προσποριστούν οικονομικά οφέλη. Οι επιθέσεις
Denial of Service - DOS αποσκοπούν στη μείωση
της παραγωγικότητας μιας επιχείρησης και επιτυγχάνονται
με τη διακοπή της εύρυθμης λειτουργίας του
δικτύου της. Μία νέα μορφή όμως ψηφιακών επιθέσεων
που εξαπλώνεται όλο και περισσότερο στο κόσμο των
ψηφιακών εγκληματιών είναι οι επιθέσεις Advanced
Persistent Threats (APTs) που στοχεύουν να πλήξουν
μεγάλα χρηματοπιστωτικά ιδρύματα και κολοσσιαίους
οργανισμούς.
Σε πρόσφατη μελέτη το 2015, ο διεθνής οργανισμός
ISACA (βλ. Advanced Persistent Threat Awareness
Study Results) αποκάλυψε ότι οι APTs εξακολουθούν να
απολαμβάνουν τα φώτα της δημοσιότητας στον απόηχο
της επιτυχημένης χρήσης τους, με αρκετές παραβιάσεις
δεδομένων, προφίλ. Η τέταρτη σε μια σειρά από μελέτες
σχεδιασμένες για να αποκαλύψει την κατανόηση και τις
θέσεις των APTs, έδειξε θετικές τάσεις που σημειώθηκαν
συγκρινόμενες με την μελέτη που διεξήχθη το 2014
(74% των ερωτηθέντων πιστεύουν ότι θα είναι ένας από
τους επόμενους στόχους, 94% πιστεύουν ότι είναι τουλάχιστον
κάπως εξοικειωμένοι με τα APTs, 28% έχουν
υποστεί μια επίθεση, 67% πιστεύουν ότι είναι έτοιμοι να
ανταποκριθούν και να αντεπεξέλθουν των απειλών).
Η στατιστική λέει την αλήθεια
Σύμφωνα με στατιστικές συγκρίσεις, ο αντίκτυπος των
ψηφιακών επιθέσεων που έγιναν το τελευταίο τρίμηνο
του 2015 παρουσίασε αύξηση 15%. Σημαντικό στοιχείο
επίσης που τονίζει την σημασία που πρέπει να δοθεί στην
προστασία από αυτές τις επιθέσεις από τις επιχειρήσεις,
είναι πως σύμφωνα με προβλέψεις, το 2016 οι εγκληματίες
στοχεύουν -με αύξηση 40%- στην παραποίηση των
δεδομένων. Έτσι εστιάζουν στην ακεραιότητα (Integrity)
της πληροφορίας και όχι στη διαθεσιμότητα (Availability)
και την εμπιστευτικότητα (Confidentiality). Οι επιχειρήσεις
που θα έχουν περίοπτη θέση στο στόχαστρο
των ψηφιακών επιθέσεων αναμένεται να ανήκουν στους
ακόλουθους τομείς:
• Κυβερνήσεις
• Οικονομικοί οργανισμοί
• Τηλεπικοινωνιακός κλάδος
• Λιανικό Εμπόριο
• Ενεργειακές επιχειρήσεις
Σύμφωνα μάλιστα με τη Kaspersky Lab και την B2B
International μετά από έρευνα που πραγματοποίησαν
για το 2015, το 57% των στελεχών των επιχειρήσεων
πιστεύουν πως τα περιστατικά ψηφιακών επιθέσεων
που δέχθηκαν είχαν μεγάλο αντίκτυπο στην φήμη της
εταιρίας. Όπως γίνεται αντιληπτό σε μια νέα εποχή με
τις κυβερνοαπειλές να εξελίσσονται με ραγδαίους ρυθμούς,
τους hackers να είναι πλέον επαγγελματίες και τα
συστήματα προστασίας των εταιρικών δικτύων να παραβιάζονται
πολύ εύκολα, πρέπει να υιοθετηθούν νέες
μέθοδοι ενίσχυσης της ασφάλειας των συστημάτων. Η
επίγνωση των επικείμενων απειλών είναι το καλύτερο
security
17

T4301/02.2016
Cover Issue
χρησιμοποιηθούν για να παρθούν αποφάσεις σχετικές
με την αντίδραση μιας επιχείρησης σε ένα κίνδυνο ή μία
απειλή» Gartner.
μέτρο προστασίας. Γνωρίζοντας πιθανές απειλές υπάρχει
η δυνατότητα καλύτερης προετοιμασίας, η οποία οδηγεί
σε αποτελεσματικότερες μεθόδους προστασίας. Η νέα
τάση της αγοράς στην προστασία και στην αντιμετώπιση
κυβερνοαπειλών σε παγκόσμιο επίπεδο ονομάζεται
Cyber Threat Intelligence.
Cyber Threat Intelligence
Cyber Threat Intelligence - CTI, είναι εξελιγμένη μέθοδος
που δίνει τη δυνατότητα σε οργανισμούς να συλλέξουν,
να συγκεντρώσουν, να συσχετίσουν και να αναλύσουν
τόσο εξωτερικές όσο και εσωτερικές πληροφορίες και
δεδομένα με σκοπό να κατανοήσουν τους κινδύνους
που ελλοχεύουν και μπορούν να προσαρμόζονται στα
κενά ασφαλείας που έχει κάθε οργανισμός και τον κλάδο
που δραστηριοποιείται. Υπάρχουν πολλοί ορισμοί για
το τι είναι CIT, ο ποιο διαδεδομένος είναι:
«Threat Intelligence είναι μια γνώση βασισμένη σε
αποδεικτικά στοιχεία, που περιλαμβάνει ένα γενικό πλαίσιο,
μηχανισμούς, δείκτες, επιπτώσεις και δραστικές συμβουλές
για μία υπάρχουσα ή πιθανή απειλή ή για έναν
κίνδυνο των περιουσιακών στοιχείων που μπορούν να
Σκοπός αυτής της πρακτικής είναι να δοθεί η δυνατότητα
σε επιχειρήσεις να αντιμετωπίσουν τις επιθέσεις
που μπορούν να συμβούν στο μέλλον, να ανταποκριθούν
δραστικότερα και αποτελεσματικότερα σε περίπτωση
που δέχονται ήδη κάποια ψηφιακή εισβολή, ώστε
να αποτρέψουν την κλοπή των δεδομένων τους ή να
την περιορίσουν (στη μικρότερη δυνατή απώλεια). Επίσης,
γνωρίζοντας νέους τρόπους επίθεσης και τους στόχους
αυτών, ποια δεδομένα επιδίωκαν να αποκτήσουν οι
hackers, είναι σε θέση να δημιουργήσουν μηχανισμούς
που θα τους βοηθήσουν τις επιχειρήσεις να ανταποκριθούν
πιο άμεσα σε μελλοντικές απόπειρες παραβίασης
των συστημάτων τους. Η διαδικασία που χρησιμοποιείται
σήμερα στην αντιμετώπιση των κυβερνοαπειλών
αρχίζει να μην μπορεί να υποστηριχτεί. Τα τρία αυτά στάδια
είναι:
• Tactical Level (NOC, SOC): το πλήθος των alerts δυσκολεύει
τους αναλυτές να αναγνωρίσουν τον κίνδυνο.
• Operation Level (Incident Response, Security Forensics):
υπάρχει έλλειψη πληροφορίας / γνώσης, ώστε να αποσαφηνιστούν
οι απειλές και να αποτραπούν οι επιθέσεις.
• Strategic Level (CISO, IT Management): δεν υπάρχει η
απαιτούμενη πληροφορία / γνώση που οδηγεί στη λήψη
αποφάσεων για το προσωπικό και τον τρόπο “προτεραιοποίησης”
των στόχων.
Η νέα λοιπόν διαδικασία που αναπτύσσεται και ξεκινάει
να επιλέγεται έχει να κάνει με την πιθανότητα ενός
κινδύνου. Εξυπηρετεί τη δημιουργία μιας βάσης με τα
περιστατικά παραβίασης της ψηφιακής ασφαλείας που
έχουν συμβεί και το πώς αντιμετωπίστηκαν, την κατανόηση
των εσωτερικών δομών, τους πιθανούς στόχους
που μπορεί μια κυβερνοεπίθεση να πλήξει καθώς και τη
παρακολούθηση των κυβερνοαπειλών που συμβαίνουν
σε παγκόσμιο επίπεδο. Όλα αυτά γίνονται με ένα στόχο,
ο οργανισμός που χρησιμοποιεί το Cyber Threat Intelligence
να οργανώσει και να δημιουργήσει ένα πολύ ισχυρό
πλάνο για την άμυνα των υποδομών του.
Υλοποίηση - Οι πιο σημαντικές και θεμελιώδεις υπηρεσίες
που προσφέρει η χρήση του CTI είναι η συλλογή
δεδομένων σχετικά με τις κυβερνοαπειλές και η δυνατότητα
ζωντανής ενημέρωσης για αυτές τις απειλές μαζί με
τις αντίστοιχες αναφορές για κάθε μία από αυτές.
Threat Data Collection (Συλλογή Δεδομένων) - Η
18 security

Cyber Threat Intelligence
υπηρεσία αυτή έχει να κάνει με τη συλλογή και τη πρόσβαση
σε συνεχή και εμπεριστατωμένα δεδομένα σχετικά
με τις κυβερνοαπειλές που ενδιαφέρουν την εκάστοτε
επιχείρηση. Τα δεδομένα αυτά δεν είναι μόνο απλοί
τρόποι επίθεσης όπως αναφέρθηκε παραπάνω, αλλά
μπορούν να δώσουν πληροφορίες για επικίνδυνες ή μη
- απειλές από το στοιχεία ήδη επιτυχημένων εισβολών
ή και ακόμα επιθέσεων στηριζόμενες στο social engineering.
Γενικότερα η συλλογή των ηλεκτρονικών απειλών μπορεί
να διαχωριστεί σε τρεις κατηγορίες:
• Threat Indicators: Θέλουν ιδιαίτερη προσοχή στην επιλογή
τους, διότι αναπτύσσονται και πολλαπλασιάζονται σε καθημερινή
βάση και μπορούν να περιλαμβάνουν file hashes
(signatures) και πληροφορίες για domain names, IPs και
γενικότερα malwares. Βοηθούν στον αποκλεισμό πολλών
τεχνολογιών και χρησιμοποιούνται από τις υπόλοιπες υπηρεσίες
που προσφέρει το CTI.
• Threat Data feeds: Αποτελούν στατιστικά δεδομένα και
τάσεις που κυκλοφορούν αλλά και την ανάλυση των Threat
Indicators που προαναφέρθηκαν. Μπορούν να βρεθούν με
οποιονδήποτε τρόπο από τις συγκεκριμένες πηγές (βλ. παρακάτω).
Δίνουν την δυνατότητα στους αναλυτές των SOC
και Incident Response τμημάτων να διακρίνουν τα κοινά χαρακτηριστικά
μεταξύ των κυβερνοαπειλών.
• Strategic Cyber Threat Intelligence: Πρόκειται για τις
πληροφορίες που αφορούν τους hackers που στοχεύουν να
εισβάλουν στη δομή ενός οργανισμού, συνεπαρμένοι από τα
κίνητρα που έχουν. Η χρήση της γνώσης αυτής βοηθάει τους
managers να βελτιώσουν την ψηφιακή άμυνα των επιχειρήσεων
τους, να επενδύσουν κατάλληλα αλλά και τις ομάδες
Incidence Response και εγκληματολογικής ανάλυσης
(forensics) να πραγματοποιήσουν (δήθεν) επιθέσεις, ώστε
να υπάρχει η καλύτερη δυνατή πρόληψη.
Τα δεδομένα που συλλέγονται με τις παραπάνω μεθόδους
μπορούν να προκύψουν από διαφορετικούς τύπους
Threat Intelligence. Μπορεί να είναι Internal Threat
Intelligence (εσωτερικές δομές τις εταιρίας), External
Threat Intelligence (phishing details, botnets, locations
and networks with high alert, IP mapping, malicious
web sites), Community Threat Intelligence (καθημερινή
παρατήρηση exploits και κενών ασφαλείας, μοτίβα επιθέσεων
που συνέβησαν βοηθώντας την προστασία κάποιου
άλλου) και Contextual Threat Intelligence (εσωτερικοί
χρήστες υπό επιτήρηση, συσκευές που έχουν
δεχθεί επίθεση, συσχετισμός ιστορικών και στατιστικών
δεδομένων).
Σημαντικό συστατικό λοιπόν για το CTI είναι οι πηγές από
τις οποίες αντλούνται όλες αυτές οι πληροφορίες για τις
κυβερνοαπειλές που μπορεί να προέρχονται από μεγάλη
γκάμα πηγών. Σημαντικότερη πηγή από αυτές που αναφέρθηκαν
είναι η γνώση που προκύπτει από τη παγκόσμια
κοινότητα της ψηφιακής ασφάλειας. Άλλες πηγές
προκύπτουν από εταιρίες υπηρεσιών ασφάλειας ψηφιακών
συστημάτων, διασύνδεση ανάμεσα στις πλατφόρμες
Cyber Threat Intelligence και ανταλλαγή πληροφοριών,
επιχειρήσεις στο τομέα των Antivirus, πηγές open
source στο διαδίκτυο καθώς και -τελευταία αλλά εξίσου
σημαντική- από κυβερνητικές υπηρεσίες χωρών.
Alerting and Reporting (Ειδοποιήσεις & Αναφορές)
Στα πλαίσια αυτής της υπηρεσίας οι πλατφόρμες που
έχουν αναπτυχθεί, παρέχουν ζωντανές (on line) ειδοποιήσεις,
δίνουν συνεχώς νέες πληροφορίες που βοηθούν
τη συνεχόμενη προστασία των επιχειρήσεων από
διάφορους νέους κινδύνους. Μαζί με τις ειδοποιήσεις
αυτές, χορηγούν και εκτενείς αναφορές που μπορεί να
δίνονται σε καθημερινή ή εβδομαδιαία ή μηνιαία βάση
σχετικά με διάφορα malware, επικείμενες απειλές, υποκινητές
των επιθέσεων καθώς και των κινήτρων αυτών.
Μπορούν όχι μόνο να σταλούν στα αντίστοιχα τμήματα
ενός οργανισμού ανάλογα με το τμήμα που επηρεάζει η
έκβαση μιας κυβερνοαπειλής, αλλά και ο ίδιος ο οργανισμός
μπορεί να επιλέξει την ποσότητα των δεδομένων
που θέλει να λαμβάνει γνώση και την περιοδικότητα αυτών
των αναφορών. Τα εργαλεία είναι έτσι σχεδιασμένα
να δίνουν το καλύτερο δυνατό αποτέλεσμα στον χρήστη
τους όπως αυτός το επιθυμεί.
security
19

