IT Professional Security - ΤΕΥΧΟΣ 45
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
T<strong>45</strong>05-07.2016<br />
Cover Issue<br />
την πραγματική ταυτότητα του κακόβουλου λογισμικού είναι<br />
εξαιρετικά χρήσιμες για την σωστή αντιμετώπισή του από το<br />
προσωπικό ασφαλείας.<br />
ναι πιθανό να αντιλαμβάνεται αν λειτουργεί σε περιβάλλον<br />
Sandbox και να μην ενεργοποιεί όλα του χαρακτηριστικά. Γι’<br />
αυτό το λόγο χρησιμοποιούνται οι hypervisors που δυσκολεύουν<br />
το κακόβουλο λογισμικό να εντοπίσει το Sandbox.<br />
Φυσικά, οι επιτιθέμενοι δεν έμειναν με σταυρωμένα τα χέρια<br />
και αφιέρωσαν κομμάτι του κώδικά τους για να ανιχνεύουν<br />
την ύπαρξη hypervisors και άρα την ύπαρξη Sandbox.<br />
Ως απάντηση δημιουργήθηκαν οι customized hypervisors<br />
οι οποίοι ανιχνεύονται δυσκολότερα και εξυπηρετούν στην<br />
πιο ικανοποιητική αντιμετώπιση των εισβολών. Δυστυχώς,<br />
οι customized hypervisors ενδέχεται να περιορίσουν τις λειτουργίες<br />
του Sandbox, ώστε να χρησιμοποιεί ένα εικονικό<br />
περιβάλλον πανομοιότυπο με αυτό της επιχείρησης αλλά να<br />
απαιτείται μία πιο βασική έκδοση.<br />
• Ρυθμός ανάλυσης. Προτού επιλέγει μία λύση Sandbox<br />
πρέπει να υπάρχουν απτές μετρήσεις των στόχων που είναι<br />
ικανό να αναλύει σε χρονικό διάστημα μια ώρας. Επίσης,<br />
πρέπει οι μετρήσεις να λαμβάνονται σε συνθήκες που η “ουρά<br />
αναμονής” για ανάλυση είναι γεμάτη. Αυτές οι μετρήσεις<br />
αποτελούν ικανοποιητικό κριτήριο για το πόσο το Sandbox<br />
θα μπορεί να αναβαθμιστεί στο μέλλον και να δεχτεί επιπλέον<br />
φόρτο εργασίας.<br />
• Εικονικό περιβάλλον ή περιβάλλον εξομοίωσης. Προσφέρονται<br />
και οι δύο επιλογές. Σε λειτουργία εικονικού περιβάλλοντος<br />
τα αρχεία αναλύονται, ενώ εκτελούνται μέσα σε<br />
ένα εικονικό λειτουργικό σύστημα. Σε λειτουργία περιβάλλοντος<br />
εξομοίωσης χρησιμοποιείται ένα επίπεδο λογισμικού<br />
το οποίο μιμείται μία εφαρμογή, ένα λειτουργικό σύστημα ή<br />
μία πλατφόρμα υλικού. Οι λύσεις που συνδυάζουν και τις 2<br />
λειτουργίες είναι σαφώς πιο άρτιες σε χαρακτηριστικά.<br />
• Πληροφορίες δραστηριοποίησης της εισβολής. Aν το<br />
Sandbox μπορεί να προσφέρει αναφορές στις οποίες θα<br />
αναλύεται αν το κακόβουλο λογισμικό, ήταν ένα εκ των<br />
πολλών που βρίσκονται ελευθέρα στο διαδίκτυο ή ήταν πιο<br />
στοχευμένο σε σχέση με τη συγκεκριμένη εταιρεία είναι<br />
σημαντικό. Οι πληροφορίες που μπορούν να αποκαλύψουν<br />
Οι επιλογές της αγοράς<br />
Στην αγορά διατίθενται κυρίως τρεις βασικοί τύποι Sandbox<br />
λύσεων:<br />
1. Stand alone λύσεις, που λειτουργούν αυτόνομα και<br />
δεν εξαρτώνται από την υπόλοιπη εταιρική δομή.<br />
2. Ως ενσωματωμένη λειτουργία στα εταιρικά firewalls,<br />
στα IPS συστήματα και τις συσκευές UTM.<br />
3. Ως χαρακτηριστικό των εταιρικών web portals ασφάλειας<br />
ή των email portals ασφάλειας.<br />
Ιδιαίτερη προσοχή απαιτείται κατά την επιλογή λύσης sandbox,<br />
μιας και η τεχνολογία είναι σήμερα αρκετά ελκυστική για τους<br />
οργανισμούς και έτσι αναπτύχθηκε ένας αρκετά μεγάλο αριθμός<br />
προσφερόμενων προτάσεων κάποιοι μάλιστα εκ των<br />
οποίων κυκλοφορούν ως OEM από παρόχους. Πολλοί εξ' αυτών<br />
προσφέρουν μόνο τις βασικές δυνατότητες στη τεχνολογία<br />
Sandbox και καλό θα είναι να είμαστε προσεκτικοί.<br />
Προτείνεται ως γνώμονας σε μία αγορά που ακόμα δεν έχει<br />
ωριμάσει σε μεγάλο βαθμό:<br />
• Να υιοθετηθεί η λύση Sandbox όταν αν απαιτείται ουσιαστική<br />
βελτίωση της εταιρικής ασφάλειας κυρίως στο επίπεδο<br />
της ανίχνευσης.<br />
• Να αξιολογηθεί η λύση Sandbox ως προς τα χαρακτηριστικά<br />
της και η επιλογή να γίνει μέσα από μία γκάμα ήδη αξιόπιστων<br />
παρόχων δικτυακής ασφάλειας.<br />
• Στην επιλογή stand alone Sandbox οφείλεται να εξετάζεται<br />
αρκετές λύσεις μιας και ενσωματώνονται ανεξάρτητα από τα<br />
υπόλοιπα προϊόντα ασφάλειας που διαθέτετε.<br />
• Μεγιστοποιήστε την κάλυψη που θα λάβετε σχετικά με το<br />
χρηματικό κεφάλαιο που θα επενδύσετε. Φροντίστε να καλύπτεστε<br />
σε μία ευρεία γκάμα αρχείων και web ή email μονοπατιών.<br />
Διαφαίνεται ότι η τεχνολογία Sandbox είναι το νέο must have<br />
στον τομέα της ανίχνευσης και προστασίας ενάντια στους εταιρικούς<br />
εισβολής. Αν η επιχείρησή σας διαχειρίζεται εταιρικά<br />
δεδομένα αλλά και προσωπικά δεδομένα πελατών που μία<br />
διαρροή θα κλονίσει την εμπιστοσύνη των πελατών απέναντι<br />
σας, τότε θα πρέπει να στραφείτε προς αυτή την κατεύθυνση.<br />
Πάντοτε όμως με γνώμονα της διατήρησης της μέχρι τώρα καλής<br />
λειτουργίας του εταιρικού δικτύου και την βελτίωση χωρίς<br />
να δημιουργηθούν σημαντικές καθυστερήσεις και προβλήματα<br />
στην παραγωγική διαδικασία. Η επιλογή λύσης Sandbox είναι<br />
περίπλοκη και απαιτεί εκτενή μελέτη και αξιολόγηση των<br />
προσφερόμενων επιλογών. <strong>IT</strong><strong>Security</strong><br />
20 security