IT Professional Security - ΤΕΥΧΟΣ 36

Μάιος - Ιούνιος - Ioύλιος 2014 • Τεύχος 36 • Τιμή 5€
Μάιος - Ιούνιος - Ιούλιος 2014
Ανθρώπινος Παράγοντας
..ο καταλυτικός ρόλος και τα λάθη
Ανθρώπινος Παράγοντας ..ο καταλυτικός ρόλος και τα λάθη
• Disaster Recovery μέσω cloud
Ανακάμπτοντας ..στο σύννεφο
• VDI - Virtual Desktop Infrastructure
Πραγματική λύση – εικονική διαχείριση
• Κωδικοί Πρόσβασης
Η κατάσταση στην Ελλάδα
PRESS LINE MAΓΕΡ 11, 104 38 ΑΘΗΝΑ
ΠΛHPΩMENO
TEΛOΣ
Tαχ. Γραφείο
KEMΠ.KΡ.
Aριθµός Άδειας
116
PRESS POST
ENTYΠO KΛEIΣTO AP. A∆EIAΣ 22/2008 KEMΠ.A.ΚΡ.
P R
(X+7)
E S S
T
P O S

E DITORIAL
Το Internet of Things είναι εδώ και προελαύνει
Μπορεί ένα τηλεοπτικό σποτ να αναφέρει ότι τα “ωραιότερα
πράγματα στη ζωή… δεν είναι πράγματα”, αν όμως
τα περισσότερα “πράγματα” συνδεθούν στο Internet, τότε
η ζωή όλων μπορεί να γίνει ωραιότερη;
Το λεγόμενο Internet of Things (IoT) ή Διαδίκτυο των Πραγμάτων
- αν θέλουμε να το αποδώσουμε στα Ελληνικά, δεν
είναι ακόμα μία “μαρκετινίστικη” έννοια. Είναι μια νέα πραγματικότητα,
μια νέα εποχή στην τεχνολογία, που διαμορφώνεται
και αναπτύσσεται με γεωμετρική πρόοδο. Η Cisco,
σε μία περυσινή της μελέτη, προέβλεπε ότι μέχρι το 2020
θα υπάρχουν πάνω από 50 δισεκατομμύρια συσκευές συνδεδεμένες
στο Διαδίκτυο, ενώ άλλες, ακόμα πιο πρόσφατες
έρευνες όπως αυτή της IDC, εκτινάσσουν τον αριθμό των
συνδεδεμένων συσκευών στο διαδίκτυο το 2020, στα 212
δισεκατομμύρια!
Η ανάπτυξη του IoT δημιουργεί ένα όραμα! Έναν πλήρως
διασυνδεδεμένο κόσμο, όπου όλοι οι άνθρωποι, οι διαδικασίες,
οι υπηρεσίες και οι εφαρμογές θα μπορούν μέσω συσκευών
να συνδέονται στο Internet, δημιουργώντας πρωτόγνωρες
ευκαιρίες στην καθημερινότητα των ανθρώπων,
αλλά και στις επιχειρηματικές λειτουργίες.
Στην προσέγγιση του «Internet of Things» όμως, όπως και σε
όλες τις τάσεις που αναπτύσσονται στο χώρο του ΙΤ, η παράμετρος
της ασφάλειας είναι θεμελιώδους σημασίας. Είναι
αυτονόητο ότι σε έναν πλήρως διασυνδεδεμένο κόσμο, τα
ευάλωτα σημεία θα αυξηθούν και θα δημιουργηθούν νέες απειλές
για την απώλεια πληροφοριών αλλά και την παραβίαση
της ιδιωτικότητας. Ο διεθνής Οργανισμός ISACAR σε μία
πρόσφατη έρευνα αναφέρει ότι οι επαγγελματίες στο χώρο της
Πληροφορικής σε συντριπτικό βαθμό (99%) θεωρούν ότι το
Internet of Things θέτει νέα θέματα διακυβέρνησης, σε ποσοστό
50% θεωρούν ότι τα πιθανά οφέλη για τους τελικούς καταναλωτές
υπερτερούν από τους σχετιζόμενους κινδύνους,
ενώ το ποσοστό αυτό ανέρχεται στο 43% στην αντίστοιχη
ερώτηση για τα πιθανά οφέλη στις επιχειρήσεις. Αναμένουμε
λοιπόν ότι στα επόμενα χρόνια θα αναπτυχθούν νέες λύσεις
ασφάλειας, που θα βασίζονται στη λογική της προστασίας πληροφοριών
και ιδιωτικότητας με βάση το Internet of Things, ενώ
απαιτείται και ένας επανασχεδιασμός των πολιτικών στα πλαίσια
των επιχειρήσεων, που θα βασίζεται στη συνεχή παρακολούθηση
και την ταχύτατη δράση μέσα από υπηρεσίες και λύσεις
άμεσης και αποτελεσματικής απόκρισης.
Βλάσης Αμανατίδης
Iδιοκτήτης - Εκδότης
Nίκη Πανδή
Αρχισυντάκτης
Βλάσης Αμανατίδης
info@securitymanager.gr
Συνεργάτες
Αριστοτέλης Λυμπερόπουλος
Δημήτρης Παπίτσης
Αλέξανδρος Σουλαχάκης
Ιωσήφ Ανδρουλιδάκης
Mίνα Ζούλοβιτς
Νότης Ηλιόπουλος
Παναγιώτα Τσώνη
Διεύθυνση Διαφήμισης
Νίκος Σαράφογλου
nsarafoglou@pressline.gr
Εμπορικό Τμήμα
Δήμητρα Αρακά
daraka@pressline.gr
Συνεργάτης Κύπρου
Φρίξος Μόζορας
Λογιστήριο
Xρήστος Mακρής
fin@pressline.gr
Γραμματειακή Yποστήριξη
Nικολέτα Πανδή
Διευθυντής Παραγωγής
Γιάννης Νένος
Kαλλιτεχνική Eπιμέλεια
Λευτέρης Πανδής
Hλεκτρονική Σελιδοποίηση
Γιώργος Ασμάνης
Σχεδιασμός Mu ltimedia
Φάνης Ζερβάκης
Aτελιέ-Διαχωρισμοί-Mοντάζ
PressLine
www.itsecuritypro.gr
www.securitymanager.gr
info@securitymanager.gr
H EKΔΟΣΗ ΜΑΣ ΕΙΝΑΙ ΜΕΛΟΣ ΤΗΣ
A.B.E.E.
Mάγερ 11, 104 38 Αθήνα,
Τηλ.: 210-52.25.479 (6 γραμμές),
Fax: 210-52.43.345,
web: www.pressline.gr
ΚΩΔΙΚΟΣ 01-8267
security | 1

CONTENTS
21 26 32
1|EDITORIAL
4|NEWS
COVER ISSUE
14|Ανθρωπινός Παράγοντας
..ο καταλυτικός ρόλος και τα
λάθη
ISSUE
13|Σύστημα Διαχείρισης
Ασφάλειας Πληροφοριών
για τις υπηρεσίες Cloud
της Med Nautilus
18|Πώς να διαφυλάξετε το
ιδιωτικό απόρρητο και να
προστατέψετε τα
προσωπικά και τα εταιρικά
δεδομένα σας
21|Κωδικοί Πρόσβασης
Η κατάσταση στην Ελλάδα –
Β’ μέρος
26|Disaster Recovery μέσω
cloud
Ανακάμπτοντας ..στο σύννεφο
30|Μπορεί η επιχείρησή σας να
αντεπεξέλθει στην
κατάρρευση του IT;
32|VDI - Virtual Desktop
Infrastructure
Πραγματική λύση – εικονική
διαχείριση
36|Προστασία από επιθέσεις
DDoS
Η αξία που προσφέρει στις
επιχειρήσεις
BUSINESS IT
1|Ένα ισχυρότερο Cloud μέσω
Two-Factor Authentication
4|Gemalto & ΙΤWay Hellas
Μια δυναμική συνεργασία για
τη διανομή κορυφαίων λύσεων
ψηφιακής ασφάλειας στην
Ελλάδα
2 | security

McAfee Security-as-a-Service
Οι λύσεις McAfee Security-as-a-Service προσφέρουν ολοκληρωμένη προστασία σε endpoint, email, web και δίκτυα, μέσω cloud,
εξοικονομώντας στο IT τμήμα, χρόνο, πόρους και κόστος. Ως μέρος του ευρύτερου πλαισίου λύσεων Security Connected της McAfee, που
προσφέρουν αποτελεσματική ασφάλεια και ενοποιημένη διαχείριση, οι McAfee Security SaaS αναβαθμίζουν τη δυναμική του cloud και βοηθάνε
τους οργανισμούς να προστατεύουν τις επιχειρηματικές τους λειτουργίες πολύ πιο γρήγορα.
Οι ολοκληρωμένες σουίτες McAfee SaaS προστατεύουν από ιούς, spyware, απειλές στο web και άλλες επιθέσεις σε PC, laptops και file servers,
ενώ ταυτόχρονα “απελευθερώνουν” το προσωπικό του τμήματος ΙΤ από την ενασχόληση με πολύπλοκες διεργασίες, αναβαθμίσεις και τη
διαχείριση ασφάλειας.
McAfee Security for Business
H σουίτα McAfee Security for Business αποτελεί μια ολοκληρωμένη
λύση που προσφέρει όλα τα οφέλη των SaaS λύσεων προστασίας για
endpoint, email και web καθώς και τη διαχείριση τρωτότητας. Αξιοποιώντας
τα οφέλη της συγκεκριμένης σουίτας ελαχιστοποιούμε τα
λειτουργικά κόστη και ταυτόχρονα μεγιστοποιούμε το επίπεδο ασφάλειας
στο cloud.
McAfee SaaS Endpoint & Email Protection Suite
Η σουίτα προσφέρει ολοκληρωμένη endpoint ασφάλεια και αναβαθμισμένη
προστασία για email, web και δίκτυα. Επίσης, παρέχει επιπρόσθετη
ασφάλεια σε email μέσω cloud, εξασφαλίζοντας ότι τα εισερχόμενα
και εξερχόμενα email θα φιλτράρονται για spam, επιθέσεις
phising και ιούς προτού εισέλθουν στο δίκτυο.
McAfee SaaS Endpoint Protection Suite
Η σουίτα McAfee SaaS Endpoint Protection προσφέρει θεμελιώδη
προστασία για endpoints, μπλοκάροντας ιούς, spyware, απειλές στο
διαδίκτυο και επιθέσεις hacker με μια μόνο λύση που διαχειρίζεται
εύκολα μέσω του online McAfee SecurityCenter.
McAfee SaaS Web & Email Protection Suite
H σουίτα McAfee SaaS Web & Email Protection αντικαθιστά το αυξανόμενο
κόστος της προστασίας στο web και email, με μια απλή και
προβλέψιμη συνδρομή. Οι υπηρεσίες ασφάλειας της McAfee που είναι
βασισμένες σε cloud, αξιοποιούν και συνδιάζουν ανθρώπους με υ-
ψηλή τεχνογνωσία και τις καλύτερες τεχνολογίες προστατεύοντας τις
επιχειρηματικές λειτουργίες από τις απειλές του διαδικτύου.
McAfee SaaS Email Encryption
Η λύση McAfee SaaS Email Encryption είναι μια cloud-based λύση
που βοηθάει στον εντοπισμό και την κρυπτογράφηση πολύτιμων πληροφοριών
επιτρέποντας τη διατήρηση της δυναμικής της επιχείρησης
σε υψηλό επίπεδο και τη συμμόρφωση με τα κανονιστικά πλαίσια ι-
διωτικότητας.
McAfee SaaS Email Archiving
Η λύση McAfee SaaS Email Archiving απλοποιεί την αναζήτηση των
email και διευκολύνει τη διαχείριση των αρχείων με μια οικονομικά
αποδοτική πρόταση που δεν απαιτεί επιπρόσθετο hardware ή software
McAfee SaaS Email Protection & Continuity
H λύση McAfee SaaS Email Protection and Continuity μπλοκάρει σε
ποσοστό άνω του 99% spam, ιούς και άλλα malware στο cloud, προτού
αυτά φθάσουν στο δίκτυο. Επίσης, δημιουργεί πολιτικές διασφάλισης
των εξερχομένων email και της πρόσβασης στο ηλεκτρονικό ταχυδρομείο
με εύκολο τρόπο χωρίς την ανάγκη επιπλέον λογισμικού.
McAfee SaaS Web Protection
Η υπηρεσία McAfee SaaS Web Protection μεγιστοποιεί την προστασία
έναντι των απειλών, αξιοποιώντας επαγγελματίες στην ασφάλεια
της McAfee και διαχείριση Security-as-a-Service. Προσφέρει προστασία
έναντι των malware και κακόβουλων αρχείων καθώς και των
ρίσκων που αντιμετωπίζει η επιχείρηση ενώ επιτρέπει τον αποτελεσματικότερο
και οικονομικότερο έλεγχο των απειλών απελευθερώνοντας
την επιχείρησή προκειμένου να επωφεληθεί τα μέγιστα από
το Web 2.0.
Για περισσότερες πληροφορίες παρακαλώ επικοινωνήστε με την ITWAY Hellas (εξουσιοδοτημένος διανομέας):
Τηλέφωνο: 210-6801013 - E-mail: mcafee@itway.gr

NEWS
Ημερίδα Προστασίας Επιχειρηματικών Δεδομένων από την
ADACOM
Η εταιρεία ADACOM, που δραστηριοποιείται
στον τομέα των λύσεων
ασφάλειας πληροφοριών,
παρουσίασε σήμερα τις τελευταίες
εξελίξεις στο χώρο της προστασίας
των ευαίσθητων επιχειρηματικών δεδομένων.
Οι λύσεις Data Loss Prevention (DLP) δίνουν στις επιχειρήσεις
τη δυνατότητα να εντοπίσουν εμπιστευτικές πληροφορίες
οπουδήποτε και αν βρίσκονται, είτε σε servers,
βάσεις δεδομένων, φορητές συσκευές είτε ακόμη και σε
τερματικά χρηστών (desktop ή laptops) και να τις προστατέψουν
από εσκεμμένη ή ακούσια διαρροή. Επιπλέον,
επιτρέπουν την παρακολούθηση της δικτυακής κυκλοφορίας,
των φορητών συσκευών που είναι συνδεδεμένες στο
εταιρικό δίκτυο, αλλά και τη διακίνηση των εταιρικών ηλεκτρονικών
μηνυμάτων για αποστολή εμπιστευτικών πληροφοριών
σε μη εξουσιοδοτημένους αποδέκτες, επιβάλλοντας
αυτόματα πολιτικές προστασίας και κρυπτογράφησης.
H προστασία των ευαίσθητων και εμπιστευτικών δεδομένων
που διαχειρίζονται οι επιχειρήσεις, γίνεται με γνώμονα
τις εκάστοτε επιχειρηματικές ανάγκες αλλά και τους
σχετιζόμενους –με αυτές- κινδύνους. Μια ιδιαίτερα αποδοτική
προσέγγιση θεωρείται η διαβάθμιση των δεδομένων,
καθώς επιτυγχάνεται τόσο ο εντοπισμός των κρίσιμων
πληροφοριών όσο και η αποτελεσματική διαχείρισή τους.
Οι λύσεις διαβάθμισης δεδομένων
(e-mail, εγγράφων, αρχείων,
καταλόγων, κλπ.) καλύπτουν πλήρως
τις ανάγκες διαβάθμισης και
διαχείρισης των ευαίσθητων πληροφοριών
ενός οργανισμού, επιτυγχάνοντας παράλληλα
πλήρη συμμόρφωση με το ρυθμιστικό και κανονιστικό πλαίσιο.
Επιπλέον, επιτρέπουν την προσάρτηση ετικετών διαβάθμισης
τόσο σε επίπεδο μεταδεδομένων (metadata),
όσο και σε επίπεδο οπτικής αναπαράστασης (protective
markings) με διάφανο -προς τον τελικό χρήστη- τρόπο. H
δυνατότητα τοποθέτησης ετικετών διαβάθμισης σε μηνύματα,
έγγραφα και αρχεία από τους ίδιους τους χρήστες
εξασφαλίζει το απαιτούμενο επίπεδο εμπιστευτικότητας
των ευαίσθητων πληροφοριών, επιτυγχάνει την ευαισθητοποίηση
των χρηστών σχετικά με την αξία και το επίπεδο
κρισιμότητας των πληροφοριών, διευκολύνει τον έλεγχο
κατά την ανταλλαγή, υποστηρίζει την ενσωμάτωση πολιτικών
διακυβέρνησης και ασφάλειας δεδομένων, ενώ παρέχει
ενοποιημένη λειτουργία με μια λύση DLP.
Ως αποτέλεσμα, οι παραπάνω λύσεις μπορούν να επιφέρουν
σημαντική μείωση του κόστους διαχείρισης που προκύπτει
από τη διατήρηση αδόμητου όγκου δεδομένων,
εξορθολογισμό των επιχειρηματικών διαδικασιών, αύξηση
παραγωγικότητας και ευαισθητοποίηση των χρηστών συντελώντας
παράλληλα στην ελάττωση του επιχειρηματικού
ρίσκου και στην προστασία της εταιρικής φήμης.
Η ADACOM, με εξειδικευμένους συμβούλους και μηχανικούς
που διαθέτουν βαθιά τεχνογνωσία και διεθνή εμπειρία
στον τομέα προστασίας και πρόληψης απώλειας
ευαίσθητων επιχειρηματικών δεδομένων, μπορεί να βοηθήσει
αποτελεσματικά οργανισμούς και επιχειρήσεις κάθε
μεγέθους για την επιτυχημένη εφαρμογή ενός προγράμματος
DLP, παρέχοντας εξατομικευμένες συμβουλευτικές
υπηρεσίες, ανάλυσης, σχεδιασμού, ανάπτυξης και εφαρμογής,
υπηρεσίες ανάπτυξης σχήματος διαβάθμισης πληροφοριών,
εγκατάστασης και τεχνικής υποστήριξης καθώς
και υπηρεσίες διαχείρισης έργου.
4 | security

NEWS
Κρατήστε ασφαλείς τις συσκευές Android από απειλές με τις οδηγίες
της ESET
Με αφορμή τα ολοένα και συχνότερα
κρούσματα επιθέσεων
σε συσκευές Android, η ESET
προχώρησε στην έκδοση μίας
σειράς χρήσιμων οδηγιών, με
στόχο την προστασία των χρηστών.
Καθώς στο διάστημα 2012
– 2013, οι ανιχνεύσεις κακόβουλου
λογισμικού που στοχεύει σε Android εμφανίζονται αυξημένες
κατά 60%, η ESET εκτιμά ότι και το 2014 αναμένονται
τέτοιου είδους επιθέσεις να απασχολήσουν τη βιομηχανία
ασφάλειας, γι’ αυτό και συμβουλεύει τους χρήστες να είναι
προσεκτικοί, καθησυχάζοντας τους παράλληλα ότι με απλά
βήματα μπορούν να μείνουν ασφαλείς.
Όλες οι εφαρμογές πρέπει να εγκαθίστανται από το
Google Play ή από γνωστά app stores. Online καταστήματα
που υπόσχονται δωρεάν εφαρμογές, θα πρέπει να
θεωρούνται ύποπτα.
Η ασφάλεια του Android δεν πρέπει να λαμβάνεται
ως δεδομένη. Ο χρήστης δεν θα πρέπει να θεωρεί ότι αν
ανοίξει ένα email από τη συσκευή του είναι λιγότερο επικίνδυνο
από το να το άνοιγε στον υπολογιστή του.
Προτιμάται να έχετε εγκατεστημένη πάντοτε την τελευταία
έκδοση της πλατφόρμας Android. Αν η συσκευή
λειτουργεί με Gingerbread διατρέχει περισσότερους κινδύνους
συγκριτικά με την πλατφόρμα KitKat, καθώς ο χρήστης
δεν μπορεί να εγκαταστήσει τα πιο πρόσφατα patches.
Οι πιο πρόσφατες ενημερώσεις διαφυλάσσουν και
την καλύτερη προστασία της συσκευής. Η ρύθμιση της
συσκευής για αυτόματη ενημέρωση, χρησιμοποιώντας περιορισμό
ώστε να γίνεται μέσω Wi-Fi παρά μέσω δικτύων
κινητής τηλεφωνίας, αποτελεί μία καλή λύση.
Το κλείδωμα της συσκευής αποτελεί μία βασική ενέργεια,
που δυστυχώς πολλές φορές δεν εφαρμόζεται. Η συσκευή
μπορεί να κλειδώσει με μοτίβο, PIN ή κωδικό, ενώ αρκετές
συσκευές τελευταίας τεχνολογίας προσφέρουν τη δυνατότητα
κλειδώματος με τα δακτυλικά αποτυπώματα του
χρήστη.
Πολύτιμα προσωπικά δεδομένα δεν θα πρέπει να βρίσκονται
στη συσκευή. Αντίθετα,
προτείνεται το τακτικό backup
των δεδομένων, είτε με την κλασική
μέθοδο, είτε με τη χρήση
εφαρμογών όπως το Google Drive
ή το Dropbox, οπότε δεν θα
χρειάζεται να αποθηκεύονται στη
συσκευή.
Κλείδωμα χρειάζονται και πολλές εφαρμογές, λόγω
των πληροφοριών που περιέχουν, όπως το Dropbox που
προαναφέρθηκε. Στο Google Play διατίθενται αρκετές εφαρμογές
ειδικά γι’ αυτό το σκοπό, π.χ. το «App Locker», που
μπορούν να κλειδώσουν τις ευαίσθητες εφαρμογές για messaging,
email, κοινωνική δικτύωση, αποθήκευση αρχείων, τραπεζικές
συναλλαγές κ.ά. με PIN ή κωδικό.
Προσοχή στα δικαιώματα των εφαρμογών. Πολλές
από αυτές ζητούν πρόσβαση στο δίκτυο ή δυνατότητα να
στέλνουν και να λαμβάνουν SMS, οπότε ο χρήστης θα πρέπει
να είναι επιφυλακτικός με τα δικαιώματα που τους επιτρέπει
να έχουν, ειδικά όταν δεν φαίνεται κάποιος προφανής
λόγος να τα ζητούν.
Προϊόντα και εφαρμογές ασφάλειας είναι πλέον απαραίτητα
και για τις συσκευές, λόγω της γρήγορης εξέλιξης
που εμφανίζει το malware για Android. Εφαρμογές
όπως το ESET Mobile Security για Android βοηθούν το
χρήστη με τακτικές και αυτόματες σαρώσεις να διατηρεί
ασφαλή τη συσκευή του.
Το Google προσφέρει αρκετά ενσωματωμένα χαρακτηριστικά
ασφάλειας, τα οποία μπορούν να φανούν ιδιαίτερα
χρήσιμα, όπως τη δυνατότητα εντοπισμού της τοποθεσίας
της συσκευής σε περίπτωση απώλειας της. Στη
σελίδα Android Device Manager της Google ο χρήστης
μπορεί να ενεργοποιήσει τη λειτουργία αυτή, ενώ, για ακόμη
πιο εξειδικευμένη προστασία, υπάρχει και το ESET Mobile
Security and Antivirus.
Επιπλέον πληροφορίες για τον τομέα της ασφάλειας, αναλύσεις
για κυβερνοαπειλές καθώς επίσης και χρήσιμες συμβουλές
μπορούν να βρουν οι ενδιαφερόμενοι μέσω της
ιστοσελίδας www.welivesecurity.com.
6 | security

