IT Professional Security - ΤΕΥΧΟΣ 45

www.itsecuritypro.gr 05-07.2016 • Τεύχος 45 • Τιµή 5€
Sandbox
Αντιµετωπίζοντας τις προηγµένες απειλές
• Η αξιοπιστία των επιχειρήσεων σε κρίση
• Προστασία δεδοµένων από εξωτερικές
αλλά και εσωτερικές απειλές
• Συνέντευξη
Η πληρέστερη και πιο τεχνολογικά
προηγµένη τεχνολογία σε Endpoint Security

Sophos Sandstorm
Εξελιγμένη προστασία από προηγμένες απειλές
Το Sophos Sandstorm είναι μία λύση αποτροπής εξελιγμένων επιθέσεων και
νεοεμφανιζόμενων κινδύνων zero-day όπως τα επικίνδυνα ransomware. Το σύστημα
ενσωματώνεται στα προϊόντα ασφάλειας της Sophos και μπορεί να ανιχνεύσει και να
αποτρέψει γρήγορα και με απόλυτη ακρίβεια αόριστες απειλές που άλλες λύσεις δε
μπορούν να αντιμετωπίσουν, χρησιμοποιώντας τεχνολογίες sandbox επόμενης γενιάς.
Value Added Distributor
Affordable Cutting Edge
www.sophos.com/sandstorm

T4505-07.2016
Editorial
Επαναπροσδιορισμός στόχων
Νέες προκλήσεις για τις μικρές επιχειρήσεις
Είναι αλήθεια ότι μέχρι πολύ πρόσφατα, ήταν διαδεδομένη μια
λανθασμένη θεώρηση ότι η ασφάλεια πληροφοριών αφορούσε
κυρίως τους μεγάλους οργανισμούς και τις επιχειρήσεις με μεγάλο
όγκο δεδομένων και κρίσιμη δραστηριότητα. Τα πράγματα
όμως φαίνεται ότι πλέον έχουν αλλάξει δραματικά.
Σε κυρίαρχη online απειλή για την ασφάλεια των δεδομένων
και των υπολογιστικών συστημάτων των μικρών επιχειρήσεων,
αλλά και των οικιακών χρηστών, έχουν αναμφισβήτητα
εξελιχθεί τα Ransomware. Επίσης σύμφωνα με έρευνες έχουν
αυξηθεί σε μεγάλο βαθμό τα μηνύματα spam προς τις μικρές
επιχειρήσεις με σκοπό να δελεάσουν τους χρήστες και να ρίξουν
τις άμυνες τους. Οι επιτιθέμενοι χρησιμοποιούν μεθόδους
κοινωνικής μηχανικής και άλλες τεχνικές ώστε να δείχνουν πιο
πειστικοί με στόχο να πετύχουν το σκοπό τους.
Αυτές οι εξελίξεις έχουν ενισχύσει σε πολύ μεγάλο βαθμό τις
απαιτήσεις ασφάλειας στις μικρές επιχειρήσεις και έχουν εντείνει
τις συζητήσεις και τους προβληματισμούς για τη προστασία
των συστημάτων και των δεδομένων τους. Είναι φανερό πλέον
ότι καμία επιχείρηση όσο μικρή και αν είναι δεν μπορεί
να επαναπαύεται αφού όλα τα στοιχεία και έρευνες που έχουν
δημοσιευτεί, δείχνουν ότι αποτελεί εν δυνάμει στόχο.
Η νέα αυτή πραγματικότητα δημιουργεί προκλήσεις που καλούνται
να αντιμετωπίσουν οι μικρές επιχειρήσεις αλλά σαφώς και
οι πάροχοι λύσεων και υπηρεσιών ασφάλειας. Από την πλευρά
τους οι μικρές επιχειρήσεις θα πρέπει να ενημερωθούν -και με
τη σειρά να ενημερώσουν τους υπαλλήλους τους- σχετικά με
τις online απειλές ώστε να γνωρίζουν τους τρόπους πρόληψης
και αντιμετώπισης. Θα πρέπει άμεσα να απευθυνθούν σε ειδικούς
και να εγκαταστήσουν λύσεις ασφάλειας που θα προσαρμόζονται
στις ανάγκες τους.
Αναφορικά με τους πάροχους είναι αλήθεια ότι οι περισσότεροι
από αυτούς, έχουν ήδη αναπτύξει λύσεις ασφάλειας προσαρμοσμένες
στις απαιτήσεις των μικρών επιχειρήσεων τις οποίες
διαθέτουν στην αγορά. Εκεί που πραγματικά ίσως χρειάζεται
να δοθεί περισσότερο προσοχή, είναι στην διαχείριση αυτής της
πραγματικότητας από τις εταιρίες που δραστηριοποιούνται στο
τομέα του consulting και την υλοποίηση έργων it security. Οι
εταιρίες αυτές θα πρέπει να στρέψουν το ενδιαφέρον τους και
σε αυτόν τομέα, προσαρμόζοντας τις υπηρεσίες, την εμπορική
τους πολιτική αλλά και γενικότερα την προσέγγιση τους στις
ανάγκες και των μικρών επιχειρήσεων, ώστε να βοηθήσουν
με τη τεχνογνωσία και την εμπειρία τους τις εταιρίες αυτές όχι
απλά και μόνο ως μια νέα επιχειρηματική ευκαιρία, αλλά και ως
αξιακή εταιρική ευθύνη.
Βλάσης Αμανατίδης
Εκδότης
Κώστας Νόστης
Σύμβουλος Έκδοσης
Νίκη Πανδή
Αρχισυντάκτης
Βλάσης Αμανατίδης
v.amanatidis@smartpress.gr
Συνεργάτες
Σήφης Ανδρουλιδάκης
Μίνα Ζούλοβιτς
Νότης Ηλιόπουλος
Αριστοτέλης Λυμπερόπουλος
Δημήτρης Παπίτσης
Αλέξανδρος Σουλαχάκης
Παναγιώτα Τσώνη
Διεύθυνση Διαφήμισης
Νίκος Σαράφογλου
n.sarafoglou@smartpress.gr
DTP
Παναγιώτης Βγενόπουλος
Λεωνίδας Πουλόπουλος
Διεύθυνση Events
Ανδρέας Καραντώνης
Διεύθυνση Marketing
Ειρήνη Νόστη
Υπεύθυνος Ηλεκτρονικών Μέσων
Φάνης Ζερβάκης
Υπεύθυνη Social Media
Αγγελική Νόστη
Γραμματεία Εμπορικού
Έλλη Μαστρομανώλη
Φωτογράφος
Δήμητρα Κατερέλου
Λογιστήριο
Ανδρέας Λουλάκης
Consulting by
SPEG
τηλ.: 210 5238777,
www.speg.gr, info@speg.gr
Ιδιοκτήτης
Smart Press
Μάγερ 11, 10438, Αθήνα
Τηλ.: 210 5201500, 210 5230000,
Fax: 210 5241900
Τμήμα συνδρομών
support@securitymanager.gr
www.smartpress.gr
www.itsecuritypro.gr
www.securitymanager.gr
info@securitymanager.gr
support@securitymanager.gr
ΚΩΔΙΚΟΣ 01-8267
security
1

T4505-07.2016
Contents
14 24 Business IT
1 | editorial
4 | News
Interview
14 | Η πληρέστερη και πιο
τεχνολογικά προηγμένη
τεχνολογία σε Endpoint Security
Συνέντευξη με τον Κώστα Καρβέλα
(Blue Soft & IT Regional Sales
Engineer Sr. Manager - Bitdefender
Certified Technical & Sales
Specialist)
Cover issue
16 | Sandbox
Αντιμετωπίζοντας τις προηγμένες
απειλές
Issue
22 | Check Point Sandblast
Zero-Day Protection
24 | Εξελιγμένη προστασία με βάση
3 σημεία
26 | Το sandbox πέρα από το hype
28 | Πως η εισαγωγή του concept
του sandboxing analysis
αυξάνει την ασφάλεια σε ένα
δίκτυο και την αξία άλλων
προϊόντων
30 | Τα οφέλη της ενσωμάτωσης
Sandboxing σε NG Firewalls
32 | Specialized Threat Analysis
and Protection
35 | Πως να προστατέψετε την
επιχείρησή σας από το
Ransomware!
36 | EgoSecure Data Protection
Προστασία δεδομένων από
εξωτερικές αλλά και εσωτερικές
απειλές
38 | Η αξιοπιστία των επιχειρήσεων
σε κρίση
Business IT
2 | Seqrite - Μήπως ήρθε η
ώρα να επαναπροσδιορίσετε
την ασφάλεια δικτύου της
επιχείρησής σας;
5 | Πώς επιτυγχάνεται η τήρηση
πολιτικών ασφαλείας μέσω του
ελέγχου συσκευών της Seqrite;
2 security

T4505-07.2016
News
Η ENCODE συμμετείχε για δεύτερη φορά σαν εκθέτης στην Infosecurity Europe
Η Έκθεση “Infosecurity Europe” που πραγματοποιήθηκε μεταξύ
7 - 9 Ιουνίου στο Λονδίνο (www.infosecurityeurope.
com), αποτελεί το κορυφαίο γεγονός στον τομέα ασφάλειας
των πληροφοριών στην Ευρώπη, με πάνω από 315 εκθέτες
και φορείς παροχής υπηρεσιών, με το πιο ευρύ φάσμα νέων
προϊόντων, ενώ την Έκθεση επισκέφθηκαν πάνω από 15.000
επαγγελματίες του κλάδου από όλο τον κόσμο.
Το περίπτερο της ENCODE επισκέφθηκε πλήθος επισκεπτών
και κατά τη διάρκεια της έκθεσης δόθηκε η ευκαιρία υλοποίησης
σημαντικότατων συναντήσεων με εκπροσώπους του
τραπεζικού χώρου (Barclays, Deutsche Bank), φυσικά του
ευρύτερου χώρου της τεχνολογίας (Intel, IBM, Splunk) καθώς
επίσης και στελέχη του κυβερνητικού σχήματος και της
δημόσιας διοίκησης της χώρας. Τα στελέχη της ENCODE, είχαν
την ευκαιρία κατά τη διάρκεια των συναντήσεων αυτών
να παρουσιάσουν τα προϊόντα και να αναπτύξουν τις υπηρεσίες
της εταιρείας, συμβάλλοντας ουσιαστικά στην ανταλλαγή
πληροφοριών και γνώσης σχετικά με όλες τις τελευταίες
εξελίξεις στον χώρο του Cyber Security, δίνοντας ταυτόχρονα
και το στίγμα της εταιρείας που ξεφεύγοντας από τα ελληνικά
γεωγραφικά σύνορα εντάσσεται σε ένα διεθνή καμβά τεχνολογικών
εξελίξεων και ανάπτυξης.
Δυναμική παρουσία της Odyssey σε δυο σημαντικά συνέδρια
Η Odyssey συμμετείχε ως κύριος χορηγός στο ετήσιο Forum
Εσωτερικών Ελεγκτών Κύπρου, που έλαβε χώρα στις
19 Μαΐου 2016, στη Λευκωσία. Το Forum Εσωτερικών Ελεγκτών
Κύπρου διοργανώθηκε από τον ομώνυμο Σύνδεσμο
και ασχολήθηκε με τις πρόσφατες τάσεις και εξελίξεις αναφορικά
με τις επαγγελματικές πρακτικές του Εσωτερικού
Ελέγχου που εφαρμόζονται στην Κύπρο, την Ευρώπη και το
εξωτερικό. Κατά τη διάρκεια του Forum η Odyssey είχε την
ευκαιρία να παρουσιάσει τις υπηρεσίες Διακυβέρνησης, Συμμόρφωσης
και Διαχείρισης Κινδύνων. Οι
υπηρεσίες αυτές επεκτείνονται πέρα από
τις γνωστές θεωρητικές προσεγγίσεις,
διασφαλίζοντας ότι ο οργανισμός παραμένει
σε συμμόρφωση με τις νομικές και
κανονιστικές του υποχρεώσεις, χωρίς να
παρεμποδίζεται η επιχειρησιακή του λειτουργία
και αποτελεσματικότητα.
Επιπρόσθετα, η ομάδα εμπειρογνωμόνων
της Odyssey παρουσίασε τις υπηρεσίες
Vulnerability Assessment και
Penetration Test που μπορούν να χρησιμοποιηθούν
από τους Εσωτερικούς Ελεγκτές και το προσωπικό
Ασφάλειας Πληροφοριών για να αναγνωριστούν πιθανές
κακόβουλες απειλές και ευπάθειες, οι οποίες, υπό άλλες συνθήκες,
θα περνούσαν απαρατήρητες.
Η Odyssey έλαβε επίσης μέρος, ως πλατινένιος εταίρος, στο
ετήσιο συνέδριο πληροφορικής IDC IT Security Roadshow,
που πραγματοποιήθηκε στην Αθήνα, στις 25 Μαΐου. Η δυναμική
παρουσία της Odyssey διαφάνηκε μέσω των δύο παρουσιάσεων
που έγιναν, με τίτλο "How to Respond to New and
Unknown Threats with CheckPoint's
SandBlast" και "From Hackers to Cyber-
Criminals/The Need for a Real Security
Partner/Consultant". Η τελευταία παρουσίαση
που σημείωσε ιδιαίτερη επιτυχία,
έγινε από πελάτη της Odyssey
ο οποίος μοιράστηκε με το κοινό την
εμπειρία της ναυτιλιακής επιχείρησης
στην οποία εργάζεται, σε ότι αφορά στο
αποτέλεσμα της σύμπραξης των δραστηριοτήτων
της εταιρείας του με τις λύσεις
που προσφέρει η Odyssey.
4 security

T4505-07.2016
News
Η καμπάνια scam Ray-Ban τώρα εξαπλώνεται και μέσω email
Τα φίλτρα spam της ESET έχουν ανιχνεύσει ένα κύμα με scam
μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους
χρήστες του Διαδικτύου να αγοράζουν αγαθά πολυτελείας,
κυρίως γυαλιά ηλίου Ray-Ban. Οι ψεύτικες ιστοσελίδες όπου
προσφέρονται αυτές οι απομιμήσεις προϊόντων σε πολύ μειωμένες
τιμές, δεν χρησιμοποιούν κρυπτογράφηση και είναι
πιθανό να κλέβουν τα στοιχεία των καρτών πληρωμής των
θυμάτων. Παλιότερα, η ESET είχε προειδοποιήσει ότι αυτή
η απάτη στόχευε σε μεγάλο βαθμού τους χρήστες του Facebook.
«Εκείνοι που εισάγουν τα δεδομένα της κάρτας τους σε
αυτές τις ψεύτικες σελίδες διακινδυνεύουν σοβαρά την ασφάλεια
των χρημάτων τους», λέει ο Lukáš Štefanko, Malware
Researcher της ESET. Προσθέτοντας και το ηλεκτρονικό ταχυδρομείο
στους φορείς της επίθεσης, το εύρος των πιθανών
θυμάτων αυξάνει σημαντικά.
Κατά τους τελευταίους μήνες οι ερευνητές της ESET
έχουν εντοπίσει δεκάδες χιλιάδες από αυτά τα μηνύματα
scam. Πέρα από την προσθήκη του ηλεκτρονικού ταχυδρομείου
ως νέο φορέα επίθεσης, οι κυβερνοεγκληματίες
που βρίσκονται πίσω από την απάτη έχουν επίσης επεκτείνει
τη γεωγραφική εμβέλεια. Τα καταστήματα με τα ψεύτικα γυαλιά
ηλίου στοχεύουν συχνά συγκεκριμένες χώρες χρησιμοποιώντας
το αντίστοιχο εθνικό νόμισμα.
Πριν από λίγους μήνες, δέχονταν σχεδόν αποκλειστικά δολάρια
ΗΠΑ, ευρώ, βρετανικές λίρες, δολάρια Καναδά και δολάρια
Αυστραλίας. Ωστόσο, οι πιο πρόσφατες καμπάνιες με spam
email κατεύθυναν επίσης προς σελίδες που δέχονται λιγότερο
δημοφιλή νομίσματα, όπως ρεάλ Βραζιλίας, δολάρια Νέας Ζηλανδίας,
Σουηδική κορώνα, κορώνες Δανίας, δολάριο Σιγκαπούρης,
ελβετικά φράγκα, νορβηγικές κορώνες, και κορώνα
Τσεχίας. «Οι χρήστες του Διαδικτύου δεν πρέπει να αμελούν
το ένστικτο ασφάλειας όσο αναζητούν εξαιρετικά φθηνές προσφορές,
είτε πρόκειται για γυαλιά ηλίου ή οτιδήποτε άλλο. Τα
στοιχεία της κάρτας αποτελούν μία είσοδο στο πορτοφόλι σας
- γι’ αυτό σκεφτείτε διπλά πριν τα εισάγετε σε ιστοσελίδες που
έχουν ύποπτες διευθύνσεις, προσφέρουν ύποπτα χαμηλές τιμές
αγαθών ή χρησιμοποιούν ακάλυπτα κανάλια επικοινωνίας»
συστήνει ο Lukáš Štefanko.
Συμβουλές από την ESET:
Εάν λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου από ένα
μη αξιόπιστο άτομο με παρόμοια χαρακτηριστικά που πουλά
προϊόντα με έκπτωση, μην ανοίγετε οποιεσδήποτε συνδέσεις
URL, μην κατεβάσετε τα συνημμένα και μαρκάρετε το e-mail
ως spam. Εάν πρόκειται να εισάγετε τα στοιχεία της πιστωτικής
σας κάρτας, εξετάστε αν το κατάστημα είναι αξιόπιστο και
ελέγξετε αν χρησιμοποιεί κρυπτογράφηση (πρέπει να υπάρχει
"https", όχι "http" στη γραμμή διευθύνσεων)
Σε κάθε περίπτωση, ακολουθήστε τους βασικούς κανόνες για
ασφαλή online συμπεριφορά κατά τη χρήση του διαδικτύου,
διατηρήστε το σύστημά σας ενημερωμένο, χρησιμοποιήστε
μια ποιοτική λύση ασφαλείας ή, τουλάχιστον, σε περίπτωση
οποιασδήποτε υποψίας, χρησιμοποιήσετε ένα δωρεάν εργαλείο
για να σαρώσετε τον υπολογιστή σας http://www.eset.
com/me/home/products/online-scanner/
6 security

Gold Partners Aspida Cyber Security και Blue Soft & IT
Η Aspida Cyber Security, μέλος του Ομίλου
Aspida, ανακοινώνει τη συνεργασία της ως “Gold
Partner” με τον κορυφαίο κατασκευαστή λογισμικού
ασφαλείας Bitdefender ο οποίος αντιπροσωπεύεται
στην Ελλάδα και στην Κύπρο από
την Blue Soft & IT με σκοπό την παροχή ολοκληρωμένων
υπηρεσιών cyber security. «Είμαστε
ενθουσιασμένοι με την καινούρια συνεργασία σε μία εποχή
που η αποτελεσματική ασφάλεια στον κυβερνοχώρο είναι πιο
σημαντική από ποτέ» δήλωσε ο CEO του Ομίλου Aspida, Πάνος
Γ. Μοραΐτης. Το μεγαλύτερο κίνδυνο των εταιριών αποτελούν
σήμερα οι κυβερνοεπιθέσεις με αποτέλεσμα την κλοπή
εμπιστευτικών δεδομένων ως και την απώλεια λειτουργίας
υπηρεσιών με καθημερινά περιστατικά παγκοσμίως. Σύμφωνα
με έρευνα του World Economic Forum, το 2015 το κόστος
των κυβερνοεπιθεσεων έφτασε τα 3 τρισεκατομμύρια για την
αντιμετώπιση τους αλλά και ολόκληρη την εικόνα εταιριών επηρεάζοντας
την αξιοπιστία τους. Η Aspida Cyber Security μπορεί
να εντοπίσει και να αντιμετωπίσει αποτελεσματικά
ευπάθειες υπολογιστικών συστημάτων και
δικτύων εταιριών κάθε κλάδου, παρακολουθώντας
διαρκώς τις υποδομές ώστε να αντιμετωπίζει
κατάλληλα μια κυβερνοεπίθεση. Επιπλέον,
παρέχει εκπαίδευση στους χρήστες μιας εταιρίας
ώστε να μπορούν να αναγνωρίζουν και να
προλαβαίνουν κακόβουλες ενέργειες, καθώς έχουν αποδειχτεί
να είναι υπεύθυνοι για τα περισσότερα συμβάντα τέτοιου τύπου.
H Bitdefender είναι o ταχύτερα αναπτυσσόμενος κατασκευαστής
λογισμικού ασφαλείας, με πολλές συνεχόμενες διεθνείς
πρωτιές και βραβευμένη τεχνολογία. Η Aspida Cyber Security
είναι μέλος του Ομίλου Aspida που εξειδικεύεται στη διαχείριση
ρίσκου που αφορά στην ανθρώπινη ζωή και περιουσία, σχεδιάζοντας
και υλοποιώντας λύσεις. Ο Όμιλος Aspida παρέχει υπηρεσίες
φυσικής φύλαξης και ασφαλείας, παρακολούθησης και
άμεσης παρέμβασης. Για περισσότερες πληροφορίες: Aspida
Cyber Security: http://cyber.aspida.org
security
7

