IT Professional Security - ΤΕΥΧΟΣ 75
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
www.itsecuritypro.gr 06/07/08.2022 • Τεύχος <strong>75</strong> • Τιμή 5€<br />
Η Ζωή των Επαγγελματιών<br />
της Ασφάλειας Πληροφοριών<br />
ΡΕΠΟΡΤΑΖ<br />
Ειδικό Αφιέρωμα:<br />
DLP - Data Loss Prevention
y HelpSystems<br />
We ensure sensitive data is well protected<br />
Award-Winning, Data-Centric <strong>Security</strong><br />
Value Added Distributor<br />
https://nss.gr<br />
Affordable Cutting Edge
T<strong>75</strong>06/07/08.2022<br />
Editorial<br />
Αξιοποιώντας την Επιδραστικότητα στους<br />
Νέους<br />
Στο τεύχος <strong>75</strong> και ειδικότερα στη θεματική ενότητα<br />
Business <strong>IT</strong> φιλοξενούμε το μεγάλο ρεπορτάζ για το<br />
12ο Infocom <strong>Security</strong> Conference & Expo που διοργάνωσε<br />
η Smart Press το διήμερο 6 και 7 Ιουλίου στο Divani<br />
Caravel Hotel στην Αθήνα, αποτελώντας όπως κάθε χρόνο,<br />
το κορυφαίο event στην Ελλάδα για τον τομέα της ασφάλειας<br />
πληροφοριών και το σημείο αναφοράς των εξελίξεων στο<br />
χώρο. Στο ρεπορτάζ θα διαβάσετε σε μεγάλη έκταση τα βασικά<br />
σημεία όλων των ομιλιών, των παρουσιάσεων και των<br />
πάνελ συζήτησης που διοργανώθηκαν καθώς και πλούσιο<br />
φωτογραφικό υλικό. Φυσικά πολλές περισσότερες πληροφορίες,<br />
φωτογραφίες, παρουσιάσεις και βίντεο μπορείτε να δείτε<br />
στην ιστοσελίδα του συνεδρίου www.infocomsecurity.gr<br />
Στο εισαγωγικό σημείωμα όμως, θα θέλαμε να σταθούμε<br />
ιδιαίτερα στον ανθρώπινο παράγοντα και ειδικότερα στο<br />
αποτύπωμα που αφήνει το συγκεκριμένο συνέδριο όλα<br />
αυτά τα χρόνια, στη μεγάλη κοινότητα των επαγγελματιών<br />
που έχει δημιουργήσει.<br />
Αξίζει να αναφέρουμε το πόσο μας χαροποίησε το γεγονός,<br />
ότι είδαμε φέτος πολλούς επισκέπτες που είναι τώρα<br />
στελέχη εταιριών στον τομέα υπηρεσιών και λύσεων<br />
ψηφιακής ασφάλειας ή στελέχη in-house τμημάτων οργανισμών,<br />
οι οποίοι είχανε επισκεφτεί το συνέδριο στα<br />
πρώτα χρόνια του από 2011 και μετά ως φοιτητές, και<br />
μάλιστα, συνομιλώντας με κάποιους από αυτούς, μας είπανε<br />
ότι η συμμετοχή τους στα τότε συνέδρια και η επαφή τους<br />
με τις εταιρίες της αγοράς, είχε επιδράσει στις αποφάσεις<br />
τους για την καριέρα που θα ακολουθήσουν. Επίσης πολλά<br />
νέα ταλέντα που είχανε διακριθεί στους διαγωνισμούς<br />
«ηθικού hacking» που είχαμε διοργανώσει πριν λίγα χρόνια<br />
στα πλαίσια του συνεδρίου, εργάζονται και αυτοί στο χώρο.<br />
Και στη φετινή διοργάνωση, το περιεχόμενο που ανέδειξαν<br />
οι 70 και πλέον ομιλητές ήταν απόλυτα επικαιροποιημένο<br />
και υψηλού επιπέδου, παρουσιάζοντας τις πλέον σύγχρονες<br />
τεχνολογίες, στρατηγικές, αλλά και αντιλήψεις με βάση<br />
τις απαιτήσεις όπως αυτές έχουν διαμορφωθεί σήμερα στο<br />
ψηφιακό επιχειρηματικό οικοσύστημα και όχι μόνο.<br />
Ο τίτλος του πιο επιδραστικού event που φέτος είχε πηγή<br />
έμπνευσης την καινοτομία που εκφράζει η κληρονομία του<br />
Άλαν Τούρινγκ, δικαιώθηκε απόλυτα σε όλες του τις εκφάνσεις<br />
και αυτό μας δίνει μεγάλη χαρά και δύναμη για τη<br />
συνέχεια.<br />
Καλό και Ασφαλές Καλοκαίρι<br />
Βλάσης Αμανατίδης<br />
Εκδότης<br />
Κώστας Νόστης<br />
Αρχισυντάκτης<br />
Βλάσης Αμανατίδης<br />
v.amanatidis@smartpress.gr<br />
Διεύθυνση Επικοινωνίας<br />
& Marketing<br />
Ειρήνη Νόστη<br />
Yπεύθυνος Διαφήμισης<br />
Γιώργος Ιωσηφέλης<br />
Σύμβουλος Έκδοσης<br />
Νίκη Πανδή<br />
Υπεύθυνη Παραγωγής<br />
Ελένη Καπιτσάκη<br />
DTP<br />
Θοδωρής Παπουτσής<br />
Νίκος Χαλκιαδάκης<br />
Υπεύθυνος Ηλεκτρονικών Μέσων<br />
Δημήτρης Θωμαδάκης<br />
Γραμματεία Εμπορικού<br />
Έλλη Μαστρομανώλη<br />
Λογιστήριο<br />
Ανδρέας Λουλάκης<br />
Τμήμα συνδρομών<br />
support@securitymanager.gr<br />
Consulting by<br />
SPEG Co<br />
τηλ.: 210 5238777,<br />
www.speg.gr, info@speg.gr<br />
Ιδιοκτήτης<br />
Smart Press<br />
Μάγερ 11, 10438, Αθήνα<br />
Τηλ.: 210 5201500, 210 5230000,<br />
Fax: 210 5241900<br />
www.smartpress.gr<br />
www.itsecuritypro.gr<br />
www.securitymanager.gr<br />
Συνεργάτες<br />
Δημήτρης Θωμαδάκης<br />
Νότης Ηλιόπουλος<br />
Παναγιώτης Καλαντζής<br />
Αριστοτέλης Λυμπερόπουλος<br />
Δημήτρης Σκιάννης<br />
Υπεύθυνη Συνεδρίων<br />
Αγγελική Νόστη<br />
Φωτογραφίες<br />
JENESIS 360<br />
email επικοινωνίας:<br />
info@securitymanager.gr<br />
support@securitymanager.gr<br />
ΚΩΔΙΚΟΣ 01-8267<br />
2 security
Cybersecurity<br />
Center<br />
<strong>Security</strong> is embedded in Space Hellas DNA<br />
n<br />
n<br />
n<br />
n<br />
Holistic Cybersecurity approach<br />
Managed & <strong>Professional</strong> Services<br />
Red & Blue Team approach<br />
35 years of excellence & know-how<br />
www.space.gr<br />
security<br />
3
T<strong>75</strong>06/07/08.2022<br />
Contents<br />
20<br />
42<br />
44<br />
46<br />
2 | editorial<br />
6 News<br />
Cover issue<br />
14 | Η Ζωή των Επαγγελματιών της<br />
Ασφάλειας Πληροφοριών<br />
Interview<br />
20 | Ενοποιημένη τεχνολογική<br />
προσέγγιση ασφάλειας,<br />
ευαισθητοποίηση και εκπαιδεύσεις<br />
Συνέντευξή με τον Jonathan<br />
Fischbein - Chief Information<br />
<strong>Security</strong> Officer & DPO της Check<br />
Point Software Technologies Ltd<br />
Special Issue: DLP<br />
24 | Αποτροπή Απώλειας<br />
Δεδομένων (DLP) για κρίσιμες<br />
επιχειρηματικές πληροφορίες<br />
28 | Data Loss Prevention: Εν αρχή<br />
ην... τα Endpoints!<br />
49<br />
30 | Stop being as Sensitive as your<br />
Data…<br />
32 | Διασφαλίζοντας τα ευαίσθητα<br />
δεδομένα σας<br />
36 | Trend Micro Apex One – Όλοι οι<br />
μηχανισμοί ασφάλειας σε έναν<br />
agent<br />
37 | Απλοποιώντας την προστασία της<br />
εμπιστευτική πληροφορίας<br />
38 | Συνδυάζοντας DLP και IRM για τη<br />
μέγιστη ασφάλεια!<br />
40 | Enterprise DLP της GTB<br />
Technologies<br />
Issue<br />
