IT Professional Security - ΤΕΥΧΟΣ 31

Μάιος - Ιούνιος - Ιούλιος 2013 • Τεύχος 31 • Τιμή 5€
Cloud Computing
Επιχειρηματικά Οφέλη & Ασφάλεια
• Πρακτικός οδηγός διασφάλισης VoIP τηλεφωνικών κέντρων
• Backup σε ένα “κουτί”
• Distributed Denial Of Service Attacks
PRESS LINE MAΓΕΡ 11, 104 38 ΑΘΗΝΑ
ΠΛHPΩMENO
TEΛOΣ
Tαχ. Γραφείο
KEMΠ.KΡ.
Aριθµός Άδειας
116
PRESS POST
ENTYΠO KΛEIΣTO AP. A∆EIAΣ 22/2008 KEMΠ.A.ΚΡ.
P R
(X+7)
E S S
T
P O S
Έρευνα για την Ασφάλεια
Πληροφοριών
σε συνεργασία με την

E DITORIAL
Θετική αποτίμηση... σε δύσκολο περιβάλλον
Στο τεύχος του IT Security Professional που κρατάτε στα
χέρια σας δημοσιεύονται αναλυτικά τα αποτελέσματα
έρευνας που διεξήγαγε το περιοδικό σε συνεργασία με την
EMC Hellas και αφορά την “Ασφάλεια Πληροφοριών”.
Αν θέλαμε να αναδείξουμε ένα γενικό συμπέρασμα που προκύπτει
από την έρευνα – και σε σχέση με την προηγούμενη
αντίστοιχη έρευνα που είχαμε διεξάγει πριν 2 περίπου χρόνια
– θα λέγαμε ότι οι επιχειρήσεις και οι Οργανισμοί κατατάσσουν
την ασφάλεια πληροφοριών ακόμα υψηλότερα στην
ατζέντα των προτεραιοτήτων που αφορούν τις υποδομές
πληροφορικής. Αυτό άλλωστε το συμπέρασμα εξάγεται και
από τη γενικότερη περιρρέουσα ατμόσφαιρα που αφουγκράζεται
κάποιος, επικοινωνώντας συχνά με στελέχη τμημάτων
ΙΤ ή παρακολουθώντας τα διάφορα συνέδρια που διοργανώνονται
σχετικά με την ασφάλεια πληροφοριών με την ευρύτερη
έννοια.
Επίσης, έχοντας μελετήσει αντίστοιχες έρευνες που έχουν
διοργανωθεί πρόσφατα σε παγκόσμιο επίπεδο και με παρόμοια
ερωτήματα, διαπιστώσαμε ότι σε ένα σημαντικό βαθμό
τα αποτελέσματα κυμαίνονται σχετικά στα ίδια επίπεδα. Το
γεγονός αυτό μπορεί σε πολλούς να προκαλεί μια μικρή έκπληξη,
έχοντας συνηθίσει στην ιδέα ότι στην Ελλάδα πάντα
παρατηρείται γενικότερα μια καθυστέρηση στην υιοθέτηση
των νέων τάσεων και νέων στρατηγικών στον τομέα του IT.
Τα παρόμοια αποτελέσματα που παρατηρούνται λοιπόν μεταξύ
της δικής μας έρευνας και αντίστοιχων του εξωτερικού,
είναι ένα ακόμα δείγμα ότι σήμερα οι υπεύθυνοι των τμημάτων
IT ή ειδικότερα οι IT Security Managers προσπαθούν να
συμβαδίζουν με τις εξελίξεις που διαμορφώνουν το οικοσύστημα
του IT παγκοσμίως.
Όλα αυτά βέβαια, τα αξιολογούμε λαμβάνοντας υπόψη το δύσκολο
οικονομικό περιβάλλον των Ελληνικών επιχειρήσεων
που αποτελεί κομβικό ανασταλτικό παράγοντα επενδύσεων
στο IT. Όπως προκύπτει και από την έρευνα, οι αισθητά μειωμένοι
προϋπολογισμοί για επενδύσεις στο ΙΤ δεν θα μπορούσαν
φυσικά να αφήσουν ανεπηρέαστο τον τομέα της
ασφάλειας πληροφοριών, έναν τομέα όμως που επηρεάζεται
ίσως αρκετά λιγότερο από τους υπόλοιπους.
Πιστεύοντας λοιπόν ότι στο παρόν τεύχος του περιοδικού
θα βρείτε εκτός από την έρευνα και άλλα ενδιαφέροντα και
χρήσιμα θέματα να διαβάσετε, θα θέλαμε να σας ευχηθούμε
ένα ξέγνοιαστο καλοκαίρι και καλή επάνοδο!
Βλάσης Αμανατίδης
Iδιοκτησία
Nίκος Πανδής
Eκδότης
Nίκος Πανδής
Αρχισυντάκτης
Βλάσης Αμανατίδης
info@securitymanager.gr
Συνεργάτες
Αριστοτέλης Λυμπερόπουλος
Δημήτρης Παπίτσης
Αλέξανδρος Σουλαχάκης
Ιωσήφ Ανδρουλιδάκης
Mίνα Ζούλοβιτς
Νότης Ηλιόπουλος
Παναγιώτα Τσώνη
Εμπορικό Τμήμα
Νίκος Σαράφογλου
nsarafoglou@pressline.gr
Δήμητρα Αρακά
daraka@pressline.gr
Τμήμα Διαφήμισης - Marketing
Nίκη Πανδή
marketing@pressline.gr
Υπεύθυνος Συνδρομών
Γιώργος Τσιματσίδης
support@securitymanager.gr
Συνεργάτης Κύπρου
Φρίξος Μόζορας
Λογιστήριο
Xρήστος Mακρής
fin@pressline.gr
Γραμματειακή Yποστήριξη
Nικολέτα Πανδή
Διευθυντής Παραγωγής
Σάκης Γαβαλάς
Kαλλιτεχνική Eπιμέλεια
Mάρθα Τσάρου
Hλεκτρονική Σελιδοποίηση
Λευτέρης Πανδής
Σχεδιασμός Mu ltimedia
Φίλιππος Kαλογιάννης
Aτελιέ-Διαχωρισμοί-Mοντάζ
PressLine
www.itsecuritypro.gr
www.securitymanager.gr
info@securitymanager.gr
H EKΔΟΣΗ ΜΑΣ ΕΙΝΑΙ ΜΕΛΟΣ ΤΗΣ
Mάγερ 11, 104 38 Αθήνα,
Τηλ.: 210-52.25.479 (6 γραμμές),
Fax: 210-52.43.345,
web: www.pressline.gr
ΚΩΔΙΚΟΣ 01-8267
2| security

CONTENTS
24 33 42
2|EDITORIAL
6|NEWS
COVER ISSUE
10|Cloud Computing
Επιχειρηματικά οφέλη &
Ασφάλεια
ISSUE
16|Η απαίτηση της Ασφάλειας
ως κομβικός παράγοντας
υιοθέτησης του Cloud
24|Έρευνα για την Ασφάλεια
Πληροφοριών 2013
33|Backup σε ένα “κουτί”
INTERVIEW
36|Δημιουργία προστασίας
βασιζόμενη στα big data
Συνέντευξη του κ. Brian
Fitzgerald, Αντιπροέδρου
Μάρκετινγκ της RSA, του
Τμήματος Ασφαλείας της EMC
REPORT
38|Η πιστοποίηση στο IT, στο
επίκεντρο εκδήλωσης της
TÜV AUSTRIA HELLAS
REFERENCE
41|5 κύριοι λόγοι για την
ανάπτυξη μιας
εξιδανικευμένης λύσης
Database Security
42|Distributed Denial Of
Service Attacks:
Know them in order to stop
them wisely
PRACTICAL
44|Πρακτικός οδηγός
διασφάλισης VoIP
τηλεφωνικών κέντρων
(Μέρος Β’)
4| security

NEWS
Έρευνα της Kaspersky Lab: 37,3 εκατομμύρια χρήστες δέχτηκαν
επιθέσεις phishing τον περασμένο χρόνο
Σύμφωνα με τα αποτελέσματα της έρευνας της Kaspersky Lab,
«Η εξέλιξη των επιθέσεων phishing την περίοδο 2011-2013»,
ο αριθμός των χρηστών του Διαδικτύου που αντιμετώπισε
επιθέσεις phishing κατά τη διάρκεια των τελευταίων 12 μηνών,
έχει αυξηθεί από 19,9 σε 37,3 εκατομμύρια, μια αύξηση της τάξεως
του 87%. Τα Facebook, Yahoo, Google και Amazon είναι
μεταξύ των κύριων στόχων των ψηφιακών εγκληματιών. Η
έρευνα, που διεκπεραιώθηκε τον Ιούνιο του 2013 βασιζόμενη
σε δεδομένα από την cloud υπηρεσία Kaspersky Security
Network, δείχνει πως ό,τι κάποτε ήταν απλώς μια υποκατηγορία
spam, έχει εξελιχθεί σε μία ραγδαία αυξανόμενη ψηφιακή
απειλή. Το phishing είναι μια μορφή διαδικτυακής απάτης
όπου οι εγκληματίες δημιουργούν ένα ψεύτικο αντίγραφο
μιας δημοφιλούς ιστοσελίδας (μια υπηρεσία email, μια
ιστοσελίδα Internet banking, μία ιστοσελίδα κοινωνικής δικτύωσης
κ.λπ.) και προσπαθούν να δελεάσουν τους χρήστες
προσελκύοντάς τους σε αυτές τις ύπουλες ιστοσελίδες. Ο
ανυποψίαστος χρήστης εισάγει τις πληροφορίες και τους κωδικούς
πρόσβασής του σε αυτές τις επιμελώς πλαστές ιστοσελίδες
όπως θα έκανε κανονικά, με τη διαφορά ότι αυτά τα
στοιχεία πρόσβασης αποστέλλονται στους ψηφιακούς εγκληματίες.
Οι scammers μπορούν στη συνέχεια να χρησιμοποιούν
αυτές τις κλεμμένες προσωπικές πληροφορίες, τα τραπεζικά
στοιχεία ή τους κωδικούς για να κλέβουν τα χρήματα
των χρηστών, να διακινούν spam και κακόβουλο λογισμικό
μέσω των παραβιασμένων λογαριασμών email ή των λογαριασμών
στις σελίδες κοινωνικής δικτύωσης, ή μπορούν απλά
να πουλήσουν τις βάσεις δεδομένων με τους κλεμμένους κωδικούς
σε άλλους εγκληματίες.
Στρατηγική Συνεργασία ODYSSEY CONSULTANTS LTD.
με LIEBERMAN OFTWARE
Η Odyssey Consultants Ltd., ηγετική εταιρεία παροχής ολοκληρωμένων
λύσεων και υπηρεσιών Ασφάλειας Πληροφοριών
και Διαχείρισης Κινδύνου, ανακοινώνει την έναρξη στρατηγικής
συνεργασίας με τη Lieberman Software, αμερικάνικη
εταιρεία παροχής λύσεων Privileged Identity Management.
Η Odyssey, με τη συνεργασία αυτή, θα προμηθεύει μεγάλες
επιχειρήσεις και κυβερνητικούς οργανισμούς στην
Κύπρο, την Ελλάδα και την Ανατολική Ευρώπη με λύσεις
Privileged Identity Management. Οι λύσεις αυτές βοηθούν
τους οργανισμούς να διασφαλίσουν την χρήση των προνομιούχων
λογαριασμών τους, να προστατεύσουν την πρόσβαση
σε ευαίσθητα δεδομένα και ταυτόχρονα να συμμορφωθούν
με κανονιστικά πλαίσια. Οι λύσεις Privileged
Identity Management της Lieberman Software, συμπεριλαμβανομένου
και του βραβευμένου προϊόντος Enterprise
Random Password Manager, έχουν τη δυνατότητα αναγνώρισης
προνομιούχων λογαριασμών μέσα στο δίκτυο ενός
οργανισμού και την τακτική ανανέωσή τους με μοναδικά και
σύνθετα διαπιστευτήρια. Αυτό αποτρέπει τους μη εξουσιοδοτημένους
χρήστες και τα όποια κακόβουλα προγράμματα
από το να αποκτήσουν ανώνυμη και απεριόριστη πρόσβαση
σε προνομιούχους λογαριασμούς και σε συστήματα
με ευαίσθητα δεδομένα. Οι λύσεις Privileged Identity Management
της Lieberman Software έχουν αναγνωριστεί σαν
πρωτοπόρες από διεθνείς οίκους αξιολόγησης, όπως η
Gartner και η Forrester. Περισσότερες πληροφορίες σχετικά
με τις συγκεκριμένες λύσεις μπορείτε να βρείτε στην ιστοσελίδα
της Odyssey. (www.odysseyconsultants.com)
6| security

Η RSA αξιοποιεί την τεχνολογία Real-Time Big Data Analytics για να
βοηθήσει στην καταπολέμηση της κακόβουλης online δραστηριότητας
Η RSA, το Security Division της EMC, παρουσίασε την επόμενη
γενιά του RSA Silver Tail, μιας εφαρμογής για τον εντοπισμό
διαδικτυακών απειλών η οποία έχει σχεδιαστεί με στόχο
να βοηθά τους οργανισμούς να έχουν καλύτερη εικόνα
της δραστηριότητας στο website τους ώστε να
μπορούν πιο εύκολα να διακρίνουν τη φυσιολογική
από την εν δυνάμει κακόβουλη κίνηση.
Η δυνατότητα του άμεσου εντοπισμού εχθρικών
ενεργειών στους υπεύθυνους ασφαλείας
να ανιχνεύουν και να εξουδετερώνουν σε πραγματικό
χρόνο απειλές οι οποίες μπορούν να περνούν μέσα
από web sessions ή mobile εφαρμογές. Σχεδιασμένη ώστε να
προσφέρει στους οργανισμούς τα εργαλεία που απαιτούνται
για τον ταχύτερο εντοπισμό και την πιο αποτελεσματική διερεύνηση
μεγαλύτερου αριθμού απειλών, η λύση RSA Silver
Tail παρέχει νέες δυνατότητες διαχείρισης (one-click incident
management), αλλά και ένα έξυπνο user interface που βοηθά
τους οργανισμούς να έχουν καλύτερη εικόνα των δραστηριοτήτων
στα site τους, καλύπτοντας εκατομμύρια ταυτόχρονα
web sessions. Επιπλέον, με τις λειτουργίες Streaming Analytics
και click-by-click threat scoring, η τεχνολογία
RSA Silver Tail 4.0 αξιοποιεί τη δύναμη
των Big Data προκειμένου να εντοπίζει απειλές,
κακόβουλη κίνηση και περίεργες τάσεις όσον
αφορά τη συμπεριφορά των επισκεπτών ενός
site, που σε άλλη περίπτωση θα μπορούσαν να
εντοπιστούν μόνο αναλύοντας λεπτομερώς τα logfiles κάθε
web session. Αυτό οδηγεί τους οργανισμούς στη μείωση του
έμμεσου και του άμεσου κόστους που μπορεί να προκληθεί
από μια απάτη, μια ενδεχόμενη διακοπή λειτουργίας των υποδομών
τους, την παραβίαση των μηχανισμών ασφαλείας, ή
από άλλες εχθρικές ενέργειες.

NEWS
ESET NOD32 Antivirus και ESET Smart Security έκδοση 7
σε μορφή BETA
Η ESET ανακοινώσε πρόσφατα τη διάθεση
των νέων της λύσεων ESET Smart Security
7 και ESET NOD32 Antivirus 7 σε
έκδοση BETA, που προσφέρουν στους
χρήστες ενισχυμένη προστασία ενάντια
στο κακόβουλο λογισμικό και βελτιωμένες
διαδικασίες καθαρισμού του συστήματος. Οι νέες λύσεις
της ESET, γνωστές και από τις παλιότερες εκδόσεις για τη
χαμηλή κατανάλωση πόρων του συστήματος, προσφέρουν
ακόμη μεγαλύτερη προστασία ενάντια από άγνωστα malware
καθώς έχουν υποστεί βασικές τεχνολογικές βελτιώσεις.
Οι νέες λύσεις προσθέτουν προηγμένα επίπεδα προστασίας
ενάντια στις απειλές χάρη σε τρεις τεχνολογικές
βελτιώσεις στο κομμάτι της ανίχνευσης και του καθαρισμού.
Στην έκδοση BETA διατίθενται δύο από τις βελτιώσεις αυτές,
με την τρίτη να αναμένεται αργότερα:
• ESET Advanced Memory Scanner: Αποτρέπει
τις μη ανιχνεύσιμες κρυπτογραφημένες
απειλές. Με βελτιωμένες λειτουργίες
για την ανάλυση των αποκρυπτογραφημένων
αρχείων απευθείας στη μνήμη, το λογισμικό
μπορεί να εμποδίσει αποτελεσματικά επιθέσεις άγνωστου
malware.
• Vulnerability Shield: Προσφέρει ισχυρή προστασία ενάντια
στις απόπειρες εκμετάλλευσης γνωστών τρωτών σημείων
του δικτύου.
Για περισσότερες πληροφορίες, δυνατότητα download των
λύσεων V7 BETA και συμμετοχής στο διαγωνισμό δοκιμής
των εκδόσεων BETA, οι ενδιαφερόμενοι μπορούν να επισκεφθούν
τη σελίδα www.eset.com/gr/beta/v7.
Η Intel παρουσίασε την 4η Γενιά Intel® Core επεξεργαστών
στην Ελλάδα
Η Intel παρουσίασε την Τετάρτη 12 Ιουνίου, σε εκδήλωση για
εκπροσώπους του Τύπου, τα ιδιαίτερα χαρακτηριστικά της οικογένειας
επεξεργαστών 4ης γενιάς Intel® Core. Παράλληλα
με την παρουσίαση, οι παρευρισκόμενοι είχαν τη δυνατότητα
να δουν από κοντά νέους υπολογιστές ελληνικών εταιρειών,
συνεργατών της Intel, με τους νέους επεξεργαστές.
Η νέα γενιά επεξεργαστών Intel® Core προσφέρει εκπληκτική
απόδοση, ασφάλεια και επιδόσεις σε συνδυασμό με τη
μεγαλύτερη βελτίωση της Intel στην αυτονομία από γενιά–σε–
γενιά στην ιστορία της εταιρείας, επιτρέποντας στους καταναλωτές
να δημιουργούν και να παρακολουθούν περιεχόμενο
όπου κι αν βρίσκονται. Καταναλωτικά και επιχειρηματικά συστήματα
που βασίζονται σε τετραπύρηνες εκδόσεις της 4ης γενιάς
επεξεργαστών Intel Core, είναι άμεσα διαθέσιμα στην ελληνική
αγορά για να βελτιώσουν την εμπειρία προσωπικού υπολογιστή,
ενώ η διαθεσιμότητα για 2-σε-1 Ultrabook, φορητές
συσκευές all-in-one και παραδοσιακά φορητά συστήματα
αναμένεται εντός του καλοκαιριού. Νέα φορητά επιχειρηματικά
προϊόντα με την 4η γενιά Intel® Core vPro θα είναι
διαθέσιμα αργότερα εντός του έτους.
Με τη νέα οικογένεια επεξεργαστών, οι καταναλωτές θα απολαμβάνουν
φορητούς με αυτονομία έως και 9 ώρες σε κατάσταση
λειτουργίας ή 10 με 13 ημέρες σε κατάσταση standby,
με μια μόνο φόρτιση. Με την ισχύ των νέων επεξεργαστών οι
καταναλωτές έχουν τη δυνατότητα να επεξεργάζονται και να
μοιράζονται HD βίντεο περίπου 20 φορές γρηγορότερα σε
σχέση με έναν παρόμοιο υπολογιστή τεσσάρων ετών. Παράλληλα,
θα μπορούν να έχουν στην καθημερινή υπολογιστική
εμπειρία τους περίπου διπλάσια ταχύτητα και ακόμα πιο εντυπωσιακά
γραφικά σε λεπτότερες και πιο ελαφριές συσκευές.
8| security

C OVER ISSUE
Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
piliopou@me.com
Cloud Computing
Επιχειρηματικά οφέλη & Ασφάλεια
Οι υπηρεσίες και γενικότερα οι υποδομές cloud υπόσχονται μια σειρά από οφέλη που περιλαμβάνουν
τη μετατροπή του πάγιου κόστους σε λειτουργικό, τη γενικότερη μείωση του
κόστους των λειτουργικών δαπανών, μεγαλύτερη ευελιξία, τυποποίηση στην παροχή υπηρεσιών,
βελτίωση της ικανοποίησης των χρηστών και ανταγωνιστικό πλεονέκτημα μέσω της
βελτιστοποίησης χρήσης της τεχνολογίας. Η κατανόηση των κινδύνων είναι εξίσου σημαντική
με την κατανόηση του πώς το cloud θα βοηθήσει τον εκάστοτε Οργανισμό και χρήζουν
αποτελεσματικής διαχείρισης και όχι κάποιας θεωρητικής προσέγγισης.
10 | security

Προσδιορισμός των υπηρεσιών Cloud
Το cloud computing είναι ένα μοντέλο παροχής υπηρεσιών
πληροφορικής, στο οποίο ο τελικός χρήστης μπορεί με εύκολο
τρόπο να κάνει χρήση υποδομών και υπηρεσιών, χωρίς να
χρειάζεται να επενδύσει σε πληροφοριακή υποδομή και κάθε
λογής πόρους. Η υποδομή και οι υπηρεσίες προσαρμόζονται
στις ανάγκες του με τρόπο σχεδόν αυτοματοποιημένο, ενώ η
πρόσβαση και η διαχείριση των υπηρεσιών που του προσφέρονται,
γίνονται μέσω του διαδικτύου.
Συγκεκριμένα, το cloud αφορά στη χρήση πλήθους προσφερόμενων
δικτυακών υπηρεσιών, εφαρμογών, πληροφοριών και
υποδομών πληροφοριακών συστημάτων, οι οποίες υλοποιούνται
κάνοντας χρήση ισχυρών υποδομών πληροφοριακών συστημάτων,
δικτύου και τεχνολογιών αποθήκευσης & επεξεργασίας
δεδομένων.
Όλα τα παραπάνω προσαρμόζονται απόλυτα και γρήγορα στις
ανάγκες του τελικού χρήστη. Ο τελικός χρήστης, ο οποίος δεν
χρειάζεται να επενδύσει σε υποδομή και πόρους, μπορεί να κάνει
χρήση των προσφερόμενων υπηρεσιών – υποδομών, ανάλογα
με τις εκάστοτε ανάγκες του, τόσο σε ό,τι αφορά στο χρόνο
χρήσης των υπηρεσιών, αλλά και στους πόρους που απαιτούνται
για την κάλυψη των αναγκών του (on-demand).
Τα κύρια χαρακτηριστικά των υποδομών cloud είναι τα ακόλουθα:
Οι υπηρεσίες προσφέρονται στον τελικό χρήστη για όσο
χρονικό διάστημα επιθυμεί, χωρίς την παρέμβαση ή την ε-
μπλοκή του παρόχου της υποδομής Cloud (On-demand
self-service).
Οι υπηρεσίες είναι προσβάσιμες μέσω (δια) δικτύου και είναι
ανεξάρτητες από οποιαδήποτε άλλη υπολογιστική πλατφόρμα
χρησιμοποιεί ο τελικός χρήστης (broadband
network access).
Συγκέντρωση μεγάλου αριθμού και ισχύος υπολογιστικών
συστημάτων, τα οποία χρησιμοποιούνται για την κάλυψη των
αναγκών πολλών πελατών ταυτόχρονα (resource pooling).
Άμεση προσαρμογή στις ανάγκες του τελικού χρήστη. Οι
πόροι που χρησιμοποιούνται για την παροχή των υπηρεσιών
μπορούν να αναβαθμιστούν σχεδόν αυτόματα, προκειμένου
να καλύψουν τις απαιτήσεις των πελατών (rapid
elasticity).
Η χρήση των πληροφοριακών πόρων μπορεί να βελτιστοποιηθεί,
κάνοντας χρήση μοντέλων χρέωσης των υπηρεσιών
ανάλογα με τη χρήση τους (measured service).
Τρόποι παροχής υπηρεσιών και υλοποίησή τους
Υπάρχουν τρία βασικά μοντέλα παροχής υπηρεσιών και το καθένα
αντιπροσωπεύει διαφορετικό επίπεδο συμμετοχής του
παρόχου των υπηρεσιών Cloud στο επιχειρηματικό και λειτουργικό
μοντέλο του εκάστοτε Οργανισμού:
Infrastructure as a Service – Στο συγκεκριμένο μοντέλο
ο πάροχος διαθέτει στον εκάστοτε Οργανισμό τη βασική
υποδομή των πληροφοριακών συστημάτων που χρειάζεται
(συστήματα, δικτυακή υποδομή, συστήματα αποθήκευσης
δεδομένων). Όσον αφορά στα λειτουργικά συστήματα και
τις εφαρμογές, αυτά αποτελούν ευθύνη του χρήστη της υ-
πηρεσίας και όχι του πάροχου.
Platform as a Service – Στο μοντέλο αυτό, ο πάροχος διαθέτει
στον εκάστοτε Οργανισμό τόσο τις υπολογιστικές υ-
ποδομές που χρειάζεται, καθώς και πλατφόρμες ανάπτυξης
εφαρμογών στις οποίες οι χρήστες μπορούν να αναπτύξουν
τις δικές τους εφαρμογές. Αυτό σημαίνει ότι ο πάροχος της
υπηρεσίας είναι σε θέση να υποστηρίξει εργαλεία ανάπτυξης
προγραμματισμού, βιβλιοθήκες, και υπηρεσίες.
Software as a Service - Οι Οργανισμοί - χρήστες της υ-
πηρεσίας, κάνουν χρήση τόσο των παρεχόμενων πληροφοριακών
υποδομών όσο και των εφαρμογών, η χρήση
των οποίων παρέχεται με τη μορφή υπηρεσίας.
Σε κάθε ένα από τα παραπάνω μοντέλα παροχής υπηρεσιών
μέσω υποδομών cloud, οι χρήστες δεν οικειοποιούνται, διαχειρίζονται
ή ελέγχουν την παρεχόμενη υποδομή. Μπορούν ω-
στόσο να έχουν (περιορισμένο) έλεγχο σε επίπεδο λειτουργικού
συστήματος και εφαρμογών. Οι υποδομές cloud μπορούν
να υλοποιηθούν με διάφορους τρόπους - είτε πρόκειται να λειτουργήσουν
εσωτερικά ενός Οργανισμού είτε πρόκειται να
χρησιμοποιηθούν από πάροχο σχετικών υπηρεσιών με σκοπό
την κάλυψη των αναγκών πολλαπλών πελατών.
Οι υποδομές Cloud στις περισσότερες περιπτώσεις υλοποιούνται
με κάποιον από τους παρακάτω τρόπους:
Public Cloud - Η υποδομή προσφέρει υπηρεσίες στο ευρύ
κοινό. Έχει αναπτυχθεί στο πλαίσιο της υποδομής ενός
security | 11