T4301/02.2016
Cover Issue
• timely - θα πρέπει δηλαδή να αναφέρει ένα συμβάν που είναι
σε εξέλιξη ή την δυνατότητα του να συμβεί μελλοντικά,
• accurate - να παρουσιάζει με ακρίβεια τις επικείμενες κυβερνοαπειλές
που παρουσιάζονται,
• actionable - να επιφέρει μια απόφαση, μία αντίδραση ή και
πληροφορία σε εξωτερικές πηγές να μην δράσουν,
• relevant - το περιεχόμενο και τα χαρακτηριστικά που δίδει
προφανώς θα πρέπει να έχουν σχέση με την επιχείρηση, τον
τομέα που βρίσκεται και καλύπτοντας στο μέτρο του δυνατού
τις «ανησυχίες» της ίδιας επιχείρησης.
Information vs Intelligence (Πληροφορία vs. Ευφυΐα)
Είναι σημαντικό να κατανοηθεί η διαφορά μεταξύ της
απλής πληροφορίας και του intelligence για να γίνει κατανοητό
πόσο σημαντική είναι η χρήση του CTI. Οι πληροφορίες
είναι ακατέργαστά και αφιλτράριστα δεδομένα
που δεν παρέχουν επιπλέον χαρακτηριστικά για μία
κυβερνοαπειλή σε αντίθεση με την έξυπνη πληροφορία
η οποία είναι επεξεργασμένη και φιλτραρισμένη περιέχοντας
πιο περιεκτικά χαρακτηριστικά που μπορούν να
βοηθήσουν τους αναλυτές. Πάνω σε αυτή τη διαφορά
έγκειται ακόμα μία, η πρώτη δεν αξιολογείται και απλά
λαμβάνεται υπόψη ενώ η δεύτερη αναλύεται και αξιολογείται
από ειδικούς αναλυτές. Επιπλέον, η μια συλλέγεται
από οποιαδήποτε πιθανή πηγή ενώ η άλλη συλλέγεται
μόνο από αξιόπιστες πηγές και στη συνέχεια εξετάζεται
πόσο ακριβής είναι βελτιώνοντας έτσι τη λειτουργία των
πλατφόρμων που παρέχουν CTI. Η απλή ανεπεξέργαστη
πληροφορία μπορεί να είναι αληθής ή ψευδής, σχετική ή
μη και να σε οδηγεί σε λάθος συμπεράσματα και ενέργειες,
Η νοημοσύνη που προστίθεται σε αυτή την πληροφορία
αποκλείει αυτές τις πιθανότητες και βελτιστοποιεί
τα αποτελέσματα προς όφελος των χρηστών
του CTI. Έτσι το «intelligence» (η ευφυΐα) σε σχέση με
την απλή πληροφορία δίνει περισσότερα χαρακτηριστικά
γνωρίσματα για μία κυβερνοαπειλή, παρέχοντας πληροφορίες
για την επικινδυνότητα, το στόχο που έχει, ακόμα
και την σύνδεσή της με τον κίνδυνο (την πιθανότητα
η απειλή να εκμεταλλευτεί μια ευπάθεια) και σαφέστατα
είναι σημαντικό/ή για τις επιχειρήσεις.
Για να μπορέσει όμως να χρησιμοποιηθεί στο μέγιστο
βαθμό και να είναι αποτελεσματικό θα πρέπει το «intelligence»
να είναι:
Πλεονεκτήματα
Με τη χρήση του Cyber Threat Intelligence ένας οργανισμός
μπορεί να προνοήσει και να αντιμετωπίσει ένα πιθανόν
συμβάν κυβερνοεπίθεσης σε βάρος του. Συνεχής
έλεγχος και αναφορές σχετικά με πιθανές κυβερνοαπειλές
μπορούν να βοηθήσουν στη μείωση του κόστους
σε ό,τι αφορά το κομμάτι της ασφάλειας των ψηφιακών
συστημάτων, αλλά και στον περιορισμό (αν αυτό είναι
εφικτό) των κινήτρων των hackers να επιλέξουν τον
οργανισμό για να εξαπολύσουν την επίθεση τους. Το πιο
σημαντικό όφελος όμως είναι η ενίσχυση της φήμης του
οργανισμού, κάνοντας τον περιζήτητο στην αγορά, αυξάνοντας
παράλληλα την ασφάλεια και την εμπιστοσύνη
τόσο στους πελάτες όσο και στους «stakeholders». Η
επίτευξη των προαναφερόμενων είναι εφικτή, διότι οι
εταιρίες θα γνωρίζουν την εσωτερική τους δομή και θα
είναι σε θέση να παρατηρήσουν μία αλλαγή στην συμπεριφορά
του περιβάλλοντος τους και θα ανταλλάσσουν
στοιχεία για κυβερνοαπειλές με την ευρύτερη κοινότητα.
Θα είναι έτσι καλύτερα προετοιμασμένες (οι εταιρίες) σε
επιθέσεις μεγαλύτερου μεγέθους / βεληνεκούς, καθώς
πιθανώς να υπάρχει μια υπογραφή που θα έχει ήδη αναγνωριστεί
και διαμοιραστεί. Μπορούν λοιπόν να ελαχιστοποιήσουν
τις ευπάθειες των συστημάτων, τις αδυναμίες
ή τις σχεδιαστικές ατέλειες τους, τις εφαρμογές ή τις
υποδομές που μπορούν να γίνουν αιτία για την παραβίαση
της ασφάλειας και της ακεραιότητας του συστήματος,
και να αντιμετωπίσουν τέτοιου είδος επιθέσεις.
Case studies
Για να γίνουν καλύτερα αντιληπτά τα πλεονεκτήματα που
παρέχει το CIT, μπορούμε να αναλύσουμε δύο περιπτώσεις,
στις οποίες το CIT θα μπορούσε να αποτρέψει μια
κυβερνοαπειλή.
Στις 23 Δεκεμβρίου το ηλεκτρικό δίκτυο της Ουκρανίας
δέχθηκε επίθεση με αποτέλεσμα να μη λειτουρ-
20 security

Cyber Threat Intelligence
γούν οι 30 από τους 135 υποσταθμούς που υπάρχουν. Το
συμβάν αυτό μάλιστα δεν ήταν μικρής σημασίας, γιατί η
πτώση του ρεύματος διήρκησε για τουλάχιστον έξι ώρες.
Σήμερα πολλοί αναλυτές και εταιρείες προσπαθούν να
αναλύσουν διεξοδικά αυτήν την επίθεση και να κατανοήσουν
τον τρόπο με τον οποίο αυτή επιτεύχθηκε. Μάλιστα
έχουν καταλήξει στο συμπέρασμα πως αυτή η κυβερνοεπίθεση
πραγματοποιήθηκε σε δύο μέρη. Στο πρώτο
στάδιο με τη βοήθεια ενός malware οι hackers κατάφεραν
να αποσυνδέσουν τους υπολογιστές που ήλεγχαν
τους υποσταθμούς που χτυπήθηκαν και στην συνέχεια
με τη χρήση ενός ιού (virus) έκαναν τους υπολογιστές
αυτούς να μην μπορούν να λειτουργήσουν.
Έχοντας ως δεδομένο τα ευρήματα αυτά και το γεγονός
πως το malware ήταν ήδη γνωστό στην κοινότητα
των ψηφιακών αναλυτών, το Cyber Threat Intelligence
θα μπορούσε να αποτρέψει τα καταστροφικά αποτελέσματα.
Εφόσον δηλαδή υπήρχαν αναφορές με αναλύσεις
του συγκεκριμένου malware στη βάση δεδομένων,
θα βοηθούσε το SIEM (Security Information and Event
Management) να εντοπίσει κατευθείαν τον κίνδυνο και
να στείλει ειδοποίηση (alert) στους ειδικούς για να αποτρέψουν
τον κίνδυνο. Η αναφορά αυτή θα μπορούσε να
περιέχει στοιχεία με τους στόχους που είχε επηρεάσει
στο παρελθόν, το σκοπό της χρήσης -ποιοι ήταν οι υποκινητές
δηλαδή αλλά και το πώς χτυπάει τους στόχουςποιες
ευπάθειες εκμεταλλεύεται. Εν τέλει, από τα στοιχεία
που συλλέχθηκαν, φαίνεται να υπάρχει πιθανότητα
πίσω από την επίθεση να κρύβεται κυβερνητικό espionage
μεταξύ της Ουκρανίας και της Ρωσίας.
Πέρυσι η Carbanak, μια κακόβουλη για τον τραπεζικό
τομέα συμμορία ανιχνεύθηκε, η οποία τροποποιούσε
επιλεκτικά έναν σχετικά μικρό αριθμό πολύ συγκεκριμένων
συναλλαγών. Αυτή η οργανωμένη ομάδα έκλεψε
από 300 εκατομμύρια έως ένα δισεκατομμύριο δολάρια
συνολικά σε πάνω από 100 τράπεζες, μεταβάλλοντας
μόνο λίγες συναλλαγές. Τέτοιες επιτυχίες ενισχύουν τη
συνέχιση των δραστηριοτήτων των εισβολέων.
Σε άλλη περίπτωση, έστω ότι έχουμε μια τράπεζα με μεγάλο
αριθμό προσωπικού και πελάτες υψηλής δημοτικότητας.
Επομένως θα έχει στην κατοχή της πληθώρα
προσωπικών πληροφοριών που πρέπει να προστατευτούν
με κάθε κόστος, ειδάλλως θα υποστεί ζημία η φήμη
της τράπεζας. Ας θεωρηθεί ότι η τράπεζα έχει επιλέξει
να χρησιμοποιεί ένα σύστημα SIEM και ένας υπάλληλος
της τράπεζας δέχεται επίθεση phishing μέσω ενός ψεύτικου
email. Την ανωμαλία αυτή την εντοπίζει το SIEM
και λαμβάνονται τα απαραίτητα μέτρα. Αποσυνδέεται ο
υπολογιστής από το δίκτυο, ελέγχεται, διορθώνεται και
επανέρχεται πάλι σε λειτουργία. Εδώ έρχεται το «intelligence»
και παίρνει /λαμβάνει αυτή την πληροφορία
και την αξιοποιεί. Γίνεται εκτενής έλεγχος της πηγής του
phishing από διάφορες βάσεις δεδομένων, ελέγχεται το
domain name, οι λίστες που έχουν τις πηγές phishing,
ελέγχεται με βάση την IP. Με τις πληροφορίες που συλλέχθηκαν
δημιουργείται το «intelligence». Συνδυάζοντας
τα στοιχεία καταλήγουμε στο ότι η επίθεση γίνεται
από μία κοινότητα που αποσκοπεί στο κέρδος, η επίθεση
δεν είναι ιδιαίτερα «τεχνική», δεν απαιτεί πολλή γνώση
και σκοπός ήταν το κέρδος και όχι η καταστροφή ή απόκτηση
δεδομένων. Εν συνεχεία μπορούν να προκύψουν
ορισμένες ενέργειες και αντίμετρα για το μέλλον, όπως
π.χ. να ανανεωθούν τα firewall, οι λίστες με μπλοκαρισμένες
IP, να γίνει έλεγχος στα logs με βάση αυτές τις IP
και domain names και πολλές ακόμα δράσεις πρόληψης
παρόμοιων επιθέσεων.
H αγορά σήμερα
Υπάρχουν αρκετές εταιρείες που προσφέρουν υπηρεσίες
Cyber Threat Intelligence στην αγορά που δίνουν πληροφορίες
από διαφορετικές πηγές για τις κυβερνοαπειλές
και παρέχουν αναλύσεις πάνω σε αυτές. Υπάρχουν
ορισμένες διαφοροποιήσεις σχετικά με το που στοχεύει
η καθεμία, άλλες ασχολούνται περισσότερο με το τεχνικό
κομμάτι - technical intelligence, άλλες με την παροχή
πληροφοριών για τις απειλές. Ο διαχωρισμός μπορεί
ακόμα να γίνει με βάση τις απειλές που ερευνούν, άλλες
εταιρείες δίνουν σημασία σε APT απειλές για παράδειγ-
security
21