T4505-07.2016
News
Σε άνθηση η μαύρη αγορά του ψηφιακού εγκλήματος
Οι ερευνητές της Kaspersky Lab διερεύνησαν ένα παγκόσμιο
φόρουμ, όπου οι ψηφιακοί εγκληματίες μπορούν να
αγοράζουν και να πωλούν πρόσβαση σε παραβιασμένους
server, με εξαιρετικά χαμηλό κόστος, που προσεγγίζει τα
επίπεδα των $6 για κάθε server. Συγκεκριμένα, η «μαύρη
αγορά» xDedic, η οποία φαίνεται να διοικείται από μια
ρωσόφωνη ομάδα, προσφέρει σε επίδοξους αγοραστές
πρόσβαση σε 70.624 παραβιασμένους server Πρωτοκόλλου
Απομακρυσμένης Επιφάνειας Εργασίας (RDP). Πολλοί από
τους server φιλοξενούν ή παρέχουν πρόσβαση σε δημοφιλείς
διαδικτυακούς τόπους και υπηρεσίες, ενώ μερικοί από αυτούς
έχουν εγκατεστημένο λογισμικό για διαφημιστικές εκστρατείες
μέσω email και για επεξεργασία δεδομένων λογιστικής και
δεδομένων από μηχανές Point-of-Sale (POS). Αυτοί οι server
μπορούν να χρησιμοποιηθούν για τη στόχευση των υποδομών
των ιδιοκτητών τους ή ως εφαλτήριο για ευρύτερες επιθέσεις,
ενώ οι ιδιοκτήτες τους, συμπεριλαμβανομένων κρατικών
φορέων, επιχειρήσεων και πανεπιστημίων, δεν έχουν ιδέα
για το τι συμβαίνει.
Το XDedic αποτελεί ένα ισχυρό παράδειγμα μίας νέου
είδους αγοράς ψηφιακού εγκλήματος. Πρόκειται για
μια καλά οργανωμένη και υποστηριζόμενη αγορά, η οποία
προσφέρει στους πάντες (από ψηφιακούς εγκληματίες με
βασικές γνώσεις έως και ομάδες APT) γρήγορη, φθηνή και
εύκολη πρόσβαση στις υποδομές νόμιμων οργανισμών,
βοηθώντας τους να κρατούν τα εγκλήματά τους κρυφά για όσο
περισσότερο καιρό γίνεται. Μια ευρωπαϊκή εταιρεία παροχής
υπηρεσιών Διαδικτύου (ISP) ειδοποίησε την Kaspersky Lab
για την ύπαρξη του xDedic. Οι δύο εταιρείες συνεργάστηκαν
για να διερευνήσουν πώς λειτουργεί το συγκεκριμένο φόρουμ.
Η διαδικασία είναι απλή: Οι hackers εισβάλλουν στους server,
συχνά μέσω επιθέσεων «ωμής βίας», αποσπούν τα στοιχεία
πιστοποίησης και σύνδεσης, τα οποία μεταφέρουν έπειτα στο
xDedic. Στη συνέχεια, οι εγκληματίες προχωρούν στον έλεγχο
στοιχείων που αφορούν τη διαμόρφωση του πρωτοκόλλου
RDP, τη μνήμη, το λογισμικό, το ιστορικό περιήγησης τους
κ.ά. Ουσιαστικά, όλα τα παραπάνω αποτελούν χαρακτηριστικά
που οι «πελάτες» μπορούν να κοιτάξουν πριν προχωρήσουν
σε μια αγορά.
Με ένα εξαιρετικά χαμηλό κόστος, της τάξης των $6 ανά server,
τα μέλη του φόρουμ xDedic μπορούν να έχουν πρόσβαση σε
όλα τα δεδομένα ενός server, αλλά και να τον χρησιμοποιούν
ως πλατφόρμα για περαιτέρω κακόβουλες επιθέσεις. Αυτό
θα μπορούσε ενδεχομένως να περιλαμβάνει στοχευμένες
επιθέσεις, επιθέσεις με βάση κακόβουλο λογισμικό, επιθέσεις
DDoS, δραστηριότητες phishing, ενέργειες κοινωνικής
μηχανικής και επιθέσεις μέσω προγραμμάτων adware, μεταξύ
άλλων.
Οι νόμιμοι ιδιοκτήτες των server, στους οποίους
περιλαμβάνονται οργανισμοί με υψηλό κύρος (π.χ.
κυβερνητικοί οργανισμοί, εταιρείες και πανεπιστήμια), συχνά
αγνοούν ότι η πληροφοριακή υποδομή τους έχει παραβιαστεί.
Επιπλέον, αφού ολοκληρωθεί μια εκστρατεία, οι επιτιθέμενοι
μπορούν να πουλήσουν πρόσβαση στα αντίγραφα ασφαλείας
του server και η όλη διαδικασία μπορεί να ξεκινήσει από την
αρχή.
Η «αγορά» του xDedic φαίνεται να ξεκίνησε τις
δραστηριότητες της κάποια στιγμή το 2014. Από τα
μέσα του 2015 και μετά μάλιστα, η «δημοτικότητα» της έχει
αυξηθεί σημαντικά. Για τον Μάιο του 2016, είχαν καταγραφεί
8 security

70.624 servers από 173 χώρες. Οι αναρτήσεις για την πώληση
πρόσβασης έγιναν στον όνομα 416 διαφορετικών πωλητών.
Οι 10 χώρες που επηρεάζονται περισσότερο είναι η Βραζιλία,
η Κίνα, η Ρωσία, η Ινδία, η Ισπανία, η Ιταλία, η Γαλλία, η
Αυστραλία, η Νότιος Αφρική και η Μαλαισία. Η ομάδα πίσω
από το xDedic φαίνεται να είναι ρωσόφωνη, ενώ ισχυρίζεται
ότι απλώς παρέχει μια πλατφόρμα συναλλαγών και δεν έχει
καμία σχέση ή συνεργασία με τους πωλητές.
«Η xDedic είναι ακόμη μία επιβεβαίωση ότι το ψηφιακό έγκλημα
αποκτά χαρακτηριστικά μιας αγοράς υπηρεσιών, η οποία
επεκτείνεται με την προσθήκη εμπορικών οικοσυστημάτων και
πλατφορμών συναλλαγών. Με την ύπαρξη του, το xDedic κάνει
ευκολότερη από ποτέ τη συμμετοχή σε δυνητικά καταστροφικές
επιθέσεις για όλους - από εισβολείς με γνώσεις χαμηλού
επιπέδου έως ομάδες που βρίσκονται πίσω από κρατικά
υποβοηθούμενες επιθέσεις APT. Επιπλέον, αυτό γίνεται με
τρόπο που είναι φθηνός, γρήγορος και αποτελεσματικός. Τα
τελικά θύματα δεν είναι μόνο οι καταναλωτές ή οργανισμοί
που αποτελούν στόχο μιας επίθεσης, αλλά και οι ανυποψίαστοι
ιδιοκτήτες των server. Μάλιστα, οι τελευταίοι μπορεί να μη
γνωρίζουν καν ότι οι server τους βρίσκονται σε καθεστώς
ομηρίας κι ότι χρησιμοποιούνται ξανά και ξανά, για διαφορετικές
επιθέσεις, ενώ όλα αυτά διεξάγονται ακριβώς κάτω από τη
μύτη τους!», δήλωσε ο Costin Raiu, Director της Παγκόσμιας
Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab.
Η Kaspersky Lab συνιστά στους οργανισμούς:
• Να εγκαταστήσουν μια ισχυρή λύση ασφάλειας ως μέρος μιας
συνολικής, πολυεπίπεδης προσέγγισης για την ασφάλεια
των πληροφοριακών υποδομών τους
• Να υιοθετήσουν τη χρήση ισχυρών κωδικών πρόσβασης ως
μέρος της διαδικασίας ελέγχου ταυτότητας server
• Να εφαρμόσουν μια συνεπή διαδικασία διαχείρισης των
patches
• Να πραγματοποιούν τακτικούς ελέγχους ασφάλειας των
υποδομών τους
• Να εξετάσουν την υλοποίηση μιας επένδυσης σε υπηρεσίες
πληροφόρησης για απειλές, οι οποίες θα προσφέρουν ενημέρωση
και σημαντικές πληροφορίες για τις αναδυόμενες
απειλές, δίνοντας επίσης και μια εικόνα της εγκληματικής
προοπτικής, με στόχο την αξιολόγηση του επιπέδου των
κινδύνων που μπορεί να αντιμετωπίσουν
Περισσότερες πληροφορίες για την «αγορά» xDedic είναι
διαθέσιμες στον ιστότοπο Securelist.com.
security
9

T4505-07.2016
News
Νέα λύση IoT της Symantec προστατεύει τις αυτοκινητοβιομηχανίες
από επιθέσεις Zero Day
Η Symantec παρουσίασε πρόσφατα τη λύση Symantec
Anomaly Detection for Automotive, που προστατεύει τις
αυτοκινητοβιομηχανίες από zero-day επιθέσεις αλλά και από
θέματα ασφάλειας που αντιμετωπίζουν τα σύγχρονα οχήματα.
Μεταφέροντας την εκτεταμένη εμπειρία της Symantec σε θέματα
ασφάλειας και εξελιγμένα analytics πολύπλοκων δικτύων
και στα οχήματα, το νέο Anomaly Detection for Automotive
παρέχει τη ζωτικής σημασίας δυνατότητα να εντοπίζονται θέματα
που άπτονται της ασφάλειας των οχημάτων καθώς και
την έγκαιρη αποκατάσταση αυτών.
Τα συνδεδεμένα αυτοκίνητα προσφέρουν στους οδηγούς
ανέσεις, όπως πλοήγηση, απομακρυσμένη οδική βοήθεια και
mobile Internet hot spots. Σύμφωνα με εκτιμήσεις αναλυτών
της Gartner, μέχρι το 2020 θα κυκλοφορούν στους δρόμους
πάνω από 220 εκατομμύρια συνδεδεμένα αυτοκίνητα. Παρόλο
που οι νέες τεχνολογίες υπόσχονται την ενίσχυση της
οδηγικής εμπειρίας, αυτές οι εξελίξεις δημιουργούν επίσης
λεωφόρους για επιθέσεις από χάκερ που μπορούν να θέσουν
σε κίνδυνο τόσο τους ίδιους τους οδηγούς όσο και τους υπόλοιπους
επιβάτες.
Το Symantec Anomaly Detection for Automotive χρησιμοποιεί
την μηχανική της μάθησης για να παρέχει παθητικά security
analytics εντός του οχήματος, τα οποία παρακολουθούν όλη
την κυκλοφορία των Controller Area Network (CAN), χωρίς
ωστόσο να επηρεάζονται οι λειτουργίες του οχήματος. Το σύστημα
«μαθαίνει» ποια είναι η φυσιολογική συμπεριφορά και
εντοπίζει μία ανώμαλη δραστηριότητα που μπορεί να υποδεικνύει
μια επίθεση. Η λύση λειτουργεί με σχεδόν κάθε μάρκα
και μοντέλο αυτοκινήτου.
«Το Internet of Things περιλαμβάνει πολλούς διαφορετικούς
τομείς, αλλά τα συνδεδεμένα αυτοκίνητα είναι αυτά που θα
αλλάξουν ριζικά τις μεταφορές και τις επικοινωνίες», δήλωσε
ο Christian Christiansen, VP προϊόντων ασφαλείας της
IDC. «Καθώς τα συνδεδεμένα αυτοκίνητα γίνονται πλέον κανόνας
στην αγορά, τα ζητήματα ασφάλειας έχουν αρχίσει να
μας εφιστούν ολοένα και περισσότερο την προσοχή. Οι κατασκευαστές
αλλά και οι προμηθευτές οχημάτων συνεργάζονται
με εταιρείες κυβερνοασφάλειας για την εξασφάλιση των
συνδεδεμένων αυτοκινήτων όπως θα έκαναν με οποιοδήποτε
άλλο δικτυωμένο endpoint, όπως φορητές συσκευές και
υπολογιστές. Διατηρώντας την ασφάλεια σε υψηλά επίπεδα,
μπορεί να διασφαλιστεί όχι μόνο η ασφάλεια των οδηγών και
των επιβατών, αλλά να οικοδομηθεί και η εμπιστοσύνη τόσο
προς τους κατασκευαστές αυτοκινήτων όσο και όλου του οικοσυστήματος
των Internet of Things».
Το Symantec Anomaly Detection for Automotive είναι το πιο
πρόσφατο παράδειγμα της επένδυσης που κάνει η Symantec
στην πιο ολοκληρωμένη λύση ασφάλειας IoT security για τον
συγκεκριμένο κλάδο. Η Symantec παρουσίασε το Anomaly
Detection for Automotive κατά τη διάρκεια του TU-Automotive
στο Detroit ενώ συμμετείχε και σε πάνελ συζήτησης με θέμα
Automotive Connectivity: Risky Business or Savior?
Το Symantec Anomaly Detection for Automotive, είναι άμεσα
διαθέσιμο στις περισσότερες αγορές παγκοσμίως.
10 security

Εργαλείο αποκρυπτογράφησης από την
ESET για πρόσφατες παραλλαγές του
Ransomware TeslaCrypt
Η ESET ανακοίνωσε τη διάθεση εργαλείου αποκρυπτογράφησης
για τις τελευταίες παραλλαγές του ransomware TeslaCrypt. Η
είδηση αυτή είναι εξαιρετικά ευχάριστη για τους χρήστες που
έχουν πέσει θύματα μόλυνσης των νέων παραλλαγών (v3 ή v4)
του γνωστού ransomware TeslaCrypt και τα κρυπτογραφημένα
αρχεία έχουν επεκτάσεις .xxx, .ttt, .micro, .mp3 ή παρέμειναν
αμετάβλητες. Πρόσφατα, οι δημιουργοί του TeslaCrypt
ανακοίνωσαν ότι έχουν ολοκληρώσει τις κακόβουλες
δραστηριότητες τους. Με αφορμή την ανακοίνωση αυτή,
ένας από τους αναλυτές της ESET επικοινώνησε ανώνυμα
με την ομάδα μέσω του επίσημου καναλιού υποστήριξης που
λειτουργούν οι δημιουργοί του TeslaCrypt για τα θύματα του
ransomware, και ζήτησε το κύριο κλειδί αποκρυπτογράφησης.
Παραδόξως, το ανακοίνωσαν δημόσια.Αυτό έδωσε τη
δυνατότητα στην ESET να δημιουργήσει αμέσως ένα δωρεάν
εργαλείο αποκρυπτογράφησης το οποίο ξεκλειδώνει τα αρχεία
που έχουν μολυνθεί από όλες τις παραλλαγές του ransomware.
Οδηγίες σχετικά με τη χρήση του εργαλείου αυτού
διατίθενται στην ειδική σελίδα στο website της ESET. Η ESET
επίσης συμβουλεύει τους χρήστες να είναι προσεκτικοί με
τους συνδέσμους (links) ή με τα αρχεία στο e-mail ή στο browser
τους, ειδικά αν έχουν λάβει ένα μήνυμα από μια άγνωστη
πηγή ή αν φαίνεται ύποπτο.
security
11

T4505-07.2016
News
Οι λύσεις ασφάλειας δεδομένων της Impreva στην Ελλάδα από την Itway Hellas
Η Itway Hellas ανακοινώνει με ιδιαίτερη ικανοποίηση την
επίσημη συνεργασία διανομής με την Imperva, ηγέτιδα
εταιρία σε λύσεις ασφάλειας δεδομένων και εφαρμογών, που
προστατεύουν τις κρίσιμες πληροφορίες cloud και on-premise.
Ιδρύθηκε το 2002, έχοντας μια σταθερή ιστορία ανάπτυξης
και επιτυχίας, με πάνω από 4.500 πελάτες και 300 συνεργάτες
σε περισσότερες από 90 χώρες σε όλο τον κόσμο.
Η Imperva με κεντρικό σύνθημα της "We Protect What
Matters Most" έχει ένα σκοπό: να προστατέψει τα κρίσιμα
δεδομένα και τις εφαρμογές των επιχειρήσεων από
εξωγενείς ηλεκτρονικές επιθέσεις αλλά και από εσωτερικές
απειλές. Οι λύσεις της σας επιτρέπουν να ανακαλύψετε
τους κινδύνους, και στη συνέχεια να προστατεύσετε τις πιο
πολύτιμες πληροφορίες, όπως η πνευματική ιδιοκτησία, τα
επιχειρηματικά σχέδια, τα εμπορικά μυστικά, πληροφορίες
πελατών και εργαζομένων, καθώς και τα καθημερινά
δεδομένα με τα οποία λειτουργεί η επιχείρησή σας. Επίσης
βοηθάει στη συμμόρφωση με τους ολοένα και αυστηρότερους
κανονισμούς και διατάξεις αναφορικά με την προστασία των
δεδομένων και την εγκαθίδρυση πολιτικών, διακριτών ρόλων
και δικαιωμάτων καθώς και ελέγχων.
Η Imperva παρέχει:
• Γρήγορη εγκατάσταση με πολλαπλές επιλογές ανάπτυξης
• Εύκολη διαχείριση
• Έξυπνη, εξελισσόμενη πλατφόρμα για να συμβαδίζει με τις
σύγχρονες επιθέσεις
Η Imperva, δεσμεύεται για τη συνεχή υποστήριξη και
συνεργασία με τον τελικό χρήστη μακροπρόθεσμα, βοηθώντας
τον να συμβαδίζει με τις ανάγκες για ασφάλεια των δεδομένων
και των εφαρμογών καθώς και συμμόρφωση σε κανονιστικές
διατάξεις εστιάζοντας σε αυτό που πραγματικά έχει σημασία.
«Είμαστε ιδιαίτερα ικανοποιημένοι με τη νέα αυτή συνεργασία»
δήλωσε ο δήλωσε ο κος Ιωάννης Γκιώνης, Sales & Marketing
Manager της εταιρίας Itway Hellas. «Οι λύσεις της Imperva
είναι γνωστές και καθιερωμένες στις αγορές της Ελλάδας και
της Κύπρου, και παρέχουν το υψηλότερο επίπεδο προστασίας
σε Web Application Security και Data Security.
Ο βασικός μας στόχος είναι να καταφέρουμε να εισάγουμε αυτές
τις κορυφαίες τεχνολογίες της Imperva και στις μεσαίου μεγέθους
εταιρίες της περιοχής μας, πάντα μέσω του εξουσιοδοτημένου
καναλιού συνεργατών, αλλά και να παρουσιάσουμε δυναμικά
νέες καινοτόμες προτάσεις όπως το Incapsula και το Skyfence.»
Για περισσότερες πληροφορίες επισκεφτείτε το επίσημο site της
εταιρείας: www.imperva.com/
Συμμετοχή “Ελληνικής Ομάδας” στο μεγαλύτερο Ευρωπαϊκό διαγωνισμό
Cyber Security
Ο ENISA (European Union Agency for Network and
Information Security) διοργανώνει το European Cyber Security
Challenge 2016, το μεγαλύτερο πανευρωπαϊκό διαγωνισμό
για νέους με ταλέντο στο cyber security. Ο διαγωνισμός
θα διεξαχθεί το Νοέμβρη στο Dusseldorf της Γερμανίας,
στον οποίο η ελληνική αποστολή θα κληθεί να αναμετρηθεί
με εθνικές ομάδες άλλων χωρών πάνω σε πρακτικές ασκήσεις
web security, mobile security, crypto puzzles, reverse
engineering, forensics, κ.ά. Η σύσταση της ελληνικής ομάδας
που θα διαγωνισθεί στη Γερμανία πραγματοποιήθηκε μέσω
ενός προκριματικού γύρου που διεξήχθη το Σάββατο 9 Ιουλίου
στα κτήρια του Τμήματος Ψηφιακών Συστημάτων του Πανεπιστημίου
Πειραιώς. Οι συμμετέχοντες αναμετρηθήκαν για
10 διαθέσιμες θέσεις και διαγωνίστηκαν πάνω σε θέματα παρόμοια
με αυτά της τελικής φάσης του διαγωνισμού. Ήταν ηλικίας
μεταξύ 14-30 ετών, χωρίς μεταπτυχιακό ή επαγγελματική
ενασχόληση με τον τομέα της ασφάλειας πληροφοριών. Υπεύθυνοι
για την ελληνική συμμετοχή είναι η εταιρεία TwelveSec
και το Τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου
Πειραιώς, ενώ η προσπάθεια στηρίζεται και από άλλα μεγάλα
ελληνικά πανεπιστήμια και οργανισμούς, όπως το Security
BSides Athens.
12 security