COVER ISSUE
Cloud Computing
τούτου είναι δύσκολο να μεταφραστούν σε αριθμούς ή να μετρηθούν
σε οικονομικά μεγέθη.
παρόχου υπηρεσιών Cloud και λειτουργεί εκτός των εταιρικών
πληροφοριακών υποδομών των εκάστοτε χρηστών της.
Community Cloud - Η υποδομή cloud προορίζεται για α-
ποκλειστική χρήση από συγκεκριμένες ομάδες χρηστών ή
Οργανισμών (π.χ. κάθετες βιομηχανίες, σχολεία, ερευνητές,
προγραμματιστές λογισμικού) που έχουν κοινές απαιτήσεις
και αντικείμενο εργασίας. Οι εν λόγω υποδομές μπορεί
να υλοποιηθούν εντός ενός Οργανισμού ή στο πλαίσιο
της υποδομής ενός παρόχου υπηρεσιών (outsourcing).
Private Cloud - Η υποδομή μπορεί να χρησιμοποιηθεί α-
πό ένα και μόνο Οργανισμό (πελάτη). Οι εν λόγω υποδομές
μπορεί να υλοποιηθούν εντός ενός Οργανισμού ή στο
πλαίσιο της υποδομής ενός παρόχου υπηρεσιών.
Hybrid Cloud - Η υποδομή αποτελεί σύνθεση των παραπάνω
τρόπων υλοποίησης. Κάθε τρόπος υλοποίησης λειτουργεί
σαν μία ξεχωριστή υποδομή του ίδιου παρόχου υ-
πηρεσιών cloud.
Οι υπηρεσίες και γενικότερα οι υποδομές cloud υπόσχονται
μια σειρά από οφέλη που περιλαμβάνουν τη μετατροπή του πάγιου
κόστους σε λειτουργικό, τη γενικότερη μείωση του κόστους
των λειτουργικών δαπανών, μεγαλύτερη ευελιξία, τυποποίηση
στην παροχή υπηρεσιών, βελτίωση της ικανοποίησης
των χρηστών και ανταγωνιστικό πλεονέκτημα μέσω της βελτιστοποίησης
χρήσης της τεχνολογίας. Να σημειώσουμε ότι μερικά
από αυτά τα οφέλη είναι αρκετά υποκειμενικά και ως εκ
Τα επιχειρηματικά οφέλη του cloud computing
Να αναλύσουμε κάποια από τα επιχειρηματικά οφέλη των υ-
πηρεσιών – υποδομών cloud, έτσι ώστε να κατανοήσουμε πού
στοχεύει η κάποιες φορές υπέρμετρη, κουραστική και επαναλαμβανόμενη
φιλολογία περί cloud. Αν και η υπόσχεση της ε-
ξοικονόμησης χρημάτων είναι ένα πολύ ελκυστικό δέλεαρ σε
ό,τι αφορά στο cloud, ίσως το μεγαλύτερο όφελος για τις επιχειρήσεις
να αφορά στον εξορθολογισμό των επιχειρηματικών
διαδικασιών και στην απελευθέρωση πόρων με σκοπό την
αύξηση της καινοτομίας. Το cloud, υπό συνθήκες, συνεισφέρει
στην αύξηση της παραγωγικότητας μέσω του εξορθολογισμού
των επιχειρηματικών διαδικασιών με τη χρήση της κατάλληλης
τεχνολογίας. Τα συγκεκριμένα οφέλη ίσως να ήταν
απαγορευτικά δίχως το cloud, λόγω του αυξημένου κόστους
αγοράς και συντήρησης της απαιτούμενης υποδομής.
Οι Οργανισμοί μπορούν να εστιάσουν στις βασικές επιχειρηματικές
τους δραστηριότητες, χωρίς να ανησυχούν για τη διαχείριση
της πληροφοριακής τους υποδομής. Η άμεση επίλυση
τεχνολογικών θεμάτων όπως η απόδοση των συστημάτων,
η αξιοπιστία των back ups, η άμεση επεκτασιμότητα και η ικανοποίηση
των τελικών χρηστών, είναι λίγα μόνο από τα ελκυστικά
οφέλη του cloud.
Μερικά από τα βασικά πλεονεκτήματα της χρήσης υπηρεσιών
μέσω cloud είναι τα ακόλουθα:
Έλεγχος & συγκράτηση του κόστους - Το cloud προσφέρει
στις επιχειρήσεις τη δυνατότητα κλιμάκωσης των πληροφοριακών
πόρων που χρησιμοποιούν, χωρίς προηγούμενη οικονομική
δέσμευση, σε αντίθεση με την αγορά και συντήρηση
των πληροφοριακών υποδομών. Η χρήση των υπηρεσιών
cloud απαιτεί ελάχιστη έως μηδενική προηγούμενη δαπάνη. Υ-
πηρεσίες και τεχνολογία αποθήκευσης και επεξεργασίας των
δεδομένων είναι διαθέσιμες ανάλογα με τη ζήτηση και τις α-
νάγκες των χρηστών τους και η κοστολόγησή τους γίνεται α-
νάλογα με το χρόνο χρήσης του. Με το cloud επιτυγχάνεται
επιπλέον μείωση κόστους, από την άποψη της σπατάλης πόρων
που δεν χρησιμοποιούνται. Οι επιχειρήσεις δεν ξοδεύουν
χρήματα για πληροφοριακούς πόρους που δεν χρησιμοποιούν
(για παράδειγμα, αγορά επιπλέον αποθηκευτικού χώρου)
και μπορούν να διαθέσουν χρήματα και πόρους σε νέες
12 | security

τεχνολογίες και υπηρεσίες. Όμως, επειδή η πραγματικότητα δεν είναι ί-
δια για κάθε τύπο επιχείρησης ή Οργανισμό, θα πρέπει να προηγηθεί η
άσκηση του υπολογισμού των υφιστάμενων δαπανών που απαιτούνται για
την αγορά και διαχείριση των πληροφοριακών πόρων, αλλά και το συνολικό
κόστος κτίσης τους και να συγκριθεί με τις δαπάνες που απαιτούνται
για τις ίδιες υπηρεσίες μέσω cloud.
Αμεσότητα – Η αμεσότητα στην παροχή υπηρεσιών αποτελεί ένα από
τα πλεονεκτήματα το οποίο χρησιμοποιήθηκε κατά κόρον στα πρώτα βήματα
προώθησης των υπηρεσιών cloud. Η δυνατότητα των υπηρεσιών
cloud να παρέχουν στον τελικό χρήστη άμεσα το επιθυμητό αποτέλεσμα,
σε αντίθεση με τα παραδοσιακά έργα πληροφορικής τα οποία διαρκούν
κάποιες εβδομάδες ή και μήνες προκειμένου να ολοκληρωθούν. Η αμεσότητα
έχει σημαντικότατα οφέλη που αφορούν στην ευελιξία των επιχειρήσεων
και τη μείωση του κόστους που συνδέεται με χρονικές καθυστερήσεις.
Διαθεσιμότητα – Οι πάροχοι υποδομών – υπηρεσιών Cloud διαθέτουν
υποδομές οι οποίες υλοποιούν όλες εκείνες τις τεχνικές και διαχειριστικές
δικλείδες, με σκοπό την αυξημένη διαθεσιμότητα υποδομών και υ-
πηρεσιών. Παρ’ όλη την επιβεβαίωση των παρόχων υπηρεσιών cloud σε
σχέση με το επίπεδο διαθεσιμότητας που παρέχουν, οι χρήστες των υ-
πηρεσιών χρειάζεται να εξασφαλίσουν τη δυνατότητα λειτουργίας τους
σε περιπτώσεις σοβαρής διακοπής της παροχής των υπηρεσιών.
Επεκτασιμότητα - Οι υπηρεσίες μέσω cloud προσφέρουν αυξημένη ευελιξία
και επεκτασιμότητα ανάλογη των απαιτήσεων των πελατών τους.
Οι πελάτες χρησιμοποιούν την υπολογιστική ισχύ που τους χρειάζεται και
ανάλογα με τις ανάγκες τους ζητούν αύξηση ή μείωση αυτής, με την α-
ντίστοιχη χρέωση.
Αποδοτικότητα – Η εναπόθεση όλων των καθημερινών διαχειριστικών
εργασιών των πληροφοριακών πόρων σε παρόχους υπηρεσιών cloud, δίνει
την ευκαιρία στους Οργανισμούς να επικεντρωθούν σε νέες τεχνολογίες,
σε έρευνα και ανάπτυξη ή απλούστερα να επικεντρωθεί η επιχείρηση
στους βασικούς της στόχους και επιδιώξεις και όχι σε ζητήματα υ-
ποστήριξης της καθημερινής της λειτουργίας.
Ανθεκτικότητα – Εκτός από την αυξημένη διαθεσιμότητα, οι πάροχοι
υπηρεσιών cloud διαθέτουν τεχνολογικές και διαχειριστικές μεθόδους
συνέχισης παροχής των υπηρεσιών τους, ακόμα και σε περιπτώσεις καταστροφής
ή μερικής απώλειας των πληροφοριακών τους πόρων από φυσική
ή άλλη αιτία.
Από τα παραπάνω γίνεται αντιληπτό ότι οι υπηρεσίες cloud έχουν υλοποιηθεί
γύρω από τη φιλοσοφία ότι αναλαμβάνουν μέρος της διαχείρισης
πληροφοριών και πληροφοριακών πόρων ενός Οργανισμού, με
σκοπό την εξοικονόμηση πόρων οι οποίοι θα επικεντρωθούν στη βελτίωση
των εταιρικών διαδικασιών και στην αύξηση της παραγωγικότητας,
ενώ παράλληλα ο πάροχος των υπηρεσιών cloud θα διαχειρίζεται μέρος
της επιχειρησιακής δραστηριότητας εξυπνότερα, γρηγορότερα και
φθηνότερα.

COVER ISSUE
Cloud Computing
Εάν αποδεχθούμε τη συγκεκριμένη θέση, τότε χρειάζεται επίσης
να ξέρουμε ότι προκειμένου να γευτούμε τα οφέλη των υ-
πηρεσιών cloud, χρειάζονται αλλαγές στις επιχειρηματικές διαδικασίες
έτσι ώστε να εκμεταλλευτούν τα όποια οφέλη.
Κίνδυνοι & απειλές ασφάλειας
Τα χαρακτηριστικά του cloud είναι τόσο οι τεράστιες ευκαιρίες
που προσφέρει, καθώς και οι κίνδυνοι που το συνοδεύουν. Μερικοί
από τους κινδύνους ήδη υπάρχουν. Με τη χρήση του
cloud οι επιπτώσεις τους αυξάνονται και ταυτόχρονα νέοι κίνδυνοι
εμφανίζονται. Η κατανόηση των κινδύνων είναι εξίσου σημαντική
με την κατανόηση του πώς το cloud θα βοηθήσει τον
εκάστοτε Οργανισμό.
Ο προσδιορισμός και η αποτίμηση
των κινδύνων είναι διαφορετικά
για κάθε Οργανισμό και ε-
ξαρτώνται από το μοντέλο
cloud που θα επιλέξει να χρησιμοποιήσει.
Σε μεγάλο βαθμό οι
κίνδυνοι εξαρτώνται και από τον τρόπο
υλοποίησης του cloud. Εάν δηλαδή
πρόκειται για εσωτερική υποδομή ή για την
υποδομή ενός παρόχου υπηρεσιών cloud. Το δεύτερο
σενάριο είναι λογικό να έχει και τη μεγαλύτερη
επικινδυνότητα.
Οι κίνδυνοι που αφορούν στο cloud ε-
ξαρτώνται και από την τεχνική αρχιτεκτονική,
η οποία θα ακολουθηθεί για την υ-
λοποίηση της εκάστοτε υποδομής.
Παρόλα αυτά, υπάρχουν ορισμένες κατηγορίες κινδύνων οι ο-
ποίες αποτελούν σημείο αναφοράς σε όλους τους τρόπους παροχής
υπηρεσιών cloud.
Πιστοποίηση ταυτότητας – Ένα από τα κρίσιμα θέματα που
αφορούν στη χρήση υπηρεσιών μέσω του διαδικτύου είναι η
πιστοποίηση της ταυτότητας των χρηστών. Ενώ η τεχνολογία
που αφορά στην πιστοποίηση της ταυτότητας των χρηστών έ-
χει βελτιωθεί με την πάροδο του χρόνου, εξακολουθούν να υ-
πάρχουν σοβαροί κίνδυνοι πλαστοπροσωπίας στο χώρο του
διαδικτύου. Είναι πολλές οι περιπτώσεις όπου επιτυχημένες ε-
πιθέσεις μη εξουσιοδοτημένης πρόσβασης και υποκλοπής /
διαστρέβλωσης δεδομένων, έχουν ξεκινήσει από αδυναμίες
των σχημάτων πιστοποίησης ταυτότητας ή από πλαστοπροσωπία.
Στην περίπτωση όπου πολλές και κρίσιμες επιχειρηματικές
πληροφορίες βρίσκονται σε υποδομές cloud, τότε η πιστοποίηση
ταυτότητας αποτελεί ένα από τα σημαντικότερα
θέματα που χρειάζεται να διαχειριστούμε.
Προστασία της ιδιωτικότητας και ασφάλειας των δεδομένων
- Ο έλεγχος των δεδομένων από τους παρόχους υ-
πηρεσιών είναι ένα θέμα που η συζήτησή του κρατάει πολλά
χρόνια και μάλλον έχει κουράσει, μιας και οι όποιες λύσεις δίνονται
(θεσμικά και τεχνικά) είτε δεν εφαρμόζονται είτε δεν λύνουν
το πρόβλημα. Στην περίπτωση του cloud, εκτός από τις
τεχνικές, διαχειριστικές και συμβατικές δικλείδες ασφάλειας
χρειάζεται στενή συνεργασία μεταξύ παρόχου και πελάτη. Χρειάζεται
οι πελάτες να διαμορφώνουν τις δικές τους απαιτήσεις
ανάλογα με την κρισιμότητα των δεδομένων και να κατοχυρώνουν
συμβατικά το δικαίωμά τους για έλεγχο των υποδομών
των εκάστοτε παρόχων, σχετικά με το προσφερόμενο
επίπεδο ασφάλειας πληροφοριών.
Σε κάθε περίπτωση, οι εναπομείναντες
κίνδυνοι απώλειας δεδομένων στο
διαδίκτυο παραμένουν σε υψηλά επίπεδα.
Διασύνδεση με συστήματα στο
εσωτερικό του Οργανισμού -
Οι περισσότεροι Οργανισμοί είτε
δεν χρειάζεται είτε δεν είναι
έτοιμοι να χρησιμοποιήσουν υπηρεσίες
cloud για το σύνολο των πληροφοριακών τους
υποδομών. Υπάρχουν περιπτώσεις όπου απαιτείται η επικοινωνία
συστημάτων τα οποία λειτουργούν στο εσωτερικό ενός Οργανισμού,
με συστήματα και υπηρεσίες που βρίσκονται στο cloud.
Η πολυπλοκότητα των ενδο-εταιρικών εφαρμογών και η δημιουργία
διεπαφών και επικοινωνίας μεταξύ διαφορετικών εφαρμογών
και τεχνολογιών, αυξάνει τους κινδύνους έκθεσης των
δεδομένων.
Διαθεσιμότητα Συστημάτων & Υπηρεσιών – Τα πληροφοριακά
συστήματα και οι εφαρμογές αποτελούν πλέον μέρος
του παραγωγικού γίγνεσθαι ενός Οργανισμού, καθώς και εργαλείο
υλοποίησης της στρατηγικής του. Ως εκ τούτου, η α-
διάλειπτη λειτουργία και η διαθεσιμότητα των πληροφορικών
πόρων είναι σημαντική. Η διαθεσιμότητα των συστημάτων αυτών
πρέπει να είναι σχεδόν εγγυημένη. Αυτό σημαίνει επιπλέον
διαδικασίες ανάκαμψης των πληροφοριακών πόρων, αξιόπιστα
αντίγραφα ασφάλειας και δοκιμές ανάκτησης συστημάτων
και εφαρμογών.
14 | security

Τα παραπάνω αυξάνουν το κόστος διαχείρισης των πληροφοριακών
πόρων. Το γεγονός αυτό αποτελεί και ένα σημείο
στο οποίο ο πάροχος υπηρεσιών cloud μπορεί να εφαρμόσει
οικονομίες κλίμακας, μιας και μπορεί να εξυπηρετήσει τις ανάγκες
πολλών και διαφορετικών πελατών χρησιμοποιώντας κοινή
αρχιτεκτονική αυξημένης διαθεσιμότητας και αδιάλειπτης
λειτουργίας.
Επιχειρηματική συνέχεια – Σημαντικά ερωτήματα προκύπτουν
από τον κίνδυνο αδυναμίας παροχής των υπηρεσιών
που συμφωνήθηκαν από το πάροχο των υπηρεσιών cloud. Δεν
αναφερόμαστε σε περιπτώσεις προσωρινής απώλειας της διαθεσιμότητας
των υπηρεσιών και των δεδομένων, αλλά σε περιπτώσεις
ολοκληρωτικής αδυναμίας παροχής των υπηρεσιών
ή και απώλειας των εταιρικών δεδομένων.
Αρκεί να αναρωτηθούμε τι θα συμβεί εάν ο πάροχος των υ-
πηρεσιών δεν υφίσταται αύριο… Τότε, η οικονομική και λειτουργική
βιωσιμότητα του παρόχου υπηρεσιών cloud έρχεται
στο προσκήνιο.
Προσθέστε σε αυτό το γεγονός της εγκληματικότητας που είναι
σε έξαρση στον κυβερνοχώρο, αλλά και ότι πολλές από τις
υποδομές παροχής των υπηρεσιών cloud λειτουργούν σε χώρες
αυξημένου κινδύνου λόγω πολιτικών και οικονομικών α-
ναταραχών. Τέτοιου είδους κίνδυνοι έχουν μεγαλύτερη επίπτωση
σε περιπτώσεις όπου όλη - ή το σημαντικότερο μέρος
της πληροφοριακής υποδομής ενός Οργανισμού - λειτουργεί
μέσω υπηρεσιών cloud.
Κυριότητα των δεδομένων και άλλα νομικά ζητήματα –
Στις περιπτώσεις όπου μεγάλο μέρος των πληροφοριακών πόρων
εξαρτάται από τον πάροχο των υπηρεσιών cloud, προκύπτουν
διάφορα ερωτήματα. Για παράδειγμα, ποιος είναι ο πραγματικός
κάτοχος των δεδομένων; Πώς μπορούμε να πάρουμε
τα δεδομένα μας στην περίπτωση όπου ο πάροχος των υ-
πηρεσιών cloud πάψει να υφίσταται; Ποια θα είναι η νομική δικαιοδοσία
στην περίπτωση διαφορών και διαφωνιών; Σε ποιον
ανήκουν εφαρμογές που θα αναπτυχθούν; Ποιος είναι υ-
πεύθυνος για παραβιάσεις της ασφάλειας των δεδομένων; Οι
νομικές επιπλοκές μπορούν να αποτελέσουν σοβαρή τροχοπέδη
για μια επιχείρηση - και θα μπορούσαν ενδεχομένως να
οδηγήσουν σε διακοπή της συνέχειας των επιχειρηματικών της
δραστηριοτήτων.
Αντιμετώπιση των κινδύνων Cloud
Οι παραπάνω κίνδυνοι καθώς και όποιους άλλους έχει προσδιορίσει
ο κάθε Οργανισμός, χρήζουν ανάγκη αποτελεσματικής
διαχείρισης και όχι κάποιας θεωρητικής προσέγγισης. Υ-
πάρχει ανάγκη θέσπισης και υλοποίησης ενός αποτελεσματικού
προγράμματος διαχείρισης των κινδύνων, το οποίο θα ε-
ξελίσσεται όπως εξελίσσονται και οι κίνδυνοι που αφορούν
στο cloud.
Σε ένα περιβάλλον όπου η προστασία της ιδιωτικότητας έχει
καταστεί ύψιστης σημασίας για τους χρήστες των υπηρεσιών
cloud, η μη εξουσιοδοτημένη πρόσβαση σε δεδομένα που
βρίσκονται στο cloud αποτελεί σημαντικό κίνδυνο.
Η συμβατική συμφωνία με τον πάροχο υπηρεσιών cloud αποτελεί
ένα από τα ισχυρά εργαλεία για την προστασία των πληροφοριών
ενός Οργανισμού. Προηγουμένως χρειάζεται να έ-
χει διενεργηθεί η καταγραφή και ταξινόμηση των εταιρικών
πληροφοριών, ανάλογα με την κρισιμότητά τους. Αυτό θα βοηθήσει
κατά την επισύναψη της συμφωνίας, προκειμένου να α-
παιτηθεί η εφαρμογή των κατάλληλων δικλείδων ασφαλείας
κατά την αποθήκευση, διαχείριση και επικοινωνία των επιχειρηματικών
πληροφοριών.
Επίσης, πρέπει να αναφέρονται με σαφήνεια οι απαιτήσεις που
αφορούν στην ασφάλεια των πληροφοριών αλλά και στις α-
παιτήσεις ελέγχου του Πάροχου για το επίπεδο ασφάλειας
που προσφέρει. Επιπλέον, οι απαιτήσεις για τη συνέχεια της ε-
πιχειρηματικής δραστηριότητας και την αντιμετώπιση καταστροφών
θα πρέπει να αποτελέσουν μέρος της συμφωνίας.
Log off...
Το μοντέλο υπηρεσιών cloud μπορεί να αποδώσει αποτελεσματικά
μόνο στην περίπτωση όπου ο Οργανισμός - πελάτης
των υπηρεσιών είναι σε θέση να διαχειριστεί τους κινδύνους που
συνεπάγονται από τη χρήση των εν λόγω υπηρεσιών. Ταυτόχρονα
χρειάζεται η ανάλογη προετοιμασία εσωτερικά του Οργανισμού,
προκειμένου να ενσωματώσει αποτελεσματικά το
νέο μοντέλο χρήσης και διαχείρισης των πληροφοριακών του
πόρων.
Το cloud δεν είναι κάτι από το οποίο θα ξεφύγουμε σύντομα.
Είναι η μετάλλαξη των μεγάλων data centers και η εξέλιξη των
υπηρεσιών outsourcing.
Παραπομπές
Cloud Computing: Business Benefits With Security,
Governance and Assurance Perspectives, [ISACA Emerging
Technology White Paper]
NIST Cloud Computing, Security Reference Architecture
[Publication 500-299]
The NIST Definition of Cloud Computing [Publication 800-
145]
Security Guidance for Critical Areas of Focus in Cloud
Computing [Cloud Security Alliance]
Risk Landscape of Cloud Computing [ISACA, Vasant Raval,
CISA, DBA] iTSecurity
security | 15

I SSUE
Η απαίτηση της Ασφάλειας ως κομβικός
παράγοντας υιοθέτησης του Cloud
Έρευνες παγκοσμίως μέχρι πριν κάποιο καιρό, έδειχναν ότι οι όποιες επιφυλάξεις για μετάβαση από
τις παραδοσιακές υποδομές ΙΤ στο Cloud, αφορούσαν κατά κύριο λόγο τα θέματα ασφάλειας των δεδομένων.
Σήμερα όμως έχουν ωριμάσει αρκετά οι συνθήκες ώστε αυτές οι επιφυλάξεις, αν όχι να έ-
χουν εξαλειφθεί, τουλάχιστον να έχουν μειωθεί σημαντικά. Το Cloud δεν είναι απαραίτητα λιγότερο
ή περισσότερο ασφαλές από το συμβατικό περιβάλλον IT ενός Οργανισμού. Η σημαντική διαφορετικότητα
του όμως είναι αλήθεια ότι εγκυμονεί νέους κινδύνους για τα δεδομένα. Κίνδυνοι που εξαρτώνται
από μια σειρά παραμέτρων όπως το είδος των δεδομένων, τους μηχανισμούς ασφαλείας και
κυρίως ποιοι είναι αυτοί και ποιες υποδομές αξιοποιούν για την διαχείριση των δεδομένων σε περιβάλλον
cloud. Το συμπέρασμα λοιπόν που εξάγουμε είναι ότι η μετάβαση στο cloud απαιτεί μια ταυτόχρονη
επαναδιαμόρφωση της στρατηγικής για την ασφάλεια των δεδομένων, ερευνώντας μεταξύ
άλλων τις διάφορες τεχνολογίες που έχουν αναπτυχθεί αλλά και το κανονιστικό πλαίσιο που υπάρχει.
Σε συνέχεια λοιπόν του κεντρικού αφιερώματος του παρόντος τεύχους σχετικά με το cloud computing,
απευθυνθήκαμε σε στελέχη εταιρειών που δραστηριοποιούνται ευρύτερα στο χώρο, προκειμένου να
μας αναπτύξουν τη δική τους προσέγγιση για τις πολλές διαφορετικές παραμέτρους που συνθέτουν
το θέμα της ασφάλειας στο Cloud.
16 | security