Πως να Εντοπίσετε, να Ανταποκριθείτε και να Ανακτήσετε Ταχύτερα -
με τη βοήθεια της Symantec
Τα τμήματα IT - και οι επιχειρήσεις
που υποστηρίζουν - έχουν
να αντιμετωπίσουν προκλήσεις
σε πολλά μέτωπα γυρω απο το
ερώτημα "είναι η επιχείρηση
ασφαλής από κυβερνοεπιθέσεις;"
ενώ παράλληλα εξελίσσεται ταχύτατα η πολυπλοκότητα του
ΙΤ που πλέον συμπεριλαμβάνει mobile rollouts, νέες cloud
υλοποιήσεις και Software Defined Data Centers. Τα τμήματα
ΙΤ βασίζονται στα τμήματα security, τα οποία πρέπει να
αντιμετωπίσουν αποσυνδεδεμένες μεταξυ τους αρχιτεκτονικές
ασφαλείας και να λειτουργήσουν με μειωμένη χρηματοδότηση,
και συχνά με την έλλειψη πόρων για διερεύνηση περιστατικών,
γεγονός που δεν τους επιτρέπει να τα χειριστούν
αποτελεσματικά. Γεγονός είναι ότι οι επιτιθέμενοι το γνωρίζουν
αυτό και συνεχώς αναζητούν τρόπους να επεκτείνουν
την πρόσβασή τους στο εσωτερικό του ΙΤ. Ως αποτέλεσμα,
πολλοί οργανισμοί μένουν εκτεθειμένοι και σε κίνδυνο. Είναι
και η φύση των επιθέσεων που προκαλεί ανησυχία. Οι σημερινοί
δράστες ξεφεύγουν από τα παραδοσιακά μέσα προστασίας,
λανσάροντας ακόμη πιο εξελιγμένες και στοχευμένες
επιθέσεις που αξιοποιούν malware variants για να αποφύγουν
τις παραδοσιακές signature based τεχνολογίες ασφαλείας.
Το αποτέλεσμα είναι ότι πολλές εταιρείες έχουν δημιουργήσει
διάφορα προϊόντα προστασίας που δεν επικοινωνούν
μεταξύ τους, χωρίς αυτό να αρκεί για τις επιχειρήσεις.
Αντ' αυτού, οι υπεύθυνοι ασφαλείας αναρωτιούνται
διαρκώς αν το δίκτυο τους έχει υποστεί διείσδυση, πόσο
έχουν επεκταθεί οι απειλές και ποια τμήματα της υποδομής
έχουν παραβιαστεί.
Όλο αυτό σημαίνει ότι η παραδοσιακή προσέγγιση ελέγχου
της ασφάλειας στο εταιρικό δίκτυο δεν αρκεί πια. Διότι
αν και οι δικτυακές εξελιγμένες τεχνολογίες εντοπισμού
απειλών είναι αποτελεσματικές στον εντοπισμό αγνώστου και
zero day malware, δεν αποκόπτουν τις εντοπισμένες απειλές,
αλλά το πιθανότερο είναι ότι επιτρέπουν στα κακόβουλα
αρχεία να περάσουν στο εσωτερικό δίκτυο και σε
άλλα endpoints. Ως αποτέλεσμα, τα τμήματα ασφαλείας δεν
γνωρίζουν τι συμβαίνει με το malware που εντοπίζεται -
οπότε υπάρχει πιθανότητα να έχει δημιουργηθεί μία πιο
σύνθετη και εξελιγμένη επίθεση στο περιβάλλον της επιχείρησης.
Με τα endpoints να παρέχουν εφαλτήριο από όπου ο επιτιθέμενος
ξεκινά μία επίθεση, ο εντοπισμός των σημερινών
στοχευμένων επιθέσεων και των
Advanced Persistent Threats
(APTs) απαιτεί μία ολοκληρωμένη,
πολυεπίπεδη προσέγγιση
που εντοπίζει την κακόβουλη
δραστηριότητα στο δίκτυο και στα
endpoints. Συχνά οι οργανισμοί επαφίενται σε τεχνολογίες
που δεν είναι σχεδιασμένες να λειτουργούν σε συνδυασμό
με άλλες λύσεις, ενώ έχοντας λιγοστούς πόρους για να συνθέσουν
αποσπασματικά την ασφάλεια τους - αντί να εστιάζουν
σε πιο στρατηγικές πρωτοβουλίες ασφάλειας. Τι μπορεί
να γίνει για να εξουδετερωθούν οι απειλές, να καλυφθούν
αυτές οι ελλείψεις και να διατηρηθούν οι επιχειρήσεις ασφαλείς;
Η απάντηση της Symantec είναι η δημιουργία της λύσης
Managed Security Services - Advanced Threat Protection
(MSS-ATP). Η λύση βασίζεται στη συμμαχία της
Symantec με τους κορυφαίους προμηθευτές δικτυακής
ασφάλειας Palo Alto Networks, Cisco (Sourcefire) και
CheckPoint. Η συμμαχία παρέχει αμφίδρομη ενσωμάτωση
των λύσεων endpoint security και των προμηθευτών δικτυακής
ασφάλειας, ενώ αξιοποιεί το κορυφαίο παγκόσμιο δίκτυο
threat intelligence της Symantec (GIN). H λύση MSS
ATP επιτρέπει στους οργανισμούς να εντοπίζουν ταχύτατα,
να διερευνούν και να αποκαθιστούν άγνωστες και zero day
επιθέσεις που εισβάλουν σε τεχνολογίες ασφαλείας. Στην
ουσία το MSS-ATP:
Ενδυναμώνει την ομάδα λειτουργίας του τμήματος ασφαλείας,
ώστε να κατανοήσει σύνθετες στοχευμένες επιθέσεις
που δραστηριοποιούνται σε επίπεδο δικτύου και
endpoint
Συσχετίζει αποτελεσματικά, επιτρέποντας τις ομάδες
ασφαλείας να θέτουν γρήγορα προτεραιότητες χωρίς να
δαπανούν χρόνο (και χρήμα) εξετάζοντας λιγότερο σημαντικά
περιστατικά
Αξιοποιεί την υπάρχουσα επένδυση στη δικτυακή ασφάλεια
και στις λύσεις endpoint, ενώ παράλληλα αξιοποιεί
το επιχειρηματικό περιεχόμενο σε παγκόσμιο επίπεδο
απειλών από το παγκόσμιο δίκτυο threat intelligence της
Symantec (GIN).
Με άλλα λόγια, αυτή η λύση είναι κάτι πολύ περισσότερο
από απλά μία τεχνολογία: έχει να κάνει με μία ολιστική προσέγγιση
ασφαλείας βασισμένη στο Intelligence, αξιοποιώντας
κορυφαίες τεχνολογίες και υπάρχουσες επενδύσεις.
security | 7

NEWS
Δημιουργία “Internal Auditing Education Center’’
Το Εργαστήριο Επενδυτικών Εφαρμογών (ΕΠΕΦΑ)
και το Κέντρο Μελετών και Εκπαίδευσης Χρηματοοικονομικής
(ΚΕΜΕΧ) του Εθνικού Καποδιστριακού
Πανεπιστημίου Αθηνών ανακοίνωσαν,
σε εκδήλωση που πραγματοποιήθηκε την
Τετάρτη 4 Ιουνίου 2014 στο πλαίσιο του International
Internal Audit Awareness Month, τη δημιουργία
του “Internal Auditing Education Center” (I-
AEC).
Ο νέος αυτός φορέας ευελπιστεί να αποτελέσει
σημείο αναφοράς για την προώθηση της
γνώσης σε θέματα εσωτερικού ελέγχου όπως
επίσης διαχείρισης κινδύνων, διακυβέρνησης και
κανονιστικής συμμόρφωσης. Επιδίωξή του αποτελεί
η άρτια κατάρτιση των εσωτερικών ελεγκτών και όλων όσοι
ενδιαφέρονται για θέματα ελεγκτικής και συναφών αντικειμένων,
με στόχο την ανάπτυξη στελεχών υψηλού επιπέδου, ικανών
να προσδώσουν αξία σε κάθε οργανισμό.
Την εκδήλωση τίμησαν με την παρουσία τους, μεταξύ άλλων,
ο Πρόεδρος του Ελληνικού Ινστιτούτου Κατά της Απάτης
(HACFE) και Β. Γεν. Διευθυντής Δικτύου της Εθνικής Τράπεζας
κ. Παναγιώτης Γεωργίου, ο Πρόεδρος του Ινστιτούτου
Ελέγχου Συστημάτων Πληροφορικής (ISACA Athens Chapter)
κ. Μιχάλης Σαμιωτάκης, η Γενική Γραμματέας του Ελληνικού
Ινστιτούτου Εσωτερικών Ελεγκτών (HIIA) κα Βέρρα Μαρμαλίδου,
οι οποίοι και απηύθυναν χαιρετισμό, καθώς και στελέχη
από τον τραπεζικό και ασφαλιστικό χώρο, το Υπουργείο Οικονομικών,
ελεγκτικές εταιρείες και άλλους φορείς.
Το IAEC θα προσφέρει το ανανεωμένο σε δομή και περιεχόμενο
INTERNAL AUDITING & GRC PROGRAM, το οποίο
υλοποιείται σε συνεργασία με την ΕΥ και υπό την αιγίδα των
HACFE, ISACA Athens Chapter και SAS Institute, και ανταποκρίνεται
πλήρως στις απαιτήσεις της σύγχρονης
εκπαίδευσης των εσωτερικών ελεγκτών. Επίσης,
προγραμματίζει νέες δραστηριότητες που θα
αφορούν μαθήματα προετοιμασίας για την απόκτηση
επαγγελματικών πιστοποιήσεων στον
εσωτερικό έλεγχο και σε άλλα σχετικά γνωστικά
αντικείμενα, καθώς και στοχευμένους κύκλους
σπουδών με εξειδικευμένη θεματολογία,
καλύπτοντας τις ανάγκες των στελεχών της
σύγχρονης επιχείρησης, ώστε να είναι σε θέση
να ανταπεξέλθουν στις προκλήσεις και τους
επιχειρησιακούς κινδύνους που αντιμετωπίζουν.
Κατά την έναρξη της εκδήλωσης ο καθηγητής κ.
Νικόλαος Μυλωνάς επεσήμανε τη σημασία του
INTERNAL AUDITING & GRC PROGRAM για τα στελέχη
των επιχειρήσεων και τη διαρκή προσπάθεια όλων των συντελεστών
για τη συνεχή αναβάθμισή του. Στη συνέχεια, ο καθηγητής
κ. Παναγιώτης Αλεξάκης ανακοίνωσε τη σημαντική διάκριση
που έλαβε το Πρόγραμμα από το The IIA Global με
αποτέλεσμα να φέρει πλέον τον τίτλο “Internal Audit Αcademic
Awareness Program”. Ο τίτλος αυτός απονέμεται από το
The IIA Global σε εκπαιδευτικούς φορείς, ως αναγνώριση της
προσπάθειας που καταβάλουν έτσι ώστε να παρέχουν αξιόπιστη
εκπαιδευτική καθοδήγηση στους εσωτερικούς ελεγκτές και
να προετοιμάζουν τα στελέχη του μέλλοντος.
Τέλος, ο κ. Αλεξάκης ανήγγειλε τις νέες δραστηριότητες του
IAEC σχετικά με τα μαθήματα προετοιμασίας για την απόκτηση
επαγγελματικών πιστοποιήσεων και τους στοχευμένους κύκλους
σπουδών, επισημαίνοντας ότι εντάσσονται σε ένα ευρύτερο
πλαίσιο προσφοράς ολοκληρωμένης, αναβαθμισμένης
και ποιοτικής εκπαίδευσης προς τους εσωτερικούς ελεγκτές
και άλλα στελέχη των επιχειρήσεων.

Η ORTHOLOGY LTD ανακοινώνει τη λειτουργία
Web Protection στην πλατφόρμα GFI MAX!
H εταιρεία Orthology Ltd (www.οrthology.gr), επίσημος διανομέας
των GFI προϊόντων στην Ελλάδα, ανακοινώνει την
ενσωμάτωση της λειτουργίας Web Protection στην
πλατφόρμα GFI MAX!
Πρόκειται για λειτουργία που βασίζεται στο βραβευμένο εργαλείο
GFI WebMonitor της GFI Software, το οποίο επιτρέπει
την προστασία του δικτύου από web-based απειλές,
την επιβολή εταιρικών πολιτικών περιήγησης στο διαδίκτυο
και την παρακολούθηση του εύρους ζώνης. Οι νέες δυνατότητες
συμβάλουν στην αύξηση της παραγωγικότητας και
τη βελτίωση της απόδοσης του δικτύου, προσφέροντας παράλληλα
ασφάλεια στο διαδίκτυο και φιλτράρισμα των ιστοσελίδων
μέσω μίας εναίας κονσόλας. Μερικά από τα χαρακτηριστικά
του GFI MAX Web Protection έχουν
ως ακολούθως:
3 Web Security: προστατεύει από την τυχαία επίσκεψη
των χρηστών σε κακόβουλους δικτυακούς τόπους που
φιλοξενούν malware, spyware, adware, botnets και spam,
καθώς και ιστοσελίδες που έχουν σχεδιαστεί για να εκτελούν
επιθέσεις phishing.
3 Web Filtering: διασφαλίζει ότι οι εργαζόμενοι παραμένουν
παραγωγικοί, επιβάλοντας πολιτικές περιήγησης στο
διαδίκτυο, μέσω χρήσης whitelists και blacklists, τις οποίες
συμπληρώνει το φιλτράρισμα βάση κατηγορίας της
ιστοσελίδας. Επιπλέον, οι πολιτικές περιήγησης επιτρέπουν
την προστασία των πελατών από τη νομική ευθύνη
και μειώνουν τον κινδύνο παραβίασης της ασφάλειας μέσω
των προληπτικών ελέγχων πρόσβασης στο Internet.
3 Παρακολούθηση Bandwidth: οι MSP’s ειδοποιούνται
αυτόματα όταν υπάρχει υπερβολική δραστηριότητα του
bandwidth στο δίκτυο του πελάτη, έτσι ώστε να μπορούν
να προσδιορίσουν την αιτία, πριν διαταραχθούν οι επιχειρηματικές
δραστηριότητες. Η δραστηριότητα στο διαδίκτυο
μπορεί επίσης να φιλτράρεται ανά μέρα, κατηγορία
και URL για να αποκαλύψει τάσεις και παρατυπίες που
μπορεί να επηρεάζουν την παραγωγικότητα.
Για περισσότερες πληροφορίες σχετικά με το WebProtection
παρακαλώ επισκεφθείτε το link
http://www.gfimax.com/remote-management/web-protection.

NEWS
Κορυφαίοι Υπεύθυνοι Ασφαλείας ΙΤ από ολόκληρο τον κόσμο
συστήνουν επιτάχυνση των επενδύσεων σε νέες τεχνολογίες
Η RSA, το τμήμα Ασφαλείας της
EMC, έδωσε στη δημοσιότητα μια
νέα έκθεση του SBIC (του Συμβουλίου
για την Ασφάλεια της Επιχειρηματικής
Καινοτομίας - Security for Business
Innovation Council), στην
οποία σταχυολογούνται οι τρεις βασικοί
τομείς προς τους οποίους θα πρέπει να κατευθύνονται
οι επενδύσεις ΙΤ, καθώς και μια σειρά συστάσεις σχετικά
με συγκεκριμένες τεχνολογίες ασφαλείας οι οποίες βοηθούν
να δημιουργηθεί ένας καλύτερος μηχανισμός προληπτικής
άμυνας και παράλληλα βελτιώνουν την παραγωγικότητα των
επιχειρήσεων. Σύμφωνα με την έκθεση, η οποία έχει τίτλο
Transforming Information Security: Focusing on Strategic Technologies,
οι τρεις κύριοι τομείς στους οποίους θα πρέπει να
διοχετεύονται επενδύσεις ΙΤ είναι η ανθεκτικότητα των συστημάτων
ΙΤ έναντι των διαδικτυακών απειλών (cyber threat
resiliency), η τελική εμπειρία χρήσης (end-user experience)
και η ασφάλεια των υποδομών cloud (cloud security). Η έκθεση
του SBIC αξιοποιεί τη γνώση και την εμπειρία των υπεύθυνων
ασφαλείας ορισμένων από τις κορυφαίες επιχειρήσεις
του κόσμου, με στόχο να βοηθήσει άλλους οργανισμούς
να αναβαθμίσουν δραστικά τη δυνατότητα προστασίας
των συστημάτων τους και να μεγιστοποιήσουν τα οφέλη
από τις επενδύσεις τους σε πιο σύνθετες υποδομές ΙΤ.
Στο πλαίσιο της συμμετοχής τους στο Συμβούλιο, τα μέλη
του SBIC παρακολουθούν συστηματικά τις μεγάλες τεχνολογικές
καινοτομίες που κυοφορούνται σε σχέση με την
ασφάλεια του ΙΤ, ώστε να επιβεβαιώσουν ότι δεν πρόκειται
για τεχνολογίες που αναπτύσσονται ή υλοποιούνται βιαστικά.
Οι οργανισμοί αναγνωρίζουν πλέον ότι οι επιθέσεις μέσω
διαδικτύου είναι αναπόφευκτες και στρέφουν την προσοχή
τους στο πώς θα μειωθούν στο ελάχιστο οι επιπτώσεις
μιας ενδεχόμενης επίθεσης.
Έτσι, οι υπεύθυνοι ασφαλείας επικεντρώνουν το ενδιαφέρον
τους σε τεχνολογίες και στρατηγικές που τους βοηθούν όχι
μόνο να αποτρέψουν μια απειλή αλλά και να αυξήσουν την
ανθεκτικότητα (resilience) των συστημάτων απέναντι της, δίνοντας
προτεραιότητα σε επενδύσεις
που προσφέρουν περισσότερες δυνατότητες
ανίχνευσης και αντίδρασης.
Σε ένα τέτοιο περιβάλλον, η έκθεση
SBIC επιβεβαιώνει ότι η τεχνολογία
των Big Data analytics αποτελεί
θεμέλιο για την ενίσχυση των μηχανισμών
προστασίας από τις κυβερνοαπειλές. Η επόμενη γενιά
της τεχνολογίας anti-malware συγκαταλέγεται, επίσης,
μεταξύ των βασικών τομέων όπου οι οργανισμοί θα πρέπει
να επενδύσουν. Τα μέλη του Συμβουλίου υπογραμμίζουν τη
σημασία που έχει για την παραγωγικότητα μιας επιχείρησης,
η βελτίωση της εμπειρίας που αποκομίζει ο τελικός χρήστης
των συστημάτων της, και προτείνουν την πραγματοποίηση
επενδύσεων σε ευέλικτα συστήματα και μεθόδους ελέγχου
της πρόσβασης και της ταυτοποίησης των χρηστών (authentication
and Identity Management) με στόχο τη μείωση
των σχετικών κινδύνων. Επιπλέον, η έκθεση προχωρά στην
αξιολόγηση των υπηρεσιών ασφαλείας που παρέχονται μέσω
cloud και έχουν σχεδιαστεί με στόχο να βοηθήσουν τις
επιχειρήσεις να αποκτήσουν μεγαλύτερη ορατότητα και καλύτερο
έλεγχο των απειλών.
Το Συμβούλιο παρουσίασε με λεπτομέρειες τρεις συστάσεις,
οι οποίες παρέχουν τις κατευθυντήριες γραμμές για την πετυχημένη
επιλογή και εγκατάσταση νέων τεχνολογιών, καθώς
και τη μεγιστοποίηση των επενδύσεων στον τομέα της ασφάλειας
του ΙΤ:
Κοιτάξτε τουλάχιστον τρία χρόνια μπροστά
Χρησιμοποιώντας την ανάλυση SWOT, σε συνάρτηση
με τη στρατηγική στους τομείς του IT και των Big Data,
και με τη συνεργασία των υπεύθυνων εσωτερικού ελέγχου,
οι οργανισμοί μπορούν να καταστρώσουν το πλάνο
τους αναφορικά με το επίπεδο προστασίας που χρειάζονται
σε ένα περιβάλλον όπου οι απειλές και τα ρίσκα
είναι απολύτως δυναμικά.
Ενοποιήστε διαφορετικά συστήματα για να έχετε
τη μεγάλη εικόνα
Αν προχωρήσετε σήμερα σε επενδύσεις στον τομέα της
10 | security

ασφάλειας ΙΤ, το μεγαλύτερο όφελος θα προκύψει από τη συνδυαστική
επεξεργασία πληροφοριών που θα αντλούνται μέσα από πολλές
διαφορετικές εφαρμογές. Οι τεχνολογίες που είναι διαθέσιμες
σήμερα κάνουν πιο εύκολη την ενοποίηση συστημάτων data analytics,
security intelligence, και GRC.
Μεγιστοποιήστε την αξία των επενδύσεων μέσα από την υλοποίηση
τυποποιημένων τεχνολογικών λύσεων
Οι κορυφαίες ομάδες ασφαλείας, γνωρίζοντας καλά τις παγίδες την
τεχνολογικής προόδου, τους οικονομικούς περιορισμούς και την ενδεχόμενη
απογοήτευση που μπορεί να συνοδεύει την υιοθέτηση ενός
νέου προϊόντος, συστήνουν μια πιο τυπική προσέγγιση στο θέμα της
εγκατάστασης, η οποία βοηθά στην καλύτερη διαχείριση του σχετικού
ρίσκου.
Σχόλια στελεχών:
Amit Yoran, επίτιμος αντιπρόεδρος στην RSA, The Security Division of EMC
«Η αύξηση της αντοχής των συστημάτων ΙΤ αποτελεί τον πυρήνα της
στρατηγικής προστασίας ενός οργανισμού από τις διαδικτυακές απειλές.
Η χρήση των κατάλληλων τεχνολογιών για την απόκτηση μεγαλύτερης
ορατότητας και περισσότερων δυνατοτήτων ανάλυσης, προετοιμάζει τους
οργανισμούς για ενδεχόμενες επιθέσεις και τις βοηθά να μειώσουν το ρίσκο
που διατρέχουν. Η έκθεση του SBIC παρέχει την απαραίτητα καθοδήγηση
και βοηθά τους υπεύθυνους ασφαλείας να κάνουν τις κατάλληλες
επενδύσεις στις σχετικές τεχνολογίες».
Simon Strickland, Γενικός διευθυντής ασφαλείας στην AstraZeneca
«Η ταχύτητα των αλλαγών είναι μεγαλύτερη από ποτέ. Κάθε οργανισμός
ΙΤ θα πρέπει να εντάξει την καινοτομία και την ευελιξία στη στρατηγική
του. Επειδή η τεχνολογία, μετά από 18, ή ακόμη και 12 μήνες, θα έχει προχωρήσει,
κι επειδή οι διαδικτυακοί ‘εχθροί’ θα έχουν κι αυτοί προσαρμοστεί
αναλόγως, να είστε βέβαιοι ότι θα υπάρξουν ερωτηματικά σε σχέση
με τους λόγους που σας υποχρέωσαν να μην παρακολουθήσετε κι εσείς
τις εξελίξεις».
Σχετικά με το Security for Business
Innovation Council
Tο συμβούλιο SBIC (Security for Business Innovation Council ) απαρτίζεται από
τους υπεύθυνους ασφαλείας επιχειρήσεων του δείκτη Global 1000, οι οποίοι εργάζονται
με προσήλωση για την αναβάθμιση της ασφάλειας των πληροφοριακών
συστημάτων σε ολόκληρο τον κόσμο, μέσα από την ανταλλαγή των εμπειριών και
της γνώσης τους. Το συμβούλιο παράγει, σε τακτική βάση, εκθέσεις αναφορικά
με το ρόλο που έχει η προστασία των πληροφοριών, ως βασικός μοχλός ανάπτυξης
της επιχειρηματικής καινοτομίας. Η παρούσα έκθεση είναι η τρίτη μιας
τριλογίας σχετικά με τη δημιουργία ενός προγράμματος προστασίας επόμενης
γενιάς. Η πρώτη από τις τρεις εκθέσεις είχε τίτλο Transforming Information Security:
How to Build a State-of-the Art Extended Team, και η δεύτερη Transforming
Information Security: Future-Proofing Processes.