42 | Digitize OT – Protect Production<br />
44 | “To Trust or Not to Trust…”<br />
46 | Ευαισθητοποίηση και εκπαίδευση<br />
του προσωπικού σε θέματα<br />
κυβερνοασφάλειας<br />
49 | Νέα πολιτική στην Ανάληψη<br />
Κινδύνου<br />
52<br />
50 | Οριοθετήστε την Ασφάλεια της<br />
Επιχείρησης σας, σε 4 επίπεδα<br />
υλοποίησης!<br />
52 | Πως να δημιουργήσετε ένα Captive<br />
Portal για τα Access Points της<br />
σειράς GWN της Grandstream<br />
56 | Zero Trust Privilege – Το μέλλον<br />
του PAM<br />
Business <strong>IT</strong><br />
4 security
security<br />
5
T<strong>75</strong>06/07/08.2022<br />
News<br />
Η Τράπεζα Χανίων επενδύει στο τομέα της κυβερνοασφάλειας<br />
εμπιστευόμενη την Pylones Hellas<br />
Την Pylones Hellas επέλεξε η Τράπεζα Χανίων για να θωρακίσει<br />
τις λειτουργίες της, σύμφωνα με τα όσα προστάζει η νέα<br />
ψηφιακή εποχή! Το έργο αφορά στην αναβάθμιση του επιπέδου<br />
της κυβερνoασφάλειας για τα πληροφοριακά δίκτυα<br />
και συστήματα της τράπεζας. Οι νέες υποδομές θα βελτιώσουν<br />
την καθημερινότητα των εργαζομένων και των πελατών<br />
της Τράπεζας Χανίων, προσφέροντας ασφαλέστερες και<br />
αποδοτικότερες λειτουργίες διασύνδεσης όσο και καλύτερη<br />
ποιότητα υπηρεσιών.<br />
Το project ενίσχυσης της κυβερνοασφάλειας της τράπεζας<br />
που τρέχει από την αρχή του έτους, περιλαμβάνει την<br />
διασφάλιση των API’s, και πιο συγκεκριμένα του τρόπου<br />
που επικοινωνούν οι χρήστες με το ebanking της τράπεζας.<br />
Επίσης υπήρξε αναβάθμιση του τοίχους προστασίας (web<br />
application firewall) της Τράπεζας επενδύοντας σε λύσεις<br />
όπως Threat Campaign, IP Intelligence όπως και ολοκληρωμένης<br />
προστασίας από επιθέσεις credential stuffing με<br />
το Leaked Credentials Check (LCC).<br />
Επιπλέον, η τράπεζα με το Distributed Cloud Bot Defense που<br />
βασίζεται πάνω σε τεχνολογίες της F5 προστατεύει τις web και<br />
mobile εφαρμογές της από επίμονες και ιδιαίτερα εξελιγμένες<br />
επιθέσεις bots που αποτελούν την πιο ανερχόμενη απειλή<br />
για τις εφαρμογές των οικονομικών οργανισμών τα τελευταία<br />
χρόνια. Πιο συγκεκριμένα, το Distributed Cloud Bot Defense<br />
προστατεύει από ένα ευρύ σύνολο επιθέσεων που βασίζονται<br />
σε bot, συμπεριλαμβανομένων των credential stuffing, account<br />
takeover, fraud, και account abuse. Πιο αναλυτικά:<br />
Credential Stuffing - Εμποδίζει τα bots να δοκιμάζουν<br />
κλεμμένα credentials και να αναλαμβάνουν λογαριασμούς.<br />
Fake Accounts - Αποτρέπει τους<br />
εγκληματίες από τη δημιουργία ψεύτικων<br />
λογαριασμών για δόλια χρήση.<br />
Scalpers / Inventory Hoarding - Μετριάζει<br />
το inventory hoarding και διατηρεί<br />
το customer loyalty.<br />
Scraping - Προστατεύει την απόδοση<br />
του website/mobile app και το privacy<br />
—ελέγχοντας τον τρόπο με τον οποίο οι<br />
scrapers συλλέγουν δεδομένα.<br />
Gift Card Attacks - Διακόπτει την απαρίθμηση<br />
των κωδικών που οδηγούν σε<br />
card cracking και προστατεύουν την<br />
εταιρία από απάτες.<br />
Σκοπός είναι οι λύσεις αυτές να καλύψουν τις ανάγκες της<br />
Τράπεζας, για αυξημένη ασφάλεια στα δίκτυα και τις υποδομές<br />
πληροφορικής (Servers, Data Center, σταθμοί εργασίας<br />
και cloud), ενώ πλέον ισχυροποιούνται αισθητά τα επίπεδα<br />
ασφαλείας στην επικοινωνία της Τράπεζας με τους πελάτες<br />
της μέσω διαδικτύου. Τέλος στα πλαίσια μετάβασης και επένδυσης<br />
της τράπεζας προς στο cloud πρόσφατα υλοποιήθηκε<br />
έργο μετάβασης του authentication των εσωτερικών χρηστών<br />
και συνεργατών της στο Microsoft Azure.<br />
Ο κ. Σήφης Κουτρουμπάς, Διευθυντής Πληροφορικής της<br />
Τράπεζας Χανίων, αναφέρει σχετικά με την επένδυση της<br />
τράπεζας: «Η Διεύθυνση Πληροφορικής της Τράπεζας μας,<br />
έχοντας θέσει ως προτεραιότητα την παροχή υψηλών προδιαγραφών<br />
ψηφιακές υπηρεσίες προς τους πελάτες της σε ένα<br />
ασφαλές περιβάλλον έχει επιλέξει την εταιρία Pylones Hellas<br />
για την υλοποίηση καίριων έργων ασφαλείας.<br />
Ο κ. Γεώργιος Λιναρδάκης, Sales Manager της Pylones<br />
Hellas, δήλωσε σχετικά: «Η πολυετής<br />
εμπειρία μας εδώ και 25<br />
έτη, στην υλοποίηση σύνθετων<br />
έργων, σε συνδυασμό με τις καινοτόμες<br />
λύσεις cybersecurity &<br />
cloud που διαθέτουμε, μας καθιστούν<br />
έναν αξιόπιστο συνεργάτη<br />
για κάθε μεγάλο οργανισμό που<br />
επιθυμεί να απλοποιήσει τις ψηφιακές<br />
του προκλήσεις στο αέναο<br />
ταξίδι του ψηφιακού της μετασχηματισμού».<br />
C<br />
M<br />
Y<br />
CM<br />
MY<br />
CY<br />
CMY<br />
K<br />
6 security
security<br />
7
T<strong>75</strong>06/07/08.2022<br />
News<br />
GWN7625 Wi-Fi Access Point: η ιδανική λύση για το ασύρματο<br />
δίκτυο κάθε μικρομεσαίας επιχείρησης<br />
Το GWN7625 είναι το νέο Access Point, της σειράς GWN<br />
από την Grandstream. Είναι ένα 802.11ac Wave-2 Wi-Fi<br />
Access Point ιδανικό για επιχειρήσεις μικρού και μεσαίου<br />
μεγέθους, οικιακά γραφεία, εμπορικά καταστήματα, πανεπιστήμια,<br />
ξενοδοχεία, καταστήματα εστίασης και άλλα. Το<br />
GWN7625 είναι το κατάλληλο Access Point για όλα αυτά τα<br />
σενάρια χρήσης γιατί προσφέρει μία πληθώρα προηγμένων<br />
χαρακτηριστικών, σε συνδυασμό με την αξιοπιστία που προ-<br />
σφέρει η Grandstream. Συγκεκριμένα προσφέρει τεχνολογία<br />
4x4:4 MU-MIMO στο φάσμα του 5G και 2x2:2 MU-MIMO στο<br />
φάσμα του 2.4G και μία κεραία προηγμένης τεχνολογίας για<br />
μέγιστο throughput στο δίκτυο και μέγιστη εμβέλεια Wi-Fi.<br />
Για την διασφάλιση και την διευκόλυνση της εγκατάστασης<br />
και της διαχείρισής του, το GWN7625 είναι σχεδιασμένο να<br />
διαχειρίζεται χωρίς φυσικό χειριστήριο, αλλά με ένα ενσωματωμένο<br />
χειριστήριο στο web user interface της συσκευής.<br />
Ακόμη, το GWN7625 υποστηρίζεται από το GWN.Cloud<br />
και το GWN Manager, τις Cloud και επί τόπου πλατφόρμες<br />
