IT Professional Security - ΤΕΥΧΟΣ 46

www.itsecuritypro.gr 08-10.2016 • Τεύχος 46 • Τιµή 5€
Next Generation
Security
• Killing Passwords: Strong
Authentication beyond the Password Era
• Μια νύχτα στο αεροδρόµιο, Μan-in-the-middle
(MITM) επίθεση στην πράξη
• IT Compliance - Ανάλυση και υλοποίηση της
Συµµόρφωσης Πληροφορικής στις εταιρείες

INTERCEPT
Μία εντελώς νέα προσέγγιση στην προστασία τερματικών
Το Sophos Intercept X είναι ένα σύστημα προστασίας τερματικών επόμενης
γενιάς (NextGen Endpoint) που χρησιμοποιείται για την ανίχνευση και την
αποτελεσματική αποτροπή των ransomware και άλλων zero-day exploits
προσφέροντας παράλληλα αναλυτικές πληροφορίες για όλες τις απειλές.
• Σταματήστε τα ransomware πρίν αυτά εξαπλωθούν και προκαλέσουν καταστροφή
• Σταματήστε τις επιθέσεις zero-day μέσω τεχνολογιών signatureless & anti exploit
• Κατανοήστε εύκολα μία απειλή ασφάλειας και αναλύστε την αιτία του πρόβλήματος
• Αυτοματοποιήστε την αποκατάσταση και την αφαίρεση του επικίνδυνου λογισμικού
Μάθετε περισσότερα και δοκιμάστε το δωρεάν
www.sophos.com/intercept-x
της από το Μεγαρέα, το γιο της Οινόης,
που το δικό της όνοµα τη συνδέει
µε τον οίνο, το κρασί.
καθώς οι κλιµατολογικές συνθήκες
και η µορφολογία του εδάφους είναι
ιδανικές. Η περιοχή πήρε το όνοµά
Σε µια απόσταση µόλις 60 χλµ. από
την πολύβουη µητρόπολη των Αθηνών
κρύβεται µια από τις πιο όµορφες
γωνιές της Ελλάδας. Στις κυµατιστές
πλαγιές των Γερανείων, ο χρόνος
µοιάζει να έχει σταµατήσει στην αρχαιότητα.
Εδώ τα αµπέλια καλλιεργούνταν
ήδη από το 1.000 προ Χριστού,
Value Added Distributor
Affordable Cutting Edge

T4608-10.2016
Editorial
H απάτη με τα περισσότερα θύματα
Πολύ πρόσφατα, επιχειρηματίας στον τομέα επίπλων και οικιακού
εξοπλισμού, από το φιλικό μου περιβάλλον, μου εκμυστηρεύτηκε
με ποιο τρόπο έπεσε θύμα απάτης από επίθεση
κυβερνοεγκληματία, που κατάφερε να του αποσπάσει ένα πολύ
μεγάλο χρηματικό ποσό, προσποιούμενος μέσω ηλεκτρονικής
αλληλογραφίας ότι ήταν ένας από τους προμηθευτές του
από το εξωτερικό.
Η συγκεκριμένη περίπτωση είναι φυσικά μια από τις πολλές
που συμβαίνουν τα τελευταία χρόνια και που παρουσιάζει πολύ
μεγαλύτερη συχνότητα το τελευταίο διάστημα. Πρόκειται
για τη λεγόμενη μέθοδο κυβερνοεπίθεσης Business Email
Compromise (BEC) όπου ανήκει στην ευρύτερη έννοια του
Social Engineering.
Τα βήματα της εγκληματικής αυτής δράσης είναι συγκεκριμένα.
Ο επιτιθέμενος αποστέλλει email με επισυναπτόμενα μολυσμένα
αρχεία με κακόβουλο λογισμικό, που όταν κάποιος χρήστης
μιας επιχείρησης τα ανοίξει, ανοίγει ταυτόχρονα και μια “κερκόπορτα”
παρέχοντας απόλυτη πρόσβαση στην ηλεκτρονική αλληλογραφία
του. Έτσι, ο επιτιθέμενος μπορεί να αποκτήσει μια
πλήρη εικόνα της ηλεκτρονικής επικοινωνίας με επιχειρηματικούς
συνεργάτες, προμηθευτές κ.λπ. Το επόμενο στάδιο είναι
να δημιουργήσει εκατέρωθεν μια πλαστή ηλεκτρονική διεύθυνση
email αντιγράφοντας την υπογραφή και όλα εκείνα τα στοιχεία
που χρειάζονται για να ξεγελάσει τα δυο μέρη, προσποιούμενος
την ταυτότητα του ενός στον άλλον. Έπειτα, στα πλαίσια
των τυπικών οικονομικών συναλλαγών που έχουν τα δυο μέρη
ο απατεώνας προσποιούμενος τον “προμηθευτή” με κάποια τυπική
δικαιολογία γνωστοποιεί στον “πελάτη” έναν νέο τραπεζικό
λογαριασμό για να καταθέσει χρήματα τα οποία καταλήγουν
σε τραπεζικό λογαριασμό του κυβερνοεγκληματία. Τέτοιες περιπτώσεις
όπως προαναφέραμε συμβαίνουν πολύ συχνά και
καταδεικνύουν πρώτα από όλα την ανάγκη επαγρύπνησης και
εκπαίδευσης των επιχειρηματιών αλλά και όλων των χρηστών
του προσωπικού μιας επιχείρησης. Καμία τεχνολογία αυτή τη
στιγμή δεν μπορεί να υποσχεθεί απόλυτη προστασία από τέτοιους
είδους φαινόμενα όπου η μεγαλύτερη τρωτότητα είναι ο
ανθρώπινος παράγοντας. Θα πρέπει λοιπόν, οι επιχειρήσεις με
τη βοήθεια συμβούλων σε θέματα ασφάλειας να υιοθετήσουν
ένα νέο μοντέλο λειτουργίας και διαχείρισης της ηλεκτρονικής
αλληλογραφίας και γενικότερα της πληροφοριακής υποδομής
και των δεδομένων τους, με επίκεντρο την προσοχή που πρέπει
να επιδεικνύουν οι χρήστες, οι οποίοι θα πρέπει να συμμορφώνονται
στις πολιτικές και τους κανόνες που θεσπίζονται.
Βλάσης Αμανατίδης
Εκδότης
Κώστας Νόστης
Σύμβουλος Έκδοσης
Νίκη Πανδή
Αρχισυντάκτης
Βλάσης Αμανατίδης
v.amanatidis@smartpress.gr
Συνεργάτες
Σήφης Ανδρουλιδάκης
Μίνα Ζούλοβιτς
Νότης Ηλιόπουλος
Αριστοτέλης Λυμπερόπουλος
Δημήτρης Παπίτσης
Αλέξανδρος Σουλαχάκης
Παναγιώτα Τσώνη
Διεύθυνση Διαφήμισης
Νίκος Σαράφογλου
n.sarafoglou@smartpress.gr
DTP
Παναγιώτης Βγενόπουλος
Λεωνίδας Πουλόπουλος
Διεύθυνση Events
Ανδρέας Καραντώνης
Διεύθυνση Marketing
Ειρήνη Νόστη
Υπεύθυνος Ηλεκτρονικών Μέσων
Φάνης Ζερβάκης
Υπεύθυνη Social Media
Αγγελική Νόστη
Γραμματεία Εμπορικού
Έλλη Μαστρομανώλη
Φωτογράφος
Δήμητρα Κατερέλου
Λογιστήριο
Ανδρέας Λουλάκης
Consulting by
SPEG
τηλ.: 210 5238777,
www.speg.gr, info@speg.gr
Ιδιοκτήτης
Smart Press
Μάγερ 11, 10438, Αθήνα
Τηλ.: 210 5201500, 210 5230000,
Fax: 210 5241900
Τμήμα συνδρομών
support@securitymanager.gr
www.smartpress.gr
www.itsecuritypro.gr
www.securitymanager.gr
info@securitymanager.gr
support@securitymanager.gr
ΚΩΔΙΚΟΣ 01-8267
security
1

T4608-10.2016
Contents
28 32 34
1 | editorial
4 | News
Cover issue
8 | Next Generation Firewalls
…Τα τείχη προστασίας ισχυροποιούνται
Issue
12 | Next generation απειλές
θέλουν Next Generation λύσεις
προστασίας
14 | Ορατότητα και
αυτοματοποιημένη απόκρουση
των απειλών, οι απαιτήσεις για
next generation προστασία
16 | Η Sophos οδηγεί τις εξελίξεις
στην προστασία επόμενης
γενιάς
20 | Next-generation security στην
εποχή των αναπόφευκτων
παραβιάσεων
24 | Εταιρική Ασφάλεια Δικτύου.
Τα ΠΡΕΠΕΙ και τα ΜΗ που οφείλει
να ακολουθεί κάθε επιχείρηση
26 | Η ασφάλεια πέρα από τα όρια
του Sandbox
28 | Killing Passwords:
Strong Authentication beyond the
Password Era
31 | Η άνοδος και ο κίνδυνος του
BYOD
32 | Μια νύχτα στο αεροδρόμιο
-Μan-in-the-middle (MITM)
επίθεση στην πράξη
34 | IT Compliance -
Ανάλυση και υλοποίηση της
Συμμόρφωσης Πληροφορικής στις
εταιρείες
Business IT
Νέο ESET Secure
Authentication µε εύκολη,
single touch ειδοποίηση
πιστοποίησης
H ιστορική συνένωση µεταξύ Dell και EMC ολοκληρώθηκε
Έρευνα
της Cisco
εµφανίζει ευρεία
υιοθέτηση
λύσεων Cloud
Η προστασία των προσωπικών
δεδοµένων των χρηστών υπό την
προστασία του νέου Kaspersky
Internet Security - multi
Vigor 2952 Series
Η νέα λύση της DrayTek
για super-fast broadband
“State of the Hybrid Cloud”: νέα έρευνα προτείνει επικέντρωση στην πληροφορία και όχι σε υποδοµές και διαχείριση
2 security

DO MORE
WITH YOUR I.T.
SECURED BY ESET

T4608-10.2016
News
Η ESET ανακάλυψε το πρώτο botnet σε Android που ελέγχεται μέσω Twitter
Οι ερευνητές της ESET ανακάλυψαν ένα backdoor Trojan που
επιτίθεται σε Android το οποίο ελέγχεται μέσω tweets. Ανιχνεύεται
από την ESET ως Android/Twitoor, και είναι η πρώτη
κακόβουλη εφαρμογή που χρησιμοποιεί το Twitter αντί
του παραδοσιακού διακομιστή C&C (command-and-control).
Αφού ξεκινήσει, το Trojan κρύβει την παρουσία του στο σύστημα
και ελέγχει τον καθορισμένο λογαριασμό Twitter σε
τακτά χρονικά διαστήματα για εντολές. Με βάση τις λαμβανόμενες
εντολές, μπορεί είτε να κατεβάσει κακόβουλες εφαρμογές
ή να αλλάξει το C&C λογαριασμό
Twitter σε ένα άλλο. «Η χρήση του
Twitter για τον έλεγχο ενός botnet είναι
ένα καινοτόμο βήμα για την πλατφόρμα
Android» επισημαίνει ο Lukáš
Štefanko, ο ερευνητής malware της
ESET που ανακάλυψε την κακόβουλη
εφαρμογή. Το Twitter χρησιμοποιήθηκε
για πρώτη φορά για τον έλεγχο
botnets των Windows το 2009. «Σχετικά
με το χώρο των Android, αυτό το
μέσο απόκρυψης είχε παραμείνει ανεκμετάλλευτο μέχρι τώρα.
Στο μέλλον, όμως statuses, μπορούμε να αναμένουμε ότι
οι «κακοί» θα προσπαθήσουν να κάνουν χρήση των Facebook
status ή να εκμεταλλευτούν το LinkedIn και άλλα κοινωνικά
δίκτυα», προβλέπει ο Štefanko. Το Android / Twitoor είναι
ενεργό από τον Ιούλιο του 2016. Δεν μπορεί να βρεθεί σε οποιοδήποτε
επίσημο κατάστημα εφαρμογών Android -σύμφωνα
με τον Štefanko- αλλά μάλλον εξαπλώνεται μέσω SMS ή μέσω
κακόβουλων URL. Υποδύεται μια εφαρμογή porn player
ή εφαρμογή MMS αλλά χωρίς τη
λειτουργικότητα. Αντ’ αυτού, κατεβάζει
διάφορες εκδόσεις κακόβουλου
λογισμικού για mobile
banking. Ωστόσο, αυτοί που διαχειρίζονται
το botnet μπορούν να
ξεκινήσουν τη διάδοση και άλλων
κακόβουλων προγραμμάτων ανά
πάσα στιγμή, συμπεριλαμβανομένου
και ransomware, σύμφωνα
με το Štefanko.
Oι επιχειρήσεις αποτελούν σημαντικό στόχο ransomware επιθέσεων
Σύμφωνα με την πρόσφατη έκθεση ISTR2016 Ransomware
and Businesses της Symantec το ransomware αναδείχθηκε
ως μία από τις πιο επικίνδυνες απειλές στον κυβερνοχώρο,
τόσο για τις επιχειρήσεις και τους μεγάλους οργανισμούς,
όσο και για τους καταναλωτές εν γένει, με τις παγκόσμιες
απώλειες να φθάνουν πλέον τα εκατοντάδες εκατομμύρια
δολάρια. Τους τελευταίους 12 μήνες το ransomware έχει
φτάσει σε ένα νέο επίπεδο ωριμότητας και απειλής. Σημαντικές
«συμμορίες» ransomware είναι σε θέση να διοχετεύσουν
το κακόβουλο λογισμικό τους σε εκατομμύρια υπολογιστές.
Οι χρήστες που έχουν χτυπηθεί από ransomware βρίσκουν
τα πολύτιμα δεδομένα τους κλειδωμένα με ισχυρή και συχνά
αδιαπέραστη κρυπτογράφηση. Οι αριθμοί παρουσιάζουν συνεχώς
αυξητική τάση, με τον αριθμό των νέων οικογενειών
ransomware που ανακαλύφθηκε το 2015 μόνο, να φτάνει τις
100 και ο μέσος όρος λύτρων που ζητούν οι επιτιθέμενοι είναι
τα 679 δολάρια ΗΠΑ! Μία επιτυχημένη επίθεση σε έναν
οργανισμό, μπορεί ενδεχομένως να μολύνει χιλιάδες υπολογιστές,
προκαλώντας μαζική λειτουργική ζημιά και σοβαρή
βλάβη στα έσοδα αλλά και στη φήμη. Μόλις οι συμμορίες του
κυβερνοεγκλήματος δουν ορισμένες επιχειρήσεις να υποκύπτουν
σε αυτές τις επιθέσεις και να πληρώνουν τα λύτρα, όλο
και περισσότεροι εισβολείς ακολουθούν στην προσπάθεια να
αρπάξουν το μερίδιό τους από τα πιθανά κέρδη.
4 security

T4608-10.2016
News
Sophos Partner Roadshow 2016 - Ανακαλύπτοντας την αξία των
ενοποιημένων λύσεων προστασίας
Στα πλαίσια του Roadshow “Discover Synchronization” που διοργάνωσε
η Sophos σε αρκετές πόλεις της Ευρώπης, στελέχη
της εταιρίας επισκέφτηκαν και την Αθήνα στις 6 Οκτωβρίου,
όπου μαζί με την ομάδα της NSS, διοργάνωσαν μια ιδιαίτερα
επιτυχημένη συνεδριακή εκδήλωση. Οι πολλοί επαγγελματίες
IT -συνεργάτες της Sophos και της NSS- που συμμετείχαν, είχαν
την ευκαιρία να παρακολουθήσουν μια σειρά παρουσιάσεων,
από ειδικούς της Sophos, οι οποίοι ανέδειξαν σε πρώτη
φάση τις προκλήσεις και τις τάσεις στο τομέα της ασφάλειας και
φυσικά στη συνέχεια παρουσίασαν τις λύσεις next generation
που έχει αναπτύξει η εταιρεία για την αποτελεσματικότερη
αντιμετώπιση των σύγχρονων απειλών. Κεντρικός πυρήνας
των παρουσιάσεων που έλαβαν χώρα, ήταν η έννοια της Συγχρονισμένης
Ασφάλειας και πώς αυτή μετουσιώνεται σε πράξη
μέσα από τις λύσεις προστασίας νέας γενιάς που διαθέτει η
Sophos. Το συμπέρασμα που προέκυψε από τις παρουσιάσεις
που πραγματοποιήθηκαν, είναι ότι η νέα καινοτομική στρατηγική
προσέγγιση της Sophos, που ενοποιεί τις λύσεις ασφάλειας
δικτύου και endpoint προστασίας, αναβαθμίζει σε πολύ μεγάλο
βαθμό το επίπεδο θωράκισης των επιχειρήσεων, έναντι των
σημερινών αλλά και μελλοντικών απειλών, δίνοντας όπως πάντα
έμφαση στην απλότητα και ευελιξία λειτουργίας. Τα στελέχη
της Sophos -μέσα από demo επιδείξεις- ανέδειξαν μεταξύ
άλλων τις νέες δυνατότητες της πλατφόρμας Sophos Central,
που αποτελεί τον πυλώνα της ολοκληρωμένης ασφάλειας με
τον συγχρονισμό προϊόντων endpoint και δικτυακής ασφάλειας,
προσφέροντας μια σειρά από σημαντικά πλεονεκτήματα
για τους οργανισμούς, όπως προστασία από όλο το φάσμα των
απειλών, κεντρική διαχείριση και έλεγχο με ενισχυμένη αποτελεσματικότητα
και μέγιστη απόδοση. Με τη δυνατότητα διάθεση
των νέων ολοκληρωμένων προτάσεων ασφάλειας, σημαντικά
είναι τα οφέλη που προκύπτουν και για τους συνεργάτες της
Sophos, όπως μας επισήμαναν οι υπεύθυνοι της εταιρίας, μιας
και πλέον έχουν στα χέρια τους μια λύση που τους προσφέρει
πολύ σημαντικά εμπορικά ανταγωνιστικά πλεονεκτήματα.
Βράβευση της ENCODE από την IBM Ελλάδος
H ENCODE διακρίθηκε για άλλη μία φορά από
την ΙΒΜ Ελλάδος στα πλαίσια της εκδήλωσης
που διοργάνωσε η εταιρεία για τους Εμπορικούς
της Συνεργάτες. Με την εξειδίκευση της
στον τομέα της ασφάλειας πληροφοριακών
συστημάτων και των σύγχρονων απειλών
από τον κυβερνοχώρο, η ENCODE διακρίθηκε
για την επιτυχή προώθηση λύσεων προηγμένης
προστασίας από ηλεκτρονική απάτη
(AdvancedFraudProtection) ΙΒΜ Trusteer, οι οποίες παρέχονται
με τη μορφή υπηρεσίας SaaS. Η εκδήλωση πραγματοποιήθηκε
στον Ναυτικό Όμιλο Ελλάδος την Τρίτη 20 Σεπτεμβρίου
και το βραβείο παρέλαβε ο κύριος Χάρης Ηλιόπουλος,
Iδρυτής και Διευθύνων Σύμβουλος της ENCODE. Η βράβευση
αυτή έρχεται σε συνέχεια της μακροχρόνιας και επιτυχημένης
συνεργασίας των δύο εταιριών, αναγνωρίζοντας την πολύτιμη
συνεισφορά της ENCODE στον τομέα της ασφάλειας
πληροφοριακών συστημάτων.
6 security

Τα βιομετρικά skimmers είναι
εδώ: η Kaspersky Lab εξετάζει τις
επερχόμενες μελλοντικές απειλές για τα ΑΤΜ
Οι ειδικοί της Kaspersky Lab διερεύνησαν το πώς οι ψηφιακοί
εγκληματίες μπορούν να εκμεταλλευτούν τις νέες τεχνολογίες
ταυτοποίησης των ΑΤΜ που σχεδιάζουν οι τράπεζες. Ενώ
πολλοί οικονομικοί οργανισμοί θεωρούν τις λύσεις με βάση τα
βιομετρικά στοιχεία ως τις πιο πολλά υποσχόμενες προσθήκες
στις υπάρχουσες μεθόδους ταυτοποίησης, ή ακόμα και μία
επιλογή για την αντικατάσταση των τελευταίων, οι ψηφιακοί
εγκληματίες βλέπουν τη χρήση βιομετρικών στοιχείων ως
μία νέα ευκαιρία για την κλοπή ευαίσθητων πληροφοριών.
Τα ΑΤΜ είναι εδώ και χρόνια στο στόχαστρο των απατεώνων
που κυνηγούν τα δεδομένα πιστωτικών καρτών. Όλα
ξεκίνησαν με τα πρωτόγονα “skimmers” - ιδιοκατασκευές
που τοποθετούνταν σε ένα ΑΤΜ, οι οποίες είχαν τη δυνατότητα
να υποκλέπτουν πληροφορίες από τη μαγνητική ταινία της
κάρτας, καθώς και τον αντίστοιχο κωδικό ΡΙΝ με τη βοήθεια
ενός ψεύτικου πληκτρολογίου ΑΤΜ ή μίας webcam. Με τον
καιρό, ο σχεδιασμός αυτών των συσκευών βελτιώθηκε ώστε
να τις κάνει λιγότερο ορατές. Με την εισαγωγή της τεχνολογίας
“chip-and-pin” στις κάρτες πληρωμών, η οποία καθιστούσε την
«κλωνοποίησή» τους πολύ δύσκολη αλλά όχι ακατόρθωτη,
οι σχετικές συσκευές εξελίχθηκαν από “skimmers” σε
“shimmers”: σε μεγάλο βαθμό ίδιες, αλλά με τη δυνατότητα
να συλλέγουν πληροφορίες από το μικροτσίπ της κάρτας,
παρέχοντας επαρκείς πληροφορίες για την πραγματοποίηση
μίας διαδικτυακής επίθεσης. Ο τραπεζικός τομέας ανταπαντά
με νέες λύσεις ταυτοποίησης, μερικές από τις οποίες βασίζονται
στα βιομετρικά στοιχεία. Σύμφωνα με έρευνα της Kaspersky
Lab για το «υπόγειο» ψηφιακό έγκλημα, υπάρχουν ήδη
τουλάχιστον δώδεκα προμηθευτές οι οποίοι παρέχουν skimmers
που έχουν τη δυνατότητα να υποκλέψουν τα δακτυλικά
αποτυπώματα των θυμάτων, όπως επίσης τουλάχιστον τρεις
προμηθευτές οι οποίοι ήδη αναπτύσσουν συσκευές που
θα μπορούσαν παράνομα να αποκομίσουν δεδομένα από
συστήματα αναγνώρισης παλάμης ή ίριδας.
security
7