Νίκος Μουρτζίνος
Product Sales Specialist, Cisco Security
Ελλάδα, Κύπρος, Μάλτα, Ισραήλ, Πορτογαλία
Από το "Any-to-Any" στο "End-to-End"
Ο κόσμος του "Any-to-Any", δηλαδή η απρόσκοπτη επικοινωνία
από και προς κάθε σημείο, συσκευή και άνθρωπο
και το "Internet of Everything" είναι η εξέλιξη των δυνατοτήτων
σύνδεσης και συνεργασίας που αναπτύσσεται ραγδαία,
παρασύροντας κάθε μορφή εταιρικής αλλά και προσωπικής
επικοινωνίας. Θα μπορούσαμε επίσης να περιγράψουμε
αυτή την εξέλιξη ως τη σύνδεση συσκευών, cloud και
εφαρμογών.
Αν και η εξέλιξη αυτή δεν ήταν απροσδόκητη, οι επιχειρήσεις
σήμερα πιθανό να μην είναι προετοιμασμένες να συμμετέχουν
στον κόσμο του "Any-to-Any", τουλάχιστον όσον
αφορά στην ασφάλεια. Και αυτό, αφού η ουσία του είναι ό-
τι κατευθυνόμαστε ταχύτατα στο σημείο όπου θα είναι όλο
και λιγότερο πιθανό ο χρήστης να έχει πρόσβαση στην εργασία
του μέσω του εταιρικού δικτύου. Οι συσκευές με πρόσβαση
στο internet, συνδέονται πλέον από οπουδήποτε, σε
κάθε σημείο του δικτύου και αναζητούν πρόσβαση σε ε-
φαρμογές που μπορεί να "τρέχουν" οπουδήποτε, όπως ένα
δημόσιο SaaS cloud, ένα ιδιωτικό ή ένα δημόσιο cloud.
Η πρόκληση της δημιουργίας ενός ασφαλούς πλαισίου για
τις εφαρμογές, τις συσκευές και τους χρήστες, γίνεται πιο δύσκολη
από την αναγνώριση του cloud ως το κατάλληλο μέσο
για τη λειτουργία των εταιρικών συστημάτων. Σύμφωνα με
την τελευταία έρευνα της Cisco, η παγκόσμια διακίνηση δεδομένων
μέσω data center θα τετραπλασιαστεί στην επόμενη
πενταετία, με τα cloud δεδομένα να αυξάνονται με τον ταχύτερο
ρυθμό. Έως το 2016 η διακίνηση cloud δεδομένων θα
αποτελεί τα 2/3 της συνολικής κίνησης.
Αποσπασματικές λύσεις ασφάλειας, όπως η εφαρμογή firewall
στην άκρη του δικτύου, δεν προστατεύουν τα δεδομένα
τα οποία βρίσκονται πλέον σε συνεχή κίνηση μεταξύ συσκευών,
δικτύων και cloud. Ακόμα και μέσα στο data center,
το virtualization αποτελεί πλέον τον κανόνα και όχι την ε-
ξαίρεση. Η αντιμετώπιση αυτών των προκλήσεων, σε συνέχεια
του virtualization και του cloud, απαιτεί επανεξέταση
των πολιτικών ασφάλειας, οι οποίες θα αντανακλούν τη νέα
πραγματικότητα και θα ευθυγραμμιστούν με το σύγχρονο ε-
πιχειρηματικό μοντέλο.
Η Cisco θεωρεί το δίκτυο ως το κατάλληλο σημείο για την
υλοποίηση της πολιτικής ασφάλειας και η στρατηγική που
προτείνει θέτει το δίκτυο ως πλατφόρμα για την πολιτική και
την εφαρμογή της και την ασφάλεια ως ένα ενιαίο σύνολο
υπηρεσιών, που μπορούν να ενσωματωθούν στο data center
και το router έως το switch και τις υπόλοιπες συσκευές,
ως μια Εnd-to-Εnd πρόταση. Όλα τα παραπάνω με δυνατότητα
ενιαίας διαχείρισης, καθώς και με υπηρεσίες ενημέρωσης
για διαδικτυακούς κινδύνους, βασισμένες στο cloud.
Η αρχιτεκτονική αυτή ονομάζεται Cisco SecureX Next Generation
Security Architecture και παρέχει εξελιγμένη ασφάλεια
σε κάθε χρήστη και συσκευή, όπου και αν βρίσκεται και
οποιαδήποτε στιγμή. Προϊόντα, λύσεις και υπηρεσίες όπως
το Cisco ASA 1000V Cloud Firewall, Cisco Intrusion Prevention,
Cisco Cloud Email Security and Email Encryption,
Cisco Cloud Web Security, Cisco Identity Services Engine,
Cisco AnyConnect και το Cisco Security Intelligence Operations
(SIO), το οποίο αποτελεί το μεγαλύτερο παγκοσμίως
εργαλείο ενημέρωσης για διαδικτυακές απειλές, χρησιμοποιώντας
περίπου 1 εκατομμύριο πηγές πληροφόρησης και
δημιουργώντας σχεδόν 8 εκατομμύρια ενημερώσεις ανά η-
μέρα, συνθέτουν την πιο ολοκληρωμένη Εnd-to-Εnd πρόταση
ασφάλειας για το cloud.
Επιπλέον, η πρόσφατη εξαγορά της εταιρείας "Cognitive Security",
η οποία έχει αναπτύξει τεχνολογίες τεχνητής νοημοσύνης
για τον εντοπισμό των απειλών μέσα και έξω από
το δίκτυο, ενισχύει την προστασία από προηγμένες απειλές
στον κυβερνοχώρο.
Κωνσταντίνος Ζαλαχώρης
Διευθύνων Σύμβουλος
Οι βέλτιστες πρακτικές για τη χρήση των cloud
απο τις επιχειρήσεις ακόμα διαμορφώνονται
Τα τελευταία χρόνια αναπτύχθηκαν πολλές λύσεις για την
προστασία των κρίσιμων για τη λειτουργία μιας επιχείρησης
υποδομών, δεδομένων και πληροφοριών. Προστατευόμαστε
από διαδικτυακές απειλές, πρέπει να διασφαλίσουμε
την επιχειρησιακή συνέχεια, να διαχειριστούμε την
πρόσβαση στα συστήματα, να αποτρέψουμε την υποκλοπή
δεδομένων, να προστατέψουμε τους προσωπικούς υ-
πολογιστές και τις κινητές συσκευές, να είμαστε συμβατοί
security | 17

I SSUE
Η απαίτηση της Ασφάλειας ως κομβικός παράγοντας υιοθέτησης του Cloud
με διεθνείς και τοπικούς κανόνες, νόμους και στάνταρτ.
Και πάνω που οι Διευθυντές Πληροφορικής και Επικοινωνιών
πίστευαν ότι βρίσκονται σε καλό σημείο για την αντιμετώπιση
των προβλημάτων ασφάλειας, η άφιξη του virtualization
πρώτα και των clouds πιο πρόσφατα, δημιούργησαν
νέα προβλήματα, ερωτηματικά και αμφιβολίες.
Οι απαιτήσεις για ασφάλεια δεν άλλαξαν αλλά άλλαξαν
δραματικά τα περιβάλλοντα όπου οι πληροφορίες, απόλυτη
αξία για την κάθε επιχείρηση, αποθηκεύονται, διακινούνται,
μοιράζονται και γίνονται προσβάσιμες. Τα συστήματα
των επιχειρήσεων, πραγματικά απόρθητα και α-
πομονωμένα κάστρα κάποτε, επιτρέπουν πλέον πρόσβαση
στα δεδομένα τους σε στελέχη, συνεργάτες , προμηθευτές
και πελάτες ακόμα και σε social media. Και με την
έλευση των cloud, οι επιχειρήσεις δυνητικά δεν γνωρίζουν
ούτε που ακριβώς βρίσκονται τα πολύτιμα δεδομένα τους,
ούτε έχουν τα κατάλληλα εργαλεία ώστε να ελέγξουν ότι
όλες οι διαδικασίες που αφορούν τα δεδομένα τους ακολουθούν
τις απαραίτητες πολιτικές ασφάλειας. Συνεχίζουν
όμως να είναι υπόλογες απέναντι στο νόμο για πιθανή κακή
χρήση ή διακίνηση προσωπικών δεδομένων και πρέπει
οι ίδιες να εξασφαλίσουν ότι ο πάροχος των υπηρεσιών
cloud διαχειρίζεται τα δεδομένα τους με τη δέουσα προσοχή.
Ενδεικτικό είναι ότι μέχρι σήμερα μόνο έξι πάροχοι
στην Αμερική έχουν καταφέρει να είναι συμβατοί με το
FedRAMP στανταρντ, ώστε να παρέχουν πιο εύκολα υπηρεσίες
cloud στο Αμερκάνικο δημόσιο.
Από τη μία λοιπόν τα αναμφισβήτητα πλεονεκτήματα του
cloud, μείωση κόστους και ευελιξία και απο την άλλη “απώλεια»
ελέγχου. Το συμπέρασμα; Οι βέλτιστες πρακτικές
για τη χρήση των cloud απο τις επιχειρήσεις ακόμα διαμορφώνονται
και η προσωπική εμπειρία χρήσης των υπηρεσιών
ίσως είναι ο καλύτερος τρόπος για να μάθετε. Υ-
πάρχουν αρκετοί κίνδυνοι στο cloud αλλά αυτοί μπορούν
να αναλυθούν με τη βοήθεια των ειδικών ώστε η κάθε ε-
πιχείρηση να αποφασίσει για τα βήματα που θα ακολουθήσει.
Αν δηλαδή θα προχωρήσει πρώτα με τα λιγότερο
κρίσιμα συστήματα και σε δεύτερη φάση με τα πιο σημαντικά.
Γιατί η εποχή του cloud έφτασε και είμαι σίγουρος
ότι σύντομα δεν θα υπάρχει εταιρεία που να μην χρησιμοποιεί
τέτοιες υπηρεσίες.
Γιώργος Ράικος
Γενικός Γραμματέας ISACA Athens
Chapter, MSc, DipBA, CISA, CISM, Business
& Executive Coach
Σταμάτης Πασσάς
Social Media Coordinator & Assistant
Webmaster ISACA Athens Chapter, Ethnodata
S.A. (NBG) - IT Compliance & Control
Dept., MSc in Computer Studies, MBA
Cloud Security: Βέλτιστες Πρακτικές από τον
ISACA®
Τα τελευταία χρόνια το cloud computing έχει γίνει κάτι περισσότερο
από ένα ακόμα “IT buzzword”, εγείροντας ό-
πως είναι αναμενόμενο πολλά θέματα GRC.
Το 2009 η μελέτη White Paper-Cloud Computing: Business
Benefits with Security, Governance and Assurance Perspectives
του ISACΑ® αναφέρει ότι «πρόκειται για μια τάση
των επιχειρήσεων που αναμένεται να έχει μια σημαντική
επίδραση στον τρόπο που η κάθε μία λειτουργεί. Tο cloud
computing αναμένεται να αποκτήσει ακόμη μεγαλύτερη σημασία
με το πέρασμα των ετών, καθώς η τεχνολογία και η
σχετική αγορά παροχής υπηρεσιών ωριμάζουν συνεχώς. Σε
περιόδους μείωσης του κόστους και οικονομικής ύφεσης, το
cloud computing μπορεί να αποδειχθεί μία πιο αποδοτική
προσέγγιση για την τεχνολογική υποστήριξη της επιχείρησης.
Ωστόσο, η ασφάλεια και η προστασία των δεδομένων
ακόμη θεωρούνται κρίσιμα ζητήματα κατά την υιοθέτηση
των υπηρεσιών cloud computing».
Οι έλεγχοι ασφάλειας στο cloud δεν διαφοροποιούνται σημαντικά
από τους αντίστοιχους ελέγχους των παραδοσιακών
υλοποιήσεων. Παρά ταύτα, οι υλοποιήσεις στο cloud συνιστούν
ιδιαίτερες προκλήσεις στους τομείς ασφάλειας των
πληροφοριακών συστημάτων. Κάθε υλοποίηση στο cloud, ι-
σορροπεί μετά βίας μεταξύ της έλλειψης άμεσου ελέγχου
18 | security

των δεδομένων και της διατήρησης της απόλυτης ευθύνης
για τη λειτουργία και τα δεδομένα από τον ανάδοχο.
Η διάθεση ενός Οργανισμού να αναλάβει μικρό ή μεγάλο
ποσοστό ρίσκου, είναι μία πολύ σημαντική στρατηγική επιλογή,
η οποία αντικατοπτρίζεται στην επιμέρους πολιτική α-
σφαλείας και τα διαφορετικά της τμήματα σε επίπεδο δικτύου,
φυσικής ασφάλειας, λογικής ασφάλειας και ασφάλειας
των εφαρμογών. Σύμφωνα με τις ISACA IT Governance
Institute Guidelines, η χρηστή διαχείριση του ρίσκου, επιτάσσει
την υιοθέτηση και την επιχειρησιακή ένταξη ενός
μοντέλου αποτελεσματικής εταιρικής διακυβέρνησης, στην
οποία οφείλει να αναφέρεται και η πολιτική και οι έλεγχοι
για τη διαχείριση του κινδύνου και την ασφάλεια των δεδομένων.
Κάτω από αυτό το πρίσμα, η συμμόρφωση με τις
ρυθμιστικές αρχές και τις ισχύουσες νομικές διατάξεις, η ε-
πιβολή ελέγχων στον πάροχο του cloud - σύμφωνα με την
εταιρική πολιτική ελέγχου και το σχετικό δικαίωμα ελέγχου,
θα πρέπει να εξασφαλίζονται από τον Οργανισμό αναφορικά
με την υλοποίηση του cloud.
Η υιοθέτηση κρυπτογραφικής τεχνολογίας, ελέγχου λογικών
προσβάσεων, ταυτοποίησης χρηστών και ασφαλών απομακρυσμένων
προσβάσεων και συνδέσεων, αποτυπώνονται και
εφαρμόζονται ανελλιπώς, με σκοπό την περαιτέρω θωράκιση
του συστήματος ασφαλείας.
Με βάση τα αποτελέσματα της μελέτης Cloud Computing
Market Maturity Study Results που διεξήχθη από το CSA
και τον ISACA® το 2012, για να ωριμάσει περαιτέρω το
cloud computing ώστε οι επιχειρήσεις να λάβουν τα οφέλη
που αυτό έχει υποσχεθεί – όπως είναι η συγκράτηση του κόστους
(cost containment), η αμεσότητα (immediacy), η διαθεσιμότητα
(availability), η επεκτασιμότητα (scalability), η α-
πόδοση (efficiency) και η ελαστικότητα (resiliency), θα πρέπει
να δοθεί λιγότερη έμφαση ως προς την τεχνολογική
προσέγγιση και περισσότερη ως προς την κατανόηση μίας
καινοτομίας που δρα καταλυτικά ως enabler σε μια επιχείρηση.
Ο κίνδυνος που σχετίζεται με το cloud computing, θα
πρέπει να αντιμετωπιστεί συνολικά σε επιχειρηματικό και ε-
πιχειρησιακό επίπεδο. Μπορεί ακόμη να αντιπροσωπεύει
μία μοναδική ευκαιρία να επαναπροσδιοριστούν συνολικά τα
IT controls και να διασφαλιστεί η κάθε επιχείρηση ως προς
την προστασία δεδομένων, τη διαθεσιμότητα των συστημάτων
και τη συμμόρφωση.
Η μεθοδολογία που ακολουθείται κατά την υλοποίηση ενός
μοντέλου cloud θα πρέπει να είναι συμβατή και ευθυγραμμισμένη
με την επιχειρησιακή στρατηγική, προκειμένου να
αποδώσει τη μέγιστη προσδοκώμενη αξία σε σχέση με τα
επενδυόμενα κεφάλαια και το ανθρώπινο δυναμικό που έ-
χει δεσμευτεί. Η επιτυχία του εγχειρήματος είναι αποτέλεσμα
πολλών συνιστωσών και η μεγιστοποίηση στη διάρκειά
της είναι το τελικό ζητούμενο αποτέλεσμα.
Ο ISACA® καθοδηγώντας τις εξελίξεις και στο χώρο του
cloud, ήδη θέτει μέσα από το paper “Cloud Governance:
Questions Boards of Directors Need to Ask” τις πιο κρίσιμες
ερωτήσεις στις οποίες θα πρέπει να έχει την απάντηση
η Διοίκηση ενός Οργανισμού πριν «βγει στο cloud”. Οι υ-
λοποιήσεις του cloud παραμένουν μία πρόκληση για κάθε
ειδικό ασφάλειας, αλλά η προστιθέμενη εμπειρία του παρελθόντος
προσδίδει κάποιες καλές κατευθυντήριες γραμμές
για να αποφύγει κανείς τους “επικίνδυνους υφάλους” και
την αποτυχία που μπορεί να κοστίσει πολύ ακριβά.
Vladimir Udalov
Senior Corporate Marketing Manager
Πώς να προστατεύσετε τα δεδομένα σας στο
cloud
Πολύ συχνά, όταν μιλάμε για τεχνολογίες cloud ο βασικός
προβληματισμός των επιχειρήσεων είναι το αν είναι τελικά
πιο επικίνδυνο να αποθηκεύονται δεδομένα στο cloud
ή σε κάποιο φυσικό server. Η απάντηση είναι ότι αυτό ε-
ξαρτάται από τα μέτρα ψηφιακής ασφάλειας που χρησιμοποιούνται.
Η πλειοψηφία των υπηρεσιών cloud είναι βασισμένη
σε τεχνολογίες virtualization. Η χρήση συγκεκριμένων
λύσεων antivirus που έχουν αναπτυχθεί για εικονικά
περιβάλλοντα, αυξάνει τα επίπεδα προστασίας της υ-
πηρεσίας cloud και επιτρέπει την ισορροπία ανάμεσα στην
ασφάλεια και την αποδοτικότητα.
Υπάρχουν αρκετές προσεγγίσεις στο θέμα της ασφάλειας.
Μια κλασική προσέγγιση είναι η εγκατάσταση antivirus
προστασίας σε κάθε εικονικό server. Ωστόσο, αυτό συχνά
ενδέχεται να αναιρεί όλα τα πλεονεκτήματα της virtualization
– την αποδοτικότητα και τη δυνατότητα ελέγχου. Η
εγκατάσταση μιας λύσης antivirus σε κάθε εικονικό μηχάνημα
σημαίνει πως θα αναβαθμίζονται ξεχωριστά, χρησιμοποιώντας
τις δικές τους μηχανές antivirus. Σε αυτήν την
περίπτωση κάθε προϊόν λειτουργεί αυτόνομα, υπερφορτώνοντας
το δίκτυο και τους υπολογιστικούς πόρους. Γι’
αυτόν το λόγο έχουν εμφανιστεί στην αγορά συγκεκριμέsecurity
| 19

I SSUE
Η απαίτηση της Ασφάλειας ως κομβικός παράγοντας υιοθέτησης του Cloud
νες συγκεντρωτικές λύσεις για εικονικά περιβάλλοντα. Για
την ώρα πάντως, πολύ λίγες από αυτές τις λύσεις είναι διαθέσιμες
– στην πραγματικότητα μόνο ένα παρόμοιο προϊόν
υπήρχε πριν την εμφάνιση του Kaspersky Security for
Virtualization.
Η agent-less λύση ασφαλείας εξαφανίζει την ανάγκη για διπλούς
πόρους σε κάθε virtual μηχάνημα, βοηθώντας τη
βελτιστοποίηση της απόδοσης, τη μείωση του κόστους
του hardware και της κατανάλωσης ενέργειας, καθώς και
τη λεπτομερή καταγραφή των διαδικασιών ασφάλειας, σύμφωνα
με τις απαιτήσεις του ελέγχου συμμόρφωσης. Έτσι,
το Kaspersky Security for Virtualization υποστηρίζει την
πλατφόρμα VMware ESXi, έχοντας σημαντικά λιγότερες α-
παιτήσεις από προϊόντα που εγκαθίστανται ξεχωριστά σε
κάθε εικονικό μηχάνημα. Επιπλέον, η Kaspersky Lab ανακοίνωσε
πρόσφατα τη δημιουργία του Kaspersky Security
for Virtualization-Light Agent, ειδικά σχεδιασμένου για C-
itrix XenServer, Citrix XenDesktop και Microsoft Hyper-
V. Η νέα τεχνολογία είναι πλήρως ενσωματωμένη στο
Kaspersky Endpoint Security for Business, την εταιρική λύση-ορόσημο
της εταιρείας.
Μερικές φορές τα εικονικά μηχανήματα απαιτούν αναβάθμιση
όταν παραμένουν offline για αρκετό καιρό. Έτσι
προκαλείται «συνωστισμός» που αφήνει απροστάτευτο το
πρόσφατα ενεργοποιημένο μηχάνημα, ενώ οι αναβαθμίσεις«κατεβαίνουν».
Αν η μηχανή antivirus «τρέχει» σε ξεχωριστό
virtual μηχάνημα, θα είναι πάντα ενημερωμένη
και το εικονικό μηχάνημα θα προστατεύεται αυτόματα, τη
στιγμή που συνδέεται με το δίκτυο. Ο ανεξάρτητος server
είναι μονίμως ενεργοποιημένος και παρακολουθεί το
δίκτυο. Το προϊόν της Kaspersky Lab χρησιμοποιεί ένα συγκεκριμένο
VMware interface – το vShield – το οποίο μεταβιβάζει
αρχεία από εικονικά μηχανήματα για να ελεγχθούν
από το Kaspersky Security for Virtualization.
Επιπλέον, το προϊόν της Kaspersky Lab προσφέρει ένα μοναδικό
σύστημα προστασίας από εισβολές (IDS/IPS), προστασία
εναντίον του κακόβουλου λογισμικού με τη χρήση
σε πραγματικό χρόνο πληροφοριών για τις απειλές από τo
Kaspersky Security Network καθώς και το χαρακτηριστικό
Shared Cache που βελτιώνει την απόδοση της προστασίας
με την ανίχνευση παρόμοιων αρχείων στα εικονικά
μηχανήματα, χωρίς να χρειάζεται η ξεχωριστή ανάλυση
καθενός από αυτά. Αυτά τα χαρακτηριστικά, σε συνδυασμό
με τα εργαλεία συγκεντρωτικής διαχείρισης βοηθούν
τις εταιρείες να προστατεύουν με μεγαλύτερη ευκολία
και αξιοπιστία τα δεδομένα τους στο cloud.
Η διαδικασία αδειοδότησης ενδέχεται να αποτελέσει σημαντικό
πρόβλημα για τις εταιρείες. Πρέπει να σημειωθεί
πως η αγορά του Kaspersky Security for Virtualization μπορεί
να πραγματοποιηθεί με μία άδεια για τον κεντρικό ε-
πεξεργαστή που ελέγχει τα εικονικά μηχανήματα, επιτρέποντας
την κάλυψη πολλών μηχανημάτων.
Γιώργος Καπανίρης
Business Development Director
Η Sophos δείχνει το δρόμο για ένα λαμπρό
μέλλον στο cloud
Ενώ παντού γίνεται συζήτηση για το cloud, πολλά ερωτήματα
παραμένουν εντελώς αναπάντητα για τις επιχειρήσεις
και τους επαγγελματίες της πληροφορικής. Πρόσφατα
στην Αθήνα έγινε το διεθνές συνέδριο της Sophos που
φιλοξένησε περισσότερα από 600 άτομα από όλη την Ευρώπη,
τη Μέση Ανατολή και την Αφρική. Είναι σαφές το
ενδιαφέρον που υπάρχει από όλη την αγορά σχετικά με
τη διαχείριση της ασφάλειας στο cloud για τερματικά (endpoint),
πύλες (gateways) αλλά και φορητές συσκευές. Στο
συνέδριο αντιμετωπίστηκε το θέμα της ασφάλειας στο
cloud και παρουσιάστηκε μία νέα ιδέα διάθεσης της α-
σφάλειας ως υπηρεσίας στο cloud, κάτι που σίγουρα θα ενθουσιάσει
την αγορά της πληροφορικής παγκοσμίως.
Ο στόχος της Sophos είναι να ενεργοποιήσει μέσω ειδικού
περιβάλλοντος διαχείρισης στο Web το πλήρες χαρτοφυλάκιο
των προϊόντων της, έτσι ώστε οι συνεργάτες
να μπορούν να εξυπηρετούν τους πελάτες τους μέσω του
Cloud. Το πρώτο στάδιο για να επιτευχθεί κάτι τέτοιο θα
είναι η πλήρης προστασία των τερματικών (endpoint protection)
χωρίς να απαιτείται τοπικός διακομιστής διαχείρισης
για τη διαχείριση των πολιτικών ασφαλείας και των
20 | security

αναφορών (reporting) στο χώρο του πελάτη, κάτι που θα
μπορεί πλέον να γίνεται μέσω μίας κεντρικής εφαρμογής
στο cloud. Στη συνέχεια θα δοθεί η δυνατότητα φιλτραρίσματος
ιστοσελίδων, δικτυακής ασφάλειας και προστασίας
κινητών συσκευών.
Να σημειωθεί ότι η Sophos θα συνεχίσει να υποστηρίζει
όλα τα συστήματα προστασίας που προορίζονται για το
χώρο του πελάτη για την ασφάλεια τερματικών και δεδομένων,
αλλά και τα προϊόντα δικτυακής ασφάλειας. Το
Sophos Cloud έρχεται για να προσφέρει μία πραγματικά
συναρπαστική εναλλακτική προοπτική πλήρους διαχείρισης
της ασφάλειας στο cloud, για πελάτες που θέλουν
στρατηγικά να κινηθούν προς αυτήν την κατεύθυνση.
Αυτό που κάνει το Sophos Cloud πραγματικά μοναδικό
είναι η καινοτόμος λειτουργία εξατομικευμένων πολιτικών
και αναφορών. Αυτός είναι ένας πραγματικά εντελώς σύγχρονος
τρόπος διαχείρισης της ασφάλειας από μία επιχείρηση
που επικεντρώνεται προς το χρήστη και όχι τα
μηχανήματα που χρησιμοποιεί (user security). Αφού οριστεί
μία πολιτική για ένα χρήστη, αυτή θα τηρηθεί σε κάθε
σύστημα που χρησιμοποιεί, όπου και να βρεθεί εντός
ή εκτός της επιχείρησης, δίνοντας άμεση πληροφόρηση για
τη δραστηριότητα και την προστασία του μέσω ενός ειδικού
κέντρου ελέγχου (dashboard) του Sophos Cloud και
του εξελιγμένου συστήματος αναφορών.
Το Sophos Cloud στοχεύει να είναι η πλατφόρμα του μέλλοντος
για την παροχή ασφάλειας ως υπηρεσία σε όλα τα
επίπεδα. Το Sophos Cloud θα περιλαμβάνει όλα όσα α-
παιτούνται για την προστασία τόσο των χρηστών όσο και
όλων των συσκευών τους, καθώς και των δικτύων στα ο-
ποία συνδέονται. Τα επιπλέον υποσυστήματα ασφαλείας θα
είναι διαθέσιμα ως add-ons, έτσι ώστε οι πελάτες να μπορούν
να ενεργοποιήσουν αποκλειστικά την προστασία που
χρειάζονται και στη συνέχεια εύκολα να μπορούν να ε-
νεργοποιήσουν και επιπλέον υποσυστήματα προστασίας
ανά πάσα στιγμή, αφού ελέγξουν πρώτα ότι τους καλύπτει
η λειτουργικότητά τους (try-and-buy).
Είναι προφανές ότι η Sophos έχει προσεγγίσει το θέμα του
cloud με ένα εντελώς διαφορετικό τρόπο, κάνοντας τη διαχείριση
της ασφάλειας απλούστερη και πολύ πιο “έξυπνη”,
ενσωματώνοντας την πολύχρονη εμπειρία της, κάνοντας ό-
μως τη διαχείριση της ασφάλειας απλούστερη από ποτέ. Η
νέα κονσόλα διαχείρισης (management console) στο cloud
έχει μια εντελώς νέα διεπαφή, πλήρως εκσυγχρονισμένη, ε-
ξασφαλίζοντας τη βέλτιστη πρακτική και απλοποιώντας ταυτόχρονα
τα πράγματα για τους διαχειριστές.
Ήδη σε beta, το Sophos Endpoint Cloud έχει προγραμματιστεί
για έναρξη στις ΗΠΑ και το Ηνωμένο Βασίλειο αυτό
το καλοκαίρι - και σύντομα η υπηρεσία θα υποστηριχθεί
παγκοσμίως.
Κωνσταντίνος Βαβούσης
Strategic Manager
Cloud Computing: Πλέον η ασφάλεια περνάει
από το “σύννεφο”
Ένα από τα πιο δημοφιλή θέματα συζητήσεων στον κλάδο
της πληροφορικής αποτελεί το cloud computing και η
στροφή εταιρειών ακόμη και κυβερνήσεων προς αυτήν την
κατεύθυνση. Οι εταιρείες παροχής υπηρεσιών cloud προσφέρουν
έναν εναλλακτικό τρόπο διαχείρισης των λύσεων
πληροφορικής με πολλά οφέλη, συμπεριλαμβανομένων
της αυξημένης ευελιξίας και της σημαντικής μείωσης του
κόστους. Μείωση, που στις μέρες μας φαντάζει σωτήρια.
Τροχοπέδη όμως στην ένταξη των περισσότερων εταιρειών
αποτελούσε μέχρι αρκετά πρόσφατα - και ακόμη α-
πασχολεί αρκετούς - η ασφάλεια. Κατά πόσο δηλαδή διαφυλάσσονται
ασφαλώς τα κρίσιμα εταιρικά - και όχι μόνο
- δεδομένα των εταιρειών μας στο “σύννεφο”. Αυτοί οι
φόβοι επιδεινώνονταν κατά διαστήματα λόγω των εκάστοτε
δυσλειτουργιών που προέκυπταν κατά κύριο λόγο σε
κορυφαίες εταιρείες, όπως ακριβώς έγινε με την Amazon,
όταν το καλοκαίρι του 2011 ένα κακόβουλο λογισμικό - παραλλαγή
του SpyEye - εκμεταλλεύτηκε την υπηρεσία Simple
Storage (Amazon S3).
Η ασφάλεια στο cloud αποτελεί ένα καυτό θέμα που “καίει”
όλες τις εταιρείες παροχής υπηρεσιών cloud computing,
με αρκετούς να έχουν καταφέρει με μεγάλη επιτυχία
να λύσουν πρακτικά ζητήματα κυρίως σε ό,τι αφορά στην
ασφάλεια και την εξασφάλιση των εταιρικών δεδομένων.
Δεν είναι λίγες οι εταιρείες/ πάροχοι υπηρεσιών cloud οι
οποίες έχουν καταφέρει να επεκτείνουν επιτυχώς τις πολιτικές
ασφάλειας σε εφαρμογές που βρίσκονται πίσω α-
πό το εταιρικό firewall μιας επιχείρησης, αλλά και να ενδυναμώσουν
εφαρμογές που βρίσκονται σε περιβάλλον
cloud, προστατεύοντας παράλληλα το ηλεκτρονικό ταχυδρομείο
και την αυθεντικοποίηση ταυτότητας χρηστών που
αποτελούν πολύ σημαντικά στοιχεία για μια επιχείρηση η
security | 21