T4301/02.2016
Cover Issue
μα και ασχολούνται με το εταιρικό ή κυβερνητικό espionage
και άλλες με απειλές που πραγματοποιούνται από
χακτιβιστές (hacktivists).
Συμπεράσματα - Μελλοντικές Προβλέψεις
Στην πρόσφατη σύσκεψη του Παγκόσμιου Οικονομικού
Φόρουμ (World Economic Forum), ειπώθηκε ευθαρσώς
ότι οι πληροφορίες και συγκεκριμένα τα δεδομένα
είναι το νέο πετρέλαιο της ψηφιακής οικονομίας.
Τα δεδομένα στον 21ο αιώνα, όπως το πετρέλαιο του
18ου αιώνα, είναι πολύτιμα στοιχεία και βρίσκονται στα
χέρια των ανθρώπων. Ο Joris Toonders της Yonego, σε
συνέντευξή του στο περιοδικό WIRED επιμένει σε αυτό,
τονίζοντας «όπως και στην περίπτωση του πετρελαίου,
για όσους καταλαβαίνουν την αξία των δεδομένων και
μάθουν να τα εξάγουν και να τα «χρησιμοποιούν» σωστά,
θα υπάρξουν τεράστιες ανταμοιβές. Είμαστε σε μια ψηφιακή
οικονομία, όπου τα δεδομένα είναι πιο πολύτιμα
από ποτέ. Είναι το κλειδί για την ομαλή λειτουργία των
πάντων από τις κυβερνήσεις έως τις τοπικές επιχειρήσεις.
Χωρίς αυτό, η πρόοδος θα σταματήσει».
Τα μηνύματα για το 2016 δεν είναι αρκετά αισιόδοξα, καθότι,
θα δούμε μια επέκταση των τεχνικών των επιτιθεμένων
(attackers’ techniques). Οι επιθέσεις που θα βλάπτουν
την ακεραιότητα των δεδομένων θα αυξηθούν.
Αυτές θα είναι πιο εξελιγμένες, καλά σχεδιασμένες και
εκτελέσιμες (π.χ. τροποποίηση αξιόπιστων επικοινωνιών,
ransomware βλ. Fleece). Οι εγκληματίες επωφελούνται
από τα σαφή πλεονεκτήματα των τεχνικών και θα συνεχίσουν
την δράση τους όσο πιο «λαίμαργα» μπορούν.
Είναι δύσκολο για τις εταιρίες επιθέσεις να προστατευτούν,
την ανιχνεύσουν τις απειλές και την αποκαταστήσουν
άμεσα τις «βλάβες». Η βιομηχανία της ασφάλειας
δεν έχει ακόμη προσαρμοστεί στις νέες προκλήσεις και
οι επιτιθέμενοι εκμεταλλεύονται την ευκαιρία. Όμως οι
εταιρίες μπορούν και πρέπει να λάβουν -στο μέτρο του
δυνατού- τα μέτρα τους και να μην αγνοήσουν την προβληματική
κατάσταση.
Χρειαζόμαστε λοιπόν ένα οικοσύστημα, όπου οι πληροφορίες
για τις απειλές στον κυβερνοχώρο θα μοιράζονται
αυτόματα σε όλες τις δομές των ΤΠΕ δημόσιου και
ιδιωτικού τομέα σε πραγματικό χρόνο. Έφτασε πλέον
η ώρα να διαχειριστούμε το συνεχώς αυξανόμενο σε
απειλές στον κυβερνοχώρο τοπίο (threat landscape)
με συγκεκριμένη στρατηγική. Ο Ευρωπαϊκός Οργανισμός
για την Ασφάλεια Δικτύων και Πληροφοριών
(ENISA) δημιουργήθηκε για να ενδυναμώσει τη δυνατότητα
της Ευρωπαϊκής Ένωσης, των Κρατών μελών
της Ε.Ε. και της επαγγελματικής κοινότητας να αποφεύγει,
να διευθύνει και να ανταποκρίνεται σε προβλήματα
που αφορούν την ασφάλεια των δικτύων και πληροφοριών.
Το 2014, ο ENISA εξέδωσε μια έκθεση για το τοπίο
των απειλών (Threat Landscape) για να ενημερώσει
όσο το δυνατόν περισσότερους για την κατάσταση στον
κυβερνοχώρο. Για να καταλάβει κάποιος την τάση στην
εποχή του Internet of Things (IoT) και την διάθεση για
ενημέρωση, πρόσφατα (01/2016) “βγήκε στο φως” μια
μελέτη με τίτλο «Cyber Security and Resilience of
Intelligent Public Transport. Good practices and
recommendations». Αυτή ουσιαστικά προτείνει μια
ρεαλιστική προσέγγιση που θα αναδείξει τα κρίσιμα περιουσιακά
στοιχεία των ευφυών συστημάτων δημόσιων
μεταφορών, δίδει μια γενική επισκόπηση των υφιστάμενων
μέτρων ασφάλειας (καλές πρακτικές) που θα
μπορούσαν να χρησιμοποιηθούν για την προστασία των
κρίσιμων στοιχείων και τη διασφάλιση της ασφάλειας του
συστήματος IPT, βασισμένη σε έρευνα και συνεντεύξεις
από ειδικούς του τομέα, δήμους, φορείς, κατασκευαστές
και διαφόρους “policy-makers”.
Κλείνοντας, ας χρησιμοποιήσουμε ένα απόσπασμα από
τον Γουόλτερ Λίλαντ Κρόνκαϊτ -παλαιό Αμερικανό δημοσιογράφο
του ραδιοφώνου και της τηλεόρασης που
μας προτρέπει στο να «δουλέψουμε» περισσότερο πάνω
στις θεματικές περιοχές της επίγνωσης (awareness), της
εκπαίδευσης (education/training) και εν τέλει ευφυΐας
(intelligence)- “Whatever the cost of our libraries, the
price is cheap compared to that of an ignorant nation”
(«Οποιοδήποτε και αν είναι το κόστος των βιβλιοθηκών
μας, η τιμή του είναι φθηνή συγκρινόμενη με εκείνη του
έθνους εν αγνοία»).
Τα συμπεράσματα δικά σας… ITSecurity
22 security

Σ
Ο
Ο
Σ
Υ
Ν
Ε
Δ
Ρ
Ι
Ι
Ρ
Δ
Ε
Ν
Υ
#ICS16
www.infocomsecurity.gr
twitter.com/InfoComWorld facebook.com/InfoComConferences instagram.com/infocomworld
youtube.com/InfoComWorld
SMART PRESS A.E.
Μάγερ 11, 10438, Αθήνα
Τ. 210.5201500, 210.5231555
F. 210.5241900
www.smartpress.gr
smart@smartpress.gr
Παρέχεται Βεβαίωση
Παρακολούθησης
Δωρεάν
Συμμετοχή

T4301/02.2016
Issue
Threat Intelligence and beyond with
Security Analytics
Παρόλη τη σημαντική προσφορά των Threat Feeds σε επιθέσεις που στοχεύουν έναν σημαντικό
αριθμό από χρήστες και οργανισμούς, δεν είναι αρκετά αποτελεσματικά κατά στοχευμένων
επιθέσεων.
Ποια απαίτηση οδήγησε στην πρακτική -
μεθοδολογία του Threat Intelligence;
Το Threat Intelligence δημιουργήθηκε για να ενισχύσει
τις δυνατότητες των μηχανισμών ανίχνευσης απειλών
ώστε να μπορούν να εντοπίσουν πιο αποτελεσματικά
γνωστές προηγμένες επιθέσεις.
Οι υπηρεσίες Τhreat Intelligence ή αλλιώς Threat
Feeds, όπως είναι ευρέως γνωστές, ενισχύουν την αμυντική
γραμμή ενός οργανισμού ως ένα επιπλέον εργαλείο
άμεσου εντοπισμού των “known-knowns”. Πρόκειται
για γνωστές απειλές οι οποίες, συνήθως, δεν είναι
στοχευμένες και έχουν αποτελέσει μέρος κάποιας άλλης
επιθετικής καμπάνιας. Ως εκ τούτου, τα Threat Feeds
βοηθούν άμεσα τις ομάδες αντιμετώπισης περιστατικών
ασφάλειας (Incident Response Teams) στην γρήγορη
αναγνώριση και αντιμετώπιση μιας γνωστής απειλής.
Παράλληλα όμως, βασίζοντας την άμυνα ενός οργανισμού
σε λύσεις οι οποίες βασίζονται μόνο ή κατά κύριο
λόγο σε Threat Feeds, συνεχίζουμε να ακολουθούμε το
μοντέλο ασφάλειας πληροφοριών που έχει καθιερωθεί
τα τελευταία 20 χρόνια. Με την εν λόγω τακτική, η αμυντική
στρατηγική ενός οργανισμού επαφίεται στον εντοπισμό
γνωστών απειλών-επιθέσεων, οι οποίες έχουν
εντοπισθεί προηγουμένως σε άλλους οργανισμούς ή
honeypots. Στην πραγματικότητα όμως, η προκειμένη
τακτική έχει αποτύχει σχεδόν σε ολοκληρωτικό
βαθμό να αντιμετωπίσει στοχευμένες κυβερνοεπιθέσεις
(cyber-attacks) αλλά ακόμα και κάποιες γνωστές,
ελαφρώς τροποποιημένες επιθέσεις. Με λίγα λόγια τα
Threat Feeds/Intelligence είτε με την μορφή κάποιας
λίστας που εμπεριέχει IP διευθύνσεις και Host είτε με
την μορφή IOCs (Indicators of Compromise) παραμένουν
να αποτελούν στατικές, “signatured based” τακτικές
άμυνας.
Η επιθετική στρατηγική από την άλλη πλευρά όμως δεν
είναι στατική. Πίσω από μία κυβερνοεπίθεση καλούμαστε
να αντιμετωπίσουμε ανθρώπους, οι οποίοι στα
πλαίσια της επίθεσής έχουν τη δυνατότητα να αντιληφθούν
γρήγορα αν έχουν αποτύχει ή αν έχουν
εντοπιστεί οι ενέργειές τους, οπότε και να τροποποιήσουν
αναλόγως τις μεθόδους τους, αλλά και να αλλάξουν
επιμέρους χαρακτηριστικά επόμενων επιθέσεων
για την αποφυγή εντοπισμού από Threat Feeds (π.χ. C2
IPs/Domain names, RAT/Malware fingerprints, Attack
tools fingerprints κλπ). Δεν πρέπει να ξεχνάμε στα πλαίσια
μιας στοχευμένης επίθεσης, ή αλλιώς ενός Advanced
24 security

Δημήτρης Δόριζας
Manager, MSS & Integration Services,
Encode
Persistent Threat (APT), τέτοιες μέθοδοι αποφυγής εντοπισμού
είναι συνηθισμένες και δεν έχουν ιδιαίτερο κόστος
για τον επιτιθέμενο.
Πως κινείται η αγορά σε σχέση με τη συγκεκριμένη
τάση;
Στην αγορά υπάρχουν πολλές υπηρεσίες που προσφέρουν
Threat Feeds/Intelligence είτε open source είτε
κατόπιν συνδρομής. Δυστυχώς όμως πολύ λίγα Τhreat
feeds μπορούν να προσφέρουν καλής ποιότητας δεδομένα
και σχεδόν καμία τέτοιου είδους υπηρεσία δεν είναι
κατάλληλη από μόνη της για τον έγκαιρο εντοπισμό
στοχευμένων επιθέσεων.
Πλέον σχεδόν όλες οι λύσεις ασφαλείας περιμέτρου
(π.χ. Firewalls, IDS, κ.λπ.) ενσωματώνουν threat feeds
με σκοπό να ενισχύσουν την έγκαιρη ανίχνευση κάποιας
γνωστής επίθεσης (π.χ. malicious IP host, malicious
downloaded executable κ.λπ.). Επιπλέον τα NG SIEMs
έχουν την δυνατότητα να λάβουν αυτοματοποιημένα
threat feeds τα οποία σε συνδυασμό με τα σχετικά logs
από άλλα συστήματα (π.χ. Antivirus logs, Firewalls Traffic
logs, Internet Access Logs κ.λπ.) οδηγούν στον εντοπισμό
πιθανών attacking nodes ή τερματικών που έχουν
προσβληθεί από κάποιο μολυσμένο λογισμικό.
Tο μεγαλύτερο κίνητρο για την αγορά και την ενσωμάτωση
κάποιου Threαt intelligence feed, είναι η δυνατότητα
που δίνεται στον οργανισμό να προετοιμασθεί για
ενδεχόμενες επιθέσεις και κυρίως να αξιολογήσει την
κρισιμότητα μιας επίθεσης που εντοπίστηκε, αναλύοντας
συγκεκριμένες τακτικές επίθεσης σε άλλους οργανισμούς.
Που και με ποιους τρόπους χρησιμοποιεί Threat
Intelligence/Feeds η Encode;
Τα Threat Feeds βοηθούν τους SOC Analysts της MSS
υπηρεσίας μας στην έγκαιρη ενημέρωση και κατ’ επέκταση
αντιμετώπιση περιστατικών ασφαλείας τα οποία
προέρχονται από επιθέσεις οι οποίες έχουν εντοπιστεί
σε οργανισμούς ανά τον κόσμο.
Ενσωματώνοντας τα Threat Feeds στο Correlation
Engine του Enorasys NG SIEM (powered by IBM
QRadar) δημιουργείται μία βασική γραμμή άμυνας
για συστήματα με αυξημένη επικινδυνότητα για άμεση
εξωτερική επίθεση. Επιπρόσθετα, τα threat intelligence
feeds αποτελούν βασικό εργαλείο για την αντιμετώπιση
επιθέσεων που στοχεύουν τους χρήστες (client side)
μέσω email. Βασικοί έλεγχοι του Correlation Engine είναι
τόσο η φήμη (reputation) του SMTP server που παραδίδει
το email όσο και του φαινομενικού αποστολέα
του email.
Tα Threat Intelligence Feeds αποτελούν εργαλείο του
Correlation Engine για να εντοπίζει επικοινωνίες με γνωστούς
Command and Control Servers, συμπεριφορά
που προσδίδει την ύπαρξη κακόβουλου λογισμικού σε
συγκεκριμένο μολυσμένο τερματικό. Με αυτό τον τρόπο
μπορεί να γίνει πιο άμεση η αντιμετώπιση του συγκεκριμένου
περιστατικού ασφαλείας πριν το κακόβουλο λογισμικό
μεταλλαχθεί σε μη ανιχνεύσιμο.
Παρόλη τη σημαντική προσφορά των Threat Feeds σε
επιθέσεις που στοχεύουν έναν σημαντικό αριθμό από
χρήστες και οργανισμούς, δεν είναι αρκετά αποτελεσματικά
κατά στοχευμένων επιθέσεων. Σημαντικοί παράγοντες
για την απόδοση ενός Feed για στοχευμένες
επιθέσεις είναι η αξιοπιστία τους, ο ρυθμός ανανέωσης
τους, το είδος τους αλλά και η ευκολία πρόσβασής τους
από το ευρύ κοινό.
H πλατφόρμα Enorasys NG SIEM (powered by IBM
QRadar) της Encode, ενσωματώνει μια σειρά από Threat
Intelligence Feeds ώστε να συμπεριλάβει γεωγραφικά
περιεχόμενα και βαθμό φήμης (reputation score) σε όλα
τα επίπεδα λειτουργίας του SIEM όπως το Correlation
Engine αλλά και στην απεικόνιση της πληροφορίας στους
Security Analysts. Ορισμένες από τις πηγές που χρησιμοποιούνται
είναι οι παρακάτω:
• Threat Intelligence: IBM X-force labs
(www.ibm.com/security/xforce/)
• Geographic: maxmind ( www.maxmind.com)
• Top Targeted Ports: D-Shield
(www.dshield.org)
• Botnets: Emerging threats. ( www.emergingthreats.
net/rules/emerging-botcc.rules)
• Bogon IPs: ( www.cymru.com/Documents/bogonbn-nonagg.txt)
Αξίζει να αναφέρουμε μια επιπλέον δυνατότητα που θα
προσφέρουμε σύντομα στους MSS πελάτες μας που έχει
ως στόχο την έγκαιρη αναγνώριση επικείμενων επιθέ-
security
25