διαχείρισης της Grandstream, που παρέχονται δωρεάν και<br />
είναι ενιαίες για όλα τα Access Points της σειράς GWN. Το<br />
GWN7625 είναι το ιδανικό Wi-Fi Access Point για τη δημιουργία<br />
αποτελεσματικών voice-over-Wi-Fi εγκαταστάσεων,<br />
ενώ προσφέρει απρόσκοπτη και ταχύτατη σύνδεση με τις<br />
Wi-Fi τηλεφωνικές συσκευές της Grandstream. Τα προϊόντα<br />
της Grandstream αντιπροσωπεύονται στην Ελλάδα από την<br />
PartnerΝΕΤ, www.partnernet-ict.com, τηλ.: 2107100000,<br />
sales@partnernet-ict.com<br />
Mε την «οπτική» του VigorSwitch FX2120 όλες οι συνδέσεις είναι<br />
δυνατές!<br />
Η LEXIS Πληροφορική Α.Ε., αποκλειστικός αντιπρόσωπος<br />
του κορυφαίου κατασκευαστή δικτυακών προϊόντων<br />
DrayTek Corp., ανακοινώνει τη διάθεση νέου Full<br />
Fiber-10G Layer2+ Managed Switch FX2120, ειδικά σχεδιασμένο<br />
για να καλύπτει πλήρως τις αυξημένες απαιτήσεις<br />
μετάδοσης δεδομένων των ISP και των σύγχρονων επιχειρήσεων<br />
που θέλουν να απολαμβάνουν προηγμένες δικτυακές<br />
επιδόσεις. Το harware interface του VigorSwitch FX2120<br />
περιλαμβάνει 12 θύρες 1000Mbps/10GMbps SFP+, θύρα<br />
κονσόλας RJ-45 και κουμπί για Factory Reset. Είναι εξοπλισμένο<br />
με προηγμένα χαρακτηριστικά layer 3, συμπεριλαμβανομένων<br />
των DHCP Server και VLAN Routing, καθώς και<br />
πλήθους χαρακτηριστικών της σειράς VigorSwitch. Επιπλέον,<br />
διαθέτει switching capacity στα 240Gbps, ενώ χάρη στο πρωτόκολλο<br />
OpenFlow 1.3 μπορεί να λειτουργήσει είτε ως κλασσικό<br />
layer 2 bridge switch είτε να διαχειρίζεται Packets από<br />
μια συγκεκριμένη port στον open flow controller. Υποστηρίζει<br />
έως 256 VLAN βάση<br />
802.1q tags, διευθύνσεων<br />
MAC, καθώς και Link Aggregation<br />
έως 8 group των 8 port members, επιτρέποντας τόσο τη<br />
δημιουργία ενός γκρουπ όσο και τη σύνδεσή του με άλλα<br />
switch ή servers για υψηλότερες ταχύτητες και μεγαλύτερο<br />
πλήθος συνδέσεων. Διαθέτει χαρακτηριστικά ασφαλείας για<br />
την αποφυγή υπερφόρτωσης του δικτύου και IP conflicts<br />
(Preventions & Detection), αλλά και QoS με Voice VLAN και<br />
Surveillance VLAN για την αυτόματη ανίχνευση του traffic<br />
των κλήσεων και του video με βέλτιστο διαμοιρασμό αυτών.<br />
Περισσότερες πληροφορίες: email: lexis@lexis.gr, τηλ.<br />
Αθήνας: 210 6777007, τηλ. Θεσ/νίκης: 2310 329350-1.<br />
8 security
Cloud Office <strong>Security</strong><br />
•<br />
•<br />
•<br />
•<br />
•
T<strong>75</strong>06/07/08.2022<br />
News<br />
European Cyber <strong>Security</strong> Challenge 2022: Έτοιμη η ελληνική<br />
ομάδα που θα ταξιδέψει στη Βιέννη<br />
H Ελληνική Εθνική Ομάδα Κυβερνοασφάλειας είναι<br />
έτοιμη για την 7η συμμετοχή της Ελλάδας στο μεγάλο πανευρωπαϊκό<br />
διαγωνισμό κυβερνοασφάλειας European<br />
Cyber <strong>Security</strong> Challenge 2022 (ECSC22), που θα διεξαχθεί<br />
από 13-16 Σεπτεμβρίου 2022 στη Βιέννη της Αυστρίας.<br />
Ο διαγωνισμός αποτελεί μία πρωτοβουλία του Ευρωπαϊκού<br />
Οργανισμού Κυβερνοασφάλειας ENISA (European<br />
Union Agency for Cybersecurity), ενώ υποστηρίζεται ενεργά<br />
από το Υπουργείο Ψηφιακής Διακυβέρνησης. Την<br />
ευθύνη της Ελληνικής συμμετοχής φέρει το Τμήμα Ψηφιακών<br />
Συστημάτων του Πανεπιστημίου Πειραιώς με<br />
επικεφαλής τον καθηγητή, Χρήστο Ξενάκη. Η ομάδα που<br />
θα εκπροσωπήσει φέτος τη χώρα μας στον τελικό αποτελείται<br />
από 14 άτομα (10 κύριες συμμετοχές και 4 αναπληρωματικοί)<br />
μεταξύ 15-26 ετών, μαθητές, φοιτητές, επαγγελματίες<br />
και μη, hackers, αλλά και ερευνητές ασφαλείας:<br />
Δημοσχάκης Γεώργιος - Κωνσταντινίδη Αλεξία -Κωνσταντόπουλος<br />
Αθανάσιος - Μαμιδάκης Γεώργιος - Μάνθος<br />
Ιάσονας Κωνσταντίνος - Μητράγκας Αθανάσιος - Μιχαήλ<br />
Μελέτης - Μουρούσιας Νικόλαος - Μώκος Κωνσταντίνος<br />
- Παπακωνσταντίνου Παναγιώτης - Τρέσσος Αριστομένης -<br />
Τσαπράλης Μιχαήλ - Φιωτάκης Ηλίας - Φλώρος Φίλιππος.<br />
Οι παραπάνω συμμετέχοντες διακρίθηκαν με τις επιδόσεις<br />
τους στον προκριματικό διαγωνισμό που ξεκίνησε το Μάρτιο<br />
online μέσα από την πλατφόρμα Open ECSC, καθώς και<br />
παίκτες της περυσινής ομάδας, αποτελούν την εθνική αποστολή<br />
στον Πανευρωπαϊκό διαγωνισμό του 2022 στην Βιέννη.<br />
H Εθνική Ομάδα, θα συνεχίσει τις online προπονήσεις σε<br />
challenges από διάφορες θεματικές περιοχές, όπως Pwn,<br />
Crypto, Web, Forensics, Reversing, PPC αλλά και Blockchain<br />
μέχρι και την ημερομηνία διεξαγωγής του διαγωνισμού.Ο<br />
διαγωνισμός τελεί υπό την αιγίδα του Υπουργείου Ψηφιακής<br />
Διακυβέρνησης και της Εθνικής Αρχής Κυβερνοασφάλειας,<br />
ενώ υποστηρίζεται από χορηγούς. Πιο συγκεκριμένα,<br />
η Aegean Airlines είναι επίσημος μεταφορέας<br />
της Εθνικής Ομάδας, ενώ Diamond χορηγοί είναι οι εταιρείες:<br />
Algosystems, Ubitech, Uni Systems, Platinum οι εταιρείες<br />
Adacom, Hack the Box, Bewise, και Microsoft, Gold<br />
Sponsors οι εταιρείες Neurosoft, Pylones Hellas, Silver<br />
Sponsors οι εταιρείες Cromar και Sima <strong>Security</strong> ενώ την<br />
ομάδα υποστηρίζει και η TwelveSec. Να σημειώσουμε ότι η<br />
Ελληνική Εθνική Ομάδα Κυβερνοασφάλειας, υποστηρίζεται<br />
από το <strong>IT</strong> <strong>Security</strong> <strong>Professional</strong> ως media sponsor, από<br />
το Hellenic (ISC)² Chapter καθώς και το Ελληνικό Κέντρο<br />
Ασφαλούς Διαδικτύου www.saferinternet4kids.gr<br />
Δυναμική συμμετοχή της Channel <strong>IT</strong> στην Infosecurity Europe 2022<br />
Η Channel <strong>IT</strong>, διανομέας προστιθέμενης<br />
αξίας προϊόντων και λύσεων για<br />
πληροφοριακά συστήματα συμμετείχε<br />
στην Infosecurity Europe 2022,<br />
που πραγματοποιήθηκε μεταξύ 21-<br />
23 Ιουνίου, στο Λονδίνο. Στο πλαίσιο<br />
της φετινής διοργάνωσης, η Channel <strong>IT</strong><br />
παρουσιάσε το DMARC Right, μια νέα και ολοκληρωμένη<br />
λύση SaaS για την ενίσχυση της ασφάλειας των εταιρικών<br />