I SSUE
Η απαίτηση της Ασφάλειας ως κομβικός παράγοντας υιοθέτησης του Cloud
οποία χρησιμοποιεί εκτεταμένα υπηρεσίες cloud.
Παρατηρούμε ολοένα και περισσότερες υπηρεσίες cloud να
κάνουν την εμφάνισή τους και να χρησιμοποιούνται κατά
κόρον από χρήστες τόσο σε προσωπικό όσο και σε εταιρικό
επίπεδο. Χαρακτηριστικό παράδειγμα αποτελεί το Dropbox,
το οποίο είναι μία από τις πιο διαδεδομένες και εξαιρετικά
δημοφιλείς υπηρεσίες διαχείρισης δεδομένων στο
“σύννεφο”. Όπως αναφέραμε, τέτοιου είδους υπηρεσίες παρουσιάζουν
αρκετά προβλήματα κατά κύριο λόγο σε θέματα
ασφάλειας, τα οποία όμως σταδιακά αρχίζουν και εξαλείφονται
εισάγοντας νέες μεθόδους για την ενίσχυση της
ασφάλειας των παρεχόμενων υπηρεσιών, αλλά και δίνοντας
συμβουλές στους χρήστες για πιο ασφαλή διαχείριση.
Αρκετές βελτιστοποιήσεις σε θέματα ασφάλειας έχουν καταφέρει
να κερδίσουν την εμπιστοσύνη ολοένα και περισσότερων
χρηστών, οι οποίοι με την πάροδο του χρόνου
δείχνουν έστω και δειλά σημάδια μεγαλύτερης ευαισθητοποίησης
σε σύγκριση με παλαιότερα, όσον αφορά στην
ασφάλεια των δεδομένων τους. Πλέον υποστηρίζεται από
ορισμένες υπηρεσίες επιτυχώς η ενεργοποίηση δύο σταδίων
ελέγχου, που έχει να κάνει με την υποστήριξη επιλογής
εισαγωγής όχι μόνο του κωδικού πρόσβασης του ε-
κάστοτε χρήστη, αλλά και του κωδικού ασφάλειας προκειμένου
να αποκτηθεί πρόσβαση στο λογαριασμό. Μια ε-
πίσης ισχυρή μέθοδος για την ασφάλεια των δεδομένων
μας στο cloud αποτελεί σταθερά η κρυπτογράφηση. Οι υ-
πηρεσίες cloud από μόνες τους δεν προσφέρουν κάποιο
σοβαρό τρόπο κρυπτογράφησης, αλλά υπάρχουν πολλοί
απλοί τρόποι που μπορούν να υιοθετηθούν από τον εκάστοτε
χρήστη. Οι πιο προχωρημένοι χρήστες προτιμούν
το TrueCrypt - φυσικά υπάρχουν και άλλες υπηρεσίες που
είναι πιο φιλικές, όπως το BoxCryptor, ενώ οι λάτρεις των
Linux μπορούν να χρησιμοποιήσουν το EncFS.
Ένα ενθαρρυντικό στοιχείο και για την ελληνική πραγματικότητα
αποτελεί το γεγονός ότι ολοένα και περισσότεροι
Οργανισμοί και επιχειρήσεις στρέφονται για λύσεις στο
“σύννεφο”, ανταποκρινόμενοι με ελάχιστη δυσπιστία στο
ασφαλές πλέον τεχνολογικό κάλεσμα που ακούει στο ό-
νομα cloud computing.
Χωρίς να παραβλέψουμε τον άπλετο χώρο για βελτιστοποιήσεις,
μπορούμε να πούμε πλέον με ασφάλεια ότι το
cloud computing αποτελεί μία από τις σημαντικότερες τάσεις
στη διαχείριση και την αποθήκευση δεδομένων παγκοσμίως.
Πάνος Μητρόπουλος
General Manager
Websense Cloud Web & Email Security
Η ασφάλεια του διαδικτύου σήμερα, απαιτεί την πιο προηγμένη
άμυνα -σε πραγματικό χρόνο- σε συνδυασμό με την
ευκολία ανάπτυξης, μείωση λειτουργικού κόστους και την
διαθεσιμότητα μιας Cloud υπηρεσίας ασφαλείας.
Οι Websense Cloud Web Security λύσεις αναλύουν το
web περιεχόμενο και εντοπίζουν απειλές σε πραγματικό
χρόνο μέσω του ACE (Advanced Classification Engine).
Ειδικότερα, αναλύουν όλες τις εισερχόμενες και εξερχόμενες
επικοινωνίες, μπλοκάρουν τις επιθέσεις από malware,
ελέγχουν το botnet των επικοινωνιών και εντοπίζουν
τις απειλές για την κλοπή στοιχείων. Επίσης ελέγχουν σε
βάθος τα Social web applications (π.χ. Facebook, Twitter,
LinkedIn, Youtube κλπ) καθώς και την κυκλοφορία HTTPS
για την επικύρωση των προορισμών των web υπηρεσιών.
Η προστασία του email με την λύση Websense είναι απλή
διαδικασία. Απλά, σημειώνουμε τα MX records στα datacenters
της Websense και τα email καθαρίζονται πριν φτάσουν
στο δίκτυο του οργανισμού, εξοικονομώντας bandwidth
αφαιρώντας τα spam και τις απειλές στο cloud.
Πάνω από 89% των ανεπιθύμητων email περιέχουν συνδέσμους
συχνά σε κακόβουλες τοποθεσίες (sites). Αυτό
κάνει το ηλεκτρονικό ταχυδρομείο μια ανοιχτή πόρτα σε
κλοπή δεδομένων. Στην πραγματικότητα, πολλές από τις
μεγαλύτερες επιθέσεις στην ΙΤ ασφάλεια ενός οργανισμού,
ξεκινούν από μείγμα τρωτών σημείων ηλεκτρονικού ταχυδρομείου
και ιστοσελίδων. Οι λύσεις ασφαλείας ηλεκτρονικού
ταχυδρομείου Cloud της Websense κλείνουν αυτή
την πόρτα παρέχοντας απαράμιλλη προστασία ενάντια στις
σύγχρονες στοχευμένες επιθέσεις, αναμειγνύοντας ένα α-
πό τα υψηλότερα επίπεδα προστασίας για τα εισερχόμενα
και εξερχόμενα email.
22 | security

Περιλαμβάνεται ενσωματωμένη κρυπτογράφηση που εξασφαλίζει
την ασφάλεια του email χωρίς να θυσιάζεται η
δυνατότητα να ελέγχει τα κρυπτογραφημένων email για
κακόβουλο λογισμικό και παραβίαση του περιεχόμενου.
Γεώργιος Α. Κορέλλης
CEO
Λύσεις ασφάλειας μέσα από το Cloud
Το απαιτητικό και ανταγωνιστικό περιβάλλον και οι δύσκολες
συνθήκες στην αγορά, επιβάλλουν στις διοικήσεις
εγρήγορση ως προς την ενεργή διαχείριση του ισολογισμού
τους και συνεχή παρακολούθηση των πηγών κόστους
και κινδύνων με ιδιαίτερη λεπτομέρεια.
Παράλληλα, οι αλλαγές στο εργασιακό καθεστώς, οι απολύσεις
και οι μισθολογικές μειώσεις διαφοροποιούν με ά-
κρως δραματικό τρόπο τη σχέση εργοδότη – υπαλλήλου,
έχοντας διαλύσει την εμπιστοσύνη μεταξύ τους. Αν επιπλέον
αναλογιστεί κανείς την αναπτυσσόμενη χρήση του
διαδικτύου και των κινητών συσκευών και τη διαρκώς αυξανόμενη
εξάρτηση των Οργανισμών από υπηρεσίες μέσω
διαδικτύου, είναι φανερό πως θέματα ασφάλειας επιβάλλουν
ακόμη μεγαλύτερη προσοχή και απαιτούν καινοτόμες
προσεγγίσεις που προσδίδουν πραγματικό όφελος
στις επιχειρήσεις.
Επομένως, τα κύρια κριτήρια που οι Διευθυντές Πληροφορικής
και Ασφάλειας πρέπει να αξιολογούν σε σχέση με
τις ανάγκες αγοράς, λειτουργίας και συντήρησης τεχνολογιών
ασφάλειας σήμερα, είναι:
1. Αποτελεσματικότητα των τεχνολογιών που χρησιμοποιούνται
– πρέπει να είμαστε προστατευμένοι!
2. Ταχύτητα υλοποίησης – η παραδοσιακή μέθοδος υ-
λοποίησης με 4-34 εβδομάδες για υλοποίηση, δεν είναι
πλέον αποδεκτή.
3. Δυνατότητα αναβάθμισης - σε αριθμό χρηστών ή ε-
πιπλέον λειτουργικότητα χωρίς νέο υλισμικό ή λογισμικό
και χωρίς αλλαγές στην αρχιτεκτονική δικτύου του
Οργανισμού.
4. Υποστήριξη ευρείας γκάμας κινητών συσκευών –
τόσο σε σχέση με την ανάγκη για αύξηση της παραγωγικότητας,
της υποστήριξης χρηστών που ταξιδεύουν
(π.χ. στελέχη και πωλητές), αλλά και της νέας τάσης για
Bring Your Own Device.
5. Τυποποίηση των πολιτικών ασφάλειας – για Οργανισμούς
με πολλαπλά σημεία παρουσίας και χρήστες
που κινούνται εκτός γραφείων, η τυποποίηση των τεχνικών
πολιτικών ασφάλειας αποτελεί σημαντική πρόκληση,
καθώς το παραμικρό λάθος, αβλεψία ή παράλειψη
θέτουν σε κίνδυνο ολόκληρο το οικοσύστημα του
Οργανισμού, λόγω του «πιο αδύναμου κρίκου». Επομένως,
η υποδομή ασφάλειας πρέπει να διασφαλίζει ό-
τι οι πολιτικές είναι κοινές και εφαρμόζονται πανομοιότυπα
σε στατικά σημεία και σε κινητές συσκευές.
6. Χαμηλό κόστος ιδιοκτησίας – το συνολικό κόστος
ιδιοκτησίας οποιασδήποτε τεχνολογίας και ιδιαίτερα
εκείνων της ασφάλειας δεν περιορίζεται στις κεφαλαιουχικές
δαπάνες αγοράς εξοπλισμού και λογισμικού,
αλλά περιλαμβάνει έξοδα λειτουργίας και συντήρησης,
όπως: χώρος στις καμπίνες, ηλεκτρικό ρεύμα, κλιματισμός,
ηλεκτρογεννήτριες, UPS, συνδρομές λογισμικού,
συνδρομές για αντικατάσταση / αποκατάσταση εξοπλισμού
και βεβαίως το κόστος του προσωπικού με ευθύνη
για την ασφάλεια και την καλή λειτουργία της υποδομής
ασφάλειας.
Η PhoenixPro www.phoenixpro.com παρέχει πρωτοποριακές
και άκρως καινοτόμες λύσεις ασφάλειας μέσα
από το Cloud, κάτω από την οικογένεια λύσεων του
φ-Cloud (το PhoenixPro Security-as-a-Service Cloud). Το
φ-Cloud είναι βέλτιστα σχεδιασμένο για τις ανάγκες προστασίας
της ηλεκτρονικής περιμέτρου μίας ή περισσοτέρων
υποδομών των πελατών μας, με συγκεκριμένα, απτά
και μετρήσιμα οφέλη: Υψηλή ηλεκτρονική ασφάλεια υποδομών
και δεδομένων. Ασφάλεια για κινητές συσκευές και
για απομακρυσμένη επικοινωνία σε υποδομές και συστήματα.
Σημαντική μείωση του κόστους (μέχρι και 60% σε ο-
ρίζοντα 3ετίας). Υλοποίηση εντός 1 ημέρας. Υποστήριξη κινητών
πλατφόρμων (iPhones, iPads, Android κ.λπ.). Υψηλή
διαθεσιμότητα υπηρεσιών. Δεν απαιτείται αγορά υλισμικού
ή λογισμικού. Δεν χρειάζονται αλλαγές στην υποδομή
του Οργανισμού. Δεν απαιτείται εξειδεικευμένο προσωπικό
ασφάλειας. Παρέχεται (προαιρετικά) κονσόλα διαχείρισης.
Αναβαθμίζεται γρήγορα (χρήστες, επιπλέον υ-
πηρεσίες). Ασφαλή επιχειρηματικά δεδομένα. Οι λύσεις
είναι ανεξάρτητες της τοποθεσίας των σημείων και των
χρηστών του Οργανισμού. Δυνατότητα τυποποίησης και
ταυτόσημης εφαρμογής των πολιτικών ασφάλειας παντού
και πάντα. iTSecurity
security | 23

I SSUE
ΜΕ ΤΗ ΣΥΝΕΡΓΑΣΙΑ & ΤΗ ΧΟΡΗΓΙΑ ΤΗΣ
Έρευνα για την
Ασφάλεια Πληροφοριών 2013
Το IT Security Professional σε συνεργασία με την EMC Hellas πραγματοποίησαν έρευνα
στις Ελληνικές επιχειρήσεις με βασικούς πυλώνες τις επενδύσεις για την ασφάλεια πληροφοριών,
τις στρατηγικές που εφαρμόζονται για την προστασία των δεδομένων και τις
πολιτικές που υιοθετούνται σχετικά με τις νέες τάσεις στο IT, υπό το πρίσμα των υπευθύνων
των IT υποδομών.
Έ
χουν περάσει σχεδόν 2,5 χρόνια από τότε που πραγματοποιήσαμε την πρώτη μας έρευνα για την Α-
σφάλεια των Πληροφοριών στις Ελληνικές Επιχειρήσεις. Σε αυτά τα 2,5 χρόνια είναι αλήθεια ότι έχουν
αλλάξει αρκετά πράγματα μέσα στο οικοσύστημα του ΙΤ των επιχειρήσεων. Η αποθήκευση και διαχείρι-
24 | security

ση των πληροφοριών ηλεκτρονικά, εξελίσσεται και λαμβάνει
διάφορες μορφές. Ο όγκος των δεδομένων αυξάνεται
συνεχώς. Ταυτόχρονα αυξάνονται ποιοτικά και ποσοτικά
οι κίνδυνοι και οι τρωτότητες, ενώ οι νέες τάσεις στο ΙΤ
επιβάλλουν την επαναδιαμόρφωση των στρατηγικών και
την υιοθέτηση νέων τεχνολογιών για την προστασία των
πληροφοριών. Σε αυτό το περιβάλλον όμως, δεν πρέπει να
παραβλεπουμε το γεγονός ότι οι οικονομικές συνθήκες
έχουν δυσκολέψει αρκετά, με αποτέλεσμα να υπάρχει ένας
γενικότερος περιορισμός στις επενδύσεις για οτιδήποτε
αφορά στις υποδομές του IT.
Σε αυτά τα πλαίσια πραγματοποιήσαμε με την πολύτιμη συνεργασία
και χορηγία της EMC Hellas μια νέα έρευνα για
την Ασφάλεια Πληροφοριών, από την οποία προέκυψαν ι-
διαίτερα ενδιαφέροντα ευρήματα.
Ως μια πρώτη αποτίμηση και έχοντας γνώση έρευνες που έ-
χουν πραγματοποιηθεί παγκοσμίως με παρόμοια ερωτήματα,
είναι αξιοσημείωτο ότι τα αποτελέσματα της δικής μας έ-
ρευνας δεν απέχουν πολύ με αυτά των αντίστοιχων ερευνών
που διενεργούνται εκτός Ελλάδας. Το στοιχείο αυτό δείχνει
ότι παρόλο το γεγονός ότι η οικονομική κρίση έχει οδηγήσει
στον περιορισμό των budget, τα ζητήματα που αφορούν
στην ασφάλεια πληροφοριών γενικότερα, αντιμετωπίζονται
πλέον στην Ελλάδα με μεγαλύτερη προσοχή και ωριμότητα.
Αν θέλαμε να ξεχωρίσουμε κάποια από τα ευρήματα της έ-
ρευνας, θα μπορούσαμε να επισημάνουμε το γεγονός ότι έ-
χει αυξηθεί η πίστη για την αποτελεσματικότητα των μέτρων
που λαμβάνουν οι επιχειρήσεις για την ασφάλεια των πληροφοριών,
μιας και η πλειοψηφία του δείγματος δήλωσαν
αρκετά σίγουροι για αυτά. Επίσης οι εφαρμογές Backup/
Ταυτότητα της έρευνας
Η έρευνα πραγματοποιήθηκε κατά τους μήνες Απρίλιο - Μάιο
και ως δείγμα επιλέχθηκαν 200 Ελληνικές επιχειρήσεις α-
πό ένα μεγάλο φάσμα δραστηριοτήτων και κλίμακας. Συγκεκριμένα,
όπως διακρίνουμε και από το διάγραμμα 1, το 18 %
των επιχειρήσεων που έλαβαν μέρος στην έρευνα απασχολούν
μεταξύ 501 και 1000 εργαζόμενους, ενώ υπάρχουν και
πολλές εταιρείες (35%) με 151 έως 500 εργαζόμενους. Το υ-
πόλοιπο 47 % του δείγματος περιλαμβάνει επιχειρήσεις με κάτω
από 150 εργαζόμενους.
151-500
35%
501 – 1.000
18%
Αριθμός εργαζομένων

I SSUE
Έρευνα για την Ασφάλεια Πληροφοριών 2013
Business Continuity αποτελούν προτεραιότητα για τις επιχειρήσεις,
με την πολύ μεγάλη πλειοψηφία αυτών να δηλώνει
ότι τις εντάσσει στη στρατηγική ασφάλειας. Επίσης, ό-
πως προκύπτει από την έρευνα, η απροσεξία ή απειρία των
εργαζομένων αύξησαν κατά κύριο λόγο την έκθεση σε κινδύνους
για την ασφάλεια πληροφοριών τους τελευταίους 12
μήνες. Ακόμα ενδιαφέρον παρουσιάζει το γεγονός ότι σχεδόν
τα 2/3 των ερωτηθέντων δήλωσαν ότι στις επιχειρήσεις
τους εφαρμόζεται περιορισμένη ή καθόλου πρόσβαση σε ι-
στοσελίδες κοινωνικής δικτύωσης.
Πως αναμένετε να κυμανθούν τον επόμενο χρόνο
οι επενδύσεις για την ασφάλεια πληροφοριών στην
επιχείρησή σας σε σχέση με τον προηγούμενο χρόνο;
Θα μειωθούν
11%
Αναμένεται να
αυξηθούν
28%
Διάγραμμα 4
Θα παραμείνουν στα
ίδια επίπεδα
61%
Επενδύσεις σχετικά με την Ασφάλεια
Πληροφοριών
Στα ενδότερα της έρευνας και επιχειρώντας να αξιολογήσουμε
το πώς οι Ελληνικές επιχειρήσεις λειτουργούν σε σχέση
με τις επενδύσεις που σχετίζονται με την Ασφάλεια Πληροφοριών
σήμερα, διαπιστώσαμε ότι σε σχετική ερώτηση
το 61 % του συνόλου απάντησε ότι οι επενδύσεις για την
ασφάλεια πληροφοριών θα παραμείνουν στα ίδια επίπεδα
σε σχέση με τον προηγούμενο χρόνο, κάτι που ακούγεται
φυσιολογικό, λαμβάνοντας υπόψη το ευρύτερο οικονομικό
περιβάλλον. Επίσης, όπως διακρίνουμε και στο διάγραμμα
4, υπάρχει ένα 28 % των επιχειρήσεων που δηλώνουν
ότι θα αυξήσουν τις επενδύσεις για το συγκεκριμένο τομέα,
κάτι που κρίνεται αρκετά ενθαρρυντικό σε μια περίοδο
όπως αυτή που διανύουμε.
Στη συνέχεια επιχειρήσαμε να αναλύσουμε περισσότερο τον
τρόπο της κατανομής των χρημάτων που σκοπεύουν να δαπανήσουν
οι επιχειρήσεις τη χρονιά που διανύουμε, στους
διάφορους τομείς που σχετίζονται με την ασφάλεια πληροφοριών
- με την ευρύτερη έννοια. Από τα αποτελέσματα
σχετικής ερώτησης, όπως αυτά απεικονίζονται στο διάγραμμα
5, συμπεραίνουμε ότι στους περισσότερους τομείς
Συγκριτικά με το προηγούμενο έτος, η εταιρία σας σκοπεύει να δαπανήσει περισσότερα χρήματα,
σχεδόν τα ίδια η λιγότερα μέσα στο 2013 για τις ακόλουθες δραστηριότητες;
Εξασφάλιση νέων τεχνολογιών
31%
52%
17%
Συνέχιση της επιχειρηματικής δραστηριότητας / disaster recovery
28%
57%
15%
Τεχνολογίες και διαδικασίες για την πρόληψη της διαρροής / απώλειας δεδομένων
21%
66%
18%
Ενημέρωση και εκπαίδευση σε θέματα ασφαλείας
14%
65%
21%
Έλεγχος της ασφάλειας
18%
70%
12%
Λειτουργίες ασφαλείας
19%
69%
12%
Διοίκηση και διαχείριση του τομέα ασφάλειας
13%
71%
16%
Τεχνολογίες και διαδικασίες για τη διαχείριση κινδύνων και αδυναμιών
19%
64%
17%
Παρακολούθηση της συμμόρφωσης
17%
66%
17%
Παρακολούθηση του γεγονότος και του περιστατικού ασφαλείας
15%
72%
13%
Διάγραμμα 5
26 | security

Πόσο σίγουροι είστε οτι οι ενέργειες για την
ασφάλεια των πληροφοριών είναι αποτελεσματικές;
Διάγραμμα 6
Λίγο
12%
Καθόλου
1%
Αρκετά
74%
Πολύ
13%
τα χρήματα που θα δαπανηθούν θα είναι σχεδόν τα ίδια,
κάτι που είναι φυσιολογικό, λαμβάνοντας υπόψη και το α-
ποτέλεσμα του προηγούμενου ερωτήματος. Παρόλα αυτά,
υπάρχουν επιχειρήσεις σε ποσοστό 31% που δηλώνουν ότι
θα δαπανήσουν περισσότερα χρήματα για την εξασφάλιση
νέων τεχνολογιών και ακολουθεί με μικρή διαφορά
η συνέχιση της επιχειρηματικής δραστηριότητας (28%), ενώ
ένα 21 % του δείγματος δήλωσαν ότι θα αυξήσουν τις δαπάνες
για τεχνολογίες σχετικά με το DLP.
Αναζητώντας στη συνέχεια το βαθμό εμπιστοσύνης στην α-
ποτελεσματικότητα των ενεργειών που υιοθετούν οι
επιχειρήσεις σε σχέση με την ασφάλεια των πληροφοριών
διαπιστώσαμε σύμφωνα και με τα όσα απεικονίζονται
στο διάγραμμα 6 ότι το 74% δηλώνουν αρκετά σίγουρες
για την αποτελεσματικότητα αυτών των ενεργειών, έ-
να 13% δηλώνουν πολύ σίγουρες, ενώ συνολικά μόλις το 13%
δηλώνουν λίγο ή καθόλου σίγουρες, κάτι που μπορεί να δείχνει
αρκετά θετικό αν βασίζεται σε πραγματικά γεγονότα,
αλλά παράλληλα ίσως εμπεριέχει και το στοιχείο ενός επικίνδυνου
εφησυχασμού.
Αναφορικά με το ποιοι είναι οι παράγοντες που επηρεάζουν
τις δαπάνες για την ασφάλεια πληροφοριών, κρίνεται
φυσιολογικό ότι το 80% των επιχειρήσεων απάντησαν ό-
τι είναι οι οικονομικές συνθήκες, ενώ καταγράφεται και ένα
60% να δηλώνουν ότι σε αυτούς τους παράγοντες είναι η διασφάλιση
της συνέχισης της επιχειρηματικής δραστηριότητας
και ένα 43% η συμμόρφωση προς την εσωτερική πολιτική
και το κανονιστικό πλαίσιο (διάγραμμα 7).
Αξιολόγηση της Στρατηγικής Ασφάλειας και
των Απειλών
Με στόχο να αξιολογήσουμε τις προτεραιότητες σε σχέση
με τη στρατηγική ασφάλειας που υιοθετεί η κάθε επιχείρηση,
θέσαμε στη διάθεση των ερωτηθέντων ορισμένες βασικές
επιλογές λειτουργιών, που μπορούν να ενσωματωθούν στη
Ποιά είναι τα επιχειρηματικά ζητήματα ή οι παράγοντες που επηρεάζουν τις δαπάνες της εταιρίας σας
για την ασφάλεια των πληροφοριών;
80%
60%
43% 43%
34%
11%
Οικονομικές συνθήκες
Συνέχιση της
επιχειρηματικής
δραστηριότητας /
disaster recovery
Συμμόρφωση
προς την
εσωτερική πολιτική
Συμμόρφωση
προς το
κανονιστικό πλαίσιο
Φήμη της εταιρίας
Αλλαγή και
μετασχηματισμός
της επιχειρηματικής
δραστηριότητας
Διάγραμμα 7
security | 27