T4608-10.2016
Cover Issue
Next Generation Firewalls
…Τα τείχη προστασίας ισχυροποιούνται
H έννοια του Next Generation στις λύσεις ασφάλειας και ειδικότερα σε ότι αφορά τα firewall,
δεν είναι πλέον μια marketing ορολογία αλλά μια νέου τύπου προσέγγιση που υποστηρίζει
ενσωμάτωση πολλών λειτουργιών, δυνατότητες αναβάθμισης, αξιοσημείωτη ευελιξία και
απλότητα χρήσης.
τις μέρες μας, οι σύγχρονες επιχειρήσεις
Σ
έχουν να επιλέξουν μεταξύ πληθώρα συστημάτων
ασφαλείας και προστασίας της δικτυακής
υποδομής και των δεδομένων τους. Παγκόσμιες
έρευνες καταδεικνύουν μάλιστα, ότι
οι οργανισμοί επενδύουν σημαντικά κεφάλαια σε λύσεις λογισμικού
αλλά και υλικού, ώστε να αντιμετωπιστούν οι κακόβουλες
δράσεις των σύγχρονων εγκληματιών του κυβερνοχώρου.
Όμως, παρά τις σημαντικές επενδύσεις, ο στόχος της
απόλυτης προστασίας δεν επιτυγχάνεται στο 100%.
Πλανάται λοιπόν το ερώτημα, αν οι μέχρι τώρα παραδοσιακές
λύσεις ασφάλειας είναι αποτελεσματικές απέναντι στις νέου
τύπου προηγμένες απειλές και τις εξελιγμένες επιθέσεις. Αν
δηλαδή τα παραδοσιακά firewalls, τα συμβατικά antivirus και
τα συστήματα αποτροπής εισβολών (IPS) είναι ικανά πλέον να
αντιμετωπίσουν την σύγχρονη πραγματικότητα ή πλέον έχουν
καταστεί ευάλωτα στις νέες τακτικές των εισβολών;
Φυσικά, μία προσεκτική ματιά αναδεικνύει την αναγκαιότη-
8 security

Της Παναγιώτας Τσώνη
τα της ύπαρξής τους και σε επιτακτικό μάλιστα βαθμό, αλλά
ταυτόχρονα αποκαλύπτει και την ανάγκη ύπαρξης πιο δυναμικών
λύσεων προστασίας, πιο αποτελεσματικών και κυρίως
πιο ολοκληρωμένων στο τρόπο εφαρμογής και λειτουργίας
τους. Βάσει αυτής της αναγκαιότητας δημιουργήθηκαν οι
λύσεις ασφάλειας νέας γενιάς, στα πλαίσια της προσέγγισης
του Next Generation Security. Υπό τον όρο Next Generation
Security Solutions, μπορούμε να εντάξουμε αρκετές λύσεις
και κατηγορίες προϊόντων. Όμως, η πιο διαδεδομένη εφαρμογή
του συγκεκριμένου όρου αφορά στην κατηγορία των
firewall που καλύπτουν ένα ευρύ φάσμα σημείων προστασίας
και παρέχονται ως ολοκληρωμένες πλατφόρμες.
Τί είναι τα Firewall νέας γενιάς;
Ως firewall νέας γενιάς (next generation firewall - NGFW)
ορίζονται hardware ή βασισμένα σε λογισμικά συστήματα,
τα οποία είναι ικανά να ανιχνεύσουν και να αποτρέψουν τις
εξελιγμένες σύγχρονες επιθέσεις, εφαρμόζοντας τις πολιτικές
ασφαλείας της κάθε επιχείρησης σε επίπεδο εφαρμογών,
πρωτοκόλλου και διασύνδεσης.
Τα NGFWs ενσωματώνουν τρία βασικά χαρακτηριστικά: δυνατότητες
firewall, λειτουργίες συστημάτων IPS (intrusion
prevention system )και έλεγχο στο επίπεδο εφαρμογών. Η
εξέλιξή τους αφορά κυρίως στις επιπλέον δυνατότητες στη
λήψη πολύπλοκων αποφάσεων που αφορούν τη ροή δεδομένων
των web εφαρμογών. Επιδεικνύοντας υψηλότερο
επίπεδο κατανόησης και ανάλυσης σε πραγματικό χρόνο, τα
NGFWs αυξάνουν την ικανότητά εντοπισμού και αποτροπής
μιας οποιαδήποτε απειλής.
Πιο αναλυτικά τα NGFWs συνδυάζουν τις δυνατότητες των
παραδοσιακών firewalls, όπως είναι το φιλτράρισμα των πακέτων,
τη μετάφραση των δικτυακών διευθύνσεων (ΝΑΤ -
network address translation), το μπλοκάρισμα συγκεκριμένων
URLs και VPNs, με πρακτικές παροχής υπηρεσιών εγγυημένης
ποιότητας (QoS - Quality of Service). Επιπρόσθετα,
προσφέρουν αποτροπή εισβολών, SSL και SSH ανίχνευση,
εμβάθυνση στην ανίχνευση πακέτων και κακόβουλου λογισμικού,
καθώς και αξιολόγηση των εφαρμογών. Ειδικότερα,
οι λειτουργίες που αφορούν το επίπεδο εφαρμογών θεωρηθήκαν
επιτακτικές μιας και αυξήθηκαν κατά κόρον οι επιθέσεις
στα στρώματα 4-7 του μοντέλου OSI.
Οι περιορισμοί των παραδοσιακών firewall;
Τα παραδοσιακά firewall εφαρμόζουν περιορισμούς στο τρίτο
και τέταρτο επίπεδο του μοντέλου OSI, επιτρέποντας ή όχι τη
διέλευση των πακέτων βασιζόμενα στις IP διευθύνσεις προορισμού
και πηγής, στα internet πρωτόκολλα που φέρει κάθε
πακέτο (ICMP, ARP, RARP, BOOTP, DHCP) και σε ορισμένα
χαρακτηριστικά δρομολόγησης. Παρόλο τους εκτενείς περιορισμούς,
οι επιτιθέμενοι κατάφεραν να τους προσπελάσουν
security
9

T4608-10.2016
Cover Issue
και να εισέλθουν στις εταιρικές υποδομές, προκαλώντας σημαντική
ζημία. Εκτός από τα παραδοσιακά firewalls κάθε επιχείρηση
καθίσταται αναγκαίο να εγκαταστήσει επιπρόσθετα
προγράμματα για να εξασφαλίσει την ολοκληρωμένη προστασίας
της, όπως είναι συστήματα IPS, antivirus, antimalware,
WAFs κ.ά. Αυτό οδηγεί στο επόμενο πρόβλημα, που είναι να
βρεθεί ο τρόπος που όλα τα συστήματα θα συνεργάζονται μεταξύ
τους, δίχως το ένα να αναστέλλει τη λειτουργία του άλλου
και πως τελικά θα ρυθμίζονται βάσει της πολιτικής ασφάλειας
της εταιρείας για να παράγουν το επιθυμητό αποτέλεσμα. Ειδικότερα,
όταν το κάθε σύστημα ασφάλειας προέρχεται από
διαφορετικό κατασκευαστή, τα προβλήματα συνεργασίας και
ομαλής λειτουργίας πολλαπλασιάζονται καμιά φορά και σε μη
παραγωγικό βαθμό.
Τα NGFWs αντιμετωπίζουν με επιτυχία τέτοιου είδους ζητήματα,
μιας και πρόκειται για συστήματα ενός κατασκευαστή,
με μία κοινή βάση διαχείρισης η οποία περιλαμβάνει ποικίλες
υπηρεσίες ασφάλειας.
NGFWs vs UTMs
Βάσει των μέχρι τώρα χαρακτηριστικών που αναλύσαμε για τα
NGFWs ανακύπτει το ερώτημα αν τελικά πρόκειται για ακόμα
μία πλατφόρμα UTM (ενοποιημένες πλατφόρμες δικτυακής
ασφάλειας). Οι δύο τεχνολογίες παρουσιάζουν ομοιότητες,
όπως ότι προσφέρουν όλες τις απαιτούμενες λύσεις για θέματα
ασφάλειας μίας εταιρικής δομής και όλα υπό την σκέπη
του ίδιου κατασκευαστή.
Παρόλα αυτά, οι UTM πλατφόρμες καλύπτουν επιχειρήσεις
μικρού και μεσαίου βεληνεκούς, σε αντίθεση με τα NGFWs
που αναλαμβάνουν την προστασία μεγάλων επιχειρήσεων και
οργανισμών και προσφέρουν δυνατότητες ευκολότερης επέκτασης.
Επίσης, τα NGFWs υποστηρίζουν πιο ευέλικτη αντιμετώπιση
των απειλών, σε ορισμένο βαθμό παρέχουν ασφάλεια
φορητών συσκευών, αποτρέπουν την απώλεια δεδομένων
και είναι ανοιχτής αρχιτεκτονικής, επιτρέποντας στους κατόχους
τους να χειρίζονται ικανοποιητικότερα τις εφαρμογές
που χρησιμοποιούν και να ρυθμίζουν τους κανόνες προστασίας
που επιθυμούν.
Ποια βασικά χαρακτηριστικά πρέπει να έχει το
ιδανικό NGFW
Ένα ιδανικό NGFW προϊόν, πρέπει να διαθέτει τρία βασικά
χαρακτηριστικά: να είναι περιεκτικό -δηλαδή να παρουσιάζει
πληρότητα λειτουργιών- να είναι ευέλικτο και εύκολο στη
χρήση.
Με τον όρο περιεκτικό εννοούμε να ενσωματώνει λειτουργίες
IPS, antivirus/malware, έλεγχο σε επίπεδο εφαρμογών,
ενδελεχή ανίχνευση και αξιολόγηση των πακέτων, τις κλασικές
δυνατότητες των firewalls, κρυπτογράφηση, συμπίεση,
QoS κ.ά. Φυσικά μία τόσο ολοκληρωμένη πρόταση μπορεί
να μειονεκτεί σε ένα βαθμό στην αγορά μιας και οι επιχειρήσεις
ορισμένες φορές δυσκολεύονται να εμπιστευτούν ένα
και μόνο προϊόν προστασίας για όλη τους την πληροφοριακή
υποδομή.
Ως ευέλικτη, θεωρείται μία πλατφόρμα που δύναται να αναβαθμίζεται
με το πέρας του χρόνου και ανάλογα με τις εταιρικές
ανάγκες όπως αυτές προκύπτουν ή διαφοροποιούνται
σε καθημερινή βάση. Τέλος, εύκολο στη χρήση θεωρείται
10 security

Next Generation Firewalls
ένα NGFW που προσφέρει ένα λογισμικό διαχείρισης και ένα
απλό περιβάλλον διαδραστικής επικοινωνίας με το χρήστη, με
το οποίο θα μπορεί να ενεργοποιεί χαρακτηριστικά, να θέτει
κανόνες, να παρακολουθεί το δίκτυο, να αναλύει τα συμβάντα
και να ειδοποιείται για τυχόν παραβιάσεις.
Με μία σύντομη ματιά στην αγορά διαπιστώνεται ότι όλα τα
firewalls χαρακτηρίζονται πλέον ως «νέας γενιάς». Η πρώτη
φορά που χρησιμοποιήθηκε ο όρος, αναφερόταν σε firewalls
που συνδύαζαν τις τυπικές λειτουργίες ενός firewall και ενός
firewall εφαρμογών, με τεχνολογίες ανίχνευσης και αποτροπής
εισβολών. Πλέον τα περισσότερα firewalls στην αγορά
διαθέτουν αυτά τα χαρακτηριστικά και ο χαρακτηρισμός «νέας
γενιάς» δεν ανταποκρίνεται στο ζητούμενο. Για την επιλογή
ενός πραγματικού NGFW οι αγοραστές πρέπει να αναζητήσουν
χαρακτηριστικά όπως: δυνατότητα κεντρικής διαχείρισης
με κατανεμημένη άσκηση ελέγχου, δυνατότητα αναβάθμισης
καθώς και ενσωμάτωση με δίκτυα που χαρακτηρίζονται ως
TRC (threat/risk/compliance).
Πιο αναλυτικά, η κεντρική διαχείριση με κατανεμημένη άσκηση
ελέγχου είναι μία φυσική εξέλιξη των συστημάτων firewall,
εφόσον πλέον υποστηρίζονται ποικίλα συστήματα που εξυπηρετούν
μικρο-υπηρεσίες. Αναφερόμαστε σε συστήματα
όπως είναι VMs, τα application containers ή οι ενσωματωμένοι
agents που μπορούν να αποτελέσουν σημεία άσκησης
και εφαρμογής τεχνικών ασφαλείας, εφόσον τους διατεθούν
επεξεργαστικοί και δικτυακοί πόροι. Με αυτό τον τρόπο, επιτρέπεται
η εφαρμογή των πολιτικών ασφαλείας ακόμα και
στις περιπτώσεις που δεν εφαρμόζονται σε ένα στατικό σημείο
ελέγχου στο δίκτυο, αλλά σε μετακινούμενα συστήματα
και φορτία εργασίας.
Η δυνατότητα αναβάθμισης αναφέρεται κυρίως στην αναγκαιότητα
να μπορεί η επιχείρηση να αγοράσει τώρα τις δυνατότητες
που χρειάζεται σε θέματα προστασίας και να έχει τη
δυνατότητα για τα επόμενα τρία χρόνια να υλοποιεί αναβαθμίσεις,
διαφοροποιήσεις ή ακόμα και να αγοράζει επιπρόσθετες
υπηρεσίες για να καλυφθούν οι νέες βαθμίδες λειτουργίας
που θα προκύψουν.
Σημείο που πρέπει να σταθεί κάθε επιχείρηση είναι το cloudbased
firewalling που θα χρησιμοποιηθεί ως η πρώτη γραμμή
φιλτραρίσματος της ροής των πακέτων. Φυσικά, δεν υπονοείται
ότι θα πάψει να υφίσταται το ενδοεταιρικό firewall αλλά
ότι θα περιοριστεί το φορτίο του. Οι cloud δομές προστασίας
οφείλουν να ενισχυθούν επίσης και για την πιο αποτελεσματική
αντιμετώπιση των διαρκώς νέων απειλών. Ένα πραγματικά
εξελιγμένο firewall πρέπει να στηρίζεται σε ένα παγκόσμιο
δίκτυο TRC ώστε να αναγνωρίζονται οι απειλές σχεδόν άμεσα
με την εμφάνισή τους.
Τα NGFWs στην αγορά
Τα NGFWs διατίθενται με τρεις τρόπους στην αγορά: ο πιο συνήθης
τρόπος είναι ως αυτόνομες συσκευές, μερικά προσφέρονται
ως virtual προϊόντα, δηλαδή ως λογισμικό και τέλος
υπάρχουν ως υπηρεσίες μέσω cloud παρόχων. Τα περισσότερα
NGFWs είναι αρθρωτά, ώστε κάθε επιχείρηση να μπορεί
να επιλέξει ποια χαρακτηριστικά θα αγοράσει και ποιες δυνατότητες
θα ενεργοποιήσει ανάλογα με τις ανάγκες της και το
διατιθέμενο κεφάλαιο.
Σε κάθε περίπτωση απαιτείται προσεκτική αξιολόγηση των
αναγκών της επιχείρησης, τωρινών και μελλοντικών και κατόπιν
ανάλογη επιλογή προϊόντος.
Το μέλλον των NGFWs
Τεχνολογικά οι εξελίξεις στο συγκεκριμένο τομέα τρέχουν
γρήγορα. Οι κατασκευαστές ισχυρίζονται ότι βρίσκονται υπό
ανάπτυξη χαρακτηριστικά που θα ενσωματώσουν στα προϊόντα
τους και θα ενδυναμώσουν περαιτέρω την δικτυακή
ασφάλεια των επιχειρήσεων, καθώς και θα ελαφρύνουν τον
εργασιακό φόρτο των IT τμημάτων. Επίσης, υπόσχονται προϊόντα
τόσο ευέλικτα ώστε να μπορούν να ενσωματωθούν σε
επιχειρήσεις οποιουδήποτε βεληνεκούς και δικτυακής ροής.
Όλα αυτά οι εταιρίες φιλοδοξούν να παρέχονται σε ένα πλήρως
κατανοητό και εύκολο στην χρήση πακέτο για τους αγοραστές,
χωρίς να γίνεται οποιαδήποτε έκπτωση σε θέματα
απόδοσης και αξιοπιστίας.
Τέλος, όλα τα προαναφερόμενα χαρακτηριστικά γίνεται προσπάθεια
να συνδυάζονται με την «έξυπνη» αντιμετώπιση πάσης
φύσεως απειλών με τρόπο αυτοματοποιημένο, συνεχή
και εξαιρετικά προσαρμοστικό, όπως δηλαδή είναι και οι νέες
απειλές που διαρκώς ανακύπτουν. ITSecurity
security
11

T4608-10.2016
Issue
Next generation απειλές θέλουν Next
Generation λύσεις προστασίας
Όταν έγραφα μηνιαία στήλη το 1996 σε γνωστό περιοδικό πληροφορικής, μεταξύ σοβαρού και
αστείου αναρωτήθηκα αν θα έρθει η μέρα θα απειλούμαστε από την απλή επίσκεψή μας σε κάποια
ιστοσελίδα. Δεν νομίζω να με πήρε κανείς σοβαρά αλλά δεν άργησε να έρθει η επόμενη γενιά
απειλών.
ο Νοέμβριο του 1998 πρωτοεμφανίζεται το
T
πρώτο html virus, αλλά το 1999 παίρνουν
πολύ μεγαλύτερες διαστάσεις τα worms που
στοχεύουν χρήστες Microsoft Office, ειδικά
Microsoft Word και Outlook/Outlook Express.
Η αυξημένη χρήση των προϊόντων αυτών και η διάδοση του
internet, έκανε πλέον τις απειλές να πολλαπλασιάζονται με τρελούς
ρυθμούς (1996 - 10000 1998 - 20000, 2000 - 50000 ετησίως)
με αποτέλεσμα το 2008 να έχουμε πάνω από 1,000,000
ιούς (βλέπετε www.cknow.com/cms/vtutor/number-ofviruses.html).
Η πραγματικότητα είναι, ότι οι βασικοί ιοί που κυκλοφορούν
(in the wild) είναι ελάχιστοι. Αυτό όμως δεν σημαίνει ότι οι κίνδυνοι
είναι λιγότεροι. Τα κίνητρα των τότε κυβερνο-εγκληματιών
ήταν πιο αγαθά. Η νέα γενιά είναι σαφώς πιο επικίνδυνη,
αφού πλέον οι απειλές είναι στοχευμένες και αποσκοπούν
στο οικονομικό όφελος, στην κλοπή και πώληση ευαίσθητων
προσωπικών δεδομένων.
Η ασφάλεια των Endpoint έχει αλλάξει δραματικά τα τελευταία
20 και πλέον χρόνια, αντικατοπτρίζοντας τις εξελίξεις στην ευρύτερη
αγορά ασφάλειας. Από τα βασικά antivirus της δεκαετίας
του ‘90s, μέχρι τις καινοτομίες στο black και whitelisting,
intrusion detection, web και email filtering και τα σημερινά
εξεζητημένα προϊόντα προστασίας από στοχευμένες απειλές
έχουμε προχωρήσει πολύ. Το μεγάλο ερώτημα ανάμεσα σε
CISOs είναι: «Πως μπορώ να εκσυγχρονίσω την υποδομή
μου για να έχω την δυνατότητα να αντιμετωπίσω όχι μόνο
τις σημερινές αλλά και τις αυριανές απειλές;»
Η Trend Micro ζήτησε από την Info-Tech Research Group
να ετοιμάσει ένα αποκλειστικό white paper με τίτλο: Securing
Endpoints Against the Next Generation of Attacks, που
είναι διαθέσιμο στο https://resources.trendmicro.com/
Infotech-Endpoint-WP-2015.html.
Η έκθεση αυτή, περιέχει μια λεπτομερή ανάλυση όλων όσων
χρειάζεται να γνωρίζει ένα σύγχρονο στέλεχος στο τομέα πληροφορικής
για τις σημερινές απειλές, τι πρέπει να απαιτεί από
12 security