T4301/02.2016
Issue
σεων. Πρόκειται για τη δημιουργία ενός δικτύου από
honeypots τα οποία θα είναι στρατηγικά διεσπαρμένα
και ομαδοποιημένα αναλόγως του είδους του οργανισμού
καθώς και της χώρας στην οποία δραστηριοποιούνται.
Τα honeypots είναι συστήματα τα οποία φαινομενικά
είναι ευάλωτα σε αρκετές επιθέσεις. Ο επιτιθέμενος προσπαθώντας
να επιτεθεί σε αυτά για να αποκτήσει πρόσβαση
θα δημιουργείται ένα Intelligence Feed το οποίο
περιλαμβάνει στοιχεία όπως, επικίνδυνους κόμβους
(hostile nodes) που ενδέχεται σύντομα να πραγματοποιήσουν
κάποια επίθεση, τον τύπο του οργανισμού που
στοχεύουν καθώς και τη μεθοδολογία που χρησιμοποιούν
για να αποκτήσουν πρόσβαση.
Επιπρόσθετα, το προϊόν μας Enorasys Security
Analytics, παρόλο που η βασική λειτουργία του δεν
εξαρτάται από τα Threat Feeds, τα χρησιμοποιεί σαν
εξωτερική πηγή δεδομένων για τον υπολογισμό του ρίσκου.
Με αυτόν τον τρόπο συνδυάζουμε και χρησιμοποιούμε
δεδομένα από την ανάλυση της συμπεριφοράς
χρηστών-συστημάτων, που είναι και η βασική λειτουργία
του Enorasys Security Analytics, με feeds από πολλαπλές
πηγές threat intelligence.
Πιο συγκεκριμένα κατά τον υπολογισμό του ρίσκου, χρησιμοποιώντας
αλγόριθμους τύπου regression analysis,
τα δεδομένα για κάθε κανάλι επικοινωνίας του χρήστη/
τερματικού συσχετίζονται με διάφορες εξωτερικές αλλά
και εσωτερικές πηγές threat intelligence και συμβάλουν
σαν μία επιπρόσθετη παράμετρο στον υπολογισμό της
τιμής του τελικού ρίσκου.
Όπως προαναφέρθηκε, το Enorasys Security Analytics
δεν βασίζεται στα Threat intelligence feeds.
Η προσέγγιση που ακολουθείται βασίζεται στην ανίχνευση
υπόπτων προτύπων επικοινωνίας σε συνδυασμό
με τον βαθμό παρέκκλισης από τη συνήθη ιστορική
συμπεριφορά του χρήστη/τερματικού. Τα στοιχεία που
συλλέγονται, αποθηκεύονται και αναλύονται, έχουν επι-
λεχθεί μετά από εκτεταμένη έρευνα των Threat Analyst
της Encode και είναι βασισμένα στην πολυετή εμπειρία
της εταιρίας σε στοχευμένες επιθέσεις. Η συγκεκριμένη
λύση μπορεί να διασυνδεθεί με οποιαδήποτε SIEM πλατφόρμα
και να συσχετίσει τις παραγόμενες ειδοποιήσεις
(alerts) του Enorasys Security Analytics με σχετικά logs
(π.χ. enpoint analysis) ώστε να εντοπίσει έγκαιρα και με
ακρίβεια μια εξελισσόμενη απειλή, γεγονός που προσδίδει
στην προσφερόμενη MSS υπηρεσία ένα τρομερό
ανταγωνιστικό πλεονέκτημα.
Μελλοντικές Προβλέψεις
Για να ενισχυθεί η ασφάλεια απέναντι σε πολύπλοκες
και στοχευμένες επιθέσεις θα πρέπει να αναπτυχθούν
μηχανισμοί που έχουν τη δυνατότητα να καταγράφουν,
να αναλύουν συμπεριφορές και να αποφασίζουν για την
ύπαρξη μιας απειλής-επίθεσης με βάση την διαφοροποίηση
από την κανονικότητα, αυτοματοποιώντας την
ανάλυση ενός έμπειρου αναλυτή ασφαλείας.
Είναι δεδομένο ότι αυτή η τάση στο μέλλον θα αυξήσει τις
signature-less λύσεις ανίχνευσης απειλών όπως είναι
το Enorasys Security Analytics και όπως σήμερα αναφέρονται
ως User and Entity Behavior Analytics (UEBA).
Αυτές οι λύσεις θα χρησιμοποιούν τα Threat Intel feeds
σαν ένα ακόμα βοηθητικό στοιχείο για τους αναλυτές
στην κατηγοριοποίηση συγκεκριμένων επιθέσεων αλλά
και στην ανάλυση καινούριων συμπεριφορών επίθεσης.
ITSecurity
26 security

T4301/02.2016
Issue
Η ανθεκτικότητα των επιθέσεων
«προκαλεί» τη βιομηχανία λύσεων
ασφάλειας
Η πρόσφατη Ετήσια Έκθεση Ασφάλειας (Annual Security Report) της Cisco για το 2016,
παρουσιάζει ένα δύσκολο τοπίο για τη διαδικτυακή ασφάλεια. Τα τμήματα ΙΤ «αγωνίζονται»
να συμβαδίσουν με την ψηφιοποίηση σε παγκόσμιο επίπεδο, προσπαθώντας ταυτόχρονα να
ενσωματώσουν λύσεις από δεκάδες προμηθευτές, να επιταχύνουν την ανίχνευση των απειλών
και να εκπαιδεύσουν τους οργανισμούς τους σε όλα τα επίπεδα.
Π
αράλληλα, οι επιτιθέμενοι αναβαθμίζονται
κάθε μέρα, γίνονται περισσότερο
τολμηροί, ευέλικτοι και ανθεκτικοί,
«στήνοντας» επαγγελματικές υποδομές
που μοιάζουν πολύ με αυτές που θα βρίσκαμε
σε νόμιμες επιχειρήσεις. Σε παγκόσμιο επίπεδο,
βλέπουμε διακυμάνσεις στη διαχείριση του Internet από
χώρα σε χώρα, γεγονός που δυσκολεύει τη συνεργασία
και την ικανότητα αντιμετώπισης των επιθέσεων.
Οι απειλές ασφάλειας και οι διαδικτυακές επιθέσεις δεν
είναι κάτι καινούργιο (η Cisco παρουσίασε την πρώτη
ASR έρευνα το 2007). Ενώ οι βασικές τάσεις παραμένουν
ουσιαστικά ίδιες, η συσσωρευμένη εμπειρία από
τις εκθέσεις, δείχνει πόσο γρήγορα οι επιτιθέμενοι με την
πολυτέλεια που τους δίνει η εργασία εκτός νομιμότητας,
καινοτομούν ώστε να αξιοποιήσουν νέα κενά ασφάλειας.
Η φετινή έρευνα αποκαλύπτει ότι οι επιτιθέμενοι χρησιμοποιούν
όλο και περισσότερο νόμιμους δικτυακούς
πόρους για να εξαπολύσουν τις επιθέσεις τους. Αν και οι
περισσότερες σχετικές ειδήσεις αναφέρονται συχνά σε
επιθέσεις όπου χρησιμοποιήθηκε σύγχρονη τεχνολογία,
οι χάκερ συνεχίζουν να αξιοποιούν απαρχαιωμένο λογισμικό
για να επωφεληθούν από αδύναμα σημεία, όπως
οι ελλιπώς ενημερωμένοι διακομιστές. Η «γηρασμένη»
υποδομή αφήνει εκτεθειμένα ανεκμετάλλευτα σημεία
προσβολής ενώ οι αντιφατικές πρακτικές ασφαλείας
εξακολουθούν να αποτελούν πρόκληση.
Άλλα βασικά συμπεράσματα της έρευνας περιλαμβάνουν
την αυξανόμενη τάση κρυπτογράφησης (ιδιαίτερα
HTTPS) στη διακίνηση internet δεδομένων, η οποία συχνά
παρέχει μια ψευδή αίσθηση ασφάλειας στους χρήστες
και τις εταιρείες, καλύπτοντας την ύποπτη δρα-
28 security

Νίκος Μουρτζίνος
Security Product Sales Specialist
της Cisco για Ελλάδα, Κύπρo, Μάλτα
Η εικόνα που βλέπουμε είναι ανησυχητική
Με δεδομένο αυτό το περιβάλλον, η ικανότητα αναγνώρισης
και ανταπόκρισης στις επιθέσεις και απειλές, σε
σχεδόν πραγματικό χρόνο, είναι τουλάχιστον επιτακτική
ανάγκη για μια επιχείριση. Δεν μπορούμε να συνεχίσουμε
να δημιουργούμε «τεχνικό χρέος», αφήνοντας
συστήματα χωρίς διορθωτικές ενημερώσεις, με κρίσιμες
εκτεθειμένες υπηρεσίες και εφαρμογές ευάλωτες
σε επιθέσεις. Πρόκειται για θέματα που μπορούμε
να ελέγξουμε και όμως τα στοιχεία δείχνουν ότι δεν τα
καταφέρνουμε. Αυτό σημαίνει ότι πρέπει να ισχυροποιήσουμε
τους πιο αδύναμους κρίκους, όπως το παλιάς
τεχνολογίας λογισμικό δικτύωσης, να προσεγγίσουμε
με προληπτική λογική τις αναβαθμίσεις των συστημάτων
και να αναλάβουμε τον έλεγχο των υποδομών. Σημαίνει,
επίσης, ότι πρέπει να εργαστούμε προς την κατεύθυνση
μιας ενιαίας πλατφόρμας επικοινωνίας, όπου
επιχειρήσεις, βιομηχανικοί κλάδοι και κυβερνήσεις, επικοινωνούν
και συνεργάζονται για να αποτρέψουν τις
επιθέσεις, υιοθετώντας μια ολοκληρωμένη προσέγγιση
έναντι των απειλών, που θα λειτουργεί σε σχεδόν πραγματικό
χρόνο προς όφελος όλων μας.
στηριότητα. Διαπιστώνουμε επίσης, αυξημένη χρήση
WordPress servers για την υποστήριξη ransomware
λογισμικού, τραπεζικής απάτης και επιθέσεων phishing.
Ιδιαίτερα μεταξύ Φεβρουαρίου-Οκτωβρίου 2015, ο
αριθμός των υποδομών WordPress που χρησιμοποιήθηκε
για κακόβουλες επιθέσεις αυξήθηκε περισσότερο
από 221%.
Η άποψη της Cisco για το τι μπορούμε να κάνουμε όλοι,
τώρα
Οι επικεφαλής των οργανισμών και εταιρειών πρέπει να
αναγνωρίσουν τη σημασία της ασφάλειας και να ηγηθούν
οι ίδιοι του στρατηγικού σχεδιασμού. Δεν είναι πλέον
αρμοδιότητα μόνο ενός υπευθύνου ασφάλειας (CISO)
ή ενός τμήματος πληροφορικής. Οι vendors που ενσωματώνουν
προϊόντα και υπηρεσίες πληροφορικής στις
προσφορές τους, πρέπει να προσφέρουν λύσεις που οι
πελάτες να μπορούν να εμπιστευτούν και οι οποίες να
έχουν σχεδιαστεί με γνώμονα την ασφάλεια. Πρέπει να
επιβραδύνουμε την εισαγωγή νέων ευπαθειών και αδύναμων
περιοχών στο δίκτυο. Η προσθήκη «ενός ακόμα
προμηθευτή» δεν μπορεί να συνεχίσει να αποτελεί την
απάντηση, στις προκλήσεις των θεμάτων ασφάλειας. Κάτι
τέτοιο απλώς αυξάνει την πολυπλοκότητα και αφήνει τις
εταιρείες πιο ευάλωτες σε επιθέσεις. Για να μειωθεί το
κόστος, να υπάρχει απόδοση των επενδύσεων, αποτελεσματικότητα
και ευελιξία, η στρατηγική για την ασφάλεια
πρέπει να ακολουθεί επιχειρηματικά κριτήρια, να υλοποιείται
με αρχιτεκτονικό σχεδιασμό και να είναι αποδεδειγμένα
αποτελεσματική. Η πλήρης έρευνα Cisco Annual
Security Report 2016, είναι διαθέσιμη στο
www.cisco.com/go/asr2016. ITSecurity
security
29