Συνεργασία Sephora και Netbull για την ασφάλεια του ηλεκτρονικού
καταστήματος
Τα ηλεκτρονικά καταστήματα αντιμετωπίζουν καθημερινά
απειλές από κυβερνοεγκληματίες, που μπορεί να αποβούν
εξαιρετικά καταστρεπτικές για την εύρυθμη λειτουργία τους. Οι
ολοένα και πιο προηγμένες επιθέσεις που δέχονται, συχνά δεν
μπορούν να αντιμετωπιστούν με τις παραδοσιακές τεχνολογίες
προστασίας όπως firewall, IPS, κ.λπ. ενώ η συνεχής κατάρτιση
του προσωπικού σε θέματα αντιμετώπισης περιστατικών
ασφαλείας δεν είναι πάντα εφικτή.
Αυτήν την επιτακτική ανάγκη για την ασφάλεια των
ηλεκτρονικών καταστημάτων έρχεται να καλύψει η NE-
TBULL μέσω της πρωτοποριακής υπηρεσίας WebApplicationFirewall
(WAFasaService). Η ανωτέρω υπηρεσία σε
συνδυασμό με τα Managed Security Services δημιουργεί τις
προϋποθέσεις εκείνες που θα οδηγήσουν στην αποτελεσματική
διαχείριση οποιουδήποτε περιστατικού ασφαλείας.
Η Νetbull είναι πιστοποιημένη κατά το διεθνές πρότυπο
για την ασφάλεια ISO27001:2013 και διαθέτει πολύχρονη
γνώση και εμπειρία, πιστοποιήσεις από ανεξάρτητους
φορείς και μεγάλο αριθμό έργων για πλειάδα οργανισμών.
Στο πελατολόγιό της περιλαμβάνονται οργανισμοί του
χρηματοοικονομικού τομέα, αλλά και άλλοι μεγάλοι και
μικρότεροι Οργανισμοί, που οι εργασίες τους βασίζονται εξ
ολοκλήρου ή σε μεγάλο βαθμό στην τεχνολογία, το Διαδίκτυο
και το Ηλεκτρονικό Επιχειρείν. Διαθέτει ένα σύγχρονο
Επιχειρησιακό Κέντρο Ασφάλειας (SecurityOperationCenter)
το οποίο έχει στελεχωθεί από εξειδικευμένο και πιστοποιημένο
προσωπικό.
Με αυτήν τη λογική η Sephora απευθύνθηκε στη Νetbull
αναζητώντας μία ολοκληρωμένη λύση για την προστασία του
ηλεκτρονικού καταστήματος της με σκοπό την θωράκιση του
έναντι των απειλών που μπορεί ανά πάσα στιγμή να δεχθεί.
Η λύση που υιοθέτησε αφορά τον εντοπισμό των αδυναμιών
του ηλεκτρονικού καταστήματος που μπορεί να τύχουν
εκμετάλλευσης από τους κυβερνοεγκληματίες μέσα από την
υπηρεσία Δοκιμών Διείσδυσης. Επιπλέον, εξασφάλισε την
προστασία του με χρήση της υπηρεσίας Web Application Firewall
as a Service και τέλος, πέτυχε την παρακολούθηση
και την διαχείριση των περιστατικών ασφαλείας μέσω της
υπηρεσίαςMonitoring, με στόχο την άμεση ενημέρωση και
αντιμετώπιση οποιαδήποτε επίθεσης. Η παρακολούθηση και
η διαχείριση των περιστατικώνασφαλείας παρέχεται από το
SecurityOperationsCenterτης netbull που λειτουργεί 24x7x365
και έχει ως βασικόστόχοτον εντοπισμό επιθέσεων μέσω της
συνεχής παρακολούθησης και ανάλυσης των δεδομένων. Έτσι,
για κάθε ένδειξη για πιθανό περιστατικό ασφάλειας, ανωμαλία
στη ροή πληροφοριών, απόπειρα μη εξουσιοδοτημένης
πρόσβασης ή οποιαδήποτε άλλη δυσλειτουργία, οι
εξειδικευμένοι και πιστοποιημένοι μηχανικοί αναλαμβάνουν
να αναλύσουν το συμβάν, να λάβουν τα απαραίτητα μέτρα
για την προστασία του ηλεκτρονικού καταστήματος και να
ενημερώσουν τους υπεύθυνους της Sephora.
Προστασία 24x7x365
«Η εταιρεία η οποία θα μας παρείχε τις υπηρεσίες ασφάλειας
για το ηλεκτρονικό κατάστημα θα έπρεπε να πληροί δύο βασικές
προϋποθέσεις: (α) Να διαθέτει αποδεδειγμένη εμπειρία και
τεχνογνωσία στην ασφάλεια ηλεκτρονικών καταστημάτων και
στην αντιμετώπιση οποιασδήποτε απειλής σε πραγματικό χρόνο
24x7 και (β) να ικανοποιεί τα διεθνή πρότυπα ασφαλείας που
είχε θέσει η μητρική εταιρεία», επισημαίνει η Μαρία Σιδέρη,
ΙΤ Manager της Sephora. «Έτσι, απευθυνθήκαμε στην netbull,
αφού εξασφαλίσαμε ότι μας παρέχονται τα εχέγγυα για 100%
κάλυψη των αναγκών μας, σε βάση 24x7x365».
Μαρία Σιδέρη, IT Manager Greece, Sephora)
security
13

T4505-07.2016
Interview
Η πληρέστερη και πιο τεχνολογικά
προηγμένη τεχνολογία σε Endpoint
Security
Οι σημαντικότερες απειλές, το κόστος που προκύπτει από αυτές, αλλά και τις λύσεις προστασίας
που έχει αναπτύξει Bitdefender, αποτέλεσαν τα βασικά σημεία της συνέντευξης που μας
παραχώρησε ο κος Κώστας Καρβέλας.
ανεξαρτήτως τομέα, αλλά κυρίως σε επιχειρήσεις που εξακολουθούν
να εξαρτώνται από πεπαλαιωμένα συστήματα υπολογιστών
ή που δεν χρησιμοποιούν ή δεν έχουν ενημερωμένα
χαρακτηριστικά ασφάλειας. Ως αποτέλεσμα, το ποσοστό των
οργανισμών που έχουν αναφέρει επιθέσεις σχετικές με την
ασφάλεια αυξήθηκε στο 40% το 2013, από το 20% το 2009,
σύμφωνα με έρευνες και αναλύσεις. Όπως αναφέρεται χαρακτηριστικά
και στην έρευνα Cost of Data Breach Study: Global
Analysis το μέσο κόστος της παραβίασης σε μια εταιρεία φτάνει
σε 3.5 εκατομμύριο δολάρια, 15% περισσότερο από ό, τι
κόστιζε το προηγούμενο έτος και με φετινές μετρήσεις να
φτάνουν κατά μέσο όρο στα 4 εκατ. δολάρια. Επίσης, γνωρίζουμε
ότι πίσω από όλες αυτές τις παραβιάσεις στηρίζεται μια
βιομηχανία κυβερνο-εγκληματιών που σκοπό καθαρά έχουν
το κέρδος και πως θα αποκομίσουν όλο και περισσότερα χρήματα
από επιχειρήσεις και οργανισμούς. Κάτω από αυτές τις
συνθήκες μπορούμε να πούμε ότι πλέον καμιά επιχείρηση η
οργανισμός δεν μπορεί να είναι ή να αισθάνεται ασφαλής η να
στηρίζετε στα παλιά μοντέλα ασφαλείας.
Συνέντευξη με τον Κώστα Καρβέλα
Blue Soft & IT * Regional Sales Engineer Sr. Manager
Bitdefender Certified Technical & Sales Specialist
Ποιές είναι κατά τη γνώμη σας αυτή τη στιγμή οι
σημαντικότερες απειλές στο ψηφιακό κόσμο για
τα δεδομένα και τα δίκτυα των επιχειρήσεων.
Υπάρχουν επιχειρήσεις που μπορούν να
“κοιμούνται ήσυχες”;
Data protection και Cyber Security είναι 2 θέματα αλληλένδετα,
κυρίως λόγω του ρίσκου που περιέχουν. Το συμπέρασμα
είναι, ότι όλα τα δεδομένα ανεξαρτήτως το που βρίσκονται είναι
εκτεθειμένα σε απειλές. Οι αναφορές για παραβιάσεις δεδομένων,
προέρχονται από όλο το εύρος των βιομηχανιών
Με ποιο τρόπο λοιπόν οι τεχνολογίες που έχει
αναπτύξει η Bitdefender καλύπτουν τις υψηλές
απαιτήσεις που έχουν σήμερα οι επιχειρήσεις για
την προστασία των δεδομένων τους;
Με ένα παγκόσμιο δίκτυο απο 500 εκατ. υπολογιστές, η
Bitdefender αυτήν την στιγμή κατέχει τη μεγαλύτερη υποδομή
ασφάλειας στον κόσμο με 100 εκατ. nodes επιπλέον
από τον πλησιέστερο αντίπαλο. Το Global Protective Network
της εκτελεί περίπου 11 δισ. αναλύσεις την ήμερα, χρησιμοποιώντας
αντανακλαστικά μοντέλα ανάλυσης καθώς επίσης
και machine learning αλγόριθμους για να εντοπίσει μοντέλα
malware, εξασφαλίζοντας real time protection απέναντι σε
κάθε απειλή. Το σύστημα εντοπίζει, προβλέπει και εκτελεί τις
απαραίτητες ενέργειες για να εξουδετερώσει κίνδυνους και
14 security

απειλές σε λιγότερο από 3 δευτερόλεπτα παγκοσμίως. Επίσης,
ενημερώνει το reputation εφαρμογών emails, ιστοσελίδων
και παράγει alerts ευημερώντας αντίστοιχα τον διαχειριστή
ασφάλειας. Επίσης, τεχνολογίες όπως η BitDefender Photon
βελτιστοποιεί τη διαδικασία σάρωσης με την εξέταση άγνωστων,
ύποπτων ή τροποποιημένων αρχείων. Προσαρμόζεται
σε κάθε υπολογιστή και σαρώνει αρχεία, μαθαίνοντας συνήθειες
χρήσης και τον προσδιορισμό των εφαρμογών για τη σάρωση
ή όχι. Δεν είναι υπερβολή να πούμε, οτι η Βitdefender
αυτήν την στιγμή παρέχει την πληρέστερη και την πιο τεχνολογικά
προηγμένη τεχνολογία σε Endpoint security της αγοράς.
Η λύση υποστηρίζει όλα τα επίσημα λειτουργικά συστήματα σε
όποια μορφή και αν είναι, physical ή virtual. Ο έλεγχος γίνεται
μέσω cloud κονσόλας χωρίς να επιβαρύνει τον οργανισμό
με επιπλέον κόστη υποδομής. Εφόσον βέβαια επιλέγει από
την επιχείρηση παρέχεται και virtual appliance κονσόλα χωρίς
επιπλέον κόστος. Προστατεύει την Virtual υποδομή μας ή
data center ανεξαρτήτως κατασκευαστή (Vmware, Citrix, Ms
Hyper-V, Linux ) παρέχοντας ταχύτητα και απελευθερώνοντας
resources από τις virtual μηχανές μέσω του ενσωματωμένου
security server και χωρίς να χρειάζεται επιπλέον agent στις
επιμέρους μηχανές.
Ας εξειδικεύσουμε λίγο περισσότερο. Ποια λύση
της Bitdefender απευθύνεται στη πλειοψηφία
των εταιρειών της Ελλάδας που αναζητούν μια
προηγμένη και ολοκληρωμένη λύση προστασίας
των δεδομένων του; Τι οφέλη προσφέρει;
Η Bitdefender με την επαγγελματική σειρά προϊόντων
Gravityzone -που εδώ αξίζει να πούμε οτι πρόκειται για μια
σειρά που έχει αποσπάσει τα τελευταία 3 χρόνια αρκετά βραβεία
απόδοσης προστασίας- προσφέρει την καλύτερη κάλυψη
σε λύσεις endpoint security, την πληρέστερη κάλυψη σε
προστασία για όλο το εύρος των επιχειρήσεων απο SMB έως
Enterprise. Ειδικότερα, η σειρά χωρίζεται σε 2 bundles και
σε Enterprise λύση. Πρόκειται, για το Bussines Security, το
Advanced Bussines security και το Enterprise Solution. Όλα
τα προϊόντα προσφέρουν την ίδια υψηλής απόδοσης κάλυψη.
Αναλυτικότερα, η βασική διάφορα μεταξύ Bussines Security
και Advanced Bussines Security, είναι οτι το δεύτερο υποστηρίζει
Exchange server και κάλυψη mobile συσκευών (IOS &
Android) on premise. Το Enterprise Solution επιπλέον, είναι
μια modular λύση που “κτίζεται” ανάλογα με τις ανάγκες του
οργανισμού. Όλα τα προϊόντα της σειράς προσφέρουν κεντρική
διαχείριση της ασφάλειας των υπολογιστών ενός δικτυού,
με απαράμιλλα χαρακτηριστικά. Ένα από τα βασικά του πλεονεκτήματα
είναι η κάλυψη όλων των λειτουργικών συστημάτων
Windows - Linux - Mac, είτε πρόκειται για virtual σε οποιαδήποτε
πλατφόρμα ή physical υποδομή. Η Bitdefender υποστηρίζει
όλες τις virtual υποδομές όπως VΜware, Hyper-V,
Citrix κ.λπ. Περιλαμβάνουν επίσης, ενσωματωμένο Firewall/
Intrusion detection, Web Filtering, Device Control, Spam και
Contend Control protection πλέον του Antimalware Module
για την πιο ολοκληρωμένη προστασία του δικτυού. Με τεχνολογίες
όπως η Photon βελτιστοποιεί το scanning process
ελέγχοντας άγνωστα, ύποπτα ή επεξεργασμένα αρχεία χρησιμοποιώντας
εξελιγμένους αλγορίθμους συγκεκριμένων
patterns και σύμφωνα με τη συμπεριφορά των αρχείων μπορεί
να γνωρίζει αν ένα αρχείο είναι ύποπτο ή όχι. Υποστηρίζουν
επίσης σύνδεση με τo Bitdefenter Global Protective Network,
που με τους 7 δισ. ελέγχους που εκτελεί καθημερινά εξασφαλίζει
real time protection απέναντι σε κάθε απειλή.
Τα παραπάνω, είναι μερικά απο τα βασικότερα χαρακτηριστικά
των προϊόντων της Bitdefnder GravityZone σειράς, που θα
μπορούσαμε να αναφέρουμε. Επιπλέον, υπάρχουν και αρκετά
περισσότερα που στο σύνολο τους προσφέρουν true real
time protection με τις λιγότερες απαιτήσεις σε resources και
σε μηδενικά (λόγο cloud) κόστη υποδομής.
* Η Blue Soft & IT είναι ο αποκλειστικός Country Partner της
Bitdefender στην Ελλάδα, και Κύπρο με κύριο ρόλο να σχεδιάσει
την εμπορική πολιτική, το marketing και να αναπτύσσει την
Ελληνική αγορά μέσω των εξουσιοδοτημένων συνεργατών της.
Για περισσότερες πληροφορίες, οι ενδιαφερόμενοι μπορούν να
επικοινωνήσουν με την Blue Soft & IT στο 215 535 3030 η μέσω
email στο info@bluesoft.gr. ITSecurity
security
15

T4505-07.2016
Cover Issue
Sandbox
Αντιμετωπίζοντας τις προηγμένες
απειλές
Οι γνωστές αλλά κυρίως οι άγνωστες απειλές που χαρακτηρίζονται ως προηγμένες αποτελούν το
μεγάλο πονοκέφαλο των οργανισμών. Η τεχνολογία Sandbox αποτελεί σήμερα μια δημοφιλή και
αποτελεσματική λύση προστασίας για οργανισμούς κάθε δραστηριότητας και κλίμακας.
ψηφιακή επανάσταση έχει όπως καλά γνωρίζουμε
και τη “σκοτεινή της πλευρά”. Πολλές
H
εταιρείες ποικίλης δραστηριότητας και κλίμακας
που προσφέρουν πολύπλοκες και εξατομικευμένες
ψηφιακές υπηρεσίες στους πελάτες
τους, καλούνται ταυτόχρονα να είναι “φύλακες” των κρίσιμων
δεδομένων τους. Είναι ακριβές να ισχυριστούμε, ότι ο
τρόπος συλλογής αυτών των δεδομένων, η αποθήκευση τους
και η διαχείριση τους σε βάθος μπορεί να αποτελέσει "το κλειδί
της επιτυχίας" μίας επιχείρησης. Μία τέτοια βάση δεδομένων
όμως με τόσες πολύτιμές πληροφορίες, αποτελεί σήμερα το
βασικό στόχο ενός εξελιγμένου επιτιθέμενου, που αποσκοπεί
σε προσωπικό οικονομικό όφελος και για αυτό επιβάλλεται η
επαρκής προστασία της. Σε περίπτωση υφαρπαγής και διαρροής
των δεδομένων αυτών, κλονίζεται από την μια πλευρά
η λειτουργία παροχής υπηρεσιών της εταιρίας προς τους πελάτες
της και από την άλλη πλευρά καταρρακώνεται η φήμη
συνολικά της εταιρείας.
16 security

Της Παναγιώτας Τσώνη
Η πρόκληση της ουσιαστικής και αποτελεσματικής προστασίας
των δεδομένων, του δικτύου και εν γένει της εταιρικής ΙΤ
υποδομής είναι εξαιρετικά σύνθετη όσο εξελίσσεται η γραμμή
επίθεσης απέναντι της. Οι επιτιθέμενοι σήμερα διαθέτουν
προηγμένα εργαλεία και εφαρμόζουν εξελιγμένες μεθόδους
εισβολής τις όποιες χρησιμοποιούν συνδυαστικά, ώστε να
υποσκελίσουν τις εταιρικές άμυνες και να εισέλθουν στο δίκτυο
της επιχείρησης.
Κατά συνέπεια, η ομάδα ασφάλειας κάθε οργανισμού οφείλει
τον θωρακίσει με αποτελεσματικές λύσεις προστασίας, τέτοιες
που να επιτρέπουν την ανίχνευση των προηγμένων απειλών
και τη διαχείρισή τους, όσο πιο γρήγορα γίνεται για να αποφεύγονται
οποιουδήποτε είδους παραβιάσεις. Στα πλαίσια αυτά
οι λύσεις τεχνολογίας Sandbox, κερδίζουν ολοένα και περισσότερο
έδαφος και πλέον θεωρούνται πολύτιμο στήριγμα
ασφάλειας για πολλούς οργανισμούς εφαρμόζοντας αποδοτικά
στρατηγικές ανίχνευσης, αποτροπής και αντίδρασης σε
πολλές ενδεχόμενες επιθέσεις.
Ως Sandbox ορίζεται ένα εικονικό περιβάλλον ή περιβάλλον
εξομοίωσης στο οποίο καταφτάνουν όλα τα πιθανά ύποπτα
αρχεία που εισέρχονται στο εταιρικό δίκτυο και εκτελούνται
ώστε να αξιολογηθεί η συμπεριφορά και άρα η επικινδυνότητά
τους. Τα σύγχρονα Sandboxes είναι ικανά να αντιγράψουν
οποιοδήποτε λειτουργικό περιβάλλον, να εκτελέσουν πληθώρα
διαφορετικών τύπων αρχείων και να καταγράφουν όλα τα
σημεία κλειδιά που θα καθορίσουν την αποδοχή ή την απόρριψη
του εκάστοτε αρχείου.
Με αυτό τον τρόπο οι υπεύθυνοι ασφάλειας μπορούν ευκολότερα
να περιορίζουν τον αντίκτυπο των επιθέσεων στο δίκτυό
τους και να προλαμβάνουν τις μελλοντικές προσπάθειες
εισβολής.
Η διεύρυνση των στόχων είναι μια
πραγματικότητα
Αν κάποιος οργανισμός θεωρεί ότι ανήκει στο απυρόβλητο
των επιθέσεων γιατί κατά μία περίεργη θεώρηση δεν έχουν
αξία τα δεδομένα του, τότε σίγουρα σφάλλει. Πολλές είναι οι
έρευνες που δημοσιεύονται κατά καιρούς το τελευταίο διάστημα
και δείχνουν ότι κάθε εταιρία ανεξαρτήτου δραστηριότητας
ή κλίμακας μπορεί να είναι στόχος και μάλιστα ευάλωτος
μπροστά σε ηλεκτρονικές επιθέσεις. Σύμφωνα με
έρευνα που διεξήχθη από την Forrester Consulting για λογαριασμό
της Fortinet τον Ιούλιο του 2015 περισσότερες από
το 90% των εταιριών που συμμετείχαν είχαν υποστεί παραβίαση
δεδομένων στους προηγούμενους 12 μήνες και μάλιστα
το 55% εξ' αυτών είχαν πέσει θύματα παραπάνω από 6
φορές συνολικά.
Οι εξελιγμένες επιθέσεις είναι πλέον πολύ συχνές και καμία
δεν είναι ίδια με την προηγούμενη, με αποτέλεσμα να απαιτείται
τελείως διαφορετική αμυντική γραμμή κάθε φορά. Η πλειοψηφία
των υπό έρευνα ομάδων ασφαλείας ανέφεραν όμως
ότι οι λύσεις με τεχνολογία Sandbox, παρείχαν χρήσιμες αναφορές
σχετικά με την ανίχνευση των προηγμένων απειλών και
προσέφεραν σημαντική και έγκαιρη προστασία.
Ο κρίσιμος ρόλος του Sandbox
Η τεχνολογία Sandbox και οι λύσεις που βασίζονται σε αυτή
μπορούν να παίξουν σημαντικό ρόλο στην προστασία ενάντια
security
17