Αλεξία Χριστοφή
Managing Director, CYSOFT
μια λύση endpoint security και τι να περιμένει αύριο, ώστε να
κάνει την κατάλληλη επένδυση.
Το Trend Micro Endpoint Security (με βασικό προϊόν το
OfficeScan) περιέχει αυτή την στιγμή ένα εξαίρετο συνδυασμό
χαρακτηριστικών που υπερέχουν έναντι άλλων λύσεων
«Next-Gen» για Endpoint, όπως:
• Έχει διακριθεί σε ανεξάρτητες δοκιμές για 0-day &
performance με AV-Test και NSS Labs
• Tεχνολογίες Behavioral analysis για να αναλύει και να προστατεύει
από άγνωστες απειλές
• Ασπίδα προστασίας για τα τρωτά σημεία του δικτύου
(Vulnerability Shielding), εικονικό Patching και παρακολουθεί
για συμπεριφορές Lateral movement («πλευρικές»
κινήσεις που συνήθως έχουν σχέση με την παρακολούθηση,
απόσπαση δεδομένων πρόσβασης και διείσδυσης σε
συστήματα)
• Application Control για τον έλεγχο εφαρμογών
• Sandboxing για την ασφαλή εκτέλεση ύποπτων εφαρμογών
• Anti-Malware για τον νενομισμένο έλεγχο
• Web reputation & browser exploit protection - ένα βήμα πέρα
από την προστασία Endpoint
• Encryption & Data Loss Prevention - μέρος της σουϊτας
Trend Micro SmartProtection for Endpoints
• Investigation & Forensics (EDR) - δυνατότητα του DLP
• Mobile & Mac platforms - Προστασία κινητών συσκευών
και πλατφόρμας Mac στην ίδια σουίτα
• Κλιμακωτά αναπτυσσόμενη εγκατάσταση μέσω Cloud, Κεντρική
Διαχείριση και Ορατότητα - μέσω του Trend Micro
Control Manager
Trend Micro Smart Protection για Endpoints +
Deep Discovery = Connected Threat Defence
Ο συνδυασμός του Trend Micro για Endpoints με το Trend
Micro Deep Discovery (APT detection/prevention) στον οποίο
αναφερθήκαμε εκτενώς στα δύο προηγούμενα τεύχη του IT
Security Professional δίνουν την ευκαιρία σε οργανισμούς,
που χρησιμοποιούν τις λύσεις αυτές να ισχυροποιήσουν την
προστασία τους περαιτέρω.
Παρακάτω θα δούμε ένα παράδειγμα ενός οργανισμού που
δεν διαθέτει κάποια ανάλογη λύση. Τι θα μπορούσε να συμβεί
δηλαδή χωρίς την Connected Threat Defense approach.
Η επίθεση ξεκινά με την παραλαβή ενός μηνύματος ηλεκτρονικής
αλληλογραφίας με συνημμένο αρχείο, που περιέχει απειλή
zero day (που κλέβει δεδομένα) στο inbox χρήστη. Μπορεί να
αναχαιτιστεί στο στάδιο Prevent: με signature-based έλεγχο;
behavior monitoring; vulnerability shielding; app whitelisting;
ή το εργαλείο απομόνωσης;
Οι απειλές zero-day είναι σχεδιασμένες να προσπερνούν όλες
τις παραδοσιακές τεχνικές προστασίας που κάνει το στάδιο
Detect πολύ σημαντικό. Η χρήση του sandboxing και του 360-
degree network analysis, μπορεί να εντοπίσει τέτοιες εξεζητημένες
απειλές.
Σε αυτό το σημείο, είναι σημαντικό να αναλυθεί και να
αξιολογηθεί η απειλή μέσω του endpoint sensor για να
εντοπίσουμε μέχρι πού έχει φθάσει. Σε περίπτωση που δεν
ολοκληρωθεί το στάδιο Analyze μπορεί να ξεφύγει η απειλή
και να παραμονεύει κάπου στο δίκτυο. Το επόμενο βήμα είναι
να συσχετίσουμε τα ευρήματά μας, με κάποια μεγάλη βάση
πληροφοριών για να κτίσουμε γνώση που μπορούμε να
εφαρμόσουμε και να μοιραστούμε ώστε να βελτιώσουμε την
προστασία μας περαιτέρω.
Το στάδιο Respond, χρησιμοποιεί πληροφορίες του προηγούμενου
σταδίου για την δημιουργία λύσης (signature) σε
πραγματικό χρόνο και την άμεση ενημέρωση/εφαρμογή σε
endpoints και gateway security. Στην αντίθετη περίπτωση, δεν
θα μπλοκαριστούν αυτόματα την επόμενη φορά που θα εκδηλωθούν
και οι κίνδυνοι να πολλαπλασιάζονται. Αυτό το στάδιο,
θα πρέπει επίσης να περιλαμβάνει και το damage clean-up για
τον αυτόματο καθαρισμό των υπολογιστών αυξάνοντας την
παραγωγικότητα των χρηστών.
Το Trend Micro Smart Protection Suites, είναι μέρος της λύσης
Complete User Protection, που σε συνδυασμό με το Trend
Micro Custom Defense, προστατεύει, εντοπίζει αναλύει και
δρα αποτελεσματικά σε πραγματικό χρόνο προστατεύοντας
τα endpoints από τα malware, ακόμα και από τα πιο προηγμένα.
Η κεντρική διαχείριση εξασφαλίζει την ομοιόμορφη
εφαρμογή είτε τοπικά, στο cloud ή σε συνδυασμό ανάλογα με
τις ανάγκες μας.
Για περισσότερες λεπτομέρειες μπορείτε να παρακολουθήσετε
ένα από τα προγραμματισμένα μας WEBEX ή επίδειξη των συστημάτων
στα εργαστήριά μας.
security
13

T4608-10.2016
Issue
Ορατότητα και αυτοματοποιημένη
απόκρουση των απειλών, οι απαιτήσεις
για next generation προστασία
Οι σύγχρονες κυβερνο-επιθέσεις δεν είναι μεμονωμένα συμβάντα malware και DoS. Συνήθως
ξεκινούν με πρόσβαση σε ένα τμήμα της εταιρικής υποδομής και στη συνέχεια επεκτείνονται
μέχρι να φτάσουν στον επιθυμητό στόχο. Οι Attackers έχουν το πλεονέκτημα ότι τους αρκεί να
εκμεταλλευτούν μία ευπάθεια του συστήματος ώστε να κάνουν την αρχική τους είσοδο, ενώ
αντίθετα οι εταιρίες θα πρέπει να προστατεύουν κάθε σύστημά τους, από κάθε αδυναμία του.
ι εταιρείες πλέον θα πρέπει να επαναπροσδιορίσουν
την αρχιτεκτονική ασφάλειάς τους λό-
O
γω της αποτυχίας του υφιστάμενου μοντέλου
«Perimeter-based» να ανταποκριθεί
στις προκλήσεις του Next Generation
Security κυρίως λόγω cloud υπηρεσιών και mobile χρηστών.
Οι επιχειρήσεις καλούνται να επιλέξουν μεταξύ μίας ποικιλίας
εργαλείων και τεχνολογικών λύσεων, ωστόσο η απλή εγκατάσταση
τους χωρίς καθορισμό της διασύνδεσης με τις υφιστάμενες
λειτουργίες της επιχείρησης δε θα φέρει την επιθυμητή
θωράκιση του δικτύου. Ένα βασικό χαρακτηριστικό της
αρχιτεκτονικής Next Generation Security είναι ότι πρέπει να
προσφέρει μηχανισμούς self-defending αυξάνοντας τις
πιθανότητες της επιχείρησης να επιβιώσει μίας επίθεσης με
περιορισμένες απώλειες.
Ο αριθμός των επιθέσεων στον κυβερνοχώρο βρίσκεται σε
υψηλά όλων των εποχών, χωρίς σημάδια επιβράδυνσης! Ο
χρόνος που χρειάζονται οι ΙΤ admin να ανιχνεύσουν ένα συμβάν
αυξάνεται συνεχώς καθώς πνίγονται σε μια μεγάλη ποσότητα
log data. Η λύση σε αυτή τη σημαντική πρόκληση του
Next Generation Security είναι το visibility, που θα παρέχει
πλήρη ορατότητα σε κάθε δραστηριότητα του δικτύου.
Μόνο όταν μπορούμε να δούμε καθαρά όλες τις δραστηριότητες
του δικτύου, τις συνδεδεμένες συσκευές και τους χρήστες
σε πραγματικό χρόνο, μπορούμε να αντιμετωπίζουμε
πιθανές απειλές. Η αναγκαιότητα του visibility απεικονίζεται
πλήρως στα στατιστικά, που δείχνουν ότι παρόλο που το 97%
των εταιριών συλλέγουν logs, μόνο το 44% κάνει review σε
αυτά και μόνο το 14% νιώθει ότι είναι αποτελεσματικό στο να
ανακαλύπτει security events.
Για προστασία έναντι προηγμένων απειλών οι λύσεις ασφάλειας
πρέπει να είναι ευέλικτες και πλήρως ενσωματωμένες
στη λειτουργία της επιχείρησης. Πρέπει να προσφέρουν
εκτεταμένη εικόνα των απειλών και να αποκρούουν μεγάλο
μέρος των επιθέσεων αυτοματοποιημένα ελαχιστοποι-
14 security

Γιάννης Δασκαλόπουλος
Security Solutions Supervisor - Digital SIMA
ώντας τις επιπτώσεις τους.
Έτσι απαιτείται:
• Προηγμένη Αναγνώριση άγνωστων απειλών που να
λειτουργεί σε συνεργασία με τις λύσεις ασφάλειας αναγνωρίζοντας
ανωμαλίες οι οποίες είναι δείκτες πιθανού
compromise.
• Ικανότητες Απόκρισης ώστε να αναγνωρίζεται ενδεχόμενη
επίθεση και να απομονώνεται άμεσα.
• Ενημέρωση σε πραγματικό χρόνο τόσο από το σύννεφο,
όσο και από δικτυακές πηγές και εργαλεία.
• Υποστήριξη Ασφάλειας στα on-premice, απομακρυσμένα
& mobile endpoints. Πρέπει να υπάρχουν μηχανισμοί
ασφάλειας για όλους τους πόρους του δικτύου.
• Έλεγχος κρυπτογραφημένης κίνησης SSL. Το Gateway
πρέπει να αποκρυπτογραφεί την κίνηση, να την ελέγχει και
να την κρυπτογραφεί και πάλι πριν την προωθήσει στα end
point.
• Anti-bot. Το Gateway θα πρέπει να αναγνωρίζει και να απομονώνει
μολυσμένα hosts.
• Behaviour monitoring υπηρεσίες για καλύτερη αντιμετώπιση
των πολυμορφικών ιών. Το παραδοσιακό Antivirus
δεν είναι πλέον αρκετό.
Η Watchguard στο πλαίσιο προσαρμογής και αναβάθμισης
των λύσεων της, πέρα από τις παραδοσιακά κορυφαίες UTM
υπηρεσίες, προσφέρει το τελευταίο διάστημα μία σειρά εργαλείων
για να καλύψει τη Next Generation Security με
το βέλτιστο δυνατό τρόπο, τόσο από της πλευρά του Gateway,
όσο και από το End Point.
(100/100/0) από την NSS Lab εξασφαλίζει ότι είναι η κορυφαία
λύση για αντιμετώπιση advance threats, zero-day επιθέσεων
και των sophisticated ransomware.
Network Discovery - Με τη υπηρεσία Network Discovery
παρέχεται σάρωση του δικτύου που δημιουργεί μια οπτική
απεικόνιση σε χάρτη της κάθε συνδεδεμένης συσκευής, προσφέροντας
συνολική ορατότητα για όλες τις συνδέσεις. Έτσι διασφαλίζεται
ότι μόνο οι εξουσιοδοτημένες συσκευές συνδέονται
στο εταιρικό δίκτυο. Παράλληλα γίνεται ανίχνευση όλων
των ανοικτών θυρών και πρωτοκόλλων.
Mobile Security - Η υπηρεσία Mobile Security της
WatchGuard παρέχει ένα πρόσθετο επίπεδο στο visibility του
δικτύου, επιτρέποντας στους διαχειριστές να εντοπίζουν και
να ελέγχουν τις κινητές συσκευές που προσπαθούν να συνδεθούν
μέσω Wi-Fi ή VPN. Εμποδίζει την πρόσβαση σε rooted ή
jailbroken συσκευές, καθώς επίσης μπλοκάρει τους χρήστες
που δοκιμάζουν να κάνουν λήψη εφαρμογών από μη εγκεκριμένες
πηγές. Tο Mobile Security βοηθάει στην εφαρμογή
των BYOD πολιτικών της εταιρίας και παρέχει επιπρόσθετα τη
δυνατότητα malware scans των Android devices, όταν έχει
εγκατασταθεί το app FireClient.
Botnet Detection - Με την ενσωμάτωση της υπηρεσίας
ανίχνευσης Botnet, οι εταιρείες αποκτούν ορατότητα σχετικά
με τους μολυσμένους υπολογιστές τους αλλά και για συνδέσεις
που γίνονται προς δίκτυα που είναι χαρακτηρισμένα ως
Botnet.
Dimension - To WatchGuard Dimension είναι μια λύση ασφάλειας
cloud-ready που παρέχει πλήρη ορατότητα σε όλες τις
δραστηριότητες του δικτύου. Οι απαραίτητες πληροφορίες
εξάγονται γρήγορα με λεπτομερείς αναφορές και παράλληλα
μπορεί να εντοπίσει αμέσως απειλές για την ασφάλεια του δικτύου
σας, πριν γίνουν προβλήματα. Το Dimension προσφέρει
περισσότερα από 100 ολοκληρωμένες αναφορές ασφαλείας
και εκθέσεις. Οι διαχειριστές μπορούν να δουν ποιοι είναι αυτοί
που καταναλώνουν το περισσότερο bandwidth, να εντοπίσουν
ασυνήθιστα μοτίβα κίνησης καθώς και να ενημερωθούν για
το ποιες ιστοσελίδες επισκέπτονται πιο συχνά οι χρήστες του
δικτύου. Οι εκθέσεις μπορούν να προσαρμοστούν στις ανάγκες
όλων των ειδικοτήτων για παροχή πλήρους εποπτείας
του δικτύου. ITSecurity
Τα νέα εργαλεία που προσφέρει είναι:
APT Blocker - Έχοντας λάβει την μέγιστη βαθμολογία
security
15

T4608-10.2016
Issue
Η Sophos οδηγεί τις εξελίξεις στην
προστασία επόμενης γενιάς
Αν πρόκειται να μιλήσουμε για μία εταιρεία που πρωτοστατεί στον τομέα της ασφάλειας επόμενης
γενιάς (NextGen Security), τότε αυτή η εταιρεία δεν είναι άλλη από τη Sophos, η οποία έχει
κυριολεκτικά δείξει τον δρόμο οδηγώντας τις εξελίξεις σε αυτό που σήμερα ονομάζουμε
Συγχρονισμένη Ασφάλεια (Synchronized Security) όπου όλα τα υποσυστήματα ασφαλείας
επικοινωνούν μεταξύ τους σαν να είναι ένα ενιαίο σύστημα. Η συγχρονισμένη ασφάλεια
αποτελείται από τεχνολογίες όπως το Sophos XG Firewall και το Security Heartbeat, το NextGen
Endpoint, το Sophos SafeGuard NextGen Encryption και πολλών άλλων που προστίθενται
συνέχεια στην εξίσωση.
ια δεκαετίες ολόκληρες, η βιομηχανία των συστημάτων
ασφάλειας πληροφοριακών συστη-
Γ
μάτων αντιμετώπιζε την ασφάλεια δικτύων και
τερματικών συσκευών σαν δύο εντελώς διαφορετικές
οντότητες. Θα μπορούσε κάποιος
να περιγράψει την κατάσταση ως εξής: σαν να τοποθετείται
ένας φύλακας ασφαλείας έξω από ένα κτίριο και ένας άλλος
στο εσωτερικό του κτιρίου, αλλά να μην τους επιτρέπεται να
μιλήσουν ο ένας στον άλλο!
Με τη συγχρονισμένη ασφάλεια ωστόσο, το τείχος προστασίας
(firewall) συνδέεται και επικοινωνεί με τις τερματικές
συσκευές (Endpoint Security) διαμοιράζοντας
την κατάσταση (status) και ανταλλάσσοντας πληροφορίες.
Αυτό αποτελεί ουσιαστικά τεχνητή νοημοσύνη ενάντια
στις απειλές, έτσι ώστε η ανίχνευση και η απομόνωση των
μολυσμένων συσκευών να πραγματοποιείται ταχύτερα και
αποτελεσματικότερα. Αυτή η επικοινωνία, που αναβαθμίζει
σε πολύ υψηλότερο επίπεδο την άμυνα των οργανισμών και
επιχειρήσεων ονομάζεται Security Heartbeat, μία μοναδική
καινοτόμο τεχνολογία της Sophos.
16 security

Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης, NSS
Το Security Heartbeat “εκπέμπει” σε πραγματικό χρόνο και
ανά τακτά χρονικά διαστήματα, πληροφορίες που σχετίζονται
με ύποπτη συμπεριφορά ή κακόβουλη δραστηριότητα
μεταξύ των τερματικών (endpoints) και του τείχους προστασίας
(firewall). Δίνοντας την δυνατότητα σε αυτά τα παραδοσιακά
ανεξάρτητα μεταξύ τους συστήματα τη δυνατότητα να
διαμοιράζονται απευθείας στοιχεία τεχνητής νοημοσύνης, το
Security Heartbeat μπορεί να λάβει δράση και να προχωρήσει
σε περιορισμό και έλεγχο ενός malware που είναι εύκολο να
εξελιχθεί σε “επιδημία” και να εξαπλωθεί σε πολλούς υπολογιστές
του δικτύου ή να ελέγξει αποτελεσματικά κάποια παραβίαση
δεδομένων που έχει λάβει χώρα σε κάποιο σύστημα
μεμονωμένα.
Το Sophos XG Firewall χρησιμοποιεί δεδομένα που παρέχονται
από την προστασία τερματικών της Sophos (Sophos
Endpoint Protection) για να απομονώσει και να περιορίσει
την πρόσβαση στην μολυσμένη συσκευή, και παράλληλα η
προστασία τερματικών συσκευών μπορεί να αντιμετωπίσει
την επίθεση και να βοηθήσει στην αποκατάσταση. Όλα τα παραπάνω
πραγματοποιούνται χρησιμοποιώντας ένα ιδιαίτερα
κομψό και απλό περιβάλλον χρήσης και διαχείρισης με προκαθορισμένα
πρότυπα και ενοποιημένο μοντέλο πολιτικών
μέσω μίας ενιαίας οθόνης που προσφέρει εκπληκτική ορατότητα
σε επίπεδο χρήστη.
Ένα ακόμα σύστημα που αναδεικνύει τη μοναδική θέση ισχύος
που έχει η εταιρεία Sophos στον τομέα της Συγχρονισμένης
Ασφάλειας, είναι το Sophos Central που προσφέρει ακόμα
περισσότερες επιλογές, δυνατότητες και ευκολίες στην διαχείριση
της ασφάλειας και να επιταχύνει την καινοτομία και τη
συνεργασία μεταξύ πολλών διαφορετικών προϊόντων ασφάλειας.
Την ώρα που η βιομηχανία ολοένα και περισσότερο κατευθύνεται
σε όλο και πιο πολύπλοκα προϊόντα, η Sophos παραμένει
σταθερή στην άποψη της ότι η ασφάλεια θα πρέπει να
είναι απλή, ισχυρή, και με πολλαπλά καινοτόμα χαρακτηριστικά.
Γι’ αυτό ακριβώς το λόγο, το Sophos Central αποτελεί ένα
ενιαίο, εξαιρετικά ισχυρό και εύκολο στη χρήση διαχειριστικό
εργαλείο στο Cloud για όλα τα παρακάτω υποσυστήματα:
• ασφάλεια τερματικών (endpoint security)
• ασφάλεια φυσικών και εικονικών διακομιστών (server
security)
• ασφάλεια και έλεγχο φορητών συσκευών (mobile security
& control)
• διακομιστή περιήγησης ιστοσελίδων (cloud web gateway)
• διακομιστή διαχείρισης ηλ. αλληλογραφίας (cloud email
gateway)
• διασύνδεση με τείχη προστασίας (firewalls)
• ασύρματη δικτύωση (cloud wireless security)
• κρυπτογράφηση τερματικών (cloud hard disk encryption)
Η Sophos έχει ρίξει ιδιαίτερα μεγάλο βάρος στην κρυπτογράφηση,
κάτι που απέδειξε με την κυκλοφορία του SafeGuard
Encryption 8.0 το οποίο συμπεριλαμβάνει λειτουργικότητα
κρυπτογράφησης επόμενης γενιάς (NextGen Encryption)
αποτρέποντας ουσιαστικά τη δυνατότητα τα πέσουν τα ευαίσθητά
σας δεδομένα σε λάθος χέρια. Όλα τα δεδομένα κατά
τη δημιουργία τους κρυπτογραφούνται και παραμένουν κρυπτογραφημένα
ανά πάσα στιγμή, όταν μεταφέρονται σε έναν
κοινόχρηστο φάκελο, USB stick, ή στο σύννεφο. Η κρυπτογράφηση
επόμενης γενιάς υποστηρίζει πλήρως τη λειτουργικότητα
συγχρονισμένης ασφάλειας (Synchronized Security),
αφού μοιράζεται στοιχεία και ανταλλάσει σημαντικές πληροφορίες
με τα άλλα υποσυστήματα ασφάλειας. Αν ένα τερματικό
εντοπίσει μια απειλή, τα κλειδιά κρυπτογράφησης μπορούν
να ανακληθούν αυτόματα, έτσι ώστε τα δεδομένα να παραμείνουν
απόλυτα ασφαλή ακόμα και αν οι hackers καταφέρουν
να αποκτήσουν πρόσβαση στο δίκτυό σας.
Κάτι επίσης πολύ σημαντικό που πραγματικά αφορά προστασία
επόμενης γενιάς είναι το Sophos Sandstorm, μία εξαιρετική
λύση sandbox που λειτουργεί αψεγάδιαστα σε συνδυα-
security
17