I SSUE
Έρευνα για την Ασφάλεια Πληροφοριών 2013
Ποιές από τις παρακάτω λειτουργίες εντάσσονται στη στρατηγική ασφαλείας που έχετε υιοθετήσει;
96%
83% 82%
71%
59%
43%
20%
11% 9%
Backup / Business Έλεγχος
Continuity των χρηστών
και της πρόσβασης
Ασφάλεια
εφαρμογών
Φυσική
ασφάλεια
Καταγραφή και
παρακολούθηση
Απογραφή
και διαχείριση
περιουσιακών
στοιχείων
Ταξινόμηση
επιχειρηματικής
αξίας των
δεδομένων
Αλλαγή
Διαχείρισης
Διαχείριση
χρηστών
Διάγραμμα 8
βασική αυτή στρατηγική. Όπως λοιπόν φαίνεται και από το
διάγραμμα 8, στην κορυφή των λειτουργιών που εντάσσονται
στη στρατηγική ασφάλειας, με ποσοστό 96% βρίσκεται
το Backup & Business Continuity και ακολουθούν με
ιδιαίτερα υψηλά ποσοστά ο έλεγχος χρηστών κατά την πρόσβαση
(83%) και η ασφάλεια των εφαρμογών (82%).
Επιχειρώντας στη συνέχεια να αναδείξουμε τα βασικά ε-
μπόδια για την αποτελεσματικότητα της ασφάλειας
Ποιά πιστεύετε οτι είναι τα βασικά εμπόδια
για την αποτελεσματικότητα της ασφάλειας
των πληροφοριών της εταιρίας σας;
88%
Περιορισμοί
του
προϋπολογισμού
Διάγραμμα 9
29%
Έλλειψη
κατάλληλων
εργαλείων
26%
Έλλειψη
πόρων
δεξιοτήτων
19%
Έλλειψη
εκτελεστικής
υποστήριξης
των πληροφοριών θέσαμε σχετική ερώτηση και τα αποτελέσματα
που λάβαμε καταδεικνύουν σε ποσοστό 88% ότι οι
περιορισμοί του προϋπολογισμού αποτελούν το μεγαλύτερο
- με διαφορά - ανασταλτικό παράγοντα, όπως βλέπουμε
και στο διάγραμμα 9.
Αναφορικά τώρα με τα ευρήματα της έκθεσης για τις απειλές
και τις τρωτότητες που αντιμετώπισαν οι επιχειρήσεις
τους τελευταίους 12 μήνες, διακρίνουμε στο διάγραμμα 10
ότι το μεγαλύτερο ποσοστό του δείγματος (72%) απάντησαν
ότι ήταν η απροσεξία και η απειρία των εργαζομένων.
Μεγάλο ποσοστό (67%) στο ίδιο ερώτημα καταλαμβάνει και
η απειλή των ανεπιθύμητων ηλεκτρονικών μηνυμάτων, ενώ α-
κολουθεί με 60% το κακόβουλο λογισμικό.
Με στόχο στη συνέχεια να διερευνήσουμε τους τρόπους
που επιλέγουν οι εταιρίες να αξιολογήσουν την αποτελεσματικότητα
και την αποδοτικότητα της ασφάλειας
πληροφοριών απευθύναμε στους ερωτηθέντες σχετικό
ερώτημα, από το οποίο προκύπτει ότι κάθε επιχείρηση
επιλέγει αρκετούς τρόπους για να το πετύχει αυτό. Συγκεκριμένα,
η πλειοψηφία αυτών (76%) μας απάντησαν ό-
τι επιλέγουν διαδικασίες εσωτερικού ελέγχου, ενώ όπως
διακρίνουμε και στο διάγραμμα 11, για το ίδιο ερώτημα,
πάνω από τις μισές εταιρείες (56%) μας απάντησαν ότι ε-
φαρμόζουν εσωτερικές αυτοαξιολογήσεις με διαδικασίες
28 | security

Ποιές απειλές και τρωτότητες αύξησαν κατά κύριο λόγο την έκθεση σε κινδύνους
για την ασφάλεια πληροφοριών κατά τους τελευταίους 12 μήνες;
Απροσεξίες ή απειρία εργαζομένων
72%
Ανεπιθύμητα ηλεκτρονικά μηνύματα
67%
Κακόβουλο λογισμικό
60%
Phising
32%
Τρωτότητες που σχετίζονται με το cloud computing
Τρωτότητες που σχετίζονται με τη χρήση μέσων κοινωνικής δικτύωσης
26%
25%
Εσωτερικές απειλές
19%
Μη εξουσιοδοτημένες προσβάσεις
Ηλεκτρονικές απάτες
16%
16%
Μη ενημερωμένοι έλεγχοι ή αρχιτεκτονική για την ασφάλεια των πληροφοριών
14%
Ηλεκτρονικές επιθέσεις με σκοπό την κλοπή οικονομικών δεδομένων
9%
Ηλεκτρονικές επιθέσεις για την αποδιοργάνωση της λειτουργίας της εταιρίας
8%
Επιθέσεις κατά υπολογιστών για την κλοπή πνευματικής ιδιοκτησίας ή δεδομένων
6%
Διάγραμμα 10
ΙΤ και ασφάλειας πληροφοριών, ενώ ένα 45% υποστηρίζουν
ότι η αξιολόγηση γίνεται μέσα από την παρακολούθηση
των περιστατικών ασφαλείας και ένα 33% με εσωτερική
αξιολόγηση.
Στη συνέχεια επιλέξαμε να διαγνώσουμε ποιους παράγοντες
αξιολογούν οι επιχειρήσεις ως οικονομικές απώλειες
έπειτα από μια παραβίαση ασφάλειας. Και εδώ, ό-
πως βλέπουμε στο διάγραμμα 12 οι απαντήσεις είναι παραπάνω
από μία, με το 56% του δείγματος να θεωρεί τη ζημιά
στην εμπορική επωνυμία και φήμη ως βασικό παράγοντα
οικονομικών απωλειών και να ακολουθεί με ποσοστό 40% η
απώλεια των πελατών.
Η διαρροή των ευαίσθητων πληροφοριών αποτελεί θεμελιώδες
ζήτημα στην αξιολόγηση μιας στρατηγικής ασφάλειας
και για να επιτευχθεί απαιτούνται ορισμένες ενέργειες. Σε
σχετική ερώτηση της έρευνας προκειμένου να αναδείξουμε
ποιες από αυτές τις ενέργειες λαμβάνουν οι ελληνικές
επιχειρήσεις, συμπεραίνουμε ότι με μικρές σχετικά διαφορές,
οι περισσότερες από αυτές υιοθετούν κυρίως τέσσερις
ενέργειες - και συγκεκριμένα, τους εσωτερικούς έλεγχους
(61%), την κλειδωμένη/περιορισμένη χρήση hardware
(59%), τη χρήση πρόσθετων μηχανισμών ασφαλείας για την
προστασία των πληροφοριών (55%) και τον καθορισμό ειδικής
πολιτικής αναφορικά με την αξιολόγηση και τη διαχείριση
των ευαίσθητων πληροφοριών (55%). Σε αυτό το ε-
ρώτημα υπάρχουν και άλλες απαντήσεις που επέλεξαν αρ-
Με ποιό τρόπο η εταιρία σας αξιολογεί την αποτελεσματικότητα και την αποδοτικότητα της ασφάλειας
των πληροφοριών;
Με διαδικασίες εσωτερικού ελέγχου
Εσωτερικές αυτοαξιολογήσεις με διαδικασίες ΙΤ και ασφάλειας πληροφοριών
Παρακολούθηση και αξιολόγηση των περιστατικών ασφαλείας
Εξωτερική αξιολόγηση
Αξιολόγηση της λειτουργικής απόδοσης της ασφάλειας των πληροφοριών
Πιστοποίηση σύμφωνα με εξωτερικά πρότυπα ασφαλείας
Σε συνεργασία με τον εξωτερικό οικονομικό έλεγχο
Αξιολόγηση των δαπανών για την ασφάλεια των πληροφοριών
11%
10%
19%
18%
33%
45%
56%
76%
Μη πραγματοποίηση ελέγχων
Συγκριτική αξιολόγηση έναντι συναδέλφων/ανταγωνιστών
Πιστοποίηση σύμφωνα με βιομηχανικά προτύπων ασφαλείας
Αξιολόγηση της απόδοσης της επένδυσης (ROI)
8%
7%
6%
5%
Διάγραμμα 11
security | 29

I SSUE
Έρευνα για την Ασφάλεια Πληροφοριών 2013
Ποιοί παράγοντες λαμβάνονται υπόψη ως οικονομικές απώλειες έπειτα από παραβιάσεις ασφάλειας;
56%
40%
25%
21% 21%
17%
11%
Ζημιά στην εμπορική
επωνυμία/φήμη
Απώλεια
πελατών
Υπηρεσίες
νομικής
υπεράσπισης
Γενικές έρευνες
και έρευνες
ψηφιακών πειστήριων
Ανάπτυξη λογισμικού,
υπηρεσιών και
πολιτικών ανίχνευσης
Συμβουλευτικές
υπηρεσίες και
υπηρεσίες ελέγχου
Δικαστικοί
συμβιβασμοί
Διάγραμμα 12
κετές επιχειρήσεις, όπως βλέπουμε και στο σχετικό διάγραμμα
13.
Διαχείριση Ρίσκων με βάση τις νέες τάσεις
στο ΙΤ
Το mobility, το BYOD, το cloud και τα social media συνθέτουν
ένα νέο τοπίο στο IT, που ουδείς μπορεί να αγνοήσει. Η μερική
ή πλήρης υιοθέτηση των παραπάνω τάσεων έχει δημιουργήσει
την ανάγκη για επανεξέταση ορισμένων πολιτικών
που σχετίζονται με την προστασία των κρίσιμων επιχειρηματικών
δεδομένων και για αυτό παρουσιάζουν ιδιαίτερο ενδιαφέρον
τα σχετικά ευρήματα της έρευνας. Ξεκινώντας με ερώτημα
που αφορά στη χρήση των tablets και smartphones
για επαγγελματική χρήση, ένα σημαντικό μέρος του δείγματος,
δηλαδή το 42%, μας δήλωσαν ότι δεν υπάρχει κανένα
πλάνο για τη χρήση των συσκευών αυτών για τους επόμενους
Ποιές από τις παρακάτω ενέργειες έχει λάβει η εταιρία σας προκειμένου να ελέγξει τις διαρροές
ευαίσθητων πληροφοριών;
Εσωτερικοί έλεγχοι
61%
Κλειδωμένη/περιορισμένη χρήση hardware
59%
Χρήση πρόσθετων μηχανισμών ασφαλείας για την προστασία των πληροφοριών
Καθορισμός ειδικής πολιτικής αναφορικά με την αξιολόγηση και τη διαχείριση
των ευαίσθητων πληροφοριών
Χρήση ειδικών εργαλείων για την αποτροπή απώλειας δεδομένων
Περιορισμένη ή απαγορευμένη χρήση ηλεκτρονικής επικοινωνίας για τη
διακίνηση ευαίσθητων δεδομένων
Καθορισμός ειδικών προϋποθέσεων αναφορικά με την διαχείριση των
πληροφοριών για επικοινωνίες/τηλεργασία
Προγράμματα κατάρτισης των εργαζομένων
Περιορισμένη πρόσβαση σε ευαίσθητες πληροφορίες σε συγκεκριμένες
χρονικές περιόδους
Χρήση εργαλείων για την αξιολόγηση καταγραφών
21%
24%
39%
37%
33%
31%
55%
55%
Διάγραμμα 13
30 | security

Η εταιρεία σας επιτρέπει τη χρήση tablets και smartphones για επαγγελματική χρήση;
Όχι, δεν υπάρχει πλάνο για τη χρήση συσκευών tablet
τους επόμενους 12 μήνες
42%
Οι συσκευές tablet που χρησιμοποιούνται αξιολογούνται
ή η χρήση τους είναι περιορισμένη
24%
Ναι, οι συσκευές tablet που ανήκουν στους εργαζομένους
χρησιμοποιούνται ευρέως και υποστηρίζονται από την
εταιρεία σύμφωνα με την Πολιτική Χρήσης Ίδιων Συσκευών
Όχι, αλλά σχεδιάζουμε να χρησιμοποιήσουμε συσκευές
tablet τους επόμενους 12 μήνες
Ναι, οι συσκευές tablet που ανήκουν στην εταιρεία
χρησιμοποιούνται ευρέως
9%
11%
10%
Ναι, οι συσκευές tablet που ανήκουν στους εργαζομένους
χρησιμοποιούνται ευρέως αλλά δεν υποστηρίζονται
από την εταιρεία
4%
Διάγραμμα 14
12 μήνες, ενώ το 24% δήλωσαν ότι οι συσκευές tablet που χρησιμοποιούνται,
αξιολογούνται και η χρήση τους είναι περιορισμένη
(διάγραμμα 14).
Αναφορικά με τις διαδικασίες που εφαρμόζει η κάθε επιχείρηση
για τον περιορισμό των κινδύνων που σχετίζονται με τη
χρήση φορητών συσκευών συμπεραίνουμε ότι υπάρχει μια
ποικιλία διαδικασιών που εφαρμόζονται, με τις πιο δημοφιλείς
να είναι οι προσαρμοσμένες πολιτικές που επέλεξε το 46%
του δείγματος, καθώς και η δυνατότητα χρήσης συσκευών που
ανήκουν στην εταιρεία, αλλά όχι αυτών που είναι προσωπικές,
όπως μας απάντησε το 41%. Επίσης, όπως βλέπουμε και στο
διάγραμμα 15 υπάρχει ένα 40% των ερωτηθέντων που δήλωσαν
ότι στην επιχείρησή τους πραγματοποιείται ενημέρωση
για την ευαισθητοποίηση σε σχετικά θέματα ασφάλειας που α-
φορούν στις φορητές συσκευές.
Μοιρασμένες ήταν οι απαντήσεις που λάβαμε σχετικά με
τους ελέγχους που θέτουν σε εφαρμογή οι επιχειρήσεις για
τον περιορισμό νέων ή αυξανόμενων κινδύνων που
σχετίζονται με τη χρήση του cloud. Συγκεκριμένα, το
25% επιλέγουν τον ενδοδικτυακό έλεγχο ή την αξιολόγηση
από ομάδες ασφαλείας/ΙΤ και το 23 % επιλέγουν ισχυρότερους
ελέγχους ταυτότητας και διαχείρισης πρόσβασης, ενώ
Ποιές διαδικασίες εφαρμόζει η επιχείρησή σας για τον περιορισμό των κινδύνων που σχετίζονται
με τη χρήση των φορητών συσκευών (laptops, tablets, smartphones);
46%
41% 40%
22%
18%
13%
9% 9%
Προσαρμοσμένες
πολιτικές
Επιτρέπεται η χρήση
συσκευών που ανήκουν
στην εταιρεία, αλλά
απαγορεύεται η χρήση
προσωπικών συσκευών
Ενημέρωση
για την
ευαισθητοποίηση
σε θέματα
ασφάλειας
Τεχνικές
κρυπτογράφησης
Διαδικασίες
για τη διαχείριση
της χρήσης των
εφαρμογών
των κινητών
Λογισμικό
διαχείρισης
φορητών
συσκευών (MDM)
Αλλαγές στην
αρχιτεκτονική
Κανένα
από τα παραπάνω
Διάγραμμα 15
security | 31

I SSUE
Έρευνα για την Ασφάλεια Πληροφοριών 2013
Ποιούς από τους παρακάτω ελέγχους έχετε θέσει σε εφαρμογή για τον περιορισμό των νέων ή
αυξανόμενων κινδύνων που σχετίζονται με τη χρήση του cloud computing;
Ενδοδικτυακός έλεγχος ή αξιολόγηση από τις ομάδες
ασφαλείας/ΙΤ
Ισχυρότεροι έλεγχοι ταυτότητας και διαχείρισης
πρόσβασης
Τεχνικές κρυπτογράφησης
21%
23%
25%
Διαδικασίες διαχείρισης συμβάντων
Ισχυρότερη εποπτεία στις διαδικασίες επιλογής των
συμβάσεων με τους παρόχους υπηρεσιών cloud
Αυξημένος έλεγχος των παρόχων υπηρεσιών cloud
Διαδικασίες για την παρακολούθησης της συμμόρφωσης
17%
16%
14%
12%
Σύναψη συμβάσεων με τρίτα μέρη για την επαλήθευση
των ελέγχων του πάροχου υπηρεσιών cloud
Κανένα από τα παραπάνω
6%
53%
Διάγραμμα 16
21% τεχνικές κρυπτογράφησης. Όπως διακρίνουμε και στο
διάγραμμα 16, υπάρχει ένα μεγάλο ποσοστό (53 %) που δηλώνουν
ότι στην επιχείρησή τους δεν εφαρμόζεται κανένας
από τους διαθέσιμους ελέγχους και αυτό ίσως οφείλεται σε
μεγάλο ποσοστό στο γεγονός ότι ίσως δεν έχουν ενσωματώσει
στην επιχείρησή τους υποδομές cloud.
Κλείνοντας την έρευνά μας, επιλέξαμε να αξιολογήσουμε τις
πολιτικές των επιχειρήσεων για την αντιμετώπιση των κινδύνων
που ίσως προκύπτουν από τη χρήση μέσων κοινωνικής
δικτύωσης μέσα στο χώρο εργασίας. Στη σχετική
ερώτηση, ένα μεγάλο ποσοστό (65%) δήλωσαν ότι ε-
φαρμόζεται περιορισμένη ή καθόλου πρόσβαση σε αντίστοιχες
ιστοσελίδες από το χώρο εργασίας και ένα 46% δήλωσαν
ότι εφαρμόζονται προσαρμοσμένες πολιτικές, όπως
διακρίνουμε στο διάγραμμα 17. iTSecurity
Ποιούς από τους παρακάτω ελέγχους εφαρμόζετε για τον περιορισμό των νέων ή
αυξημένων κινδύνων που σχετίζονται με τη χρήση των μέσων κοινωνικής δικτύωσης;
65%
46%
11% 10%
14%
Περιορισμένη ή καθόλου
πρόσβαση σε ιστοσελίδες
κοινωνικής δικτύωσης
Προσαρμοσμένες
εταιρικές πολιτικές
Προγράμματα ασφαλείας
και εκμάθησης των μέσων
κοινωνικής δικτύωσης
Παρακολούθηση
των ιστοσελίδων των μέσων
κοινωνικής δικτύωσης
Κανένα
Διάγραμμα 17
32 | security

Της Παναγιώτας Τσώνη
I SSUE
Backup σε ένα “κουτί”
Οι συσκευές backup έχουν πλέον αναβαθμιστεί σημαντικά με νέα χαρακτηριστικά και
δυνατότητες και μπορούν να αξιοποιηθούν σε όλους τους Οργανισμούς και επιχειρήσεις,
ανεξαρτήτως μεγέθους.
Μ
ία ολοκληρωμένη συσκευή διατήρησης αντιγράφων ασφαλείας (backup) συνδυάζει την απαραίτητη υλική και λογισμική
δομή, σε μία ολότητα πλήρως διαμορφωμένη και έτοιμη προς χρήση. Αρχικά οι συσκευές αυτές σχεδιάστηκαν
για να εξυπηρετήσουν μικρές εταιρείες που δεν επιθυμούσαν να επενδύσουν χρήματα και να αφιερώσουν
χρόνο σε πολύπλοκα συστήματα αποθήκευσης. Η χρήση τους σε μεγαλύτερες επιχειρήσεις αφορούσε μόνο
σε συγκεκριμένα τμήματά τους, τα οποία διευκολύνονταν με τις συσκευές backup, μιας και ήταν εύκολες στην εγκατάσταση
και στη λειτουργία. Οι λειτουργικοί περιορισμοί τους όμως, καθώς και η ελλιπής δυνατότητα αναβάθμισής τους, τις καθιστούσε
δυσλειτουργικές για μεγάλου βεληνεκούς Οργανισμούς που διέθεταν πληθώρα δεδομένων, τα οποία αυξάνονταν με γεωμετρική
πρόοδο. Στις μέρες μας, τα χαρακτηριστικά των συσκευών backup έχουν βελτιωθεί σημαντικά και πλέον κάνουν αισθητή την παρουσία
τους σε όλους τους Οργανισμούς και επιχειρήσεις, ανεξαρτήτως μεγέθους, αποτελώντας εύρωστες και βιώσιμες λύσεις.
Τι είναι μία συσκευή backup;
Στο παρόν κείμενο καθορίζεται ως συσκευή backup ένα πλήρες σύστημα λήψης αντιγράφων ασφαλείας, το οποίο περιλαμβάνει το υ-
λικό που αποθηκεύονται τα δεδομένα και το λογισμικό που ελέγχει τη διαδικασία αντιγραφής από τους client servers και τα επιμέρους
υπολογιστικά συστήματα, προς το σύστημα αποθήκευσης. Πολλά από αυτά τα προϊόντα εγγράφουν τα δεδομένα σε DAS ή NAS συ-
security | 33

I SSUE
Backup σε ένα “κουτί”
στήματα, αλλά αυτό δεν θεωρείται απαραίτητο χαρακτηριστικό.
Οι συσκευές backup, όπως περιγράφηκαν παραπάνω, δεν είναι
συσκευές PBBA (purpose built backup appliance) οι οποίες
αν και έχουν ως στόχο να προσφέρουν το υλικό στο οποίο
θα γίνεται η αποθήκευση των δεδομένων και που αποστέλλει
το λογισμικό λήψης αντιγράφων, δεν συμπεριλαμβάνουν πάντοτε
το λογισμικό αυτό. Επίσης οι virtual συσκευές backup
δεν συμπεριλαμβάνονται στον ανωτέρω ορισμό, αν και ορισμένοι
κατασκευαστές προσφέρουν και αυτήν την επιλογή.
Οι συσκευές backup χρησιμοποιήθηκαν αρχικά ως εναλλακτική
λύση στις παραδοσιακές δομές backup, που αποτελούνταν
τυπικά από μία ξεχωριστή εφαρμογή λήψης αντιγράφων α-
σφαλείας και από μία δομή αποθηκευτικού χώρου όπως είναι
τα tape drives - και πιο πρόσφατα τα disk arrays. Το αγοραστικό
κοινό που στόχευαν ήταν οι μικρές εταιρείες οι οποίες
δεν διέθεταν τους ΙΤ πόρους για να σχεδιάσουν, ενσωματώσουν
και λειτουργήσουν τέτοιου είδους συστήματα backup, τα
οποία αποδεικνύονταν ιδιαιτέρως πολύπλοκα. Γι’ αυτόν το λόγο,
τα λειτουργικά χαρακτηριστικά τους και οι δυνατότητες α-
ναβάθμισης και επέκτασης του υλικού τους ήταν περιορισμένα,
με αποτέλεσμα να μη μπορούν να ενσωματωθούν σε πιο
απαιτητικά περιβάλλοντα αποθήκευσης.
Προσφάτως, μέσω των βελτιώσεων που σημειώθηκαν στα α-
ποθηκευτικά μέσα και στη μείωση του κόστους τους, καθώς και
με τις νέες τεχνολογίες επεξεργασίας των δεδομένων, οι συσκευές
backup σημείωσαν ένα εξελικτικό άλμα, ικανό να τις τοποθετήσει
προς χρήση σε μεγάλους Οργανισμούς, αντικαθιστώντας
τα παραδοσιακά συστήματα υλικού και λογισμικού. Τεχνολογίες
όπως το Deduplication (διαδικασία εξάλειψης πολλαπλών
εμφανίσεων των ίδιων δεδομένων), το thin provisioning
(χρήση virtual πόρων) και της συμπίεσης, έχουν αυξήσει
σημαντικά τη χρηστική χωρητικότητα των disk arrays, ενισχύοντας
έτσι την τάση προς αυτά τα συστήματα. Παράλληλα, η ε-
πεξεργαστική ισχύς και το υψηλό δικτυακό εύρος είναι πλέον
χαμηλού κόστους, οπότε όλα αυτά τα χαρακτηριστικά μπορούν
να ενσωματωθούν στις συσκευές backup, βελτιώνοντας έτσι την
ταχύτητα λειτουργίας τους. Ουσιαστικά, η απλότητα στην ενσωμάτωση
μιας συσκευής backup σε ένα εταιρικό δίκτυο και η
ευκολία στη ρύθμιση και χρήση είναι που οδηγεί στην αναγκαιότητα
αντικατάστασης των υπαρχόντων συστημάτων, εξοικονομώντας
έτσι εργατοώρες από το ΙΤ προσωπικό.
Τα πλεονεκτήματα και μειονεκτήματα των συσκευών
backup
Όπως προαναφέρθηκε, οι συσκευές backup ενσωματώνονται με
ευκολία στα εταιρικά συστήματα - και αυτό γιατί το λογισμικό που
φέρουν είναι ήδη διαμορφωμένο, ώστε να συνεργάζεται άριστα
με το υλικό της συσκευής και δεν απαιτούνται περαιτέρω ρυθμίσεις.
Στην αντίθετη περίπτωση θα έπρεπε η εταιρική εφαρμογή
λήψης αντιγράφων ασφαλείας να ρυθμιστεί, ώστε να συνεργαστεί
με τα αποθηκευτικά μέσα και ταυτόχρονα να μην παρακωλύει
και τις όποιες αποθηκευτικές διεργασίες απαιτούσαν οι
υπόλοιπες εταιρικές εφαρμογές. Αυτό συνεπάγεται προσεκτική
μελέτη της δραστηριότητας των δεδομένων και αρκετές ώρες
πειραματισμού για να διαπιστωθεί ότι όλα λειτουργούν ομαλά,
κάτι που δεν είναι αναγκαίο να συμβεί με τις συσκευές backup.
Επιπρόσθετα, αφού οι συσκευές backup φέρουν εξαρχής το α-
ποθηκευτικό μέσο, η ενσωμάτωσή τους στο εταιρικό περιβάλλον
γίνεται άμεσα, προσφέροντας παράλληλα και τη δυνατότητα
επέκτασης του αποθηκευτικού χώρου, όπου αυτό απαιτείται.
Τέλος, είναι προφανές ότι η αγορά υλικού και λογισμικού από
ένα κατασκευαστή, μειώνει αισθητά το κόστος απόκτησης του
επιθυμητού συστήματος, καθώς και εξοικονομεί χρόνο - μιας και
εξαρχής η λειτουργικότητα είναι ικανοποιητική.
Τα χαρακτηριστικά που ενσωματώνουν εύκολα τις συσκευές
backup στα εταιρικά συστήματα, είναι αυτά που επίσης ευθύνονται
για το μικρό ποσοστό ευελιξίας τους και την περιορισμένη
δυνατότητα αναβάθμισης. Κάθε ξεχωριστός κατασκευαστής
μπορεί να παρέχει έναν πεπερασμένο αριθμό επιλογών
σε αποθηκευτικά μέσα, σε σχέση με την πληθώρα που υπάρχει
στην αγορά και που μπορούν να χρησιμοποιηθούν αν υ-
ποστηριχθούν από μία ανεξάρτητη εφαρμογή λήψης αντιγράφων
ασφαλείας. Με την πάροδο των ετών η δυνατότητα επέκτασης
της αποθηκευτικής ισχύος των συσκευών backup έχει
βελτιωθεί σημαντικά, αλλά ακόμα υπάρχουν περιορισμοί που
οδηγούν σε προβλήματα ανεπαρκούς χωρητικότητας, μιας και
τα εταιρικά δεδομένα αυξάνονται διαρκώς. Η ραγδαία αυτή
αύξηση των δεδομένων καθιστά και το λογισμικό των συσκευών
ελλιπές, μιας και δεν μπορεί να διαχειριστεί αποδοτικά και έ-
γκαιρα όλον αυτόν το φόρτο εργασίας. Στον τομέα της δαπάνης,
αν και αρχικά η επιλογή είναι συμφέρουσα σε σχέση με
τα παραδοσιακά συστήματα backup, ο περιορισμός επιλογής
υλικού αναβάθμισης από έναν και μόνο κατασκευαστή, ουσιαστικά
την καθιστά πιο ακριβή, μιας και στο εμπόριο μπορεί να
υπάρχουν και πιο οικονομικές λύσεις. Στην περίπτωση όπου η
συσκευή αγγίξει τα όρια της χωρητικότητάς της, συνηθίζεται η
πιο συμφέρουσα επιλογή να είναι η μετοίκιση σε μια άλλη συσκευή
με μεγαλύτερη αποθηκευτική μονάδα ή η απόκτηση α-
κόμα μιας μονάδας ιδίου βεληνεκούς, η οποία θα συνεργάζεται
με την πρώτη.
34 | security