T4505-07.2016
Cover Issue
στις εξελιγμένες επιθέσεις και ενδεχόμενες παραβιάσεις των
δικτύων, υποστηρίζοντας λειτουργίες ανίχνευσης και αποτροπής
των απειλών. Ειδικότερα, οι σύγχρονες λύσεις sandbox
παρέχουν πολύτιμες λειτουργίες στον τομέα της αντιμετώπισης
άγνωστων επιθέσεων, οι οποίες δύσκολα ανιχνεύονται
από τα παραδοσιακά μέσα προστασίας. Η αποτελεσματικότητα
της προστασίας που προσφέρεται από το Sandbox, οφείλεται
στο ότι δεν αναφερόμαστε σε μια μέθοδο αντιμετώπισης επίθεσης
που έχει εκδηλωθεί μέσα στον οργανισμό αλλά σε μια
τεχνική πρόληψης. Δηλαδή, το Sandbox είναι υπεύθυνο για
την ανίχνευση κακόβουλου αρχείου το οποίο ναι μεν εισήρθε
στο εταιρικό δίκτυο, αλλά ακόμα δεν εγκαταστάθηκε στους
πόρους του. Όσο πιο αξιόπιστο είναι το Sandbox τόσο λιγότερα
προβλήματα θα αντιμετωπίσει η ομάδα ασφάλειας του
εκάστοτε οργανισμού.
Φυσικά όπως γνωρίσουμε δεν υπάρχει η απόλυτη λύση στην
εταιρική προστασία, μιας και οι επιθέσεις εκδηλώνονται συνεχώς
σε νέες μορφές. Έτσι και η τεχνολογία Sandbox βρίσκεται
εκεί για να προσθέσει επιπλέον δυνατότητες προστασίας,
αλλά απαιτείται να συνυπάρχει και με ποικίλες άλλες πλατφόρμες
ασφάλειας, ώστε κάθε εταιρεία να θωρακίζεται το
βέλτιστο δυνατό.
Ενδεικτικά, αναφέρεται ότι διαπιστώθηκε βάσει της προαναφερόμενης
έρευνας, ότι στις Η.Π.Α παραπάνω από τις μισές
εταιρείας που απασχολούν 1000 υπαλλήλους ή περισσότερους,
έχουν ενσωματώσει λύσεις Sandboxing και το 11%
προσανατολίζεται στην επέκταση αυτής της επιλογής σε πιο
εξελιγμένες μορφές ή σε μεγαλύτερη ενδοεταιρική κλίμακα.
Από την άλλη μεριά το 19% των υπολοίπων σκόπευε να εισάγει
την τεχνολογία Sandbox στην επιχείρησή του μέσα στου
επόμενους 12 μήνες.
Πρακτικές υιοθέτησης λύσης Sandbox
Σύμφωνα με την προηγούμενη ανάλυση η απόκτηση μιας
λύσης Sandbox είναι πλέον πολύτιμη στη μάχη ενάντια στους
επιτιθέμενους. Προτού όμως οποιαδήποτε λύση καταλήξει
στους κόλπους ενός οργανισμού, πρέπει να αφιερωθεί χρόνος
στη μελέτη των πραγματικών αναγκών που πρέπει να ικανοποιηθούν,
των δυνατοτήτων που προσφέρει η εκάστοτε λύση,
του τρόπου που αυτές οι δυνατότητες ενσωματώνονται στην
υπάρχουσα εταιρική δομή, αλλά και του ποσοστού συνεργασίας
όλων των συστημάτων ασφαλείας του οργανισμού για
μία ολοκληρωμένη προσέγγιση ανίχνευσης, προστασία και
άμυνας. Οι πρακτικές που οδηγούν στην καλύτερη επιλογή
και ανάπτυξη μιας λύσης sandbox είναι:
• Κατανοήστε τα χαρακτηριστικά. Oι δυνατότητες που προσφέρονται
από την εκάστοτε λύση Sandbox πρέπει να καλύπτουν
τις τωρινές αλλά και τις μελλοντικές ανάγκες ενός
οργανισμού, σε θέματα λειτουργικού περιβάλλοντος και διεργασιών
ασφάλειας. Πρωταρχικά, λοιπόν αυτές οι ανάγκες
πρέπει να οριστούν με σαφήνεια και κατόπιν να αναζητηθεί
η λύση εκείνη που τις ικανοποιεί και θα τις ικανοποιεί στο
απώτερο μέλλον. Για να είστε σίγουροι ότι πράξατε τα δέοντα
απαιτείται να έχετε καταλήξει σε:
1. Μία στρατηγική ασφάλειας διατυπωμένη με σαφήνεια
που θα ξεκαθαρίζει τους τρόπους συντονισμού
και οργάνωσης στην αντιμετώπιση των απειλών.
2. Να έχετε επενδύσει σε ανθρώπινο δυναμικό με ικανοποιητική
κατάρτιση σε θέματα ασφάλειας.
3. Να επικεντρωθείτε στα ουσιώδη και να μην αναζητάτε
την τέλεια λύση.
Χωρίς να ικανοποιήσετε τα προαναφερόμενα η μάχη ενάντια
στους επιτιθέμενους είναι πολύ δύσκολο να κερδηθεί. Ζητούμενο
είναι η άριστη συνεργασία του Sandbox με την εταιρική
δομή χωρίς να δημιουργούνται δυσεπίλυτα προβλήματα και
ζημιογόνες καθυστερήσεις στη λειτουργία της εταιρείας.
• Ευελιξία στην ενσωμάτωση. Κατά την αξιολόγηση μια
Sandbox λύσης δίνεται ιδιαίτερη βαρύτητα στον τρόπο που
αυτή θα ενσωματωθεί με τα υπάρχοντα συστήματα ασφάλειας,
αλλά και γενικότερα με την εταιρική δομή. Καθώς οι
απειλές εξελίσσονται γοργά, αναζητάτε την λύση εκείνη που
θα είναι ευέλικτη στο να τις ανιχνεύει ικανοποιητικά και πα-
18 security

Sandbox
ράλληλα ικανή να τις προωθεί προς διαχείριση στα υπόλοιπα
συστήματα, χωρίς να διαταράσσει την παραγωγική διαδικασία.
Το πώς συνεργάζεται το Sandbox με τα υπόλοιπα
συστήματα ασφαλείας δεν πρέπει να αφήνεται χωρίς λεπτομερή
διερεύνηση.
• Κόστος. Όπως κάθε επιλογή τεχνολογικής φύσεως αναμένεται
να ξεκινήσετε με μία επένδυση η οποία όμως μελλοντικά
και με στόχο την αρτιότητα να απαιτεί επιπλέον πόρους
και άρα κόστος. Μία προσεκτική μελέτη και αξιολόγηση των
δυνατοτήτων και του κόστους ίσως να σας γλυτώσει από
περιττά έξοδα.
• Ευρύ πεδίο ελέγχου και αυτοματισμού. Οι ήδη εμπλεκόμενοι
στην τεχνολογία Sandbox δήλωσαν ότι θα επιθυμούσαν
η επιλεγμένη πλατφόρμα τους, να συνεργάζεται με
τουλάχιστον 6 από τα υπάρχοντα εργαλεία ασφάλειας που
προϋπάρχουν στον οργανισμό τους και το νούμερο αυτό είναι
ένας καλός γνώμονας για τη λήψη αποφάσεων. Στόχος
τους είναι η "έξυπνη" αντιμετώπιση των απειλών με πολλαπλά
μέτωπα άμυνας και διαχείρισης. Έτσι, αναζητάτε η λύση
Sandbox που θα προωθεί τα αποτελέσματα της αξιολόγησης
της στα υπόλοιπα εργαλεία ασφάλειας ενισχύοντας έτσι το
επίπεδο του αυτοματισμού των αντιδράσεων απέναντι στους
εισβολείς. Φυσικά, πάντα είναι ιδανική μια επιλογή ολοκληρωμένης
λύσης που θα εμπεριείχε και την Sandbox τεχνολογία
μαζί με ποικιλία εργαλείων ασφάλειας και όλα αυτά
θα συνεργάζονταν μεταξύ τους άριστα από κατασκευής, η
ενσωμάτωση στην εταιρική δομή θα ήταν απλούστερη και
τα αποτελέσματα από την αρχή ικανοποιητικά.
• Μη ζητάτε λιγότερα. Προτού επιλεγεί μία Sandbox πλατφόρμα
μελετήστε όλες τις αναφορές σχετικά με τον πάροχο
και τις δοκιμές που έχει υποβάλλει το προϊόν του, τις επιλογές
που προσφέρει, τις δοκιμές που έχουν τελέσει τρίτοι κατασκευαστές
και κυρίως ζητήστε δοκιμαστικές εκδόσεις για
να υλοποιήσετε και τις δικές σας δοκιμές. Διασφαλίστε την
λεπτομερή ανάλυση όλων των υπό συζήτηση Sandboxes,
για να επιλέξετε το καταλληλότερο για το δικό σας λειτουργικό
περιβάλλον.
Χαρακτηριστικά των Sandbox λύσεων ως κριτήρια επιλογής
Οι λύσεις Sandbox που κυκλοφορούν ποικίλλουν και τα χαρακτηριστικά
τους, που είναι ικανά για να επηρεάσουν την τελική
επιλογής τους από τους οργανισμούς είναι και αυτά αρκετά, τα
βασικότερα των οποίων παραθέτουμε παρακάτω:
• Δυνατότητες ευρείας ανάλυσης. Στις πιο απλές λύσεις
Sandbox παρέχεται περιορισμένο εύρος ανάλυσης σε τύπους
αρχείων, περιλαμβάνοντας κυρίως εκτελούμενα αρχεία,
ddl και ίσως pdf. Τα πιο εξελιγμένα προϊόντα διαθέτουν
αναλύσεις και άλλων κοινών τύπων αρχείων όπως
είναι αρχεία του Microsoft Office (όχι μόνο .doc), αρχεία
java, html, flash ενώ τα πιο σύγχρονα Sandbox μπορούν
να ανιχνεύσουν web exploits αναλύοντας web objects (π.χ.
javascript).
• Τεχνικές φιλτραρίσματος. Σε πολλές πλατφόρμες χρησιμοποιούνται
φίλτρα ώστε να ελαχιστοποιείται ο αριθμός των
αντικειμένων που οδηγούνται στο Sandbox για περαιτέρω
ανάλυση. Στις τεχνικές αυτές περιλαμβάνονται, οι μηχανισμοί
antivirus, αναζήτηση του αρχείου σε γνωστές βάσεις
δεδομένων κακόβουλου λογισμικού στο cloud και γενικότερα
χρήση οποιονδήποτε μεθόδων για να αναγνωριστεί το
αρχείο εξ' αρχής ως επιτρεπτό ή όχι. Τα ύποπτα αντικείμενα
που δεν μπορούν να χαρακτηριστούν με ασφάλεια είναι αυτά
που οδηγούνται στο Sandbox για αξιολόγηση. Το χαρακτηριστικό
του φιλτραρίσματος είναι σημαντικό για να καθοριστεί
ο ρυθμός με τον οποίο θα λαμβάνονται ψευδής συναγερμοί
ή θα παρέχονται ψευδής εγκρίσεις σε κακόβουλα αρχεία.
Ουσιαστικά, δηλαδή καθορίζει την εύστοχη ή μη λειτουργία
της πλατφόρμας.
• Κατανοητό λειτουργικό σύστημα. Είναι σημαντική η ανίχνευση
κακόβουλου λογισμικού το οποίο έχει δημιουργηθεί
για να δραστηριοποιηθεί σε ένα συγκεκριμένο λειτουργικό
περιβάλλον, όπως είναι τα windows (συγκεκριμένης έκδοσης),
το Microsoft office (όχι μόνο το word) κτλ. Αυτό σημαίνει
ότι η πλατφόρμα Sandbox πρέπει να περιλαμβάνει όλες
εκείνες τις εφαρμογές που πραγματικά βρίσκονται στον οργανισμό
ώστε να αξιολογεί συμπεριφορές σύμφωνα με τις
πραγματικές συνθήκες λειτουργίας του εταιρικού δικτυού.
• Τεχνολογίες αποτροπής εισβολών. Δυστυχώς το κακόβουλο
λογισμικό είναι εξελιγμένο σε τέτοιο βαθμό, που εί-
security
19

T4505-07.2016
Cover Issue
την πραγματική ταυτότητα του κακόβουλου λογισμικού είναι
εξαιρετικά χρήσιμες για την σωστή αντιμετώπισή του από το
προσωπικό ασφαλείας.
ναι πιθανό να αντιλαμβάνεται αν λειτουργεί σε περιβάλλον
Sandbox και να μην ενεργοποιεί όλα του χαρακτηριστικά. Γι’
αυτό το λόγο χρησιμοποιούνται οι hypervisors που δυσκολεύουν
το κακόβουλο λογισμικό να εντοπίσει το Sandbox.
Φυσικά, οι επιτιθέμενοι δεν έμειναν με σταυρωμένα τα χέρια
και αφιέρωσαν κομμάτι του κώδικά τους για να ανιχνεύουν
την ύπαρξη hypervisors και άρα την ύπαρξη Sandbox.
Ως απάντηση δημιουργήθηκαν οι customized hypervisors
οι οποίοι ανιχνεύονται δυσκολότερα και εξυπηρετούν στην
πιο ικανοποιητική αντιμετώπιση των εισβολών. Δυστυχώς,
οι customized hypervisors ενδέχεται να περιορίσουν τις λειτουργίες
του Sandbox, ώστε να χρησιμοποιεί ένα εικονικό
περιβάλλον πανομοιότυπο με αυτό της επιχείρησης αλλά να
απαιτείται μία πιο βασική έκδοση.
• Ρυθμός ανάλυσης. Προτού επιλέγει μία λύση Sandbox
πρέπει να υπάρχουν απτές μετρήσεις των στόχων που είναι
ικανό να αναλύει σε χρονικό διάστημα μια ώρας. Επίσης,
πρέπει οι μετρήσεις να λαμβάνονται σε συνθήκες που η “ουρά
αναμονής” για ανάλυση είναι γεμάτη. Αυτές οι μετρήσεις
αποτελούν ικανοποιητικό κριτήριο για το πόσο το Sandbox
θα μπορεί να αναβαθμιστεί στο μέλλον και να δεχτεί επιπλέον
φόρτο εργασίας.
• Εικονικό περιβάλλον ή περιβάλλον εξομοίωσης. Προσφέρονται
και οι δύο επιλογές. Σε λειτουργία εικονικού περιβάλλοντος
τα αρχεία αναλύονται, ενώ εκτελούνται μέσα σε
ένα εικονικό λειτουργικό σύστημα. Σε λειτουργία περιβάλλοντος
εξομοίωσης χρησιμοποιείται ένα επίπεδο λογισμικού
το οποίο μιμείται μία εφαρμογή, ένα λειτουργικό σύστημα ή
μία πλατφόρμα υλικού. Οι λύσεις που συνδυάζουν και τις 2
λειτουργίες είναι σαφώς πιο άρτιες σε χαρακτηριστικά.
• Πληροφορίες δραστηριοποίησης της εισβολής. Aν το
Sandbox μπορεί να προσφέρει αναφορές στις οποίες θα
αναλύεται αν το κακόβουλο λογισμικό, ήταν ένα εκ των
πολλών που βρίσκονται ελευθέρα στο διαδίκτυο ή ήταν πιο
στοχευμένο σε σχέση με τη συγκεκριμένη εταιρεία είναι
σημαντικό. Οι πληροφορίες που μπορούν να αποκαλύψουν
Οι επιλογές της αγοράς
Στην αγορά διατίθενται κυρίως τρεις βασικοί τύποι Sandbox
λύσεων:
1. Stand alone λύσεις, που λειτουργούν αυτόνομα και
δεν εξαρτώνται από την υπόλοιπη εταιρική δομή.
2. Ως ενσωματωμένη λειτουργία στα εταιρικά firewalls,
στα IPS συστήματα και τις συσκευές UTM.
3. Ως χαρακτηριστικό των εταιρικών web portals ασφάλειας
ή των email portals ασφάλειας.
Ιδιαίτερη προσοχή απαιτείται κατά την επιλογή λύσης sandbox,
μιας και η τεχνολογία είναι σήμερα αρκετά ελκυστική για τους
οργανισμούς και έτσι αναπτύχθηκε ένας αρκετά μεγάλο αριθμός
προσφερόμενων προτάσεων κάποιοι μάλιστα εκ των
οποίων κυκλοφορούν ως OEM από παρόχους. Πολλοί εξ' αυτών
προσφέρουν μόνο τις βασικές δυνατότητες στη τεχνολογία
Sandbox και καλό θα είναι να είμαστε προσεκτικοί.
Προτείνεται ως γνώμονας σε μία αγορά που ακόμα δεν έχει
ωριμάσει σε μεγάλο βαθμό:
• Να υιοθετηθεί η λύση Sandbox όταν αν απαιτείται ουσιαστική
βελτίωση της εταιρικής ασφάλειας κυρίως στο επίπεδο
της ανίχνευσης.
• Να αξιολογηθεί η λύση Sandbox ως προς τα χαρακτηριστικά
της και η επιλογή να γίνει μέσα από μία γκάμα ήδη αξιόπιστων
παρόχων δικτυακής ασφάλειας.
• Στην επιλογή stand alone Sandbox οφείλεται να εξετάζεται
αρκετές λύσεις μιας και ενσωματώνονται ανεξάρτητα από τα
υπόλοιπα προϊόντα ασφάλειας που διαθέτετε.
• Μεγιστοποιήστε την κάλυψη που θα λάβετε σχετικά με το
χρηματικό κεφάλαιο που θα επενδύσετε. Φροντίστε να καλύπτεστε
σε μία ευρεία γκάμα αρχείων και web ή email μονοπατιών.
Διαφαίνεται ότι η τεχνολογία Sandbox είναι το νέο must have
στον τομέα της ανίχνευσης και προστασίας ενάντια στους εταιρικούς
εισβολής. Αν η επιχείρησή σας διαχειρίζεται εταιρικά
δεδομένα αλλά και προσωπικά δεδομένα πελατών που μία
διαρροή θα κλονίσει την εμπιστοσύνη των πελατών απέναντι
σας, τότε θα πρέπει να στραφείτε προς αυτή την κατεύθυνση.
Πάντοτε όμως με γνώμονα της διατήρησης της μέχρι τώρα καλής
λειτουργίας του εταιρικού δικτύου και την βελτίωση χωρίς
να δημιουργηθούν σημαντικές καθυστερήσεις και προβλήματα
στην παραγωγική διαδικασία. Η επιλογή λύσης Sandbox είναι
περίπλοκη και απαιτεί εκτενή μελέτη και αξιολόγηση των
προσφερόμενων επιλογών. ITSecurity
20 security

Εκδόσεις για την
Ασφάλεια
ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΚΗΣ
(IT SECURITY)
30€
20€
ΕΓΚΥΚΛΟΠΑΙΔΙΚΟ ΕΓΧΕΙΡΙΔΙΟ
ΤΟΥ SECURITY MANAGER
ΒΙΟΜΗΧΑΝΙΚΗ ΚΑΤΑΣΚΟΠΙΑ -
ΥΠΟΚΛΟΠΗ ΠΛΗΡΟΦΟΡΙΩΝ και
ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ και ΑΝΤΙΜΕΤΡΑ
14€
Πληροφορίες: support@securitymanager.gr
Τηλ.: 210 5225479
SMART PRESS A.E.
Μάγερ 11, 10438, Αθήνα
Τ. 210.5201500, 210.5231555
F. 210.5241900
www.smartpress.gr
smart@smartpress.gr