NEWS
Οι χρήστες του Facebook είναι οι πιο πιθανοί στόχοι κλοπής
στοιχείων λογαριασμού
To Facebook παραμένει ο προτιμώμενος στόχος
για τους ψηφιακούς εγκληματίες που ειδικεύονται
στην υποκλοπή των στοιχείων των λογαριασμών
στα κοινωνικά δίκτυα. Σύμφωνα με
στατιστικά στοιχεία της Kaspersky Lab, το
πρώτο τρίμηνο του 2014, τα πλαστά sites
που μιμούνταν το Facebook άγγιξαν το
10,85% του συνόλου των περιστατικών
phishing, βάσει των ενεργοποιήσεων της
ευρετικής λειτουργίας Anti-phishing που διαθέτουν
τα προϊόντα της εταιρείας. Συνολικά
στο Διαδίκτυο, οι περισσότερες ειδοποιήσεις
phishing αφορούσαν ψεύτικες σελίδες Yahoo, το
Facebook, όμως, ήταν ο κύριος στόχος μεταξύ των sites κοινωνικής
δικτύωσης.
Σήμερα, οι απάτες μέσω Facebook αποτελούν μια παγκόσμια
«επιχειρηματική δραστηριότητα» και οι επιθέσεις εναντίον του
πραγματοποιούναι σε διάφορες γλώσσες όπως Αγγλικά, Γαλλικά,
Γερμανικά, Πορτογαλικά, Ιταλικά, Τούρκικα, Αραβικά κ.α.
Η μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς στο Facebook
ή σε οποιοδήποτε άλλο κοινωνικό δίκτυο μπορεί να χρησιμοποιηθεί
για την εξάπλωση phishing links ή κακόβουλου λογισμικού.
Ακόμη, οι ψηφιακοί εγκληματίες χρησιμοποιούν τους
παραβιασμένους λογαριασμούς για να στείλουν μηνύματα spam
στις λίστες επαφών των θυμάτων. Επιπλέον, δημοσιεύουν μηνύματα
spam στους «τοίχους» των φίλων των θυμάτων, όπου
μπορούν να τα δουν και άλλοι χρήστες, ή προωθούν μηνύματα
που ζητούν από τους φίλους τους επείγουσα οικονομική
βοήθεια. Οι παραβιασμένοι λογαριασμοί μπορούν, επίσης, να
χρησιμοποιηθούν για τη συλλογή πληροφοριών σχετικά με
συγκεκριμένα άτομα. Αυτές οι πληροφορίες αξιοποιούνται κατά
τη διάρκεια στοχευμένων επιθέσεων στο μέλλον.
Οι κάτοχοι smartphone ή tablet που επισκέπτονται τα κοινωνικά
δίκτυα από τις φορητές συσκευές τους κινδυνεύουν εξίσου
να πέσουν θύματα κλοπής των προσωπικών τους δεδομένων.
Η κατάσταση γίνεται ακόμα χειρότερη, καθώς ορισμένοι
mobile browsers αποκρύπτουν τη μπάρα της διεύθυνσης
όταν ανοίγουν μια ιστοσελίδα, δυσκολεύοντας πολύ περισσότερο
τους χρήστες να εντοπίζουν τα πλαστά sites.
«Οι ψηφιακοί εγκληματίες έχουν αναπτύξει πολλούς τρόπους
για να προσελκύουν τα θύματά τους σε ιστοσελίδες
με περιεχόμενο phishing. Στέλνουν
links για τις ιστοσελίδες phishing μέσω email,
μέσα από τα κοινωνικά δίκτυα ή με banners
που τοποθετούν σε πόρους τρίτων. Οι απατεώνες
συχνά δελεάζουν τα θύματά τους
με υποσχέσεις για «ενδιαφέρον περιεχόμενο».
Όταν οι χρήστες ακολουθούν αυτά τα
link, οδηγούνται σε μία ψεύτικη σελίδα που
περιέχει ένα συγκεκριμένο μήνυμα, με το
οποίο τους ζητείται να κάνουν log in, πριν μπορέσουν
να δουν το περιεχόμενό της. Αν οι χρήστες
δεν είναι υποψιασμένοι και συμπληρώσουν τα
στοιχεία τους, τα δεδομένα τους θα αποσταλλούν αμέσως
στους ψηφιακούς εγκληματίες», δήλωσε η Nadezhda Demidova,
Web Content Analyst της Kaspersky Lab.
Τι συμβουλεύουν οι ειδικοί
Αν λάβετε ειδοποίηση μέσω email από το Facebook ή ένα
μήνυμα ότι ο λογαριασμός σας μπορεί να μπλοκαριστεί, μην
πληκτρολογείτε ποτέ τα στοιχεία σας σε οποιαδήποτε φόρμα
περιέχεται σε αυτό το μήνυμα. Το Facebook ποτέ δεν
ζητά από τους χρήστες να καταχωρήσουν το password
τους σε κάποιο email ή να στείλουν τους κωδικούς τους μέσω
email.
Τοποθετήστε τον κέρσορά σας πάνω στο link και ελέγξτε
αν οδηγεί στην επίσημη σελίδα του Facebook. Επιπλέον,
πρέπει να πληκτρολογείτε χειροκίνητα το URL του Facebook
στον browser σας, καθώς οι ψηφιακοί εγκληματίες
έχουν τη δυνατότητα να κρύβουν τις διευθύνσεις στις οποίες
σας οδηγούν.
Αφού πληκτρολογήσετε το URL του Facebook, ελέγξτε
ξανά όταν η σελίδα φορτώσει για να βεβαιωθείτε ότι δεν
είναι πλαστή.
Να θυμάστε ότι το Facebook χρησιμοποιεί το πρωτόκολλο
HTTPS για τη μετάδοση δεδομένων. Η απουσία ασφαλούς
σύνδεσης πιθανότατα σημαίνει ότι έχετε επισκεφτεί
ένα ψεύτικο site, ακόμα και αν η διεύθυνση URL είναι φαινομενικά
σωστή.
Περισσότερες πληροφορίες είναι διαθέσιμες στην ηλεκτρονική
σελίδα securelist.com.
12 | security

I SSUE
Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών
για τις υπηρεσίες Cloud της Med Nautilus
Νίκος Κωνσταντινίδης
Technical Director
Μed Nautilus
Στις ημέρες μας, η ασφάλεια των πληροφορικών συστημάτων
είναι περισσότερο επίκαιρη από ποτέ. Το ηλεκτρονικό έγκλημα
πλέον, έχει απόκτηση “επαγγελματικό“ χαρακτήρα και πραγματοποιείται
στοχευμένα.
Για την ισχυροποίηση της ασφάλειας των πελατών των υπηρεσιών
Cloud, Τηλεπικοινωνιακών διασυνδέσεων, Internet, κ.α η
Mediterranean Nautilus Greece έχει δημιουργήσει και εφαρμόσει
ένα Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών
(ΣΔΑΠ – ISMS) σύμφωνα με τις απαιτήσεις του διεθνούς προτύπου
ISO 27001, με το οποίο η Εταιρεία είναι πιστοποιημένη
(πλέον της πιστοποίησης σύμφωνα με το πρότυπο ISO 9001).
Το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών αποτελείται
από τις κατάλληλες Πολιτικές, Διαδικασίες, Οδηγίες καθώς
και από το κατάλληλα εκπαιδευμένο ανθρώπινο δυναμικό και τις
κατάλληλες τεχνολογίες ασφαλείας.
Για την παρακολούθηση και τον έλεγχο φυσικής πρόσβασης
εκτός από την 24x7 φύλαξη των εγκαταστάσεων από εξειδικευμένη
εταιρεία, έχουν εγκατασταθεί πολλαπλά συστήματα α-
σφαλείας όπως CCTV, Access control, Biometric Systems και στα
3 ιδιόκτητα Data Center της Mediterranean Nautilus Greece (2
στην Αττική και ένα στα Χανιά, συνολικής επιφάνειας 8000 τ.μ.).
Η λογική ασφάλεια των συστημάτων της εταιρίας βασίζεται σε
μια πολύ-επίπεδη αρχιτεκτονική, σκοπός της οποίας είναι να
θέτει πολλαπλά σημεία προστασίας και ελέγχου ανάμεσα σε
πιθανούς εισβολείς και στα συστήματα των πελατών.
Για την εφαρμογή αυτής της αρχιτεκτονικής και βάση των αποτελεσμάτων
της Ανάλυσης Επικινδυνότητας, έχουν ήδη εγκατασταθεί
μηχανισμοί ασφάλειας όπως : Firewalls, VPN, Intrusion
Prevention/Detection, Denial of Service Protection, Antivirus,
Advance Threat Detection ,Strong Authentication και Access
Control (π.χ. Radius/Tacacs, Administrators Session Control).
Όλα τα δίκτυα της εταιρείας είναι απομονωμένα. Η απομόνωση
πραγματοποιείται βάση της κρισιμότητας της κάθε υπηρεσίας.
Ειδικότερα δίκτυα που φιλοξενούν υπηρεσίες προς τους
πελάτες, είναι απομονωμένα από τα υπόλοιπα δίκτυα της Εταιρείας
και από το διαδίκτυο. Η πρόσβαση από και προς σε αυτά
ελέγχεται τόσο με συστήματα firewall όσο και με την εγκατεστημένη
IPS/IDS υποδομή.
Όλα τα δίκτυα πελατών είναι μεταξύ τους επίσης απομονωμένα
εκτός εάν διαφορετικά ορίζεται σύμφωνα με απαίτηση του
Πελάτη. Πρόσβαση σε αυτά τα δίκτυα επιτρέπεται μόνο μετά
από έγκριση του Υπευθύνου Ασφαλείας.
Όλες οι συνδέσεις με εξωτερικά δίκτυα (π.χ. Συνεργάτες) τοποθετούνται
σε απομονωμένες λογικές ζώνες (π.χ. DMZ) ώστε
η πρόσβαση που θα έχουν προς τα εσωτερικά δίκτυα της
εταιρείας, αλλά και η τυχόν μεταξύ τους πρόσβαση να είναι
πλήρως ελεγχόμενη.
Τα συστήματα προστασίας δικτύου παρέχουν μηχανισμούς έ-
γκαιρης ενημέρωσης (real-time alert loging). Το σύστημα διαχείρισης
και ανάλυσης Security Information and Event
Management (SIEM) που χρησιμοποιεί η ομάδα ασφάλειας, μας
δίνει την δυνατότητα άμεσης επέμβασης πραγματοποιώντας
αυτόματα συσχετισμούς των συμβάντων ασφάλειας που εντοπίζονται
στα συστήματα της ενέργειας. Ακολουθώντας τις διατάξεις
της Ελληνικής Νομοθεσίας όλα τα συμβάντα ασφάλειας
αναλύονται και όλες οι πληροφορίες για αυτά αποθηκεύονται
με ασφαλείς διαδικασίες.
Τα συστήματα που χρησιμοποιούνται για τη διαχείριση των Δικτύων
της MedNautilus είναι λογικά εγκατεστημένα σε απομονωμένες
ζώνες. Πρόσβαση σε αυτές τις ζώνες έχουν μόνο οι
Διαχειριστές και μόνο από συγκεκριμένες λογικές τοποθεσίες
υπό την προϋπόθεση της χρήσης ασφαλών πρωτοκόλλων επικοινωνίας
(SSH, HTTPS, sFTP, SSL). Όλες οι διαχειριστικές
προσβάσεις καταγράφονται και παρακολουθούνται.
Τέλος, σημειώνεται ότι για την ενδυνάμωση της ασφάλειας των
δικτύων σε τακτά χρονικά διαστήματα, βάση του Πλάνου
Ελέγχων, διενεργούνται τεχνικοί έλεγχοι ασφάλειας από τον
Υπεύθυνο Ελέγχων και τον Υπεύθυνο Ασφάλειας χρησιμοποιώντας
διεθνείς πρακτικές και αυτοματοποιημένα συστήματα
ελέγχων (π.x Vulnerability Scanning and Management Systems,
Configuration Audit). iTSecurity
security | 13

C OVER ISSUE
Ανθρώπινος Παράγοντας
..ο καταλυτικός ρόλος και τα λάθη
Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
piliopou@me.com
Είναι προφανές ότι μόνο οι τεχνικές δικλείδες ασφάλειας (λύσεις και προϊόντα) δεν μπορούν
να αποτρέψουν περιπτώσεις παραβίασης της ασφάλειας των πληροφοριών και μη εξουσιοδοτημένης
τροποποίησης και κατοχής τους. Οι Οργανισμοί χρειάζεται να μεταδώσουν στους
χρήστες και να διατηρήσουν μια κουλτούρα σχετικά με τη προστασία των επιχειρηματικών
πληροφοριών
Οι διάφορες προκλήσεις λόγω διαφοροποίησης του τρόπου
διεκπεραίωσης των καθημερινών διεργασιών στο εταιρικό περιβάλλον,
από τη χρήση κανόνων και μηχανισμών προστασίας
των πληροφοριών, χρειάζεται να κατανοηθούν και να επιλυθούν.
Αυτό σημαίνει ότι οι λειτουργίες και διεργασίες που αφορούν
στην ασφάλεια των πληροφοριών πρέπει να είναι ουσιαστικές,
να μπορούν να εφαρμοστούν με σχετική ευκολία και να μη περιορίζουν
τις καθημερινές δραστηριότητες των χρηστών σε σχέση
με τη διεκπεραίωση της εργασίας τους.
Οι χρήστες πρέπει να εκπαιδεύονται σχετικά με τη σημασία της
προστασίας των εταιρικών πολιτικών ασφάλειας, έτσι ώστε να
διαμορφώνουν και την αντίστοιχη συμπεριφορά.
Η διαμόρφωση μια κουλτούρας για την ασφάλεια των πληροφοριών
καθώς και η κατανόηση και εφαρμογή των κανόνων για
την προστασία των πληροφοριών, είναι αποτέλεσμα σωστής ε-
πικοινωνίας, σχεδιασμού και εφαρμογής διαφορετικών δράσεων.
Οι εν λόγω δράσεις είναι αποτέλεσμα σχεδιασμού και στη
συνέχεια εφαρμογής συγκεκριμένης στρατηγικής. Μιας στρα-
14 | security

τηγικής που σχεδιάζεται από επαγγελματίες της ασφάλειας πληροφοριών,
οι οποίοι συχνά υποπίπτουν σε σημαντικά λάθη, τα
οποία στοιχίζουν σε αποτελεσματικότητα και αξιοπιστία.
Στις επόμενες παραγράφους προσδιορίζονται τα σημαντικότερα
λάθη τα οποία γίνονται κατά το σχεδιασμό της στρατηγικής
αλλά και την εφαρμογή των βασικών άρχων της Α-
σφάλειας Πληροφοριών. Λάθη τα οποία ξεκινούν και καταλήγουν
στον ανθρώπινο παράγοντα.
Απουσία συνολικής στρατηγικής διαχείρισης της
ασφάλειας πληροφοριών
Η Στρατηγική πρέπει να είναι προσαρμοσμένη στον συγκεκριμένο
Οργανισμό και αφορά στη συγκεκριμένη κουλτούρα και ανάγκες
για προστασία των πληροφοριών. Τα κυριότερα λάθη τα οποία α-
φορούν στη διαμόρφωση της στρατηγικής είναι τα ακόλουθα:
Σε πολλές περιπτώσεις δεν υπάρχει στρατηγική και η διαμόρφωση
του πλαισίου διαχείρισης της Ασφάλειας Πληροφοριών
ξεκινά από την ανάγκη της κανονιστικής συμμόρφωσης
είτε από τη ματαιοδοξία της πιστοποίησης με κάποιο
πρότυπο.
Η στρατηγική δεν έχει γίνει επίσημα αποδεκτή και δε στηρίζεται
από τη Διοίκηση.
Στρατηγική πέρα και πάνω από πιστοποιήσεις, πρότυπα,
κανονιστικές απαιτήσεις. Στρατηγική η οποία περιλαμβάνει
όλα τα προηγούμενα, αλλά τα υλοποιεί, τα εφαρμόζει
αφού προηγουμένως έχει κατανοήσει τις ανάγκες ασφάλειας
του Οργανισμού όπως αυτές προσδιορίζονται από
αξιολογήσεις κινδύνων, αξιολογήσεις αδυναμιών ασφάλειας
αλλά και αξιολόγηση της κρισιμότητας των υφιστάμενων
πληροφοριών. Δε πρέπει, επίσης, να παραβλέψουμε
την ανάγκη για προσδιορισμό της ροής των κρίσιμων
πληροφοριών εσωτερικά αλλά και εξωτερικά του Οργανισμού,
συνεπικουρούμενης από την αξιολόγηση των δικλείδων
ασφάλειας κατά τη ροή και χρήση των κρίσιμων
εταιρικών πληροφοριών.
Η στρατηγική είναι αναγκαίο να περιλαμβάνει συγκεκριμένα βήματα
υλοποίησης, χρόνο-προγραμματισμό αλλά και παραμέτρους
μέτρησης της αποτελεσματικότητάς της έτσι ώστε να
μπορεί να αναπροσαρμοσθεί.
Πολιτικές και διαδικασίες που είναι εφικτό να ε-
φαρμοστούν
Η θέσπιση και τεκμηρίωση των κανόνων προστασίας είναι από
τους ακρογωνιαίους λίθους της Ασφάλειας Πληροφοριών. Συχνά
αντιμετωπίζεται ως μια διαδικασία συλλογής και αποτύπωσης
κανόνων οι οποίοι δεν ανταποκρίνονται στο Επιχειρηματικό
περιβάλλον, επαναλαμβάνονται και πολλοί από αυτούς δε
μπορούν να εφαρμοστούν.
Τα συχνότερα λάθη που συναντούμε είναι τα ακόλουθα:
Αντιγραφή από διάφορες πήγες χωρίς επεξεργασία και προσαρμογή
στο υφιστάμενο περιβάλλον και κουλτούρα.
Μεταφορά αυτούσιων φράσεων από πρότυπα, κανονιστικές
διατάξεις και βέλτιστες πρακτικές.
Μη εμπλοκή αντιπροσώπων άλλων Επιχειρηματικών οντοτήτων
του Οργανισμού. Των οντοτήτων, δηλαδή, που καλούνται
να εφαρμόσουν πολιτικές και διαδικασίες.
Δεν είναι επικαιροποιημένες, δεν αντιστοιχούν είτε στην υ-
φιστάμενη οργανωτική δομή, είτε στην υφιστάμενη τεχνολογική
υποδομή.
Απουσία διεργασίας συνεχούς αξιολόγησης κινδύνων
Η αξιολόγηση κινδύνων, τις περισσότερες φορές, αντιμετωπίζεται
ως αναγκαιότητα στο πλαίσιο κανονιστικών απαιτήσεων αλλά
και τήρησης απαιτήσεων εναρμόνισης με κάποια πρότυπα.
Το συχνότερο λάθος αφορά στην προετοιμασία της εν λόγο
διαδικασίας. Η προετοιμασία είναι ελλιπής και στις περισσότερες
περιπτώσεις οι συμμετέχοντες, έκτος των τμημάτων ασφάλειας
πληροφοριών, ειδοποιούνται την τελευταία στιγμή και δεν
έχουν τη δυνατότητα ορθής προετοιμασίας και κατανόησης του
αντικειμένου των ελέγχων.
Η συχνότητα και το εύρος που καλύπτουν οι αξιολογήσεις κινδύνων
είναι ένα ακόμα σημείο που χρήζει προσοχής. Ο κάθε
Οργανισμός έχει ανάγκη μια διεργασίας συνεχούς αξιολόγησης
κινδύνων. Είναι κατανοητό πως η διενέργεια πλήρους
αξιολόγησης κινδύνων κάθε χρόνο είναι ουτοπία. Είναι
όμως εφικτό να υπάρχει καλύτερη οργάνωση της διεργασίας
έτσι ώστε ανά τακτά χρονικά διαστήματα να διενεργείται α-
ξιολόγηση κινδύνων σε διαφορετικές Επιχειρηματικές υποδομές
κατά τη διάρκεια ενός έτους. Επίσης, εβδομαδιαίοι και
μηνιαίοι επαναλαμβανόμενοι έλεγχοι σε κρίσιμες επιχειρηματικές
δραστηριότητες είναι αναγκαίοι. Αυτό που χρειάζεται να
security | 15