T4301/02.2016
Issue
MOREAL - Threat Intelligence & User
Behavior Analysis in Real Time
Καταπολεμήστε τη νέα γενιά απειλών του κυβερνοχώρου, συμπεριλαμβανόμενων των
εστιασμένων προηγμένων απειλών, των zero day malwares, του κυβερνοεγκλήματος και των
οποιοδήποτε αχαρτογράφητων απειλών με τις καινοτόμες λύσεις security-as-a-service της
Crypteia Networks.
α σύγχρονα δίκτυα αποτελούνται από
T
συσκευές διαφορετικών κατασκευαστών,
οι οποίες επιτρέπουν στους ΙΤ και
Information Security administrators να
πετυχαίνουν το υψηλότερο επίπεδο αξιοπιστίας
και απόδοσης των δικτύων τους. Όμως, τέτοια
ανομοιογενή περιβάλλοντα, που αποτελούνται από διαφορετικές
τεχνολογίες και από πλήθος κατασκευαστών,
δημιουργούν διαχειριστικά ζητήματα που πρέπει να επιλύονται
με ακρίβεια και αποτελεσματικότητα.
Σε αυτή την κατεύθυνση, η εγκατάσταση και συστηματική
χρήση συστημάτων διαχείρισης δικτύων (NMS) προβάλλει
μεν ως μια καλή εναλλακτική, αλλά ακριβή, λύση.
Παράλληλα, η συνεχής αύξηση της αξίας της πληροφορίας
οδηγεί τους οργανισμούς να λαμβάνουν υπ’όψιν τους
και να εισάγουν συστήματα διαχείρισης πληροφορίας και
γεγονότων ασφάλειας (SIEM) για να διασφαλίσουν την
έγκαιρη ανίχνευση και αντιμετώπιση πιθανών απειλών
και επιθέσεων.
Παρ’ όλα αυτά, η ορθή και αποτελεσματική χρήση συστημάτων
NMS και SIEM προϋποθέτει την ύπαρξη έμπειρου
και εκπαιδευμένου προσωπικού, με συνεχή αφοσίωση
στην κατανόηση και υιοθέτηση των εξελίξεων στο παγκόσμιο
τοπίο του CyberSecurity, ειδικότερα όταν οι υπό
προστασία υποδομές χρησιμοποιούνται για τη διαχείριση
και επικοινωνία ευαίσθητων και κρίσιμων δεδομένων.
Από τις λειτουργίες Monitoring, Reporting και Alerting
στο Threat Intelligence Management
Το MOREAL είναι μια cloud-based πλατφόρμα διαχείρισης
μεγάλου όγκου δεδομένων δικτύου και ασφάλειας.
Η πλατφόρμα έχει σχεδιαστεί για να προσφέρει
υψηλού επιπέδου επεκτασιμότητα και αξιοπιστία. Το
MOREAL προσφέρει στους IT και Information Security
administrators τη δυνατότητα να έχουν πρόσβαση σε
παρακολούθηση δεδομένων, reports και alerts σε πραγ-
Εικόνα 1: Το MOREAL με μια ματιά.
ματικό χρόνο, χωρίς την εγκατάσταση, διαχείριση και
χρήση ακριβών και πολύπλοκων λύσεων NMS και SIEM.
Αυτό επιτυγχάνεται μέσω του MOREAL και μιας Web
διεπαφής, σε ένα φιλικό προς τον χρήστη και πλήρως
ασφαλές περιβάλλον. Το MOREAL προσφέρει στους IT
και Information Security administrators τη δυνατότητα
να λαμβάνουν αποφάσεις, χωρίς την ανάγκη περίπλοκων
αναλύσεων, μέσω χειροκίνητων συσχετισμών και
γεγονότων, αφού ενστερνίζεται τεχνικές διαχείρισης μεγάλου
όγκου δεδομένων και επωφελείται από την επεξεργαστική
ισχύ και την υψηλή διαθεσιμότητα των cloud
computing τεχνολογιών. Σχεδιασμένο υπό μη διεισδυτική
οπτική, το MOREAL αναλύει δεδομένα σε βάθος,
από τις λύσεις περιμετρικής ασφάλειας του προστατευόμενου
δικτύου.
Πιο συγκεκριμένα, οι συσκευές των οποίων τα δεδομένα
αναλύονται και συσχετίζονται από το MOREAL είναι
30 security

Θεοχάρης Τσιγκρίτης, MEng, PhD
Head of R&D, MSDS, PCCW Global
routers, firewalls, UTMs, IPSs, DDoS κ.λπ., ενώ τα
υποστηριζόμενα πρωτόκολλα διαχείρισης δεδομένων
βασίζονται σε standards όπως τα syslog, SNMP και την
xFlow οικογένεια πρωτοκόλλων. Λόγω της σχετικά περιορισμένης
πληροφoριακής αξίας των δεδομένων που
έρχονται από το δικτυακό επίπεδο, το MOREAL εξελίσσεται
σε τρεις σημαντικούς άξονες για τον εμπλουτισμό
των πληροφοριών ασφάλειας, καθώς και για τη διορατικότητα
που παρέχει στους χρήστες του.
Κατά τον πρώτο άξονα εξέλιξής του, το MOREAL επεκτείνεται
ώστε να μπορεί να κατανοήσει, αναλύσει και
συσχετίσει πληροφορίες που προέρχονται από πιθανώς
ήδη υπάρχουσες λύσεις NMS και SIEM. Παράλληλα, το
MOREAL βελτιώνεται ώστε να συλλέγει, κανονικοποιεί
και να χρησιμοποιεί Threat Intelligence καταχωρήσεις,
ερχόμενες από ποικίλες Open Source πηγές ασφάλειας.
Βάση τέτοιου τύπου πληροφορίας, η πλατφόρμα παρέχει
στους χρήστες της ειδοποιήσεις, που σχετίζονται άμεσα
με το υπάρχον status του Threat Intelligence όπως εξελίσσεται
παγκοσμίως. Πιο συγκεκριμένα, μια πληθώρα
τέτοιου τύπου πηγών πληροφοριών περί απειλών, όπως
τα deep web, RSS, CERTs, twitter, open repositories,
κ.λπ., έχουν ληφθεί υπ΄όψιν.
Επιπλέον, η ερευνητική ομάδα της Crypteia Networks
σχεδιάζει αλγορίθμους ανάλυσης που μπορούν να συσχετίσουν
οποιουδήποτε τύπου δεδομένα για να παρέχουν
άμεση και έγκαιρη ανίχνευση όλων των δυνητικών
απειλών ή και να προβλέψουν patterns που δυνητικά θα
μπορούσαν να μετατραπούν σε παραβιάσεις ασφάλειας,
βάσει της κρισιμότητας των στοιχείων (assets) που λαμβάνονται
υπ όψιν στην ανάλυση και της υπολογισθείσας
πιθανότητας. Τα αποτελέσματα αυτών των μηχανισμών
ανάλυσης και πρόβλεψης χρησιμοποιούνται για την ενημέρωση
και τον εμπλουτισμό της ThreatDB, με πληροφορία
προερχόμενη από την ανάλυση και κατ’ επέκταση τη
διαχείριση συμβάντων ασφάλειας που γίνονται σε δίκτυα
που επιβλέπονται με τη χρήση του MOREAL.
Εικόνα 3: ThreatDB επισκόπηση.
Εικόνα 2: O δρόμος προς το Threat Intelligence.
Η Crypteia Networks είναι μια εξειδικευμένη εταιρεία
που παρέχει αναβαθμισμένες λύσεις ασφάλειας
πληροφοριών, με τη μορφή υπηρεσίας (Managed
Security Services). Στόχος της Crypteia Networks είναι
να «θωρακίσει» τις υποδομές της επιχείρησης από
δυνητικές ηλεκτρονικές απειλές που θα προέλθουν
από κενά ασφάλειας, επιθέσεις τρίτων μερών ή αμέλεια
κάποιου χρήστη. Οι υπηρεσίες της ελέγχονται και παρακολουθούνται
σε Real Time όλο το εικοσιτετράωρο
(24x7) από τους Security Engineers & Analysts του
Security Operations Center (SOC), ώστε να αντιμετωπισθούν
άμεσα τυχόν επιθέσεις, να δράσουν προληπτικά,
να εγκατασταθούν επείγουσες αναβαθμίσεις,
καθώς και να επιλυθούν άλλα προβλήματα ή παράξενες
συμπεριφορές σε επίπεδο δικτύου ή χρηστών, που
μπορεί να προκύψουν.
Η Crypteia Networks ανήκει στην Όμιλο της PCCW
Global, ο οποίος αποτελεί τον βραχίονα διεθνών δραστηριοτήτων
της Hong Kong Telecom (HKT), κορυφαίου
παρόχου τηλεπικοινωνιακών υπηρεσιών του Χονγκ
Κονγκ, η οποία ανήκει κατά πλειοψηφία στην PCCW
Limited. Καλύπτοντας περισσότερες από 3.000 πόλεις
και 130 χώρες, το δίκτυο της PCCW Global υποστηρίζει
ένα χαρτοφυλάκιο ολοκληρωμένων, λύσεων τηλεπικοινωνίας
για την παγκόσμια αγορά, συμπεριλαμβανομένων
λύσεων Ethernet, IP, μετάδοσης μέσω οπτικών
ινών και δορυφόρων, υπηρεσιών managed services και
σχετικών λύσεων, καθώς και διεθνών υπηρεσιών μετάδοσης
φωνής (voice) και VoIPX. ITSecurity
security
31

T4301/02.2016
Issue
Αρχιτεκτονική Ασφαλείας
Στρατηγική ή Μόδα;
Οι μηχανισμοί ασφαλείας πρέπει να καλύπτουν την εμπιστευτικότητα, την ακεραιότητα και την
απρόσκοπτη διαθεσιμότητα των πόρων και των πληροφοριών, ενώ πρέπει να καθιστούν τη
λειτουργία της υποδομής αξιόπιστη, ευέλικτη και ελεγχόμενη.
α συστήματα και οι τεχνολογίες επικοινωνιών
και πληροφορίας αποτελούν σήμε-
T
ρα έναν από τους πιο σημαντικούς παράγοντες
οικονομικής ανάπτυξης των επιχειρήσεων,
ενώ αδιαμφισβήτητα αποτελούν
απαραίτητα εργαλεία στην ομαλή λειτουργία τους.
Παράλληλα με την ανάπτυξη του κυβερνοχώρου, γίνεται
όλο και πιο ουσιαστική η ανάγκη ανάλυσης και αναπροσαρμογής
των ηλεκτρονικών συστημάτων, έτσι ώστε
οποιαδήποτε δραστηριότητα μέσω των τεχνολογιών
αυτών να είναι ασφαλής.
Η ασφάλεια των υποδομών αναφέρεται στη δυνατότητα
και την ανθεκτικότητα τους να αντιμετωπίσουν κινδύνους
και βλάβες που δυνατόν να προκληθούν στα
διάφορα δομοστοιχεία τους. Τα μέτρα ασφάλειας που
λαμβάνονται στοχεύουν κυρίως στην αύξηση της ετοιμότητας
και την ενίσχυση των δυνατοτήτων πρόληψης,
στον εντοπισμό και την αντίδραση σε ενδεχομένους κινδύνους,
τυχόν κακόβουλες ενέργειες ή και επιθέσεις,
καθώς και στη λήψη μέτρων για μετριασμό και αποκατάσταση
τυχόν βλαβών, δυσλειτουργιών και της διαθεσιμότητας
των παρεχομένων υπηρεσιών, συμπεριλαμβανομένων
και καταστάσεων έκτακτης ανάγκης ή κρίσης.
Το θέμα είναι όμως πως επιλέγουμε τους κατάλληλους
μηχανισμούς ασφαλείας πληροφοριών μίας
εταιρείας; Από μόδα ή μετά από μία ολιστική προσέγγιση
για την αντιμετώπιση των κινδύνων που την
απειλούν;
Η υιοθέτηση μιας στρατηγικής για την ασφάλεια πληροφοριών,
την αξιολόγηση των κινδύνων και την αποτελεσματική
υλοποίηση των βασικών αρχών της ασφάλειας
πληροφοριών, είναι η μόνη σωστή αντιμετώπιση. Η εταιρεία
netbull, πρωτοπόρος στον τομέα της ασφάλειας
πληροφοριών, έχει σχεδιάσει μία αρχιτεκτονική ασφαλείας,
την netbull 3D Security Architecture (nSA
3D) η οποία αντιμετωπίζει ολιστικά τους κινδύνους και
τις προκλήσεις ασφαλείας, εξασφαλίζοντας την αξιοπιστία
των πληροφοριών, κάτω από την ομπρέλα ενός
ασφαλούς περιβάλλοντος, σε συμμόρφωση πάντα με τις
εκάστοτε επιχειρηματικές ανάγκες. Τα κύρια σημεία της
αρχιτεκτονικής nSA 3D είναι:
• Προστασία των δεδομένων ανεξαρτήτως που επεξεργάζονται
ή είναι αποθηκευμένα.
• Ολοκλήρωση μεταξύ των τεχνολογιών ασφαλείας με σκοπό
μία ασπίδα προστασίας γύρω από τους πόρους και τις
πληροφορίες.
• Τρισδιάστατη προστασία: άνθρωποι, πολιτικές και διαδικασίες,
καθώς και τεχνολογίες ασφαλείας να λειτουργούν ως
ένας ενιαίος μηχανισμός προστασίας.
Δομικά στοιχεία της αρχιτεκτονικής αυτής αποτελούν τα
UTMs και Firewalls NG, Intrusion Prevention Systems,
Web Application Firewalls, Data Leak Prevention
Systems, Database Security Systems, Secure Web &
Mail Gateways, Endpoint Protection, Security Information
and Event Management Systems, Risk management &
Compliance Management Systems, Identity & Access
Management, Public Key Infrastructures (PKI) και
Secure Smartphones.
32 security