Κριτήρια επιλογής
Ως ολοκληρωμένη λύση μια συσκευή backup εισάγει και πολλαπλούς
περιορισμούς, κυρίως στο κομμάτι της συνεργασίας
με προϋπάρχοντες πόρους του συστήματος που θα ενσωματωθεί.
Ειδικότερα, μπορεί να χρειαστεί να αδρανήσουν εφαρμογές
του συστήματος (οι οποίες προφανώς είχαν κόστος α-
γοράς), αν εμποδίζουν τη συσκευή backup να λειτουργήσει -
αν και ορισμένες εξ αυτών υποστηρίζουν συνεργασία και με α-
νεξάρτητο λογισμικό.
Με γνώμονα τα ανωτέρω, προτείνεται η εισαγωγή συσκευών
backup στο εταιρικό σύστημα, τη στιγμή που απαιτείται η αντικατάσταση
ενός παλαιότερου πόρου που έχει ουσιαστικά αποσβέσει
το κόστος του. Επίσης προτείνεται στην περίπτωση όπου
το λειτουργικό εύρος ενός εταιρικού τμήματος ή μιας μικρής ε-
πιχείρησης έχει αυξηθεί και απαιτείται περαιτέρω υποστήριξη.
Μία συσκευή backup που θα τοποθετηθεί σε ένα εταιρικό σύστημα
εξαρχής ως αποθηκευτική λύση ή ως αντικαταστάτρια
των παλαιότερων δομών, πρέπει να αξιολογηθεί ενδελεχώς.
Πέραν του κόστους και των παρεχόμενων δυνατοτήτων, τα α-
κόλουθα χαρακτηριστικά πρέπει να συνυπολογιστούν στην τελική
απόφαση:
Χωρητικότητα και δυνατότητα αναβάθμισης: Ανεξαρτήτως
του τρόπου, υπάρχουν συσκευές που αναβαθμίζονται ευκολότερα
από τις υπόλοιπες και γι’ αυτό πρέπει να μελετηθούν
αυτές οι δυνατότητες. Σαφώς, σε μια πρώτη ανάγνωση, η προβλεπόμενη
ανάπτυξη της επιχείρησης και οι αποθηκευτικές α-
παιτήσεις σε βάθος χρόνου πρέπει να ικανοποιούνται.
Σε ορισμένες περιπτώσεις η επιλογή συσκευών που στηρίζονται
σε tape drives είναι καταλληλότερη, γιατί παρέχουν περισσότερη
χωρητικότητα και χαμηλότερο κόστος για αποθήκευση
σε βάθος χρόνου.
Από την άλλη μεριά, οι τεχνολογίες περιορισμού των δεδομένων
μπορούν να διαδραματίσουν σημαντικό ρόλο κατά τον υ-
πολογισμό της χωρητικότητας ενός συστήματος, γι’ αυτό ο τύπος
των δεδομένων που θα αποθηκεύεται στη συσκευή πρέπει
να είναι εξαρχής γνωστός. Σε μια πιο βαθιά ανάλυση μπορούν
να συγκριθούν μεταξύ τους οι διαφορετικές τεχνολογίες
συμπίεσης που υπάρχουν και να αποφασιστεί ταυτόχρονα με
τη συσκευή και ποια τεχνολογία θα ήταν η καταλληλότερη,
σύμφωνα με τη μορφή που έχουν τα εταιρικά δεδομένα.
Cloud συνεργασία: Οι περισσότερες συσκευές backup παρέχουν
κάποια μορφή υποστήριξης μέσω cloud, είτε πρόκειται
για τη δυνατότητα να αποστέλλονται συγκεκριμένα αντίγραφα
ασφαλείας σε cloud περιβάλλον που ανήκει στον κατασκευαστή
της συσκευής είτε σε έναν ανεξάρτητο πάροχο
cloud υπηρεσιών, όπως είναι το Amazon ή το Rackspace. Ε-
φόσον τα αντίγραφα ασφαλείας και τα αρχεία επαναφοράς α-
φορούν σε μεγάλο όγκο δεδομένων, πρέπει να μελετηθεί ποια
από αυτά θα αποστέλλονται στο cloud περιβάλλον μέσω του
δικτύου και αν το WAN υποστηρίζει επαρκώς τέτοιου είδους
μεταφορές, χωρίς να παρουσιάζονται προβλήματα. Επίσης ο
χειρισμός συγκεκριμένων δεδομένων που παράγουν οι εταιρικές
εφαρμογές, μπορεί να έχει αντίκτυπο στην αποδοτική λειτουργία
του cloud backup, οπότε αυτές οι λεπτομέρειες πρέπει
να μελετηθούν με προσοχή από κάθε εταιρεία.
Deduplication δεδομένων: Η διαδικασία deduplication εξαλείφει
τις πολλαπλές εμφανίσεις των ίδιων δεδομένων. Συγκρίνει
τα δεδομένα που γράφονται για πρώτη φορά στον αποθηκευτικό
χώρο και εντοπίζει τα κοινά τμήματα με τα δεδομένα
που ήδη υπάρχουν. Ταυτόχρονα δημιουργεί έναν πίνακα με
τις κοινές ομάδες, στον οποίο περιγράφεται πού συναντάμε κάθε
κοινή ομάδα (hash τιμή). Η τεχνολογία έχει εξελιχθεί από
μία δυσνόητη διαδικασία που ήταν στις αρχές, σε ένα αναγκαίο
χαρακτηριστικό που περιλαμβάνεται στις περισσότερες
λύσεις συστημάτων αντιγράφων ασφαλείας. Παρόλα αυτά υ-
πάρχουν αρκετές παραλλαγές του τρόπου υλοποίησης του d-
eduplication, οι οποίες εισάγουν και διαφορετικό βαθμό μείωσης
του ποσοστού των δεδομένων.
Οι μέθοδοι που χρησιμοποιούνται στην τεχνολογία deduplication
διαφέρουν στα εξής:
Στο μήκος των τμημάτων των δεδομένων που τίθενται υ-
πό σύγκριση.
Σε ποιο σημείο της διαδικασίας τελούνται οι συγκρίσεις.
Πώς υπολογίζεται η «τιμή hash» που δίνεται σε κάθε τμήμα
δεδομένων που αποθηκεύεται.
Πού αποθηκεύεται ο πίνακας των hash τιμών.
Όλα τα προαναφερόμενα απαιτούν μελέτη από την ομάδα
που θα επιλέξει τη συσκευή backup, ώστε να κατανοήσουν πώς
τελείται η διαδικασία deduplication στο σύστημά τους, πόση μείωση
του όγκου δεδομένων συνεπάγεται σε συγκεκριμένους
τύπους και στα συγκεκριμένα περιβάλλοντα λήψης αντιγράφων
ασφαλείας.
Εν κατακλείδι, η χρήση των συσκευών backup έχει σημειώσει
σημαντική αύξηση στις μέρες μας, γιατί απλοποιεί τη διαδικασία
ενσωμάτωσης της νέας δομής στο υπάρχον σύστημα και
συχνά μειώνει το κόστος λειτουργίας. Από την άλλη μεριά, η
cloud επιλογή προσέφερε ένα πιο απλουστευμένο μοντέλο
χρήσης και αντικατέστησε πλήρως τη χρήση συσκευών.
Παρόλα αυτά, η ανάγκη λήψης αντιγράφων ασφαλείας αφορά
σχεδόν το σύνολο των δεδομένων μιας επιχείρησης, κάτι που
συνεπάγεται ότι καθημερινά αποστέλλονται προς τη συσκευή
backup δεδομένα μεγέθους Τbytes. Για να διατηρηθεί η απόδοση
της διαδικασίας λήψης αντιγράφων ασφαλείας σε ικανοποιητικό
επίπεδο, η εγκατάσταση δομών backup επιτόπου είναι
η μόνη λογική λύση προκειμένου να μειωθεί και το κόστος που
αφορά στο δικτυακό εύρος που θα χρησιμοποιείται. iTSecurity
security | 35

I ΝΤERVIEW
Δημιουργία προστασίας
βασιζόμενη στα big data
Συνέντευξη του κ. Brian Fitzgerald,
Αντιπροέδρου Μάρκετινγκ της RSA, του Τμήματος Ασφαλείας της EMC
Τις νέες προσεγγίσεις για την ασφάλεια πληροφοριών και την
επιχειρησιακή συνέχεια στο νέο επιχειρηματικό τοπίο, όπως
αυτό έχουν διαμορφώσει το cloud, το mobility και ο τεράστιος
όγκος δεδομένων, μας αναδεικνύει μέσα από την συνέντευξη
που μας παραχώρησε ο κος Brian Fitzgerald, Αντιπρόεδρος
Μάρκετινγκ της RSA, του Τμήματος Ασφαλείας
της EMC.
Πρόσφατα, κάνατε κάποιες ανακοινώσεις σε σχέση με
τα Big Data και την Ασφάλεια. Πώς επιδρούν τα RSA Security
Analytics στις βασικές σας στρατηγικές επιλογές και
πώς μπορούν αυτές οι λύσεις να αλλάξουν τον τρόπο με
τον οποίο οι οργανισμοί μπορούν να προστατευθούν από
προηγμένες απειλές;
Τα Big data αποτελούν ένα πολύ βασικό στοιχείο της στρατηγικής
μας, όσον αφορά την ασφάλεια των πληροφοριακών συστημάτων.
Η παραδοσιακή προσέγγιση στα θέματα ασφαλείας
βασίζονταν στην εκ των προτέρων γνώση για ενδεχόμενες
απειλές (από την ταυτότητα ενός ιού, για παράδειγμα), και στην
αντιμετώπισή τους μέσω της προστασίας της περιμέτρου των
κέντρων μηχανογράφησης. Σήμερα, το cloud, η τάση προς το
mobility και ο υψηλός βαθμός διασύνδεσης των ψηφιακών μας
υποδομών έχουν περιορίσει την έννοια αυτής της περιμέτρου.
Την ίδια στιγμή, έχει αλλάξει και η φύση των απειλών, με αποτέλεσμα
οι παραδοσιακοί τρόποι προστασίας να είναι λιγότερο
αποτελεσματικοί.
Η δημιουργία προστασίας βασιζόμενη στα big data (αυτό που
ονομάζουμε “intelligence-driven security”) βοηθά τους πελάτες
μας με πολλούς και σημαντικούς τρόπους: Αρχικά, οι πελάτες
μπορούν να βασιστούν στην εκτίμηση κινδύνου, όπως αυτή
προκύπτει από μεγάλο όγκο πληροφοριών σχετικά με τους
χρήστες, τον τρόπο συμπεριφοράς σε βάθος χρόνου και τη
σημασία των δεδομένων, γεγονός που τους επιτρέπει να εντοπίζουν
αποτελεσματικότερα τον πραγματικό κίνδυνο στο δικό
τους περιβάλλον και να υπολογίζουν το ενδεχόμενο ρίσκο
για κάθε χρήστη ή για κάθε είδος συναλλαγής, ώστε να επιλέγουν
και την πλέον κατάλληλη προστασία. Είναι μια προσέγγιση
που μπορεί να προσαρμοστεί στις πραγματικές συνθήκες
που αντιμετωπίζει μια επιχείρηση.
Στη συνέχεια, η προστασία μπορεί να συνδεθεί καλύτερα με το
είδος του εκάστοτε κινδύνου. Μια προσέγγιση ασφαλείας που
βασίζεται στην επεξεργασία πληροφοριών μας επιτρέπει να
ευθυγραμμίζουμε το ρίσκο σε επίπεδο ΙΤ με τον αντίστοιχο
επιχειρηματικό κίνδυνο, μέσα από την κατανόηση των επιπτώσεων
που θα μπορούσε να έχει μια ενδεχόμενη παραβίαση
ασφαλείας στη λειτουργία της επιχείρησης. Έτσι, οι υπεύθυνοι
ασφαλείας μπορούν να θέσουν προτεραιότητες σε σχέση με
το βαθμό προστασίας, καθώς θα ξέρουν πού υπάρχει το μεγαλύτερο
ρίσκο για την επιχείρηση. Παράλληλα, χρησιμοποιώντας
κριτήρια συμπεριφοράς και περιεχομένου για τον προσδιορισμό
του ενδεχόμενου ρίσκου, μπορούν να παρέχουν την
απαιτούμενη προστασία χωρίς να γίνονται αντιληπτοί από τους
χρήστες.
Τέλος, μπορεί να είναι πιο ευέλικτοι και να έχουν πιο άμεσες
αντιδράσεις. Από τη στιγμή που το intelligence-driven μοντέλο
προστασίας δεν εξαρτάται από την προηγούμενη γνώση κάποιας
απειλής, οι υπεύθυνοι ασφαλείας είναι σε θέση να απαντούν
πιο αποτελεσματικά σε νέες, απρόβλεπτες επιθέσεις, δια-
36 | security

σφαλίζοντας την παροχή προστασίας ακόμη και σε ένα διαρκώς
μεταβαλλόμενο τοπίο απειλών.
Στο συνέδριο RSA Conference 2013 του Σαν Φρανσίσκο,
η RSA ανακοίνωσε επίσης τη διάθεση των υπηρεσιών
RSA NextGen Security Operations Center (SOC).
Με ποιους τρόπους μπορεί ένας οργανισμός να αξιοποιήσει
“πληροφορίες για τον εντοπισμό απειλών” και
πώς μπορούν να αλλάξουν τις παραδοσιακές διαδικασίες
ασφαλείας;
Προκειμένου να εντοπίσουν ενδεχόμενες απειλές, οι πελάτες
μπορούν να χρησιμοποιήσουν προηγμένα εργαλεία ασφαλείας
που συνδυάζουν και αναλύουν πληροφορίες σχετικά με
τους χρήστες, τα δεδομένα και τις δικτυακές υποδομές. Με
τα εργαλεία αυτά μπορούν να ανιχνεύσουν κάποια ασυνήθιστη
δραστηριότητα η οποία αποδεικνύει ότι υπάρχει ενδεχόμενο
επιθέσεων από το εσωτερικό του
δικτύου τους. Τέτοιες ασυνήθιστες συμπεριφορές
θα μπορούσαν να αποτελούν
ένδειξη για την ύπαρξη κάποιου
χρήστη που λειτουργεί με δόλιο και
ύποπτο τρόπο.
Για το μετασχηματισμό των κλασικών
λειτουργιών ασφαλείας χρειάζεται να παρακολουθούμε το
πώς εξελίσσεται η τεχνολογία, οι διαδικασίες και οι σχετικές
δεξιότητες. Ο παραδοσιακός τρόπος προστασίας επικεντρώνεται
συνήθως στην προστασία της περιμέτρου του δικτύου
μέσω firewalls, προγραμμάτων Anti-virus και άλλων ανάλογων
εργαλείων. Δυστυχώς, μια τέτοια προσέγγιση αφήνει λίγα
περιθώρια επιτυχίας απέναντι στις σύγχρονες απειλές, τις
οποίες μπορούμε να αποκρούσουμε αν φέρουμε τη γραμμή
άμυνας στο εσωτερικό του δικτύου. Προκειμένου να πετύχουμε
κάτι τέτοιο, απαιτούνται νέες δεξιότητες, όσον αφορά
την ανάλυση του επιπέδου ασφαλείας και των ενδεχομένων
κινδύνων, και νέες διαδικασίες ασφαλείας που θα εστιάζουν
στον ταχύτατο εντοπισμό επιθέσεων και στους τρόπους αντιμετώπισής
τους εντός του δικτύου. Οι προηγμένες λειτουργίες
προστασίας δεν στοχεύουν στο να αποτρέψουν την εκδήλωση
κάθε επίθεσης, αλλά να οργανώσουν την άμυνα στο
εσωτερικό του δικτύου ώστε η εισβολή να μην οδηγήσει και
σε απώλεια δεδομένων. Αν, για παράδειγμα, κάναμε μια αναλογία
με ένα κατάστημα λιανικής θα λέγαμε το εξής: από τη
στιγμή που δεν μπορούμε να εμποδίσουμε την είσοδο σε κάποιον
που θέλει να κλέψει κάτι από το κατάστημα, εφόσον το
παρουσιαστικό του δε διαφέρει από εκείνο των υπόλοιπων
πελατών, αυτό που μπορούμε να κάνουμε είναι να τον εμποδίσουμε
να βγει από το κατάστημα μαζί με τα κλοπιμαία.
Γνωρίζουμε ότι η RSA συνεργάζεται με εταιρείες τεχνολογίας
κινητών επικοινωνιών, προκειμένου να βοηθήσει στην εμπέδωση
αισθήματος εμπιστοσύνης στο Mobile Business. Με ποιον
τρόπο ανταποκρίνεται η RSA στις βασικές απαιτήσεις των
πελατών, ώστε να βελτιωθεί το information sharing και να τους
δοθεί η δυνατότητα να ανεβάσουν τον πήχη της ασφάλειας στις
φορητές συσκευές επικοινωνίας;
Το ενδιαφέρον μας εστιάζεται σε δύο περιοχές. Η πρώτη
έχει σχέση με τη χρήση του κινητού ως ένα χρήσιμο και με
πολλές δυνατότητες κομμάτι μιας ευρύτερης υποδομής προστασίας.
Αυτό το κάνουμε μέσα από τη δυνατότητα που παρέχουμε
στους πελάτες μας να χρησιμοποιούν SecurID software
tokens για smartphones, τα οποία χρησιμοποιούνται
ως εργαλεία πιστοποίησης των χρηστών μέσω SMS ή άλλης
μορφής επικοινωνία. Το δεύτερο στοιχείο έχει να κάνει με
την προστασία της ίδιας της συσκευής του κινητού, ώστε να
μπορούμε να την εμπιστευτούμε. Συνεργαζόμαστε
με προμηθευτές λογισμικού
διαχείρισης συσκευών, καθώς
και με άλλες εταιρείες του χώρου των
κινητών επικοινωνιών, με στόχο τη μέγιστη
δυνατή ασφάλεια των συσκευών
κινητής. Επίσης, δουλεύουμε από κοινού
με εταιρείες όπως η Zscaler για να διασφαλίσουμε την
αξιόπιστη πρόσβαση του κινητού στις εφαρμογές και τα δεδομένα
ενός πελάτη.
Πώς οι νέες λύσεις της RSA βοηθούν τους πελάτες σας
να ικανοποιήσουν τις όλο και αυξανόμενες ανάγκες για την
επιχειρησιακή συνέχεια, τη διαχείριση κρίσεων και την
ανάκτηση δεδομένων μετά από μια ενδεχόμενη καταστροφή;
Η πλατφόρμα RSA Archer GRC έχει τη δυνατότητα να βοηθά
τους πελάτες μας στη διαχείριση των διαδικασιών οι οποίες
διασφαλίζουν την επιχειρησιακή συνέχεια και την ανάκτηση
δεδομένων μετά από μία καταστροφή. Η λύση Archer βοηθά
τους πελάτες να είναι βέβαιοι πως θα είναι σε θέση όχι μόνο
να ανακτήσουν τις ψηφιακές τους πληροφορίες, αλλά και
να αποκαταστήσουν πλήρως τις επιχειρησιακές διαδικασίες
στο εσωτερικό του οργανισμού τους, το οποίο αποτελεί και
το κλειδί για την ελαχιστοποίηση της οικονομικής ζημιάς. Το
Archer μπορεί, επίσης, να χρησιμοποιείται ως κομμάτι μιας
διαδικασίας διαχείρισης κρίσεων, καθώς είναι σε θέση να συντονίζει
αυτόματα πολλούς ανθρώπους διασφαλίζοντας, παράλληλα,
τη συμμόρφωση των ενεργειών τους με τους ισχύοντες
κανονισμούς και τις προβλεπόμενες πολιτικές, ακόμη και
σε περιπτώσεις κρίσης. iTSecurity
security | 37

REPORT
Η πιστοποίηση στο IT, στο επίκεντρο
εκδήλωσης της TÜV AUSTRIA HELLAS
Η πρωτοβουλία της TÜV
AUSTRIA HELLAS να
διοργανώσει μια ενημερωτική
εκδήλωση για τις
πιστοποιήσεις στην
Πληροφορική προσελκύοντας
τη συμμετοχή μεγάλου
αριθμού στελεχών από
επιχειρήσεις και Οργανισμούς,
απέδειξε το μεγάλο
ενδιαφέρον που υπάρχει για
το σημαντικό αυτό ζήτημα.
ια ιδιαίτερα χρήσιμη ευκαιρία προκειμένου τα στελέχη
των τμημάτων πληροφορικής των επιχειρή-
M
σεων να ενημερωθούν για τα πρότυπα και τις πιστοποιήσεις
που σχετίζονται με την ασφάλεια πληροφοριών,
τη διαχείριση των υπηρεσιών πληροφορικής
και την επιχειρησιακή συνέχεια, αποτέλεσε η εκδήλωση
που διοργάνωσε η TÜV AUSTRIA HELLAS την Πέμπτη 13 Ιουνίου
2013 στο DIVANI CARAVEL στην Αθήνα.
Τίτλος της ιδιαίτερα επιτυχημένης εκδήλωσης ήταν «Integrating
IT - ISO 27001, ISO 22301, ISO 20000, Cloud Security:
From Theory to Practice» και κατά τη διάρκειά της, σημαντικά
στελέχη της εταιρίας με μεγάλη εμπειρία, αλλά και υπεύθυνοι
τμημάτων πληροφορικής μεγάλων Οργανισμών παρουσίασαν
στο κοινό τις βασικές πτυχές του θέματος καθώς και
χρήσιμα case studies.
Αξίζει εδώ να υπενθυμίσουμε ότι η TÜV AUSTRIA HELLAS
είναι διαπιστευμένος Οργανισμός επιθεώρησης και πιστοποίησης
για έναν πολύ μεγάλο αριθμό προτύπων μεταξύ των οποίων
και το ISO 27001 για την ασφάλεια πληροφοριών, το ISO
22301 για την επιχειρησιακή συνέχεια, ενώ είναι και αναγνωρισμένη-διαπιστευμένη
από την APMG για επιθεωρήσεις και πιστοποιήσεις
σύμφωνα με το ISO 20000. Αυτήν τη στιγμή, η
TÜV AUSTRIA HELLAS κατέχει ηγετική θέση στην αγορά της
πληροφορικής στα παραπάνω πρότυπα τόσο στην Ελλάδα
όσο και στον ευρύτερο χώρο της ΝΑ Μεσογείου.
Χαιρετισμοί
Κατά την έναρξη της εσπερίδας ο κος Ιωάννης Καλλιάς (εικόνα
1) - Γενικός Διευθυντής της TÜV AUSTRIA HELLAS– έδωσε
το στίγμα της εκδήλωσης αναδεικνύοντας το σημαντικό ρόλο
που διαδραματίζει παγκοσμίως η εταιρία στον τομέα των πιστοποιήσεων
και αναφέρθηκε ειδικότερα στις υπηρεσίες της
που σχετίζονται με την πληροφορική και τον ηγετικό ρόλο που
κατέχει. Στη συνέχεια απηύθυνε χαιρετισμό ο κος Ανέστης
Δημόπουλος, - Αντιπρόεδρος του ISACA Chapter Athens –
επισημαίνοντας τα οφέλη που προκύπτουν από τις σχετικές
πιστοποιήσεις σε όλα τα επίπεδα του Οργανισμού, ενώ παράλληλα
αξιοποίησε την ευκαιρία να αναδείξει τις πιστοποιήσεις
σε προσωπικό επίπεδο που παρέχει το Ινστιτούτο παγκοσμίως.
Την εκδήλωση χαιρέτησε και ο κος Τάσος Αλέφαν-
38 | security