επικοινωνιών μέσω email, η οποία σχεδιάστηκε και<br />
αναπτύχθηκε εξ’ ολοκλήρου από την Channel <strong>IT</strong>. Παράλληλα,<br />
ως Master Distributor για τη σειρά προϊόντων Total Fraud<br />
Protection της Appgate στις περιοχές EMEA και SAARC, το<br />
Fraud Management Division της εταιρείας,<br />
ανέδειξε στην Infosecurity Europe ένα ευρύ<br />
χαρτοφυλάκιο, συμπεριλαμβανομένων λύσεων<br />
για τον έγκαιρο εντοπισμό και την αντιμετώπιση<br />
εξελιγμένων κυβερνοεπιθέσεων<br />
τύπου phishing. Στο πλαίσιο της διεύρυνσης<br />
του δικτύου συνεργατών της ανά τον κόσμο,<br />
η Channel <strong>IT</strong> λάνσαρε σε διεθνές επίπεδο το καινοτόμο πρόγραμμα<br />
συνεργατών της, μέσα από το οποίο παρέχονται live<br />
προϊοντικά demos, datasheets και εγχειρίδια, case studies,<br />
υποστήριξη διαδικασιών RFPs και POCs, εκπαιδεύσεις για τεχνική<br />
υποστήριξη pre και after sales και πολλά ακόμη χρηστικά<br />
εργαλεία για τους συμμετέχοντες στο πρόγραμμα.<br />
10 security
T<strong>75</strong>06/07/08.2022<br />
News<br />
5 τρόποι με τους οποίους οι κυβερνοεγκληματίες κλέβουν στοιχεία<br />
πιστωτικών καρτών<br />
Το κυβερνοέγκλημα είναι μια καλοκουρδισμένη μηχανή που<br />
κοστίζει τρισεκατομμύρια δολάρια ετησίως. Σε ιστοσελίδες<br />
στο σκοτεινό διαδίκτυο (dark web), κρυμμένοι από τις αρχές<br />
επιβολής του νόμου αλλά και από την πλειοψηφία των καταναλωτών,<br />
οι κυβερνοεγκληματίες αγοράζουν και πουλάνε<br />
τεράστιες ποσότητες κλεμμένων δεδομένων αλλά και ό,τι<br />
εργαλεία απαιτούνται για να τα αποκτήσουν.<br />
«Εκτιμάται ότι σε τέτοιες ιστοσελίδες κυκλοφορούν σήμερα<br />
24 δισεκατομμύρια ονόματα χρηστών και κωδικοί<br />
πρόσβασης που έχουν αποκτηθεί παράνομα» λέει ο Phil<br />
Muncaster από την ομάδα της παγκόσμιας εταιρείας ψηφιακής<br />
προστασίας ESET. Μεταξύ των πιο περιζήτητων είναι τα<br />
δεδομένα τραπεζικών καρτών, τα οποία στη συνέχεια αγοράζονται<br />
μαζικά από απατεώνες για να πραγματοποιήσουν<br />
απάτες ταυτότητας.<br />
Έχοντας αυτό κατά νου, ο Muncaster από την ESET συνοψίζει<br />
τους πέντε πιο συνηθισμένους τρόπους με τους οποίους<br />
οι χάκερ μπορούν να αποκτήσουν τα δεδομένα της πιστωτικής<br />
σας κάρτας – και πώς να τους σταματήσετε:<br />
1. Phishing<br />
Το “ηλεκτρονικό ψάρεμα” (Phishing) είναι μια από τις πιο<br />
δημοφιλείς τεχνικές που χρησιμοποιούν οι κυβερνοεγκληματίες<br />
για να κλέψουν προσωπικά στοιχεία καταναλωτών.<br />
Στην απλούστερη εκδοχή του, πρόκειται για ένα τέχνασμα<br />
απάτης κατά το οποίο ο χάκερ μεταμφιέζεται σε κάποια<br />
οντότητα κύρους (π.χ. τράπεζα, πάροχο ηλεκτρονικού εμπορίου,<br />
ή εταιρεία τεχνολογίας) για να σας εξαπατήσει ώστε να<br />
αποκαλύψετε τα προσωπικά σας στοιχεία ή να κατεβάσετε<br />
εν αγνοία σας κάποιο κακόβουλο λογισμικό. Συχνά ενθαρρύνουν<br />
τους χρήστες να κάνουν κλικ σε έναν σύνδεσμο<br />
ή να ανοίξουν ένα συνημμένο αρχείο. Το phishing λέγεται<br />
ότι έφτασε στο υψηλότερο επίπεδο όλων των εποχών<br />
το πρώτο τρίμηνο του 2022.<br />
2. Κακόβουλο λογισμικό<br />
Το κυβερνοέγκλημα είναι μια τεράστια αγορά, όχι μόνο για<br />
τα προσωπικά δεδομένα αλλά και για κακόβουλο λογισμικό.<br />
Με την πάροδο των ετών, έχουν σχεδιαστεί διάφοροι τύποι<br />
κακόβουλου κώδικα για την κλοπή πληροφοριών. Ορισμένα<br />
καταγράφουν τις πληκτρολογήσεις σας – για παράδειγμα, καθώς<br />
πληκτρολογείτε τα στοιχεία της κάρτας σας σε μια ιστοσελίδα<br />
ηλεκτρονικού εμπορίου ή τραπεζικών συναλλαγών.<br />
3. Ηλεκτρονικό «ξάφρισμα» (Digital skimming)<br />
Μερικές φορές οι χάκερ εγκαθιστούν κακόβουλο λογισμικό<br />
στις σελίδες πληρωμών σε ιστοσελίδες ηλεκτρονικού<br />
εμπορίου. Αυτό είναι αόρατο για το χρήστη, αλλά υποκλέπτει<br />
τα στοιχεία της κάρτας σας καθώς τα πληκτρολογείτε.<br />
Οι ανιχνεύσεις ηλεκτρονικού ξαφρίσματος (ή αλλιώς<br />
online card skimming) αυξήθηκαν κατά 150% από<br />
τον Μάιο έως και το Νοέμβριο του 2021.<br />
4. Παραβιάσεις δεδομένων<br />
Μερικές φορές οι χάκερ κλέβουν τα στοιχεία των καρτών<br />
απευθείας από τις εταιρείες με τις οποίες συνεργάζεστε.<br />
Θα μπορούσε να είναι ένας πάροχος υγειονομικής<br />
περίθαλψης, ένα κατάστημα ηλεκτρονικού εμπορίου, ή ένα<br />
ταξιδιωτικό γραφείο. Αυτός είναι ένας πιο αποδοτικός τρόπος<br />
δράσης από την πλευρά των χάκερ, επειδή με μία επίθεση<br />
αποκτούν μεμιάς πρόσβαση σε έναν τεράστιο όγκο δεδομένων,<br />
ενώ με τις εκστρατείες phishing πρέπει να κλέψουν από<br />
τα άτομα ένα προς ένα – αν και αυτές οι επιθέσεις είναι συνήθως<br />
αυτοματοποιημένες. Τα κακά νέα είναι ότι το 2021<br />
ήταν έτος ρεκόρ παραβίασης δεδομένων στις ΗΠΑ.<br />
5. Δημόσιο Wi–Fi<br />
Όταν βρίσκεστε έξω, μπορεί να είναι δελεαστικό να σερφάρετε<br />
δωρεάν στο διαδίκτυο χρησιμοποιώντας δημόσια<br />
Wi-Fi hotspots – σε αεροδρόμια, ξενοδοχεία, καφετέριες και<br />
άλλους κοινόχρηστους χώρους.<br />
Ακόμη και αν πρέπει να πληρώσετε για να αποκτήσετε πρόσβαση<br />
στο δίκτυο, μπορεί να μην είναι ασφαλές αν οι χάκερ<br />
έχουν κάνει το ίδιο. Μπορούν να χρησιμοποιήσουν αυτή την<br />
πρόσβαση για να κλέψουν τα στοιχεία σας την ώρα που τα<br />
πληκτρολογείτε.<br />
12 security
Integrated security for Integrated Unified <strong>Security</strong> security for for Integrated RECONNECTING RECONNECTED Unified <strong>Security</strong> world for Unified <strong>Security</strong> security<br />
RECONNECTED world World for for aa<br />
RECONNECTING RECONNECTED world World<br />
RECONNECTING World<br />
NETWORK SECUR<strong>IT</strong>Y<br />
MULTI-FACTOR AUTHENTICATION SECURE CLOUD WI-FI ENDPOINT SECUR<strong>IT</strong>Y<br />
NETWORK SECUR<strong>IT</strong>Y<br />
NETWORK SECUR<strong>IT</strong>Y<br />
MULTI-FACTOR AUTHENTICATION SECURE CLOUD WI-FI ENDPOINT SECUR<strong>IT</strong>Y<br />
MULTI-FACTOR AUTHENTICATION SECURE CLOUD WI-FI ENDPOINT SECUR<strong>IT</strong>Y<br />