Νικήτας Κλαδάκης
Information Security Manager, NetBull
Σχήμα 1: Αρχιτεκτονική Ασφαλείας nSA 3D.
Τα ανωτέρω δομικά στοιχεία αποτελούν τον θεμελιώδη
λίθο στους ακόλουθους τομείς:
Περιμετρική Ασφάλεια - Σε κάθε επιχείρηση, η περίμετρος
θεωρείται το σύνολο των διεπαφών του δικτύου
με τον εξωτερικό κόσμο. Η περίμετρος είναι υπεύθυνη
για την εξωστρέφεια των επιχειρησιακών διαδικασιών
μίας επιχείρησης. Βάσει των παραπάνω, γίνεται εύκολα
κατανοητό ότι η περίμετρος αποτελεί τον πρώτο και κυριότερο
στόχο κακόβουλων επιθέσεων είτε αυτές αφορούν
σε επίθεση στην ιστοσελίδα ή στη εφαρμογή ηλεκτρονικών
συναλλαγών είτε σε κακόβουλες επιθέσεις
Άρνησης Εξυπηρέτησης (Denial of Service).
Ασφάλεια Εσωτερικού Δικτύου και Κέντρων Δεδομένων
- Ως εσωτερικό δίκτυο θεωρείται το πλήθος
της πληροφοριακής υποδομής που υποστηρίζει όλες τις
λειτουργίες μίας επιχείρησης Η εν λόγω υποδομή περιλαμβάνει
το σύνολο των εξυπηρετητών, το δικτυακό
εξοπλισμό, τις εφαρμογές και πλήθος άλλων πληροφοριακών
συστημάτων που υποστηρίζουν υπηρεσίες της
επιχείρησης. Το εσωτερικό δίκτυο των οργανισμών είναι
ευάλωτο σε κινδύνους τόσο από εξωτερικούς όσο και
από εσωτερικούς παράγοντες. Οι εξωτερικοί κίνδυνοι
μπορεί να αφορούν σε επιθέσεις που επιτυχώς έχουν διαπεράσει
τους μηχανισμούς ασφάλειας της περιμέτρου
είτε σε μολύνσεις ιομορφικού υλικού και άλλου επικίνδυνου
κώδικα (TrojanViruses, Malware κ.ά.).
Ασφάλεια Τελικών Συσκευών - Μέχρι και σχετικά
πρόσφατα ένα αντιικό (antivirus) σύστημα ήταν αρκετό
για να καλύψει τις ανάγκες προστασίας των τελικών
χρηστών από επιθέσεις στις τερματικές τους συσκευές.
Πλέον το τοπίο έχει αλλάξει μιας και οι τελικές συσκευές
πλην του κοινού αντιικού μηχανισμού απαιτούν επιπλέον
μηχανισμούς προστασίας αφού οι κίνδυνοι / απειλές
έχουν αλλάξει μορφή και τρόπο μετάδοσης.
Πλέον τα απλά αντιικά προγράμματα δεν έχουν
την «ευφυΐα» να προστατέψουν τους χρήστες από
“TrojanHorses”, “Botnets” και άλλους έξυπνους ιούς με
αποτέλεσμα τα κρούσματα μολύνσεων να αυξάνονται
δραματικά. Επιπλέον, οι μολύνσεις αυτές δεν εντοπίζονται
πάντα από τα διαχειριστικά συστήματα με αποτέλεσμα
να μολύνονται και γειτονικά συστήματα και στο τέλος,
το σύνολο της υποδομής μίας επιχείρησης.
Ασφάλεια Κινητής Υπολογιστικής - Όλο και περισσότερο
παρουσιάζεται η ανάγκη για την πρόσβαση απομακρυσμένων
χρηστών σε εσωτερικούς πόρους μίας
πιχείρησης. Οι χρήστες αυτοί μπορεί να είναι διαχειριστές,
απλοί χρήστες ή και συνεργάτες της επιχείρησης.
Από την άλλη, το πλήθος και η ποικιλία των συσκευών
που χρησιμοποιούνται για να συνδέονται στην υποδομή
είναι όλο και μεγαλύτερο: από κινητά τηλέφωνα/
smartphones, laptops, tablets έως και InternetCafe ή
InternetBrowser.
Ασφάλεια Ηλεκτρονικών Συναλλαγών - Οι υπηρεσίες
ηλεκτρονικής συναλλαγής αποτελούν βασική
δραστηριότητα κάθε ηλεκτρονικής επιχείρησης μιας και
προσφέρουν ευελιξία και ευκολία στις συναλλαγές των
πελατών. Ως υπηρεσία οφείλει να λειτουργεί σε 24ώρη
βάση, να είναι αξιόπιστη και εύκολη στην πλοήγηση για
όλους τους χρήστες.
Οι ευπάθειες που κρύβουν τα συστήματα ηλεκτρονικών
υπηρεσιών αφορούν κενά ασφάλειας στο σχεδιασμό
του συστήματος ηλεκτρονικών συναλλαγών. Τέτοια
προβλήματα σχεδιασμού μπορεί να αφορούν στη δικτυακή
υποδομή και τοπολογία, στους εξυπηρετητές που
φιλοξενούν την εφαρμογή, ευπάθειες της εφαρμογής ή
τέλος βασικά ζητήματα αυθεντικοποίησης χρηστών και
αποθήκευσης των σχετικών δεδομένων.
Ασφάλεια Νέφους - Η εκτεταμένη χρήση της εικονικοποίησης
στην υλοποίηση των υποδομών cloud φέρνει
νέους κινδύνους για τους πελάτες των υπηρεσιών
cloud. Η τεχνολογία εικονικοποίησης μεταβάλλει
τη σχέση μεταξύ του λειτουργικού συστήματος και του
υλικού εξοπλισμού - υπολογιστών, δίκτυο, αποθηκευτικής
υποδομής. Η εικονικοποίηση εισάγει ένα πρόσθετο
επίπεδο κινδύνου, και πρέπει να ρυθμιστεί με ασφάλεια.
Στους νέους κινδύνους περιλαμβάνεται και η δυνατότητα
να τεθεί σε κίνδυνο το λογισμικό της εικονικοποίησης.
ITSecurity
security
33

T4301/02.2016
Issue
Το μέλλον της ασφάλειας IT
Η ομαδική εργασία αναδεικνύεται
Πολλές σημερινές πρακτικές ασφαλείας πάσχουν από μια αντιδραστική και αποσπασματική
προσέγγιση χωρίς συγχρονισμό. Αυτό που απαιτείται είναι ολιστικές λύσεις που ενσωματώνουν
ένα ευρύτερο σύνολο τεχνολογιών για την ασφάλεια.
ίναι σχεδόν βέβαιο, ότι σύντομα οι σημερινές
επιχειρήσεις θα αντιμετωπίσουν
E
προκλήσεις άνευ προηγουμένου στην
ασφάλεια. Τα αποδεικτικά στοιχεία μάλιστα
είναι ήδη συναρπαστικά, αφού οι
κυβερνο-επιθέσεις και τα περιστατικά παραβίασης των
δικτυακών υποδομών αυξάνονται τόσο σε συχνότητα,
όσο σε όγκο και σε πολυπλοκότητα, φθάνοντας σε ανησυχητικά
υψηλά επίπεδα, με παραδείγματα παραβίασης
δικτύων κορυφαίων επιχειρήσεων στον κόσμο, όπως
εταιρειών Fortune 500 και κρατικών υπηρεσιών.
Για τους υπεύθυνους ασφάλειας (Chief Security Officers
/ CSOs), το ερώτημα που τίθεται, είναι τί συνέβη στις «λεγόμενες»
λύσεις ασφάλειας επόμενης γενιάς; Το πλήθος
των επιθέσεων, το εξελισσόμενο τοπίο των απειλών και
το αυξανόμενο χάος που φέρνει μαζί του το malware, είναι
πράγματα που δείχνουν ότι δυστυχώς έρχονται αναπόφευκτα
και άλλες παραβιάσεις ασφάλειας στο μέλλον.
Και δεν υπάρχει διαθέσιμη κάποια εύκολη λύση, ούτε
κάποιο μαγικό περιβάλλον ελέγχου «sandbox» και δεν
θα ήταν ρεαλιστικό να περιμένουμε ότι η αυτή η κατάσταση
θα βελτιωθεί βραχυπρόθεσμα. Οι υπάρχουσες
υποδομές ασφάλειας σε πολλές εταιρείες και οργανισμούς
είναι αναμφισβήτητα ελλιπείς με αρκετά προβλήματα
και κενά, ενώ επιπλέον, οι δεκαετίες κακού σχεδιασμού
και οργάνωσης δεν μπορούν να αναθεωρηθούν
μόνο με την εφαρμογή μερικών patches ή με κάποια λεγόμενη
λύση ασφάλειας τερματικών συσκευών «επόμενης
γενιάς» (Next Generation Endpoint).
Υπάρχουν επίσης ζητήματα στη στάση που κρατάμε απέναντι
στην ασφάλεια αφού υπάρχουν πολλά κενά και οι
περισσότερες επιχειρήσεις δυστυχώς δεν κατανοούν τις
πρωταρχικές τους ανάγκες στον τομέα αυτό. Αυτό έχει
ως αποτέλεσμα, οι περισσότεροι οργανισμοί και εταιρείες
να μην γνωρίζουν ποσοτικά τα περιουσιακά τους στοιχεία
σε δεδομένα και πληροφορίες που διαθέτουν. Στην
πραγματικότητα, αξίζει να αναφερθεί ότι η ενισχυμένη
περίμετρος έχει αρχίσει να ξεθωριάζει και η περιμετρο-
34 security

Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης, NSS
ποίηση (the perimeterization) αποτελεί μία πραγματικότητα.
Η καθοδηγούμενη από την Πληροφορική «τέλεια
καταιγίδα», που επιδεινώθηκε περαιτέρω από τις
δυνάμεις του Σύννεφου (Cloud), της Εικονικοποίησης
(Virtualization) και της Φορητότητας (Mobility) κατέστησε
παρωχημένη την παραδοσιακή επιχειρησιακή
δικτυακή / περιμετρική ασφάλεια, στερώντας από τους
διαχειριστές πληροφορικής και ασφάλειας από βασικούς
ελέγχους ασφαλείας, παρεμποδίζοντας παράλληλα την
ορατότητα που αφορούν συμβάντα σχετικά με τους χρήστες
ή το δίκτυο. Οι επιχειρήσεις Big Data είναι εδώ, αλλά
η ασφάλεια συνεχίζει να βρίσκεται στο περιθώριο. Οι
μεγάλες ποσότητες δεδομένων που αποθηκεύονται και
οι πολλαπλοί χρήστες που έχουν πρόσβαση σε αυτά σε
μεγάλους, κατανεμημένους και ολοένα περισσότερο συνεργατικούς
οργανισμούς, καθιστούν τον αποτελεσματικό
τους έλεγχο μία αποθαρρυντική πρόκληση.
Θεραπεύοντας την αχίλλειο πτέρνα με την ενοποίηση
της Ασφάλειας Δικτύου και Τερματικών Συσκευών
Η «τέλεια καταιγίδα» των απειλών και του μετασχηματισμού
που οδήγησε η Πληροφορική, ευτυχώς δεν έχει
επιφέρει μόνο άγχος και χάος, εφόσον υπάρχει βέβαια η
κατάλληλη προετοιμασία στον τομέα ασφάλειας. Μέσω
της δυνατότητας συνεργασίας της Δικτυακής Ασφάλειας
(Network Security) και της Ασφάλειας Τερματικών
Συσκευών (Endpoint Security), οι επιχειρήσεις όχι μόνο
μπορούν να καταπολεμήσουν πιο αποτελεσματικά τις
απειλές, αλλά επίσης μπορούν να περιορίσουν σημαντικά
τα κενά ασφάλειας, να αποτρέψουν την μη εξουσιοδοτημένη
πρόσβαση και να ενισχύσουν τις άμυνες τους
με πολύ απλό τρόπο. Ο αυξανόμενος αριθμός των τερματικών
συσκευών παραμένει η αχίλλειος πτέρνα, καθιστώντας
τα δεδομένα, τις πληροφορίες και τις υποδομές
επιρρεπείς σε προηγμένες κυβερνο-απειλές.
Ξεκινώντας από δικτυακές σαρώσεις (ping sweeps
& port scanning) έως νέες πιο εξελιγμένες μεθόδους
επίθεσης όπως ένας έντεχνα κατασκευασμένος πολυμορφικός
κώδικας, οι κυβερνο-εγκληματίες βάζουν ως
στόχο τις τερματικές συσκευές για να προκαλέσουν σοβαρές
βλάβες σε δίκτυα επιχειρήσεων με στόχο να αποσπάσουν
εμπιστευτικά δεδομένα κρίσιμης σημασίας εξ
αποστάσεως (remotely).
Ο έλεγχος, τέλος, του ολοένα αυξανόμενου όγκου αλλά
και της ποικιλίας των τερματικών συσκευών από μόνο
του έχει γίνει μία σημαντική πρόκληση στη διαχείριση
από τις ομάδες ασφαλείας πληροφορικής, οδηγώντας σε
μαζικές υλικοτεχνικές υπερβολές για την αναγκαστική
επιβολή πολιτικών ασφαλείας και ελέγχου πολλαπλών
παραγόντων ασφαλείας σε κάθε τερματική συσκευή.
Οι περισσότερες σημερινές πρακτικές ασφαλείας πάσχουν
από μια αντιδραστική και αποσπασματική προσέγγιση
με πολλαπλές υποδομές, επικαλυπτόμενες λειτουργίες
και ποικίλα συστήματα διαχείρισης που στερούνται
κατάλληλου συγχρονισμού. Επίσης, εκείνοι που ισχυρίζονται
ότι έχουν ενσωματώσει σε μία την προστασία τερματικών
συσκευών και δικτύου δεν κοιτάζουν πέρα από
την πρόληψη. Παρεκκλίνοντας από αυτή την αναποτελεσματική
προσέγγιση, το Project Galileo της Sophos
που συνθέτει ένα ευρύτερο οικοσύστημα ασφάλειας,
εξερευνά μια νέα και ολιστική διάσταση που ενοποιεί
και ενσωματώνει ένα ευρύτερο σύνολο τεχνολογιών
στην ασφάλεια τερματικών συσκευών και δικτύου και
το ενισχύει περαιτέρω μέσω της διαχείρισης στο Cloud,
της νοημοσύνης έναντι απειλών (threat intelligence)
και της συνολικής διαχείρισης όλων των παραμέτρων
ασφάλειας. Η συγκεκριμένη προσέγγιση έχει ως βασικό
στόχο να προάγει την επικοινωνία και να συνασπίσει
την ασφάλεια μεταξύ των προστασιών δικτύου, διακομιστή
και τερματικών συσκευών, διασφαλίζοντας ότι οι
προηγμένες επιθέσεις και οι άγνωστες απειλές όχι μόνο
μπορούν να αντιμετωπιστούν αποτελεσματικά, αλλά και
πως όλες οι δραστηριότητες και τα γεγονότα που ενέχουν
κίνδυνο μπορούν να ανιχνεύονται και να αποκαθίστανται
σε ελάχιστο χρόνο, εξασφαλίζοντας παράλληλα
ότι τα κρίσιμης σημασίας δεδομένα κρυπτογραφούνται
για να περιοριστούν οι απώλειες.
Κοιτάζοντας πέρα από την “Αλυσίδα του
Κυβερνο-θανάτου”
Η βασική πτυχή της παραπάνω προσέγγισης είναι ότι
επιτρέπει σε στελέχη στον τομέα της ασφάλειας ή σε διαχειριστές
να κοιτάζουν πέρα από τις κλισέ πρακτικές,
συμπεριλαμβανομένης και της αντιδραστικής προσέγγισης,
έχοντας αντίληψη ουσιαστικά του Cyber Kill Chain
που περιλαμβάνει τα διαφορετικά στάδια μίας κυβερνο-
security
35