τος – Πρόεδρος του itSMF Ελλάδος - υποστηρίζοντας ότι οι
πιστοποιήσεις και υπηρεσίες πληροφορικής μπορούν να αποτελέσουν
πυλώνες ανάπτυξης για τις επιχειρήσεις. Τους χαιρετισμούς
της εκδήλωσης έκλεισε ο Δρ. Σταμάτης Τουρνής –
Εκπρόσωπος του BCI σε Ελλάδα και Κύπρο – ο οποίος επισήμανε
τη σπουδαιότητα ένταξης της «Επιχειρησιακής Συνέχειας»
σε όλους τους Οργανισμούς ως κομβικό παράγοντα
αξιοπιστίας και ποιότητας που προσδίδει αξία, καθώς και την
ιδιαίτερα σημαντική συμβολή των σχετικών προτύπων στην υιοθέτηση
πλάνου BC.
2. Η Dr. Angelika Plate - Ηead Editor του ISO 27001
1. O κος Ιωάννης Καλλιάς - Γενικός Διευθυντής της TÜV AUSTRIA HELLAS
1η ενότητα – Η αξία της πιστοποίησης στο IT
Το βασικό μέρος της εκδήλωσης άνοιξε ως Key Note Speaker
η Dr. Angelika Plate (εικόνα 2) - Ηead Editor του ISO
27001- μια ιδιαίτερα σημαντική παρουσία στο χώρο αφού έχει
συνδέσει το όνομά της με τη δημιουργία του συγκεκριμένου
προτύπου το 2005 και συμμετείχε ενεργά και στη νέα του έκδοση
που θα δημοσιευθεί σε λίγο καιρό. Στην παρουσίασή της
η Dr. Angelika Plate ανέπτυξε σε μεγάλο βαθμό τις διάφορες
πτυχές της αναθεώρησης των προτύπων ISO/IEC 27001 και
ISO/IEC 27002, τονίζοντας ιδιαίτερα τη βούληση και υλοποίηση
της εναρμόνισης των συστημάτων διαχείρισης. Αναφέρθηκε
επίσης στη δημιουργία μιας ομάδας δράσης με σκοπό την
ανάπτυξη κοινής δομής των προτύπων, πανομοιότυπων κειμένων
και κοινών ορισμών. Αναφορικά με το περιεχόμενο του
προτύπου ISO/IEC 27001, περιλαμβάνει μια υψηλού επιπέδου
δομή, με 10 επιμέρους άρθρα που αφορούν διάφορους τομείς
μεταξύ των οποίων είναι το περιεχόμενο του Οργανισμού,
η ηγεσία, ο προγραμματισμός, η υποστήριξη, η αξιολόγηση
κ.ά. Η ομιλήτρια αφιέρωσε σημαντικό κομμάτι της παρουσίασής
της και στο περιεχόμενο του προτύπου ISO/IEC 27002,
καθώς και στα υπόλοιπα πρότυπα ISO/IEC 270xx.
Στη συνέχεια η κα Αργυρώ Χατζοπούλου (εικόνα 3) - Επικεφαλής
Επιθεωρήτρια και Υπεύθυνη του Τμήματος Επιθεωρήσεων
Πληροφορικής της TÜV AUSTRIA HELLAS – αφού
πρώτα “τεστάρισε” τις γνώσεις του κοινού γύρω από το cloud,
μας βοήθησε με ένα ιδιαίτερα προσιτό και επικοινωνιακό
τρόπο να αντιληφθούμε τη σημασία της πιστοποίησης των
υπηρεσιών και των παρόχων cloud. Η κα Χατζοπούλου επισήμανε
ως κομβικής σημασίας την παράμετρο της ασφάλειας
στο cloud, τονίζοντας την ανάγκη της λύσης μιας ανεξάρτητης,
τεκμηριωμένης και ελεγχόμενης διαδικασίας ελέγχου με εύληπτο,
μετρήσιμο και διεθνώς αναγνωρισμένο αποτέλεσμα που
θα επιτρέπει στους παρόχους υπηρεσιών cloud computing όχι
μόνο να λένε ότι είναι ασφαλείς, αλλά και να το δείχνουν!
3. Η κα Αργυρώ Χατζοπούλου - Επικεφαλής Επιθεωρήτρια και Υπεύθυνη
του Τμήματος Επιθεωρήσεων Πληροφορικής της TÜV AUSTRIA HELLAS
Οι διαδικασίες διασφάλισης της εμπιστευτικότητας σε σημαντικές
παραμέτρους του IT όπως τα data center, οι εφαρμογές
και οι υπηρεσίες, ήταν το θέμα που μας ανέπτυξε ο
security | 39

REPORT
Η πιστοποίηση στο IT, στο επίκεντρο εκδήλωσης της TÜV AUSTRIA HELLAS
κος Thomas Doms, Senior Consultant Project Development
της TÜV TRUST IT/TÜV AUSTRIA GROUP. Η εταιρία προσφέρει
μια σειρά από υπηρεσίες πιστοποιήσεων σε πολλούς
τομείς που σχετίζονται με τις υποδομές IT και ο ομιλητής παρουσίασε
εκτενώς τις διαδικασίες υλοποίησης αυτών. Επίσης,
τόνισε τα πλεονεκτήματα που προκύπτουν από τη συμμόρφωση
με διεθνείς βέλτιστες πρακτικές ασφάλειας στο περιβάλλον
αποθήκευσης και διαχείρισης των δεδομένων, όπως είναι
η αναβάθμιση της ποιότητας, απόδοσης και παραγωγικότητας
των data center, καθώς και ο συνεχής έλεγχος της αξιοπιστίας
σε ό,τι αφορά τις εφαρμογές.
Την πρώτη ενότητα της εσπερίδας έκλεισε η παρουσίαση του
κου Κωνσταντίνου Γκαβαρδίνα - Senior Consultant της Priority –
μέσα από την οποία είχαμε την ευκαιρία να αντιληφθούμε τα
οφέλη ενοποίησης των τριών προτύπων, δηλαδή της ασφάλειας
πληροφοριών, διαχείρισης των υπηρεσιών πληροφορικής και επιχειρησιακής
διαχείρισης. Για τα τρία αυτά πρότυπα, παρά τις διαφορετικές
οπτικές τους, υπάρχει δυνατότητα συσχέτισης των
διεργασιών τους και σημείων ενοποίησης στο πεδίο εφαρμογής
τους. Ο ομιλητής παρουσίασε πώς αυτή η ενοποίηση υλοποιείται
στην πράξη, πότε είναι εφικτή και ποια μεθοδολογία ακολουθείται.
Στα οφέλη ενοποίησης περιλαμβάνονται μεταξύ άλλων η
ευθυγράμμιση των εταιρικών στρατηγικών, η αξιοπιστία προς τους
πελάτες για την παροχή αποτελεσματικών υπηρεσιών, το ανταγωνιστικό
πλεονέκτημα και η μείωση του κόστους υλοποίησης.
2η ενότητα – Μελέτες Περίπτωσης
Στο δεύτερο μέρος της εσπερίδας παρακολουθήσαμε παρουσιάσεις
με τη μορφή case studies, μέσα από τις οποίες είχαμε
την ευκαιρία να δούμε πώς γίνεται στην πράξη η υλοποίηση
των διαδικασιών πιστοποίησης στο IT. Οι ομιλητές που
ανέλαβαν αυτό το έργο είναι υπεύθυνοι τμημάτων IT που μοιράστηκαν
με το κοινό την εμπειρία τους και τα οφέλη που προέκυψαν
από την πρακτική εφαρμογή των προτύπων. Συγκεκριμένα,
ο κος Ρομπερτ Γκόγκλης - Υποδιευθυντής στη Διεύθυνση
Διαχείρισης Έργων της Alpha Bank – παρουσίασε το έργο
πιστοποίησης IT service management, ένα έργο ιδιαίτερα
απαιτητικό με σημαντικές προκλήσεις.
Στον ίδιο τομέα (τραπεζικό) αλλά σε διαφορετικό πεδίο δράσης
(επιχειρησιακή συνέχεια) αναφέρθηκε ο κος Γεώργιος
Στρατόπουλος - Διευθυντής Οργάνωσης της Alpha Bank - ο
οποίος ανέδειξε την προστιθέμενη αξία της επένδυσης που
προσδίδει η πιστοποίηση με το πρότυπο ISO 22031, καθώς και
τα διάφορα οφέλη μεταξύ των οποίων είναι η δημιουργία κουλτούρας
επιχειρησιακής συνέχειας στα στελέχη της τράπεζας.
Στη συνέχεια ο Συνταγματάρχης Αντώνης Κατσιγιάννης - Κέντρο
Πληροφορικής Υποστήριξης Ελληνικού Στρατού – σε μια
ιδιαίτερα ενθαρρυντική κίνηση εξωστρέφειας του Ελληνικού
Στρατού μοιράστηκε μαζί μας την εμπειρία του από την επιτυχή
πιστοποίηση του Κέντρου κατά ISO 27001, παρουσιάζοντας
τις ιδιαιτερότητες του έργου αλλά και τα οφέλη που προέκυψαν,
όπως η τυποποίηση όλων των εγγράφων που απαιτούνται
στις διαδικασίες, η ενιαία λειτουργία των τμημάτων με
το ίδιο σύστημα ασφάλειας πληροφοριών και η πιο εύκολη επιβολή
πολιτικών ασφάλειας.
Η εκδήλωση έκλεισε με την παρουσίαση της κας Δήμητρας Βίτσα
– Υπεύθυνης Αντιμετώπισης Περιστατικών στο Ίδρυμα Τεχνολογίας
και Έρευνας - που αναφέρθηκε στο έργο και τους
στόχους της Ομάδας Διαχείρισης Περιστατικών Ασφαλείας
FORTHcert του ITE. iTSecurity
40 | security

REFERENCE
5 κύριοι λόγοι για την ανάπτυξη μιας
εξιδανικευμένης λύσης Database Security
Δ
ημιουργώντας μια κρίσιμη τελευταία
γραμμή άμυνας
Η προστασία της πολύτιμης και εμπιστευτικής πληροφορίας
που αποθηκεύεται στις βάσεις δεδομένων,
είναι ζωτικής σημασίας για τη διατήρηση της ακεραιότητας
και της φήμης των εταιρειών – και επιπλέον όταν
πρέπει να ακολουθούνται και κανονιστικές συμμορφώσεις.
Ωστόσο πολλές εταιρείες εξακολουθούν να βασίζονται σε μη
εξειδικευμένες λύσεις ασφαλείας με τους όποιους εγγενείς περιορισμούς
τους.
Δεδομένης της πολυπλοκότητας των σύγχρονων βάσεων και του
πόσο επιτηδευμένοι είναι πλέον οι εγκληματίες του κυβερνοχώρου,
η υλοποίηση μιας εξειδικευμένης και ολοκληρωμένης λύσης
ασφάλειας των βάσεων δεδομένων είναι επιτακτική ανάγκη.
Πέντε λόγοι που θα πρέπει να μας προβληματίζουν:
1. Δεν μπορούμε να προστατεύσουμε ένα περιουσιακό στοιχείο,
αν δεν ξέρουμε ότι υπάρχει!
2. Η περιμετρική ασφάλεια δεν αντικρούει απειλές από Insiders.
3. Αυτοί που επιβουλεύονται τα περιουσιακά μας στοιχεία είναι
πάντα ένα βήμα μπροστά.
4. Δεν πρέπει να θυσιάζουμε το Continuity του επιχειρείν στο
βωμό του Compliance.
5. Όταν τα δεδομένα υπάρχουν στο Cloud, το visibility είναι
εξαιρετικά περιορισμένο.
Τα πλεονεκτήματα της λύσης της Database Security
McAfee, σε γενικές γραμμές είναι τα ακόλουθα:
Πλήρης ορατότητα ως προς το βαθμό του ρίσκου και της
έκθεσης σε κίνδυνο που διατρέχει μία βάση δεδομένων.
Εναρμόνιση των πρακτικών διαχείρισης της πολιτικής ασφάλειας
σε όλο το προσωπικό, υπεύθυνο για την ασφάλεια και
τη διαχείριση βάσεων δεδομένων.
Αποτελεσματική διατήρηση των κανονιστικών συμμορφώσεων.
Ελαχιστοποίηση των κινδύνων και της ευθύνης, σταματώντας
τις επιθέσεις προτού προκαλέσουν ζημιά.
Διαχείριση της ασφάλειας της βάσης δεδομένων από μία
κεντρική κονσόλα.
Ευκολία στην ανάπτυξη και στη χρήση.
Μια λύση Database Security McAfee χρησιμοποιεί τα ακόλουθα
εργαλεία:
McAfee Vulnerability Manager - Πλήρης ορατότητα ως προς
το βαθμό του ρίσκου και της έκθεσης σε κίνδυνο που διατρέχει
μία βάση δεδομένων και σάρωση πολλών βάσεων δεδομένων
σε ολόκληρη την επιχείρηση από μια κεντρική κονσόλα. Επιταχύνει
το χρόνο της κανονιστικής συμμόρφωσης και ελαχιστοποίησης
των κύκλων audits, με αποτέλεσμα σημαντική μείωση
κόστους. Προσφέρει γρήγορη ανάπτυξη και εφαρμογή,
έστω και αν υπάρχει ελάχιστη γνώση του συστήματος της βάσης
δεδομένων, καθώς και άμεση δημιουργία custom αναφορών
σε μια εύκολη στην κατανόηση μορφή και για διάφορους
ρόλους παραληπτών αυτών των αναφορών.
McAfee Database Activity Monitoring - Μεγιστοποίηση του
visibility και της προστασίας από όλες τις πηγές και τους τύπους
των επιθέσεων. Παρακολούθηση των εξωτερικών απειλών, προνομιούχων
μελών και εξελιγμένων απειλών, μέσα από τη βάση
δεδομένων. Ελαχιστοποίηση των κινδύνων και της ευθύνης, σταματώντας
τις επιθέσεις προτού προκαλέσουν ζημιά. Εξοικονόμηση
χρόνου και χρήματος με ταχύτερη ανάπτυξη και αποδοτικότερη
αρχιτεκτονική. Επίτευξη ευελιξίας με εύκολη ανάπτυξη
στην επιλεγμένη υποδομή.
McAfee Virtual Patching - Προστασία από απειλές, ακόμη
και πριν από την εγκατάσταση ενημερωμένων εκδόσεων κώδικα
του κατασκευαστή. Εξάλειψη της ανάγκης για ειδικές γνώσεις
DBMS στο προσωπικό που ασχολείται με IT και security.
Διατήρηση των βάσεων δεδομένων συνεχώς online, χάρη στο
non-intrusive σχεδιασμό του λογισμικού. Παροχή απρόσκοπτης
προστασίας των μέσων της αυτοματoποιημένης διανομής
των ongoing ενημερώσεων. Διευκόλυνση στη συμμόρφωση
με πρότυπα, όπως PCI DSS, HIPAA και άλλα.
McAfee ePolicy Orchestrator Software - End-to-end ορατότητα
εντός της βάσης δεδομένων, ως προς την ασφάλεια και
τη συμμόρφωση, από μία κεντρική κονσόλα διαχείρισης. Ενιαίο
πρόγραμμα διαχείρισης της ασφάλειας των βάσεων δεδομένων
που βρίσκονται στις εγκαταστάσεις, σε απομακρυσμένες περιοχές
ή ακόμη και στο Cloud. Ανοικτή, επεκτάσιμη αρχιτεκτονική,
που συνδέει τη διαχείριση τόσο της McAfee όσο και λύσεις
ασφάλειας τρίτων κατασκευαστών στο LDAP, στις λειτουργίες
ΙΤ και στα εργαλεία configuration και διαχείρισης. iTSecurity
ITWay Hellas, Value Added Distributor • Τηλ.: 210-6801013
security | 41

REFERENCE
Της Χαράς Βασιλειάδου
ΙnfoSec Specialist, Space Hellas
Distributed Denial
Of Service Attacks:
Know them in order to
stop them wisely
H
σύγχρονη επιχειρηματική δραστηριότητα δεν έχει
περιορισμούς, αλλά ούτε και σύνορα. Η καθολική
ανάπτυξη και υιοθέτηση της τεχνολογίας του Διαδικτύου
δίνει τη δυνατότητα στις επιχειρήσεις να διαθέτουν
τα προϊόντα τους μέσα από ηλεκτρονικές υποδομές
στον παγκόσμιο ιστό και μάλιστα σε 24ωρη βάση. Όμως, οι δομές
των online υπηρεσιών και αγοραπωλησιών, αποτελούν το
πλέον θελκτικό μέρος για εγκληματικές ενέργειες. Ταυτόχρονα,
δεν είναι λίγες οι φορές που λόγω λανθασμένου «αρχιτεκτονικού»
σχεδιασμού μιας διαδικτυακής υπηρεσίας (ιστοσελίδα, δικτυακές
και τηλεπικοινωνιακές υποδομές) οι ίδιοι οι χρήστες
μπορεί να προκαλέσουν την έλλειψη διαθεσιμότητάς της ή ακόμα
και την έκθεση εμπιστευτικών πληροφοριών μέσω αυτής. Τα
αποτελέσματα μη διαθεσιμότητας μιας υπηρεσίας έχουν άμεσο
αρνητικό αντίκτυπο στην εκάστοτε εταιρία τόσο σε οικονομικό
επίπεδο όσο και στη φήμη/ αξιοπιστία της.
Τι είναι το (D)DoS – Επίθεση Άρνησης Εξυπηρέτησης/Υπηρεσίας
Μία επίθεση DoS/DDoS συνίσταται στην εκδήλωση καταιγισμού
αιτήσεων σύνδεσης από διαφορετικές πηγές σ’ έναν εξυπηρετητή,
με απώτερο στόχο, την κατάρρευσή του. Ο στόχος
αυτών των επιθέσεων είναι συνήθως τα κάτωθι βασικά στοιχεία
μιας διαδικτυακής υποδομής:
Το εύρος του δικτύου (Network bandwidth)
Η μνήμη του εξυπηρετητή (Server memory)
Ο μηχανισμός διαχείρισης των διαφόρων εξαιρέσεων μιας
εφαρμογής, είτε αυτές ενσωματώνονται στο server είτε αποτελούν
εξειδικευμένη συσκευή, όπως Web Application Firewall
(Application exception handling mechanism)
H xρήση του επεξεργαστή/CPU
Ο διαθέσιμος αποθηκευτικός χώρος (Hard disk space)
Ο διαθέσιμος χώρος των βάσεων δεδομένων (Database
space)
Το σύνολο των συνδέσεων της βάσης δεδομένων (Database
connection pool)
Τα είδη DoS επιθέσεων ποικίλουν ενώ οι πρακτικές αυτών εξελίσσονται
με ραγδαίους ρυθμούς. Ενδεικτικά παρουσιάζονται
στο διάγραμμα 1 ορισμένα εξ’ αυτών.
Λύση
Στον τομέα της τεχνολογίας, το είδος των επιθέσεων εξελίσσεται
το ίδιο γρήγορα με το είδος των λύσεων ή και/ το αντίθετο. Ως
εκ τούτου, στην αγορά υπάρχουν διαθέσιμες ισχυρότατες πλατφόρμες
που είναι σε θέση να αναγνωρίσουν την απειλή/ επίθεση
και να την αποκρούσουν αποτελεσματικά.
Για να γίνει αυτό όμως, θα πρέπει ο οργανισμός να διαθέσει άμεσα
υψηλό κεφάλαιο για επένδυση σε τεχνολογία (συσκευές, εφαρμογές.
κλπ.) ανθρώπους με υψηλή κατάρτιση αλλά και πολύπλοκες
διαδικασίες, που στην περίπτωση της εκάστοτε επιχείρησης
μπορεί να μη συνάδουν με τις βασικές της αρμοδιότητες (core
business), αλλά ούτε και με το οικονομικό-επιχειρηματικό της πλάνο.
Συνεπώς, μία τέτοια επένδυση θα αποπροσανατόλιζε το βασικό
της στόχο. Η βέλτιστη προσέγγιση στην καταπολέμηση των
Denial of Service επιθέσεων είναι ο συνδυασμός προϊοντικών λύσεων
και διαδικασιών. Η προσέγγιση στη λύση οφείλει να είναι
ολιστική μιας και το θέμα της ασφάλειας πληροφοριών δεν μπορεί
πλήρως να καταπολεμηθεί με ένα προϊόν ή με μία μονόπλευρη
λύση, π.χ. προστασία μόνο της εφαρμογής.
Τα βήματα για την προστασία από επιθέσεις DoS, ξεκινούν από
την οριοθέτηση της επικινδυνότητας σε επίπεδο επιχείρησης
και ολοκληρώνονται με την εκπαίδευση και ενημέρωση των χρη-
42 | security

Διάγραμμα 1
στών (διάγραμμα 2). Εφόσον αναγνωριστεί η κρισιμότητα των
αγαθών της εταιρείας, αναγνωρίζονται πρώτα οι υπάρχοντες μηχανισμοί
στην πληροφοριακή υποδομή και στην πορεία γίνεται ή
όχι, η επιλογή κατάλληλης και εξειδικευμένης λύσης αντιμετώπισης
DoS επιθέσεων.
Εφόσον ολοκληρωθούν τα ανωτέρω βήματα, ο οργανισμός θα έρθει
αντιμέτωπος με την επιλογή της βέλτιστης λύσης για την προστασία
του. Οι απόψεις για το θέμα των λύσεων διίστανται μιας
και πολλοί θεωρούν ότι μόνο ο πάροχος μπορεί να τους προστατέψει
από τις επιθέσεις αυτές και ότι δεν απαιτείται μία λύση
μέσα στην πληροφοριακή υποδομή. Αυτό όμως αποτελεί έναν
μύθο όπως έχει αποδειχτεί στο σύνολο της παγκόσμιας αγοράς
και στην πράξη..
Αυτό που απαιτείται είναι ο συνδυασμός δύο προσεγγίσεων: τόσο
ο πάροχος να προστατεύει το δίκτυό του από Distributed Denial
of Service Attacks όσο και ο οργανισμός την πληροφοριακή
του υποδομή. Ο πάροχος οφείλει να εφαρμόζει μηχανισμούς ανίχνευσης,
φιλτραρίσματος και αντιμετώπισης επιθέσεων τόσο σε
πραγματικό χρόνο όσο και κατόπιν απαίτησης του πελάτη-οργανισμού.
Από την άλλη, κάθε οργανισμός οφείλει να προστατεύει
την περίμετρό του με ιδία μέσα, μιας και πολλές υπηρεσίες πραγματοποιούνται
πάνω από κρυπτογραφημένα κανάλια μη ανιχνεύσιμα
από τον πάροχο. Παράλληλα, ο εκάστοτε πάροχος δεν είναι
σε θέση/ ή δεν είναι σωστό να αποκόψει ένα ολόκληρο δίκτυο
που «κρύβεται» πίσω από μία μεταφρασμένη διεύθυνση (ΝΑΤ)
που μπορεί να αντιπροσωπεύει από μία ολόκληρη εταιρεία (π.χ.
δημόσιο φορέα) μέχρι και μία ολόκληρη χώρα. Ως εκ τούτου, ο
συνδυασμός λύσεων μέσω παρόχου και On Premises είναι η βέλτιστη
τακτική.
Παράλληλα με τα ανωτέρω, είναι σημαντικό να τονίσουμε ότι όλες
οι λύσεις προστασίας από Denial of Service επιθέσεις, απαιτούν
παρακολούθηση τόσο σε 24ώρη βάση όσο και σε πραγματικό
χρόνο. Αυτό συνεπάγεται την ανάγκη προσωπικού διαχείρισης,
ενημέρωσης και καταπολέμησης.
Η Space Hellas, μέσα από το υπερσύγχρονο Security Operations
Center που διαθέτει είναι σε θέση να εποπτεύει όλο το 24ωρο την
ευρωστία των συστημάτων του οργανισμού σε πραγματικό χρόνο,
να συνδυάζει τυχόν περιστατικά και να αποφασίζει με ασφάλεια
αν πρόκειται για κάποιο περιστατικό επίθεσης ή οτιδήποτε
άλλο. Το Emergency Response Team αποτελείται από στελέχη
υψηλής κατάρτισης, έτοιμα να επέμβουν έτσι ώστε να αντι μετωπιστεί
μία επίθεση. Μέσα από έναν οργανωμένο μηχανισμό συνεργασίας
με την εταιρία-στόχο, το περιστατικό απομονώνεται, δημιουργούνται
άμεσα όλες οι απαραίτητες άμυνες και η κατάσταση ομαλοποιείται,
ενώ τα συστήματα συνεχίζουν να προσφέρουν υπηρεσίες
στους τελικούς πελάτες. Η Space Hellas πέραν της υψηλής τεχνογνωσίας
και της ευρείας γκάμας προσφερόμενων προϊοντικών
λύσεων, έχοντας γνώση, εμπειρία και πολλαπλές πιστοποιήσεις σε
θέματα ασφάλειας, προσφέρει στους πελάτες της τα κάτωθι σημεία
διασφάλισης των ευαίσθητων δεδομένων/πληροφοριών τους:
Κρυπτογράφηση από άκρο σε άκρο των δεδομένων, Μηχανισμούς Ισχυρής
Αυθεντικοποίησης για την πρόσβα ση χρηστών, Προκαθορισμένες διαδικασίες
εξουσιοδότησης, Αναλυτική αναφορά για την επεξεργασία των
δεδομέ νων, Πιστοποίηση διαγραφής δεδομένων σε περίπτωση που αυτό
είναι επιθυμητό από τον πελάτη, Ισχυρά συμβόλαια/ SLAs, Αναλυτικές
και περιοδικές αναφορές συμβάντων/ best practices και απόδοσης
των συστημάτων.
Τέλος, η εταιρία προσφέρει ένα σύνολο υπηρεσιών Managed Security
Services, όπως ενδεικτικά μπορούμε να αναφέρουμε τη Διαχείριση
και Παρακολούθηση Συσκευών Ασφάλειας (για παράδειγμα
διαχείριση και παρακολούθηση 24*7, AntiDoS Solutions), τη
Συλλογή και Επεξεργασία Logs και Events (SIEM), τις Υποδομές για
Full ή Partial Disaster Site ή ακόμα και το ολοκληρωμένο πακέτο
διαχείρισης κινδύνου του οργανισμού. iTSecurity
Διάγραμμα 2
security | 43

P RACTICAL
Του Αλέξανδρου Σουλαχάκη
Πρακτικός οδηγός διασφάλισης
VoIP τηλεφωνικών κέντρων (Μέρος Β’)
Σ
το προηγούμενο τεύχος παρουσιάσαμε τα βασικά
συστατικά της διασφάλισης ενός τηλεφωνικού
κέντρου. Στο πρώτο μέρος ασχοληθήκαμε
με της διαδικασίες οι οποίες αφορούν
τον εσωτερικό κόσμο του κέντρου, το τοπικό δίκτυο
και τις ενέργειες που χρειάζονται ώστε το κέντρο να ε-
τοιμαστεί για να είναι πάντα ασφαλισμένο. Είναι κατανοητό πως
όσα αναφέραμε στην προηγούμενη ενότητα είναι προαπαιτούμενα
για την διασφάλιση αλλά δε φτάνουν. Το δεύτερο μέρος
αναφέρεται στη σχέση κέντρου και εξωτερικού «IP» ψηφιακού
κόσμου. Ένας κόσμος σκληρός και γεμάτος εκπλήξεις.
Η μεθοδολογία και η στρατηγική που θα ακολουθήσουμε στο
δεύτερο μέρος της παρουσίασης αφορά τις απαραίτητες ε-
νέργειες που πρέπει να ολοκληρωθούν πριν την σύνδεση του
κέντρου με τον έξω κόσμο.
Θύρες και τείχος προστασίας
Θύρες και κλασικοί στόχοι. Στο επόμενο βήμα στόχος μας γίνεται
η αλλαγή στις προεπιλεγμένες θύρες του τηλεφωνικού κέντρου.
Επιθυμητό αποτέλεσμα είναι να αποφύγουμε στοχοποιημένες
επιθέσεις σε κλασικές θύρες. Με αυτόν τον τρόπο
αναγκάζουμε τον επιτιθέμενο που ψάχνει για πρόσβαση στο
σύστημα να χρησιμοποιήσει εργαλεία ανίχνευσης θυρών (port
scanner). Αν αυτό συμβεί η επίθεση τερματίζεται σε αυτή τη
χρονική στιγμή και το κέντρο πλέον είναι αόρατο για την επιτιθέμενη
IP. Ειδικά με τον συνδυασμό IDS/IPS που θα αναφέρουμε
αργότερα το μοντέλο θα «κόψει» άμεσα κάθε απόπειρα
επίθεσης. Υπογραμμίζουμε σε αυτό το σημείο πως με την
εφαρμογή της προηγούμενης ρύθμισης (LAN) το κέντρο είναι
προσβάσιμο μόνο από συγκεκριμένες IPs. Η θύρα 5060 συνηθίζεται
να χρησιμοποιείται για SIP επικοινωνία συσκευών, συνήθως
μένει ανοιχτή και εκτεθειμένη στον έξω κόσμο με σκοπό
να επιτρέψει την επικοινωνία μεταξύ SIP οντοτήτων και κέντρου.
Το ίδιο συμβαίνει και για το πρωτόκολλο IAX στην
πόρτα 4569. Τέλος οι θύρες 10000-20000 συνήθως χρησιμοποιούνται
για τη ροή δεδομένων φωνής (RTP).
Ο τρόπος αλλαγής θύρας ποικίλει από διανομή σε διανομή.
Μπορεί να αλλαχτεί από την web διεπαφή ή από κονσόλα εικόνα
1.
Μετά την αλλαγή ρυθμίζουμε το τείχος προστασίας και δοκιμάζουμε
αν η νέα ρύθμιση λειτουργεί, αφού επανεκκινήσουμε
την αντίστοιχη υπηρεσία (sshd daemon). Με μια ματιά στο τείχος
προστασίας, γρήγορα καταλαβαίνουμε πώς υπάρχουν θύρες
ανοιχτές οι οποίες δεν χρειάζονται. Αν για παράδειγμα
δεν χρησιμοποιούμε υπηρεσίες “chat” ή υπηρεσίες παρουσίας
(presense) XMMP κλείνουμε τις θύρες (και τις υπηρεσίες).
Με τον ίδιο τρόπο και από τη διεπαφή του τοίχους προστασίας
απενεργοποιούμε το ICMP, ώστε το κέντρο να μην «απαντάει»
στα ping requests και προδίδει τη θέση του και την
ύπαρξη του.
Τείχος προστασίας και κανόνες ρύθμισης συνδέσεων. Η πα-
Εικόνα 1.
44 | security

