IT Professional Security - ΤΕΥΧΟΣ 46
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Δήμητρα Ζέρβα<br />
Information <strong>Security</strong> Consultant<br />
Networking Solutions Division, Space Hellas<br />
πολλά περισσότερα από ένα απλό firewall. Είναι έξυπνες συσκευές<br />
οι οποίες έχουν επίγνωση των συσκευών, των εφαρμογών<br />
και των χρηστών. Τα προϊόντα ασφάλειας έχουν εξελιχθεί<br />
πέρα από την τυποποιημένη πλατφόρμα firewall σε κάτι<br />
που είναι σε θέση να υποστηρίζει πολλά διαφορετικά είδη<br />
υπηρεσιών. Σε πολλές περιπτώσεις, οι υπηρεσίες αυτές δουλεύουν<br />
όλες μαζί παρέχοντας μια ενιαία πλατφόρμα. Οι τεχνολογίες<br />
“next-generation” θα περιστρέφονται πάντα γύρω από<br />
την ασφάλεια, την ευελιξία και την ικανότητα να εξελίσσονται<br />
γρήγορα, ανταποκρινόμενες στις ανάγκες μιας αναπτυσσόμενης<br />
επιχείρησης.<br />
Στο επίκεντρο όλων αυτών των νέων τεχνολογιών βρίσκονται<br />
τα security analytics. Τα security analytics αναφέρονται σε λύσεις<br />
τεχνολογίας πληροφοριών (<strong>IT</strong>), οι οποίες συλλέγουν και<br />
αναλύουν τα γεγονότα ασφάλειας, ώστε να φέρουν επίγνωση<br />
της κατάστασης και να επιτρέψουν την περαιτέρω ανάλυση<br />
των γεγονότων που αποτελούν το μεγαλύτερο κίνδυνο. Οι<br />
λύσεις σε αυτόν τον τομέα περιλαμβάνουν, εκτός από λύσεις<br />
security information and event management (SIEM), και λύσεις<br />
user behavior analytics (UBA) οι οποίες επικεντρώνονται<br />
στο χρήστη και τη συμπεριφορά του.<br />
Insider threats & User Behavior Analytics<br />
Οι εσωτερικές απειλές βρίσκονται στην κορυφή των ευπαθειών<br />
που προκαλούν τη μεγαλύτερη ανησυχία στους οργανισμούς.<br />
Εκτείνονται από νυν και πρώην υπαλλήλους σε εργολάβους<br />
και συνεργάτες με εξουσιοδοτημένη πρόσβαση σε δίκτυα<br />
και κρίσιμα συστήματα δεδομένων. Οι εσωτερικές απειλές<br />
είναι μία από τις περιπτώσεις που οδήγησαν στις νέες προσεγγίσεις<br />
για την ανάλυση της συμπεριφοράς των χρηστών<br />
(UBA), η οποία δίνει τη δυνατότητα στους αναλυτές ασφάλειας<br />
να παρακολουθούν τη δραστηριότητα των χρηστών.<br />
Τα analytics της συμπεριφοράς των χρηστών επικεντρώνονται<br />
στην παρακολούθηση, τη συλλογή και την αξιολόγηση των δεδομένων<br />
του χρήστη και των δραστηριοτήτων του, με τη χρήση<br />
συστημάτων παρακολούθησης. Οι τεχνολογίες UBA αναλύουν<br />
ιστορικά logs δεδομένων -συμπεριλαμβανομένων των<br />
logs δικτύου και ελέγχου ταυτότητας (αυθεντικοποίησης), που<br />
συλλέγονται και αποθηκεύονται σε συστήματα διαχείρισης<br />
logs και SIEM- για να προσδιορίσουν τα πρότυπα της κίνησης<br />
που προκλήθηκαν από τις συμπεριφορές των χρηστών, τόσο<br />
τις φυσιολογικές, όσο και τις κακόβουλες. Ενώ τα συστήματα<br />
UBA δε λαμβάνουν δράση βάσει των ευρημάτων τους, έχουν<br />
ως κύριο σκοπό να παρέχουν στις ομάδες ασφάλειας ενημέρωση<br />
για τις δραστηριότητες των χρηστών.<br />
Τα συστήματα UBA συλλέγουν διάφορα είδη δεδομένων, όπως<br />
ρόλους χρηστών, δικαιώματα πρόσβασης, δραστηριότητα των<br />
χρηστών, ημερομηνία και ώρα της δραστηριότητας και γεωγραφική<br />
τοποθεσία, καθώς επίσης και τις προειδοποιήσεις<br />
ασφάλειας. Τα δεδομένα αυτά μπορούν να συλλέγονται από<br />
την προγενέστερη και την τρέχουσα δραστηριότητα και η ανάλυσή<br />
τους λαμβάνει υπόψη παράγοντες, όπως οι πόροι που<br />
χρησιμοποιήθηκαν, η διάρκεια των συνεδριών (sessions), η<br />
συνδεσιμότητα και η δραστηριότητα όμοιων ομάδων, προκειμένου<br />
να γίνει σύγκριση της ανώμαλης συμπεριφοράς.<br />
Οι οργανισμοί πλέον χρειάζεται να γνωρίζουν όχι μόνο ποιος<br />
συνδέθηκε στο δίκτυο, αλλά και τι έκανε όσο ήταν συνδεδεμένος.<br />
Τα συστήματα UBA δεν αναφέρουν όλες τις ανώμαλες συμπεριφορές<br />
ως επικίνδυνες. Στην πραγματικότητα, αξιολογούν<br />
το πιθανό αντίκτυπο των συμπεριφορών. Εάν η συμπεριφορά<br />
αφορά λιγότερο ευαίσθητους πόρους, λαμβάνει χαμηλή βαθμολογία<br />
αντικτύπου. Εάν αφορά κάτι περισσότερο ευαίσθητο,<br />
όπως προσωπικές πληροφορίες (Personally Identifiable<br />
Information), θα λάβει υψηλότερη βαθμολογία αντικτύπου.<br />
Με αυτό τον τρόπο οι ομάδες ασφάλειας μπορούν να δώσουν<br />
προτεραιότητα στο τι πρέπει να παρακολουθήσουν, καθώς το<br />
σύστημα UBA έχει τη δυνατότητα αυτόματα να περιορίζει ή να<br />
αυξάνει τη δυσκολία της αυθεντικοποίησης του χρήστη που<br />
έχει παρουσιάσει ανώμαλη συμπεριφορά.<br />
Τα εργαλεία UBA μπορούν να συμβάλουν<br />
στην αντιμετώπιση των επιθέσεων έναντι της<br />
ασφάλειας<br />
Τα εργαλεία UBA χρησιμοποιούν έναν ειδικό τύπο security<br />
analytics ο οποίος εστιάζει στη συμπεριφορά των συστημάτων<br />
και των ανθρώπων που τα χρησιμοποιούν. Εκτελούν δύο<br />
βασικές λειτουργίες. Αρχικά, καθορίζουν μια βασική γραμμή<br />
των «κανονικών (normal)» δραστηριοτήτων, οι οποίες είναι<br />
ειδικά προσαρμοσμένες για τον οργανισμό και τους χρήστες<br />
security<br />
21