T4301/02.2016
Issue
επίθεσης. Αρκετά συχνά, ακούμε από τους αναλυτές
ασφαλείας ότι υπάρχει μια αυξανόμενη ανάγκη για να
ενσωματωθεί η ασφάλεια στις βασικές επιχειρηματικές
διαδικασίες, συμπεριλαμβανομένου και του τρόπου που
γίνεται η διαχείριση πληροφορικής. Ωστόσο, πολλές επιχειρήσεις
εξακολουθούν να αποτυγχάνουν να ακολουθήσουν
μια προληπτική προσέγγιση από εξελιγμένους
παράγοντες απειλών για την προστασία των δικτύων
τους, των περιουσιακών στοιχείων πληροφορικής, των
δεδομένων, των χρηστών και της επιχειρησιακής φήμης
τους, επειδή πολύ απλά η προσέγγιση τους είναι εσφαλμένη
και συνεχίζει να είναι αντιδραστική. Έτσι, τα δίκτυα
των επιχειρήσεων παραμένουν ευάλωτα σε κυβερνοεπιθέσεις,
δυστυχώς ακούσια.
Αλλά γιατί συμβαίνει αυτό; Η απάντηση πάντως δεν μπορεί
να είναι ότι πολλές επιχειρήσεις δεν αντιμετωπίζουν
την ασφάλεια δικτύου σοβαρά, με τόσες παραβιάσεις
δικτύων που συμβαίνουν και που βρίσκονται στις επικεφαλίδες
των μεγαλύτερων ειδησεογραφικών ιστοσελίδων.
Από ότι φαίνεται, οι επιχειρήσεις βασίζονται σε
μεγάλο βαθμό σε μυωπικές ή αντιδραστικές μεθόδους
ασφαλείας, που δεν επιτρέπουν στον τακτικό και έγκαιρο
εκσυγχρονισμό των πληροφοριακών συστημάτων, κάτι
που επίσης θολώνει τον τρόπο σκέψης των υπευθύνων
ασφάλειας των εταιρειών.
Υπάρχει απόλυτη ανάγκη για απόκλιση από αυτήν την
προσέγγιση, η οποία επικεντρώνεται περισσότερο στην
πρόληψη από γνωστές απειλές ή εξωτερικές απειλές
και δεν λαμβάνει υπόψη τις ασύμμετρες απειλές, όπως
επεμβατικές μεθόδους ή απειλές που προέρχονται από
το εσωτερικό της επιχείρησης (π.χ. κάποιον υπάλληλο).
Επόμενης γενιάς ασφάλεια πληροφοριών για το
μέλλον
Η φράση «νοημοσύνη έναντι απειλών» (threat
intelligence) ενδεχομένως να ακούγεται κάπως περίεργα,
όμως υπάρχουν σίγουρα πολλά περισσότερα που
πρέπει να γίνουν ακόμα. Ανεξάρτητες εταιρείες στον
τομέα της ασφάλειας, αλλά και ομάδες ερευνητών σε
διάφορες επιχειρήσεις, συνεχώς αναζητούν νέες απειλές,
ευπάθειες zero-day και διεξάγουν διαρκώς πολλές
έρευνες σε βάθος για το θέμα. Παρόλο που υπάρχει ένας
τεράστιος όγκος κρίσιμης σημασίας ερευνών πάνω στη
νοημοσύνη έναντι απειλών, το μεγαλύτερο μέρος είναι
πληροφορίες μη επεξεργασμένες. Αν και η νοημοσύνη
έναντι απειλών και ο διαμοιρασμός αξιοποιήσιμων πληροφοριών
ασφαλείας μπορούν να βοηθήσουν να εστι-
άσουμε και να δώσουμε προτεραιότητα στην χρήση τεράστιων
ποσοτήτων σύνθετων πληροφοριών ασφάλειας
δικτύου, οι οργανισμοί έχουν μια στοιχειώδη ανάγκη για
τυποποιημένη και δομημένη παρουσίαση των πληροφοριών
αυτών, για να τις μετατρέπουν σε πληροφορίες που
μπορούν να διαχειριστούν και να κοινοποιηθούν σε άλλους.
Είναι ζωτικής σημασίας να εκτιμήσουμε αυτή την
διάκριση σήμερα, όπου σχεδόν κάθε συνδεδεμένη επιχείρηση
είναι ένας big-data οργανισμός.
Το ευρύ φάσμα δικτυακών συσκευών, συστημάτων
ασφαλείας καθώς και των πολλαπλών χρηστών, παράγουν
terabytes δεδομένων και αρχείων καταγραφής
συμβάντων (logfiles). Αν και υπάρχουν πολλές ενδείξεις
και στοιχεία εγκληματικής δραστηριότητας που καταγράφονται,
οι κρίσιμης σημασίας και αξιοποιήσιμες
πληροφορίες ασφαλείας χάνονται ή παρερμηνεύονται
εξαιτίας της τεράστιας ποσότητας δεδομένων. Επιπλέον,
μία ακόμα παρανόηση που συνδέεται με τη νοημοσύνη
έναντι απειλών (threat intelligence) είναι ότι συχνά
συγχέεται με τις ψηφιακές υπογραφές απειλών (threat
signatures)!
Το παλλόμενο καρδιοχτύπι της επόμενης γενιάς
ασφαλείας πληροφοριών
Στη Sophos έχει επικρατήσει η αντίληψη στο να προσφέρονται
πραγματικά αξιοποιήσιμες πληροφορίες νοημοσύνης
έναντι απειλών με πλούσιες εισροές σχετικών
σημαντικών πληροφοριών (contextual inputs) που βοηθούν
τις ομάδες ασφαλείας να κατανοήσουν σε μεγάλο
ποσοστό τις παλαιότερες, σημερινές αλλά και μελλοντικές
μεθοδολογίες επιθέσεων καθώς και να κατανοήσουν
τις διάφορες μεθόδους επίθεσης, είτε πρόκειται
για εσωτερικές ή εξωτερικές.
Για την αποτελεσματική αντιμετώπιση της τρέχουσας
κατάστασης στον τομέα της ασφάλειας του δικτύου, θα
πρέπει να αντικαταστήσουμε τις υπάρχουσες πρακτικές
ασφαλείας, με ένα πολυδιάστατο παράδειγμα σχετικών
πληροφοριών που έχει περισσότερη ουσία και επιτρέπει
στις τεχνολογίες ασφαλείας δικτύου και τερματικών
συσκευών να μοιράζονται σημαντικές πληροφορίες με
τη χρήση ενός μηχανισμού που ονομάζεται “Heartbeat”.
Το Heartbeat μπορεί να προσφέρει καλύτερη προστασία
αλλά και να παρακολουθεί την κατάσταση των τερματικών
συσκευών, εξασφαλίζοντας ότι μόνο οι τερματικές
συσκευές που έχουν συμμορφωθεί με την πολιτική
ασφάλειας, έχουν πρόσβαση στο δίκτυο και σε άλλους
πόρους της επιχείρησης. ITSecurity
36 security

T4301/02.2016
Issue
Accept the Challenge
Take Ownership
Το Business Continuity Management συχνά αποτελεί ένα αντικείμενο που δεν έχει βρει τη
σωστή του θέση στις διοικητικές ομάδες εταιρειών και ομίλων. Υπάρχουν οργανισμοί που
θεωρούν δεδομένο ότι θα πρέπει να αναφέρεται στον Chief Risk Officer καθώς και άλλοι που
πιστεύουν ότι δεν μπορεί να είναι πουθενά αλλού εκτός από τον Chief Information Officer.
Π
οια είναι όμως η λογική τοποθέτηση ενός
αντικειμένου που καλείται να μας βγάλει
από τη δύσκολη θέση όταν όλες οι άλλες
λειτουργίες έχουν ήδη σταματήσει
τη ροή των εργασιών τους και πόσο κοντά στη διοίκηση
πρέπει να είναι; Αν δούμε το αντικείμενο του Business
Continuity με μεγαλύτερη προσοχή θα διαπιστώσουμε
κάποια σημαντικά χαρακτηριστικά του που θα μας επιτρέψουν
να το τοποθετήσουμε καλύτερα σε σχέση με τη
σημερινή του θέση στην οργανωτική δομή. Αυτά τα χαρακτηριστικά
μεταξύ άλλων είναι:
• Πολύ βαθιά γνώση και κατανόηση όλων των λειτουργιών
της εταιρείας
• Στενή συνεργασία με τον CEO για θέματα διαχείρισης
κρίσεων
• Διαχείριση άκρως εμπιστευτικών θεμάτων της εταιρείας
και διαφύλαξή τους
• Εξειδικευμένες τεχνικές γνώσης υλοποίησης σχεδίων
και στρατηγικών
• Αντιμετώπιση τόσο τεχνικών, όσο κι επιχειρηματικών
θεμάτων, αποτελεσματικά
• Άμεση συνεργασία με το γραφείο τύπου σε θέματα διαχείρισης
επικοινωνιακών κρίσεων
• Διασφάλιση της εφοδιαστικής αλυσίδας κι έλεγχος των
κρίσιμων προμηθευτών
Η λίστα δεν εξαντλείται ασφαλώς εδώ αλλά περιλαμβάνει
και πολλά άλλα θέματα, δεξιότητες, γνώσεις, διαπραγματεύσεις
και πάνω από όλα εξαιρετικό αυτοέλεγχο
προκειμένου να είμαστε ψύχραιμοι όταν οι υπόλοιποι
πανικοβάλλονται. Θα μπορούσε κανείς να πει ότι
αυτά που αναφέρθηκαν παραπάνω, είναι χαρακτηριστικά
ενός ανθρώπου με πολύ ψηλή θέση σε έναν οργανισμό,
ή σε κάθε περίπτωση είναι χαρακτηριστικά
που πρέπει να βρίσκονται όσο πιο κοντά γίνεται στη
διοικητική ομάδα, κάτι το οποίο θεωρείται δεδομένο
σε πολλές άλλες χώρες με αρκετά χρόνια λειτουργίας
του Business Continuity Management στις επιχειρησιακές
δομές. Υπάρχει όμως ιδανική θέση στο οργανόγραμμα
ενός οργανισμού και αν ναι, ποια είναι
αυτή; Αυτό το ερώτημα θα απαντήσουμε αμέσως τώρα,
αναφερόμενοι σε 3 διαφορετικές περιπτώσεις που
είναι και οι πιο δόκιμες σύμφωνα με τις ανάγκες του
αντικειμένου:
38 security