T4608-10.2016
Issue
σμό με τις λύσεις περιμετρικής ασφάλειας της Sophos, Secure
Web Gateway, Secure Email Gateway και UTM, προσφέροντας
προστασία απέναντι σε άγνωστες, ιδιαίτερα προηγμένες
και evasive απειλές. Το Sophos Sandstorm καταρχήν ερευνά
τα ύποπτα αρχεία μέσω των συμβατικών ελέγχων ασφαλείας,
με ελέγχους βάσει υπογραφών anti-malware (signatures) ή
ψάχνοντας για κακόβουλα URLs. Αν το αρχείο δεν ανιχνευτεί
ως απειλή, πρώτα αποστέλλεται η υπογραφή του αρχείου
(file hash) για να καθοριστεί αν έχει προηγουμένως αναλυθεί
/ αντιμετωπιστεί. Αν το αρχείο είναι άγνωστης προέλευσης
όμως, τότε ένα αντίγραφο του ύποπτου αρχείου αποστέλλεται
στο Sandstorm. Το αρχείο σε αυτή την περίπτωση εκτελείται
σε ένα περιορισμένο εικονικό περιβάλλον για να παρατηρηθεί
λεπτομερώς η συμπεριφορά του. Με αυτό το τρόπο, η
Sophos μπορεί να περιορίσει τα ransomware και άλλα zero
day malware, που ταλαιπωρούν τους οργανισμούς και τις
επιχειρήσεις και μόνο με τέτοιες τεχνικές μπορούν να αντιμετωπιστούν.
Το μεγαλύτερο άλμα στον τομέα της ασφάλειας που έχει κάνει
όμως η Sophos στην βιομηχανία συστημάτων ασφάλειας,
είναι το Sophos Intercept X. Με αυτό, η Sophos εγκαινίασε
μία νέα εποχή για την προστασία τερματικών (endpoint
protection) από τις σημερινές προηγμένες απειλές. Το Intercept
X είναι μία νέα τεχνολογία signature-less, anti-hacker, antiransomware
και anti-exploit της Sophos που περιλαμβάνει
root-cause analytics, προηγμένη σάρωση antivirus και καθαρισμό
malware, η διαχείριση της οποίας είναι μία ιδιαίτερα
απλή διαδικασία αφού πραγματοποιείται και αυτή μέσω της
κονσόλας διαχείρισης του Sophos Central, στο οποίο αναφερθήκαμε
νωρίτερα.
Το εντελώς νέο Sophos Intercept X προσφέρει ιδιαίτερα ισχυρή
προστασία των τερματικών με λειτουργικό σύστημα Windows
απέναντι στην μάστιγα της εποχής, τα ransomware αφού είναι
ικανό να τα σταματήσει εν τη γενέσει τους, από όπου και
αν προέρχονται όπως π.χ. usb sticks και όσο σύγχρονα και να
είναι, ενώ μπορεί να επαναφέρει τυχόν κατεστραμμένα αρχεία
σε μία πρωτύτερα γνωστή και ασφαλής κατάσταση τους.
Επίσης μπορεί και σταματάει τις απειλές zero-day χωρίς την
ανάγκη παραδοσιακής σάρωσης των αρχείων, χάρη στην προηγμένη
τεχνολογία anti-exploit που ενσωματώνει και χωρίς
την ανάγκη ενημέρωσης των υπογραφών (signatures), κάτι
που κάνουν τα παραδοσιακά antivirus. Επίσης, μπορεί να
προσφέρει αυτόματα ειδικές αναφορές, για την πηγή προέλευσης
των επιθέσεων (root cause analysis), την επισήμανση
τυχόν πρόσθετων σημείων μόλυνσης, ενώ παρέχει και
οδηγίες για την ενίσχυση της ασφάλειας της επιχείρησης ή
του οργανισμού.
Το Sophos Intercept Χ είναι διαθέσιμο ως ανεξάρτητο υποσύστημα
προστασίας σε συνεργασία με κάποιο παραδοσιακό
antivirus οποιουδήποτε κατασκευαστή που βασίζεται σε υπογραφές
ώς επιπλέον προστασία που είναι πλέον αναγκαία ή ως
μέρος της διαχειριζόμενης από το Sophos Central προϊοντικής
γκάμας της εταιρείας με την ονομασία Endpoint Ultimate,
με το τελευταίο να συνδυάζει το σύστημα Sophos Endpoint
Advanced και Intercept X σε μία δυναμική, ολοκληρωμένη λύση
προστασίας τερματικών συσκευών επόμενης γενιάς που
αντίστοιχη δεν υπάρχει στην αγορά.
18 security

T4608-10.2016
Issue
Next-generation security
στην εποχή των αναπόφευκτων
παραβιάσεων
Διανύουμε μια εποχή, όπου οι παραβιάσεις δεδομένων είναι αναπόφευκτες. Οι ειδικοί
ασφάλειας πληροφοριών χρησιμοποιούν τις ικανότητές τους και όλη την τεχνολογία που
διατίθεται προκειμένου να αποτρέψουν τις παραβιάσεις, να μετριάσουν τους κινδύνους και να
ανταποκριθούν κατάλληλα όταν αυτές συμβούν.
ι παραβιάσεις συμβαίνουν και θα συνεχίσουν
O
να συμβαίνουν ακόμη και στους οργανισμούς
με ισχυρά μέτρα ασφάλειας πληροφοριών,
επιχειρησιακής συνέχειας και ανάκαμψης από
καταστροφή. Αυτό δε σημαίνει ότι τα τρέχοντα
μέτρα ασφάλειας είναι αναποτελεσματικά.
Οι άνθρωποι καθημερινά χάνουν υπολογιστές, κινητά τηλέφωνα
και άλλες συσκευές, οι οποίες περιέχουν μία εξαιρετικά
μεγάλη ποσότητα εμπιστευτικών πληροφοριών. Επίσης,
οι έμπιστοι άνθρωποι μπορούν να αλλάξουν συμπεριφορά
κάτω από διάφορες συνθήκες και υπάρχει μια λεπτή γραμμή
μεταξύ της ανάγκης για πρόσβαση σε δεδομένα, της ευκολίας
του να επιτευχθεί αυτό και της ανάγκης για προστασία αυτών
των δεδομένων. Η διασφάλιση της πληροφορίας γενικότερα
καθιστά την πρόσβαση σε αυτή και την επεξεργασία της, δυσκολότερη.
Η αλήθεια είναι ότι, ακόμη και αν ένας οργανισμός έχει υποστεί
ήδη μια παραβίαση ασφάλειας, αυτό δε σημαίνει ότι είναι
ασφαλής από μια άλλη. Οι οργανισμοί πλέον δεν μπορούν να
αντέξουν οικονομικά τις κυρώσεις που θα υποστούν σε περίπτωση
που αγνοήσουν τις σημαντικές απειλές που θέτουν οι
εγκληματίες του κυβερνοχώρου, για τα ευαίσθητα δεδομένα
των επιχειρήσεων και τη φήμη των πελατών. Επομένως, πρέπει
να επενδύσουν σε ισχυρές τεχνολογίες και εργαλεία προκειμένου
να αναλάβουν δράση έναντι όλων αυτών των παραβιάσεων
και των απειλών που βρίσκονται σε έξαρση.
Η εποχή στην οποία βρισκόμαστε, χαρακτηρίζεται από μια
πληθώρα τεχνολογικών όρων που παίρνουν τα ηνία προκειμένου
να επιτύχουν αυτό το στόχο. Ο όρος “next-generation
security”, γεννήθηκε ως άμεσο αποτέλεσμα των νέων τύπων
τεχνολογιών που απαιτούν υψηλότερα επίπεδα ευελιξίας της
ασφάλειας. Οι τεχνολογίες “next-generation security” είναι
20 security

Δήμητρα Ζέρβα
Information Security Consultant
Networking Solutions Division, Space Hellas
πολλά περισσότερα από ένα απλό firewall. Είναι έξυπνες συσκευές
οι οποίες έχουν επίγνωση των συσκευών, των εφαρμογών
και των χρηστών. Τα προϊόντα ασφάλειας έχουν εξελιχθεί
πέρα από την τυποποιημένη πλατφόρμα firewall σε κάτι
που είναι σε θέση να υποστηρίζει πολλά διαφορετικά είδη
υπηρεσιών. Σε πολλές περιπτώσεις, οι υπηρεσίες αυτές δουλεύουν
όλες μαζί παρέχοντας μια ενιαία πλατφόρμα. Οι τεχνολογίες
“next-generation” θα περιστρέφονται πάντα γύρω από
την ασφάλεια, την ευελιξία και την ικανότητα να εξελίσσονται
γρήγορα, ανταποκρινόμενες στις ανάγκες μιας αναπτυσσόμενης
επιχείρησης.
Στο επίκεντρο όλων αυτών των νέων τεχνολογιών βρίσκονται
τα security analytics. Τα security analytics αναφέρονται σε λύσεις
τεχνολογίας πληροφοριών (IT), οι οποίες συλλέγουν και
αναλύουν τα γεγονότα ασφάλειας, ώστε να φέρουν επίγνωση
της κατάστασης και να επιτρέψουν την περαιτέρω ανάλυση
των γεγονότων που αποτελούν το μεγαλύτερο κίνδυνο. Οι
λύσεις σε αυτόν τον τομέα περιλαμβάνουν, εκτός από λύσεις
security information and event management (SIEM), και λύσεις
user behavior analytics (UBA) οι οποίες επικεντρώνονται
στο χρήστη και τη συμπεριφορά του.
Insider threats & User Behavior Analytics
Οι εσωτερικές απειλές βρίσκονται στην κορυφή των ευπαθειών
που προκαλούν τη μεγαλύτερη ανησυχία στους οργανισμούς.
Εκτείνονται από νυν και πρώην υπαλλήλους σε εργολάβους
και συνεργάτες με εξουσιοδοτημένη πρόσβαση σε δίκτυα
και κρίσιμα συστήματα δεδομένων. Οι εσωτερικές απειλές
είναι μία από τις περιπτώσεις που οδήγησαν στις νέες προσεγγίσεις
για την ανάλυση της συμπεριφοράς των χρηστών
(UBA), η οποία δίνει τη δυνατότητα στους αναλυτές ασφάλειας
να παρακολουθούν τη δραστηριότητα των χρηστών.
Τα analytics της συμπεριφοράς των χρηστών επικεντρώνονται
στην παρακολούθηση, τη συλλογή και την αξιολόγηση των δεδομένων
του χρήστη και των δραστηριοτήτων του, με τη χρήση
συστημάτων παρακολούθησης. Οι τεχνολογίες UBA αναλύουν
ιστορικά logs δεδομένων -συμπεριλαμβανομένων των
logs δικτύου και ελέγχου ταυτότητας (αυθεντικοποίησης), που
συλλέγονται και αποθηκεύονται σε συστήματα διαχείρισης
logs και SIEM- για να προσδιορίσουν τα πρότυπα της κίνησης
που προκλήθηκαν από τις συμπεριφορές των χρηστών, τόσο
τις φυσιολογικές, όσο και τις κακόβουλες. Ενώ τα συστήματα
UBA δε λαμβάνουν δράση βάσει των ευρημάτων τους, έχουν
ως κύριο σκοπό να παρέχουν στις ομάδες ασφάλειας ενημέρωση
για τις δραστηριότητες των χρηστών.
Τα συστήματα UBA συλλέγουν διάφορα είδη δεδομένων, όπως
ρόλους χρηστών, δικαιώματα πρόσβασης, δραστηριότητα των
χρηστών, ημερομηνία και ώρα της δραστηριότητας και γεωγραφική
τοποθεσία, καθώς επίσης και τις προειδοποιήσεις
ασφάλειας. Τα δεδομένα αυτά μπορούν να συλλέγονται από
την προγενέστερη και την τρέχουσα δραστηριότητα και η ανάλυσή
τους λαμβάνει υπόψη παράγοντες, όπως οι πόροι που
χρησιμοποιήθηκαν, η διάρκεια των συνεδριών (sessions), η
συνδεσιμότητα και η δραστηριότητα όμοιων ομάδων, προκειμένου
να γίνει σύγκριση της ανώμαλης συμπεριφοράς.
Οι οργανισμοί πλέον χρειάζεται να γνωρίζουν όχι μόνο ποιος
συνδέθηκε στο δίκτυο, αλλά και τι έκανε όσο ήταν συνδεδεμένος.
Τα συστήματα UBA δεν αναφέρουν όλες τις ανώμαλες συμπεριφορές
ως επικίνδυνες. Στην πραγματικότητα, αξιολογούν
το πιθανό αντίκτυπο των συμπεριφορών. Εάν η συμπεριφορά
αφορά λιγότερο ευαίσθητους πόρους, λαμβάνει χαμηλή βαθμολογία
αντικτύπου. Εάν αφορά κάτι περισσότερο ευαίσθητο,
όπως προσωπικές πληροφορίες (Personally Identifiable
Information), θα λάβει υψηλότερη βαθμολογία αντικτύπου.
Με αυτό τον τρόπο οι ομάδες ασφάλειας μπορούν να δώσουν
προτεραιότητα στο τι πρέπει να παρακολουθήσουν, καθώς το
σύστημα UBA έχει τη δυνατότητα αυτόματα να περιορίζει ή να
αυξάνει τη δυσκολία της αυθεντικοποίησης του χρήστη που
έχει παρουσιάσει ανώμαλη συμπεριφορά.
Τα εργαλεία UBA μπορούν να συμβάλουν
στην αντιμετώπιση των επιθέσεων έναντι της
ασφάλειας
Τα εργαλεία UBA χρησιμοποιούν έναν ειδικό τύπο security
analytics ο οποίος εστιάζει στη συμπεριφορά των συστημάτων
και των ανθρώπων που τα χρησιμοποιούν. Εκτελούν δύο
βασικές λειτουργίες. Αρχικά, καθορίζουν μια βασική γραμμή
των «κανονικών (normal)» δραστηριοτήτων, οι οποίες είναι
ειδικά προσαρμοσμένες για τον οργανισμό και τους χρήστες
security
21

T4608-10.2016
Issue
του. Δεύτερον, τα εργαλεία UBA διακρίνουν γρήγορα τις αποκλίσεις
από τον κανόνα, οι οποίες απαιτούν περαιτέρω διερεύνηση.
Επομένως, κύριος σκοπός αυτών των εργαλείων είναι
να αναδείξουν τις περιπτώσεις στις οποίες κάποια μη φυσιολογική
συμπεριφορά βρίσκεται σε εξέλιξη.
Ποια είναι όμως η διαφορά μεταξύ των security analytics και
αυτών των εργαλείων;
Αυτές οι τεχνολογίες που βασίζονται στην ταυτότητα του χρήστη
εστιάζουν πρώτα στο άτομο, παρακολουθώντας τις αλληλεπιδράσεις
και χτίζοντας βασικά προφίλ για να τα συγκρίνουν
με το ιστορικό των συμπεριφορών και με αυτό των όμοιων
ομάδων. Οι περισσότερες από αυτές τις πλατφόρμες είναι
σχεδιασμένες για να παρακολουθούν κάθε χρήστη και όχι
μόνο όσους θεωρούνται υψηλού κινδύνου. Η μεγάλη διαφορά
μεταξύ των UBA και άλλων τύπων security analytics είναι
ότι τα εργαλεία UBA εστιάζουν στους χρήστες (παρά στα γεγονότα
ή στις προειδοποιήσεις). Με άλλα λόγια, τα εργαλεία
UBA απαντούν στο ερώτημα, "Συμπεριφέρεται αυτός ο χρήστης
ασυνήθιστα;".
Είτε πρόκειται για κλοπή ευαίσθητων δεδομένων και δεδομένων
πνευματικής ιδιοκτησίας, είτε για τυχαία απώλεια δεδομένων
που προκαλείται από καλοπροαίρετους εργαζόμενους
που έχουν υποστεί κοινωνική μηχανική (social engineering),
η παρακολούθηση της επικίνδυνης συμπεριφοράς των χρηστών
εξακολουθεί να αποτελεί την κορυφαία ανησυχία για
τους επαγγελματίες της ασφάλειας.
Πως συνδέονται τα analytics της
συμπεριφοράς των χρηστών με την εκπαίδευση
ευαισθητοποίησης των χρηστών σε θέματα
ασφάλειας;
Το ανθρώπινο λάθος είναι μια από τις μεγαλύτερες αιτίες παραβιάσεων
ασφάλειας δεδομένων. Η προσεκτική παρακολούθηση
και ανάλυση της ανθρώπινης συμπεριφοράς μπορεί να
προσδιορίσει περιοχές όπου, μια συγκεκριμένη προειδοποίηση
ή ένας έλεγχος ασφάλειας θα μπορούσε να έχει εφαρμοστεί
για να αποτρέψει μια παραβίαση ασφάλειας δεδομένων,
που θα ήταν δυνατό να προκληθεί από το λάθος ενός χρήστη.
Τα analytics της συμπεριφοράς των χρηστών επικεντρώνονται
στην παρακολούθηση της συμπεριφοράς και των προτύπων
για τον εντοπισμό εσωτερικών απειλών, είτε είναι ακούσια, είτε
εκούσια. Ένα εργαλείο UBA θα αναπτύξει γενικά μια βασική
γραμμή της συμπεριφοράς των εργαζομένων και από εκεί θα
εντοπίσει ανωμαλίες για περαιτέρω έρευνα.
Η εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας εστιάζει
(ή θα έπρεπε τουλάχιστον να εστιάζει), στις ανθρώπινες συμπεριφορές
και στην ανθρώπινη ψυχολογία που κινεί τέτοιες
συμπεριφορές (εσωτερικά σε κάθε εργαζόμενο). Η ασφάλεια
και το απόρρητο των δεδομένων σε έναν οργανισμό, εξαρτάται
από μια αλλαγή στην εταιρική κουλτούρα προς ένα περιβάλλον
το οποίο δίνει αξία στην προστασία της ιδιωτικής ζωής
και στην ασφάλεια των δεδομένων. Πρέπει να δοθεί ιδιαίτερη
έμφαση στην αλλαγή των ανθρώπων και των συμπεριφορών
προς την πεποίθηση ότι, η προστασία των δεδομένων του οργανισμού
είναι ευθύνη όλων των εργαζομένων.
Η Space Hellas διαθέτει κορυφαία τεχνογνωσία στην τεχνολογία
ασφάλειας πληροφοριών με εξειδικευμένο και πιστοποιημένο
προσωπικό που σχεδιάζει και υλοποιεί εξελιγμένες
λύσεις, οι οποίες προσαρμόζονται στις ανάγκες του πελάτη.
Παρέχει προηγμένα professional services και συνεργάζεται
με τους κορυφαίους κατασκευαστικούς οίκους προϊόντων
ασφάλειας. Συνδυάζει τεχνολογικά προϊόντα και managed
services, δίνοντας τη δική της λύση “next-generation security”
προσφέροντας Security Intelligence και Analytics, με την προστιθέμενη
αξία του Compliance.
22 security

Εκδόσεις για την
Ασφάλεια
ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΚΗΣ
(IT SECURITY)
30€
20€
ΕΓΚΥΚΛΟΠΑΙΔΙΚΟ ΕΓΧΕΙΡΙΔΙΟ
ΤΟΥ SECURITY MANAGER
ΒΙΟΜΗΧΑΝΙΚΗ ΚΑΤΑΣΚΟΠΙΑ -
ΥΠΟΚΛΟΠΗ ΠΛΗΡΟΦΟΡΙΩΝ και
ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ και ΑΝΤΙΜΕΤΡΑ
14€
Πληροφορίες: support@securitymanager.gr
Τηλ.: 210 5225479
SMART PRESS A.E.
Μάγερ 11, 10438, Αθήνα
Τ. 210.5201500, 210.5231555
F. 210.5241900
www.smartpress.gr
smart@smartpress.gr