COVER ISSUE
Ανθρώπινος Παράγοντας ..ο καταλυτικός ρόλος και τα λάθη
γίνει κατανοητό, είναι ότι δεν χρειάζεται η βοήθεια εξωτερικών
συνεργατών για τη διενέργεια των αξιολογήσεων κινδύνων.
Χρειάζεται ουσιαστική ενασχόληση του τμήματος / υ-
πευθύνου της Ασφάλειας Πληροφοριών. Εξ άλλου, η αξιολόγηση
κινδύνων είναι ακρογωνιαίος λίθος της ασφάλειας
πληροφοριών και δε νοείται επαγγελματίες του χώρου να κρατούν
αποστάσεις και να μην εμπλέκονται ενεργά (ακόμα και
να αποφεύγουν) στη συγκεκριμένη διεργασία.
Ελλιπείς διαχείριση των διορθωτικών ενεργειών
σε συνέχεια των αξιολογήσεων κινδύνων
Εάν υποθέσουμε ότι τα αποτελέσματα της εκάστοτε αξιολόγησης
κινδύνων είναι το αποτέλεσμα μιας αποτελεσματικές διεργασίας,
τότε η συνέχεια και η ολοκλήρωση της διεργασίας απαιτεί
την αντιμετώπιση των κινδύνων και την υλοποίηση εκείνων των
δικλείδων ασφάλειας που θα μειώσουν τον κίνδυνο σε αποδεκτό
για τον Οργανισμό επίπεδο. Η συνεχής παρακολούθηση και
ο έλεγχος υλοποίησης των διορθωτικών ενεργειών που αφορούν
στη αντιμετώπιση των κινδύνων, είναι ακόμα σημαντικότερη διαδικασία,
η οποία συχνά παραβλέπεται.
Το συνηθέστερο φαινόμενο αφορά στην παράληψη των ελέγχων
υλοποίησης των διορθωτικών ενεργειών, αλλά και στην
ελαστικότητα στους χρόνους υλοποίησης των διορθωτικών
ενεργειών.
Ένα ακόμα σημείο που χρίζει προσοχής, είναι η δημιουργία ε-
νός ενιαίου καταλόγου με όλους τους κινδύνους σχετικά με την
ασφάλεια πληροφοριών, από όποια διεργασία αξιολόγησης κινδύνων
και αν αυτά προέρχονται (penetration testing, vulnerability
assessment, security testing, κτλ). Ο τρόπος αποτύπωσης, περιγραφής
αλλά και αξιολόγησης πρέπει να είναι ενιαίος και να δίνει
τη πραγματική εικόνα του κινδύνου σε σχέση με την επίδρασή
του στους επιχειρηματικούς στόχους και επιδιώξεις.
Εκπαίδευση και ενημέρωση χρηστών
Μεγάλη κουβέντα και πολλές ώρες έχουν αφιερωθεί στη περιγραφή
της αναγκαιότητας για εκπαίδευση και ενημέρωση των
χρηστών. Ακόμα περισσότερες ώρες έχουν αφιερωθεί στη περιγραφή
ενός αποτελεσματικού τρόπου εκπαίδευση των χρηστών
σε θέματα ασφάλειας πληροφοριών. Δυστυχώς όμως πολλές
λιγότερες ώρες έχουν αφιερωθεί στην εκπαίδευση.
Ακόμα και στις περιπτώσεις που αυτό γίνεται, υπάρχουν κάποια
λάθη που χρειάζεται να παραλειφθούν.
Η εκπαίδευση δεν είναι στοχευμένη στο κοινό που την παρακολουθεί.
Συνήθως αποτελείται από γενικούς όρους και θεωρίες
και κάποιες φορές προσπαθεί να ανάλυσει στο κοινό
επιθέσεις κακόβουλων χρηστών χρησιμοποιώντας τεχνικούς
όρους.
Δε υπάρχει πρόγραμμα εκπαίδευσης το οποίο να έχει συνέχεια,
να αποτελείται από διαφορετικές θεματικές ενότητες
οι οποίες θα καλυφθούν με περισσότερες της μιας εκπαίδευσης.
Ο τελικός χρήστης χρειάζεται πρώτα να κατανοήσει την αξία των
πληροφοριών που διαχειρίζονται σε καθημερινή βάση και στη
συνέχεια να δεχθεί στοχευμένα μηνύματα και να κατανοήσει
πολιτικές, διαδικασίες και τεχνικούς μηχανισμούς που λειτουργούν
σε σχέση με τα μηνύματα που θέλει να περάσει η εκάστοτε
εκπαίδευση.
Νομιμοποίηση των εξαιρέσεων
Κάθε κανόνας έχει και την εξαίρεσή του, είναι και αυτό ένας κανόνας.
Σε πολλούς Οργανισμούς συναντούμε συχνά τη νομιμοποίηση
των εξαιρέσεων. Κάτω από την δικαιολογία ότι ο Ε-
πιχειρηματικός Υπεύθυνος των πληροφοριών αποδέχεται τον
κίνδυνο από τη μη τήρηση κάποιων κανόνων ασφάλειας πληροφοριών.
Πολλές φορές η εν λόγο αποδοχή συνοδεύεται α-
πό φόρμες ..... απαλλαγής. Το συγκεκριμένο τέχνασμα λειτουργεί
σε περιπτώσεις συμμόρφωσης με κάποια ‘γνωστά’ πρότυπα.
Στην πραγματικότητα αποτελεί αναβολή υλοποίησης των κανόνων
και συμβιβασμό με τον κίνδυνο. Οι εξαιρέσεις πρέπει να είναι
οι ελάχιστες δυνατές και η ισχύς τους πρέπει να επαναξιολογείται
σε ετήσια βάση.
Κανόνες και απαιτήσεις ασφάλειας σε προτάσεις
συνεργασίας, λειτουργικές προδιαγραφές
και συμβάσεις
Μία από τις μεγάλες και αναμφισβήτητες αλήθειες στην ασφάλεια
πληροφοριών, είναι ότι η εκ των υστέρων υλοποίηση των
16 | security

δικλείδων ασφάλειας, επιφέρει επιπρόσθετο κόστος και καθυστερεί
σημαντικά την εφαρμογή των απαιτήσεων και κανόνων
της ασφάλειας πληροφοριών. Σε πολλές περιπτώσεις το επιπρόσθετο
κόστος, αποτελεί ανασταλτικό παράγοντα εφαρμογής
της εκάστοτε δικλείδας ασφάλειας.
Η παραπάνω παράληψη, είναι κατά μεγάλο ποσοστό υπεύθυνη
για τις περιπτώσεις hard coded passwords για την επικοινωνία
μεταξύ συστημάτων και βάσεων δεδομένων, καθώς και για περιπτώσεις
εφαρμογών οι οποίες είναι χτισμένες κάνοντας χρήστη
του λογαριασμού ‘public’ της βάσης δεδομένων.
Δε μπορούν να επικοινωνήσουν την αξία εσωτερικά
και κυρίως προς τα πάνω
Μελετώντας το τρόπο δράσης των διαφόρων Οργανισμών, παρατηρούμε
ότι στο χώρο της Ασφάλειας Πληροφοριών έχουν
παγιδευτεί σε μια προσπάθεια να κάνουν περισσότερα, να αγοράσουν
– επενδύσουν περισσότερο, να εγκαταστήσουν περισσότερα,
να αξιολογήσουν τους κινδύνους και τις αδυναμίες α-
σφάλειας οπουδήποτε μέσα στο εταιρικό περιβάλλον κτλ.
Τις περισσότερες φορές καταναλώνεται περισσότερη ενέργεια
στην προσπάθεια να αξιολογηθούν λύσεις και να τεκμηριωθούν
ολοένα και περισσότερες ανάγκες προς υλοποίηση, παρά
ενέργεια που αφορά στον προσδιορισμό των πραγματικών
αναγκών και του αποτελεσματικού τρόπου επικοινωνίας των
αναγκών αυτών στη Διοίκηση. Το ζητούμενο είναι να κατανοήσει
η Διοίκηση την ανάγκη, τις πιθανές εναλλακτικές επίλυσης
του προβλήματος καθώς και το κόστος κάθε εναλλακτικής
πρότασης.
Πολλά περισσότερα μπορούν να επιτευχθούν αν απλά κοιτάξουμε
γύρω μας με καθαρή σκέψη και αναρωτηθούμε «Τι είναι
αυτό που προσπαθεί να πετύχει ο Οργανισμός για τον οποίο
εργαζόμαστε;». Η απάντηση στην εν λόγο ερώτηση είναι αυτό
για το οποίο η ασφάλεια πληροφοριών υπάρχει σε κάθε Οργανισμό.
Οργανωτική τοποθέτηση της ασφάλειας πληροφοριών
Ο ρόλος και η λειτουργία ενός φορέα διαχείρισης και συντονισμού
της ασφάλειας πληροφοριών αποτελεί αναγκαιότητα. Η εικονική
λειτουργία ενός τέτοιου ρόλου καλύπτει θεσμικές ή κανονιστικές
απαιτήσεις, αλλά στην πραγματικότητα δε μπορεί να
διαχειριστεί αποτελεσματικά τις απαιτήσεις ασφάλειας ενός Οργανισμού.
Η λειτουργία ενός τέτοιου φορέα απαιτεί ανεξαρτησία και στήριξη,
μα πάνω από όλα θέληση για αποτελεσματικότητα στην
προστασία των κρίσιμων επιχειρηματικών πληροφοριών.
Το συχνότερο λάθος που παρατηρείται είναι η μη ανεξάρτητη
λειτουργία του εν λόγο φορέα, αλλά η λειτουργία του ως μέρος
της επιχειρηματικής οντότητας Πληροφορικής.
Συμπεριφορά επαγγελματιών προς συναδέλφους
Ένα από τα σημαντικότερα σημεία, που συχνά παραγκωνίζεται,
αφορά στη συμπεριφορά των επαγγελματιών της ασφάλειας
πληροφοριών ως προς τους συναδέλφους τους. Λόγω του εύρους
του αντικειμένου και της αναγκαιότητας του, πολλές φορές
οι επαγγελματίες του χώρου είναι απόλυτοι στη γνώμη που
εκφράζουν και δε συζητούν τον τρόπο υλοποίησης των δικλείδων
ασφάλειας. Η άποψη των συναδέλφων που καλούνται να
εφαρμόσουν κανόνες και δικλείδες ασφάλειας δε πρέπει να παραγκωνίζεται.
Μπορούν να συνεισφέρουν εποικοδομητικά στον
αποτελεσματικό τρόπο εφαρμογής κανόνων και μέτρων προστασίας.
Για να γίνει όμως αυτό χρειάζεται να ακουστεί η γνώμη
τους, καθώς και να τους γίνει κατανοητό το τι θέλουμε να ε-
πιτύχουμε με τα προτεινόμενα μέτρα προστασίας, ποιός είναι ο
στόχος και οι οι κίνδυνοι από τους οποίους προστατεύουμε τον
Οργανισμό αλλά και τους ίδιους.
Log off
Οι πολυάριθμες τεχνολογικές εξελίξεις στο χώρο της πληροφορικής
και της ασφάλειας πληροφοριών δεν εξασφαλίζουν την
επαρκή προστασία των επιχειρηματικών πληροφοριών. Ως εκ
τούτου, η ασφάλεια των πληροφοριών δεν μπορεί να κατανοηθεί
ή να προσδιορισθεί ως αμιγώς τεχνικό θέμα.
Η ασφάλεια πληροφοριών, ξεκινά, αφορά και καταλήγει στον ανθρώπινο
παράγοντα. Ως εκ τούτου χρειάζεται να προσδιορίσουμε
τα σημαντικότερα λάθη που γίνονται κατά το σχεδιασμό
και την προσπάθεια εφαρμογής κανόνων και τεχνολογιών και να
διδαχθούμε από αυτά. iTSecurity

I SSUE
Πώς να διαφυλάξετε το ιδιωτικό
απόρρητο και να προστατέψετε τα
προσωπικά και τα εταιρικά δεδομένα σας
Μερικά απλά βήματα για να ξεκινήσετε
χρησιμοποιώντας τεχνολογίες της Sophos
Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης,
NSS
Η ασφάλεια και το ιδιωτικό απόρρητο συγχέονται πολύ συχνά,
ενώ θα λέγαμε ότι σε αρκετές περιπτώσεις οι δύο έννοιες
συμπίπτουν. Διαφέρουν ωστόσο σε έναν πολύ σημαντικό τομέα.
Ο σκοπός της ασφάλειας είναι να σας απαλλάξει από κινδύνους
ή απειλές. Η προστασία των προσωπικών δεδομένων
και του ιδιωτικού απορρήτου, αφορά στον έλεγχο των πληροφοριών
που θέλετε να είναι γνωστές για εσάς, αλλά και ποιοί
θέλετε να γνωρίζουν σχετικά.
Ιδιωτικό απόρρητο και online υπηρεσίες
Ως εκ τούτου, θα πρέπει να σκεφτείτε για τις επιλογές που έ-
χετε σχετικά με την ιδιωτική σας ζωή την επόμενη φορά που
θα δημιουργήσετε ένα νέο προφίλ σε κάποια online υπηρεσία
ή όταν εγκαταστήσετε μια νέα εφαρμογή στο τηλέφωνό σας.
Όταν πραγματοποιείτε μία εγγραφή για τη δημιουργία ενός
online προφίλ, συνήθως το κάνετε για να έρθετε σε επαφή και
να συνδεθείτε με ομοϊδεάτες σας ή άτομα που έχουν τα ίδια
χόμπυ με εσάς ή για να εντοπίσετε φίλους ή συγγενικά πρόσωπα
σε ιστοσελίδες κοινωνικής δικτύωσης κ.ά. Οι συγκεκριμένες
ιστοσελίδες ζητούν πολλά προσωπικά στοιχεία για να σας
“βοηθήσουν”, όπως όνομα, φύλο, χώρα που πήγατε σχολείο,
ημερομηνία γέννησης ή ακόμα και αν έχετε σχέση. Όσες περισσότερες
πληροφορίες δώσετε, τόσο πιο πλούσια εμπειρία
θα απολαύσετε με την εκάστοτε υπηρεσία, έτσι δεν είναι; Για
τον καθένα από εμάς τα στοιχεία που έχουμε επιλέξει να α-
ποκαλύψουμε λογικά θα διαφέρουν. Πολλές από αυτές τις πληροφορίες
που θα μας ζητηθεί να δώσουμε, είναι πιθανό να είναι
προαιρετικές, οπότε καλό θα ήταν να ζυγίσουμε τα οφέλη,
αν πρόκειται να τις μοιραστούμε με άλλους.
Είναι πολύ σημαντικό να θυμόμαστε ότι ενώ οι κωδικοί πρόσβασης
μπορούν να αλλάξουν, η ημερομηνία γέννησης, οι διάφοροι
εθνικοί αριθμοί αναγνώρισης (π.χ αριθμός αστυνομικού
δελτίου ταυτότητας ή διαβατηρίου, αριθμός φορολογικού μητρώου
κ.ά.) και άλλα προσωπικά στοιχεία δεν μπορούν να αλλάξουν.
Οι εφαρμογές στο τηλέφωνο είναι επίσης μία… πικρή
ιστορία. Κάθε εταιρεία, με λίγα χρήματα μπορεί να δημιουργήσει
μία εφαρμογή για κινητά, με στόχο την ευκολότερη συνεργασία
μαζί σας, αλλά είναι ασφαλές κάτι τέτοιο; Μία έρευνα α-
ποκάλυψε, ότι αυτά που συμβαίνουν κάτω από την επιφάνεια
είναι πολύ πιο επικίνδυνα από όσα μπορείτε να φανταστείτε.
Πολλές εφαρμογές φορητών συσκευών συχνά ζητούν να δώσετε
δικαιώματα πρόσβασης σε διάφορα προσωπικά δεδομένα
στο κινητό σας, χωρίς μάλιστα να δίνουν τη παραμικρή εγγύηση
ότι δεν θα γίνει κατάχρηση αυτών των δικαιωμάτων. Μία
συμβουλή είναι να προσπαθήσετε να σταματήσετε αυτό τον…
εθισμό με την εγκατάσταση εφαρμογών. Γιατί να μην χρησιμοποιείτε
τον browser στο τηλέφωνο σας για να κάνετε κάποια
πράγματα; Γιατί να χρησιμοποιείτε την εφαρμογή μίας ιστοσελίδας,
την ώρα που μπορείτε να μπείτε στην ιστοσελίδα με τον
εγκατεστημένο περιηγητή στο κινητό ή στο tablet σας (π.x
Firefox, Android browser, Chrome, Safari ή Internet Explorer);
Μπορείτε, εφόσον το θέλετε να κάνετε μία θετική αλλαγή
σχετικά με τη προστασία της ιδιωτικής σας ζωής
18 | security

και της ασφάλειας σήμερα, ακολουθώντας τα τρία παρακάτω
βήματα:
Απενεργοποιήστε τη γεωτοποθεσία (geolocation)
και αφήστε την απενεργοποιημένη
Μπορείτε να ξεκινήσετε με κάτι πολύ απλό και εύκολο, απλώς
σηκώστε το τηλέφωνο, το tablet ή το laptop σας και απενεργοποιήστε
τη γεωτοποθεσία (geolocation). Μπορεί να φαίνεται
σαν κάτι ασήμαντο, ωστόσο δεν μπορούμε να σκεφτούμε
άλλο χαρακτηριστικό που να πέφτει θύμα τόσο μεγάλης κατάχρησης
και κακής χρήσης από την ικανότητα της φορητής
σας συσκευής (κινητού, tablet κ.ά.) να χρησιμοποιεί το GPS
καθώς και το WiFi για να γνωρίζει που βρίσκεστε διαρκώς. Υ-
πάρχουν πολλοί προγραμματιστές λογισμικού φορητών συσκευών
που δεν είναι ειλικρινείς στον τρόπο που διαχειρίζονται
αυτά τα δεδομένα με τις εφαρμογές που κατασκευάζουν.
Αν για παράδειγμα μία υπηρεσία κοινωνικής δικτύωσης γνωρίζει
που είστε, τότε ένας διαρρήκτης, μπορεί να γνωρίζει επιπλέον
ότι είστε μακριά από το σπίτι σας και σε διακοπές.
Απενεργοποιήστε το WiFi. Ενεργοποιήστε το όταν
το χρειάζεστε
Ένα ακόμη βήμα για την προστασία της ιδιωτικής σας ζωής, είναι
να απενεργοποιήσετε το WiFi σε smartphones, tablets ή
τους φορητούς υπολογιστές που έχετε στη διάθεση σας. Θα
μπορείτε να χρησιμοποιείτε το WiFi όταν το χρειάζεστε αλλά
θα πρέπει πρώτα να το ενεργοποιήσετε, κάτι που είναι τόσο
απλό όσο το πάτημα ενός πλήκτρου. Αφού κάνετε αυτό που
θέλατε, π.χ να ελέγξετε τα email σας, μετά μπορείτε να το α-
πενεργοποιήσετε και πάλι. Τα smartphones που έχουν ενεργοποιημένο
το WiFi, ψάχνουν διαρκώς να βρουν ασύρματα δίκτυα
για να συνδεθούν, νόμιμα ή μη. Καθώς αναζητάει δίκτυα
για να συνδεθεί, το κινητό σας θα αρχίσει να μαρτυράει μέχρι
και τα ονόματα των δικτύων WiFi που έχετε χρησιμοποιήσει
στο παρελθόν. Πολλά δίκτυα WiFi έχουν την ονομασία του μέρους
που επισκεφτήκατε, οπότε στην ουσία είναι σαν το κινητό
σας να λέει μία μικρή ιστορία για το πού ήσασταν, ποιά διαδρομή
ακολουθήσατε κ.λπ. Παράλληλα με τις ονομασίες των
δικτύων που επισκεφτήκατε, το κινητό σας μαρτυράει και την
μοναδική δικτυακή διεύθυνση MAC. Διάφοροι εμπορικοί οργανισμοί
έχουν αρχίσει να δείχνουν πολύ μεγάλο ενδιαφέρον
για αυτό το μικρό και μοναδικό αναγνωριστικό, γιατί μπορεί να
χρησιμοποιηθεί όπως ακριβώς ένα cookie, για την ανίχνευση
και την καταχώρηση σε προφίλ των κινήσεών σας σε πραγματικό
χρόνο.
Αποσυνδεθείτε όταν τελειώσετε
Το τρίτο βήμα είναι και το πιο δύσκολο όλων. Όσοι θέλουν
πραγματικά να διατηρήσουν το ιδιωτικό απόρρητο, θα
πρέπει να αποσυνδέονται από τις συσκευές που χρησιμοποιούν
αμέσως μόλις τελειώσουν με την εργασία τους. Σταματήσατε
να εργάζεστε στο laptop σας; Αποσυνδεθείτε. Ελέγξατε
το υπόλοιπο στους τραπεζικούς σας λογαριασμούς μέσω Internet;
Αποσυνδεθείτε. Έγινε ενημέρωση της κατάσταση σας
στο Facebook; Αποσυνδεθείτε. Η αποσύνδεση είναι πολύ σπουδαία,
γιατί αν δεν αποσυνδεθείτε από αυτό που κάνατε, στην
πραγματικότητα δεν φύγατε ποτέ. Οτιδήποτε και αν χρησιμοποιήσατε,
αν δεν κάνατε αποσύνδεση, τότε αφήνετε τη πίσω
πόρτα ανοιχτή για κάθε είδους επιθέσεις, για κάθε είδους ε-
νέργειες παραβίασης της ιδιωτικής σας ζωής όπως clickjacking,
cross-site referral forgery attacks, social media tracking beacons
και πολλές άλλες επιθέσεις με περίεργους τίτλους. Μία ε-
ξαιρετική κίνηση είναι επίσης να λέτε στον browser σας να καθαρίζει
αυτόματα το ιστορικό κάθε φορά που τον κλείνετε ή
να πλοηγήστε στο Internet χρησιμοποιώντας τον σε λειτουργία
Private ή Incognito.
Ασφάλεια μέσω τεχνολογιών της Sophos
Λίγες είναι οι λύσεις που μπορούν να προσφέρουν όλα όσα
ζητάτε από θέμα ασφάλειας σε επίπεδο τελικού χρήστη (Layer-8
Security) σε επιχειρησιακό επίπεδο. Το Sophos Cloud είναι
η μοναδική cloud-managed υπηρεσία ασφαλείας στην α-
γορά, που επιτρέπει τη διαχείριση υπολογιστών Windows, Mac
και φορητών συσκευών από μια ενιαία κονσόλα στο σύννεφο,
την οποία μπορείτε να χειριστείτε ακόμα και από το κινητό
σας, οπουδήποτε και αν βρίσκεστε. Παρέχει αποτελεσματική
διαχείριση φορητών συσκευών ενώ παράλληλα κρατάει την
παραγωγικότητα των χρηστών σε υψηλά επίπεδα και τα εταιρικά
δεδομένα ασφαλή. Οι νέες δυνατότητες Web που προσφέρει,
επιτρέπουν στους διαχειριστές IT να ρυθμίζουν εύκολα
και να επιβάλλουν πολιτικές συμμόρφωσης και ενισχυμένη
ασφάλεια ενώ οι πολιτικές χρηστών μπορούν να δημιουργηθούν
μία φορά και να αναπτυχθούν σε πολλαπλές ομάδες και
πλατφόρμες ακολουθώντας τους χρήστες και τις συσκευές
τους ακόμα και όταν βρίσκονται εκτός δικτύου. Το Sophos
Cloud επίσης προσφέρει συγχρονισμό Active Directory, για να
απλοποιήσει την ανάπτυξη και τη διαχείριση χρηστών και ο-
μάδων χρηστών.
Sophos Cloud Enduser Protection (Προστασία Endpoint
και Mobile)
To Sophos Cloud βασίζεται στην ίδια αποδεδειγμένη τεχνολογία
που προστατεύει πάνω από 100 εκατομμύρια συσκευές
σε όλο τον κόσμο. Μέσω του Sophos Cloud οι πολιτικές α-
σφάλειας ακολουθούν τον χρήστη σε συσκευές, πλατφόρμες
και τοποθεσίες. Το αποδειγμένα ολοκληρωμένο και ταυτόχρονα
ελαφρύ σύστημα προστασίας της Sophos, σταματά τα
κακόβουλα προγράμματα χρησιμοποιώντας πολλαπλά επίπεδα
ελέγχου που περιλαμβάνουν ανίχνευση σε web-exploits,
τεχνολογίες Sandboxing, HIPS, Buffer-Overflow κ.ά. Η διαχείsecurity
| 19