Γιάννης Ζέππος
Managing Partner
Resilience Guard GmbH
1. Το Business Continuity Management αναφέρεται κατευθείαν
στον Διευθύνοντα Σύμβουλο
Αυτή είναι η ιδανική περίπτωση που μπορούμε να έχουμε,
δεδομένων των αναγκών του αντικειμένου καθώς
και της υποστήριξης του CEO σε θέματα στρατηγικής και
διαχείρισης κρίσεων. Μέχρι πρόσφατα, οι εταιρείες θεωρούσαν
ότι τη στρατηγική τη χαράσσει ο Διευθύνων Σύμβουλος
μαζί με τον Οικονομικό και τον Εμπορικό Διευθυντή,
έτσι ώστε να διασφαλιστεί η ανάπτυξη των εργασιών
και να γίνουν οι δέουσες επενδύσεις. Αυτή η κατάσταση
πλέον έχει αλλάξει, έχοντας προσθέσει αρκετά νέα θέματα
και ορισμούς στην ατζέντα των διοικητικών συμβουλίων,
όπως Sustainability, Efficiency, Optimization κ.λπ.
Για να γίνει πλέον ένας σωστός στρατηγικός σχεδιασμός
πρέπει η εταιρεία να λάβει πολύ σοβαρά υπόψη όλα τα
τρωτά της σημεία καθώς και πως μπορεί να επηρεάσει
τα αποτελέσματά της, η οικονομική, κοινωνική και πολιτική
κατάσταση, όπως φυσικά και τα διάφορα απρόβλεπτα
συμβάντα που θα εμφανιστούν. Ποτέ δεν υπήρχε μεγαλύτερη
ανάγκη από σήμερα, να υπάρχει σοβαρός και
υπεύθυνος σχεδιασμός Επιχειρησιακής Συνέχειας. Οι διοικήσεις
των εταιριών πλέον απαιτούν να λαμβάνονται οι
πιο ασφαλείς και υπεύθυνες διαδρομές, προκειμένου ο
οργανισμός να επιτύχει το στόχο του, και το ίδιο ζητούν
εναγωνίως και οι επενδυτές.
2. Το Business Continuity Management αναφέρεται στον
CRO
Πολλοί οργανισμοί και κυρίως αυτοί που ασχολούνται
με χρηματοοικονομικά ή ασφαλιστικά θέματα έχουν
ήδη ένα ρόλο Chief Risk Officer, αν και τις περισσότερες
φορές δεν έχει το χαρακτήρα του αντικειμένου ως
Enterprise Risk Management, παρά σαν Financial Risk
Management. Δεδομένων των κοντινών σχέσεων του
Business Continuity Management με το Enterprise
Risk Management, θα έλεγε κανείς ότι και ο CRO θα
ήταν ίσως μια σχετικά ασφαλής επιλογή για να έχει την
ευθύνη της Επιχειρησιακής Συνέχειας ενός οργανισμού.
Σε παρόμοιες περιπτώσεις πάντως κι επειδή το Risk
Management βασίζεται κυρίως σε υποθέσεις, όλος ο
σχεδιασμός έχει σαν κορμό τη λογική των σεναρίων
αντιμετώπισης διαφορετικών προβλημάτων, κάτι που
είναι αντίθετο με τη λογική του Business Continuity
που σχεδιάζει την απόκριση σύμφωνα με το impact
που έχει ένα συμβάν στον οργανισμό και όχι στο Root
Cause. Στην πράξη λοιπόν ίσως να φαντάζουν κοντινά
τα αντικείμενα, παρόλα αυτά έχει αποδειχθεί ότι το
Business Continuity & Crisis Management δεν εκπροσωπούνται
επαρκώς στο Board.
3. Το Business Continuity Management αναφέρεται
στον CIO
Πολλοί επαγγελματίες του Business Continuity
Management σήμερα προέρχονται από το χώρο του ΙΤ,
και ίσως να ήταν λογικό για το αντικείμενο της Επιχειρησιακής
Συνέχειας να αναφέρεται στον CIO. Η πραγματικότητα
όμως κι εδώ είναι ότι στελέχη με Engineering
Background έχουν αρκετές φορές δυσκολίες να αντιληφθούν
το business extent του αντικειμένου του
Business Continuity & Crisis Management και θεωρούν
ότι BCM=DR. Χρειάζεται μεγάλη εμπειρία από την
CIO για να μην παρασυρθεί και θεωρήσει ότι τα πάντα
αφορούν την τεχνολογία, γιατί η Επιχειρησιακή Συνέχεια
αφορά στην απόκριση και διαχείριση συμβάντων
και κρίσεων από ολόκληρο τον οργανισμό και όχι μόνο
το τεχνικό τμήμα. Σήμερα πλέον το επιχειρηματικό περιβάλλον
κρύβει περισσότερες αβεβαιότητες από ποτέ, η
εικόνα της αγοράς δεν είναι η ίδια, δεν υπάρχει εύκολη
πρόσβαση σε πόρους, δεν μπορείς να γυρίσεις πίσω εύκολα
πελάτη που πήγε στον ανταγωνισμό επειδή η εταιρία
που τον εξυπηρετούσε παρουσίασε αδυναμία να το
κάνει όταν ο πελάτης το είχε ανάγκη. Η όποια ασφάλεια
λήψης αποφάσεων του παρελθόντος πλέον δεν υπάρχει
και η αγορά έχει ανάγκη από ανθρώπους με δεξιότητες
που μπορούν να χειριστούν δύσκολες καταστάσεις και
όχι την απλή καθημερινότητα, εκεί ξεχωρίζουν οι χαρισματικοί
από τους λοιπούς. Δεδομένου ότι δεν υπάρχει
καμία διοίκηση εταιρίας που να μην έχει ανάγκη από
εμπειρία καθοδήγησης, ο ρόλος του Business Continuity
Manager είναι πλέον ύψιστης σημασίας γιατί πρέπει
πάντα να υπάρχει κάποιος ψηλά, που θα πάρει συμβουλέψει
τη διοίκηση να πάρει αποφάσεις για να πορευτεί η
εταιρεία σε στιγμές κρίσης ή και απλών απρόβλεπτων
περιστατικών όπως διακοπές ρεύματος, απειλές βόμβας,
σεισμού κ.λπ. Αν παρόλα αυτά ακόμη κάποιοι πιστεύουν
ότι δεν υφίσταται ανάγκη γιατί δεν υπάρχουν περιστατικά
ή συμβάντα που να μας ωθούν προς αυτή την κατεύθυνση,
συνιστώ ανεπιφύλακτα μια ερώτηση στους
τεχνικούς του IT Operations, στους φύλακες ασφαλείας,
στους υπευθύνους Health & Safety, στο τμήμα σχέσεων
με τα ΜΜΕ, και θα μάθετε την πραγματικότητα αναφορικά
με θέματα που καθημερινά εμφανίζονται αλλά για
διάφορους λόγους δεν αναφέρονται. ITSecurity
security
39

T4301/02.2016
Issue
Γιατί τα e-shop χρειάζονται ασφάλιση
cyber insurance!
Φθορές σε ιστοσελίδες και διαδικτυακά καταστήματα πώλησης προϊόντων (e-shop) προκαλούν
επιτήδειοι, έναντι αμοιβής τους από ανταγωνιστές των εταιρειών που πλήττονται, καθώς
αποκτούν πρόσβαση σε κωδικούς πιστωτικών καρτών τρίτων ατόμων και στοιχεία διαδικτυακών
πληρωμών.
€
350.000 η ζημιά ελληνικού e-
shop λόγω κυβερνοεπίθεσης. To
δικό σας είναι ασφαλισμένο;
Αρχικά η Δίωξη Ηλεκτρονικού Εγκλήματος
διερευνούσε υπόθεση που αφορούσε
σε διαδικτυακή επίθεση σε βάρος διαδικτυακού
φαρμακείου, που διήρκησε πέραν του ενός χρόνου,
με αποτέλεσμα να προκληθεί στην επιχείρηση συνολική
ζημιά ύψους 350.000 ευρώ. Οι διαδικτυακές αυτές
επιθέσεις σε βάρος του φαρμακείου ήταν τύπου μαζικής
άρνησης παροχής υπηρεσιών (Distributed Denial
of Service-DDoS) και ήταν ιδιαιτέρως σφοδρές, καθώς
κατά καιρούς χρησιμοποιήθηκαν ηλεκτρονικοί υπολογιστές
«φαντάσματα» που προκαλούσαν 70.000.000
επισκέψεις ημερησίως στο εν λόγω ηλεκτρονικό κατάστημα,
καθιστώντας το έτσι μη λειτουργικό. Η ανάλυση
των ηλεκτρονικών ιχνών μέσω των οποίων έγιναν οι
διαδικτυακές αυτές επιθέσεις συνεχίζεται, σε συνεργασία
με τις εμπλεκόμενες χώρες του εξωτερικού, για τον
εντοπισμό και την ταυτοποίηση προσώπων που ενεργούσαν
οργανωμένα σε βάρος διαδικτυακών επιχειρήσεων,
«εκτελώντας» συμβόλαια από ανταγωνίστριες
εταιρείες, με σκοπό να αποκομίζουν αμοιβές για τους
ψηφιακούς βανδαλισμούς που έκαναν. Εκτος από την
περίπτωση άρνησης παροχής υπηρεσίας τα Εshops κινδυνεύουν
με απώλεια δεδομένων των πελατών τους.
Ας δούμε λίγο την διαδικασία αγοράς κατα την διάρκεια
της οποίας ο πελάτης επιλέγει το προϊόν που θέλει
να αγοράσει, συμπληρώνει προσωπικά του δεδομένα
και χρησιμοποιεί πιστωτικές ή χρεωστικές κάρτες για
την ολοκλήρωση της συναλλαγής. Τα δεδομένα αυτά
αποτελούν στόχο κάθε κυβερνοεγκληματία γιατί μπορούν
εύκολα να πουληθούν στην μαύρη αγορά. Εάν
δεδομένα που χρησιμοποιούν οι πελάτες για την αγορά
προϊόντων πέσουν στα χέρια κυβερνοεγκληματιών
και χρησιμοποιηθούν παράνομα τότε ο επιχειρηματίας
ιδιοκτήτης του e shop μπορεί να αντιμετωπίσει αγωγές
αποζημίωσης από αυτούς και από τις συνεργαζόμενες
εταιρίες διαχείρισης πιστωτικών και χρεωστικών καρτών.
Για την αντιμετώπιση και διαχείριση περιστατικών
παραβίασης συστημάτων, απώλειας δεδομένων και άρνησης
παροχής υπηρεσίας απαιτούνται να καλυφθούν
άμεσο και έμμεσο κόστος όπως: Άμεσο κόστος το οποίο
περιλαμβάνει, επαγγελματικές αμοιβές εξειδικευμένων
συμβούλων διαχείρισης περιστατικών παράβασης συστημάτων,
πρόστιμα και έξοδα όπως:
40 security

Νίκος Γεωργόπουλος, ΜΒΑ, CyRM.
Cyber Risk Advisor , www.cyberinsurancegreece.com
CROMAR Coverholder at LLOYD΄S
• αμοιβές εξειδικευμένου δικηγόρου
• υπηρεσίες ειδικών ψηφιακης εγκληματολογίας
(forencic investigators)
• υπηρεσίες δημοσίων σχέσεων και επικοινωνίας
• υπηρεσίες τηλεφωνικού κέντρου
• credit monitoring - παρακολούθηση συναλλαγών πιστωτικών
καρτών των οποίων χάθηκαν τα δεδομένα
• αντικατάστασης στοιχείων ενεργητικού όπως αντικατάσταση
της πιστωτικής κάρτας του πελάτη ή αντικατάσταση
υλικού hardware ή software κ.λπ.
• για μη τήρηση της νομοθεσίας περί προσωπικών δεδομένων
• έξοδα για την επίτευξη επιχειρησιακής συνέχειας
Έμμεσο κόστος μπορεί να είναι ακόμα πιο σημαντικά
πράγματα, συμπεριλαμβανομένων:
• μείωση της φήμης της εταιρείας
• την πτώση των εσόδων
• χαμένων επιχειρηματικών ευκαιριών
• απώλειας πελατών
• απώλειας συνεργατών
• αύξηση των αμοιβών των υπηρεσιών τρίτων παρόχων
• κόστη εκπαίδευσης και ευαισθητοποίησης σε θέματα
ασφάλειας πληροφοριών του ανθρώπινου δυναμικού
της εταιρείας,
• καθώς και πρόσθετα επαναλαμβανόμενα έξοδα για
ελέγχους ασφάλειας.
Δυστυχώς, πολλά από αυτά τα κόστη είναι απρογραμμάτιστα
και μπορούν να έχουν αρνητική επίπτωση στην
ρευστότητα και τις ταμειακές ροές μιας επιχείρησης.
Σύμφωνα με τα στοιχεία της έρευνας “Global Corporate
IT Security Risks 2014” έδειξαν ότι ο παγκόσμιος μέσος
όρος του κόστους ενός περιστατικού ασφάλειας, για μία
μικρομεσαία επιχείρηση, μπορεί να φτάσει τα $47.000.
Στη Δυτική Ευρώπη, το ποσό αυτό διαμορφώνεται στα
$55.000. Στο κόστος αυτό περιλαμβάνεται η απώλεια
επιχειρηματικών ευκαιριών, η πρόσληψη εξωτερικού
συνεργάτη Πληροφορικής για τη διόρθωση του προβλήματος
και - ενδεχομένως - η αγορά νέου εξοπλισμού. Εν
τω μεταξύ, σύμφωνα με εκπροσώπους εταιρειών απ’
όλο τον κόσμο, το μέσο κόστος ενός περιστατικού ασφάλειας
δεδομένων ήταν $720.000 για μια μεγάλη εταιρεία.
Τα κόστη πάντως δεν είναι μόνο οικονομικά.
• Το 57% των συμβάντων απώλειας δεδομένων είχε
αρνητικό αντίκτυπο στη συνολική λειτουργία της
επιχείρησης.
• Επίσης, πάνω από τα μισά περιστατικά απώλειας δεδομένων
(56%) έχουν αρνητικό αντίκτυπο στη φήμη
και την αξιοπιστία μιας εταιρείας.
• Όπως προκύπτει από την έρευνα, το 61% των ερωτηθέντων
αντιμετώπισε προβλήματα με ιούς, worms,
Trojans και άλλα είδη κακόβουλου λογισμικού.
Τι προσφέρει η ασφάλιση
Τα κύρια στοιχεία της ασφάλισης Cyber Insurance είναι:
• Αστική Ευθύνη έναντι τρίτων οι οποίοι υπέστησαν
ζημιά λόγω απώλειας των προσωπικών τους δεδομένων
από την εταιρία στην οποία τα είχαν δώσει
• Ανταπόκριση - Έξοδα και Υπηρεσίες διαχείρισης περιστατικών
παραβίασης συστημάτων και απώλειας
εμπιστευτικών πληροφοριών
• Διακοπή Εργασιών - Κάλυψη για απώλεια εσόδων
λόγω διακοπής της επιχειρηματικής δραστηριότητας
από περιστατικά παραβίασης συστημάτων και
απώλειας εμπιστευτικών πληροφοριών
• Κυβερνοεκβιασμός - Κάλυψη για διαχείριση περιστατικών
εκβιασμού από απειλές που μπορεί να βλάψουν
ένα δίκτυο ή να οδηγήσουν σε διαρροή εμπιστευτικών
πληροφοριών
Λαμβάνοντας υπόψη τις συνθήκες της αγοράς η
Cromar σχεδίασε την λύση Cyber Secure Solution η
οποία υποστηρίζεται από την αγορά των Lloyds. Πιο
συγκεκριμένα μέσω της λύσης Cyber Secure Solution
διαθέτει στην ελληνική αγορά σε συνεργασία με τους
Beazley μία από τις καλύτερες ασφαλιστικές λύσεις
διαχείρισης περιστατικών απώλειας εμπιστευτικών
πληροφοριών και προσωπικών δεδομένων παγκοσμίως
το “Beazley Global Breach Solution”. Tο “Beazley
Global Breach Solution” αποτελεί μια συνολική λύση
αποτελεσματικής διαχείρισης των κινδύνων παραβίασης
συστημάτων και απώλειας δεδομένων και επιτρέπει
στις επιχειρήσεις να διαχειριστούν την αυξανόμενη
ευθύνη τους λόγω της διαχείρισης μεγάλου όγκου δεδομένων
των πελατών τους, καθώς και να μετριάσουν
τον κίνδυνο να θιγεί η εταιρική φήμη από πιθανή παραβίαση
συστημάτων και απώλειας των δεδομένων
αυτών. Tο “Beazley Global Breach Solution” προσφέρει
εκτός από τις χρηματικές αποζημιώσεις πρόσβαση
στην Ομάδα Διαχείρισης Περιστατικών του η οποία
έχει αντιμετωπίσει άνω των 3.000 περιστατικών παγκοσμίως
και έχει βραβευθεί από την Advisen ως η
καλύτερη ομάδα διαχείρισης για το 2014. ITSecurity
security
41