T4608-10.2016
Issue
Εταιρική Ασφάλεια Δικτύου.
Τα ΠΡΕΠΕΙ και τα ΜΗ που οφείλει να
ακολουθεί κάθε επιχείρηση.
Μια αποτελεσματική λύση διαδικτυακής ασφαλείας είναι σήμερα απαραίτητη περισσότερο
από κάθε άλλη φορά για υφιστάμενες και νεοφυείς επιχειρήσεις κάθε μεγέθους. Με την
πρόσβαση στο διαδίκτυο πλέον δεδομένη, οι επιχειρήσεις ενσωματώνουν στην καθημερινότητα
τους, εργαλεία αύξησης της παραγωγικότητάς τους και άλλες υπηρεσίες που πολλές φορές
προσφέρονται απευθείας από το «σύννεφο» (business cloud).
Ωστόσο, όλες αυτές οι υπηρεσίες συνοδεύονται
και από ένα σχετικό ρίσκο που οι επι-
Ω
χειρήσεις οφείλουν να αναγνωρίζουν και να
προχωρούν στις κατάλληλες επενδύσεις για
την προστασία του εταιρικού τους δικτύου και
των δεδομένων τους. Πώς επιτυγχάνεται όμως ένα αξιόπιστο
επίπεδο ασφαλείας;
τα ΠΡΕΠΕΙ…
Εκπαιδεύστε τους υπαλλήλους
Οι περισσότερες απειλές για την ασφάλεια ενός εταιρικού δικτύου
έχουν τη ρίζα τους στην απροσεξία κάποιου χρήστη. Είναι
πολύ σημαντικό να εκπαιδεύονται οι υπάλληλοι μιας εταιρείας
σε ό,τι σχετίζεται με την ασφάλεια του δικτύου και να
γνωρίζουν πως να αντιδράσουν σε ένα συναγερμό περιστατικού
ασφαλείας. Επίσης πρέπει να είναι επιφυλακτικοί και προσεκτικοί
σε ό,τι σκοπεύουν να «ανοίξουν» από το διαδίκτυο, τις
πληροφορίες που πρόκειται να μοιραστούν (π.χ. μέσω email
ή κοινωνικών δικτύων) αλλά και τι συσκευές αποθήκευσης
(USB, σκληροί δίσκοι) που συνδέουν σε εξοπλισμό που αποτελεί
μέρος του εταιρικού δικτύου.
Ρυθμίστε τις κινητές συσκευές
Γνωρίζοντας ότι σχεδόν όλοι οι εργαζόμενοι είναι κάτοχοι μιας
πληθώρας από gadgets και smartphones, είναι πραγματικά
υψίστης σημασίας ο έλεγχος αυτών των συσκευών. Μέσω της
σύνδεσης που πολλές φορές διαθέτουν στα ασύρματα δίκτυα
της εταιρείας, ένα μεγάλο μέρος των σημαντικών και ευαίσθητων
εταιρικών δεδομένων είναι προσβάσιμο μέσω αυτών των
συσκευών. Η παρακολούθηση και ρύθμιση τέτοιου τύπου συσκευών
είναι ζήτημα υψηλής προτεραιότητας.
Σώστε τα δεδομένα σας
Σε ό,τι αφορά στο backup, η καλύτερη πρόταση είναι ο κανόνας
3-2-1. Αυτό σημαίνει ότι μια επιχείρηση μικρού ή μεσαίου
μεγέθους θα πρέπει να διατηρεί τρία αντίγραφα από κάθε ευαίσθητο
δεδομένο, σε δύο διαφορετικά format και τοποθεσίες
ενώ, τουλάχιστον, ένα από αυτά τα αντίγραφα θα πρέπει να
είναι εκτός δικτύου. Ακολουθώντας αυτόν τον κανόνα ελαχιστοποιείται
το ενδεχόμενο απώλειας εταιρικής πληροφορίας
24 security

Angelo Gentili
Business Development Manager PartnerNET
www.partnernet.gr
και μειώνεται ο χρόνος επαναφοράς σε ομαλούς λειτουργικούς
ρυθμούς.
Κρυπτογραφήστε τα δεδομένα σας
Η απλή λήψη αντιγράφων ασφαλείας των δεδομένων σας δεν
είναι πλέον αρκετή. Πρέπει να διασφαλίσετε ότι ακόμα και αν
κάποιος μη εξουσιοδοτημένος χρήστης αποκτήσει πρόσβαση
σε αυτά, δε θα μπορεί να τα «διαβάσει». Είναι λοιπόν συνετό
να ενσωματώσετε στις εταιρικές σας διαδικασίες (συμπεριλαμβανομένων
των αντιγράφων ασφαλείας) και την κρυπτογράφηση.
Έτσι τα δεδομένα σας θα μπορούν να αξιοποιηθούν
μόνο από τους εργαζόμενους, τους πελάτες και τους συνεργάτες
σας.
Χρησιμοποιήστε λύσεις για την ασφάλεια του
δικτύου σας
Σήμερα έχετε να επιλέξετε ανάμεσα σε πολλές λύσεις ασφαλείας
εταιρικών δικτύων. Προτεραιότητά σας πρέπει να είναι ο
εντοπισμός μιας λύσης που όχι μόνο θα ανταποκρίνεται ιδανικά
στις ανάγκες της επιχείρησής σας, αλλά και θα κάνει πραγματικά
αυτά τα οποία υπόσχεται.
…τα ΜΗ…
Μην κάνετε κλικ σε άγνωστους συνδέσμους
Η πιο συνηθισμένη μέθοδος με την οποία καταφέρνουν οι επιτήδειοι
να εξαπατήσουν τους χρήστες και να τους οδηγήσουν
στο να κάνουν «κλικ» σε κακόβουλα links, είναι η τεχνική του
«ψαρέματος» (phishing) μέσω email. Οι υπάλληλοι θα πρέπει
να είναι ενημερωμένοι στο να ερευνήσουν περί τίνος πρόκειται,
πριν αποφασίσουν να ανοίξουν ένα σύνδεσμο. Αυτό συμπεριλαμβάνει
τον έλεγχο της αυθεντικότητας του συνδέσμου
και την επαλήθευση πρωτοκόλλου ώστε να αποφεύγονται οι
σύνδεσμοι που θα βλάψουν το δίκτυό σας.
Mην επιτρέπετε την εγκατάσταση εφαρμογών
που δεν είστε σίγουροι ότι πρέπει να
εμπιστευτείτε
Το διαδίκτυο είναι γεμάτο με ενδιαφέρουσες εφαρμογές που
φαινομενικά στοχεύουν στο να κάνουν τη ζωή σας πιο εύκολη.
Ωστόσο, είναι σημαντικό οι εφαρμογές αυτές που τελικά
θα εγκαταστήσετε να προέρχονται από αξιόπιστες πηγές λήψης
και να έχουν αναπτυχθεί από ικανούς προγραμματιστές
που δίνουν έμφαση και στον παράγοντα ασφάλεια. θα πρέπει
να απαιτήσετε από τους χρήστες να σας ενημερώνουν για
όποια νέα εφαρμογή επιθυμούν να χρησιμοποιήσουν ενώ δε
θα πρέπει να μπορούν να εγκαταστήσουν τίποτε οι ίδιοι στους
εταιρικούς Η/Υ, κινητά και tablets.
Μη χρησιμοποιείτε απλούς κωδικούς
Οι κανόνες δημιουργίας κωδικών πρόσβασης είναι απλοί:
χρησιμοποιήστε διαφορετικούς χαρακτήρες, χρησιμοποιείστε
αριθμούς και σύμβολα, κεφαλαία και πεζά γράμματα και
ποτέ μην χρησιμοποιείτε απλές λέξεις. Εάν τυχόν αγνοήσετε
αυτούς τους κανόνες υπάρχει πιθανότητα να επιτρέψετε την
επιτυχή έκβαση μιας brute force attack που θα καταλήξει σε
μια καταστροφική, μη εξουσιοδοτημένη πρόσβαση στα συστήματα
και τα δεδομένα σας.
Μη θεωρείτε πως είναι αδύνατο να παραβιαστεί
το δίκτυό σας
Πολλές φορές οι επιχειρήσεις έχουν την ψευδαίσθηση ότι κανείς
δεν θα μπει στη διαδικασία να παραβιάσει τα δίκτυά τους
καθώς τα δεδομένα τους δεν είναι τόσο μεγάλης σημασίας
για τους κακόβουλους χρήστες. Αυτή η λανθασμένη υπόθεση
οδηγεί σε απροσεξίες και αμέλεια σε ό,τι αφορά την ασφάλεια
δικτύου καθώς οποιοδήποτε δεδομένο μπορεί να χρησιμοποιηθεί
σε ένα μεγαλύτερο πλαίσιο πραγμάτων. Το πρώτο
βήμα προς την κατεύθυνση της απώλειας δεδομένων είναι η
υποτίμησή τους.
Η PartnerNET γνωρίζοντας καλά τις ανάγκες των εταιρειών
προτείνει την ανταγωνιστικότερη λύση endpoint security της
αγοράς: το SEQRITE Endpoint Security (SEPS).
Είναι σχεδιασμένο να καλύπτει τις απαιτήσεις ασφάλειας δικτύου
για μικρομεσαίες και μεγάλες επιχειρήσεις, επιτυγχάνοντας
αύξηση παραγωγικότητας, χαμηλότερα λειτουργικά
κόστη, μείωση κινδύνων από κακόβουλο λογισμικό, βελτιωμένο
έλεγχο συστημάτων κ.ά.
Με motto “Enterprise Security Simplified”, η SEQRITE απλοποιεί
τις διαδικασίες, προτείνει λύσεις χωρίς «βαριά» συστήματα
που επιβαρύνουν το υπόλοιπο δίκτυο… και σε τιμή που
ξαφνιάζει ευχάριστα!
Για περισσότερες πληροφορίες επισκεφθείτε το site
της PartnerNET: http://eshop.partnernet.gr/Security
ITSecurity
security
25

T4608-10.2016
Issue
Η ασφάλεια πέρα από τα όρια
του Sandbox
Μόλις πριν από λίγα χρόνια, η τεχνολογία sandboxing ωρίμασε πραγματικά. Η ικανότητα
προσομοίωσης ενός περιβάλλοντος, ενεργοποίησης ενός αρχείου χωρίς κίνδυνο μόλυνσης και η
ανάλυση της συμπεριφοράς του, έγινε ένα πραγματικά εύχρηστο εργαλείο έρευνας.
πό τότε, τα sandboxes έχουν γίνει σχετικά δημοφιλή
(όχι στον ίδιο βαθμό με τα προγράμμα-
A
τα καταπολέμησης των ιών ή τα firewalls) και
χρησιμοποιούνται σε μεγαλύτερες εταιρείες.
Ακόμη κι αν είχατε αγοράσει ένα sandbox
πριν από μερικά χρόνια, σίγουρα, έχετε πλέον αυξημένες ανάγκες
για ανάλυση των κακόβουλων λογισμικών, πέρα από τις
παραδοσιακές τεχνολογίες sandbox που απλά απομονώνουν
τα ύποπτα αρχεία, τα αναλύουν σε μια τοπική εικονική μηχανή,
και στη συνέχεια τα θέτουν σε καραντίνα.
Ήρθε ο καιρός να περάσουμε στο επόμενο βήμα και να μην
χρησιμοποιήσουμε το sandbox ως ξεχωριστή δυνατότητα και
μόνο. Μόνο έτσι θα μπορέσουμε και περάσουμε την ασφάλεια
πέρα από τα όρια του Sandbox ώστε να τα αξιοποιήσουμε στο
έπακρο. Χρειάζεστε ένα πιο ισχυρό εργαλείο ανάλυσης κακόβουλου
λογισμικού που να συνεργάζεται απρόσκοπτα με την
υποδομή σας και να μπορεί να ανιχνεύει συνεχώς ακόμα και
τις πιο προηγμένες απειλές, που αναγνωρίζουν το περιβάλλον
και μπορούν να αποφύγουν τον εντοπισμό τους.
Τρεις είναι οι τρόποι αγοράς και αξιοποίησης της τεχνολογίας
sandbox από τις επιχειρήσεις:
1. Μια stand-alone λύση που έχει σχεδιαστεί για να τροφοδοτείται
με αρχεία για ανάλυση, χωρίς να εξαρτάται από άλλα
προϊόντα ασφαλείας. Αν και η λύση αυτή παρέχει μεγαλύτερη
ευελιξία, αυξάνει σημαντικά το κόστος του εξοπλισμού
26 security

Νίκος Μουρτζίνος
Security Product Sales Specialist
της Cisco, για Ελλάδα, Κύπρo, Μάλτα
και την πολυπλοκότητα στη διαχείριση και την ανάλυση, ειδικά
για επιχειρήσεις με γραφεία σε διαφορετικές περιοχές.
2. Λύση Sandbox ενσωματωμένη στα Next Generation
firewall, τα Next Generation IPS ή τα UTMs (Unified Threat
Management). Αυτές οι λύσεις, αν και συνήθως οικονομικές
και εύκολες στην εγκατάσταση, είναι λιγότερο αποτελεσματικές
στην ανίχνευση ενός ευρέος φάσματος ύποπτων
αρχείων, συμπεριλαμβανομένων των αρχείων web και
email. Επίσης, θέτουν περιορισμούς στο bandwidth εξαιτίας
των οποίων μειώνεται η απόδοση του δικτύου και ταυτόχρονα
εγείρονται ζητήματα προστασίας του απορρήτου όταν
η μόνη επιλογή είναι μια λύση βασισμένη στο cloud.
3. Λύση Sandbox ενσωματωμένη στα Content Security
Gateways όπως Web Security Gateways και Email Security
Gateways. Η προσέγγιση αυτή είναι εξίσου οικονομική αλλά
εστιάζει μόνο σε κανάλια web και email, ενώ μειώνει τις επιδόσεις
και εγείρει ζητήματα προστασίας του απορρήτου.
Υπάρχει όμως κι ένας τέταρτος τρόπος που αξιοποιεί ό,τι καλύτερο
έχουν να προσφέρουν αυτές οι προσεγγίσεις και θα
σας βοηθήσει να καταπολεμήσετε τους εισβολείς, που γίνονται
καλύτεροι μέρα με τη μέρα, όταν μάλιστα έχουν πρόσβαση
σε ενισχυμένη χρηματοδότηση: το Cisco AMP Threat Grid.
Μέσω του AMP Threat Grid, η Cisco προσφέρει προηγμένες
λύσεις ανάλυσης και πληροφόρησης κακόβουλου λογισμικού,
που εξασφαλίζουν καλύτερη απόδοση της επένδυσης,
καλύτερη ενσωμάτωση και έλεγχο σε ό, τι συμβαίνει στο περιβάλλον
σας. Το Center for Internet Security των ΗΠΑ, περιέγραψε
πρόσφατα τον τρόπο που χρησιμοποιεί τη λύση της
Cisco, για να αναλύει δείγματα κακόβουλου λογισμικού από
περισσότερες από 19.000 πολιτειακές, τοπικές και περιφερειακές
κυβερνήσεις.
Το AMP Threat Grid προσφέρεται ως μία τοπική, αυτόνομη
λύση ανάλυσης κακόβουλου λογισμικού και ως λύση SaaS
βασισμένη στο cloud που παρέχει ένα REST API για την αυτοματοποίηση
των δειγμάτων από ένα ευρύ φάσμα τεχνολογιών
στις οποίες έχετε ήδη επενδύσει, όπως μεταξύ άλλων:
• Firewalls και συσκευές Unified Threat Management (UTM)
από τις πιο δημοφιλείς εταιρείες στις οποίες συγκαταλέγεται
φυσικά η Cisco και τα ASA Firepower Next Generation
Firewalls
• Proxy servers
• Security Information and Event Management - SIEM λογισμικά
• Εργαλεία Governance Risk and Compliance - GRC και πολλά
άλλα
Το AMP Threat Grid έχει επίσης ενσωματωθεί στις λύσεις
Email και ασφάλειας Web της Cisco, παρέχοντας μεγαλύτερο
έλεγχο σε περισσότερα σημεία.
Καθεμία από αυτές τις λύσεις μειώνει το κόστος και την πολυπλοκότητα,
ενώ προσφέρει τη δυνατότητα αυτόματης ανάλυσης
ενός ευρέος φάσματος ύποπτων αρχείων, συμπεριλαμβανομένων
των εκτελέσιμων αρχείων, βιβλιοθηκών (DLLs),
Java, PDF, εγγράφων του MS Office, XML, Flash και των διευθύνσεων
URL. Τα περισσότερα αιτήματα αναλύονται κατά
μέσο όρο μέσα σε 7,5 λεπτά.
Το AMP Threat Grid όχι μόνο αναλύει ένα ευρύ φάσμα αντικειμένων
αλλά προσφέρει και δυνατότητες μεγάλης ανάλυσης σε
συνδυασμό με ισχυρό περιεχόμενο.
Με πάνω από 560 δείκτες συμπεριφοράς και μια βάση δεδομένων
κακόβουλου λογισμικού από όλο τον κόσμο, το AMP
Threat Grid παρέχει μεγαλύτερη ακρίβεια και πιο πλούσια σε
περιεχόμενο ανάλυση κακόβουλου λογισμικού.
Κάθε δείγμα λαμβάνει ένα βαθμό απειλής με βάση τη σοβαρότητα
και το επίπεδο εμπιστοσύνης. Ο βαθμός αυτός διευκολύνει
τους αναλυτές ασφαλείας στο να δώσουν προτεραιότητα
σε ενέργειες και να λάβουν καλύτερες αποφάσεις. Η απειλή
αξιολογείται με βάση ένα εύρος 0-100, με το 100 να χαρακτηρίζει
το λογισμικό ως κακόβουλο και τα υπόλοιπα νούμερα να
κυμαίνονται από ύποπτο έως μη επιβλαβές λογισμικό, διότι η
ερώτηση περί της ύπαρξης κακόβουλου λογισμικού ή όχι δεν
μπορεί να απαντηθεί με ένα απλό ναι ή ένα όχι.
Ένα ακόμη σημαντικό στοιχείο είναι ότι το ακόμα και τα πιο
εξελιγμένα environment-aware κακόβουλα λογισμικά δεν
μπορούν να αντιληφθούν την παρουσία του AMP Threat Grid
καθώς χρησιμοποιεί τεχνολογία outside-looking-in και επομένως
δεν μπορούν να διαφύγουν. Πρόκειται για ένα θεμελιώδη
τρόπο να σταθούμε στο ύψος των περιστάσεων όταν
δεχόμαστε απειλές από καλοπληρωμένους εισβολείς που
μαθαίνουν γρήγορα.
Όμως το Sandbox δεν είναι πανάκεια και για αυτό το Cisco
AMP Threat Grid διαθέτει εξελιγμένη δυνατότητα συνεχούς
ανάλυσης των δειγμάτων και αναδρομικής ασφάλειας. Προηγουμένως
άγνωστα αρχεία που αργότερα επιδεικνύουν κακόβουλη
συμπεριφορά τίθενται σε καραντίνα με την δυνατότητα
της συνεχούς ανάλυσης και η αναδρομική ασφάλεια συμβάλει
στον προσδιορισμό τους εύρους της παραβίασης και των βαθύτερων
αιτίων της και σας βοηθά να αναλάβετε δράση.
Η Cisco αναλύει εκατομμύρια δείγματα από κακόβουλα λογισμικά
και terabytes δεδομένων κάθε μέρα ώστε να διασφαλίζει
την πιο εξελιγμένη ευφυΐα του AMP. ITSecurity
security
27

T4608-10.2016
Issue
Killing Passwords: Strong
Authentication beyond the
Password Era
Με το ύψος των ηλεκτρονικών συναλλαγών να υπερβαίνει το ένα τρισεκατομμύριο δολάρια
ετησίως και την εμφάνιση του Διαδικτύου των Πραγμάτων (Internet of Things), η ανάγκη για
αξιόπιστους και φιλικούς προς τον χρήστη μηχανισμούς αυθεντικοποίησης είναι πιο επιτακτική
από ποτέ.
ήμερα, η πιστοποίηση της ταυτότητας των
Σ
χρηστών βασίζεται κατά κύριο λόγο στη χρήση
κωδικών πρόσβασης (passwords), μια τεχνολογία
που αναπτύχθηκε τη δεκαετία του ’60.
Χάρη στην απλότητα και την ευκολία χρήσης
τους, τα passwords συνεχίζουν να παραμένουν η πιο δημοφιλής
μέθοδος αυθεντικοποίησης, με το 98% των διαδικτυακών
υπηρεσιών να τη χρησιμοποιούν, αποκλειστικά, για
τον έλεγχο ταυτότητας. Πέρα, όμως, από εξαιρετικά δημοφιλής,
η μέθοδος αυτή είναι ιδιαίτερα ανασφαλής, αφού οι χρήστες
τείνουν να επιλέγουν ακατάλληλους κωδικούς πρόσβασης,
ευμνημόνευτους και συνεπώς, προβλέψιμους. Επιπλέον,
οι απαιτήσεις ασφάλειας κρίσιμων υπηρεσιών, όπως αυτών
της ηλεκτρονικής τραπεζικής (e-banking), υπερβαίνουν κατά
πολύ εκείνες που ικανοποιούνται από τη χρήση απλών συνθηματικών,
τα οποία μπορούν εύκολα να κλαπούν ή να παρακαμφθούν.
Τέλος, σύμφωνα με μελέτες, το 70% των χρηστών
ξεχνούν τον κωδικό τους μία φορά το μήνα, ενώ δοκιμάζουν,
κατά μέσο όρο, 2,4 κωδικούς πριν πληκτρολογήσουν το σωστό
για να συνδεθούν στην υπηρεσία επιλογής τους.
Τα ανωτέρω προβλήματα δημιούργησαν την ανάγκη για
νέους μηχανισμούς αυθεντικοποίησης, υψηλοτέρων
προδιαγραφών, που θα αξιοποιούν τις δυνατότητες των
υφιστάμενων τεχνολογιών και θα επιτυγχάνουν ισορροπία
28 security