T4505-07.2016
Issue
Check Point Sandblast
Zero-Day Protection
Οι παραδοσιακές λύσεις Sandboxing δεν είναι πλέον ικανές για να προστατέψουν τους
οργανισμούς από τις μοντέρνες απειλές.
ε χρήση συνεχόμενα εξελισσόμενων επιθέσεων
που έχουν σχεδιαστεί, προγραμματι-
M
στεί και προσαρμοστεί ειδικά για στόχους
υψηλής αξίας, οι επιτιθέμενοι έχουν γίνει πολύ
περίπλοκοι και μεθοδευμένοι. Παράλληλα
με προηγμένες μεθόδους διείσδυσης, οι επιτιθέμενοι χρησιμοποιούν
όλο και πιο σύνθετες τεχνικές «evasion» για την
μάχη έναντι των λύσεων ασφάλειας, παρακάμπτοντας τις παραδοσιακές
λύσεις, συμπεριλαμβανομένων των περισσότερων
sandboxes. Ως εκ τούτου, για τον εντοπισμό των πλέον
προηγμένων και άγνωστων απειλών (zero-day, APTs κτλ.)
θα πρέπει να χρησιμοποιούνται νέες, εξίσου προηγμένες μέθοδοι
ασφάλειας.
Η Check Point, ο πρωτοπόρος στο Internet Security, για
ακόμα μια φορά καινοτομεί με την τεχνολογία SandBlast
Zero-Day Protection. Εισάγοντας την τεχνολογία CPU-level
detection στην ήδη αναγνωρισμένη κορυφαία τεχνολογία OSlevel
sandboxing, η Check Point έκανε ένα σημαντικό άλμα
στην ασφάλεια επιχειρήσεων. Σε συνδυασμό με την τεχνολογία
Threat Extraction, η Check Point SandBlast Zero-Day
Protection διατηρεί την ευελιξία και τη συνέχεια της επιχείρησης,
ενώ παρέχει προστασία έναντι άγνωστων malware,
zero-day και στοχευμένων επιθέσεων, και την πρόληψη των
μολύνσεων από τον ανεξερεύνητα exploits. To Check Point
SandBlast Zero-Day Protection περιλαμβάνει δυο βασικά
συστατικά:
1. SandBlast Threat Emulation: Το Sandbox της Check
Point ανιχνεύει τις εξελιγμένες άγνωστες απειλές και τις
zero-day επιθέσεις σε επίπεδο CPU και OS.
2. SandBlast Threat Extraction: Παρέχει άμεσα στους
χρήστες καθαρά, αναδομημένα αρχεία μετά την αφαίρεση
όλων των ενεργών στοιχείων, τα οποία θα μπορούσαν να
είναι δυνητικά κακόβουλα.
Το SandBlast Threat Emulation χρησιμοποιεί OS-level
inspection για να αναλύσει ένα ευρύ φάσμα από διαφορετικά
file και data files. Παρέχει επίσης συνολική ανάλυση σε OSlevel
για ύποπτη συμπεριφορά αρχείων σε «protect» ρύθμιση,
που εξετάζει απειλές που δεν χρησιμοποιούν exploits
(π.χ. executables, embedded macros, JavaScript κτλ.). Από
το πρώτο δευτερόλεπτο, το Check Point SandBlast πραγματοποιεί
deep CPU-level inspection, και σταματάει ακόμα και
τις πιο επικίνδυνες απειλές πριν το malware πάρει την ευκαιρία
να εγκατασταθεί και παρακάμψει την προστασία και την
αναγνώριση. Εξαιτίας της μοναδικής λειτουργίας CPU-Level
inspection, το Check Point Sandblast είναι το πρώτο και το
μοναδικό evasion-resistant sandbox, της αγοράς καθώς
και η πιο γρήγορη και ακριβής Sandbox-based malware
detection λύση.
Το SandBlast Threat Extraction, συμπληρώνει αυτήν τη λύση
παρέχοντας έγκαιρα ασφαλές περιεχόμενο, καθαρίζοντας
και ανακατασκευάζοντας πιθανών κακόβουλα αρχεία, και διατηρώντας
την αδιάκοπη λειτουργία των επιχειρήσεων. Με την
εξάλειψη απαράδεκτων καθυστερήσεων που δημιουργούνται
από τις παραδοσιακές sandbox λύσεις, το Threat Extraction
κάνει εφικτή την άμεση σε παραγωγική λειτουργία πρόληψη.
Δεν παρέχει μόνο ειδοποιήσεις. Μπλοκάρει εντελώς το κακόβουλο
περιεχόμενο από το να φτάσει στους χρήστες.
22 security

www.itwayvad.com
www.checkpoint.com
1. Εντοπισμός της αδυναμίας του συστήματος
2. Εκμετάλλευση ευπάθειας
3. Εκτέλεση shellcode
4. Εκτέλεση του malware
Ενώ υπάρχουν χιλιάδες τρωτά σημεία και εκατομμύρια
malware , υπάρχει μια πολύ μικρή λίστα ευπαθειών. Το εξελιγμένο
sandboxing με τις δυνατότητες του CPU-level inspection,
εντοπίζει αυτές τις ευπάθειες ελέγχοντας λεπτομερώς τη δραστηριότητα
του επεξεργαστή και το execution flow. Υλοποιείται
σε επίπεδο assembly code, που υπάρχει η εκμετάλλευση
των ευπαθειών, κάνοντας τη μέθοδο αυτή αδιάφορη του λειτουργικού
συστήματος και πρακτικώς αδύνατη την αποφυγή
της. Οι hackers δεν έχουν κανένα τρόπο να εφαρμόσουν την
επίθεσή τους.
Benefits Summary
Το καλύτερο ποσοστό ανίχνευσης άγνωστων malware στην
αγορά - Πρακτικώς αδύνατο για τους hacker να διαφύγουν την
ανίχνευση - Εντοπίζει και μπλοκάρει τις απειλές κατά την εμφάνισή
τους - Γρήγορη αναδόμηση των αρχείων και παράδοση
ασφαλούς περιεχομένου - Μειώνει τον κίνδυνο εισβολών
ή downtime - Η ολοκληρωμένη προστασία μεγιστοποιεί την
επιχειρησιακή αξία και μειώνει το συνολικό κόστος κτήσης
Feature Summary
Εις βάθος ανάλυση malware σε CPU-level, όπου οι ευπάθειες
δεν μπορούν να κρυφτούν - Προστατεύει ένα εύρος εγγράφων
και κοινών αρχείων - Συνεργάζεται με την οποιαδήποτε
υφιστάμενη εγκατάσταση - Αφαιρεί το ενεργό περιεχόμενο
και άλλες ευπάθειες από τα έγγραφα - Μετατρέπει τα αναδομημένα
έγγραφα σε PDF για μεγαλύτερη ασφάλεια ή κρατά
την αρχική μορφή - Ολοκληρωμένη προστασία απειλών και
διαχείριση ασφαλείας και threat visibility - Αυτόματος διαμοιρασμός
πληροφοριών νέων επιθέσεων με το Check Point
ThreatCloud.
The Differentiating Feature - CPU-Level
Detection
To Check Point SandBlast Zero-Day Protection σταματά τις
επιθέσεις πριν ακόμη εκτελεστούν. Αυτό γίνεται δυνατό ελέγχοντας
τις CPU-based εντολές για εκμετάλλευση ευπαθειών
που προσπαθούν να προσπεράσουν τους ελέγχους ασφαλείας
του λειτουργικού. Αυτή η καινοτόμος τεχνολογία προσθέτει
μεγαλύτερη προστασία χωρίς καθυστέρηση.
Τα 4 στάδια μιας επίθεσης malware:
NSS Labs
Στα μέσα του 2015 η ανεξάρτητη αρχή NSS Labs, η οποία
κατέχει ηγετική θέση στον έλεγχο και την έρευνα προϊόντων
ασφάλειας, εξέδωσε μια σχετική έκθεση.Τα βασικά πορίσματα
για τις λύσεις προλήψεων απειλών της Check Point® σύμφωνα
με την έκθεση BDS NSS Labs, ήταν τα ακόλουθα:
• 100% catch-rate for HTTP and Email unknown malware
• 100% catch-rate for Drive-by exploits
• 100% stability and reliability tests under normal load and
under extended attack
• Consistent 1000 Mbps performance in the "Real World
Traffic" load tests
Αντί επιλόγου παραθέτονται αυτά τα στοιχεία, καθώς και η
δήλωση για τα πολύ αξιόλογα ευρήματα, από τον κ. Vikram
Phatak, CEO της NSS Labs, η οποία αναφέρει:
«Στο σημερινό περιβάλλον δικτύου, malware infections έχουν
τη δυνατότητα να εξαπλωθούν γρήγορα, και οι οργανισμοί πρέπει
να διασφαλίζουν ότι τα δίκτυα τους προστατεύονται έναντι
των γνωστών, των νέων (αγνώστων) και των προηγμένων απειλών».
"Η τεχνολογία Check Point® Threat Emulation, βασικό
συστατικό των ελέγχων NSS Breach Detection Systems, αντιμετωπίζει
αυτό το κενό με την αξιολόγηση του ύποπτου κώδικα
σε ένα ασφαλές εικονικό sandbox. Η ομάδα μας των NSS Labs,
συνιστά τις καινοτόμες λύσεις την Check Point®, δεδομένου ότι
προσφέρoυν άριστη αποτελεσματικότητα στην ασφάλεια και αξία
στην ανίχνευση γνωστών, νέων και προηγμένων απειλών.»
www.checkpoint.com/products-solutions/zero-day-protection/
Για περισσότερες πληροφορίες μπορείτε να απευθυνθείτε
στην Itway Hellas S.A, τηλ.: 210 6801013, email:
sales@itway.gr και στην Check Point SW Technologies, τηλ.:
210 8105593, email: mbozos@checkpoint.com ITSecurity
security
23

T4505-07.2016
Issue
Εξελιγμένη
προστασία με
βάση 3 σημεία
Λόγω της φύσεως των
επιθέσεων σήμερα καθώς
επίσης και της πολυπλοκότητάς
των δικτύων, η προστασία
από προηγμένες επιθέσεις θα
πρέπει να είναι συνολική και
αποτελεσματική.
Δ
υστυχώς, το 2015 ήταν μια ακόμα χρονιά η
οποία έκλεισε με τον ίδιο ακριβώς τρόπο που
έκλεισε και το 2014, δηλαδή με ένα μεγάλο
αριθμό από στοχευμένες και επιτυχημένες
επιθέσεις υποκλοπής δεδομένων (data
breaches) σε μεγάλους οργανισμούς. Ασχέτως από τα κίνητρα
και τους σκοπούς τέτοιων επιθέσεων, φαίνεται ότι σήμερα
κατά μέσο όρο πραγματοποιείται μια επίθεση την εβδομάδα
αν όχι περισσότερες. Μετά τα γεγονότα του 2014, η χρονιά
που σημειώθηκαν τα περισσότερα data breaches, πως είναι
δυνατόν αυτό να συνεχίζεται και το 2015 και μάλιστα με ένα
τόσο ανησυχητικό ρυθμό;
Σύμφωνα με το Verizon 2016 Data Breach Investigation
Report, τα βασικότερα κίνητρα εξακολουθούν να είναι οικονομικού
χαρακτήρα, σε ποσοστό 34%, το οποίο όμως φαίνεται
να μειώνεται. Αυτό που αυξάνεται είναι οι επιθέσεις άλλων
αιτίων, σε ποσοστό 25%. Φαίνεται λοιπόν ότι πλέον δε γίνονται
μόνο επιθέσεις οι οποίες σχετίζονται άμεσα με οικονομικά αίτια.
Για το λόγο αυτό αναφέρει και ο Gartner, «όλοι οι οργανισμοί
θα πρέπει να θεωρήσουν ότι είναι σε μια κατάσταση συνεχούς
κινδύνου».
Γιατί όμως οι επιθέσεις αυτές συνεχίζουν και συμβαίνουν;
Σήμερα στο Internet υπάρχουν εύκολα προσβάσιμα
δωρεάν εργαλεία τα οποία δίνουν τη δυνατότητα δημιουργίας
advanced malware με μηδέν προγραμματιστικές ικανότητες.
Οπότε το ρίσκο σε σχέση με το αποτέλεσμα είναι πολύ μικρό.
Ένας εξίσου σημαντικός λόγος είναι ότι οι hackers έχουν τη
δυνατότητα να εισέρχονται σε ένα δίκτυο και να παραμείνουν
σε αυτό για 6-7 μήνες. Σε αυτό το χρονικό διάστημα έχουν την
ελευθερία να ψάξουν ανενόχλητοι το δίκτυο του οργανισμού
ώστε να δούνε αν υπάρχει κάτι ενδιαφέρον για να πάρουν. Τις
περισσότερες φορές ο οργανισμός θα ενημερωθεί για την επίθεση
αυτή από κάποιον τρίτο, όπως ένα εξωτερικός auditor.
Με τον προϋπολογισμό που διατίθεται αυτές τις ημέρες για
τις ανάγκες του IT Security, θα έπρεπε οι οργανισμοί να είναι
σε θέση να αντιμετωπίσουν αποτελεσματικά τέτοιου είδους
επιθέσεις. Ο λόγος που συνεχίζουμε και γινόμαστε μάρτυρες
τέτοιων περιστατικών είναι εξαιτίας της νοοτροπίας με
την οποία προσεγγίζουν οι περισσότεροι οργανισμοί την υλοποίηση
ασφάλειας του δικτύου τους. Η νοοτροπία αυτή απαριθμείται
σε 3 κατηγορίες: compliance-based, risk-based και
point-solution based.
Compliant-based, γιατί οι περισσότεροι οργανισμοί θεωρούν
ότι είναι ασφαλείς ακριβώς επειδή ικανοποιούν τις κανονιστικές
συμμορφώσεις και είναι “compliant” με αυτές. Τέτοιες
απαιτήσεις όμως είναι έγγραφα πολύ γενικά, χωρίς συγκεκριμένες
κατευθύνσεις. Για παράδειγμα το PCI-DSS αναφέρει ότι
ο οργανισμός θα πρέπει να έχει εγκατεστημένο Firewall. Είναι
όμως αυτή η απαίτηση αρκετή από μόνη της;
Risk-based, γιατί βλέπουμε πολλούς οργανισμούς να βασίζουν
την στρατηγική ασφάλειας τους με βάση κάποιο risk
assessment που πραγματοποιήσανε στο δίκτυο τους. Οι εξε-
24 security

Αντώνης Πρωϊμάδης
Senior Presales Engineer
λίξεις όμως στην ασφάλεια είναι τόσο δυναμικές, ώστε ένα
assessment που έγινε σήμερα, είναι παρωχημένο στους επόμενους
2-3 μήνες.
Point solutions, γιατί σήμερα σε ένα οργανισμό διακρίνουμε
πολλές λύσεις ασφάλειας από διαφορετικούς κατασκευαστές.
Και ενώ αυτές μπορεί να είναι οι καλύτερες της αγοράς και να
λειτουργούν σύμφωνα με τις προδιαγραφές των κατασκευαστών,
δεν είναι σχεδιασμένες ώστε να συνεργάζονται μεταξύ
τους. Άρα τελικά δημιουργούνται μεταξύ τους κενά ασφαλείας,
κενά που μπορεί να εκμεταλλευτεί ένας hacker.
Πως μπορεί ένας οργανισμός να προστατευτεί από τέτοιου
είδους στοχευμένες επιθέσεις;
Για να καλύψει αυτές τις ανάγκες, η Fortinet δημιούργησε το
Advanced Threat Protection Framework το οποίο αποτελείται
από 3 στοιχεία, Prevent, Detect και Mitigate.
Το Prevent στοιχείο είναι υπεύθυνο για την αντιμετώπιση
ων γνωστών επιθέσεων, δηλαδή όλων των επιθέσεων
που μπορούν να αντιμετωπιστούν με χρήστη πολιτικών και
signatures. Έτσι λοιπόν υπάρχει το FortiGate που είναι η λύση
Next Generation Firewall της Fortinet, το FortiMail,
η λύση Secure Email Gateway, το FortiWeb, η λύση Web
Application Firewall και το FortiClient, η λύση End Point
Security.
Όλες αυτές οι λύσεις προστατεύουν ένα δίκτυο με βάση τις
πολιτικές και τα signatures τα οποία διαθέτουν. Η ενημέρωση
των signatures γίνεται από την υπηρεσία threat intelligence, το
FortiGuard. Tο FortiGuard δεν είναι μια απλή υπηρεσία threat
intelligence, αλλά ένα ολόκληρο οικοσύστημα το οποίο αποτελείται
από πολλαπλά στοιχεία που συνεργάζονται μεταξύ τους.
Πιο αναλυτικά αποτελείται από τα Fortinet devices ή sensors
τα οποία δέχονται ενημερώσεις από τα FortiGuard Services
και στέλνουν σε πραγματικό χρόνο ενημερώσεις για τις επιθέσεις
που δέχονται στα FortiGuard Labs. Tα FortiGuard
Labs αποτελούνται από μια ομάδα εξειδικευμένων ερευνητών
οι οποίοι αναλύουν όλη τη πληροφορία που συλλέγεται
από τους sensors και ενημερώνουν τα FortiGuard Services.
Επίσης τα FortiGuard labs έχουν συνεργασία με 3rd υπηρεσίες,
όπως το Cyber Threat Alliance, EXODUS, Cert, κ.ά., ώστε
να μοιράζονται threat intelligence πληροφορίες.
Όπως όμως αναφέραμε οι σημερινές επιθέσεις είναι προηγμένες
και στοχευμένες και επομένως η λύση Prevent θα
πρέπει να συνεργάζεται με μια λύση Detect που θα μπορεί
να αναγνωρίσει νέες άγνωστες επιθέσεις. Για να καλύψουμε
το Detect στοιχεία εισάγουμε τη λύση FortiSadbox. Το
FortiSandbox είναι σε θέση να αναγνωρίζει 0-day attacks,
επιθέσεις δηλαδή οι οποίες είναι προηγμένες και στοχευμένες
για συγκεκριμένο οργανισμό. Το FortiSandbox διαθέσει μηχανισμούς
οι οποίοι μπορούν να αναγνωρίσουν την συμπεριφορά
ενός αρχείου (exe, pdf, docx, κλπ) «εκτελώντας» το σε ένα
εικονικό περιβάλλον.
Τέλος το Integration του οικοσυστήματος ολοκληρώνεται με
το Mitigation. Στο Mitigation, οποιαδήποτε νέα απειλή αναγνωριστεί
από το FortiSandbox, αυτή γίνεται αυτόματα και
δυναμικά signature και ενημερώνει την dynamic malware
και URL database των λύσεων που ανήκουν στην κατηγορία
Prevent.
Λόγω λοιπόν της φύσεως των επιθέσεων σήμερα καθώς επίσης
και της πολυπλοκότητάς των δικτύων, η προστασία από
προηγμένες επιθέσεις θα πρέπει να είναι συνολική και αποτελεσματική.
Το Fortinet Advanced Threat Prevention
Framework, είναι σε θέση να καλύψει ολόκληρη την υποδομή
ενός οργανισμού, όσο περίπλοκος αυτός μπορεί να είναι,
αφού μπορεί και συνδυάζει, Mail, Web, Endpoint και WAF από
την ίδια πλατφόρμα. ITSecurity
security
25

T4505-07.2016
Issue
Το sandbox πέρα από το hype
Μία τεχνολογία που τον τελευταίο καιρό βρίσκεται στο επίκεντρο της επικαιρότητας είναι η
τεχνολογία sandbox. H Sophos με τη λύση Sandstorm, προσφέρει μία ιδιαίτερα εξελιγμένη, αλλά
απλή και οικονομική λύση για επιχειρήσεις κάθε μεγέθους.
τεχνολογία sandboxing αφορά ένα απομονωμένο,
ασφαλές περιβάλλον που μιμείται
H
ένα ολόκληρο υπολογιστικό σύστημα για την
εκτέλεση ύποπτων προγραμμάτων, την παρακολούθηση
της συμπεριφοράς τους και
την κατανόηση του σκοπού της ύπαρξης τους, δίχως να εκτίθεται
σε κίνδυνο το δίκτυο του οργανισμού. Ανάλογα με τα
δεδομένα και τις πληροφορίες που θα προκύψουν, το ύποπτο
αρχείο παραδίδεται στην συσκευή ή στον υπολογιστή του
χρήστη κανονικά ή μπλοκάρεται για να μην εκτεθεί το εταιρικό
δίκτυο σε κίνδυνο.
Επαρκεί από μόνο του ένα sandbox;
Οι εταιρείες είναι αναγκαίο να χρησιμοποιούν μία γκάμα από
τεχνολογίες ασφαλείας για να προστατευθούν τόσο από γνωστές
όσο και από άγνωστες απειλές. Το πιθανότερο είναι για
παράδειγμα στην εταιρεία σας να χρησιμοποιείται ήδη κάποια
λύση ασφαλούς περιήγησης (Secure Web Gateway), κάποια
λύση προστασίας ηλ. αλληλογραφίας (Secure Email
Gateway), κάποια λύση UTM ή ένα next generation firewall
και επίσης συστήματα προστασίας τερματικών συσκευών
(Endpoint Security) στους υπολογιστές desktop και τους
servers σας.
Κανείς δε μπορεί να υπαινιχθεί ότι μία λύση sandbox παρέχει
ολοκληρωμένη άμυνα ενάντια στις εξελιγμένες απειλές
και αναγνωρίζουν ότι τα πολλά επίπεδα ασφαλείας είναι
κρίσιμης σημασίας για μία ολοκληρωμένη προστασία. Αυτό
που παρέχει το sandbox είναι το δικό σας εξειδικευμένο περιβάλλον
ανάλυσης, κατανόησης και λήψης μέτρων ενάντια
σε απειλές που το οι παραδοσιακές άμυνες δεν μπορούν να
ανιχνεύσουν.
Τα τυπικά antivirus που λειτουργούν βάσει υπογραφών
(signatures), μπορούν να προστατεύσουν την εταιρεία σας
απέναντι σε γνωστά malware. Αλλά οι signature-based λύσεις
antivirus είναι αντιδραστικές (reactive) και η τεχνολογία
τους ξεπερνιέται διαρκώς από τα εργαλεία των επιτιθέμενων
που διαρκώς μεταλάσσονται.
Παρόλο που οι περισσότερες εταιρείες ασφαλείας χρησιμοποιούν
πρόσθετες δυνατότητες ανίχνευσης κακόβουλης κίνησης
δεδομένων και δυνατότητες εξελιγμένης προσομοίωσης, οι
επιτιθέμενοι που έχουν βάλει στόχο διαπιστευτήρια ή δεδομένα,
ορισμένες φορές θα βρουν τον τρόπο για να αποφύγουν
την ανίχνευση και δυστυχώς θα καταφέρουν να παραβιάσουν
τα συστήματά σας. Αντίθετα, το προηγμένο και εξειδικευμένο
malware που έχει σχεδιαστεί για να αποφεύγει την ανίχνευση,
μπορεί να ανιχνευθεί και να μπλοκαριστεί αν ελεγχθεί
εντός μίας λύσης sandbox. Μία λύση sandbox είναι
απαραίτητη στις μέρες μας, και δεν απευθύνεται μόνο στις
μεγάλες εταιρείες.
Ποιά είναι τα κριτήρια επιλογής μίας λύσης
sandbox;
Η επιλογή μίας λύσης sandbox μπορεί να αποτελέσει πρόκληση
με τις αναρίθμητες επιλογές που είναι διαθέσιμες στην αγορά.
Λάβετε υπόψη σας τα παρακάτω πέντε σημεία πριν πάρετε
την τελική σας απόφαση:
1. Είναι η λύση σε θέση να αναλύσει ένα ευρύ φάσμα
αντικειμένων; Επιλέξτε μία λύση sandbox που μπορεί να
ανιχνεύει απειλές που έχουν σχεδιαστεί για να ξεφεύγουν από
τις παραδοσιακές λύσεις ασφαλείας. Το sandbox πρέπει να εί-
26 security

Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης, NSS
ναι σε θέση να αναλύει ένα ευρύ φάσμα από ύποπτα αρχεία.
Ελέγξτε ότι η λύση που επιλέξατε μπορεί και αναλύει καταλόγους,
συμπιεσμένα αρχεία, έγγραφα Microsoft Office, αρχεία
PDF καθώς και εκτελέσιμα αρχεία.
2. Προσφέρει ολοκληρωμένη κάλυψη σε λειτουργικά
συστήματα και εφαρμογές; Η ολοκληρωμένη κάλυψη σε
διαφορετικές πλατφόρμες είναι απαραίτητη για την ανίχνευση
οποιουδήποτε κακόβουλου λογισμικού που έχει ρυθμιστεί
ειδικά για να τρέχει μόνο σε ένα συγκεκριμένο λειτουργικό
σύστημα ή εφαρμογή.
3. Παρέχει συναφείς πληροφορίες σχετικά με το κακόβουλο
λογισμικό ή την στοχευμένη επίθεση; Η ανάλυση
των συναφών πληροφοριών (contextual information) για μία
στοχευμένη επίθεση ή κάποιο malware είναι πολύ κρίσιμης
σημασίας. Χρειάζεστε μία λύση που μπορεί να σας δώσει λεπτομερείς
αναφορές που παρέχουν πολύτιμες συναφείς πληροφορίες
για ένα περιστατικό που θα βοηθήσει σε περαιτέρω
ανάλυση.
4. Ποια είναι η ταχύτητα ανάλυσης του sandbox; Επιλέξτε
μία λύση που χρησιμοποιεί παράλληλα με το sandboxing συστήματα
συμβατικού συστήματος αποτροπής ιών (definitionbased)
και ελέγχου φήμης (reputation) έτσι ώστε ο αριθμός
των αρχείων που αποστέλλονται για sandboxing να είναι μειωμένος.
Κάτι τέτοιο, μειώνει τις επιπτώσεις στην απόδοση και
οι χρήστες σας δεν επηρρεάζονται.
5. Χρησιμοποιεί συλλογική νοημοσύνη ασφαλείας; Οι
συμβατικοί έλεγχοι ασφαλείας αποτυγχάνουν να ανακαλύψουν
άγνωστες απειλές. Για να βελτιωθεί η ακρίβεια ανίχνευσης
τέτοιων απειλών, επιλέξτε μία λύση που χρησιμοποιεί
συλλογική νοημοσύνη από όλα τα συμβάντα που αντιμετωπίζονται
για όλους τους πελάτες, διατηρώντας την εμπιστευτικότητα
όμως σε κάθε περίπτωση.
Sophos Sandstorm. Το sandbox που θέλατε!
Το Sophos Sandstorm είναι μία λύση αποτροπής εξελιγμένων
επιθέσεων και νεοεμφανιζόμενων κινδύνων zero-day
όπως τα επικίνδυνα ransomware. Το σύστημα ενσωματώνεται
στα προϊόντα ασφάλειας της Sophos και μπορεί να ανιχνεύσει
και να αποτρέψει γρήγορα και με απόλυτη ακρίβεια
αόριστες απειλές που άλλες λύσεις δε μπορούν να αντιμετωπίσουν,
χρησιμοποιώντας τεχνολογίες sandbox επόμενης
γενιάς, όπως:
Προηγμένη προστασία από στοχευμένες επιθέσεις. Το
Sophos Sandstorm παρέχει στους οργανισμούς και στις εταιρείες
την προηγμένη προστασία που χρειάζονται για να καταπολεμήσουν
τις άγνωστες απειλές, ενώ παράλληλα είναι απλό
στην χρήση αλλά και οικονομικό, σε κόστος κτήσης αλλά και
συντήρησης.
Απλότητα. Το Sophos Sandstorm ενσωματώνεται πλήρως
στις λύσεις ασφαλείας Sophos UTM 9.4 και Sophos Email
Appliance. Απλώς αναβαθμίστε την συνδρομή σας, εφαρμόστε
την πολιτική Sandstorm και θα είστε άμεσα προστατευμένοι
ενάντια σε στοχευμένες επιθέσεις.
Μπλοκάρετε evasive απειλές που οι άλλες λύσεις δε
βλέπουν. Ανιχνεύστε άγνωστες απειλές που έχουν σχεδιαστεί
ειδικά για να αποφεύγουν πρώτης γενιάς συσκευές sandbox.
Η προσέγγιση full-system emulation της Sophos παρέχει
ορατότητα σε ιδιαίτερα βαθύ επίπεδο στην συμπεριφορά του
άγνωστου malware καθώς και ανίχνευση κακόβουλων επιθέσεων
που άλλες λύσεις δεν μπορούν να ανιχνεύσουν.
Βαθιές εγκληματολογικές εκθέσεις. Επιταχύνετε την ανταπόκριση
σας στις προηγμένες απειλές με απλή περιστατικοκεντρική
ανάλυση της παραβίασης. Η Sophos σας παρέχει
ιεραρχημένη νοημοσύνη APT συσχετίζοντας τα αποδεικτικά
στοιχεία, ώστε να μειώνεται ο “θόρυβος” και να εξασφαλίζεται
χρόνος.
Εμπεριστατωμένη ανάλυση. Προσδιορίστε ενδεχόμενη
απειλητική συμπεριφορά κατά μήκος όλων των τερματικών
συσκευών σας και της κρίσιμης σημασίας υποδομής σας. Αυτό
περιλαμβάνει τα λειτουργικά συστήματα (Windows, Mac OS X,
Android), τους εικονικούς και φυσικούς hosts, τις υπηρεσίες,
τους χρήστες, την δικτυακή υποδομή καθώς και εφαρμογές
αρχείων, ηλεκτρονικούς ταχυδρομείου, τις mobile εφαρμογές
καθώς και τις εφαρμογές στον Ιστό. Ελέγξτε με ασφάλεια
απειλές στο Sandstorm Cloud της Sophos, απομονώνοντας
τα κέντρα δεδομένων σας από το επικίνδυνο κακόβουλο λογισμικό.
Αστραπιαία απόδοση. Η λύση ασφαλείας Sophos που διαθέτετε
με ακρίβεια προ-φιλτράρει την κίνηση δεδομένων, ώστε
μόνο τα ύποπτα αρχεία να υποβάλλονται στο Sandstorm, εξασφαλίζοντας
με αυτόν τον τρόπο ελάχιστη υστέρηση καθώς
και ανεπαίσθητες επιπτώσεις στον τελικό χρήστη.
Συμπέρασμα
Η στάση της εταιρείας σας απέναντι στην ασφάλεια είναι απαραίτητο
να εξελίσσεται λαμβάνοντας υπόψη την στοχευμένη
και προηγμένη φύση των απειλών της νέας εποχής. Η λύση
sandbox όχι μόνο ενισχύει την υποδομή ασφαλείας IT στην
επιχείρηση σας, αλλά την οδηγεί σε άλλο επίπεδο. Και παρόλο
που τέτοιου είδους προηγμένες τεχνολογίες άμυνας είναι
ιδιαίτερα ακριβές, η Sophos με τη λύση Sandstorm, προσφέρει
μία ιδιαίτερα εξελιγμένη, αλλά απλή και οικονομική λύση
για επιχειρήσεις κάθε μεγέθους.
Περισσότερα στο sophos.com/sandstorm ITSecurity
security
27

T4505-07.2016
Issue
Πως η εισαγωγή του concept του
sandboxing analysis αυξάνει την
ασφάλεια σε ένα δίκτυο και την αξία
άλλων προϊόντων
Στο προηγούμενο τεύχος μιλήσαμε για την αντιμετώπιση των προηγμένων απειλών με το Deep
Discovery της Trend Micro. Σε αυτό το άρθρο θα προσπαθήσω να αναλύσω πως μπορούμε να
προστατευτούμε καλύτερα από τις στοχευμένες επιθέσεις με την χρήση του Deep Discovery
Analyzer - δηλαδή του συστήματος custom sandbox της Trend Micro.
ι στοχευμένες επιθέσεις και οι προηγμένες
O
απειλές είναι κομμένες και ραμμένες πάνω
στα μέτρα της υποδομής του υποψήφιου
θύματος. Αποφεύγοντας τους μηχανισμούς
προστασίας που υπάρχουν στο δίκτυο, ο κώδικας
μένει καλά κρυμμένος μέχρι να ολοκληρώσει την αποστολή
του, που δεν είναι άλλη από την υποκλοπή των εταιρικών
δεδομένων.
Οι τεχνικές που χρησιμοποιούνται δεν είναι συνήθως ορατές
στις συνηθισμένες λύσεις προστασίας που είναι ήδη εγκατεστημένες.
Ο μόνος τρόπος που μπορεί να ανιχνευτεί υπεύθυνα,
είναι απομονώνοντάς τα σε ένα «εικονικό» χώρο για ανάλυση.
Αυτή είναι και η έννοια του sandboxing αφού έτσι μπορούν
να «τρέξουν» σε ένα περιορισμένο περιβάλλον χωρίς να
επηρεαστεί το υπόλοιπο δίκτυο.
Η εισαγωγή του concept του sandboxing analysis σε ένα δίκτυο
αυξάνει την ασφάλεια και την αξία άλλων συναφή προϊόντων
που είναι ήδη εγκατεστημένα δημιουργώντας ένα
ενοποιημένο μηχανισμό προστασίας έναντι των στοχευμένων
απειλών.
Το Trend Micro Deep Discovery Analyzer είναι ένας
sandbox analysis server που μεγαλώνει κλιμακωτά, ανάλογα
με τις ανάγκες ενός οργανισμού προσφέροντας τις υπηρεσίες
sandboxing άμεσα και στο ίδιο του το δίκτυο. Το Analyzer
μας επιτρέπει να καθορίσουμε πολλαπλά, ταυτόχρονα και ειδικά
προσαρμοσμένα sandbox, δημιουργώντας εικονικά περιβάλλοντα
που ταιριάζουν με συγκεκριμένα desktop software
configuration. Υποστηρίζει άμεσα όλα τα προϊόντα της Trend
Micro που έχουν σχέση με email και web security καθώς επίσης
και άλλα προϊόντα της σουίτας Deep Discovery. Διαθέτει
ανοιχτό Web Services API, επιτρέποντας σε προϊόντα ή εξουσιοδοτημένα
άτομα να υποβάλουν δείγματα και να λάβουν
λεπτομερή ανάλυση.
Τα κύρια χαρακτηριστικά του προϊόντος είναι:
• Κλιμακωτά αναπτυσσομένη υπηρεσία Sandboxing για την
καλύτερη συνεργασία με όλες τις πηγές απειλών email, δίκτυο,
endpoint, ή οποιαδήποτε άλλη πηγή.
• Προσαρμοζόμενο Sandboxing προσομοιώνει και αναλύει
σε περιβάλλοντα που ταιριάζουν απόλυτα με τις ρυθμίσεις
του λογισμικού στο desktop του χρήστη επιταχύνοντας
τον βέλτιστο βαθμό εντοπισμού και χαμηλά ποσοστά
false-positive.
• Ευρύ φάσμα ανάλυσης αρχείων - εξετάζει αρχεία Windows
Executable, Microsoft Office, PDF, web και συμπιεσμένα αρχεία
με πολλαπλές μηχανές ανίχνευσης και sandboxing.
• Ειδικός μηχανισμός ανίχνευσης απειλών και sandboxing σε
28 security

Αλεξία Χριστοφή
Managing Director, CYSOFT
www.cysoft.gr
κοινά αρχεία office.
• Ανάλυση URL σκανάρει και εκτελεί sandbox analysis σε
URLs που έχουν υποβληθεί από τον χρήστη (όχι αυτόματα).
• Λεπτομερέστατα Report με ολοκληρωμένη ανάλυση κάθε
περιστατικού και κίνησης, επικοινωνιών command-andcontrol
(C&C) μέσω κεντρικής κονσόλας.
• Επικοινωνεί άμεσα με άλλα προϊόντα email και web της
Trend Micro.
• Η χρήση Web Services API και χειροκίνητης υποβολής δείγματος
επιτρέπει την χρήση τόσο από εξουσιοδοτημένους
χρήστες όσο και από άλλα προϊόντα.
• Κοινοποιεί νέες πληροφορίες IOC (Indicator of Compromise)
αυτόματα με άλλες λύσεις της Trend Micro και άλλων κατασκευαστών.
Γιατί είναι αναγκαία η χρήση του Custom
Sandboxing
Η δουλειά των κυβερνοεγκληματιών είναι να αναπτύσσουν
κώδικα με στόχο την διείσδυση τους σε συγκεκριμένα περιβάλλοντα
για υποκλοπή με σκοπό το οικονομικό όφελος.
Στοχεύουν στην μόλυνση των λειτουργικών συστημάτων σε
desktop και laptop, εφαρμογές και browsers με κώδικα που
στοχεύει τις ρυθμίσεις. Αυτά και είναι λιγότερο πιθανόν να
ενεργοποιηθεί σε ένα γενικό sandbox.
Μόνο ένα εξατομικευμένο sandbox που ταιριάζει απόλυτα με
τις ρυθμίσεις του υποψήφιου θύματος μπορεί να αποτρέψει
μια στοχευμένη απειλή. Το ειδικά προσαρμοσμένο sandbox
προσομοιώνει το πραγματικό περιβάλλον για να γίνουν δυνατά
τα εξής:
• Να αναγνωρίσει την απειλή που στοχεύει τον συγκεκριμένο
οργανισμό και αναπαράγει εικονικά τις ρυθμίσεις του περιλαμβανομένου
άδεια Windows, γλώσσα, εφαρμογές, και
μείγμα ρυθμίσεων desktop.
• Να αποτρέψει τεχνικές αποφυγής sandbox που βασίζονται
σε γενικές άδειες Windows, περιορισμένες εφαρμογές και
εκδόσεις τους, στην αγγλική γλώσσα.
• Να αγνοεί κακόβουλο κώδικα που δεν επηρεάζει τον συγκεκριμένο
οργανισμό αφού στοχεύει σε εκδόσεις συστημάτων
που δεν χρησιμοποιούνται.
Πώς δουλεύει το Custom Sandboxing του Deep
Discovery
Προεπεξεργστής - Αυτό το πρώτο επίπεδο ανίχνευσης αποτρέπει
τεχνικές αποφυγής με την επεξεργασία των δειγμάτων
(αποσυμπίεση, άνοιγμα, συμπίεση) και μετά προσδιορίζει τον
πραγματικό τύπο του αρχείου άσχετα με την κατάληξή του.
Μηχανές ανίχνευσης - Πολλαπλές μηχανές ανίχνευσης
αναλύουν και επικαιροποιούν αρχεία χρησιμοποιώντας τεχνικές
όπως signature και heuristics scanning, τα reputation
checks του Trend Micro Smart Protection Network, και
white- and blacklists που προσδιορίζει ο χρήστης.
Custom Sandboxes - Το Analyzer αποστέλλει άγνωστα και
ύποπτα δείγματα αρχείων στο sandbox που ταιριάζει καλύτερα.
Εκεί μπορεί να τρέξει με ασφάλεια σε απομονωμένο
περιβάλλον και να αναλυθεί για προσδιοριστεί η επικινδυνότητα
του. Ο βαθμός επικινδυνότητας και μια λεπτομερή ανάλυση
αποστέλλετε στον στο άτομο που έστειλε στο δείγμα.
Τα αποτελέσματα μπορούν να διοχετευτούν στο Analyzer
management console για περαιτέρω επεξεργασία.
Διαχείριση, Ανάλυση και Αναφορές - Η κονσόλα του
Analyzer επιτρέπει την εις βάθος ανάλυση και την ανάπτυξη
λεπτομερών αναφορών με γενικά ή συγκεκριμένα αποτελέσματα.
Στην κονσόλα διαχείρισης μπορούμε να δημιουργήσουμε
εικονίδια του εξατομικευμένου sandbox, black- and
whitelists, και πολιτικές sandboxing βασιζόμενα στον τύπο αρχείου,
π.χ. να περνούν όλα τα PDFs στο sandbox αυτόματα.
Μπορείτε να επικοινωνήσετε μαζί μας για δοκιμαστικό (Demo ή
Proof of Concept) στο 2109340288 ή 6984475858. ITSecurity
security
29

T4505-07.2016
Issue
Τα οφέλη της ενσωμάτωσης
Sandboxing σε NG Firewalls
Οι εποχές όπου το malware απλά γέμιζε την οθόνη με «σκουπίδια», ή διέγραφε κάποια αρχεία,
έχουν παρέλθει. Πλέον οι απειλές είναι πιο στοχευμένες. Σκοπός των επιτιθέμενων είναι να
αποκομίσουν κέρδος, παρά να δημιουργήσουν χάος. Μπορεί να κρυπτογραφήσουν τα αρχεία
ενός συστήματος για λύτρα, ή να εκβιάσουν μια εταιρία με πιθανές επιθέσεις DoS στους
δικτυακούς της πόρους.
ολύ συχνά οι σύγχρονοι ιοί δεν κάνουν καν
Π
αισθητή την παρουσία τους. Παραμένουν «σιωπηλοί»
και συλλέγουν τις πληροφορίες που
χρειάζονται από το στόχο τους μέχρι να αυτοκαταστραφούν.
Οι πιο εξελιγμένοι ιοί εμπίπτουν στην κατηγορία των Advance
Persistent Threat (APT) όπου πρόκειται για στοχευμένες
επιθέσεις. Συχνά στην κατηγορία αυτή τοποθετούνται και οι
πολυμορφικοί ιοί, οι οποίοι τροποποιούν τμήματα του κώδικά
τους σε κάθε νέα εξάπλωση που κάνουν, με αποτέλεσμα
τα συμβατικά antivirus προγράμματα να μην μπορούν να τους
ανιχνεύσουν. Ο πολυμορφισμός μπορεί να επιτευχθεί ακόμα
και με αλλαγή ονομάτων, συμπίεση ή και κρυπτογράφηση, και
παρόλη την αλλαγή τμήματος του κώδικα το τελικό αποτέλεσμα
στον στόχο να παραμένει το ίδιο.
Ακόμα κι αν ανιχνευθεί κάποιο κακόβουλο APT και το antivirus
δημιουργήσει signature για τα pattern του, το signature δεν θα
είναι αποτελεσματικό για την νέα μορφή του APT που θα προσπαθήσει
να μολύνει τον επόμενο στόχο. Εξαιτίας των APT αλλά
και της ραγδαίας αύξησης των Malware, η διαδικασία ανίχνευσης
των ιών πρέπει εκτός από signature based, να γίνεται
και με -αυτοματοποιημένη- ανάλυση της συμπεριφοράς.
Η βέλτιστη λύση που πλεονεκτεί
Ο πιο αποτελεσματικός τρόπος ανάλυσης συμπεριφοράς είναι
η τεχνολογία Sandboxing. Η βασική ιδέα του Sandboxing
είναι να ελέγχονται τα προγράμματα σε έναν κλειστό
ελεγχόμενο περιβάλλον. Ο έλεγχος αναλύει τον τρόπο που
συμπεριφέρεται το πρόγραμμα όταν ενεργοποιηθεί. Πιθανή
περίεργη συμπεριφορά θα έχει σαν αποτέλεσμα να μπλοκαριστεί
το πρόγραμμα και να δημιουργηθεί signature το οποίο
θα προστεθεί στην Database του Antivirus. Τα περιβάλλον
Sandbox μπορεί να είναι προσομοιωτής λειτουργικού,
virtual μηχάνημα ή φυσικό μηχάνημα. Μπορεί να κάνει
monitor με ακρίβεια κάθε ενέργεια του προγράμματος, ακόμα
και πιθανά DNS requests, URL που ζητήθηκαν και τροποποιήσεις
στην registry.
Η τεχνολογία Sandboxing έχει αρκετά πλεονεκτήματα σε σχέση
την συμβατική μέθοδο των signatures, όμως παραμένει η
ανάγκη για ταυτόχρονη υλοποίηση και των δύο τεχνολογιών,
30 security