I SSUE
Πώς να διαφυλάξετε το ιδιωτικό απόρρητο
ριση υπολογιστών και φορητών συσκευών στο Sophos Cloud
επιτρέπει στους χρήστες να παραμένουν παραγωγικοί παρόλο
που βρίσκονται σε διαρκή κίνηση, διατηρώντας παράλληλα
τα εταιρικά δεδομένα απόλυτα ασφαλή. Μέσω ενός συστήματος
ενοποιημένης διαχείρισης, μπορείτε να έχετε πλήρη ορατότητα
για όλες τις συσκευές και τις πολιτικές από μια ενιαία,
ενοποιημένη κονσόλα. Προσφέροντας μία καταπληκτική ε-
μπειρία στο χρήστη, το Sophos Cloud είναι πανεύκολο στην
ανάπτυξη, διαχείριση και συντήρηση. Η κονσόλα διαχείρισης
φιλοξενείται στο σύννεφο από τη Sophos, και δεν υπάρχει α-
νάγκη για καμμία εγκατάσταση τοπικά με αποτέλεσμα να μπορεί
να οργανωθεί και να λειτουργήσει μέσα σε λίγα λεπτά.
Η Sophos μπορεί να θωρακίσει τους χρήστες παρέχοντας
προστασία από ιούς, web filtering, έλεγχο και διαχείριση κινητών
συσκευών όπου και αν βρίσκονται, ό,τι και αν χρησιμοποιούν
μέσω του παντρέματος των τεχνολογιών Sophos
Endpoint Antivirus και Sophos Mobile Control και της ε-
φαρμογής τους στο Sophos Cloud μέσα από ένα ενιαίο σύστημα
διαχείρισης. Το Sophos Cloud λειτουργεί και ως μία
επιπλέον προστασία για το ιδιωτικό απόρρητο αφού εξασφαλίζει
ότι καμία πληροφορία για εσάς, δεν θα «βγει προς
τα έξω» χωρίς να έχετε δώσει τη σχετική έγκριση. Εκτός α-
πό την προστασία antivirus, προσφέρει δυνατότητα κλειδώματος
ή διαγραφής των δεδομένων σε περίπτωση απώλειας
της φορητής συσκευής. Το σύστημα προσφέρει προστασία
ιδιωτικότητας σε πολύ υψηλό επίπεδο αφού σας υποδεικνύει
τα δικαιώματα και τις προσβάσεις που έχουν οι εφαρμογές,
σας συμβουλεύει σχετικά με το επίπεδο ασφάλειας γενικότερα,
μπορεί να κλειδώσει με κωδικό εφαρμογές για να
προστατεύσει τα δεδομένα σας από τρίτους που δεν έχουν
άδεια πρόσβασης, ενώ παρέχει και web filtering που θεωρείται
στοιχειώδης αφού ο ιστός είναι μία από τους πιο κοινούς
φορείς μόλυνσης. Το Sophos Cloud σας επιτρέπει να
διασφαλίζετε την ασφαλή και παραγωγική χρήση του web,
αφού προστατεύει τους χρήστες ανεξάρτητα από το άν είναι
στο γραφείο, στο σπίτι ή στο δρόμο. Οι προκαθορισμένες
βελτιστοποιημένες πολιτικές ασφάλειας της Sophos, μπορούν
να ανταποκριθούν στις απαιτήσεις για πλήρη ασφάλεια
και συμμόρφωση που απαιτείται από όλες τις επιχειρήσεις.
Μέσω αυτών των τεχνολογιών της Sophos, δεν υπάρχει
πλέον ανάγκη για proxy servers, VPNs ή ειδικές διαμορφώσεις
σε εφαρμογές αφού όλα γίνονται στις συσκευές ό-
που και αν βρίσκονται. iTSecurity
Εναλλακτικά σενάρια αδειών χρήσης για το Sophos Cloud
20 | security

I SSUE
Κωδικοί Πρόσβασης
Η κατάσταση στην Ελλάδα (Β΄ μέρος)
ΑΤΕΙΘ, Τμήμα Πληροφορικής, Πτυχιακή Εργασία
Παπαδόπουλος Κυριάκος, Τασιούδης Χρήστος
Επιβλέπων:
Βιολέττας Γεώργιος, Πληροφορικός M.Sc,
Technical Trainers College, Riyadh, Saudi Arabia
Το παρακάτω άρθρο είναι το δεύτερο μέρος της σύνοψης μιας μελέτης που διεξήχθη
στα πλαίσια πτυχιακής εργασίας για το ΤΕΙ Θεσσαλονίκης. Έγινε εκτενής ανάλυση των
κωδικών πρόσβασης (passwords) σχετικά με τον τρόπο επιλογής τους κατά τη δημιουργία
τους, αλλά και την κατανομή των γραμμάτων που παρουσιάζουν.
Θ
υμίζουμε ότι η μελέτη στην οποία βασίζεται το συγκεκριμένο άρθρο (το Α μέρος δημοσιεύτηκε στο προηγούμενο
τεύχος) εξετάστηκε η ικανότητα των Ελλήνων χρηστών να αναγνωρίσουν ισχυρούς κωδικούς πρόσβασης και
να τους διακρίνουν από τους αδύναμους. Αντίστοιχη έρευνα δεν έχει διεξαχθεί στο παρελθόν και για πρώτη φορά
στην Ελλάδα παρουσιάστηκαν οι πλέον αδύναμοι κωδικοί πρόσβασης που θα πρέπει να αποφεύγουν οι Έλληνες
χρήστες. Σε συνέχεια λοιπόν των αποτελεσμάτων της έρευνας, στο δεύτερο μέρος έχουμε τα αποτελέσματα από το 6 μέχρι το
11, όπου εξετάζουμε το πλήθος των κωδικών που χρησιμοποιούν οι χρήστες, τους τρόπους απομνημόνευσης, τις πιθανότητες αποκάλυψης
και τους αδύναμους κωδικούς.
security | 21

I SSUE
Κωδικοί Πρόσβασης
Διάγραμμα 8: Πλήθος κωδικών πρόσβασης
στην Ελλάδα, που χρησιμοποιούν οι χρήστες
σε ηλεκτρονικά μέσα
6. Πλήθος των κωδικών που χρησιμοποιεί ο
χρήστης.
Μέσω άλλων ερευνών οι οποίες έχουν δημοσιευθεί στο παρελθόν,
κάποιοι χρήστες καταλήγουν στην επιλογή να χρησιμοποιούν
περισσότερους από έναν κωδικούς ταυτόχρονα, για
διαφορετικές εφαρμογές.
Στην παρούσα έρευνα διαπιστώθηκε πως το 68% του
δείγματος χρησιμοποιούν διαφορετικούς κωδικούς πρόσβασης
για διαφορετικές εφαρμογές. Το γενικότερο ό-
μως συμπέρασμα που εξάγεται και από τις τρεις αυτές έ-
ρευνες, είναι ότι ο
μεγαλύτερος αριθμός
των χρηστών ε-
πιλέγουν να μη χρησιμοποιούν
μόνο έ-
ναν κωδικό για τις ε-
φαρμογές τους.
Στο διάγραμμα 8 α-
ναπαρίσταται ποσοστιαία
το πλήθος των
κωδικών που χρησιμοποιεί
το δείγμα.
Διάγραμμα 9: Τρόποι αποθήκευσης ενός
κωδικού πρόσβασης από Έλληνες χρήστες
σε ηλεκτρονικά μέσα
7. Τρόποι απομνημόνευσης.
Μέσα από την έρευνα, διαπιστώθηκε πως για τη μυστικότητα
του κωδικού πρόσβασης, το 79% χρησιμοποιεί ως αποθήκευσή
του την απομνημόνευση. Αυτό το συμπέρασμα οδηγεί στην υ-
πόθεση ότι οι περισσότεροι χρήστες αισθάνονται ανασφαλείς για
τη μυστικότητα του κωδικού και προτιμούν να το γνωρίζουν μόνο
οι ίδιοι. Μέθοδοι όπως η αποθήκευση στον Browser ή τοπικά
στον υπολογιστή του χρήστη ή χειρόγραφα, δεν κερδίζουν
την εμπιστοσύνη των
χρηστών. Πιθανή αποθήκευση
εκτός της απομνημόνευσης,
πιθανότατα
θα αφορά κωδικούς
που δεν θα κρύβουν
προσωπικά στοιχεία του
χρήστη. Στο διάγραμμα
9 παρουσιάζονται οι
πιθανοί τρόποι αποθήκευσης
των κωδικών
πρόσβασης.
8. Πιθανότητα αποκάλυψης του κωδικού
Όπως αναφέρθηκε στην προηγούμενη παράγραφο, η μυστικότητα
του κωδικού αποτελεί τη μεγαλύτερη παράμετρο για την
ασφάλειά του. Ωστόσο, για ποικίλους λόγους κάποιοι χρήστες
έχουν αποκαλύψει τον κωδικό τους σε τρίτα πρόσωπα, για να
τους χρησιμοποιήσουν εκ μέρους τους. Ένας στους δύο χρήστες
(46%) απάντησε στην έρευνα ότι έχει αποκαλύψει
τον κωδικό του πρόσβασης σε τρίτα άτομα (διάγραμμα
10). Το γεγονός
αυτό υποδεικνύει
ότι οι χρήστες
δεν αντιλαμβάνονται
πλήρως τη σημασία
της μυστικότητας
του κωδικού
τους.
Επίσης, στο σύνολο
των χρηστών
τέθηκε το
ερώτημα αν έχουν αποκαλύψει ποτέ τον κωδικό τους στον/στη
σύντροφο/σύζυγό τους. Σε αυτή την περίπτωση φαίνεται
πως οι χρήστες είναι πιο επιφυλακτικοί, καθώς μικρότερο
ποσοστό έχει αποκαλύψει τον κωδικό του στον/στη
σύντροφο/σύζυγό του. Το ποσοστό αυτό αντιστοιχεί στο
34% των χρηστών.
Στο διάγραμμα
Αποκάλυψη κωδικού
Ποσοστό αποκάλυψης του κωδικού πρόσβασης από Έλληνες χρήστες
σε ηλεκτρονικά μέσα, σε τρίτα πρόσωπα
ΟΧΙ
54%
ΝΑΙ
46%
Διάγραμμα 10: Ποσοστό αποκάλυψης του κωδικού
πρόσβασης από Έλληνες χρήστες σε ηλεκτρονικά
μέσα, σε τρίτα πρόσωπα
Αποκάλυψη κωδικού σε σύζυγο
Ποσοστό αποκάλυψης κωδικού πρόσβασης ηλεκτρονικών μέσων
στην Ελλάδα στον/ην σύντροφο/σύζυγο
ΟΧΙ
66%
ΝΑΙ
34%
Διάγραμμα 11: Ποσοστό αποκάλυψης κωδικού πρόσβασης
ηλεκτρονικών μέσων στην Ελλάδα στον/στη
σύντροφο/σύζυγο
11 απεικονίζεται
το ποσοστό χρηστών
που έχει α-
ποκαλύψει τον
κωδικό του πρόσβασης
στον/στη
σύντροφο/σύζυγό
του.
Για το συγκεκριμένο
θέμα προκύπτει
το συμπέρασμα
ότι οι χρήστες αισθάνονται περισσότερο τον κίνδυνο
να μην αποκαλύψουν στοιχεία στον/στη σύντροφο/σύζυγό
τους, από ό,τι σε άλλα τρίτα πρόσωπα. Ενδεχομένως θεωρούν
πως μετά την αποκάλυψη του κωδικού σε τρίτα πρόσωπα, θα
μπορέσουν να προχωρήσουν σε αλλαγή του κωδικού τους, ε-
νώ με τον/τη σύντροφο/σύζυγό τους δεν μπορούν να προ-
22 | security

σφύγουν σε κάτι τέτοιο. Επίσης οι χρήστες ίσως δεν θέλουν
να παρουσιάσουν προσωπικά τους στοιχεία (π.χ. υπόλοιπο λογαριασμού
τραπέζης) στον/στη σύντροφο/σύζυγό τους. Ακόμη,
πρέπει να σημειωθεί πως μία αποκάλυψη του κωδικού
στον/στη σύντροφο/σύζυγο συνεπάγεται συνεχή γνώση του
κωδικού από τον/τη σύντροφο/σύζυγο, διαφορετικά οποιαδήποτε
απόκρυψη-αλλαγή του κωδικού αυτού στο μέλλον θα θεωρηθεί
ύποπτη συμπεριφορά.
Μία ενδεχόμενη αλλαγή του κωδικού και απόκρυψή του από
τον/τη σύντροφο/σύζυγο πιθανώς να σημαίνει ότι ο χρήστης
θέλει να κρύψει πληροφορίες για τον εαυτό του, πέρα από τις
περιπτώσεις των τραπεζικών συναλλαγών και σε άλλες εφαρμογές.
Τέτοιες περιπτώσεις είναι ο κωδικός του e-mail με το
οποίο υπάρχει επικοινωνία ή το facebook. Αυτές οι εφαρμογές
προσφέρουν τη δυνατότητα στο χρήστη να επικοινωνήσει
με άλλα άτομα και γενικότερα να αναπτύξει γνωριμίες. Κάτι τέτοιο
σαφώς και θα έθετε σε κίνδυνο την προσωπική σχέση
του χρήστη, αν υποθέταμε ότι ο σύντροφος/σύζυγός τους
μπορούσε να εισέλθει στο λογαριασμό τους. Από όλα τα παραπάνω
συμπεραίνεται ότι είναι ακόμα λιγότεροι οι χρήστες οι
οποίοι αποκαλύπτουν τον κωδικό στον/στη σύντροφο/σύζυγό
τους σε σχέση με τρίτα πρόσωπα, διότι προφανώς θέλουν (δυνητικά)
να διαφυλάξουν πληροφορίες για την προσωπική τους
ζωή.
9. Κατηγορίες κωδικών που θεωρεί το δείγμα
αδύναμες
Στο διάγραμμα 12 εμφανίζονται οι επιμέρους κατηγορίες α-
πό τις οποίες κάποιος χρήστης θα μπορούσε να εμπνευστεί
για να δημιουργήσει τον κωδικό του πρόσβασης και συνεπώς
θεωρούνται αδύναμοι για τους Έλληνες χρήστες.
Από το διάγραμμα 12 είναι εμφανής η τάση των χρηστών να
Διάγραμμα 12: Κατηγορίες που εμπνέουν τους Έλληνες χρήστες για δημιουργία
κωδικού πρόσβασης σε ηλεκτρονικά μέσα
χρησιμοποιούν ως κωδικό πρόσβασης πράγματα της καθημερινότητάς
τους και προσωπικά τους στοιχεία. Έτσι λοιπόν,
διαπιστώνεται ότι ένα μεγάλο ποσοστό χρηστών (76%)
θεωρεί πως η χρήση του ονόματός τους ως κωδικού θα
ήταν κάτι προφανές, ενώ μεγάλο κριτήριο αποφυγής έ-
χουν οι αθλητικές ομάδες, που θεωρούνται αδύναμες για
ένα χρήστη από το 69% του δείγματος. Επίσης, ένας κωδικός
μπορεί να θεωρηθεί ευάλωτος αν αυτός είναι το ε-
πίθετο ή το όνομα πόλης του χρήστη, με ποσοστό 55%.
10. Οι 100 κωδικοί που πρέπει να αποφεύγουν οι
Έλληνες χρήστες
Λαμβάνοντας υπόψη το διάγραμμα 12, μπορούμε να δημιουργήσουμε
μία κατηγορία κωδικών πρόσβασης όπου θα πρέπει
να θεωρηθεί ότι οι κωδικοί που εμπίπτουν σε αυτή είναι εύκολο
και πιθανό να τους ανακαλύψει ένας πιθανός επιτιθέμενος.
Στο διάγραμμα 13 παρουσιάζονται οι 100 κωδικοί πρόσβασης
που θα πρέπει να αποφεύγονται ως υπερβολικά εύκολοι και κοινότοποι.
Πρέπει να επισημανθεί ότι οι κωδικοί που παρουσιάζονται
θα πρέπει να αποφεύγονται τόσο όπως παρουσιάζονται
στο διάγραμμα 13, αλλά και σε συνδυασμό με διάφορους χαρακτήρες
που ενδεχομένως να είναι η ημέρα γέννησης του
χρήστη, η ομάδα του κ.ά., όπως θα αναλυθεί παρακάτω. Η σειρά
με την οποία καταγράφονται είναι τυχαία και θεωρείται ότι
όλα είναι εξίσου αδύναμα.
TOP 1-25 TOP 26-50 TOP 51-75 TOP 76-100
1 1234 aek-21 super3 Masoutis
2 123456 ΠΑΟΚ qwerty Marinopoulos
3 4321 ΑΕΚ ΟΣΦΠ osfp
4 654321 paok4 thessaloniki Serres
5 1111 παοκ-θ4 athina patra
6 123 Olympiakos7 volos Carrefour
7 321 olympiakos o-s-f-p Multirama
8 !@#$ panathinaikos Α.Ε.Κ μαρία
9 $#@! θεός Pao-13 Maria
10 password pao osfp Giannis
11 !!!! papadopoulos giannis Dimitris
12 αααα george nikos Cyta
13 aaaa giorgos gewrgia panagiwtis
14 QWERTY vaso xristos sofia
15 theos eirini mazda xristina
16 katerina mercedes savalas ford
17 dimitra nikolaou karamanlis honda
18 bmw petridis anna opel
19 fiat eleni toyota kostas
20 spiti papandreou Plaisio e-shop
21 wind germanos vodafone cosmote
22 Asdf ασδφ greece Conn-x
23 volvo Q-TELECOM Tellas forthnet
24 Audi honda nissan Peugeot
25 Dunlop michelin Pirelli Renault
Διάγραμμα 13: Οι εκατό κωδικοί που πρέπει να αποφεύγουν οι Έλληνες χρήστες
security | 23