Χρήστος Ξενάκης
Αναπληρωτής Καθηγητής
Τμήμα Ψηφιακών Συστημάτων, Πανεπιστήμιο Πειραιά
Ελένη Βερώνη
Research Associate
Τμήμα Ψηφιακών Συστημάτων, Πανεπιστήμιο Πειραιά
μεταξύ ασφάλειας και ευχρηστίας. Προς αυτή την κατεύθυνση,
πολλά πανεπιστήμια και εταιρείες εργάζονται από κοινού
για την ανεύρεση εναλλακτικών μεθόδων αυθεντικοποίησης
που θα αντικαταστήσουν τους κωδικούς πρόσβασης. Μια λύση
αποτελεί η αλλαγή της λογικής πάνω στην οποία βασίζεται
ο έλεγχος ταυτότητας ενός χρήστη, με την αντικατάσταση των
συνθηματικών που γνωρίζει ο χρήστης, από τα φυσικά χαρακτηριστικά
του, όπως το δακτυλικό αποτύπωμα, την ίριδα του
ματιού, την αναγνώριση προσώπου, κ.ά. Για την υιοθέτηση
των βιομετρικών, όπως ονομάζονται, χαρακτηριστικών, συνετέλεσε
καθοριστικά η εξέλιξη και εξάπλωση των έξυπνων
κινητών (smartphones), τα οποία διαθέτουν κατάλληλους αισθητήρες
για την καταγραφή αυτών, όπως το δακτυλικό αποτύπωμα
που χρησιμοποιείται πλέον σε εφαρμογές ηλεκτρονικής
τραπεζικής.
Εξέλιξη της βιομετρικής αυθεντικοποίησης, αποτελεί o έλεγχος
ταυτότητας με βάση τα βιομετρικά χαρακτηριστικά
συμπεριφοράς (behavioral biometrics). Ο τρόπος που
περπατάμε, κινούμαστε στην πόλη, μιλάμε ή πληκτρολογούμε
μας χαρακτηρίζει μοναδικά σε ικανοποιητικό βαθμό και, συνεπώς,
δύναται να χρησιμοποιηθεί αποδοτικά στο πλαίσιο αυθεντικοποίησης.
Χαρακτηριστικό παράδειγμα βιομετρικής αυθεντικοποίησης
συμπεριφοράς αποτελεί το Project Abacus
της Google που στοχεύει να εξαλείψει τα passwords από τις
συσκευές Android και να τα αντικαταστήσει με τον τρόπο που
οι χρήστες αλληλεπιδρούν με τα κινητά τους. To Abacus δημιούργησε
μια μέθοδο αυθεντικοποίησης όπου μέσα από μια
ποικιλία δεικτών μέτρησης συνθέτει μια βαθμολογία εμπιστοσύνης
(trust score) για το ξεκλείδωμα του κινητού και τη διαβαθμισμένη
πρόσβαση σε εφαρμογές, ανάλογα με την κρισιμότητά
τους και το επίπεδο ασφάλειας που απαιτούν. Το συγκεκριμένο
project είναι σήμερα σε πειραματικό στάδιο.
Παράλληλα με το Abacus, ένα Ευρωπαϊκό ερευνητικό πρόγραμμα
βρίσκεται σε εξέλιξη με σημαντική Ελληνική παρουσία,
στο οποίο συντονιστής είναι το Πανεπιστήμιο Πειραιώς
και συγκεκριμένα ο υπογράφων (Αναπλ. Καθηγητής κ. Χρήστος
Ξενάκης, Τμήμα Ψηφιακών Συστημάτων). Τίτλος του
έργου είναι «ReCRED: From Real-world Identities to
Privacy-preserving and Attribute-based CREDentials
for Device-centric Access Control», το οποίο χρηματοδοτείται
από το Πρόγραμμα Πλαίσιο Horizon 2020 της Ευρωπαϊκής
Ένωσης. Στο έργο συμμετέχουν συνολικά 12 φορείς,
πανεπιστήμια και εταιρείες όπως η Telefonica, Verizon,
Cyprus University of Technology, CNIT, Universidad Carlos
III de Madrid - IMDEA, UPCOM, EXUS, WEDIA, certSIGN, The
Productizers, και Baker & McKenzie, από 8 Ευρωπαϊκές χώρες.
Οι στόχοι του ReCRED έχουν αρκετές ομοιότητες με αυτούς
του Abacus, αλλά διαφοροποιούνται ως προς τον τρόπο
που συλλέγονται, συνδυάζονται και διατηρούνται τα βιομετρικά
χαρακτηριστικά των χρηστών. Πιο συγκεκριμένα, το
Abacus βασίζεται αποκλειστικά στις πλατφόρμες της Google,
η οποία έχει τον πλήρη και αποκλειστικό έλεγχο όλων των
δεδομένων αναγνώρισης και ταυτοποίησης των χρηστών.
Αντίθετα, το ReCRED σχεδιάζει και υλοποιεί μια ανοιχτή
πλατφόρμα διαχείρισης και πιστοποίησης χρηστών,
η οποία συλλέγει μόνο το αποτέλεσμα της βαθμολογίας
αυθεντικοποίησης και όχι τα «πρωτογενή» δεδομένα
βιομετρικής συμπεριφοράς.
Βασικές καινοτομίες και πλεονεκτήματα του ReCRED είναι
ότι:
α) αποτελεί σχεδιαστική επιλογή η προστασία της ιδιωτικότητας
του χρήστη με βάση το Ευρωπαϊκό πλαίσιο,
β) δημιουργείται μια ανοιχτή αρχιτεκτονική, η οποία θα μπορεί
να αναπτυχθεί και να χρησιμοποιηθεί από κάθε πάροχο
υπηρεσιών, δικτύου, κ.ά. και τέλος,
γ) δίνει τη δυνατότητα σε οργανισμούς που έχουν συνδρομητές
(π.χ. online portals, τράπεζες, κτλ.) να παρέχουν νέες
υπηρεσίες που σχετίζονται με την αναγνώριση, διαχείριση
και ταυτοποίηση χρηστών.
Το ReCRED μεταφέρει όλη την επιβάρυνση μιας διαδικασίας
αυθεντικοποίησης από τον χρήστη στην κινητή συσκευή του,
χρησιμοποιώντας στο έπακρο τις δυνατότητες που προσφέρουν
τα σύγχρονα τηλέφωνα. Έτσι, τα έξυπνα τηλέφωνα εξελίσσονται
σε φορείς αυθεντικοποίησης, όπου διαχειρίζονται
και αποθηκεύουν, με ασφάλεια, όλους τους λογαριασμούς
security
29

T4608-10.2016
Issue
του χρήστη καθώς και την πρόσβαση σε αυτούς, ακολουθώντας
σύγχρονα τεχνολογικά πρότυπα που χρησιμοποιούν την
ασύμμετρη κρυπτογράφηση (π.χ. FIDO Alliance). Ο χρήστης
πιστοποιείται στο κινητό του, τοπικά, χρησιμοποιώντας το δακτυλικό
του αποτύπωμα, την εικόνα του προσώπου του,
τον τρόπο βαδίσματος, την κίνησή του στην πόλη, τον
τρόπο που πληκτρολογεί στο κινητό του κ.ά., και το κινητό
μαζί με την πλατφόρμα ReCRED αναλαμβάνει να παρέχει
στον χρήστη την πρόσβαση στις υπηρεσίες που επιθυμεί (π.χ.
τραπεζικές εφαρμογές, κοινωνικά δίκτυα, κ.ά.). Σε περίπτωση
απώλειας ή κλοπής του κινητού τηλεφώνου, όλα τα ευαίσθητα
και προσωπικά δεδομένα του χρήστη βρίσκονται είτε
κρυπτογραφημένα στη συσκευή είτε σε ένα σημείο αυτής, το
οποίο δεν είναι προσπελάσιμο από τρίτους (ακόμα και όταν την
έχουν στην κατοχή τους), χρησιμοποιώντας μια νέα τεχνολογία
σε επίπεδο υλικού και λογισμικού που ονομάζεται Trusted
Execution Environment.
Εκτός από την εξέλιξη των έξυπνων κινητών τηλεφώνων σε
φορείς ταυτοποίησης και παροχής πρόσβασης, τα οποία «ανοίγουν»
για λογαριασμό του χρήστη όλες τις πόρτες στις οποίες
έχει τη δυνατότητα να εισέλθει στον ηλεκτρονικό κόσμο, το
ReCRED παρέχει δύο επιπλέον καινοτομίες:
α) την ολοκληρωμένη διαχείριση ηλεκτρονικών λογαριασμών
και ταυτοτήτων ενός χρήστη, και
β) την έκδοση ανώνυμων πιστοποιητικών που διασφαλίζουν
συγκεκριμένες ιδιότητες του χρήστη, εξασφαλίζοντας παράλληλα
την ανωνυμία του.
Σε ό,τι αφορά στην πρώτη, είναι γνωστό ότι η πλειοψηφία των
χρηστών του Διαδικτύου σήμερα διαθέτει πολλές εγγραφές σε
πλειάδα online εφαρμογών όπως λογαριασμούς email (π.χ.
Gmail, Yahoo, κτλ.), κοινωνικά δίκτυα (π.χ. Facebook, Twitter,
LinkedIn, κτλ.), τραπεζικές εφαρμογές, εταιρικές εφαρμογές
κ.ά. Το ReCRED δίνει τη δυνατότητα παροχής πρόσβασης σε
όλες αυτές τις εφαρμογές και διαχείρισης των λογαριασμών
τους από ένα μοναδικό σημείο, ανεξάρτητα από τον τρόπο
αναγνώρισης και πιστοποίησης που χρησιμοποιεί η κάθε μία,
κάνοντας χρήση ακόμα και του αριθμού του κινητού τηλεφώνου
του χρήστη. Έτσι, παρέχεται ευχρηστία και ευελιξία στους
χρήστες των υπηρεσιών, χωρίς, όμως, να παραβιάζεται ή να
υποβαθμίζεται κατ’ ελάχιστον το επίπεδο ασφάλειας και προστασίας
των ευαίσθητων δεδομένων που απαιτούνται. Ταυτόχρονα,
δίνεται η δυνατότητα σε χρήστες που το επιθυμούν να
συνδέσουν την ηλεκτρονική τους με την φυσική τους ταυτότητα,
προκειμένου να εκτελέσουν αγοραπωλησίες μέσα από
ηλεκτρονικές πλατφόρμες όπως το eBay.
Τα ανώνυμα πιστοποιητικά από την άλλη πλευρά, δύναται να
δηλώσουν με επαληθεύσιμο τρόπο κάθε ιδιότητα που επιθυμεί
ένας χρήστης (π.χ. φύλο, ενήλικας, φοιτητής, συνταξιούχος,
κ.ά.), χωρίς την αποκάλυψη κανενός άλλου προσωπικού
ή ευαίσθητου στοιχείου της ταυτότητάς του. Εκδίδονται από
έμπιστες αρχές που έχουν στην κατοχή τους τέτοια στοιχεία
(π.χ. δημόσιες υπηρεσίες, τηλεπικοινωνιακούς παρόχους,
τραπεζικά ιδρύματα, πλατφόρμα ReCRED, κ.ά.) και υποβάλλονται
κρυπτογραφημένα από τους χρήστες μέσω των κινητών
τηλεφώνων σε online υπηρεσίες, και όχι μόνο, που απαιτούν
συγκεκριμένες ιδιότητες όπως την έκδοση εκπτωτικών εισιτηρίων,
την παροχή κοινωνικών επιδομάτων κλπ. Με τον τρόπο
αυτό εξασφαλίζεται, αποδεδειγμένα, η απόλυτη ανωνυμία
και προστασία των προσωπικών - ευαίσθητων δεδομένων για
τους χρήστες, αλλά ταυτόχρονα, και η τήρηση των κανόνων
με αδιαμφισβήτητο τρόπο.
Το ερευνητικό έργο ReCRED αναμένεται να ολοκληρωθεί τον
Απρίλιο του 2018, αλλά από το καλοκαίρι του 2017 θα ξεκινήσουν
μεγάλης κλίμακας πιλοτικές δοκιμές. Για περισσότερες
πληροφορίες επισκεφτείτε τον ιστότοπο www.recred.eu
ή αποστείλατε μήνυμα στο xenakis@unipi.gr.
30 security

T4608-10.2016
Issue
Η άνοδος και ο
κίνδυνος του BYOD
Η τάση του“Bring Your Own Device” (BYOD) δεν είναι
πλέον ένα καινούριο δεδομένο. Αποτελεί τη λογική πολλών
εταιρειών. Η δυνατότητα να μπορεί κάποιος να δουλέψει
μέσω της προσωπικής του συσκευής στο χώρο εργασίας,
έχει ως αποτέλεσμα την αυξημένη παραγωγικότητα και
ευελιξία, αλλά ταυτόχρονα αυξάνει τους κινδύνους για τα
δεδομένα της εταιρείας.
A
ντί να ανταποκριθούν σε αυτούς τους κινδύνους με όλο και μεγαλύτερους
περιορισμούς και πολιτικές, οι IT managers θα πρέπει
να εξετάσουν την αναγνώριση των κινδύνων αυτών και να
προσεγγίσουν το BYOD με τις σωστές λύσεις.
• Συμπεριλάβετε το endpoint backup στο συνολικό σχέδιο δημιουργίας
αντιγράφων ασφαλείας, υιοθετώντας μια εφεδρική λύση που προστατεύει
τα δεδομένα των endpoints, συμπεριλαμβανομένων των smartphones και
tablets.
• Εισάγετε μία στρατηγική πρόληψης απώλειας δεδομένων (DLP=Data
Loss Prevention), συμπεριλαμβάνοντας την κρυπτογράφηση και τη δυνατότητα
απομακρυσμένης απαλοιφής δεδομένων.
• Αναπτύξτε ένα backup και μία πολιτική απομακρυσμένης απαλοιφής
δεδομένων για να διασφαλιστεί η προστασία τους, διατηρώντας παράλληλα
την προστασία της ιδιωτικής ζωής των χρηστών.
Έχοντας γνώση των κινδύνων και χρησιμοποιώντας τις σωστές λύσεις,
εξασφαλίζετε την παραγωγικότητα και εξαλείφετε την πιθανότητα απώλειας
δεδομένων ή παραβίασης τους, λειτουργώντας παράλληλα με μία πολιτική
BYOD που συμβαδίζει με τον ρυθμό αλλαγής της τεχνολογίας.
To inSync της Druva παρέχει μία ενιαία κονσόλα διαχείρισης διαθεσιμότητας
των δεδομένων σε endpoints και cloud εφαρμογές, δίνοντας τη δυνατότητα
στις επιχειρήσεις να ελαχιστοποιήσουν τους κινδύνους ενώ παράλληλα
δεν επηρεάζεται η παραγωγικότητα των υπαλλήλων.
Για περισσότερες πληροφορίες παρακαλώ όπως επισκεφθείτε το link
www.orthology.gr/Product/inSync/Druva
security
31

T4608-10.2016
Issue
Μια νύχτα στο αεροδρόμιο!
Μan-in-the-middle (MITM) επίθεση στην
πράξη
Μετά από μια εξαήμερη περιπλάνηση στη βρετανική εξοχή με τραίνο, για λογαριασμό ενός
Hackathon event που διοργάνωνε το Υπουργείο Μεταφορών της Ηνωμένου Βασιλείου, πέρασα
την τελευταία μου μέρα περπατώντας στους κρύους δρόμους του Λονδίνου, κατευθυνόμενος
στον τελικό μου προορισμό, το αεροδρόμιο Heathrow, για να επιστρέψω στη χώρα μου.
ταν έφθασα σε ένα από τα πιο πολυσύχναστα
αεροδρόμια στην Ευρώπη, το μυαλό μου
Ό
ήταν σε σύγχυση για διάφορες ιδέες που βρίσκονταν
σε εμβρυακό στάδιο, αλλά έπρεπε
να γίνουν πράξη τις επόμενες μέρες. Ήταν η
στιγμή που παρατήρησα στον πίνακα ανακοινώσεων του αεροδρομίου
ότι η πτήση μου επρόκειτο να καθυστερήσει τέσσερις
ώρες, λόγω ομίχλης στον αεροδιάδρομο. Η πρώτη σκέψη
που μου ήρθε στο μυαλό ήταν: «Τι θα μπορούσα να κάνω εδώ
για τέσσερις ώρες;». Κατευθύνθηκα, λοιπόν, προς την αίθουσα
αναμονής, μαζί με δεκάδες άλλους επιβάτες, καθώς σχεδόν
όλα τα καταστήματα και τα εστιατόρια στην αίθουσα αναχωρήσεων
είχαν κλείσει. Ήταν 10.30 το βράδυ.
Για να περάσω το χρόνο μου, εγώ, όπως και πολλοί άλλοι,
προτιμήσαμε να σερφάρουμε στο internet. Ρώτησα ένα συνεπιβάτη
που καθόταν απέναντι από μένα, «βυθισμένος» στην
οθόνη του laptop του, αν το δωρεάν Wi-Fi ήταν γρήγορο. Εκείνος
απάντησε με βαριά βρετανική προφορά: «Να το θέσω έτσι:
δε θα πρέπει να βασίζεσαι σε αυτό, αν ήθελες να κάνεις σοβαρή
δουλειά». Παρ’ όλα αυτά, ποιος θα πλήρωνε για Premium
internet, όταν υπάρχει το δωρεάν; σκέφτηκα.
Έτσι ξαφνικά, μου ήρθε μια ιδέα! Θα μπορούσα να παρατηρήσω,
μέσα από ένα μικρό πείραμα, πόσοι ταξιδιώτες θα ήταν
διατεθειμένοι να πληρώσουν premium Wi-Fi και πόσο ασφα-
32 security

Φώτης Σωφρόνης
Senior Cyber Security Consultant at EY
λές θα ήταν αυτό σε ένα δημόσιο χώρο, όπως αυτός του αεροδρομίου.
Ο πιο σύντομος δρόμος για να κάνω αυτό το
πείραμα ήταν με τη μέθοδο MITM (man-in-the-middleattack).
Ανταλλαγή ευαίσθητων πληροφοριών, αριθμοί πιστωτικών
καρτών, εμπιστευτικά έγγραφα ενδεχομένως. Όλα
φαίνονται τόσο ενδιαφέροντα.
Ο συγκεκριμένος τύπος επίθεσης, MITM, έχει σκοπό ο «επιτιθέμενος»
να μεσολαβήσει κρυφά στην επικοινωνία
μεταξύ των δύο μερών (παροχής internet και χρήστη). Η
επικοινωνία μεταβάλλεται και δίνεται η δυνατότητα στον επιτιθέμενο
να υποκλέψει την πληροφορία. Βασιζόμενος στις αρχές
τις μεθόδου αυτής, σκοπός μου ήταν να μεσολαβήσω στην
επικοινωνία όσων επιθυμούσαν να συνδεθούν στο Wi-Fi του
αεροδρομίου και, κυρίως, αυτών που θα χρησιμοποιούσαν
την premium επιλογή internet.
Χρησιμοποίησα το κινητό μου ως ανεξάρτητο hot spot σύνδεσης
και μετονόμασα το SSID σε αυτό του αεροδρομίου, ώστε
το ανυποψίαστο θύμα να πιστεύει ότι συνδέεται άμεσα μέσω
μίας ιδιωτικής και ασφαλούς σύνδεσης, όταν στην πραγματικότητα
ολόκληρη η συνομιλία ελέγχεται από τον εισβολέα.
Πρωτίστως, φρόντισα να χρησιμοποιήσω ένα freeware tool
για να κλωνοποιήσω την ιστοσελίδα του αεροδρομίου και το
welcome page "Πρόσβαση στο Internet". Αλλάζοντας μερικές
από τις προσφορές στην οθόνη υποδοχής της σελίδας, όπως,
παραδείγματος χάριν, μείωση της τιμής του Premium internet
από 8 λίρες σε 4, αυξάνοντας τον ελεύθερο χρόνο στο internet
από 2 ώρες έως 4 ώρες, ώστε να προσελκύσω περισσότερα
θύματα, αποτέλεσαν το τέλειο δόλωμα για τους ταλαιπωρημένους
ταξιδιώτες του αεροδρομίου που ήθελαν μια αξιοπρεπή
σύνδεση στο internet. Τέλος, έπρεπε να τροποποιήσω και να
φτιάξω μια φόρμα ολοκλήρωσης πληρωμής, επιτρέποντας
στα πιθανά θύματα να επεξεργάζονται εύκολα τις πιστωτικές
τους κάρτες για να αγοράζουν premium internet.
Χρησιμοποιώντας απλά το τηλέφωνό μου ως hot-spot και
χρεώνοντας στο λογαριασμό μου roaming data, οι ανυποψίαστοι
άρχισαν ήδη να συνδέονται.
Μετά από μία ώρα σχεδόν, είχα την πρώτη μου επίσκεψη πρόθυμου
ταξιδιώτη να πληρώσει για premium δίκτυο Wi-Fi, και,
τόσο απλά, είχα σε την πρώτη υποκλοπή πιστωτικής κάρτας
μαζί με κάποιες χρήσιμες προσωπικές πληροφορίες του θύματος.
Αυτό το ψεύτικο, ιδιωτικό hot-spot που εξέπεμπε
για τουλάχιστον 2 ώρες συγκέντρωσε περίπου 18
πιστωτικές κάρτες από ανυποψίαστους ταξιδιώτες. Και
αυτό ήταν. Έριξα τη σύνδεση και διέγραψα οποιαδήποτε στοιχεία
ενοχοποιούσαν τον υπολογιστή μου.
Η απειλή είναι υπαρκτή
Είναι τρομακτικό το πόσο εύκολα, στη σύγχρονη εποχή των
γρήγορων ταχυτήτων του διαδικτύου και του Internet of
Things, θα μπορούσε κάποιος να υποκλέψει τον αριθμό πιστωτικής
κάρτας σε απλό κείμενο, έτοιμο για οποιαδήποτε
πληρωμή στο διαδίκτυο ή ακόμα και να το πουλήσει στο
deep web. Ένας αυτοαποκαλούμενος χάκερ, που συνδέεται
με τους Anonymous έγραφε σε ένα τυχαίο site του darknet:
«Είναι απλούστερη και ταχύτερη η διαδικασία να αγοράσει κάποιος
αριθμούς πιστωτικών καρτών από κακοποιούς, οι οποίοι
υποκλέπτουν υπολογιστές, έχουν συστήσει ψεύτικα ηλεκτρονικά
καταστήματα που πωλούν ανύπαρκτα προϊόντα σε τιμές ευκαιρίας,
να "σαρώσει" αριθμούς από ΑΤΜ, από το να "κλέψει" ένα
ανυποψίαστο θύμα σε ένα εστιατόριο.»
Φανταστείτε τώρα, πως ένας «επιτιθέμενος» θα μπορούσε
με στωικότητα, αφιερώνοντας χρόνο, να παρακολουθεί κάθε
σας δραστηριότητα στο internet, υποκλέπτοντας τα πακέτα της
σύνδεσης σας, ώστε να μελετήσει το profile σας. Βρίσκοντας
στοιχεία για εσάς από το Web (social media sites, web-mails),
κωδικούς για να έχει πρόσβαση σε sites που έχετε account, θα
μπορούσε κάλλιστα να «αντιγράψει» την ηλεκτρονική
σας ταυτότητα. Κάτι τέτοιο θα μπορούσε να συνεπάγε-
security
33