ρουσία του τείχους προστασίας, βασισμένη στο διάσημο
IPtables, είναι απαραίτητη και χωρίς αυτή είναι θέμα ημερών για
το κέντρο να δεχτεί επίθεση από έναν κακόβουλο χρήστη. Μία
επίθεση ddos είναι ικανή να «γονατίσει» το κέντρο και να το
μεταμορφώσει σε άβουλο κουτί που απλά δεν λειτουργεί. Οι
παρακάτω θύρες και υπηρεσίες σοφό είναι να απενεργοποιούνται
όταν δεν χρησιμοποιούνται. 80 και 9080 για τη web
διεπαφή στο κέντρο εκτός τοπικού δικτύου. Συνιστάται η χρήση
vpn και ssh tunneling. Στην περίπτωση που η 443 ή η 9001
δεν χρησιμοποιείται επίσης απενεργοποιήστε την. Η πόρτα
4569 απευθύνεται στο πρωτόκολλο IAX. Αν λοιπόν δεν το
χρειάζεστε κλείστε την θύρα. Το ΙΑΧ είναι διάσημο πρωτόκολλο
γιατί υπερτερεί έναντι του SIP στο γεγονός ότι μεταφέρει
απροβλημάτιστα την πληροφορία σε σημεία που υπάρχει
ενεργό τείχος προστασίας χρησιμοποιώντας μόνο αυτήν την
πόρτα. Το SIP από την άλλη χρειάζεται διαφορετικές πόρτες
TCP, UDP και RTP προκειμένου να μεταφέρει SDP πληροφορίες
σύνδεσης και φωνής. To πλεονέκτημα του ΙΑΧ είναι πώς
όταν το τηλεφωνικό κέντρο, στέλνει πληροφορίες στον πάροχο
VoIP (με σκοπό τον τερματισμό κλήσεων), δε χρειάζεται να
υπάρχει ανοιχτή πόρτα. Στην περίπτωση χρήσης SIP για τον
τερματισμό κλήσεων, οι 5004-5082 και οι 10000-20000 είναι α-
παραίτητες. Στην περίπτωση που δεν προσφέρετε την διασύνδεση
απομακρυσμένων οντοτήτων SIP από την θύρα 5060
σαν επιλογή, απενεργοποιήστε την για τον έξω κόσμο. Αν πάλι
τη χρειάζεστε αλλάξτε την όπου χρειάζεστε και χρησιμοποιήστε
VPN tunneling. Το FOP (flash operator panel) με την
πόρτα 4445 είναι ένα γραφικό περιβάλλον / διεπαφή και έχει
ρόλο switchboard. Η εμπειρία δείχνει πώς δεν χρησιμοποιείται
συχνά. O διακομιστής συγχρονισμού ώρας γνωστός και
ως timeserver (θύρα 123) δεν χρειάζεται να δίνει πρόσβαση
στον έξω κόσμο. Το ίδιο συμβαίνει με την υπηρεσία TFTP
(πόρτα 69) η οποία είναι υπεύθυνη για το provisioning (αρχικοποίηση
οντοτήτων SIP). Αρκετοί διαχειριστές προτιμούν (και
συνιστάται) να την απενεργοποιήσουν μετά την αρχική παραμετροποίηση
των συσκευών και τον επανεκκινούν σε περιπτώσεις
αναβάθμισης.
Έλεγχος ορθής επανεκκίνησης. Λόγω της ύπαρξης πολλών
διανομών τηλεφωνικών κέντρων, καλό είναι να γίνεται έλεγχος
του τοίχους προστασίας καθώς και των υπηρεσιών που «τρέχει»
το κέντρο, ώστε να απενεργοποιηθούν τα συστατικά που
δεν χρησιμοποιούνται. Στην περίπτωση απενεργοποίησης θύρας
ή υπηρεσίας και στην περίπτωση που μετά από επανεκκίνηση
επανενεργοποιηθεί, σημαίνει πώς πρέπει να ελέγξετε τα
αρχεία, ώστε να μη γίνεται αυτόματη εκτέλεση κατά το boot
(chkconfig υπηρεσία on/off). Επιπρόσθετα κάποια αρχεία βρίσκονται
στο σύστημα σε πολλές εκδόσεις. Για παράδειγμα μπορεί
να δείτε το sip.conf και το sip_custom.conf. Σε αυτήν την
περίπτωση ελέγξτε τις σημειώσεις που διαφέρουν από μια διανομή
σε άλλη. Συνήθως τα παρόμοια (με το κύριο) αρχεία που
εμπεριέχουν τα συνθετικά custom, additional είναι αυτά που ε-
μπεριέχουν πρόσθετες ρυθμίσεις που προσαρτούνται στο κύριο
αρχείο. Αυτό συμβαίνει για να μην δημιουργείται πρόβλημα
όταν ένα αρχείο αλλάζεται από τη διεπαφή ενώ πριν έχει
τροποποιηθεί με κονσόλα. Αν λοιπόν έχουν «χαθεί» ρυθμίσεις
κατά την παραμετροποίηση, ελέγχουμε αυτήν την περίπτωση.
Με άλλα λόγια φροντίζουμε να τροποποιούμε τα σωστά
αρχεία κάθε φορά με στόχο συγκεκριμένη ενέργεια. Με
μια παρατηρητική ματιά θα διαπιστώσετε πώς αν σε ένα αρχείο
δεν επιτρέπεται να επέμβουμε χειροκίνητα, θα βρείτε μέσα
σε αυτό σημείωση που θα σας το υπενθυμίζει.
Σημαντικές λεπτομέρειες που δεν πρέπει να
ξεχνάμε
Ένα σύνολο από κανόνες, ανεβάζουν το επίπεδο δυσκολίας έ-
ναντι κακόβουλων επιθέσεων. Το «μυστικό» της επιτυχίας βρίσκεται
αρχικά στο να σφραγιστούν οι «τρύπες» του τηλεφωνικού
κέντρου. Δεν πρέπει όμως να ξεχνάμε σε καμία περίπτωση
πως σκοπός μας είναι ο επιτιθέμενος να καταλάβει ά-
μεσα πώς ο στόχος είναι μη προσβάσιμος και δεν έχει νόημα
να ασχοληθεί. Στις περισσότερες περιπτώσεις έχει παρατηρηθεί
ό,τι ο επιτιθέμενος τα παρατάει και ψάχνει για νέους «εύκολους»
στόχους με το που αναγνωρίσει τα πρώτα αντίμετρα.
Στη λίστα αυτών τον κανόνων λοιπόν συνιστούνται και προστίθενται
οι παρακάτω ενέργειες. Δεν επιτρέπεται η πιστοποίηση
SIP εγγραφής (registration) από όλες τις IP διευθύνσεις.
Επιλέξτε συγκεκριμένα και λογικά subsets από τα οποία μπορούν
οι χρήστες να ταυτοποιηθούν και να έχουν πρόσβαση σε
επιμέρους στοιχεία και εφαρμογές. Συνιστάται να χρησιμοποιούνται
custom context για ομάδες χρηστών ή μεμονωμένους
χρήστες ώστε να περιορίζονται ανάλογα με τις ανάγκες.
Θέσατε alwaysreject = yes στο sip.conf προκαλώντας απόρριψη
των λάθος ταυτοποιήσεων σε σωστό username. Με αυτόν
τον τρόπο σταματάει η προσπάθεια για εντοπισμό εσωτερικών
αριθμών (extensions) και κατ’ επέκταση των κωδικών
αυτών. Αποτρέψετε την χρήση SIP κλήσης από ανώνυμο χρήστη
δια παντός για όλα τα εσωτερικά. Οι κωδικοί σε όλα τα ε-
πίπεδα πρέπει να εμπεριέχουν νούμερα σύμβολα, μικρά, κεφαλαία
και αριθμούς με μη κατανοητές λέξεις. Με τη χρήση
permit/deny μπλοκάρετε τον ΑΜΙ (Asterisk Manager Interface),
ώστε να δέχεται εισερχόμενες συνδέσεις μόνο από γνωστές
επαφές (IP). O AMI μπορεί να εκτελέσει εντολές η να διαβάσει
γεγονότα από το τηλεφωνικό κέντρο και σοφό είναι να μη
μένει ενεργός χωρίς λόγο. To ίδιο ακριβώς ισχύει με τον TAPI
ο οποίος είναι ένας οδηγός που βοηθάει στην χρήση CTI ε-
security | 45

P RACTICAL
Πρακτικός οδηγός διασφάλισης VoIP τηλεφωνικών κέντρων
φαρμογών. Η χρήση κωδικών και εδώ πρέπει να τηρεί τα προαναφερθέντα.
Προστατέψετε τα context δηλαδή τη λίστα επιτρεπόμενων
πράξεων του χρήστη και περιορίστε το default
context σε περιορισμένους χρήστες ή ομάδα αυτών. Η επιλογή
allowguest πρέπει να είναι “no”, ώστε να μην γίνονται κλήσεις
από μη ταυτοποιημένους χρήστες. Η ταυτότητα SIP, πρέπει να
διαφέρει από τον εσωτερικό αριθμό, διαφορετικά είναι εύκολος
στόχος για τον επιτιθέμενο. Είναι απαραίτητο στα αρχεία
που χρησιμοποιείτε e-mail για ειδοποιήσεις, η προώθηση fax
/ voicemail να ορίσετε σωστές διευθύνσεις ώστε να μη διαρρεύσουν
πληροφορίες σε τρίτους από αμέλεια. Τέλος να θυμάστε
πως το Wi Fi αποτελεί ρίσκο για την ασφάλεια του τηλεφωνικού
κέντρου.
Πολλοί διαχειριστές ρωτάνε για την λίστα MAC στην οποία ε-
πιτρέπει σε συγκεκριμένες μόνο συσκευές να κάνουνε κλήσεις.
Ναι μπορείτε να την εφαρμόσετε, αλλά να γνωρίζεται πως είναι
χρονοβόρα στην συντήρηση, προκαλεί περισσότερο πρόβλημα
σε μεγάλες εγκαταστάσεις παρά όφελος. Στα VoIP κέντρα
εξάλλου αν ο επιτιθέμενος έχει φτάσει σε επίπεδο να κάνει
macspoof ή να αλλάξει την mac ενός extension σημαίνει
πως ήδη έχει διεισδύσει στο σύστημα οπότε και είναι θέμα λεπτών
να κάνει κλήσεις. Τέλος φροντίστε κατά την παραμετροποίηση
να επιτρέψετε (όπου είναι δυνατόν) μια ή δυο εξερχόμενες
κλήσεις ανά εσωτερικό αριθμό. Ο επιτιθέμενος αφού
καταφέρει να ταυτοποιηθεί θα προσπαθήσει να πετύχει τον
μέγιστο αριθμό ταυτόχρονων κλήσεων. Με τον τρόπο αυτό
δεν θα μπορεί να εκτελέσει πάνω από δύο ταυτόχρονες. Πρακτικά
αυτό σημαίνει πως αν ο επιτιθέμενος κατάφερε να υποκλέψει
κωδικούς θα προσπαθήσει να πραγματοποιήσει όσων
το δυνατό περισσότερες ταυτόχρονες κλήσεις, σε αριθμό με
υψηλό κοστολόγιο, από τον οποίο έχει ο ίδιος χρηματικό ό-
φελος (και σε προορισμό του οποίου την ύπαρξη δε γνωρίζατε
μέχρι σήμερα). Αποτέλεσμα σε ένα βράδυ να χρεωθείτε
χιλιάδες ευρώ.
Σύστημα ανίχνευσης επιθέσεων και αποκλεισμός
Το τελευταίο σημαντικό βήμα για τη διασφάλιση του τηλεφωνικού
κέντρου είναι η σωστή παραμετροποίηση του fail2ban
το οποίο αποτελεί ένα αντίμετρο τύπου IDS κατά του brutal
force. Το f2b όπως το συντομογραφούμε προσφέρει ένα είδος
φυλακής, στην οποία μπλοκάρει ύποπτες IP διευθύνσεις
που κάνουν απόπειρες να συνδεθούν στο κέντρο ή σε κάποιο
εσωτερικό ή να βρούνε τους κωδικούς του συστήματος. Οι
ρυθμίσεις του f2b προσφέρουν εκτός από το SIP επιπρόσθετους
κανόνες για πολλά άλλα πρωτόκολλα ανάλογα με τη συμπεριφορά
και την πολιτική διασφάλισης. Βρίσκεται στην ευχέρεια
μας να επιλέξουμε το πλήθος των κελιών ανάλογα με
το πρωτόκολλο που διασφαλίζουμε καθώς και το είδος του α-
ποκλεισμού σε χρονικό όριο. Προσωπικά ρυθμίζω το χρόνο
αποκλεισμού σε 24 ώρες εκτός αν το κέντρο με ειδοποιήσει
για συνεχείς αποτυχημένες επιθέσεις. Στην περίπτωση αυτή το
ανεβάζουμε τη διάρκεια αποκλεισμού σε μήνα. Δεν συνιστάται
νομικά να κρατάτε IP λίστα αποκλεισμού και δεν έχει κανένα
πρακτικό νόημα. Αν πάλι κάποιο IP επιμένει να προσπαθεί
να σας κάνει ddos για παράδειγμα, απλά το προσθέτετε στο
IPtables με περιορισμό deny και δε σας ενοχλεί ξανά. Υπάρχουν
λίστες με κακόβουλες IP, άλλες ελεύθερες άλλες με πληρωμή.
Προσωπικά απλά τις έχω υπόψιν μου και σπάνια θα ρίξω
μια ματιά αν κάτι με οδηγήσει εκεί όπως για παράδειγμα έ-
να αποτέλεσμα από μηχανή αναζήτησης.
Κανόνες ασφαλείας στην αριθμοδότηση και
φραγές κλήσεων
Το θέμα ασφαλείας δεν περιορίζεται όμως στο τηλεφωνικό
κέντρο και στο τείχος προστασίας. Υπάρχουν πολλές παράμετροι
που σχετίζονται με το dialplan. Το dialplan δεν είναι κάτι
παραπάνω από ένα σύνολο κανόνων, οι οποίοι υποδεικνύουν
στο κέντρο που μπορεί να τηλεφωνήσει και που όχι. Αν
για παράδειγμα απαγορεύσουμε το 0044 το τηλεφωνικό κέντρο
αυτό δεν μπορεί πια να τηλεφωνήσει στη Μεγάλη Βρετανία. Ζητούμενο
είναι ο πάροχος να μην επιτρέπει κλήσεις σε μη επιθυμητούς
κακόβουλους προορισμούς. Είναι η βέλτιστη λύση και
πάντα καλό είναι να ρωτάμε τον πάροχο αν είναι δυνατόν να
«κόψει» αυτούς τους προορισμούς ή να μας βάλει σε περιορισμένη
λίστα με προορισμούς επιλογής μας. Αν όχι μπορούμε
να «κόψουμε» ότι δε χρησιμοποιούμε από το κέντρο συ-
46 | security

νολικά ή σε συγκεκριμένα εσωτερικά και να τα περιορίσουμε
για παράδειγμα μόνο σε αστικά, υπεραστικά, κινητά και Γαλλία
μόνο. Σε αυτό το σημείο είναι απαραίτητο να γνωρίζουμε πως
επιπρόσθετα μπορεί να ενεργοποιηθεί κωδικός (pin) για κλήσεις
εξωτερικού στο κέντρο. Σε κάθε προσπάθεια για διεθνή
κλήση το κέντρο θα ζητάει κωδικό πριν πραγματοποιήσει την
κλήση αυτή. Μια καλή πρακτική για να κοιμάστε ήρεμοι τα βράδια
είναι η εξής. Προτιμήστε prepaid συμβόλαιο. Αν για παράδειγμα
το κόστος τηλεφωνίας της εταιρίας η οργανισμού
κοστίζει 300 ευρώ το μήνα δε χρειάζεται να έχουμε απεριόριστη
πίστωση. Μπορούμε να θέσουμε όριο τα 300 ευρώ και ό-
ταν το ποσό μειωθεί να προσθέσουμε χρήματα στο λογαριασμό.
Αν πάλι υπάρχει ανάγκη για postpaid συμβόλαιο, τότε σε
συνεννόηση με τον πάροχο, μπορείτε να ορίσετε διακοπή υ-
πηρεσίας με όριο τα 350 ευρώ ανά μήνα. Τέλος Σαν πρακτική
ασφαλείας διατηρήστε μια PSTN γραμμή και τουλάχιστον
μια τηλεφωνική συσκευή σε κοινόχρηστο χώρο ή σε φυλάκιο.
Διασφάλιση τηλεφωνικής κλήσης, επιπρόσθετα
αντίμετρα και παρατήρηση.
Ένα επιπρόσθετο μέτρο σε μια ολοκληρωμένη αρχιτεκτονική
είναι η χρήση του κέντρου «πίσω» από ένα Hardware firewall
με ΝΑΤ και δυνατότητες router.
Στο μοντέλο που εικονίζεται στην εικόνα 2 , διακρίνονται τα 5
βασικά επίπεδα που εμπλέκονται άμεσα σε τοπικό επίπεδο. Ε-
πιπρόσθετα υπάρχουν άλλα 3 επίπεδα (εκτός φυσικού τοπικού
δικτύου). Αυτά διασφαλίζουν το συνολική διαδρομή του δικτύου
μας από άκρη σε άκρη, συμπεριλαμβανομένου των α-
πομακρυσμένων σημείων.
Το τείχος προστασίας αυτό (εκτός την μόνωση) που προσφέρει
από τον έξω κόσμο, μπορεί να εξασφαλίσει και δυνατότητα
QoS το οποίο είναι απαραίτητο στο VoIP. Με την υ-
λοποίηση VPN δικτύου μπορούμε να παράσχουμε συνδεσιμότητα
με άλλα γεωγραφικά σημεία σε επίπεδο LAN καθώς το
VPN έρχεται και τερματίζεται πίσω από το τείχος προστασίας.
Το routing, το στήσιμο του VPN και τα επιμέρους στοιχεία του
δικτύου είναι μια διαφορετική ιστορία η οποία αποτελεί από μόνη
της νέο κεφάλαιο. Το μεγάλο πλεονέκτημα είναι πως το δίκτυο
θεωρείται (και δρα) σαν τοπικό άσχετα με τα γεωγραφικά
σημεία. Επίσης πολύ σημαντικό στοιχείο είναι το γεγονός
πως το/τα sip trunks που οδηγούν τις κλήσεις στον πάροχο
VoIP μπορούν να τερματίζονται σε αυτόν μέσο του VPN. Το
περιβάλλον λοιπόν είναι διασφαλισμένο από υποκλοπές
(eavesdropping).
Επιπρόσθετη χρήση του SRTP σε συνδυασμό με το πρωτόκολλο
TLS κάνει την υποκλοπή αδύνατη καθώς στην ανάλυση
με wireshark δεν αποκωδικοποιούνται πλέον οι ροές RTP
και δε φαίνεται κανένα στοιχείο που περιγράφει το είδος του
Εικόνα 2
media και τα φυσικά σημεία σύνδεσης (IPs).
Με μια σειρά ρυθμίσεων στη δρομολόγηση κίνησης, μπορεί ο
διαχειριστής να παραμετροποιήσει συσκευές ή κέντρα σε τοπικό
επίπεδο ανεξαρτήτου γεωγραφικού σημείου και χωρίς να
προδίδει τις εξωτερικές IP’s απενεργοποιώντας επιμέρους τμήματα
δικτύου ή του τοίχους προστασίας. Τέλος αν ο πάροχος
τερματίζει τις κλήσεις του σε άλλους μεγαλύτερους κρίνεται α-
παραίτητο να υπάρχει μεταξύ τους peer to peer διασύνδεση.
Ο Λόγος είναι απλός. Η p2p σύνδεση κάνει ταυτοποίηση και
εγγραφή μόνο μεταξύ των δυο πλευρών με IP. Δεν υπάρχει δηλαδή
username και password για να γίνει οποιαδήποτε προσπάθεια
επίθεσης και δεν επιτρέπεται πρόσβαση από μη ε-
ξουσιοδοτημένες IP διευθύνσεις . Έτσι λοιπόν η κλήση σας είναι
ασφαλής από άκρο σε άκρο σε επίπεδο VoIP, δηλαδή από
τη συσκευή του γραφείου σας μέχρι τον πάροχο, VoIP που κάνει
τον τελικό τερματισμό σε τηλεπικοινωνιακούς οργανισμούς.
Σαν επίλογο στο τόσο πολύπλοκο αυτό θέμα δεν θα ανακεφαλαιώσουμε
ή θα βγάλουμε συμπεράσματα. Αντί αυτού θα
σας θυμίσουμε πως το θέμα ασφαλείας περιλαμβάνει συνεχή
ενημέρωση και παρατήρηση. Αν διαθέτετε monitor όπως για
παράδειγμα Nagios για επίβλεψη συστημάτων μπορείτε να ενσωματώσετε
τα MIB του κέντρου και να παρακολουθείτε τον
αριθμό των ταυτόχρονων κλήσεων (μέσω VPN). Κάθε αποκλίνουσα
συμπεριφορά είναι ένδειξη και αφορμή για μια γρήγορη
ματιά στα logs. Αν διαπιστώσετε κάτι ή έχετε κάποια ιδέα
γράψτε την στην κοινότητα. Το έχω δει πως δουλεύει και σας
διαβεβαιώνω πως μέσα σε ένα βράδυ ένα πολύ γνωστό IDS της
αγοράς εξελίχτηκε για να βοηθήσει τις ανάγκες του για την
VoIP τηλεφωνία. Η κοινότητα είναι μεγάλη και δουλεύει ασταμάτητα.
Τα RSS είναι φίλοι μας. Υπάρχουν πολλές λίστες που
αφορούν την ασφάλεια και είναι θετικό να διαβάζουμε συχνά
τα νέα περί επιθέσεων και κενών ασφαλείας που βρέθηκαν και
σφραγίστηκαν. iTSecurity
security | 47

Διμηνιαίο περιοδικό για τo Enterprise Computing
και την Ασφάλεια Πληροφοριών
Διμηνιαίο περιοδικό με θεματολογία στο χώρο της ασφάλειας
ΕΤΗΣΙΑ ΣΥΝΔΡΟΜΗ ΚΑΙ ΣΤΑ ΔΥΟ ΠΕΡΙΟΔΙΚΑ (SECURITY MANAGER & IT SECURITY)
ΣΥΝΔΡΟΜΕΣ ΕΣΩΤΕΡΙΚΟΥ ΙΔΙΩΤΕΣ 4O€ ΕΤΑΙΡΕΙΕΣ/ΟΡΓΑΝΙΣΜΟΙ 65€ (2 τεύχη)
ΣΥΝΔΡΟΜΕΣ ΕΞΩΤΕΡΙΚΟΥ ΕΥΡΩΠΗ-ΚΥΠΡΟΣ 78€ ΛΟΙΠΕΣ ΧΩΡΕΣ 97 €
ΕΤΗΣΙΑ ΣΥΝΔΡΟΜΗ ΣΤΟ ΠΕΡΙΟΔΙΚΟ IT SECURITY
ΣΥΝΔΡΟΜΕΣ ΕΣΩΤΕΡΙΚΟΥ ΙΔΙΩΤΕΣ 25€ ΦΟΙΤΗΤΕΣ/ΣΠΟΥΔΑΣΤΕΣ 20€ ΕΤΑΙΡΕΙΕΣ/ΟΡΓΑΝΙΣΜΟΙ 25€ )
ΣΥΝΔΡΟΜΕΣ ΕΞΩΤΕΡΙΚΟΥ ΕΥΡΩΠΗ-ΚΥΠΡΟΣ 60€ ΛΟΙΠΕΣ ΧΩΡΕΣ 75 €
TPOΠOI ΠΛHPΩMHΣ
• Με ταχυδρομική επιταγή
• Με κατάθεση στον τραπεζικό λογαριασμό:
ΕΘΝ. ΤΡΑΠΕΖΗΣ 108-47118154
EUROBANK 0026 0251 5202 006 97497
• Με πιστωτική κάρτα:
Εθνοκάρτα Mastercard Visa Diners
Aριθμός κάρτας:
Ημ. Λήξεως:
ΔΕΛΤΙΟ ΣΥΝΔΡΟΜΗΣ
Νέος συνδρομητής n Ανανέωση Συνδρομής n Συνδρομή και στα 2 περιοδικά n
(Security Manager & IT Security)
Επωνυμία επιχείρησης:.................................................................................................................................................................... ΑΦΜ:...................................................................... ΔΟΥ:...............................................................................
Δραστηριότητα (επιχείρησης): ................................................................................................................................................ E-mail:..............................................................................................................................................................................
Ονοματεπώνυμο (Υπευθύνου):.......................................................................................... Θέση στην εταιρεία: ..........................................................................
Διεύθυνση:.............................................................................................................................................................................................................................................................................. Ταχ. Κώδικας: .........................................................................
Πόλη:............................................................................................................................................................. Τηλέφωνο:.................................................................................................... Fax:..........................................................................................
Ονοματεπώνυμο παραλήπτη: ................................................................................................................................................................................................................................................................................................................................
Διεύθυνση αποστολής περιοδικού:...................................................................................................................................................................................................................................................................................................................................
Ταχ. Κώδικας:..................................................................................Πόλη:.............................................................................................................................................................................................................................................................
Σύμφωνα με το ΚΒΣ, άρθρο 13, παραγρ. 17, για τις συνδρομές εκδίδονται διπλότυπες αθεώρητες αποδείξεις ως παραστατικό δαπάνης για την επιχείρηση.