I SSUE
Κωδικοί Πρόσβασης
Έπειτα από την μελέτη του διαγράμματος 13 των (πιο) αδύναμων
κωδικών πρόσβασης, οι παρακάτω οδηγίες-κανόνες θα
πρέπει να τηρούνται από τους Έλληνες χρήστες.
Συγκεκριμένα, συνιστάται να ακολουθούνται οι παρακάτω ο-
δηγίες (Garfinkel & G. Spafford, 1991). Πρέπει να αποφεύγεται
να χρησιμοποιείται ως κωδικός πρόσβασης ή μέρος αυτού ο-
τιδήποτε από τα ακόλουθα:
Το όνομά σας
Όνομα συζύγου
Όνομα πατέρα
Όνομα κατοικίδιου
Όνομα του παιδιού σας
Ονόματα στενών σας φίλων και συνεργατών σας
Ονόματα αγαπημένων σας προσωπικοτήτων
Όνομα του εργοδότη σας
Οποιοδήποτε κύριο όνομα
Το όνομα που χρησιμοποιείτε στον υπολογιστή σας
Το κινητό σας τηλέφωνο
Ο αριθμός των πινακίδων αυτοκινήτου
Οποιοσδήποτε αριθμός δημοσίου εγγράφου (ταυτότητα,
ΑΦΜ, κτλ)
Οποιαδήποτε ημερομηνία γέννησης συγγενικού προσώπου
Άλλες πληροφορίες που μπορούν εύκολα να αντιστοιχηθούν
σε εσάς
Οποιοδήποτε όνομα χρήστη του υπολογιστή σας σε ο-
ποιαδήποτε μορφή
Οποιαδήποτε λέξη που υπάρχει στο αγγλικό, ελληνικό και
οποιοδήποτε άλλο λεξικό
Οποιαδήποτε από τις παραπάνω λέξεις γραμμένη με λατινικούς
χαρακτήρες
Κωδικός με επαναλαμβανόμενα γράμματα
Πρότυπα απλά στο πληκτρολόγιο, όπως qwerty
Όλα τα παραπάνω γραμμένα ανάποδα
Όλα τα παραπάνω, προηγούμενα ή ακολουθούμενα από
ψηφίο
Σε αυτό το σημείο παρατίθεται η τάση που έχουν οι χρήστες,
σύμφωνα με την έρευνα, να χρησιμοποιούν προσωπικά
τους στοιχεία ως κωδικό πρόσβασης. Στο διάγραμμα
14 εμφανίζεται η συνήθεια των χρηστών να χρησιμοποιούν
προσωπικά στοιχεία ως κωδικό πρόσβασης, είτε αυτοτελή
είτε με άλλους συνδυασμούς.
Διάγραμμα 14: Προσωπικά
στοιχεία ως κωδικοί
πρόσβασης στην
Ελλάδα, σε ηλεκτρονικά
μέσα
Επιλογές
Ποσοστό
Ημερομηνία γέννησης 31%
Κανένα 28%
Το όνομά μου 26%
Αθλητική ομάδα 14%
Άλλο 10%
Κινητό τηλέφωνο 10%
Διεύθυνση 9%
Μάρκα/μοντέλο αυτοκινήτου 8%
Επωνυμία εταιρείας που εργάζομαι 6%
Όνομα κατοικίδιου ζώου 5%
Όνομα συζύγου 5%
Όνομα παιδιών 5%
Πολιτικό κόμμα 1%
Διάγραμμα 15: Προσωπικά στοιχεία που χρησιμοποιούνται ως κωδικοί πρόσβασης
Ελλήνων χρηστών στο διαδίκτυο
Στο διάγραμμα 15 παρουσιάζονται ταξινομημένα τα προσωπικά
στοιχεία που χρησιμοποιούνται στους κωδικούς, από το
συνηθέστερο προς το πιο σπάνιο.
Εξάγεται το συμπέρασμα ότι 2 στους 3 χρήστες κάνουν
χρήση κάποιου προσωπικού τους στοιχείου με κάποια
πολύ προφανή, όπως το όνομά τους και κάποια πιο δύσκολο
να προβλεφθούν από τρίτους. Ένα 28% του δείγματος
αποφεύγει να χρησιμοποιήσει κάποιο προσωπικό
στοιχείο, ενώ το 10% χρησιμοποιεί κάτι διαφορετικό α-
πό τα παραπάνω, όπως είναι:
ο αριθμός μητρώου επαγγέλματος
το PIN του κινητού τηλεφώνου
αριθμός λογαριασμού τραπέζης
24 | security

ο τίτλος αγαπημένου τραγουδιού ή ταινίας
κάποια ημερομηνία (π.χ. επέτειος)
ψευδώνυμο
τροποποιημένο κάποιο από τα e-mail τους
κάποιοι προσωπικοί συνδυασμοί γραμμάτων και λέξεων
11. Προτάσεις δημιουργίας ανθεκτικών κωδικών.
Ως ανθεκτικά-καλά-passwords θεωρούνται αυτά τα οποία
(Sanjour, Arensburger & Brink., 1999):
Περιέχουν κεφαλαία και μικρά γράμματα
Περιέχουν ψηφία και σημεία στίξης
Είναι εύκολο να απομνημονευθούν ώστε να μη χρειάζεται
να σημειώνονται κάπου
Έχουν μήκος πάνω από δέκα χαρακτήρες
Είναι δυνατό να πληκτρολογηθούν γρήγορα ώστε να μη
μπορέσει κάποιος να τα δει ολόκληρα την ώρα που τα πληκτρολογείτε
Επίσης, οι Έλληνες χρήστες θα πρέπει να προσέξουν και τον
τρόπο γραφής τους, δηλαδή συνδυασμό μικρών και κεφαλαίων
γραμμάτων, αν παρεμβάλλονται από σημεία στίξης, αλλά και
αν είναι γραμμένα με ελληνικούς ή λατινικούς χαρακτήρες.
Είναι δηλαδή πολύ πιθανό κάποιος να έχει ως κωδικό κάποιο
προσωπικό του στοιχείο (όνομα, επίθετο, αριθμό κινητού
τηλεφώνου, αγαπημένη αθλητική ομάδα κτλ.) στο ο-
ποίο να παρεμβάλλεται ανάμεσα στους χαρακτήρες ένα
σύμβολο (., -, :, !, @, κτλ). Θα μπορούσε δηλαδή ένας κωδικός
να είναι ο “p.a.p.a.d.o.p.o.u.l.o.s”
Ακόμη, ενδέχεται κάποιος χρήστης να κάνει στον κωδικό του
εναλλαγή κεφαλαίων και πεζών γραμμάτων ή να αντικαθιστά κάποιο
γράμμα με σύμβολο, δηλαδή το “α” με “@”, το “ε” με “€”,
το “ξ” με “3”, το “θ” με “8”, το “ί” με “!” κτλ.
Δεν πρέπει να παραλείπεται το γεγονός ότι οι κωδικοί του διαγράμματος
5.3 που θεωρούνται αδύναμοι, δεν πρέπει να χρησιμοποιούνται
από Έλληνες χρήστες όχι μόνο όπως παρουσιάστηκαν
πρωτύτερα, αλλά και συνοδευόμενοι με κάποιο προσωπικό
στοιχείο. Για παράδειγμα, κάποιος που έχει ημέρα γέννησης
την 16η ημέρα κάποιου μήνα, μπορεί να έχει ως κωδικό
το όνομά του, να ακολουθεί ένα σύμβολο και έπειτα τον αριθμό
της ημέρας γέννησης. Δηλαδή να είναι ο κωδικός “Κωσταντίνος-16”
γραμμένος είτε με ελληνικούς είτε λατινικούς χαρακτήρες.
Είναι προφανές ότι ενώ ο κωδικός αυτός είναι ασφαλής
διότι έχει μεγαλύτερο πλήθος χαρακτήρων από 8, είναι ό-
μως αρκετά προβλέψιμος από κάποιο γνωστό του πρόσωπο.
Συμπεράσματα
Γενικότερα, από όσα έχουν αναφερθεί παραπάνω, μέσα από
την έρευνα διαπιστώθηκε πως υπάρχουν χρήστες οι οποίοι έ-
χουν πλήρη επίγνωση της σοβαρότητας του κωδικού πρόσβασης.
Αυτό μάλιστα γίνεται σαφές από τις υποδείξεις αρκετών
χρηστών ότι δεν έχουν επιλέξει ποτέ κάποιον από τους α-
δύναμους κωδικούς που παρατέθηκαν.
Ακόμη, αρκετοί χρήστες αναγνωρίζουν ότι προσωπικά στοιχεία
του χρήστη δεν θα πρέπει να αποτελούν τον πλήρη κωδικό
τους ή τμήμα αυτού.
Επίσης πρέπει να τονιστεί ότι το μεγαλύτερο ποσοστό του
δείγματος (79%) χρησιμοποιεί την απομνημόνευση ως μέσο
αποθήκευσης του κωδικού τους, ενώ αρκετοί (56%) δεν έχουν
αποκαλύψει ποτέ τον κωδικό τους σε τρίτα άτομα.
Τέλος, εξήχθη το συμπέρασμα ότι οι χρήστες ανάλογα με τις
γνώσεις και την ενημέρωση που έχουν λάβει, λειτουργούν α-
ντίστοιχα για τους κωδικούς τους πρόσβασης. Οποιαδήποτε
ενημέρωση και μελέτη για τους κωδικούς πρόσβασης από τους
χρήστες, χωρίς αμφιβολία, θα αποτελέσει ένα θετικό έναυσμα
για την ασφάλειά τους.
ΠΡΟΤΑΣΕΙΣ-ΒΕΛΤΙΩΣΕΙΣ
Μέσα από αυτήν την έρευνα βγήκαν αρκετά χρήσιμα συμπεράσματα
που αφορούν τους Έλληνες χρήστες. Ωστόσο θα
μπορούσε στο μέλλον να διεξαχθεί μία αντίστοιχη έρευνα που
να καλύπτει μεγαλύτερο αριθμό χρηστών. Θα πρέπει να βρεθούν
τρόποι ώστε ένα αντίστοιχο ερωτηματολόγιο να δημοσιευθεί
σε forum, ιστοσελίδες και να προσεγγίσει μεγαλύτερο
δείγμα. Ίσως να μπορούσε να συμβάλλει και η Ένωση Πληροφορικών
Ελλάδας, για την προώθησή του σε εκπαιδευτικές μονάδες.
Έτσι θα υπήρχε η δυνατότητα μια τέτοια έρευνα να α-
πευθυνθεί σε εκπαιδευτικούς και μαθητές, αλλά κυρίως σε ά-
τομα-γνώστες της πληροφορικής, ώστε να παραθέσουν και τις
δικές τους απόψεις. Ακόμη, σε μία μελλοντική έρευνα θα ήταν
χρήσιμες και ερωτήσεις ανάπτυξης, ζητώντας από το δείγμα να
προτείνει τους συγκεκριμένους αδύναμους κωδικούς για τους
Έλληνες χρήστες.
ΕΝΔΕΙΚΤΙΚΗ ΒΙΒΛΙΟΓΡΑΦΙΑ
Garfinkel, S., &Spafford, G. (1991). Practical UNIX security.
PasswordResearch. (2012). RetrievedMay 20, 2012, from
http://passwordresearch.com/stats/statistic96.html
Riley, S. (2006). Password security: what users know and what they
actually do. Usability News, 8(1).
Sanjour, J., Arensburger, A., & Brink., A. (1999). Choosing a Good
Password. RetrievedMay 21, 2012, from
http://www.cs.umd.edu/faq/Passwords.html
Spafford, E. H. (1992). OPUS: Preventing weak password choices 1.
Computers & Security, 11(3), (p. 273–278).
Yan, J., Blackwell, A., Anderson, R., & Grant, A. (2000). The
memorability and security of passwords-some empirical results.
Technical Report-University Of Cambridge Computer Laboratory.
iTSecurity
security | 25

I SSUE
Της Παναγιώτας Τσώνη
Disaster Recovery μέσω cloud
Ανακάμπτοντας ...στο σύννεφο
Οι υπηρεσίες cloud στον τομέα της ανάκαμψης από καταστροφή είναι και θα παραμείνουν
εξυπηρετικές, ειδικά για μικρού και μεσαίου βεληνεκούς επιχειρήσεις, όπου το κόστος
και οι δομές ενός τέτοιου πλάνου ήταν απαγορευτικές.
Σ
τις μέρες μας η τεχνολογία cloud έχει υιοθετηθεί σε ευρεία κλίμακα από κάθε είδους χρήστη που επιθυμεί να έχει
πρόσβαση στα αρχεία του μέσω της φορητής συσκευής του, όπου κι αν βρίσκεται. Όμως η αρχική επινόηση του
cloud στόχευε στην εξυπηρέτηση των εταιρικών διεργασιών, με γνώμονα την τέλεση εφαρμογών και την αποθήκευση
δεδομένων σε απομακρυσμένες δομές από το φυσικό περιβάλλον της εκάστοτε εταιρείας.
Σιγά - σιγά υπήρξε μία αισθητή στροφή προς τη χρήση του cloud και ως εργαλείου αποκατάστασης από πιθανά καταστροφικά
σενάρια, το λεγόμενο Disaster Recovery. Ως πλεονεκτήματα προβάλλονταν η ταχύτητα αποκατάστασης και το χαμηλό
κόστος σε σχέση με τη δημιουργία δομών από την ίδια την επιχείρηση, που θα υποστήριζαν την επάνοδο από ενδεχόμενη κατα-
26 | security

στροφή. Με μια πρώτη ματιά η υπόθεση χαρακτηρίζεται ως ελκυστική,
μιας και η εταιρεία δεν θα έπρεπε να ξοδέψει χρόνο
και κεφάλαιο σε υλικό, που τον περισσότερο καιρό θα παρέμενε
αχρησιμοποίητο και θα απαιτούσε πάντοτε προσωπικό για
να παραμένει συμβατό με την τρέχουσα κατάστασή της.
Από την άλλη μεριά, σε επίπεδο μικρότερων εταιρειών η ύπαρξη
δομών αντιμετώπισης καταστροφής ήταν ανέφικτη, μέχρι τη
στιγμή της εμφάνισης του cloud. Καμία μικρή επιχείρηση δεν διέθετε
τους αναγκαίους πόρους ή τη γνώση για να δημιουργήσει
σενάρια αντιμετώπισης καταστροφών. Όμως, με τη χρήση του
cloud απαιτείται μόνο μια απλή μίσθωση ενός παρόχου και το
ανέφικτο γίνεται πλέον προσιτό και συνάμα ωφέλιμο.
Προβληματισμοί
Όσο δελεαστική και αν φαίνεται η αντιμετώπιση πιθανών καταστροφών
με τη χρήση cloud υπηρεσιών, στην πραγματικότητα
εγείρονται ερωτήματα σχετικά με την αποτελεσματικότητά τους.
Η απάντηση σε αυτά τα ερωτήματα εξαρτάται από τις ανάγκες
της εκάστοτε εταιρείας και τις δυνατότητες που προσφέρει ο
επιλεγμένος πάροχος.
Οι βασικότεροι προβληματισμοί που τίθενται προς διερεύνηση,
αφορούν στην ασφάλεια της εταιρικής δομής. Έτσι, ο υπεύθυνος
για τη λήψη και υλοποίηση της απόφασης χρήσης των
cloud υπηρεσιών οφείλει να διαπιστώσει εκ των προτέρων, αν
τα εταιρικά δεδομένα μπορούν να μεταφερθούν με ασφάλεια
και διακριτικότητα από τις εταιρικές δομές στις cloud δομές.
Να μελετήσει τον τρόπο με τον οποίο οι χρήστες εξουσιοδοτούνται
για πρόσβαση στην cloud εταιρική δομή και να εξακριβώσει
αν υπάρχουν δύο παράγοντες αυθεντικοποίησής τους
ή ο πάροχος αρκείται στη χρήση του απλού κωδικού πρόσβασης.
Τέλος, παρά τις διαβεβαιώσεις του παρόχου πρέπει να
διαπιστωθεί ότι συμμορφώνεται με όλους εκείνους τους κανόνες
ασφαλείας που τίθενται είτε από τη χώρα στην οποία δρα
ο Οργανισμός, είτε από τους υπεύθυνους ασφάλειας της εταιρείας,
που έχουν θεσπίσει εσωτερικούς κανόνες για να διασφαλιστεί
η ακεραιότητά της.
Επί του πρακτέου, η επιλογή cloud υποστήριξης είναι αμφίδρομη.
Απαιτείται από την εταιρεία που θα επιλέξει αυτήν την υποστήριξη,
να διαθέτει το απαραίτητο δικτυακό εύρος επικοινωνίας
με το διαδίκτυο. Ο ΙΤ διαχειριστής οφείλει λοιπόν να αναρωτηθεί
αν διατίθεται το απαραίτητο εύρος, ώστε όλοι οι χρήστες του
εταιρικού δικτύου να μπορούν να ανακατευθυνθούν στην cloud
δομή, σε περίπτωση πιθανής καταστροφής. Επίσης πρέπει να υ-
πολογιστεί πόσο χρόνο θα διαρκούσε η επιστροφή όλων των
εταιρικών δεδομένων από το cloud, πίσω στο φυσικό περιβάλλον
της επιχείρησης και τι αντίκτυπο φυσικά έχει η όποια χρονοκαθυστέρηση,
στον αρχικό σχεδιασμό ανάκαμψης.
Φυσικά, το τελευταίο και εξίσου σημαντικό βήμα είναι η προσεκτική
μελέτη του cloud παρόχου σχετικά με το πόσο αξιόπιστος
έχει ήδη αποδειχθεί ότι είναι στην αγορά και πόσο ικανός
να εξυπηρετήσει τους χρήστες μιας επιχείρησης, ενόσω
τελείται μια καταστροφή. Εν γένει, η επιλογή των cloud υπηρεσιών
ως σχέδιο ανάκαμψης από μια πιθανή καταστροφή, αν γίνει
πολύ μελετημένα και προσεκτικά, δεν θεωρείται κακή. Πρέπει
όμως να είναι πλήρως κατανοητή η πραγματική φύση των
cloud δομών και των ρεαλιστικών δυνατοτήτων τους, καθώς και
ο τρόπος που μπορούν να συνδράμουν στα ΙΤ προβλήματα
διαχείρισης.
Επί της ουσίας, οι cloud δομές είναι κέντρα δεδομένων, που ό-
πως κάθε υλική υποδομή μπορούν να υποστούν διακοπή λειτουργίας.
Οι πάροχοι είθισται να υπόσχονται αδιάλειπτη διαθεσιμότητα,
αλλά μία επίσκεψη στο φυσικό τους χώρο ίσως α-
ποκαλύψει ότι αυτή η πολλά υποσχόμενη δομή, δεν ανταποκρίνεται
στην πολυπλοκότητα που κάποιος φαντάζεται και δεν
διαθέτει όλες εκείνες τις δικλείδες ασφαλείας για να υλοποιήσει
αυτά που τελικά υπόσχεται.
Υπό οποιεσδήποτε συνθήκες, η επιλογή ενός αξιόπιστου παρόχου
και εξελιγμένων υπηρεσιών είναι δαπανηρή και επιβάλλεται
να εξεταστεί το ενδεχόμενο της εσωτερικής υλοποίησης
υλικού και λογισμικού ανάκαμψης, καθώς και η εξαρχής σύγκριση
του κόστους των δύο επιλογών. Οι υπηρεσίες ανάκαμψης
cloud συνήθως είναι οικονομικές για μικρού βεληνεκούς ε-
πιχειρήσεις και χρησιμοποιούνται ως μία εναλλακτική για την α-
σφαλή διατήρηση των δεδομένων τους. Προτείνεται πάντως, η
μεταφορά των δεδομένων να μην τελεστεί μέσω δικτύου, αλλά
να μεταφερθούν ως αντίγραφα από την επιχείρηση στο φυσικό
χώρο του παρόχου. Τέλος, πρέπει να τονιστεί ότι υπάρχει
σημαντική διαφορά μεταξύ των ιδιωτικών cloud υπηρεσιών και
των δημόσιων, με τις πρώτες να αποτελούν μια πιο αξιόπιστη
επιλογή, που μπορεί να συνδράμει ουσιαστικά στην ΙΤ διαχείριση
της επιχείρησης.
security | 27

I SSUE
Disaster Recovery μέσω cloud
Σχεδιασμός της διαδικασίας ανάκαμψης από
πιθανή καταστροφή
Κάθε επιχείρηση, ανάλογα του χώρου που δραστηριοποιείται,
της έκτασης που καταλαμβάνει και των εφαρμογών που χρησιμοποιεί,
απαιτεί τη δική της ιδιαίτερη προσέγγιση στο θέμα του
σχεδιασμού ενός πλάνου ανάκαμψης από πιθανά σενάρια καταστροφής.
Είθισται να εφαρμόζεται η λογική του πιο επείγοντος,
μια μέθοδος που ουσιαστικά τοποθετεί σε προτεραιότητα
ανάκαμψης τα λειτουργικά τμήματα της επιχείρησης. Ως λειτουργικά
τμήματα νοούνται οι εφαρμογές, οι υπηρεσίες και τα
δεδομένα και καθορίζεται για το καθένα απ’ αυτά ποιος είναι ο
αποδεκτός χρόνος της αδράνειάς τους, έως ότου αυτό καταστεί
ζημιογόνο για την εταιρεία.
Η προαναφερόμενη κατάταξη καθορίζει ποιό πρέπει να είναι
το σχέδιο ανάκαμψης της επιχείρησης και βοηθά στην αναγνώριση
των πόρων εκείνων που θεωρούνται κρίσιμοι (εφαρμογές
και δεδομένα). Επίσης συμβάλλει στον καλύτερο έλεγχο
του κόστους της διαδικασίας ανάκαμψης, μιας και θα αποφευχθεί
η ενασχόληση με εφαρμογές και δεδομένα που είναι σχετικά
αδιάφορα για τη λειτουργία της επιχείρησης. Με αυτόν τον
τρόπο η ανάκαμψη θα είναι στοχευμένη και ταχύτερη και θα
μπορεί το σχέδιο να υποβληθεί σε περιοδικές δοκιμές για να
διαπιστωθεί η αποτελεσματικότητά του.
Εν τέλει, πρέπει να γίνει κατανοητό ότι τα σενάρια καταστροφής
ποικίλλουν και κάθε φορά κάτι διαφορετικό μπορεί να βρεθεί στο
μάτι του κυκλώνα. Η ανάδειξη των συσχετισμών και η ομαδοποίηση
εφαρμογών, υπηρεσιών και δεδομένων σε μικρότερα
τμήματα που πρέπει να είναι ταυτόχρονα λειτουργικά για να ε-
πιτευχθούν συγκεκριμένοι στόχοι, είναι ουσιαστική και εξαιρετικά
χρήσιμη. Έτσι, μπορούν να σχεδιαστούν διαφορετικά σενάρια
για διαφορετικά επίπεδα ανάκαμψης και κάθε φορά να επιλέγεται
ο σωστότερος, οικονομικότερος και ταχύτερος τρόπος
υλοποίησής τους - είτε αυτό αφορά στην εσωτερική δημιουργία
δομών ανάκαμψης είτε στη χρήση cloud υπηρεσιών.
Ανάκαμψη μέσω cloud
Ακολούθως εξετάζονται οι τέσσερις διαφορετικοί τρόποι που
υπάρχουν για να χρησιμοποιηθούν οι cloud υπηρεσίες από μία
επιχείρηση, τόσο στο κομμάτι της καθημερινής διεργασίας της
παραγωγής, όσο και στο κομμάτι της ανάκαμψης από ατύχημα.
Συνδυασμένη χρήση. Πολλές επιχειρήσεις στρέφονται
πλέον στη χρήση των cloud υπηρεσιών για να διαφυλάσσουν
σε πραγματικό χρόνο τα «στιγμιότυπα» των διεργασιών
τους και να διαχειρίζονται σε επίπεδο εφαρμογών
την κύρια παραγωγή μιας επιχείρησης. Ταυτόχρονα επιτρέπουν
στον MSP (Managed Service Provider) να διατηρεί
και να υλοποιεί το πλάνο ανάκαμψης από καταστροφή.
Ο συνδυασμός των δύο ανωτέρω επιλογών, σαφώς
δεν χαρακτηρίζεται ως η οικονομικότερη επιλογή από
πλευράς χρήσης του cloud, αλλά ωφελεί στον περιορισμό
της φυσικής δομής της εταιρείας.
Σε αυτήν την περίπτωση, ιδιαίτερη προσοχή πρέπει να
δοθεί στον τρόπο σύνταξης και στους περιορισμούς
που θα τίθενται στα συμφωνητικά με τον πάροχο (service-level
Agreements, SLAs) αφού ουσιαστικά του παρέχεται
σχεδόν ο απόλυτος έλεγχος της επιχείρησης.
Έτσι, όπως προαναφέρθηκε, οφείλεται να εξακριβωθεί
η ικανότητά του να παρέχει αδιάλειπτη λειτουργία για
όποια υπηρεσία έχει συμφωνηθεί και, φυσικά, μέσα στα
χρονικά περιθώρια που έχουν υπογραφεί. Ένα αδύναμο
συμφωνητικό, ενδεχόμενα να αφήσει την επιχείρηση
εκτεθειμένη στο πελατολόγιό της και αδύναμη να
προσπελάσει τις εφαρμογές της.
Επιλογή αντιγράφων ασφαλείας και αποκατάστασης.
Σε αυτήν την επιλογή, οι εφαρμογές τελούνται ενδοεταιρικά
και τα δεδομένα παραμένουν στο φυσικό περιβάλλον
της επιχείρησης. Το cloud χρησιμοποιείται για να
διατηρήσει τα αντίγραφα ασφαλείας των δεδομένων και
είναι υπεύθυνο για την επαναφορά τους στις εταιρικές δομές
αν συμβεί οποιοδήποτε ατύχημα. Έτσι, η επιχείρηση
απαλλάσσεται από τον εργασιακό φόρτο και τις υλικές
δομές διατήρησης αντιγράφων ασφαλείας.
Από την πλευρά της λήψης και της διατήρησης των αντιγράφων
ασφαλείας, οι cloud πάροχοι έχουν πραγματικά ά-
ριστες υπηρεσίες. Προσφέρουν συμπίεση και κρυπτογράφηση
μέσω εφαρμογών λήψης αντιγράφων ασφαλείας, που
ήταν ήδη δημοφιλείς στην αγορά και πλέον συνεργάζονται
και προωθούν τα αντίγραφα σε εξίσου δημοφιλείς cloud
28 | security