Unified <strong>Security</strong> Platform TM<br />
Unified <strong>Security</strong> Platform TM<br />
Unified <strong>Security</strong> Platform TM<br />
CLAR<strong>IT</strong>Y AND CONTROL COMPREHENSIVE SECUR<strong>IT</strong>Y SHARED KNOWLEDGE OPERATIONAL ALIGNMENT AUTOMATION<br />
CLAR<strong>IT</strong>Y AND CONTROL COMPREHENSIVE SECUR<strong>IT</strong>Y SHARED KNOWLEDGE OPERATIONAL ALIGNMENT AUTOMATION<br />
CLAR<strong>IT</strong>Y AND CONTROL COMPREHENSIVE SECUR<strong>IT</strong>Y SHARED KNOWLEDGE OPERATIONAL ALIGNMENT AUTOMATION<br />
Smart <strong>Security</strong>, Simply Done.<br />
Smart <strong>Security</strong>, Simply Done.<br />
Smart <strong>Security</strong>, Simply Done.<br />
Distributor<br />
Digital SIMA SA<br />
Distributor<br />
sales@digitalsima.gr<br />
Digital<br />
Distributor<br />
SIMA SA
T<strong>75</strong>06/07/08.2022<br />
Cover Issue<br />
Η Ζωή των Επαγγελματιών<br />
της Ασφάλειας Πληροφοριών<br />
Mε το μεταβαλλόμενο οικονομικό πλαίσιο που βασίζεται όλο και περισσότερο στις πληροφορίες<br />
και τις απαραίτητες πια τεχνολογίες που αποσκοπούν στην ασφάλεια των πληροφοριών αυτών,<br />
ο τίτλος «Ειδικός Ασφάλειας Πληροφοριών» έχει γίνει λαμπερός και εξωτικός, σε τέτοιο βαθμό<br />
που έχει κινήσει την περιέργεια αρκετών για τις προϋποθέσεις, τις απαιτήσεις και τον τρόπο<br />
ζωής αυτής της κατηγορίας των επαγγελματιών.<br />
τα πλαίσια του παρόντος άρθρου, θα γίνει<br />
Σ<br />
προσπάθεια να αποτυπωθούν οι διαφορετικές<br />
πτυχές ενός επαγγελματία της<br />
ασφάλειας πληροφοριών, τόσο μέσα από<br />
προσωπικές εμπειρίες, όσο και από την πλέον<br />
εικοσαετή συναναστροφή του γράφοντος με αντίστοιχους<br />
επαγγελματίες.<br />
Η ώθηση και το κίνητρο<br />
Με την αυξητική εξέλιξη του αριθμού και του μεγέθους των<br />
κυβερνοεπιθέσεων στο πρόσφατο παρελθόν, η Κυβερνοασφάλεια<br />
ειδικότερα, και η Ασφάλεια Πληροφοριών γενικά,<br />
βρέθηκε στο επίκεντρο, ενώ τα τελευταία χρόνια σχετικά<br />
θέματα ξεκίνησαν να συζητούνται στα τραπέζια των διοικητικών<br />
συμβουλίων των οργανισμών.<br />
14 security
Παναγιώτης Καλαντζής<br />
Cyber <strong>Security</strong> & Data Privacy Expert<br />
Οι σχετικές δεξιότητες άρχισαν να καθίστανται απαραίτητες<br />
και η σχετική ζήτηση εξειδικευμένων αντίστοιχων προφίλ<br />
παρουσίασε (και ακόμα παρουσιάζει) αυξητική τάση, με<br />
αποτέλεσμα να παρατηρηθεί μετατόπιση επαγγελματιών και<br />
σπουδαστών από άλλους κλάδους, στον κλάδο της ασφάλειας.<br />
Αυτονόητα, λοιπόν, η εξέλιξη αυτή δεν μπορούσε να αφήσει<br />
ανεπηρέαστη την εξέλιξη (μισθολογική και άλλη), καθώς<br />
και το στάτους του ρόλου των επαγγελματιών ασφάλειας<br />
μέσα στους οργανισμούς.<br />
Από την άλλη, δεν είναι σπάνιο το γεγονός ότι στον χώρο συναντά<br />
κανείς ανθρώπους, φοιτητές και επαγγελματίες, που<br />
επιδεικνύουν ένα άνευ όρων πάθος για την κυβερνοασφάλεια<br />
και την ασφάλεια πληροφοριών, καθοδηγούμενο<br />
από την αγνή ικανοποίηση της ανακάλυψης μιας νέας<br />
ευπάθεια ή μιας μεθόδου παράκαμψης ενός μέτρου ασφάλειας<br />
ή της ευχαρίστησης της συμμετοχής σε ένα διαγωνισμό<br />
CTF (Capture The Flag) που συνήθως προγραμματίζεται τα<br />
Σαββατοκύριακα και διαρκεί όλη τη νύχτα.<br />
Αφορά η Ασφάλεια Πληροφοριών αποκλειστικά<br />
την ασφάλεια των πληροφοριών;<br />
Συνήθως μιλάμε για την Κυβερνοασφάλεια και την Ασφάλεια<br />
Πληροφοριών σαν να είναι δύο ξεχωριστά πράγματα. Αν το<br />
δούμε σε επίπεδο ορισμού, η Κυβερνοασφάλεια αφορά την<br />
ασφάλεια σε τεχνολογίες: φορητοί και επιτραπέζιοι υπολογιστές,<br />
διακομιστές, κινητά τηλέφωνα, ενσωματωμένα συστήματα<br />
και πολλά άλλα. Η εστίαση είναι πράγματι στις πληροφορίες,<br />
αλλά η προϋπόθεση είναι ότι αυτές θα πρέπει να<br />
αποθηκευτούν ή να υποβληθούν σε επεξεργασία με ένα από<br />
τα παραπάνω αναφερόμενα μέσα.<br />
Αντίθετα, η ασφάλεια των πληροφοριών εστιάζει στις πληροφορίες,<br />
ανεξάρτητα από το μέσο που χρησιμοποιείται για<br />
την αποθήκευση ή την επεξεργασία τους. Αν οι πληροφορίες<br />
αποθηκεύονται σε σκληρό δίσκο, είναι γραμμένες σε χαρτί, ή<br />
στο κεφάλι ενός υπαλλήλου, θα πρέπει, σε κάθε περίπτωση,<br />
να είναι ασφαλείς (ναι, μπορούμε να «ασφαλίσουμε» πληροφορίες<br />
μέσα στα κεφάλια των εργαζομένων, για παράδειγμα<br />
μέσω ρητρών εμπιστευτικότητας στις συμβάσεις εργασίας<br />
τους, που καλούνται NDA: Non-Disclosure Agreements /<br />
Σύμφωνα Μη Αποκάλυψης).<br />
Μια ακόμα διαφορά είναι ότι η διαχείριση της Κυβερνοασφάλειας<br />
γίνεται σε τεχνικό επίπεδο και επίπεδο λειτουργιών<br />
του οργανισμού, ενώ η διαχείριση της ασφάλειας<br />
των πληροφοριών γίνεται σε επίπεδο διακυβέρνησης<br />
(governance), αλλά και σε διευθυντικό επίπεδο και<br />
επίπεδο λειτουργιών για ορισμένες διαδικασίες.<br />
Εκ των ανωτέρω προκύπτει ότι, στην ερώτηση που τέθηκε<br />
παραπάνω («Αφορά η Ασφάλεια Πληροφοριών αποκλειστικά<br />
την ασφάλεια των πληροφοριών;»), η απάντηση είναι αρνητική.<br />
Πλήθος διεθνών και άλλων προτύπων και πλαισίων<br />
χρησιμεύουν ως εργαλεία διαχείρισης της ασφάλειας των<br />
πληροφοριών, αλλά σαν επαγγελματίες του χώρου πρέπει<br />
να έχουμε υπόψη μας και άλλες οπτικές, όπως νομικές, κανονιστικές,<br />
και συμβατικές απαιτήσεις, είναι απαραίτητες. Σίγουρα<br />
η Ασφάλεια Πληροφοριών σχετίζεται με πληροφορίες,<br />
αλλά όχι αποκλειστικά με την ασφάλεια των πληροφοριών.<br />
Μερικές φορές οι απαιτήσεις ασφάλειας σχετίζονται με μια<br />
συγκεκριμένη επιχειρησιακή απόφαση, ή με έναν πελάτη που<br />
επιβάλλει μια απαίτηση κατά τη διάρκεια εκτέλεσης μιας σύμβασης<br />
παροχής υπηρεσιών. Τέτοιες απαιτήσεις δεν πρέπει να<br />
εικάζονται, αλλά να ελέγχονται και να επιβάλλεται η συμμόρφωση<br />
με αυτές, ώστε να αποφεύγονται σχετικά μελλοντικά<br />
προβλήματα, είτε με πελάτες είτε με τις ελεγκτικές αρχές,<br />