T4608-10.2016
Issue
ται ανεπανόρθωτη καταστροφή των ηλεκτρονικών σας
αρχείων στο cloud, στην εταιρεία στην οποία εργάζεστε -σε
περίπτωση υποκλοπής τους εταιρικού σας account- καθώς,
επίσης, και την «ηλεκτρονικής σας φήμη», δηλαδή το αποκαλούμενο
social media crisis για έναν απλό χρήστη.
Μία μεγαλύτερης κλίμακα επίθεση συντελέστηκε πέρυσι τον
Ιανουάριο στην Κίνα, όταν χάκερ ξεκίνησαν ένα μαζικό κύμα
man-in-the-middle (MITM) επίθεσης, στοχεύοντας στους χρήστες
του Microsoft Outlook, ικανό να κλέβει e-mail, επαφές και
τους κωδικούς πρόσβασης στη χώρα. «Οι χρήστες έβλεπαν μόνο
μια αυτόματη προειδοποίηση pop-up όταν προσπαθούσαν να
ανακτήσουν αυτόματα μηνύματα. Οι χρήστες δεν ήταν σε θέση
να αξιοποιήσουν το μήνυμα, επιλέγοντας το κουμπί 'Συνέχεια'
και αγνοώντας το προειδοποιητικό μήνυμα» εξήγησε Σύμβουλος
εταιρείας που ασχολείται με το Cyber Security.
Τι πρέπει να προσέχουμε
Είναι σημαντικό να θυμόμαστε πόσο εύκολα μπορεί κάποιος
να δημιουργήσει ένα πλαστό hot-spot και να αποκτήσει πρόσβαση
σε ευαίσθητες πληροφορίες. Πρέπει να ληφθούν μέτρα,
ώστε να αποφεύγετε η χρήση Wi-Fi στο τηλέφωνο, στο tablet
ή στον υπολογιστή σας για να ελέγξετε το email σας, το υπόλοιπο
του τραπεζικού λογαριασμού σας, ή οποιαδήποτε άλλη
ιστοσελίδα που περιέχει ή απαιτεί τα προσωπικά σας δεδομένα.
Στις περισσότερες περιπτώσεις, η χρήση ενός οποιουδήποτε
εγκεκριμένου λογισμικού ασφάλειας στο Διαδίκτυο, θα
μπορούσε να σας σώσει από πολλά προβλήματα, όμως αυτή
η περίπτωση είναι λίγο διαφορετική.
Πώς όμως ένας τελικός χρήστης μπορεί να το αποτρέψει
αυτό;
• Θα μπορούσε πολύ απλά να δει το πιστοποιητικό που προβλέπεται
από το πρόγραμμα περιήγησης στο διαδίκτυο πριν
από τη δημιουργία σύνδεσης και κάνοντας κλικ στο «όχι»
αντί για το «ναι», θα είχε αποτρέψει ένα τέτοιο ενδεχόμενο.
• Πάρτε το χρόνο σας για να διαβάσετε και να κατανοήσετε όλα
τα μηνύματα ασφαλείας που λαμβάνετε. Μην πατάτε μόνο
τυχαία κλικ στο «ναι» λόγω ευκολίας.
• Προσπαθήστε να χρησιμοποιείτε πάντα την κρυπτογραφημένη
έκδοση των ιστοσελίδων (δηλαδή, βεβαιωθείτε ότι η
διεύθυνση URL αρχίζει με HTTPS). Ένας τρόπος για να γίνει
αυτό είναι να εγκαταστήσετε ένα plugin πρόγραμμα περιήγησης
όπως το "HTTPS Everywhere", το οποίο αναζητά HTTPS
συνδέσεις σε οποιαδήποτε ιστοσελίδα που επισκέπτεστε και
προσπαθεί να την επιβάλει σε όλους τους χρόνους και Open
sessions κατά την περιήγησή σας στο διαδίκτυο.
Πώς μια εταιρεία μπορεί να αποτρέψει αυτό;
• Εκπαιδεύστε τον τελικό χρήστη, ώστε να γνωρίζει την προειδοποίηση
ασφάλειας και πώς να αντιδράσει σε πιθανή
επίθεση.
• Χρησιμοποιήστε One Time Passwords, όπως RSA Tokens,
για να αποτραπεί η επαναχρησιμοποίηση τους.
• Χρησιμοποιήστε ένα VPN, δημιουργώντας μια κρυπτογραφημένη
σύνδεση μεταξύ του υπολογιστή σας και ενός τρίτου,
εμποδίζοντας την παρακολούθηση και την υποκλοπή
των πληροφοριών.
Κύριος σκοπός αυτού του εγχειρήματος είναι περισσότερο να
εκπαιδεύσει και να γνωστοποιήσει στους χρήστες αυτού
του τύπου επιθέσεις (man-in-the-middle ή evil twin),
η οποία είναι σχετικά εύκολή και δελεαστική από κακόβουλους
χρήστες σε ένα public Wi-Fi περιβάλλον. Θα μπορούσε,
επίσης, εύκολα κάτι τέτοιο να συμβεί και σε ένα δίκτυο Wi-Fi
στο σπίτι, αν αυτό το δίκτυο δεν έχει ρυθμιστεί σωστά και επιτρέπει
σε ένα χάκερ να συνδεθεί στο οικιακό σας δίκτυο. Ένας
μέσος εκπαιδευμένος χρήστης θα εφαρμόσει ορθές πρακτικές
ασφάλειας και εταιρικά προϊόντα που προστατεύουν τα πολύτιμα
δεδομένα του.
Προς τέρψη της περιέργειας των ενδιαφερομένων, τα ευαίσθητα
δεδομένα των ανυποψίαστων ταξιδιωτών απλώς σας καθησυχάζω
ότι διαγράφηκαν. Μου ήταν αδύνατο να «εκμεταλλευτώ»
έναν ταλαιπωρημένο ταξιδιώτη που ήδη περίμενε στο τέσσερις
ώρες για την πτήση του. ITSecurity
34 security

T4608-10.2016
Issue
IT Compliance - Ανάλυση και
υλοποίηση της Συμμόρφωσης
Πληροφορικής στις εταιρείες
Ο κύριος σκοπός της εταιρικής συμμόρφωσης (corporate compliance) είναι να επιβεβαιώσει
ότι η εταιρεία αποφεύγει τις παραβιάσεις της νομοθεσίας (αστικής, ποινικής), των κανονιστικών
διατάξεων ρυθμιστικών αρχών, των συμβατικών υποχρεώσεων, καθώς και των απαιτήσεων
ίναι γεγονός ότι στην πληροφορική, και με δεδομένη
την τεχνολογική πολυπλοκότητα και
E
τους διάφορους νόμους και διατάξεις, απαιτούνται
συγκεκριμένα μέτρα συμμόρφωσης.
Αυτά τα μέτρα εταιρικής συμμόρφωσης θα
προστατεύσουν την εταιρεία σας από τα πρόστιμα που θα επιβληθούν
από τις παραβιάσεις νόμων και διατάξεων πληροφορικής
(όπως του νόμου περί προστασίας προσωπικών δεδομένων,
κ.λπ.), και από τα προβλήματα δυσφήμησης, πτώσης
εργασιών, δυσκολίας πρόσληψης στελεχών, κ.λπ.
Τι είναι εταιρική συμμόρφωση και που χρειάζεται
Σε γενικές γραμμές, ‘συμμόρφωση’ σημαίνει συμφωνία με
κανόνες, όπως προδιαγραφές, πολιτικές, διαδικασίες, ηθική,
πρότυπα ή νομικές διατάξεις. Στο πλαίσιο επιχειρήσεων
και οργανισμών, ‘εταιρική συμμόρφωση’ περιλαμβάνει την
τήρηση των νομικών και επιχειρησιακών διατάξεων σχετικά
με τη νόμιμη, ηθική και υπεύθυνη συμπεριφορά από την ηγεσία,
τη διοίκηση, τα εποπτικά όργανα, και τους εργαζόμενους
της εταιρείας.
Τα μέτρα εταιρικής συμμόρφωσης προστατεύουν την εταιρία
σας από τις νομικές και κανονιστικές παραβάσεις με τον πιο
δυνατό τρόπο. Ο κύριος σκοπός της εταιρικής συμμόρφωσης
(corporate compliance) είναι να επιβεβαιώσει ότι η εταιρεία
αποφεύγει τις παραβιάσεις της νομοθεσίας (αστικής, ποινικής),
των κανονιστικών διατάξεων ρυθμιστικών αρχών, των συμβατικών
υποχρεώσεων, καθώς και των απαιτήσεων ποιότητας,
υγιεινής της εργασίας, ασφάλειας, κ.λπ.
Τα μέτρα εταιρικής συμμόρφωσης που αναφέρονται στα θέματα
πληροφορικής περιγράφονται σε 3 φάσεις στη συνέχεια:
36 security

Του Ιωάννη Κυριαζόγλου *
Φάση Α: Ανάλυση και Σχεδιασμός
Δραστηριοτήτων Συμμόρφωσης
Δράση 1: Ανάλυση εταιρικής συμμόρφωσης
1. Πραγματοποιείστε μια ανάλυση του τοπίου κανονιστικής
συμμόρφωσης της εταιρείας σας και κατανοήστε τους νόμους
και κανονισμούς που αφορούν την πλήρη λειτουργία
της επιχείρησής σας σε όλες τις χώρες που αυτή δραστηριοποιείται.
2. Δώστε ιδιαίτερη προσοχή στους νόμους και τους κανονισμούς
που σχετίζονται με την επιχειρηματική δραστηριότητα
σας στις ΗΠΑ και την Ευρώπη:
2.1. Νόμοι των ΗΠΑ: GLBA, FCRA, HIPAA, Sarbanes-
Oxley, κανόνας ασφαλείας 17-α 4 του χρηματιστηρίου
της Νέας Υόρκης
2.2. Κανόνες Διεθνούς Τράπεζας (BIS / ΒΑΣΙΛΕΙΑ 2/3)
2.3. Πρότυπο ασφαλείας δεδομένων πιστωτικών καρτών
(PCI-DSS Πρότυπο)
2.4. Διεθνείς κανονισμοί για τα πνευματικά δικαιώματα και
τα διπλώματα ευρεσιτεχνίας
2.5. Νομοθεσία της Ευρωπαϊκής Ένωσης (Οδηγία 2006/46/
EC5 της Ευρωπαϊκής Ένωσης)
2.6. Οδηγίες και κανόνες συμμόρφωσης του Ελληνικού
κράτους σε θέματα εταιρικής διακυβέρνησης (Νόμος
3016/20023, Νόμος 3693/20084, Νόμος 3884/2010, Νόμος
3873/2010, Νόμος 2190/19206), φορολογικά, ασφαλιστικά,
λογιστικής απεικόνισης και αναφορών, τελωνειακά,
εργασιακά, αστικού και ποινικού κώδικα, κ.λπ.
2.7. Κανονισμοί της Τράπεζα της Ελλάδας, κ.λπ.
3. Συλλέξτε όλα τα στοιχεία που σας αφορούν.
Δράση 2: Ανάλυση συμμόρφωσης της πληροφορικής
1. Εκτός από τα παραπάνω, θα πρέπει επίσης να κάνετε το ίδιο
(διεξαγωγή της ανάλυσης) για τις οδηγίες, τους νόμους και
τους κανονισμούς που διέπουν και επηρεάζουν το περιβάλλον
πληροφορικής και επικοινωνιών (ITC) στις τοπικές και
διεθνείς αγορές που δραστηριοποιείται η εταιρεία σας.
2. Δώστε ιδιαίτερη έμφαση, για παράδειγμα, στο τι διέπει τις
υπηρεσίες ηλεκτρονικού εμπορίου (e-commerce), τις ψηφιακές
συσκευές, τις υπηρεσίες κοινωνικής δικτύωσης, τα
συστήματα και υπηρεσίες πληροφορικής σας, και ότι γενικά
έχει σχέση με το τι προσφέρετε που έχει σχέση με την
πληροφορική και τις επικοινωνίες (όπως πληροφορίες,
δεδομένα, προϊόντα και υπηρεσίες) στην τοπική και διεθνή
αγορά. Πρέπει να προσέξετε για παράδειγμα:
2.1. Το νόμο περί προστασίας προσωπικών δεδομένων (ν.
2472/97 και ν. 2774/99, 3471/2006) 2.2. Τις οδηγίες
της Τράπεζας της Ελλάδος (ΠΡΑΞΗ ΔΙΟΙΚΗΤΗ ΑΡΙΘ.
2563/19.7.2005, 1. Ενημερωτικά στοιχεία για τον έλεγχο
των συστημάτων πληροφορικής και 2. Ενημερωτικά
στοιχεία για τη λειτουργία των συστημάτων πληροφορικής)
2.3. Τις οδηγίες της Αρχής Διασφάλισης του Απορρήτου
των Επικοινωνιών
2.4. Το άρθρο 66 του νόμου 2121/93
2.5. Το άρθρο 370 του Ποινικού Κώδικα, κ.λπ.
2.6. Τις οδηγίες του Ευρωπαίου Επόπτης Προστασίας Δεδομένων
2.7. Την Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου
και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την
προστασία των φυσικών προσώπων έναντι της επεξεργασίας
δεδομένων προσωπικού χαρακτήρα και για
την ελεύθερη κυκλοφορία των δεδομένων αυτών
(Κανονισμός (ΕΚ) αριθ. 1882/2003), κ.λπ.
2.8. Την οδηγία του Ευρωπαϊκού Κοινοβουλίου και του
Συμβουλίου περί αποκομιδής προϊόντων ηλεκτρονικού
εξοπλισμού (της 27ης Ιανουαρίου 2003) σχετικά
με τα απόβλητα ειδών ηλεκτρικού και ηλεκτρονικού
εξοπλισμού και τα προϊόντα και επιμέρους εξαρτήματα
αυτών μετά τη χρήση ή την απαξίωση τους (δεν πρέπει
να πετιούνται στα σκουπίδια με τα άλλα οικιακά απορρίμματα,
αλλά να επιστρέφονται στο σημείο πώλησης
ή σε κατάλληλο σημείο ανακύκλωσης ηλεκτρικού και
ηλεκτρονικού εξοπλισμού). Περισσότερες λεπτομέρειες
περιέχονται στα εξής:
2.8.1. ΟΔΗΓΊΑ 2011/65/ΕΕ ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟ-
ΒΟΥΛΊΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ της 8ης Ιουνίου
2011 για τον περιορισμό της χρήσης ορισμένων
επικίνδυνων ουσιών σε ηλεκτρικό και ηλεκτρονικό
εξοπλισμό (http://eur-lex.europa.
eu/legal-content/EL/TXT/HTML/?uri=CELE
X:32011L0065&from=EN).
2.8.2. ΟΔΗΓΊΑ 2012/19/ΕΕ ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟ-
ΒΟΥΛΊΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ της 4ης Ιουλίου
2012 σχετικά με τα απόβλητα ηλεκτρικού και
ηλεκτρονικού εξοπλισμού (ΑΗΗΕ) (http://eurlex.europa.eu/legal-content/EL/TXT/HTML/
?uri=CELEX:32012L0019&from=EN).
* Ο Ιωάννης Κυριαζόγλου είναι σύμβουλος επιχειρήσεων
και συγγραφέας των βιβλίων: ‘Ασφάλεια Πληροφορικής’
(https://www.scribd.com/doc/294713875/IT-
Security-Book-Greek-Version), ‘IT Strategic & Operational
Controls’ και ‘Business Management Controls: A Guide’
(http://www.itgovernance.co.uk).
security
37

T4608-10.2016
Issue
Δράση 7: Έγκριση του Διοικητικού Συμβουλίου. Υποβάλλετε
την έκθεση σας στο διοικητικό συμβούλιο της εταιρείας
σας με την ανάλυση των στοιχείων που περιλαμβάνει και έναν
προϋπολογισμό για τη διαδικασία συμμόρφωσης, για να λάβετε
την έγκριση και τα κονδύλια που απαιτούνται για την περαιτέρω
ανάπτυξη και τη λειτουργία ενός προγράμματος συμμόρφωσης
για την εταιρεία και την πληροφορική.
Δράση 8: Υπεύθυνος Κανονιστικής Συμμόρφωσης. Σχεδιάστε
και θεσπίστε τα καθήκοντα, τις αρμοδιότητες και το ρόλο
του Υπευθύνου Κανονιστικής Συμμόρφωσης (Compliance
Officer) και διορίστε ένα πρόσωπο για την εκτέλεση όλων των
καθηκόντων της συμμόρφωσης. Επιπλέον, αναθέστε σε ένα
άτομο να είναι υπεύθυνο, εάν χρειάζεται, για κάθε ρυθμιστική
ή νομική απαίτηση συμμόρφωσης.
3. Συλλέξτε όλα τα στοιχεία που σας αφορούν.
Δράση 3: Εσωτερικοί κανόνες. Συλλέξτε όλους τους εσωτερικούς
κανόνες, πολιτικές, κανονισμούς και πρότυπα συμμόρφωσης
που αφορούν την επιχείρησή σας και για όλες τις λειτουργίες
της, συμπεριλαμβανομένης και της πληροφορικής.
Δράση 4: Σχεδιασμός εγχειριδίου συμμόρφωσης
1. Σχεδιάστε τις διαδικασίες για την δημιουργία και λειτουργία
ενός εγχειρίδιου συμμόρφωσης (Compliance manual) για
να διατηρήσετε όλους τους εξωτερικούς και εσωτερικούς
κανόνες, οδηγίες, κανονισμούς και πρότυπα συμμόρφωσης
που αφορούν την επιχείρησή σας και όλες τις λειτουργίες
της, συμπεριλαμβανομένης και της πληροφορικής (από τις
προηγούμενες δράσεις).
2. Σχεδιάστε μια βάση δεδομένων ή αποκτήστε ένα μηχανογραφημένο
σύστημα για την αποθήκευση και τη διατήρηση
όλων αυτών των κανόνων συμμόρφωσης.
Δράση 5: Πόροι. Ορίστε τα συστατικά στοιχεία που απαιτούνται
από την εταιρεία σας από την άποψη των οικονομικών πόρων,
ανθρώπων, δομών διαχείρισης, πολιτικών, συστημάτων,
διαδικασιών, τεκμηρίωσης, εγκαταστάσεων, τεχνικών, μεθόδων
και εργαλείων που πρέπει να αξιοποιηθούν αποτελεσματικά
για την εκτέλεση και εφαρμογή του συνόλου των επιχειρησιακών
και πληροφορικών μέτρων συμμόρφωσης.
Δράση 6: Ευαισθητοποίηση. Αναλύστε τις πτυχές της επικοινωνίας,
της κατάρτισης και της ετοιμότητα της εταιρείας σας
όσον αφορά τη συμμόρφωση.
Δράση 9: Πολιτικές Συμμόρφωσης Πληροφορικής. Καθιερώστε
τις πολιτικές που σχετίζονται με τη συμμόρφωση της
πληροφορικής (IT compliance), για την προστασία των δεδομένων,
το απόρρητο των δεδομένων, κ.λπ. Ένα ενδεικτικό σύνολο
πολιτικών είναι:
1. Πολιτική Προστασίας Προσωπικών Δεδομένων,
2. Πολιτική Κανονιστικής Συμμόρφωσης,
3. Πολιτική Διαβάθμισης Πληροφοριών,
4. Οδηγίες για την ασφάλεια και διαφύλαξη εμπιστευτικών
πληροφοριών,
5. Κανόνες Ασφάλειας Πληροφοριακών Συστημάτων και
6. Πολιτική Απόσυρσης Πληροφοριακών Αγαθών.
Δράση 10: Σύστημα Συμμόρφωσης
1. Δημιουργήστε και καθιερώστε ένα σύστημα συμμόρφωσης
που περιλαμβάνει το εγχειρίδιο συμμόρφωσης (Compliance
manual), που έχετε σχεδιάσει στην Δράση 4, και όλους τους
εξωτερικούς και εσωτερικούς κανόνες, οδηγίες, κανονισμούς
και πρότυπα συμμόρφωσης που αφορούν την επιχείρησή
σας και όλες τις λειτουργίες της, συμπεριλαμβανομένης
και της πληροφορικής (από τις προηγούμενες δράσεις).
2. Κρατήστε αυτό το σύστημα ενήμερο ανά πάσα στιγμή.
3. Προσθέστε στοιχεία στην βάση δεδομένων), που έχετε σχεδιάσει
στην Δράση 4, ή φορτώστε τα απαραίτητα στοιχεία
στο μηχανογραφημένο σύστημα (που έχετε σχεδιάσει στην
Δράση 4) για την αποθήκευση και τη διατήρηση όλων αυτών
των κανόνων συμμόρφωσης.
4. Το σύστημα αυτό διατηρείται κανονικά και διαχειρίζεται
από τον υπεύθυνο συμμόρφωσης, και θα περιλαμβάνει,
για παράδειγμα:
(1) Αντίγραφα όλων των εθνικών νόμων, νομικά και βιο-
38 security