παρόχους, όπως οι AT&T, Amazon, Microsoft, Nirvanix και
Rackspace. Επίσης χρησιμοποιούνται οι cloud gateways, ό-
πως οι F5 ARX Cloud Extender, Nasuni Filer, Riverbed
Whitewater και TwinStrata CloudArray, οι οποίες εγκαθίστανται
ενδοεταιρικά και αναλαμβάνουν να διατηρήσουν
συγχρονισμένα τα δεδομένα που βρίσκονται και διαχειρίζονται
εντός της εταιρείας, με αυτά που βρίσκονται στις
cloud δομές. Από την πλευρά της αποκατάστασης των δεδομένων,
τα στοιχεία δεν είναι τόσο ενθαρρυντικά. Παρατηρείται
ότι λόγω περιορισμένου δικτυακού εύρους επικοινωνίας,
η αποκατάσταση δεδομένων μεγέθους Tbytes δεν
είναι μία εύκολη διαδικασία και συνήθως απαιτεί πολύ περισσότερο
χρόνο από τον αποδεκτό σε εταιρικό επίπεδο.
Οι πάροχοι προτείνουν να αντιγράφουν τα δεδομένα της
επιχείρησης σε σκληρούς δίσκους, τους οποίους κατόπιν
να αποστέλλουν στο φυσικό χώρο της εταιρείας, ως μία πιο
άμεση και λιγότερο χρονοβόρα επιλογή. Προτείνεται υπό
οποιεσδήποτε συνθήκες να υπάρχουν πάντα τα πιο πρόσφατα
αντίγραφα ασφαλείας στο χώρο της εταιρείας και
η cloud δομή να λειτουργεί ως η δευτερεύουσα απομακρυσμένη
επιλογή αποθήκευσης.
Ανάκαμψη μέσω virtual machines. Σε αυτήν την περίπτωση
ισχύουν τα ανωτέρω για τη διατήρηση αντιγράφων
ασφαλείας και την παροχή δυνατότητας ανάκαμψης μέσω
cloud, με τη διαφορά ότι η ανάκαμψη επιτυγχάνεται μέσω
virtual machines ανάκαμψης. Πιο αναλυτικά, αν απαιτηθεί
να αποκατασταθούν δεδομένα πίσω στην εταιρεία, ο cloud
πάροχος δημιουργεί μια virtual machine ανάκαμψης του
server που είχε αστοχία και επιτρέπει την από εκεί διαχείριση
και λειτουργία των εταιρικών διεργασιών. Η λύση προτείνεται
σε περιπτώσεις όπου οι χρονικοί στόχοι αποκατάστασης
είναι εξαιρετικά μικροί και δεσμευτικοί για την α-
πόδοση της εταιρείας. Οι cloud πάροχοι συνηθίζουν να
δημιουργούν σε περιοδικά χρονικά διαστήματα virtual
servers ανάκαμψης των επιχειρήσεων που συνεργάζονται,
με τα νέα δεδομένα που καταφθάνουν προς αποθήκευση,
ώστε να είναι πάντοτε έτοιμοι για τάχιστη αποκατάσταση.
Αναπαραγωγή σε virtual machines στο cloud.
Η προσέγγιση αφορά σε απαιτήσεις εφαρμογών που
δεν πρέπει να αστοχήσουν υπό οποιεσδήποτε συνθήκες.
Αναφέρεται στη μέθοδο συνεχούς αντιγραφής
- προστασίας των δεδομένων (continuous data
protection, CDP), στην οποία στιγμιότυπα της εταιρικής
λειτουργίας αντιγράφονται σε virtual machines
στο cloud διαρκώς - και αν η εταιρεία λειτουργεί ήδη
με τη βοήθεια cloud virtual machines, τότε και αυτές
υπόκεινται στο ίδιο καθεστώς αντιγραφής σε άλλες
virtual machines. Στόχος τα πολλαπλά επίπεδα προστασίας
και η αμεσότερη αποκατάσταση που είναι
δυνατό να τελεστεί.
Η τάση σήμερα
Οι εταιρικές επιλογές ανά τον κόσμο αποτελούν σαφώς μία ένδειξη
για την κατάσταση στην αγορά και βοηθούν ενδεχομένως
στη λήψη μιας απόφασης. Έτσι, φαίνεται ότι το 35% των χρηστών
cloud υπηρεσιών αποθήκευσης χρησιμοποιούν ήδη και τις
επιλογές ανάκαμψης από καταστροφή, ενώ το 28% που χρησιμοποιεί
cloud υπηρεσίες εν γένει (όχι μόνο για αποθήκευση)
διαθέτει και cloud εφαρμογές ανάκαμψης.
Το 43% των χρηστών της cloud αποθήκευσης πιστεύουν ότι η
ανάκαμψη μέσω cloud είναι μια οικονομική μέθοδος που εξασφαλίζει
τη γρήγορη επάνοδο από ενδεχόμενη αστοχία. Παρατηρείται
δε ότι οι εταιρείες μεταχειρίζονται με ιδιαίτερη προσοχή
τα δεδομένα που αποστέλλουν στις cloud δομές. Για παράδειγμα,
το 57% φροντίζουν τα αντίγραφα ασφαλείας να διατηρούνται
ξεχωριστά από τα δεδομένα ανάκαμψης από καταστροφή,
κάτι που γενικά συστήνεται, μιας και οι διαδικασίες α-
νάκαμψης απαιτούν ένα σύνολο με πιο ολοκληρωμένα δεδομένα
από περισσότερες πηγές από ο,τι απαιτείται στην περίπτωση
της απλής αποθήκευσης δεδομένων ως δικλείδα ασφαλείας.
Τέλος, οι πιο προσεκτικοί διατηρούν τα δεδομένα τους τόσο
στο cloud όσο και σε άλλες φυσικές δομές, ως περαιτέρω ε-
ξασφάλιση. Το 43% χρησιμοποιούν το cloud και μια άλλη α-
πομακρυσμένη φυσική δομή αποθήκευσης, ενώ το 34% διατηρούν
τα δεδομένα τους και σε σκληρούς δίσκους.
Εν κατακλείδι, οι υπηρεσίες cloud στον τομέα της ανάκαμψης
από καταστροφή είναι και θα παραμείνουν εξυπηρετικές, ειδικά
για μικρού και μεσαίου βεληνεκούς επιχειρήσεις, όπου το
κόστος και οι δομές ενός τέτοιου πλάνου ήταν απαγορευτικές.
Υπό οποιεσδήποτε συνθήκες, οι βασικές αρχές σχεδιασμού ε-
νός τέτοιου πλάνου ανάκαμψης είναι για όλους ίδιες και απαιτείται
προσεκτικός σχεδιασμός και διαρκείς δοκιμές ώστε να ε-
ξασφαλιστεί η αποτελεσματικότητά του, ανανέωση όποτε είναι
αναγκαίο και προετοιμασία του προσωπικού για να αντιδρά σωστά
σε τέτοιες περιπτώσεις. iTSecurity
security | 29

I SSUE
Του Γιώργου Γερογιάννη
Uni Systems Data Center
& Cloud Solutions Manager
Μπορεί η επιχείρησή σας
να αντεπεξέλθει
στην κατάρρευση του IT;
Η μερική ή ολική καταστροφή δεδομένων
που προκύπτει είτε από ανθρώπινο
λάθος, είτε από φυσικά αίτια,
σημαίνει διακοπή βασικών λειτουργιών
της επιχείρησης με τεράστιο, πολλές
φορές, οικονομικό κόστος. Μπορεί ο-
ποιαδήποτε επιχείρηση σήμερα να α-
ντεπεξέλθει στην απώλεια δεδομένων
και οικονομικών πόρων;
Σ
τατιστικές από την Ελλάδα και το εξωτερικό καταδεικνύουν
ότι η απώλεια δεδομένων σε συνδυασμό
με την καθυστέρηση στη λειτουργία μιας
εταιρείας, από μερικές ώρες έως και ημέρες, πιθανά
να οδηγήσουν την επιχείρηση σε σοβαρό κίνδυνο,
με την πιθανότητα αυτή να αυξάνεται σε περιόδους κρίσης.
Το ρίσκο είναι αποδειγμένα μεγάλο, πως ανταποκρίνονται
όμως σ’ αυτό οι Ελληνικές επιχειρήσεις;
Πρόσφατη έρευνα στην Ελλάδα έδειξε ότι σε ποσοστό 84% οι
ερωτηθέντες δήλωσαν ότι η επιχείρησή τους διαθέτει πλάνο διαχείρισης
έκτακτων γεγονότων, ενώ το 74% θεωρεί ότι είναι σημαντική
η ύπαρξη μελετών αντιμετώπισης κινδύνων. Μια άλλη έ-
ρευνα σε ευρωπαϊκή χώρα κατέδειξε ότι η πλειοψηφία των ε-
ρωτηθέντων, σε ποσοστό 40%, έθεσαν ως βασική προτεραιότητα
τα συστήματα disaster recovery και business continuity.
Μια πιο κοντινή ματιά στην Ελληνική πραγματικότητα δείχνει
ότι το έναυσμα για επένδυση σε συστήματα disaster recovery
και business continuity προκύπτει από δύο, κυρίως, λόγους:
α) η διοίκηση της επιχείρησης έχει αντιληφθεί ότι με μια πιθανή
κατάρρευση του ΙΤ το ρίσκο είναι μεγάλο για την κατάρρευση
του συνόλου των επιχειρησιακών λειτουργιών και
αποφασίζει να επενδύσει στην αξία των δεδομένων της ή β)
auditors υποδεικνύουν στην επιχείρηση τη διατήρηση σχεδίου
επιχειρησιακής συνέχειας, είτε γιατί η επιχείρηση βρίσκεται
σε τομέα όπου υφίσταται συγκεκριμένο κανονιστικό πλαίσιο,
είτε γιατί τα σχέδια επέκτασης στο εξωτερικό το επιβάλλουν.
‘Όποιο και αν είναι το έναυσμα, η μελέτη για τις πιθανές λύσεις
αποκαλύπτει τεχνική και διαδικαστική περιπλοκότητα, αλλά και μεγάλα
κόστη που προκύπτουν από τις ανάγκες προμήθειας εξοπλισμού
και την ύπαρξη εξειδικευμένου προσωπικού για την υ-
ποστήριξη λειτουργίας ενός DR site και του ανάλογου πλάνου
επιχειρησιακής συνέχειας. Οι παράγοντες αυτοί, περιπλοκότητα
και κόστος, έχουν οδηγήσει στην υιοθέτηση ημιτελών λύσεων που
καλύπτουν σε κάποιο βαθμό, αλλά όχι απόλυτα, την επιχειρησιακή
συνέχεια των οργανισμών στην Ελλάδα.
Τη λύση στα δύο παραπάνω προβλήματα, περιπλοκότητα και
κόστος, υπόσχονται ότι δίνουν οι υπηρεσίες DR as a service που
παρέχονται μέσω Cloud. Η χρήση virtualized cloud υπηρεσιών
μπορεί να βοηθήσει στην υλοποίηση λύσεων DR με χαμηλό κόστος
και βέλτιστη απόδοση όσον αφορά στις διαδικασίες υποστήριξης
επιχειρηματικής συνέχειας.
30 | security

Πως υλοποιείται ένα DR σήμερα;
Τα παραδοσιακά μοντέλα DR επιτρέπουν την αποστολή μέσω
μηχανισμού replication των δεδομένων από ένα data center σε
ένα άλλο. Αν το πρωτεύον κέντρο δεδομένων δεν είναι διαθέσιμο,
το δευτερεύον αναλαμβάνει να καλύψει το κενό ενεργοποιώντας
τη διαδικασία με τη χρήση των πλέον πρόσφατων
δεδομένων που έχουν αποθηκευτεί.
Η υλοποίηση του δευτερεύοντος κέντρου δεδομένων απαιτεί
χρόνο και επένδυση σε μηχανογραφικό εξοπλισμό, ανάλογου
με αυτό του παραγωγικού κέντρου δεδομένων. Επιπλέον κόστος
και χρόνος απαιτείται για την επίτευξη των απαιτούμενων Recovery
Point Objective (RPO), Recovery Time Objective (R-
TO), για τη βέλτιστη απόδοση των εφαρμογών, για τη συνοχή
των δεδομένων και για την υλοποίηση του γεωγραφικού διαχωρισμού
του πρωτεύοντος από το δευτερεύον κέντρο δεδομένων.
Από το παραδοσιακό, στο σύγχρονο μοντέλο DR
Το μοντέλο “pay-as-you-go” των υπηρεσιών cloud μπορεί να
μειώσει δραματικά το κόστος του DR βασισμένο στην αρχή ό-
τι οι πόροι (άνθρωποι και εξοπλισμός) που απαιτούνται πριν
συμβεί ένα καταστροφικό συμβάν (Disaster event) είναι κατά πολύ
λιγότεροι από ότι κατά τη διάρκεια του συμβάντος. Σε συνθήκες
κανονικής λειτουργίας μια υπηρεσία cloud χρειάζεται μόνο
τους απαραίτητους πόρους ώστε να γίνει ο συγχρονισμός
των δεδομένων από το παραγωγικό site στο cloud. Οι συνολικοί
πόροι που απαιτούνται για την εκτέλεση των εφαρμογών είναι
απαραίτητοι μόνο όταν συμβεί κάποιο καταστροφικό συμβάν.
H αξιοποίηση αυτοματοποιημένων virtual platforms στο
cloud επιτρέπει την ταχύτατη παροχή υπολογιστικών πόρων για
την άμεση αποκατάσταση δεδομένων και εφαρμογών. Αυτό
μπορεί να μειώσει δραματικά το χρόνο αποκατάστασης, γεγονός
που αποτελεί και τον πιο κρίσιμο παράγοντα για την διαδικασία
Επιχειρηματικής Συνέχειας.
Οφέλη σε όλα τα επίπεδα
Οικονομικά, η σύγκριση είναι αναπόφευκτη και τα οφέλη αποδεικνύονται
με μια ανάλυση κόστους, όπου καταδεικνύεται η
διαφορά μεταξύ του κόστους λειτουργίας μιας cloud-based υ-
πηρεσίας DR σε σχέση με τη χρήση ίδιων πόρων. Μια λύση
Cloud DR προσφέρει εξοικονόμηση σε ποσοστό μέχρι και
80% σε σχέση με μια παραδοσιακή λύση.
Τα πλεονεκτήματα όμως μιας λύσης cloud DR δεν περιορίζονται
στην μείωση του κόστους. Η ευελιξία μιας πλατφόρμας virtualized
Cloud επιτρέπει την διενέργεια των απαραίτητων δοκιμών
και την καταγραφή των προκλήσεων που απομένει να α-
ντιμετωπιστούν για περιορισμό της απώλειας δεδομένων και για
γρήγορη επανεκκίνηση μετά από καταστροφή.
Με το DR as a Service η συζήτηση μεταφέρεται από τη χωρητικότητα
του data center και το hardware, στο σχεδιασμό μιας
ολοκληρωμένης λύσης. Σε συνδυασμό με την προσεκτική επιλογή
του κατάλληλου παρόχου Cloud, ο οποίος διαθέτει τοπική
παρουσία, τεχνογνωσία σε θέματα διαδικασιών BCP και στις
τεχνολογίες virtualization, replication κλπ, αλλά και σιγουριά ως
προς την ασφάλεια και την τήρηση εμπιστευτικότητας, οι λύσεις
DR as a Service επιτρέπουν ακόμη και σε μικρότερες επιχειρήσεις
την υλοποίηση προσιτής, ευέλικτης ολιστικής στρατηγικής
Επιχειρησιακής Συνέχειας.
Η ανάκαμψη από καταστροφή είναι μια επιτυχία που βρίσκεται
σε κατάσταση αναμονής. iTSecurity
Συνοπτική σύγκριση χαρακτηριστικών παραδοσιακού DR με DR as a Service:
Παραδοσιακό DR
DR as a Service
Δευτερεύον data center σημαίνει επένδυση σε επιπλέον χώρο, διαθεσιμότητα
στο δίκτυο, συνδεσιμότητα και servers. Επιπλέον κόστη για ε-
νέργεια και ψύξη, ΙΤ υποστήριξη και ανθρωποώρες.
Ένα φυσικό DR site λειτουργεί μόνο στη διάρκεια αναπαραγωγής δεδομένων
ή στη περίπτωση καταστροφής. Ο χρόνος που απαιτείται για
τη θέση σε λειτουργία του DR site είναι μεγαλύτερος από το DR over
cloud, με αποτέλεσμα μεγάλη απώλεια δεδομένων.
Σε περίπτωση που δεν υπάρχει σύνδεση με το φυσικό DR, απαιτείται
χειροκίνητη λειτουργία των συστημάτων.
Οι υπηρεσίες DR μέσω cloud παρέχουν virtual snapshots φυσικών ή
virtual servers που βρίσκονται στο πρωτεύον data center. Ο οργανισμός
καταβάλει τίμημα για την αποθήκευση των snapshots, τα δεδομένα
των εφαρμογών που βρίσκονται σε αναστολή και την αναπαραγωγή
αντιγράφων δεδομένων από το πρωτεύον στο δευτερεύον site για
το συγχρονισμό των στοιχείων. Επίσης, η υπηρεσία χρεώνει την υποδομή
μόνο σε περίπτωση καταστροφής –και άρα αξιοποίησής της- ό-
που οι virtual μηχανές ενεργοποιούνται ώστε να αντικαταστήσουν το
πρωτεύον site.
Με τις υπηρεσίες DR as a Service, το DR site λειτουργεί σε δευτερόλεπτα
ή ελάχιστα λεπτά.
Η υπηρεσία DR μέσω cloud μπορεί να τεθεί σε λειτουργία μέσω ενός
laptop με απλή wireless σύνδεση.
security | 31

I SSUE
VDI - Virtual Desktop Infrastructure
Πραγματική λύση – εικονική διαχείριση
Οιολοένααυξανόμενεςανάγκεςτωνεπιχειρήσεωνγιααπομακρυσμένηκαιταυτόχροναασφαλήπρόσβασησταεταιρικάδεδομένα,έχειοδηγήσειαρκετέςεταιρείεςστηνυλοποίησηλύσεωνυποδομώνεικονικώνσταθμώνεργασίας,γνωστώνωςVirtualDesktop
Infrastructure(VDI).
Κωνσταντίνος
Βαβούσης
StrategicManager
TrustInformation
Technologies
kv@trust-it.gr
Ανασκόπησηκαιλειτουργία
Οι τεχνολογίες VDI βρίσκονται στην αγορά εδώ και τουλάχιστον
μία δεκαετία, με μεγάλους vendors να παρέχουν ανάλογες
υπηρεσίες όπως η Citrix, η VMware και η Microsoft. Α-
ποτελούν ευφυείς λύσεις τερματικών, παρέχοντας αφενός
πλήρη εποπτεία και έλεγχο στους διαχειριστές, αφετέρου έ-
να οικείο και φιλικό προς το χρήστη περιβάλλον.
Πιο συγκεκριμένα, οι λύσεις VDI αποτελούν μια παραλλαγή
32 | security