όταν τα πράγματα δεν εξελίσσονται όπως θα επιθυμούσαμε.<br />
Πως επιτυγχάνουμε το στόχο μας<br />
Για να απαντήσουμε σε αυτήν την ερώτηση, ας ρίξουμε μια<br />
ματιά στο τι κάνει ένας επαγγελματίας Ασφάλειας Πληροφοριών<br />
σε ένα έργο εφαρμογής ή/και στο κομμάτι του<br />
ελέγχου ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών<br />
(Information <strong>Security</strong> Management System –<br />
ISMS) σύμφωνα με το πρότυπο ISO/IEC 27001.<br />
Σε αυτήν την περίπτωση, ο επαγγελματίας θα πρέπει να:<br />
• συναντηθεί με την ανώτατη διοίκηση, τα ενδιαφερόμενα<br />
μέρη, διευθυντές, τεχνικούς και χρήστες<br />
• κάνει παρουσιάσεις, να διαχειριστεί το έργο, να επιτύχει<br />
εγκρίσεις και σχετικό προϋπολογισμό, να εκθέσει<br />
την πρόοδο του έργου κ.λπ.<br />
• συναντηθεί με τους υπεύθυνους διεργασιών για την<br />
εξασφάλιση της απαραίτητης τεκμηρίωσης - αυτό<br />
πολλές φορές περιλαμβάνει και διεργασίες εκτός της<br />
πληροφορικής<br />
security<br />
15
T<strong>75</strong>06/07/08.2022<br />
Cover Issue<br />
διεξαγωγή ελέγχων, όχι μόνο του ISMS αλλά και άλλων<br />
διαδικασιών, καθώς και τη διορατικότητα και τη<br />
δυνατότητα κατανόησης και επαλήθευσης της αποτελεσματικότητας<br />
όλων των διαδικασιών (εγκαταστάσεις,<br />
φυσική ασφάλεια, ανθρώπινοι πόροι κ.λπ.).<br />
Πέρα από τις παραπάνω δεξιότητες, ένας επαγγελματίας<br />
του τομέα της Ασφάλειας Πληροφοριών θα πρέπει<br />
να έχει πραγματική εμπειρία στην ασφάλεια των<br />
πληροφοριών και πληροφορικής, κατά προτίμηση στον<br />
τομέα της κυβερνοασφάλειας, σε διάφορα έργα, για διάφορους<br />
πελάτες, διαφορετικών επιχειρηματικών τομέων,<br />
ιδανικά σε διάφορες χώρες. Διαφορετικά, θα έχει<br />
μόνο θεωρητικές δεξιότητες, οι οποίες στην πραγματικότητα<br />
δε βοηθούν όσο θα μπορούσε κανείς να νομίζει.<br />
• διεξαγάγει συνεδρίες ευαισθητοποίησης και εκπαίδευσης<br />
για τους χρήστες<br />
• πραγματοποιήσει αυτοέλεγχους, ανάλυση κενών ή<br />
εσωτερικούς ελέγχους<br />
• εξασφαλίσει την παρακολούθηση των σχεδίων δράσης<br />
κ.λπ.<br />
Η παραπάνω λίστα εργασιών, που προφανώς δεν είναι<br />
εξαντλητική, υπονοεί ότι ο επαγγελματίας Ασφάλειας Πληροφοριών<br />
πρέπει να έχει δεξιότητες ασφαλείας, κάτι που<br />
είναι φυσιολογικό, αλλά επίσης - και αυτό που οι περισσότεροι<br />
ξεχνούν - τις μη τεχνικές δεξιότητες που απαιτούνται.<br />
Πιο συγκεκριμένα, ένας επαγγελματίας στον τομέα της<br />
Ασφάλειας Πληροφοριών πρέπει:<br />
• Να είναι καλός διαπραγματευτής, ώστε να μπορεί να<br />
πείσει τα ενδιαφερόμενα μέρη για το έργο - ή μέρη<br />
του έργου - του, για να πάρει την έγκριση και τη δέσμευσή<br />
τους.<br />
• Να έχει καλές επικοινωνιακές δεξιότητες, ώστε να<br />
μπορεί να μεταφέρει το μήνυμα και να βεβαιωθεί για<br />
την κατανόησή του από τον συνομιλητή.<br />
• Να είναι καλός παρουσιαστής με καλές δεξιότητες<br />
παρουσίασης, ώστε να μπορεί να παραδώσει το μήνυμα<br />
και να εξασφαλίσει την προσοχή του κοινού<br />
μέσω εξειδικευμένων τεχνικών παρουσίασης.<br />
• Να είναι καλός εκπαιδευτής, αφού το κοινό – στις περισσότερες<br />
των περιπτώσεων - θα είναι από διάφορους<br />
τομείς και μάλλον όχι σχετικοί με την Ασφάλεια<br />
Πληροφοριών.<br />
• Να είναι καλός διαχειριστής έργου, ώστε να εξασφαλίσει<br />
τη διεύθυνση και την ομαλή εκτέλεση των σχεδίων<br />
δράσης, καθώς και την τήρηση των προθεσμιών.<br />
• Να έχει πολυεπίπεδες γνώσεις, απαραίτητες στην<br />
Διατηρώντας το επίπεδο της εξειδίκευσης.<br />
Επιλογή ή Δίλημμα;<br />
Ορισμένες θέσεις εργασίας έχουν ελάχιστες απαιτήσεις αναφορικά<br />
με την ανάγκη ενημέρωσης και διαρκούς εκπαίδευσης<br />
των εργαζόμενων, ενώ σε κάποιες δεν υπάρχουν<br />
καν οι ελάχιστες αυτές απαιτήσεις. Η κτήση ενός πτυχίου<br />
ή ενός πιστοποιητικού είναι ικανή συνθήκη απασχόλησης.<br />
Αντίθετα, στον χώρο της Ασφάλειας Πληροφοριών και της<br />
κυβερνοασφάλειας, μια μεγάλη παύση μπορεί να μετατρέψει<br />
έναν ειδικό με 20 χρόνια εμπειρίας σε έναν απλό επαγγελματία<br />
του χώρου με ξεπερασμένες δεξιότητες.<br />
Οι τεχνολογίες προχωρούν και αναπτύσσονται γρήγορα,<br />
φέρνοντας νέα τρωτά σημεία, νέες απειλές, τεχνικές άμυνας<br />
και, συνεπακόλουθα, νέα πλαίσια, πρότυπα, νόμους και κανονισμούς.<br />
Αυτό είναι κάτι που δυσκολεύει έναν επαγγελματία<br />
σε θέματα ασφάλειας πληροφοριών να διατηρήσει το<br />
επίπεδο της εμπειρίας και της τεχνογνωσίας του.<br />
Το να φτάσουμε στο επόμενο επίπεδο είναι ένας άλλος αγώνας.<br />
Κοστίζει χρήματα, χρόνο και προσπάθεια για μάθηση<br />
και απόκτηση νέων δεξιοτήτων. Υπολογίζοντας την Απόδοση<br />
Επένδυσης κάθε εκπαίδευσης, απόκτησης γνώσεων<br />
ή πιστοποίησης, είναι ξεκάθαρο ότι δεν τίθεται θέμα επιλογής.<br />
Η συνεχής αναβάθμιση και εξέλιξη των δεξιοτήτων των<br />
επαγγελματιών Ασφάλειας Πληροφοριών είναι μονόδρομος.<br />
Πώς είναι η εργασία στον τομέα της Ασφάλειας<br />
Πληροφοριών;<br />
Υπάρχουν τρεις ρόλοι που μπορεί να έχει ένας επαγγελματίας<br />
Ασφάλειας Πληροφοριών: Υλοποιητής (ονομάζεται επίσης<br />
Σύμβουλος), Ελεγκτής (ή Αξιολογητής), ή Εκπαιδευτής.<br />
Ως Υλοποιητής, όταν η εργασία παρέχεται για μια εταιρεία<br />
παροχής συμβουλευτικών υπηρεσιών, συνήθως υπάρχει<br />
16 security
T<strong>75</strong>06/07/08.2022<br />
Cover Issue<br />
αυξημένη εκτίμηση, καθώς αποφέρει έσοδα στην εταιρεία<br />
παρέχοντας τεχνογνωσία στους πελάτες. Αυτό ισχύει επίσης<br />
και για ρόλους Ελέγχου και Εκπαίδευσης. Μόνο που οι πελάτες<br />
πολλές φορές έχουν διαφορετική άποψη, θεωρώντας<br />
τους πόρους αυτούς υπερπληρωμένους, άρα προκύπτει η<br />
απαίτηση να προσφέρουν περισσότερα από αντίστοιχους<br />
εσωτερικούς πόρους.<br />
Ως Ελεγκτής, πολλά εξαρτώνται από το πού προέρχεται ο<br />
ελεγκτής. Οι επιλογές διαφέρουν: μεταξύ άλλων, η πηγή του<br />
ελέγχου μπορεί να είναι μια αρχή, μια ρυθμιστική αρχή, ένας<br />