Γιάννης Δασκαλόπουλος
Security Solutions Supervisor
Digital SIMA
καθώς ο έλεγχος για malware μέσω signatures είναι πολύ
πιο γρήγορος σε σχέση με το sandboxing. Επιπλέον, έχουν
βρεθεί τεχνικές που μπορούν να παρακάμψουν την ανάλυση
ενός malware από κάποιο sandbox. Η βασική ιδέα των
τεχνικών αυτών είναι το ίδιο το Malware να καταλάβει ότι
εκτελείται μέσα σε περιβάλλον sandbox και να αναστείλει την
κακόβουλη λειτουργία του με αποτέλεσμα να χαρακτηριστεί
ως «καθαρό».
Τεχνικές Ελέγχου
Μερικά παραδείγματα ανίχνευσης από το malware ότι βρίσκεται
σε περιβάλλον Sandbox είναι ο έλεγχος για VMware
Registry keys και adapters. Συχνά ελέγχεται ο αριθμός των
διαθέσιμων πυρήνων, το μέγεθος της μνήμης RAM και του
Hard Drive. Συνήθως τα Virtual μηχανήματα που λειτουργούν
σαν Sandbox έχουν ένα πυρήνα, 1GB RAM και μέγιστο 100GB
σκληρό δίσκο. Υπάρχουν και πιο εξειδικευμένες τεχνικές όπως
ο έλεγχος για συγκεκριμένα processes (vmsrvc.exe, vmusrvc.
exe, vboxtray.exe, vmtoolsd.exe, df5serv.exe, vboxservice.
exe), ή έλεγχος της MAC Address του συστήματος στο οποίο
εκτελείται το Malware, καθώς τα τρία πρώτα bytes βοηθούν
στην αναγνώριση του κατασκευαστή της κάρτας δικτύου. Επίσης
μπορεί να ελέγχεται αν δημιουργείται κάποιο exception
όταν το μήκος ενός instruction στη CPU είναι μεγαλύτερο από
0x15 bytes. Η ύπαρξη exception οδηγεί στο συμπέρασμα ότι
η CPU είναι φυσική και όχι virtual. Τέλος συχνά τα sandboxes
κάνουν Inject modules σε κάποια processes ώστε να μπορούν
να καταγράφουν την δραστηριότητα του process αυτού. Επειδή
αρκετά από τα modules που χρησιμοποιούνται για το σκοπό
αυτό είναι ευρέως γνωστά, μπορούν να χρησιμοποιηθούν
από τα Malware ως μέθοδος ανίχνευσης sandbox.
Τα συστήματα Sandboxing και Behavior Monitoring 2ης γενιάς
μπορούν να αντιμετωπίσουν τέτοιες τεχνικές. Αυτό επιτυγχάνεται
ενσωματώνοντας ένα πλήθος από αντίμετρα όπως
unknown list of running processes, unknown file system και
registry artifacts, μη χρήση των guest VM tools, πολλαπλοί
πυρήνες στον επεξεργαστή, άγνωστη hypervisor port για επικοινωνία
του Host με τα guest λειτουργικό σύστημα κ.ά. Τέλος
θα πρέπει τα Sandbox να μπερδεύουν το εκτελέσιμο πρόγραμμα
σχετικά με το χρόνο, καθώς αρκετά malware παραμένουν
ανενεργά για μεγάλο χρονικό διάστημα επειδή είναι προγραμματισμένα
να εκτελέσουν το κακόβουλο τμήμα του κώδικά
τους μέρες ή και βδομάδες μετά από την αρχική μόλυνση.
Μια συνεργασία για λύσεις κορυφαίας απόδοσης
Μία από τις κορυφαίες εταιρείες παροχής προηγμένου
Sandboxing και γενικά ανίχνευσης APTs είναι η LastLine η
οποία καλύπτει σε αυτό τον τομέα τα περισσότερα από τα μεγάλα
δίκτυα παγκοσμίως. Η Lastline προσφέρει το μηχανισμό
ανίχνευσης που έχει αναπτύξει, στα πλαίσια στρατηγικής
συνεργασίας, στη Watchguard η οποία ενσωματώνει τη λύση
ανίχνευσης και προστασίας από APTs στα Next Generation
Firewalls που προσφέρει. Η συνεργασία της Watchguard με
την Lastline αποτελεί παράδειγμα ενσωμάτωσης τεχνολογιών
Sandboxing σε NG Firewalls, με αποτέλεσμα
να παρέχει προστασία κορυφαίου επιπέδου από Zero Day
επιθέσεις, Ransomware και APT malware, σε προσιτό κόστος
που μπορεί να καλυφθεί και από μικρομεσαία δίκτυα.
Σε σύγκριση με τις υπόλοιπες προσεγγίσεις Sandboxing
με virtualization ή OS emulation, η υπηρεσία που παρέχεται
στα Firewall της Watchguard χρησιμοποιεί full-system
emulation με αποτέλεσμα να προσφέρει εις βάθος έλεγχο
της συμπεριφοράς του malware και παράλληλα να αποφεύγεται
οποιαδήποτε τεχνική παράκαμψης της τεχνολογίας
Sandboxing, που τυχόν είναι ενσωματωμένη στο malware.
Χαρακτηριστικό παράδειγμα της κορυφαίας λειτουργίας του,
αποτελούν τα σχεδόν μηδενικά ποσοστά false-positive
αναφορικά με τις επιθέσεις Ransomware. ITSecurity
security
31

T4505-07.2016
Issue
Specialized Threat Analysis and
Protection
Η σωστή ασφάλεια και η καλή λειτουργία του δικτύου μπορούν, και πρέπει να παρέχονται
ταυτόχρονα. Μια από τις σημαντικότερες τεχνολογίες οι οποίες συνάδουν προς αυτό το σκοπό
είναι το sandboxing.
ήμερα, η σύγχρονη επιχείρηση έχει επιτακτική
ανάγκη να ενσωματώσει σύγχρονες αρχι-
Σ
τεκτονικές ασφαλείας. Οι επιθέσεις οι οποίες
καταφέρνουν να διεισδύσουν διαπερνώντας
την πρώτη γραμμή άμυνας, είτε προέρχονται
από το εσωτερικό δίκτυο είτε όχι, πρέπει να ανιχνεύονται
εγκαίρως, ώστε να ελαχιστοποιούνται οι επιπτώσεις τους στα
δεδομένα και τις διαδικασίες του οργανισμού. Ωστόσο, το δίκτυο
πρέπει να συνεχίσει να παρέχει κρίσιμες υπηρεσίες στο
χρόνο στον οποίο τις αναμένουν οι χρήστες. Μια από τις σημαντικότερες
τεχνολογίες που προσφέρουν συνδυασμό ασφάλειας
υποστηρίζοντας παράλληλα την καλή λειτουργία του δικτύου
είναι το sandboxing.
Σύγχρονες απειλές και Sandboxing
Η τεχνική του sandboxing έχει πλέον ωριμάσει και τα τελευταία
χρόνια αποτελεί μέρος των περισσότερων λύσεων ασφαλείας.
Όμως το sandboxing έχει ξεκινήσει να είναι μέτρο ασφαλείας
του λειτουργικού συστήματος πολύ πριν γίνει standard
στην ασφάλεια δικτύων και το πιο πιθανό είναι κάθε υποδομή
να χρησιμοποιεί ήδη μία μορφή sandboxing, όπως OS
Sansboxing (jailroot) και Web Sandboxing (HTML5 iframes).
Πέρα από την προστασία κατά των απειλών, προσφέρει και
ένα εργαλείο forensics και visibility για τις απειλές που κυκλοφορούν
στο δίκτυο ενός οργανισμού. Το εύλογο ερώτημα είναι
το πώς κατέληξε η ασφάλεια πληροφοριών και δικτύων
να χρειάζεται τέτοιου είδους τεχνολογίες;
Οι επιτεθειμένοι έχουν εξελιχθεί και μαζί τους, οι απειλές
ασφαλείας. Κυριότερος λόγος είναι η εμπορευματοποίηση
του cyber crime και τα μεγάλα κέρδη που εμφανίζει αυτό.
Το κλασσικό virus έχει παραγκωνισθεί στο παρασκήνιο από
το Advanced Persistent Threat (APT). Η σύγχρονη αυτή μορφή
απειλής δεν κινείται με συμβατικούς τρόπους, αποφεύγει
τον εντοπισμό από εργαλεία ασφαλείας και μπορεί να αλλάζει
μορφή ανάλογα με το περιβάλλον που συναντά. Επίσης, ενεργοποιείται
ετεροχρονισμένα ξεγελώντας τα point solutions,
όπως το firewall, τα οποία θα επιτρέψουν την πρόσβαση στο
αθώο APT χωρίς να μπορούν να προβλέψουν το αποτέλεσμα,
όταν αυτό ενεργοποιηθεί ώρες ή ημέρες αργότερα. Συνεπώς,
οι λύσεις που χρησιμοποιούνται κατά κόρον, εφαρμόζουν
static signatures και είναι point-in-time με αποτέλεσμα να
μην μπορούν να εντοπίσουν τα APTs.
Το sandboxing έρχεται να δώσει τη λύση, προσομοιώνοντας
πολλά διαφορετικά απομονωμένα περιβάλλοντα, με σκοπό
να πυροδοτήσει την ενεργοποίηση του APT, να καταγράψει
τις κινήσεις του και να εφαρμόσει αντίμετρα χωρίς να θέσει
σε κίνδυνο την υπόλοιπη υποδομή.
Κατηγορίες Sandboxing
Η τεχνολογία αυτή έρχεται σε 3 μορφές:
• Standalone: Ένα σύστημα αποκλειστικά για χρήση
32 security

Παναγιώτης Γεωργίου
InfoSec Consultant, Networking Solutions
BSc, MSc, CCDP, CCNP R&S, CCNP Sec, CCP-N
sandboxing, τοποθετημένο στο εσωτερικό του οργανισμού,
δέχεται και ελέγχει υποψήφιες απειλές.
• Integrated: Μια συσκευή ασφαλείας η οποία παρέχει διαφορετικού
τύπου προστασία, όπως Firewall, UTM, IPS, Web
Proxy, Email Relay κ.ά., εφαρμόζει επιπλέον και Sandboxing
με μηχανισμούς που συμπεριλαμβάνονται στην ίδια τη συσκευή.
• Cloud: Μια συσκευή ασφαλείας η οποία παρέχει διαφορετικού
τύπου προστασία, όπως Firewall, UTM, IPS, Web Proxy,
Email Relay κ.ά., αποστέλλει τα προς έλεγχο δεδομένα σε
μία Cloud υπηρεσία Sandboxing, η οποία ελέγχει τα δεδομένα
και επιστρέφει την ετυμηγορία ώστε να ληφθούν τα
κατάλληλα μέτρα.
Χαρακτηριστικά Sandboxing
Ένα σύστημα Sandboxing πρέπει να διαθέτει τις εξής δυνατότητες:
• Ανάλυση πληθώρας στοιχείων, όπως pdf, DLL βιβλιοθήκες,
περιοχές μνήμης κ.ά.
• Προκαταρκτική ανάλυση, για την αποφυγή περιττών καθυστερήσεων
σε αντικείμενα που μπορεί να αναλύσει ένα
απλό anti-virus.
• Υποστήριξη πολλών εφαρμογών και λειτουργικών συστημάτων
σε βάθος, με έμφαση σε παραλλαγές όπως Ελληνικά
Windows ή χρήση πλήρης σουίτας μίας εφαρμογής
και όχι μόνο ενός μέρους της.
• Τεχνικές απόκρυψης, ώστε το malware να μην εντοπίζει
την ύπαρξη του Sandbox.
• Προσομοίωση Hardware, ώστε να εντοπίζονται απειλές με
στόχο την ευπάθεια συσκευών και όχι μόνο λογισμικού.
• Συνεργασία με forensic εργαλεία, γιατί όπως προαναφέρθηκε,
το Sandboxing πρέπει να ανήκει σε ένα σύνολο
υπηρεσιών ασφάλειάς forensics και visibility.
Είναι το Sandboxing αρκετό;
Δυστυχώς το Sandboxing δεν μπορεί να ανταπεξέλθει πλήρως
στο διαρκώς εξελισσόμενο πεδίο μάχης της ασφάλειας πληροφοριών
και συστημάτων και δεν είναι πανάκεια. Εξ ορισμού
αποτελεί και αυτό μία point λύση η οποία δεν δίνει visibility σε
όλα τα κομμάτια του δικτύου και δεν παρέχει αυτοματοποιημένες
διαδικασίες και αναφορές. Επίσης:
• Οι επιτεθειμένοι αναπτύσσουν προχωρημένες τεχνικές εντοπισμού
του sandbox αλλά και επιθέσεις που στοχοποιούν το
ίδιο το sandbox.
• Το αποτέλεσμα είναι απλά θετικό ή αρνητικό και δεν παρέχει
καμία συσχετιζόμενη πληροφορία σχετικά με τη συμπεριφορά
του αντικειμένου προς έλεγχο ή ένδειξη για το αν θα
πρέπει να συνεχιστεί η παρακολούθηση του.
• Το Sandbox δεν αναλύει αντικείμενα που ήδη έχει αναλύσει
με αποτέλεσμα να μην εντοπίζει απειλές που δεν εκδηλώνονται
τη δεδομένη στιγμή του ελέγχου.
Specialized Threat Analysis and Protection
Το μέλλον βρίσκεται στο Specialized Threat Analysis and
Protection (STAP), μέρος του οποίου είναι το Sandboxing.
Η αντιμετώπιση των πλέον εξελιγμένων απειλών απαιτεί επιπλέον
ευφυΐα στα συστήματα ασφαλείας. Χρειάζεται μία ολιστική
αντιμετώπιση η οποία θα περιλαμβάνει κλασσικές λύσεις
όπως το Firewall, νέες λύσεις όπως το Sandboxing, αλλά επιπλέον
επικοινωνία μεταξύ τους και συνολική εφαρμογή στο
δίκτυο, τις εφαρμογές και τα endpoints. Τα επίπεδα της προσέγγισης
αυτής είναι:
• Endpoint: Η ασφάλεια πρέπει να επεκταθεί στον σταθμό
εργασίας, είτε αυτό είναι PC είτε smartphone. Σε αυτό το
επίπεδο πρέπει να προσφερθεί δυναμική ανάλυση συμπεριφοράς
των αρχείων και γενικότερα των αντικειμένων αλλά
και της επικοινωνίας μεταξύ τους, πέρα από το απλό Antivirus,
το οποίο σταδιακά θα περάσει στο παρασκήνιο. Αυτό
δεν θα περιορίζεται στο λειτουργικό σύστημα και στην ίδια
τη συσκευή, αλλά θα επεκτείνεται σε όλο το δικτυακό αποτύπωμα
του endpoint.
• Edge: Στο άκρο του οργανισμού οι τυπικές λύσεις του
Firewall, Proxy και Relay έχουν ήδη εξελιχθεί σε Next-
security
33

T4505-07.2016
Issue
Generation Firewall με IPS, Web Security Gateway και
Email Security Gateway. Επίσης, ήδη ενσωματώνουν λύσεις
Sandbox και Anti-virus αλλά δεν είναι αρκετό. Είναι
επιτακτική η ανάγκη της χρήσης συγκεντρωτικού Security
Intelligence είτε στο Cloud, είτε τοπικά.
• Internal: Στο εσωτερικό του δικτύου, είτε αυτό είναι
Campus είτε Data Center δεν περιέχει λύσεις ασφαλείας
ικανές να ανταποκριθούν στη νέα κατάσταση απειλών. Συνήθως,
θεωρείται προστατευμένο κομμάτι του δικτύου λόγω
περιμετρικής ασφάλειας. Απαιτείται η ολοκλήρωση λύσεων
flow correlation, behavioral traffic analysis, DNS security
και Botnet protection, καθώς οι απειλές malware περνάνε
στο εσωτερικό δίκτυο με συνεχώς νέους τρόπους και
πρέπει να υπάρχει μέθοδος αντιμετώπισης στο εσωτερικό
δίκτυο, καθώς και περιορισμού τις εξάπλωσης και διαρροής
δεδομένων.
Σημαντικά στοιχεία της τεχνολογίας, ανεξαρτήτου επιπέδου,
είναι:
• Η επικοινωνία μεταξύ των επιπέδων πρέπει να είναι διαρκής
και συνεχόμενη και να παρέχονται μέθοδοι αυτόματου
συγχρονισμού των επιμέρους τεχνολογιών
• Το κάθε security event δεν πρέπει να μένει ως ένα τοπικό
event, αλλά να διαχέεται σαν Security Intelligence σε όλη την
υποδομή, ώστε μία επιτυχημένη επίθεση σε ένα κομμάτι του
δικτύου να μην επηρεάζει το υπόλοιπο.
• Το ασφαλές δίκτυο θα διαθέτει μηχανισμούς remediation μέσω
αυτόματων actions ή και καθορισμό custom κανόνων,
καθώς και workflows για την διασφάλιση του compliance.
Οι μηχανισμοί θα εκμεταλλεύονται την επικοινωνία μεταξύ
των επιπέδων και των συσκευών ασφαλείας, πετυχαίνοντας
ένα συγχρονισμένο ασφαλές δίκτυο με αυτόματη απόκριση
στις απειλές. ITSecurity
Space Hellas
Η Space Hellas διαθέτει κορυφαία τεχνογνωσία στην
τεχνολογία ασφάλειας πληροφοριών με εξειδικευμένο
προσωπικό που σχεδιάζει και υλοποιεί εξελιγμένες
λύσεις, οι οποίες προσαρμόζονται στις ανάγκες του
πελάτη. Παρέχει προηγμένα professional services και
συνεργάζεται με τους κορυφαίους κατασκευαστές και
παρόχους προϊόντων ασφαλείας.
Συνδυάζοντας τεχνολογικά προϊόντα και managed
services, η Space Hellas, δίνει τη δική της λύση
Specialized Threat Analysis and Protection (STAP) εισάγοντας
Security Intelligence και Analytics, με την
προστιθέμενη αξία του Compliance.
Space Hellas SA | Office: +302106504276| Mobile:
+306940463647 | Web: www.space.gr
34 security

T4505-07.2016
Issue
Πως να προστατέψετε την επιχείρησή
σας από το Ransomware!
Οι επιθέσεις στο διαδίκτυο αυξάνονται διαρκώς, γίνονται όλο και πιο εξειδικευμένες και οι
IT managers συνειδητοποιούν πως δεν είναι ασφαλές να βασίζονται σε μία μόνο τεχνολογία
προστασίας από ιούς.
άθε υπολογιστής χρειάζεται πολλαπλά επίπεδα
ανίχνευσης malware και αποκατάστα-
Κ
σης, ώστε να διασφαλιστεί μία ολοκληρωμένη
προστασία.
Το Malwarebytes Anti-Malware for Business
μπορεί να καλύψει αυτήν την ανάγκη, παρέχοντας αποτελεσματική
προστασία, η οποία συμπληρώνει την τρέχουσα λύση
ασφαλείας που χρησιμοποιείτε (π.χ. το υπάρχον antivirus).
Η ισχυρή μηχανή σάρωσης του Malwarebytes ανιχνεύει και
εξαλείφει σε μηδενικό χρόνο το malware, κάτι που δεν κάνουν
άλλες λύσεις, βελτιώνοντας την ασφάλεια και τα τρωτά
σημεία ανίχνευσης.
Η κεντρική κονσόλα διαχείρισης απλοποιεί την χρήση του προϊόντος,
δίνοντας την δυνατότητα ενημέρωσης, παρακολούθησης
και διαχείρισης των client μέσα από μία μόνο οθόνη.
Χαρακτηριστικά / Πλεονεκτήματα:
Antimalware/Antispyware: ανιχνεύει και εξαλείφει
ιούς, Trojans, worms, rootkits, adware και spyware
σε πραγματικό χρόνο με σκοπό την προστασία των
δεδομένων και την ακεραιότητα του δικτύου σας.
Malicious Website Blocking: αποτρέπει την
πρόσβαση σε γνωστές, κακόβουλες IP διευθύνσεις,
λειτουργώντας προληπτικά για την προστασία των
χρηστών.
File Execution Blocking: αποτρέπει και μπλοκάρει
τις κακόβουλες απειλές, οι οποίες προσπαθούν να
εκτελέσουν κάποιον κώδικα.
Three System Scan Modes (Quick, Scan, Full):
αποτελεσματική σάρωση του συστήματος με βάση τις
απαιτήσεις ασφαλείας και τους διαθέσιμους πόρους.
Command-Line interface: προσφέρει εναλλακτική
λύση του Malwarebytes GUI με σκοπό τον έλεγχο και
την ευελιξία.
XML logging: παρέχει reporting σε απλοποιημένη
μορφή, ώστε να διευκολύνει την καταγραφή των
εργαλείων ανάλυσης και τη διαχείριση δεδομένων.
Malwarebytes Management Console: επιτρέπει
τον προγραμματισμό σαρώσεων του endpoint και
της αυτόματης εγκατάστασης για την διατήρηση του
bandwidth και των πόρων.
Περισσότερες πληροφορίες για τη λύση Malwarebytes θα βρείτε στο link
www.orthology.gr/Product/Malwarebytes/Malwarebytes
security
35