του κλασικού server-based μοντέλου, αντικαθιστώντας τους
φυσικούς clients με virtual, οι οποίοι με τη σειρά τους φιλοξενούνται
σε έναν κεντρικό εξυπηρετητή (server). Οι σταθμοί
εργασίας εγκαθίστανται σε φυσικούς εξυπηρετητές, πάνω
στους οποίους δημιουργούνται virtual desktop (σταθμοί
εργασίας) και μοιράζονται τους πόρους του φυσικού μηχανήματος
(server).
Επειδή πρόκειται για κεντροποιημένες υπηρεσίες, οι χρήστες
έχουν τη δυνατότητα να αποκτούν πρόσβαση στους σταθμούς
εργασίας τους, από οποιαδήποτε τοποθεσία, χωρίς να είναι
δέσμιοι μιας συγκεκριμένης συσκευής, διατηρώντας παράλληλα
ομοιομορφία σε εφαρμογές και δεδομένα. Φυσικά, για
τους διαχειριστές η φύση των κεντροποιημένων υπηρεσιών δίνει
μια ανάσα αποτελεσματικότερης διαχείρισης, αυξάνοντας
την ικανότητα ανταπόκρισης στις ανάγκες των χρηστών, με
στόχο την ομαλή λειτουργία της επιχείρησης, αφού οι σταθμοί
εργασίας είναι εγκατεστημένοι στον εξυπηρετητή ο οποίος
βρίσκεται εντός της ασφάλειας του εταιρικού data center.
Στα πρότυπα του VDI εξυπηρετητές και τερματικά αντιμετωπίζονται
περισσότερο ως υπηρεσίες και λιγότερο ως υλικά,
υποστηρίζοντας τις ανάγκες της εταιρικής υποδομής α-
πό διαφορετική σκοπιά.
η μέχρι τώρα ισχύουσα τάξη πραγμάτων όσον αφορά στους
παραδοσιακούς σταθμούς εργασίας με λύσεις VDI. Και ακόμη
πιο συγκεκριμένα, γιατί δεν μπορούν όλες οι εφαρμογές
που χρησιμοποιούν οι χρήστες να εγκατασταθούν στο data
center και να παρέχονται στους χρήστες μέσω VM.
Για να απαντήσουμε στα εύλογα αυτά ερωτήματα, πρέπει να λάβουμε
υπόψη τόσο τις ανάγκες των χρηστών όσο και τις α-
παιτήσεις των εφαρμογών από άποψη πληροφοριακών πόρων.
Αρχικά, θα πρέπει να εξετάσουμε τον τρόπο αντιμετώπισης
των χρηστών, οι οποίοι για παράδειγμα ταξιδεύουν αεροπορικώς
και ενώ βρίσκονται σε offline mode επιθυμούν να
χρησιμοποιήσουν τις εφαρμογές τους. Στην περίπτωση αυτή
δεν είναι δυνατή η σύνδεση με το ψηφιακό τερματικό του
χρήστη, αφού απαραίτητη προϋπόθεση είναι η συνδεσιμότητα
του εκάστοτε συστήματος, με αποτέλεσμα ο χρήστης
να μπορεί να εργαστεί μόνο τοπικά. Ορισμένες εφαρμογές
από την άλλη, απορροφούν μεγάλο όγκο δικτυακών πόρων
για την αποτελεσματική λειτουργία τους, όπως σχεδιαστικά
προγράμματα με 3D απεικονίσεις κ.λπ., το οποίο μπορεί να
έχει ως αποτέλεσμα χαρακτηριστικά μειωμένη λειτουργικότητα
του εξυπηρετητή για τα ψηφιακά τερματικά που είναι
συνδεδεμένα σε αυτόν. Παρόλα αυτά, υπάρχουν λύσεις traffic
control που εφαρμόζονται σε VDI υποδομές. Επίσης υ-
πάρχουν και ορισμένες εφαρμογές οι οποίες δεν λειτουργούν
αποτελεσματικά μέσω συγκεκριμένων πρωτοκόλλων, ό-
πως RDP (Remote Display Protocol) και ICA (Independent
Computing Architecture).
Επομένως, μια ολοκληρωμένη πρόταση VDI δεν θα πρέπει
ποτέ να αποκλείσει τη συμμετοχή τουλάχιστον ορισμένων
παραδοσιακών σταθμών εργασίας, διαθέτοντας φυσικά τα α-
παραίτητα μέτρα προστασίας που επιβάλλει η εταιρική πολιτική
ασφάλειας και εύρυθμης λειτουργίας.
Απαιτήσειςυποδομής–εφαρμογών
Για την επαρκή χρήση υπηρεσιών VDI, χρειαζόμαστε κατ’ ε-
λάχιστο μια λύση virtualization στο backend ανεξάρτητου
προμηθευτή και φυσικά μια λύση για την πρόσβαση των χρηστών
στα εικονικά τερματικά τους (Virtual Machine - VM).
Οι τεχνολογίες VDI δεν έχουν έρθει για να αντικαταστήσουν
ή έστω να παραγκωνίσουν τα παραδοσιακά desktop
που όλοι γνωρίζουμε και χρησιμοποιούμε.
Το ερώτημα που εύλογα μπορεί να γεννηθεί, είναι γιατί πέρα
από τον οικονομικό παράγοντα που αφορά στην πλήρη αναβάθμιση
της υποδομής, ακόμη δεν μπορεί να αντικατασταθεί
security | 33

I SSUE
VDI - Virtual Desktop Infrastructure
Ένα εξίσου σημαντικό ζήτημα στην αποτελεσματική υιοθέτηση
υπηρεσιών VDI είναι η κατανόηση από τους διαχειριστές
του τρόπου διαχείρισης ενός τέτοιου δικτύου,
αλλά και του τρόπου διαχείρισης των πόρων του, με ό,τι
αυτό συνεπάγεται.
Πλεονεκτήματα–Επιχειρηματικάοφέλη
To δέλεαρ των επιχειρήσεων όσον αφορά στην υιοθέτηση
υπηρεσιών VDI είναι η σχετική εξοικονόμηση πόρων μέσω
της υιοθέτησης ενός κεντροποιημένου συστήματος
διαχείρισης εικονικών τερματικών στον κεντρικό εξυπηρετητή.
Ένα εξίσου σημαντικό δέλεαρ είναι ακριβώς επειδή
τα τερματικά των χρηστών βρίσκονται εγκατεστημένα σε
VM server, οι ανάγκες για υπολογιστική ισχύ επιβαρύνουν
τους εξυπηρετητές. Το VDI αποτελεί λύση στα προβλήματα
- κυρίως ασφάλειας, που προκύπτουν από την ολοένα συχνότερη
χρήση προσωπικών συσκευών χρηστών, στη λογική
του BYOD (Bring Your Own Device), μετατρέποντας
τα μειονεκτήματα του BYOD σε πλεονεκτήματα, αφού η
ανάγκη των χρηστών για χρήση των προσωπικών τους συσκευών,
οδηγεί σταδιακά στη μείωση αγοράς φορητών συσκευών
από την εταιρεία. Υπό το πρίσμα της υιοθέτησης
των VDI υπηρεσιών, παρατηρούμε μείωση στην αγορά λειτουργικών
συστημάτων και λοιπών λογισμικών, αφού κάθε
χρήστης θεωρητικά θα έχει ένα και μόνο τερματικό (εικονικό)
στο οποίο μπορεί να έχει πρόσβαση από οποιαδήποτε
συσκευή - είτε εταιρική είτε προσωπική. Επομένως, το
μοντέλο ένας χρήστης 5 συσκευές, μπορεί να μείνει πλέον
στο παρελθόν - τουλάχιστον για ένα μεγάλο μέρος των
εταιρικών χρηστών.
Φυσικά, το βάρος πέφτει στο ΙΤ αφού οι απαιτήσεις αυξάνονται
αναλογικά όσον αφορά τόσο τους δικτυακούς
πόρους όσο και τους πόρους των συστημάτων. Επομένως
οι διαχειριστές πρέπει να είναι αρκετά δημιουργικοί όχι
μόνο στο σχεδιασμό της αρχιτεκτονικής του δικτύου, αλλά
και στη στρατηγική που θα υιοθετήσουν σχετικά με τη
διαχείριση της υποδομής. Ακριβώς αυτή όμως είναι και η
αρχική απαίτηση για την εκάστοτε εταιρική υποδομή: Η
μετατόπιση του ειδικού βάρους από το χρήστη στο διαχειριστή
και το ΙΤ, μειώνοντας κατά πολύ τους κινδύνους
προσβολής της εταιρικής υποδομής από εξωτερικές και ε-
σωτερικές απειλές. Μέσω των υπηρεσιών VDI ο χρήστης
δεν αποτελεί πλέον τον αδύναμο κρίκο που αποτελούσε
στα παραδοσιακά δίκτυα. Ο διαχειριστής έχει τον πλήρη
έλεγχο της υποδομής, χωρίς να φοβάται για τα εκούσια ή
ακούσια λάθη των χρηστών.
Εξετάζοντας τα παραδοσιακά δίκτυα, παρατηρούμε ότι
πολλές φορές κάτι που μπορεί να φαντάζει απλό, όπως η
αναβάθμιση των λογισμικών στις συσκευές των χρηστών,
μπορεί εύκολα να μετατραπεί σε εφιάλτη και να οδηγήσει
στην εμφάνιση ευπαθειών και στην εκμετάλλευσή τους α-
πό μη εξουσιοδοτημένους χρήστες.
Μέσω των λύσεων VDI δίνεται η δυνατότητα στους διαχειριστές
να ελέγχουν και να παραμετροποιούν κεντροποιημένα
τα εταιρικά ψηφιακά τερματικά με ορισμένα σημαντικά
πλεονεκτήματα:
Πλέον η εγκατάσταση ενός νέου τερματικού μπορεί
να γίνει μέσα σε λίγα λεπτά και όχι σε λίγες ώρες.
Τα εικονικά τερματικά είναι μεγαλύτερης ενεργειακής
απόδοσης και διαρκούν περισσότερο σε σχέση με
τα παραδοσιακά τερματικά.
Τα λειτουργικά έξοδα του ΙΤ μειώνονται, σε θεωρητικό
επίπεδο τουλάχιστον, λόγω της μείωσης των α-
ναγκών υποστήριξης.
Χαρακτηριστική είναι και η μείωση σε θέματα συμβατότητας,
ειδικά όταν πρόκειται για εξειδικευμένα
λογισμικά.
Η ασφάλεια της πληροφοριακής υποδομής αυξάνεται
άρδην. Οι χρήστες μπορούν να εισέρχονται στο
34 | security

τερματικό τους, τόσο εντός της πληροφοριακής
υποδομής όσο και εκτός, διατηρώντας πάντοτε
υψηλό επίπεδο ασφάλειας.
Η κεντροποιημένη διαχείριση που παρέχουν οι
τεχνολογίες VDI, μειώνει την πολυπλοκότητα των
αναβαθμίσεων και ειδικότερα των αναβαθμίσεων
ασφάλειας, καθώς και οποιαδήποτε διαδικασία
εποπτείας και συντήρησης βαρύνει το ΙΤ.
Ο χρόνος εφαρμογής αναβαθμίσεων και γενικότερης
ανταπόκρισης μειώνεται χαρακτηριστικά
και πλέον υπάρχει η δυνατότητα ακαριαίας α-
ντίδρασης και άμεσης εφαρμογής με το μέγιστο
βαθμό επιτυχίας.
Παρατηρείται σαφέστατη βελτίωση των επιδόσεων
της υποδομής με καλύτερη διαχείριση του
backup policy, εξαλείφοντας αποτελεσματικά τα
προβλήματα που προκύπτουν από το τοπικό
backup των χρηστών.
Το σημείο αναφοράς
στην ενημέρωση για
θέματα ασφαλείας στην Ελλάδα
Γραφτείτε συνδρομητές τώρα!
Παράλληλα, με την υιοθέτηση λύσεων VDI, όχι μόνο
μειώνεται η χρήση και η αγορά hardware αφού περνάμε
πλέον στις συνολικά οικονομικότερες λύσεις των
thin clients, αλλά ικανοποιείται και η ολοένα μεγαλύτερη
απαίτηση των χρηστών για σύνδεση στο εταιρικό
δίκτυο μέσω των προσωπικών τους συσκευών, α-
παίτηση η οποία μειώνει περαιτέρω τα κόστη για την
εταιρεία αφενός, ενώ αφετέρου αυξάνει τους κινδύνους
όσον αφορά στην ασφάλεια της εταιρικής υποδομής.
Παρόλα αυτά, οι υπηρεσίες VDI επιλύουν ε-
παρκώς τα ποικίλα προβλήματα ασφάλειας που προκύπτουν
από την υιοθέτηση λύσεων BYOD, δίνοντας
την απάντηση στο εύλογο ερώτημα του εκάστοτε διαχειριστή,
πώς θα εισάγω στο εταιρικό δίκτυο μια συσκευή
η οποία δεν είναι εταιρική και επαρκώς ελεγμένη;
Αρκετές φορές τα προβλήματα που αντιμετωπίζουν οι
διαχειριστές παραδοσιακών υποδομών SBC (Server
Based Computing) ταυτίζονται με εκείνα των VDI υ-
ποδομών, αφού και αυτές αποτελούν μια έκφανση των
υποδομών SBC. Σε κάθε περίπτωση θα πρέπει να γίνεται
αποτελεσματική διαχείριση από την πλευρά του
ΙΤ, ώστε να προφυλάσσεται επαρκώς η εταιρική πληροφοριακή
υποδομή. Στην κατεύθυνση αυτή οι λύσεις
VDI εξομαλύνουν σε αρκετά ικανοποιητικό βαθμό παρόμοιες
προκλήσεις. iTSecurity

I SSUE
Darren Anstee
Solutions Architect Team Manager
Arbor Networks
Προστασία από επιθέσεις DDoS
Η αξία που προσφέρει στις επιχειρήσεις
Οι επιθέσεις DDoS συνεχίζουν να εξελίσσονται ενώ τους τελευταίους 12 μήνες παρατηρήθηκε
τεράστια αύξηση τόσο στο μέγεθος όσο και στον αριθμό των επιθέσεων που
συνέβησαν. Αν συνδυάσουμε τα παραπάνω στοιχεία με το γεγονός ότι οι εταιρείες που
βασίζονται στην διαθεσιμότητα του διαδικτύου, είτε ως πηγή εισοδήματος είτε για να έ-
χουν πρόσβαση σε δεδομένα ή εφαρμογές που βρίσκονται στο cloud, συνεχώς αυξάνονται,
τότε κατανοούμε ότι η προστασία από απειλές DDoS πρέπει να αποτελεί κύρια
προτεραιότητα των επιχειρήσεων.
E
ξετάζοντας τα στοιχεία του προηγούμενου έτους, συμπεραίνουμε ότι οι επιτιθέμενοι έχουν εστιάσει στη δημιουργία
μεγάλων ροών κίνησης, γνωστές ως ογκομετρικές επιθέσεις, προκειμένου να θέσουν εκτός λειτουργίας το στόχο
τους. Οι ογκομετρικές επιθέσεις αποτελούσαν πάντα τον πιο συνηθισμένο τύπο επίθεσης, τον τελευταίο χρόνο
όμως η κλίμακα των επιθέσεων έχει αλλάξει. Κατά τη διάρκεια του 2013 διαπιστώσαμε αύξηση 8x στον αριθμό
των επιθέσεων DDoS που ξεπερνούσαν τα 20Gb/sec, σύμφωνα με τα στοιχεία που προήλθαν από το σύστημα καταγραφής
και παρακολούθησης ATLAS της Arbor (το οποίο ανά μια ώρα δέχεται δεδομένα από περισσότερους από 290 παρόχους
υπηρεσιών από όλο τον κόσμο), ενώ μόνο στο πρώτο τρίμηνο του 2014 παρατηρήθηκε αύξηση 1,5x σε σχέση με το συνολικό
αριθμό επιθέσεων που συνέβησαν το 2013.
36 | security

Στην πραγματικότητα, κατά το πρώτο τρίμηνο του 2014 παρατηρήθηκε
μια έκρηξη στις μεγάλες ογκομετρικές επιθέσεις. Πιο
συγκεκριμένα, καταγράφηκαν 72 επιθέσεις που ξεπερνούσαν
τα 100Gb/sec καθώς και η μεγαλύτερη επίθεση που έχει συμβεί
έως σήμερα, η οποία άγγιξε το ύψος των 325Gb/sec. Όλες βασίζονταν
στην τεχνική NTP reflection, μια τεχνική που είχε παραγκωνιστεί
για λίγο καιρό αλλά επανήλθε λόγω της μεγάλης δημοσιότητας
που συγκέντρωσαν επιθέσεις κατά εταιρειών gaming
που συνέβησαν πριν τα Χριστούγεννα του 2013.
Οι επιθέσεις DDoS συγκέντρωσαν τα φώτα της δημοσιότητας
τον προηγούμενο χρόνο σε αρκετές περιπτώσεις, δε θα πρέπει
όμως να ξεχνάμε και εκείνες που είναι διαφορετικού τύπου.
Σύμφωνα με τη Παγκόσμια Έκθεση για την Ασφάλεια Υποδομών
για το 2013, που παρουσίασε η Arbor, σχεδόν το 25% των
επιθέσεων εστιάζουν στο επίπεδο της εφαρμογής. Οι υπηρεσίες
web παραμένουν ο πρώτος στόχος αυτών των επιθέσεων,
υπάρχει όμως σημαντική αύξηση στον αριθμό εκείνων που
στοχεύουν στις κωδικοποιημένες υπηρεσίες Web (HTTPS), γεγονός
το οποίο θα πρέπει να προβληματίσει τους κυβερνητικούς
και οικονομικούς οργανισμούς καθώς και τις εταιρείες που
έχουν ως πεδίο ενασχόλησης το ηλεκτρονικό εμπόριο. Οι επιθέσεις
DDoS έχουν εξελιχθεί σε ένα περίπλοκο θέμα καθώς
ένα μεγάλο εύρος οργανισμών τίθεται στο στόχαστρό τους.
Όλα τα στοιχεία που συγκεντρώσαμε μέσα στο 2013 επιβεβαιώνουν
ότι η προστασία από επιθέσεις DDoS σε πολλαπλά
επίπεδα είναι ο καλύτερος τρόπος που διαθέτουν οι οργανισμοί
για να τις αντιμετωπίσουν. Οι άμυνες που αναπτύσσονται στην
περίμετρο του δικτύου παρέχουν προληπτική προστασία από
τις επιθέσεις σε επίπεδο εφαρμογής (για την ακρίβεια από κάθε
τύπο επίθεσης). Πρέπει όμως να συνδυαστούν παράλληλα
με υπηρεσίες προστασίας από επιθέσεις DDoS οι οποίες είτε
να βασίζονται στο cloud είτε να παρέχονται από κάποιον πάροχο
υπηρεσιών προκειμένου να αντιμετωπιστούν υψηλότερης
έντασης (ογκομετρικές) επιθέσεις.
Οι ομάδες ασφαλείας πολλών οργανισμών, συνειδητοποιούν ό-
λο και περισσότερο την ανάγκη για την υιοθέτηση λύσεων πολυεπίπεδης
άμυνας κατά των επιθέσεων DDoS, έχουν όμως να
ανταγωνιστούν (από πλευράς προϋπολογισμού) τις υπόλοιπες
προτεραιότητες της επιχείρησης. Πώς λοιπόν ο CIO θα ανταγωνιστεί
για τη συγκεκριμένη επένδυση τα υπόλοιπα στελέχη του
οργανισμού; Το κλειδί σε αυτή την περίπτωση είναι να συγκρίνει
τις οικονομικές επιπτώσεις που θα επιφέρει στην επιχείρηση
μια παρατεταμένη διακοπή της παροχής των διαδικτυακών
υπηρεσιών με το κόστος υιοθέτησης των κατάλληλων λύσεων.
Ουσιαστικά, είναι επιτακτική ανάγκη για τους CIOs και τους
CISOs να μπορούν να θέσουν την οικονομική αξία και να ορίσουν
το κόστος μιας επίθεσης, όταν επεξεργάζονται μια υπόθεση
επένδυσης σε υποδομές και διαδικασίες ασφαλείας.
Ένα καλό σημείο εκκίνησης είναι να υπολογιστούν οι συνολικές
επιπτώσεις που θα έχει μια επίθεση DDoS στα έσοδα, τα λειτουργικά
έξοδα και τη φήμη της εταιρείας. Τα συγκεκριμένα
στοιχεία είναι εκείνα τα οποία μπορούν να επηρεάσουν το συνολικό
κόστος μιας επίθεσης DDoS και διαφέρουν ανάλογα
με τη φύση της υπό εξέτασης επιχείρησης. Η μοντελοποίηση
αυτών των εξόδων και συνεπειών είναι ένας καλός τρόπος για
να προσδιοριστούν τα οφέλη που προσφέρουν οι υποδομές
προστασίας από επιθέσεις DDoS, αφού μια αποτελεσματική
πολιτική άμυνας απέναντι σε τέτοιου είδους επιθέσεις μπορεί να
μειώσει έως και 90% τα συγκεκριμένα κόστη σε περίπτωση ε-
πίθεσης.
Με τις επιθέσεις DDoS να συνεχίζουν να αυξάνονται σε μέγεθος,
συχνότητα και πολυπλοκότητα- και τη διαρκώς αυξανόμενη
εξάρτηση των εταιρειών από το διαδίκτυο για την επιχειρησιακή
συνέχεια – η υιοθέτηση των κατάλληλων πολιτικών άμυνας
είναι το κλειδί για την επιτυχή αντιμετώπισή τους. Οι καλύτερες
λύσεις και υπηρεσίες διασφαλίζουν ότι η επιχείρησή μας είναι
προστατευμένη από τις DDoS απειλές.
Σχετικά με την Arbor Networks
Η Arbor Networks, Inc. είναι ένας από τους κορυφαίους προμηθευτές
λύσεων διαχείρισης και ασφάλειας δικτυακών υποδομών
για επιχειρήσεις και παρόχους υπηρεσιών επικοινωνίας.
Μεταξύ των πελατών της περιλαμβάνεται η πλεοψηφία των παρόχων
διαδικτυακών υπηρεσιών (ISPs) και πολλοί από τους μεγαλύτερους
επιχειρηματικούς ομίλους σε ολόκληρο τον κόσμο.
Η αποδεδειγμένη αποτελεσματικότητα των λύσεων που προσφέρει
η Arbor για την προστασία και τη διαχείριση δικτυακών
υποδομών βοηθά τους πελάτες της να προστατεύουν τα δίκτυα
τους, τις επιχειρηματικές τους δραστηριότητες, τα προϊόντα
και τις υπηρεσίες τους. Ένα σημαντικό μέρος της λύσης της
Arbor αποτελεί η online υπηρεσία ATLAS© (Active Threat
Level Analysis System), η οποία ενημερώνεται και κατηγοριοποιεί
νέους τύπους επιθέσεων DDoS σε πραγματικό χρόνο.
Περισσότεροι από 270 πάροχοι σε ολόκληρο τον κόσμο τροφοδοτούν
με δεδομένα την υπηρεσία αυτή. Με βάση την ανάλυση
αυτών των δεδομένων, η υπηρεσία ATLAS ενημερώνει α-
νά τακτά χρονικά διαστήματα τις συσκευές της ARBOR σε ο-
λόκληρο το κόσμο με αποτελεσματικούς τρόπους αντιμετώπισης
νέων επιθέσεων DDoS. iTSecurity
Για περισσότερες τεχνικές πληροφορίες σχετικά με τις τελευταίες α-
πειλές και τις τάσεις όσον αφορά τη διαμόρφωση της κίνησης στο Ί-
ντερνετ, σας παρακαλούμε να επισκεφθείτε τη διεύθυνση:
http://www.arbornetworks.com και το blog: http://ddos.arbornetworks.com.
ΑDAPTIT A.E (www.adaptit.gr) - Αποκλειστικός αντιπρόσωπος
της ARBOR NETWORKS στην Ελλάδα
security | 37