οργανισμός πιστοποίησης, ένας πελάτης που ασκεί το δικαίωμα<br />
ελέγχου, μια εταιρεία συμβούλων που διενεργεί έλεγχο<br />
ετοιμότητας ως προετοιμασία πιστοποίησης, ή ένας εσωτερικός<br />
έλεγχος. Αντίστοιχα, ο ελεγκτής έχει όλο και λιγότερη<br />
δύναμη και ανεξαρτησία. Ένας ελεγκτής που επιλέγεται από<br />
μια ρυθμιστική αρχή για τη διεξαγωγή ενός ελέγχου συμμόρφωσης,<br />
δε θα είχε αντίρρηση να στείλει μια έκθεση γεμάτη<br />
κόκκινες σημαίες, ενώ ένας εσωτερικός ελεγκτής, σε ορισμένες<br />
εταιρείες, μπορεί να σκεφτεί δύο φορές πριν αναφέρει<br />
μια μικρής σημασίας μη συμμόρφωση στην έκθεσή του,<br />
ειδικά όταν η πηγή της μη συμμόρφωσης προέρχεται από<br />
την ανώτατη διοίκηση.<br />
Ένας καλός Εκπαιδευτής ξέρει πώς και που να κατευθύνει<br />
το μάθημα, είναι εμπειρογνώμονας και ξέρει πώς να εξηγήσει<br />
τις εμπειρίες του με τον καλύτερο τρόπο. Υπάρχουν περιπτώσεις<br />
όπου οι υποψήφιοι μπορεί να προκαλέσουν τον<br />
εκπαιδευτή, δοκιμάζοντας ίσως τις γνώσεις τους, ωστόσο,<br />
οι καταστάσεις αυτές θα πρέπει να θεωρούνται ως εύκολα<br />
διαχειρίσιμες, οι οποίες, εάν αντιμετωπιστούν με επαγγελματισμό,<br />
μπορούν να φέρουν σημαντικά αποτελέσματα προς<br />
όλες τις εμπλεκόμενες πλευρές.<br />
Σε ορισμένες θέσεις εργασίας οι κίνδυνοι είναι φυσικοί, ενώ<br />
στην Ασφάλεια Πληροφοριών, όταν εμφανίζεται ένα σενάριο<br />
κινδύνου και δε γίνεται η διαχείρισή του όπως προβλέπεται,<br />
το πρώτο άτομο που θα ερωτηθεί σχετικά με την αστοχία είναι<br />
ο Διαχειριστής Κινδύνου.<br />
Οι ερωτήσεις μπορεί να αποτελέσουν μαθήματα ώστε να<br />
αποφευχθεί η αστοχία στο μέλλον, μπορεί να είναι ένας ευγενικός<br />
(ή, ίσως μερικές φορές, αγενής) τρόπος να κατηγορηθεί<br />
ο επαγγελματίας για αμέλεια ή έλλειψη ικανότητας,<br />
μπορεί ακόμα να είναι και μια ευθεία κατηγορία για εκ προθέσεως<br />
απάτη ή κλοπή, όταν πρόκειται για οικονομικές συναλλαγές.<br />
Ανάλογα με την επιχειρηματική κρισιμότητα και το<br />
πλαίσιό της (αρχές, ρυθμιστικές αρχές, πελάτες και πάροχοι),<br />
η ευθύνη ενός επαγγελματία Ασφάλειας Πληροφοριών μπορεί<br />
να ποικίλλει.<br />
Πρέπει να έχουμε όλοι στο μυαλό μας ότι η ασφάλεια των<br />
πληροφοριών σημαίνει πάνω από όλα ευθύνη. Είναι ένα<br />
επάγγελμα που απαιτεί τεράστια σοβαρότητα, υπευθυνότητα,<br />
και επαγγελματισμό.<br />
Ισορροπία προσωπικής και επαγγελματικής<br />
ζωής<br />
Δεδομένου του όγκου των ειδήσεων και των αλλαγών στις<br />
τεχνολογίες, στα πρότυπα, στα πλαίσια, στους νόμους και<br />
στους κανονισμούς, οι επαγγελματίες του χώρου αναγκάζονται<br />
να περνούν συχνά άγρυπνες νύχτες μεταξύ της απόκτησης<br />
νέων γνώσεων και δεξιοτήτων και τις υπερωρίες για<br />
συναντήσεις και τήρηση προθεσμιών που σε κάποιες περιπτώσεις<br />
η επαγγελματική ζωή απαιτεί. Αυτό οδηγεί, τις περισσότερες<br />
φορές, σε χρόνο μακριά από αγαπημένα πρόσωπα,<br />
πάθη ή χόμπι που μπορεί να έχει κανείς.<br />
Επομένως, η δυνατότητα δημιουργίας ενός ισορροπημένου<br />
προγράμματος και της σωστής διαχείρισης του χρόνου μπορεί<br />
να θεωρηθεί υψίστης σημασίας. Η επίτευξη μιας υγιούς<br />
ισορροπίας μεταξύ επαγγελματικής και προσωπικής ζωής<br />
μπορεί να χρειαστεί λίγο χρόνο και αποφασιστικότητα, αλλά<br />
είναι θεμελιώδης ως ανάγκη να τεθούν όρια για τον εαυτό<br />
σας. Μπορεί να φαίνεται λίγο σαν ταχυδακτυλουργικό κόλπο<br />
αρχικά. Παρόλα αυτά, μια καλή συμβουλή είναι η ύπαρξη<br />
ενός καθορισμένου καθημερινού προγράμματος εργασίας,<br />
εκμεταλλευόμενοι τις ώρες αιχμής της παραγωγικότητάς<br />
μας, έχοντας πάντα στο νου την σημασία της προσωπικής<br />
μας υγείας, ψυχικής και σωματικής.<br />
Η αφιέρωση χρόνου στον εαυτό μας, τα χόμπι, τα πάθη και<br />
τα πράγματα που μας προσφέρουν χαρά εκτός της δουλειάς,<br />
είναι ζωτική για εμάς. Όσο όμορφη κι αν είναι μια πλούσια<br />
επαγγελματική καριέρα, δεν πρέπει ποτέ να ξεχάσουμε<br />
να αφιερώνουμε χρόνο για τον εαυτό μας, τους φίλους και<br />
την οικογένειά μας.<br />
18 security
security<br />
19
T<strong>75</strong>06/07/08.2022<br />
Interview<br />
Ενοποιημένη τεχνολογική προσέγγιση<br />
ασφάλειας, ευαισθητοποίηση και<br />
εκπαιδεύσεις<br />
Με αφορμή την επίσκεψη του και τη συμμετοχή<br />
του ως ομιλητή στο πρώτο “Check Point<br />
Cyber Leaders’ Summit”- που διοργανώθηκε<br />
στις 23 Ιουνίου στην Αθήνα και αποτέλεσε<br />
μια πολύ επιτυχημένη εκδήλωση για τον<br />
τομέα της κυβερνοασφάλειας – συναντήσαμε<br />
τον Jonathan Fischbein, Chief Information<br />
<strong>Security</strong> Officer της Check Point Software<br />
Technologies και συνομιλήσαμε μαζί του για<br />
μια σειρά σημαντικών και επίκαιρων θεμάτων<br />
που αποτυπώνονται στη συνέντευξη που μας<br />
παραχώρησε.<br />
Συνέντευξή με τον Jonathan Fischbein<br />
Chief Information <strong>Security</strong> Officer & DPO<br />
Check Point Software Technologies Ltd<br />
Παρακολουθώντας τα αποτελέσματα των τελευταίων<br />
ερευνών που πραγματοποιεί η Check Point<br />
Software και το τμήμα Check Point Research,<br />
μπορούμε να διαπιστώσουμε πόσο περίπλοκο και<br />
εξελιγμένο είναι το τοπίο απειλών στον κυβερνοχώρο<br />
σήμερα. Μπορείτε να μας δώσετε κάποια<br />
πολύ βασικά σημεία που αποτυπώνουν το περιβάλλον<br />
των προηγμένων επιθέσεων και τις τάσεις<br />
που το καθορίζουν.<br />
Η πανδημία του Covid-19 και η αλλαγή των συνηθειών μας,<br />
όπως η εισαγωγή της απομακρυσμένης εργασίας, χωρίς οι<br />
εταιρείες να είναι προετοιμασμένες γι' αυτό, όσον αφορά<br />
τα συστήματά τους και την ασφάλεια που πρέπει να εφαρμόσουν,<br />
είχε ως αποτέλεσμα οι εγκληματίες του κυβερνοχώρου<br />
να βρουν ένα προσοδοφόρο έδαφος για να δραστηριοποιηθούν.<br />
Οι προηγμένες απειλές (Gen V) είναι μεγάλης<br />
κλίμακας επιθέσεις πολλαπλών φορέων που έχουν σχεδιαστεί<br />
για να μολύνουν πολλαπλά συστήματα μιας τεχνολογικής<br />