IT Compliance - Ανάλυση και υλοποίηση της Συμμόρφωσης Πληροφορικής στις εταιρείες
μηχανικά κανονισμούς και αποφάσεις σχετικά με τη συμμόρφωση,
(2) Αντίγραφα όλων των σχετικών εταιρικών πολιτικών και
διαδικασιών συμμόρφωσης, όπως: τον Κώδικα Δεοντολογίας,
τις οδηγίες συμμόρφωσης προς τους εργαζομένους,
τις δηλώσεις σύγκρουσης ενδιαφέροντος, τις δηλώσεις κανονιστικής
συμμόρφωσης, το πρόγραμμα συμμόρφωσης,
την τεκμηρίωση της διαδικασίας συμμόρφωσης της οργάνωσης
που καταδεικνύει την ακεραιότητα και την αποτελεσματικότητά
της, κ.λπ.,
(3) Τις επικοινωνίες, όπως αλληλογραφία, μηνύματα φαξ,
μηνύματα ηλεκτρονικού ταχυδρομείου, τα πρακτικά του
διοικητικού συμβουλίου σχετικά με θέματα συμμόρφωσης,
κ.λπ.,
(4) Τις ενέργειες συμμόρφωσης που σχετίζονται με την εκπαίδευση,
την κατάρτιση, τα περιστατικά και τις ενέργειες
επίλυσης,
(5) Τα τιμολόγια και αξιώσεις των εργαζομένων από το πρόγραμμα
υγειονομικής περίθαλψης, αν δεν συντηρείται από
το σύστημα αρχείων των επιχειρήσεων,
(6) Τα δεδομένα ελέγχου για την υποστήριξη και την επεξήγηση
των εκθέσεων του κόστους, των λοιπών χρηματοπιστωτικών
δραστηριοτήτων, καθώς και την παρακολούθηση
της συμμόρφωσης, τόσο της εσωτερικής όσο και της
εξωτερικής, και
(7) Τις δράσεις παρακολούθησης των εκθέσεων συμμόρφωσης.
Φάση Β: Δράσεις Εφαρμογής Συμμόρφωσης
Δράση 1: Οργάνωση διεύθυνσης κανονιστικής συμμόρφωσης
1. Οργανώστε και στελεχώστε την διεύθυνση κανονιστικής
συμμόρφωσης και περιγράψτε τις εργασίες.
2. Στις κύριες αρμοδιότητες της Διευθύνσεως περιλαμβάνονται:
2.1. Ο προγραμματισμός και η διαχείριση της κανονιστικής
συμμορφώσεως και η παρακολούθηση εφαρμογής
του κανονιστικού πλαισίου.
2.2. Η εκπροσώπηση της εταιρείας ενώπιον των εποπτικών
και λοιπών Αρχών και η επικοινωνία με αυτές.
2.3. Η πρόληψη και καταστολή νομιμοποιήσεως εσόδων
από παράνομες δραστηριότητες.
2.4. Η διαφύλαξη του απορρήτου.
2.5. Η πρόληψη και καταστολή της απάτης.
3. Η Διεύθυνση Κανονιστικής Συμμορφώσεως είναι διοικητικά
ανεξάρτητη και έχει τη δυνατότητα απρόσκοπτης προσβάσεως
σε όλα τα στοιχεία και τις πληροφορίες που είναι
απαραίτητα για την εκπλήρωση της αποστολής της.
4. Εκπονεί ετήσιο Πρόγραμμα Κανονιστικής Συμμορφώσεως,
σύμφωνα με το ισχύον ρυθμιστικό πλαίσιο, καθώς και το
πλαίσιο πολιτικής και διαδικασιών Κανονιστικής Συμμορφώσεως
της εταιρείας, ενώ συντάσσει ετήσιο προϋπολογισμό,
ο οποίος εγκρίνεται από τη Γενική Διεύθυνση, στο
πλαίσιο της οικονομικής ανεξαρτησίας της.
5. Συνεργάζεται, μεταξύ άλλων, με τις Διευθύνσεις Εσωτερικού
Ελέγχου, Νομικών Υπηρεσιών, Κινδύνων Αγοράς και
Λειτουργικών Κινδύνων, για την από κοινού αντιμετώπιση
θεμάτων τηρήσεως του κανονιστικού πλαισίου, καθώς και
με τις κατά περίπτωση καθ’ ύλην αρμόδιες Διευθύνσεις
της εταιρείας’.
Δράση 2α: Υλοποίηση διαδικασιών εταιρικής συμμόρφωσης
1. Υλοποιήστε τις εταιρικές δράσεις συμμόρφωσης (βλέπε
δράση 4 και δράση 10: Σύστημα Συμμόρφωσης, στην προηγούμενη
ενότητα).
2. Υλοποιήστε τις δράσεις εταιρικής συμμόρφωσης, όπως: Τον
Κώδικα Ηθικής Συμπεριφοράς, που εφαρμόζεται από όλο
το προσωπικό και τα στελέχη της επιχείρησης και της πληροφορικής
και που στηρίζεται σε κοινά αποδεκτές αρχές
και κώδικες δεοντολογίας, όπως είναι ενδεικτικά η επιμέλεια,
η αποτελεσματικότητα, η υπευθυνότητα, η ευπρέπεια
στις σχέσεις με το κοινό, η μη αίτηση ή αποδοχή ασυνήθους
αξίας ωφελημάτων ή δώρων και η τήρηση επαγγελματικού
απορρήτου.
3. Εκτελέστε την εκπαίδευση για όλα τα θέματα συμμόρφωσης
σε όλο το προσωπικό της εταιρείας σας.
Δράση 2β: Υλοποίηση διαδικασιών συμμόρφωσης πληροφορικής
1. Αναθέστε τα καθήκοντα του υπεύθυνου επεξεργασίας σε
ένα εγκεκριμένο στέλεχος της εταιρείας. Ο υπεύθυνος επεξεργασίας
οφείλει να τηρεί τις διατάξεις του Ν. 2472/1997
(και 3471/2006 για τις ηλεκτρονικές επικοινωνίες) και ειδικότερα:
1.1. Να συλλέγει τα προσωπικά δεδομένα κατά τρόπο θεμιτό
και νόμιμο.
1.2. Να επεξεργάζεται τα απαραίτητα μόνο προσωπικά δεδομένα
για τους σκοπούς που έχει γνωστοποιήσει.
1.3. Να φροντίζει τα δεδομένα να είναι ακριβή και ενημερωμένα.
1.4. Να διατηρεί τα δεδομένα μόνο για τη χρονική διάρκεια
που απαιτείται για την πραγματοποίηση των σκοπών
της συλλογής τους και της επεξεργασίας τους.
security
39

T4608-10.2016
Issue
2. Βεβαιωθείτε ότι οι έλεγχοι κρυπτογράφησης εφαρμόζονται
σωστά για την προστασία των προσωπικών και άλλων ευαίσθητων
δεδομένων σύμφωνα με τις απαιτήσεις.
3. Εφαρμόστε μια διαδικασία για όλους τους χρήστες που θα
πρέπει να υπογράψουν μια δήλωση ότι δεσμεύονται να
χρησιμοποιήσουν μόνο λογισμικό που παρέχει η εταιρεία
και ότι θα συμμορφωθούν πλήρως με όλους τους σχετικούς
νόμους και κανονισμούς.
1.5. Να επιλέγει για τη διεξαγωγή της επεξεργασίας πρόσωπα
με αντίστοιχα επαγγελματικά προσόντα που
παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών
γνώσεων και προσωπικής ακεραιότητας για την τήρηση
του απορρήτου.
1.6. Να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά
μέτρα για την ασφάλεια των δεδομένων και την προστασία
τους από τυχαία ή αθέμιτη καταστροφή, τυχαία
απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση
και κάθε άλλη μορφή αθέμιτης επεξεργασίας.
1.7. Αν η επεξεργασία διεξάγεται για λογαριασμό του υπεύθυνου
από πρόσωπο μη εξαρτώμενο από αυτόν, να
πραγματοποιεί τη σχετική ανάθεση εγγράφως.
1.8. Να σέβεται τα δικαιώματα ενημέρωσης, πρόσβασης
και αντίρρησης των υποκειμένων.
1.9. Να είναι συνεπής στις υποχρεώσεις του απέναντι στην
Αρχή (γνωστοποίηση, λήψη άδειας).
1.10. Να ενημερώνεται για τις Αποφάσεις, Οδηγίες, Συστάσεις
της Αρχής που τον αφορούν.
2. Εφαρμόστε τις πολιτικές και διαδικασίες προστασίας προσωπικών
δεδομένων της εταιρείας σας.
3. Διατηρήστε αρχείο με όλα τα απαιτούμενα έγγραφα και
ολοκληρώστε την εγγραφή της εταιρείας σας με την εθνική
αρχή προστασίας των δεδομένων σας.
4. Επικοινωνήστε τα καθήκοντα του υπεύθυνου επεξεργασίας
δεδομένων σε όλο το προσωπικό για να διασφαλίσετε ότι τα
συστήματα πληροφορικής σας συμμορφώνεται πλήρως με
την εθνική Προστασίας Δεδομένων και άλλους νόμους.
Δράση 3: Προστασία Προσωπικών Δεδομένων
1. Εφαρμόστε μέτρα για την εξασφάλιση ότι τα προσωπικά δεδομένα
δεν αφήνουν τα σύνορα της χώρας σας (δείτε τους
σχετικούς ευρωπαϊκούς νόμους σε αυτό το τεύχος).
Δράση 4: Συντήρηση Ψηφιακών Δεδομένων
1. Θεσπίστε ελέγχους για την προστασία όλων των εταιρικών
αρχείων, συμπεριλαμβανομένων των ψηφιακών μέσων,
βίντεο, μικροφίλμ, εκθέσεων από υπολογιστή (computergenerated
reports), μηνύματα ηλεκτρονικού ταχυδρομείου,
μηνύματα φαξ, έγγραφα, αρχεία, κ.λπ., σε πλήρη συμμόρφωση
με τους σχετικούς νόμους και κανονισμούς (φορολογικών,
τελωνειακών, συντάξεων, κ.λπ.).
2. Καταστρέψτε όλα τα οργανωτικά αρχεία, μόνο όταν επίσημα
όρια λήγουν και βάσει των γραπτών εγκρίσεων της εταιρείας
και με τη χρήση ενός πρωτόκολλου καταστροφής. Ειδικά
για την ασφαλή καταστροφή των προσωπικών δεδομένων
μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση
του σκοπού της επεξεργασίας δώστε προσοχή
στην οδηγία της σχετικής αρχής.
Δράση 5: Αναφορά δεδομένων σε αρχές
1. Εφαρμόστε ένα ολοκληρωμένο σύστημα υποβολής εκθέσεων
συμμόρφωσης, για τη διαβίβαση των εκθέσεων
προς τις αρχές όπως καθορίζονται στο εγχειρίδιο της συμμόρφωσης.
2. Εάν ελέγχεστε από την Τράπεζα της Ελλάδος, πρέπει να
υποβάλλετε τις εκθέσεις με όλα τα στοιχεία περιστατικών
της ασφάλειας και με το σχέδιο ελέγχου και το χρονοδιάγραμμα
ελέγχου, σύμφωνα με τους σχετικούς νόμους και
απαιτήσεις (π.χ. Τράπεζα της οδηγίες Ελλάδα).
Δράση 6: Προστασία Πνευματικών Δικαιωμάτων
1. Εφαρμόστε, εάν απαιτείται, το μηχανογραφικό σύστημα
για την υποστήριξη της διαδικασίας συμμόρφωσης της
εταιρείας.
2. Βεβαιωθείτε ότι όλα τα διπλώματα ευρεσιτεχνίας της επιχείρησής
σας και τα πνευματικά δικαιώματα έχει καταγραφεί
από τις αρμόδιες αρχές. Αυτό πρέπει επίσης να περιλαμβάνει
και διπλώματα ευρεσιτεχνίας που μπορεί να έχετε αναπτύξει
στην πληροφορική (υλικού και λογισμικού).
3. Επιβεβαιωθείτε ότι έχετε νόμιμες άδειες για όλο το λογισμικό
σας (ακόμη και για ότι προσφέρεται δωρεάν) και κρατεί-
40 security

IT Compliance - Ανάλυση και υλοποίηση της Συμμόρφωσης Πληροφορικής στις εταιρείες
στε όλα τα στοιχεία στο μητρώο των περιουσιακών στοιχείων
της πληροφορικής σας. Επίσης, βεβαιωθείτε ότι όλοι οι
εργαζόμενοι έχουν υπογράψει μια δήλωση που να πιστοποιεί
ότι έχουν δεσμευτεί να χρησιμοποιούν μόνο νόμιμο
λογισμικό όπως έχει εγκριθεί από την εταιρεία.
Δράση 7: Επιβολή Συμμόρφωσης
1. Συνδέστε τη συμμόρφωση με την απόδοση της διοίκησης
και των εργαζομένων μέσω του συστήματος αμοιβών και
παροχών.
2. Ενισχύστε τα πρότυπα συμμόρφωσης μέσω καλής δημοσιότητας
των πειθαρχικών μέτρων ή και κατευθυντήριων
οδηγιών συμμόρφωσης.
Φάση Γ: Αξιολόγηση Συμμόρφωσης
Δράση 1: Παρακολούθηση της εκτέλεσης Εταιρικής Συμμόρφωσης
1. Παρακολουθείστε την εκτέλεση όλων των πολιτικών και
διαδικασιών Εταιρικής Συμμόρφωσης από τα προκαθορισμένα
όργανα και επιτροπές της εταιρείας σας.
2. Επιβεβαιώστε ότι η εταιρεία έχει εφαρμόσει και επικοινωνήσει
της εφαρμογή της Εταιρικής Διακυβέρνησης με την
σχετική ανακοίνωση της Δήλωσης της.
3. Ιδιαίτερη προσοχή πρέπει να δοθεί στην παρακολούθηση,
την αναθεώρηση και την επίλυση όλων των συναφών θεμάτων
και προβλημάτων ασφάλειας πληροφορικής.
4. Επίσης, βεβαιωθείτε ότι όλα τα μέλη του διοικητικού συμβουλίου
και όλοι οι διευθυντές της εταιρείας, καθώς και
οι εργαζόμενοι, έχουν υπογεγραμμένη δήλωση τους φακέλους
του προσωπικού σχετικά με τη δέσμευσή τους να
τηρούν όλους τους νόμους και τους κανονισμούς (εξωτερικούς
και εσωτερικούς) και να χρησιμοποιούν μόνο εγκεκριμένα
από την εταιρεία εξοπλισμό και λογισμικό.
Δράση 2: Αξιολόγηση της Εταιρικής Συμμόρφωσης
1. Ζητήστε την διεξαγωγή του ελέγχου εφαρμογής των πολιτικών
και διαδικασιών Εταιρικής Συμμόρφωσης από τον
εσωτερικό έλεγχο, και για όλες τις εταιρικές λειτουργίες.
2. Ειδικά για τη συμμόρφωση της πληροφορικής, προσέξτε
τα ακόλουθα.
2.1. Για τα θέματα προστασίας προσωπικών δεδομένων
ο εσωτερικός έλεγχος πρέπει να αξιολογήσει εάν η
εταιρεία παίρνει τα κατάλληλα μέτρα όπως ορίζονται
από τον σχετικό νόμο (ν. 2472/97 και ν. 2774/99,
3471/2006), όπως για παράδειγμα:
• Άρθρο 8. Διασύνδεση αρχείων
• Άρθρο 9. Διασυνοριακή ροή δεδομένων προσωπι-
κού χαρακτήρα
• Άρθρο 10. Απόρρητο και ασφάλεια της
επεξεργασίας
• Άρθρο 11. Δικαίωμα ενημέρωσης
• Άρθρο 12. Δικαίωμα πρόσβασης
• Άρθρο 13. Δικαίωμα αντίρρησης
• Άρθρο 14. Δικαίωμα προσωρινής δικαστικής προστασίας.
2.2. Για την Οργάνωση και Διοίκηση Πληροφορικής, ο εσωτερικός
έλεγχος πρέπει να αξιολογήσει εάν το πλαίσιο
Διακυβέρνησης της Πληροφορικής, περιλαμβάνει την
αποτελεσματικότητα της οργάνωσης της μονάδας της
Πληροφορικής και τις σχέσεις της με τους Εξωτερικούς
της Συνεργάτες.
2.3. Για την Ανάπτυξη και Προμήθεια Συστημάτων, ο εσωτερικός
έλεγχος πρέπει να αξιολογήσει εάν οι διαδικασίες
ασφαλούς ανάπτυξης και προμήθειας Πληροφοριακών
Συστημάτων είναι επαρκείς.
2.4. Για την Λειτουργία και Υποστήριξη Συστημάτων, ο εσωτερικός
έλεγχος πρέπει να αξιολογήσει εάν οι διαδικασίες
λειτουργίας των συστημάτων πληροφορικής,
περιλαμβάνουν τη φυσική και λογική τους ασφάλεια,
καθώς και στη διασφάλιση της συνέχειας των εργασιών
της πληροφορικής.
2.5. Για τον Έλεγχο Συστημάτων Πληροφορικής, ο εσωτερικός
έλεγχος πρέπει να αξιολογήσει εάν οι εργασίες
του καλύπτουν την επαρκή και αποτελεσματική λειτουργία
της Μονάδας Εσωτερικής Επιθεώρησης αναφορικά
με τα Πληροφοριακά Συστήματα.
Δράση 3: Βελτίωση της Εταιρικής Συμμόρφωσης
1. Ελέγξτε όλες τις πολιτικές και τις διαδικασίες Εταιρικής
Συμμόρφωσης από τους εξωτερικούς ελεγκτές, χρησιμοποιώντας
και εμπειρογνώμονες για συγκεκριμένα θέματα
(π.χ. ηλεκτρονικό έγκλημα, προστασία προσωπικών δεδομένων,
κ.λπ.).
2. Αναπτύξτε και εφαρμόστε διορθωτικά μέτρα για τις διαπιστωμένες
παραβάσεις με βάση τις αναφορές και των 2
ελεγκτών.
3. Ενισχύστε την εταιρική συμμόρφωση με ένα νέο πρόγραμμα
επικοινωνίας και προώθησης της Πολιτικής Κανονιστικής
Συμμόρφωσης που καθορίζει τους κανόνες που διασφαλίζουν
την συμμόρφωσης της εταιρείας σας με εθνικές,
Ευρωπαϊκές και άλλες διεθνείς κατευθύνσεις (regulations)
διατάξεις, συμβάσεις, νομικές υποχρεώσεις και κανονιστικά
πλαίσια, και που περιλαμβάνουν και τα σχετικά με θέματα
ασφάλειας πληροφορικής. ITSecurity
security
41