T4505-07.2016
Issue
EgoSecure Data Protection
Προστασία δεδομένων από εξωτερικές
αλλά και εσωτερικές απειλές
Η EgoSecure Data Protection είναι μία μοναδική, 360 λύση Προστασίας Δεδομένων, η οποία
εξετάζει ποια είναι και που βρίσκονται ανά πάσα στιγμή τα ευαίσθητα δεδομένα της επιχείρησης
σας και τα προστατεύει από εξωτερικές και εσωτερικές απειλές, είτε πρόκειται για κακόβουλες
ενέργειες, είτε για ανεύθυνες και αμελείς συμπεριφορές των εργαζομένων.
H απώλεια δεδομένων
Σχεδόν το σύνολο της αξίας μιας επιχείρησης βρίσκεται τώρα
πια σε μορφή ψηφιακών δεδομένων, η απώλεια των οποίων
μπορεί να βάλει σε κίνδυνο ακόμα και την ύπαρξη της. Σύμφωνα
με την μελέτη "Ponemon lnstitute Releases 2014 Cost
of Data Breach" το μέσο κόστος των συνεπειών της απώλειας
δεδομένων υπολογίζεται σε: 3,1 εκατομμύρια €! Όμως το
μεγαλύτερο πρόβλημα δεν είναι οι χάκερς ή κάποιοι εργαζόμενοι
που προσπαθούν να βλάψουν τον οργανισμό. Η μεγαλύτερη
ζημιά προκαλείται από αβλεψία, αμέλεια και άγνοια βασικών
κανόνων ασφάλειας όπως φαίνεται και στο γράφημα 1.
Γράφημα 1
Η λύση της EgoSecure
Η EgoSecure έχοντας κατανοήσει πως ο μεγαλύτερος κίνδυνος
απώλειας δεδομένων εδράζεται σε ανθρώπινα λάθη εντός
των οργανισμών, έχει αναπτύξει και εντάξει στην ολοκληρωμένη
λύση EgoSecure Endpoint, διαδικασίες και εφαρμογές
που μειώνουν δραστικά και αυτόν τον κίνδυνο. Η σουίτα
Egosecure Endpoint δεν είναι απλά ένα σύνολο λειτουργιών
και εφαρμογών, αλλά ένα σύστημα με αρχιτεκτονική, βάση
δεδομένων, λειτουργικό concept και κεντρική κονσόλα διαχείρισης.
Τα δομικά στοιχεία -οι εφαρμογές και λειτουργίες
της σουίτας- δεν είναι σταθερά, αλλά επιλέγονται, προσαρμόζονται
και εμπλουτίζονται με βάση τις ανάγκες και απαιτήσεις
του κάθε οργανισμού, όπως αυτές προκύπτουν από την αρχική
αξιολόγηση αλλά και την συνεχή ανάλυση του INSIGHT. H
λειτουργία INSIGHT όχι μόνο καθορίζει τα μέσα προστασίας
αλλά εμφανίζει και τα αποτελέσματα της εφαρμογής τους.
Οι Πυλώνες Προστασίας
Οι λύσεις προστασίας δεδομένων δεν πρέπει να εκμεταλλεύονται
έναν αόριστο φόβο πιθανής απώλειας, αλλά να βασίζονται
σε πραγματικά στοιχεία και αναλύσεις όπως του INSIGHT και
σε στέρεες αρχές όπως η C.A.F.E Management Principle,
πάνω στην οποία βασίζεται και το πλέγμα προστασίας που
προσφέρει η EgoSecure.
Control - Audit - Filter - Encryption (C.A.F.E)
Control: Έλεγχος πρόσβασης - Καθορίζει ποιος μπορεί και
χρειάζεται να έχει πρόσβαση και σε ποια στοιχεία, μέσα στην
επιχείρηση. Έλεγχος εφαρμογών - Καθορίζει ποιος χρήστης
μπορεί να ανοίξει ποιο πρόγραμμα. Έτσι αποτρέπεται η χρησιμοποίηση
προγραμμάτων χωρίς άδεια χρήσης και οι συνεπαγόμενες
αστικές ευθύνες, προλαμβάνοντας ταυτόχρονα και
την μόλυνση από ιούς στο αρχικό στάδιο.
Audit: Ο ενδελεχής εσωτερικός έλεγχος επιτρέπει την λεπτομερή
αποτύπωση προσπαθειών υποκλοπής και απώλειας
δεδομένων.
Filter: Ανάλυση και Φιλτράρισμα περιεχομένου - Αναλύεται
το εξερχόμενο από τον οργανισμό περιεχόμενο και φιλτράρονται
τα εμπιστευτικά δεδομένα ενώ ταυτόχρονα αποτρέ-
36 security

Security Team
AELIOS IT Consulting
www.aelios.eu
Management: M.D.M - Power Management -
Erase Management
Mobile Device Management. Η αυξανόμενη διείσδυση φορητών
συσκευών και η χρήση τους στον επαγγελματικό χώρο
καθιστά επιτακτική την υιοθέτηση λύσεων MDM.
Green IT. Η ευφυής διαχείριση της ενέργειας διασφαλίζει ότι
οι συσκευές καταναλώνουν ενέργεια μόνο όταν χρησιμοποιούνται.
Έτσι όχι μόνο εξοικονομούνται χρήματα αλλά βελτιώνεται
και το ενεργειακό αποτύπωμα της επιχείρησης.
Secure Erase Management. Η ασφαλής διαγραφή δεδομένων
διασφαλίζει ότι τα δεδομένα που διαγράφονται, δεν μπορούν
να ανακτηθούν είτε βρίσκονται σε εσωτερικό σκληρό
δίσκο είτε σε φορητή συσκευή αποθήκευσης.
πεται και η εισροή μη αποδεκτού περιεχομένου. Antivirus -
Το ενσωματωμένο Antivirus της EgoSecure θεωρείται από
τις κορυφαίες λύσεις προστασίας από ιούς και κακόβουλο
λογισμικό.
Encryption: Η κρυπτογράφηση διασφαλίζει κυρίως ότι τα
δεδομένα δεν μπορούν να χρησιμοποιηθούν σε περίπτωση
απώλειας συσκευής.
• Κρυπτογράφηση Mail. Διασφαλίζει την ασφαλή ανταλλαγή
mail χωρίς να χρειάζεται ειδικό λογισμικό.
• Κρυπτογράφηση αποσπώμενων συσκευών: Οι αποσπώμενες
συσκευές όπως τα USB γίνονται όλο και πιο μικρές,
αυξάνοντας ταυτόχρονα τον κίνδυνο απώλειας ή κλοπής.
Η κρυπτογράφηση που προσφέρει ή Egosecure είναι σε
επίπεδο file, ενώ η εισαγωγή του password για την αποκρυπτογράφηση
μπορεί να γίνει σε οποιαδήποτε Windows
υπολογιστή.
• Κρυπτογράφηση σε επίπεδο Folder. Χρησιμεύει σε περιπτώσεις
απώλειας φορητών υπολογιστών, αλλά και για να
κρυπτογραφηθούν ευαίσθητα εταιρικά δεδομένα στα οποία
έχουν δυνητική πρόσβαση χρήστες με ισχυρά προνόμια
πρόσβασης (όπως Ι.Τ managers) που όμως δεν τους αφορούν
τα συγκεκριμένα δεδομένα.
• Κρυπτογράφηση Σκληρού Δίσκου. Επιτρέπει την κρυπτογράφηση
του συνόλου ή μέρους του σκληρού δίσκου.
• Κρυπτογράφηση Δικτύου και Cloud. Επιτρέπει την κρυπτογράφηση
φακέλων αποθηκευμένων στο Cloud ή και σε
οποιοδήποτε σημείο ενός Δικτύου.
• Κρυπτογράφηση IOS και Android. On-the- fly κρυπτογράφηση
αρχείων σε συσκευές IOS και Android μέσω
application.
Όχι μόνο S.A.F.E αλλά και S.A.V.E
Εκτός από την αξιοπιστία την ασφάλεια και την ευελιξία, καθοριστικό
ρόλο στην επιλογή μιας λύσης προστασίας δεδομένων
παίζει και ο οικονομικός παράγοντας, παρότι είναι δύσκολο να
εκτιμηθεί το R.O.I από την υιοθέτηση μιας λύσης που αποτρέπει
δυνητικό κίνδυνο. Η λύση της EgoSecure βασίζεται στο
SAFE & SAVE concept στοχεύοντας όχι μόνο στην προστασία
και την ασφάλεια αλλά και στην επίτευξη αληθινού ROI σε
σύντομο χρόνο.
S.A.V.E: Spendings - Administration - Visibility -
Economize
Spendings - Η EgoSecure Data Protection έχει ελαχιστοποιήσει
τα κόστη που συνδέονται με την εγκατάσταση, τη διαχείριση
και την εκπαίδευση, μειώνοντας έτσι τα συνολικό κόστος
σε σύγκριση με άλλες λύσεις.
Administration - Ο χρόνος εγκατάστασης του EgoSecure
Data Protection είναι μία ημέρα, και η παραμετροποίηση μπορεί
να γίνει με μερικά κλικ του ποντικιού. Ενώ η κεντρική κονσόλα
διαχείρισης είναι βασισμένη σε ένα εύχρηστο interface.
Visibility - Οι περισσότερες λειτουργίες εκτελούνται στα παρασκήνιο
και δεν εμποδίζουν την εργασία του χρήστη. Ο agent
στο Endpoint, παρέχει διάφανη και καθαρή πληροφόρηση και
έτσι δεν απαιτείται εκπαίδευση του χρήστη.
Economize - Ανάλογα με το hardware και τις χρεώσεις ηλεκτρικού
το EgoSecure Green - IT βοηθάει τις επιχειρήσεις να
εξοικονομήσουν από 50 έως 100 € ανά κομπιούτερ τον χρόνο.
Έτσι μπορεί να βγάλει τα χρήματά του σε λιγότερο από
ένα χρόνο.
Η AELIOS IT Consulting αναγνωρίζοντας την ανάγκη για
λύσεις υψηλής προστιθέμενης αξίας στον χώρο του Data
Protection, όπως αυτή της EgoSecure, προχώρησε στη σύναψη
στρατηγικής συνεργασίας με την EgoSecure για την
αποκλειστική διανομή των λύσεων της εταιρίας, σε Ελλάδα
και Κύπρο.
Δωρεάν Δοκιμή - Εάν θέλετε να δοκιμάσετε δωρεάν την
σουίτα EgoSecure, αποστείλετε σήμερα κιόλας email στο
sales@aelios.eu ή επικοινωνήστε μαζί μας στο τηλέφωνο
215-5501-664. ITSecurity
security
37

T4505-07.2016
Issue
Η αξιοπιστία των επιχειρήσεων
σε κρίση
Έχουμε συνηθίσει να ακούμε καθημερινά για κάποιο σημαντικό συμβάν, κάποια κρίση και τελικά
μια πιθανώς θετική έκβαση της κατάστασης. Τις περισσότερες φορές, λόγω της Ελληνικής
Γλώσσας, ο όρος «Κρίση» χρησιμοποιείται καταχρηστικά για να περιγράψουμε ένα υποκειμενικά
μείζον θέμα που μας απασχολεί, για παράδειγμα «Είχαμε κρίση σήμερα στο γραφείο, τελείωσε το
χαρτί του φωτοτυπικού».
εν είμαστε όμως εδώ για να αναλύσουμε ετυμολογικά
τον ορισμό της κρίσης, παρά για να
Δ
τονίσουμε εμφατικά ότι όταν κάποιες σοβαρές
αξίες είναι σε κρίση, όπως η Αξιοπιστία, τότε
προφανώς και είναι κάτι σημαντικό και θα πρέπει
να δούμε το ρόλο που έχουμε σε αυτό ή ακόμη χειρότερα το
ρόλο που παίξαμε για να έρθει η Αξιοπιστία σε κρίση.
Η Αξιοπιστία σε Κρίση λοιπόν και ήδη κάποιοι από εσάς να
αναρωτιέστε τι σχέση έχει αυτό με την επιχείρησή σας.
Σε αυτή την περίπτωση θα πρότεινα μια ιστορική αναδρομή
στα χρόνια που η κάθε εταιρία λειτουργεί προκειμένου να διαπιστώσουμε
και να διασταυρώσουμε πόσα και ποια πιστοποιητικά
(ή αλλιώς ISO Standards), έχει αυτή η εταιρία λάβει
με ορθές διαδικασίες, αξιοκρατικές μεθόδους και τηρώντας
τα ζητούμενα του προτύπου στο οποίο κάθε φορά
πιστοποιείται.
Είναι σημαντικό να τονίσουμε ότι οι σύγχρονοι οργανισμοί,
προκειμένου να συμμετέχουν σε τοπικούς ή διεθνείς διαγωνισμούς
ανάθεσης συμβολαίων, πρέπει να φέρουν κάποιες πιστοποιήσεις,
με πιο γνωστή αυτή του Συστήματος Διοίκησης
Ολικής Ποιότητας ISO9001.
Οι Μanagers των εταιρειών αυτών λοιπόν, έχοντας διενεργήσει
αποκλειστικά μειοδοτικούς διαγωνισμούς, δίχως το
παραμικρό ποιοτικό στοιχείο, έχουν καταλήξει στον Φορέα
Διαπίστευσης της αρεσκείας τους (τον πιο οικονομικά συμφέρον
δηλαδή), προχωρούν στην υλοποίηση των Συστημάτων
Διοίκησης και τελικά στην Πιστοποίηση μέσα σε διάστημα
λίγων μηνών ή και μερικών εβδομάδων (!).
Για όσους έχουν ασχοληθεί με τα Συστήματα Διοίκησης
όπως είναι και το ISO27001 - Information Security, ή το
38 security

Γιάννης Ζέππος, FBCI
Managing Partner, Resilience Guard GmbH
John.zeppos@resilienceguard.ch
ISO22301 - Business Continuity, ή όποιο άλλο, γνωρίζουν ότι
για την τεκμηρίωση λειτουργίας ενός Συστήματος Διοίκησης
σε έναν οργανισμό, πρέπει ο Ελεγκτής να βρει στοιχεία που
να αποδεικνύουν την ύπαρξή του για διάστημα τουλάχιστον
12 μηνών.
Συμπερασματικά:
• Πώς γίνεται να πιστοποιηθεί μια εταιρία σε μερικές εβδομάδες
ή και σε μερικούς μήνες αν δεν έχει αυτά τα ιστορικά
στοιχεία;
• Πόσο αξιόπιστη είναι η πιστοποίηση που έλαβε;
• Πόσο αξιόπιστη είναι η εταιρεία πιστοποίησης που το ανέλαβε
ως έργο;
• Πόσο αξιόπιστη είναι τελικά και η ίδια εταιρεία που έλαβε την
πιστοποίηση ως συνεργάτης;
• Πώς θα νοιώθατε αν ανακαλύπτατε ότι οι περισσότεροι βασικοί
προμηθευτές σας, έχουν υποβάλει Πιστοποιητικά χωρίς
ουσιαστικό αντίκρισμα;
• Θα συνεχίζατε να συνεργάζεστε μαζί τους ή ακόμη καλύτερα,
θα συνέχιζε πιστεύετε να συνεργάζεται μαζί σας ο πελάτης σας
αν ανακάλυπτε ότι τα πιστοποιητικά σας είναι απλά κάδρα για
το γραφείου του προέδρου;
Είναι εξαιρετικά πιθανό κάποιοι ήδη να αναρωτιέστε αν υπάρχουν
τέτοιες εταιρίες και η απάντηση μπορεί να είναι μονολεκτική.
Φυσικά!
Και αυτό συμβαίνει γιατί εμείς επιτρέπουμε να συνεχίζεται αυτή
η πρακτική, κι εμείς επιτρέπουμε να θυσιάσουμε όποια ποιότητα
ή αξιοπιστία στο βωμό του κόστους, επιλέγοντας τους
λάθος συνεργάτες, κρίνοντας μόνο από αυτό που ξέρουμε
ως «κόστος».
Αντ’ αυτού θα πρέπει να ψάχνουμε αυτό που λέγεται
«αξία» και να προσπαθούμε να στηρίξουμε όλο το οικοσύστημα
των εταιριών με αυξημένη υπευθυνότητα απέναντι
στους καταναλωτές τους, στους μετόχους τους, στους συνεργάτες
τους, στους προμηθευτές τους.
Έχω αναφέρει ξανά πως μια αλυσίδα είναι Τόσο συμπαγής όσο
και ο πιο αδύναμος κρίκος της. Είστε σίγουροι ότι θα θέλατε ο
αδύναμος κρίκος να είστε εσείς;
Αρκετοί οργανισμοί αποστέλλουν ετησίως self-assessment
questionnaires στους προμηθευτές τους για να πάρουν
απαντήσεις αν έχουν πιστοποιήσεις ISO9001, ISO14001,
OHSAS18001, ISO22301, ISO27001 κ.λπ. - ποιες πιστεύετε είναι
οι απαντήσεις των προμηθευτών;
Χωρίς κανένα κληρονομικό χάρισμα, είμαι βέβαιος ότι πάνω
από το 90% στέλνει αναληθή στοιχεία σε ποσοστό άνω
του 50% των ερωτήσεων από φόβο μήπως και απορριφθεί
ως προμηθευτής.
Προσεκτικές επιλογές
Πρέπει να καταλάβουμε όλοι πως αυτός είναι ένας φαύλος
επιχειρηματικός κύκλος και οι σύμβουλοι που μας υπόσχονται
Υλοποίηση Συστημάτων Διοίκησης με ποσά αγοράς
μεταχειρισμένου αυτοκινήτου 10ετίας και μάλιστα μεσαίας
κατηγορίας, είναι τουλάχιστον αναξιόπιστοι για να είναι
συνεργάτες μας.
Οι Εταιρίες Διαπίστευσης που μας υπόσχονται πιστοποιητικό
σε διάστημα απόδοσης ΦΠΑ έχουν έλλειψη επαρκούς σοβαρότητας,
όπως και οι εταιρίες διαπίστευσης που δεν έχουν
Ελεγκτές με πιστοποίηση ελέγχου του συγκεκριμένου
Συστήματος Διοίκησης που μας ενδιαφέρει.
Είθισται μάλιστα οι ελεγκτές να είναι αρκετές φορές «αστυνομικοί»
και «καθηγητές» συνάμα, υποτιμώντας πολύ την προσπάθεια
των ανθρώπων μιας εταιρίας για την αριστεία.
Η μόνη σωστή προσέγγιση είναι και πάντα θα είναι να ακολουθείς
το πρότυπο, να έχεις αξιόπιστους συμβούλους με αντίστοιχο
track record, να επιλέγεις πολύ προσεκτικά την εταιρία
Διαπίστευσης που θα σε πιστοποιήσει και να πανηγυρίζεις με
την επιτυχία σου στο τέλος.
Δεν είναι καθόλου τυχαίο ότι έχει ξεκινήσει στην Ευρώπη διαδικασία
εκκαθάρισης των προμηθευτών -λόγω και των τελευταίων
γεγονότων στους κύκλους της Ευρωπαϊκής Ένωσης-
και είμαι σίγουρος ότι μόλις αυτή αγγίξει την Ελλάδα τους
επόμενους μήνες, θα δούμε πολλές «εκπλήξεις».
Κρίσιμα ερωτήματα
Αν όλα αυτά σας μοιάζουν υπερβολικά και ότι κάνουμε πολύ
συζήτηση για το τίποτα, θα παρακαλούσα θερμά όλους τους
αναγνώστες να απαντήσουν τα παρακάτω ο καθένας για τον
εαυτό του:
• Θα επέλεγα προμηθευτή με πιστοποιητικό που δεν αντικατοπτρίζει
την πραγματική δυνατότητα της εταιρείας;
• Θα επέλεγα ποτέ γιατρό με αναξιόπιστο πτυχίο να με εγχειρίσει;
• Θα επέτρεπα ποτέ τα παιδιά μου να πηγαίνουν σχολείο με
σχολικό του οποίου ο οδηγός έχει δίπλωμα δίχως να έδωσε
ποτέ πραγματικές εξετάσεις;
Οι απαντήσεις σας με έχουν ήδη καλύψει. ITSecurity
security
39