υποδομής, συμπεριλαμβανομένων δικτύων, εικονικών<br />
μηχανών, instances cloud και endpoint. Οι επιθέσεις Gen 5<br />
μπορεί να είναι εξαιρετικά επικίνδυνες επειδή μπορούν να<br />
εξαπλωθούν γρήγορα και να ξεπεράσουν τις συμβατικές<br />
άμυνες που βασίζονται στην ανίχνευση, όπως τα firewalls.<br />
20 security
Αποτελούν μέρος της φυσικής εξέλιξης<br />
των απειλών, καθώς οι προηγμένες<br />
άμυνες αναγκάζουν τους<br />
επιτιθέμενους να τελειοποιούν την<br />
τέχνη τους.<br />
Σε ένα επιχειρηματικό οικοσύστημα<br />
όπου εμφανίζονται<br />
αρκετοί οικονομικοί περιορισμοί,<br />
πώς μπορεί η Check<br />
Point και οι συνεργάτες της<br />
να βοηθήσουν στην προστασία<br />
των δεδομένων και<br />
των υποδομών πληροφορικής<br />
όχι μόνο των μεγάλων<br />
οργανισμών αλλά και μικρομεσαίων<br />
εταιρειών εδώ<br />
στην Ελλάδα αλλά και σε<br />
άλλες χώρες;<br />
Με την εφαρμογή μιας ισχυρής προστασίας στον κυβερνοχώρο<br />
απέναντι στις επιθέσεις, μπορούν και πρέπει να ωφεληθούν<br />
όλοι ανεξαρτήτως μεγέθους, και οι οργανισμοί και οι<br />
μικρομεσαίες επιχειρήσεις. Αν και υπάρχουν πολλαπλά μέσα<br />
για την αποτροπή τέτοιων επιθέσεων, το πρώτο βήμα που<br />
πρέπει να κάνει ένας οργανισμός είναι να εφαρμόσει λογισμικό<br />
ικανό να καλύψει ολόκληρη την εταιρεία, να προστατεύσει<br />
τα τελικά σημεία και τις συσκευές της εταιρείας και<br />
να υποστηρίζεται από τακτικά αντίγραφα ασφαλείας, ώστε,<br />
σε περίπτωση κυβερνοεπίθεσης, να έχει τη δυνατότητα να<br />
επαναφέρει όλα τα δεδομένα. Οποιαδήποτε συσκευή είναι<br />
συνδεδεμένη στο δίκτυο μπορεί να αποτελέσει πύλη για την<br />
παραβίαση της ασφάλειας, γι' αυτό είναι σημαντικό να διασφαλίζονται<br />
όλα τα τελικά σημεία. Είναι ιδιαίτερα κρίσιμο<br />
για απομακρυσμένα ή υβριδικά περιβάλλοντα εργασίας να<br />
αποφεύγονται οι παραβιάσεις ασφαλείας και η παραβίαση<br />
δεδομένων. Επίσης, όλοι οι εργαζόμενοι θα πρέπει να εκπαιδεύονται<br />
όσον αφορά τις απειλές και τα θέματα γύρω από<br />
την κυβερνοασφάλεια, ώστε να αποτελούν οι ίδιοι το πρώτο<br />
εμπόδιο σε κάθε απόπειρα επίθεσης, όπως το ηλεκτρονικό<br />
ψάρεμα μέσω email ή SMS. Έχετε κατά νου ότι η πρόληψη<br />
είναι ένα από τα καλύτερα διαθέσιμα μέτρα προστασίας.<br />
Μια βιώσιμη επιλογή για τις μικρομεσαίες επιχειρήσεις είναι<br />
επίσης να εξετάσουν το ενδεχόμενο εγκατάστασης ενός<br />
Managed <strong>Security</strong> Service Provider - MSSP το οποίος<br />
θα διαθέτει ειδικούς πόρους, ενημερωμένο λογισμικό ασφαλείας<br />
και εξειδικευμένη τεχνολογία για την παρακολούθηση<br />
και την ανάλυση απειλών για λογαριασμό των μικρομεσαίων<br />
Ο Jonathan Fischbein ανέπτυξε στον Βλάση Αμανατίδη την προσέγγιση της Check Point<br />
για την αντιμετώπιση των σύγχρονων προκλήσεων ασφάλειας στο κυβερνοχώρο<br />
επιχειρήσεων. Αυτό είναι ιδιαίτερα χρήσιμο για τις μικρομεσαίες<br />
επιχειρήσεις που δεν διαθέτουν ούτε το χρόνο ούτε<br />
τους πόρους για να επιβάλουν επαρκώς την ανίχνευση και<br />
την αντιμετώπιση απειλών.<br />
Οι σύγχρονες απαιτήσεις στα πλαίσια υιοθέτησης<br />
του ψηφιακού μετασχηματισμού θέλουν ισχυρές<br />
λύσεις προστασίας πληροφορικής που όμως να<br />
συμβαδίζουν με τις υπόλοιπες υποδομές και να<br />
ευθυγραμμισμένες με τους ευρύτερους επιχειρηματικούς<br />
στόχους. Πώς το επιτυγχάνει αυτό το<br />
Check Point;<br />
Οι απειλές στον κυβερνοχώρο έχουν διαφορετικά σχήματα<br />
και μεγέθη και χρησιμοποιούν διάφορες τακτικές για να<br />
δημιουργήσουν χάος, ιδίως σε απροετοίμαστους και απροστάτευτους<br />
οργανισμούς και τους ενδιαφερόμενους φορείς<br />
τους. Το κακόβουλο λογισμικό, οι επιθέσεις DDoS και οι επιθέσεις<br />
phishing είναι ορισμένες εξελιγμένες μέθοδοι που<br />
χρησιμοποιούνται από κακόβουλους φορείς. Επιπλέον, κάθε<br />
επίθεση εκμεταλλεύεται διαφορετικά τρωτά σημεία για να διεισδύσει<br />
στους οργανισμούς είτε μέσω ανθρώπινου λάθους,<br />
είτε μέσω τελικών σημείων, εφαρμογών ή τρωτών σημείων<br />
δικτύου. Για να παραμείνετε ασφαλείς στο σημερινό όλο και<br />
πιο επικίνδυνο τοπίο απειλών, η κυβερνοασφάλεια απαιτεί<br />
μια ολοκληρωμένη και ενοποιημένη προσέγγιση που καλύπτει<br />
όλες τις βάσεις, από το endpoint έως το κέντρο δεδομένων<br />
και το cloud. Ενώ αυτό είναι τεχνικά εφικτό με μια προσέγγιση<br />
πολλαπλών προμηθευτών, απλά δεν είναι βιώσιμο<br />
security<br />
21
T<strong>75</strong>06/07/08.2022<br />
Interview<br />
στα εργαλεία διαχείρισης του Infinity επιτρέπουν στους οργανισμούς<br />
να εφαρμόζουν ελέγχους σε όλη την επιχείρηση.<br />
για τους οργανισμούς που θέλουν να ακολουθήσουν μια μακροπρόθεσμη,<br />
εξορθολογισμένη και οικονομικά αποδοτική<br />
προσέγγιση της ασφάλειας. Για αυτούς τους οργανισμούς, η<br />
ενοποίηση είναι η απάντηση.<br />
Οι οργανισμοί σε όλο τον κόσμο θα αναζητήσουν τεχνολογικούς<br />
συνεργάτες που παρέχουν πλατφόρμες ασφαλείας<br />
πολλαπλών λειτουργιών που καλύπτουν περισσότερες από<br />
μία ανάγκες - επειδή πρέπει να ενοποιήσουν τους προμηθευτές<br />
με τους οποίους συνεργάζονται για να αντιμετωπίσουν<br />
την πρόκληση να επιτύχουν περισσότερη ασφάλεια με<br />
λιγότερη οικονομική δαπάνη. Για να πετύχουν την ενοποίηση<br />
θα χρειαστούν παρόχους πλατφορμών που θα παρέχουν κεντρικά,<br />
αυτοματοποιημένα εργαλεία διαχείρισης που αναλύουν<br />
τη συνολική υγεία και τη λειτουργική αποδοτικότητα των<br />
συστημάτων που συντηρούν, ενώ παράλληλα θα διασφαλίζουν<br />
τη μετακίνηση των λειτουργιών πληροφορικής τους στο<br />
cloud. Το Check Point Infinity έχει δημιουργηθεί για να επιλύσει<br />
αυτές τις στρατηγικές επιταγές. Το Infinity παρέχει μια<br />
ολοκληρωμένη αρχιτεκτονική ασφάλειας σε όλο το cloud, το<br />
δίκτυο, το endpoint και το mobile. Η ηγετική θέση της Check<br />
Point στην αγορά στις τεχνολογίες πρόληψης απειλών παρέχει<br />
ποιοτικό πλεονέκτημα. Τέλος, τα αποτελεσματικά, εύχρη-<br />
Κλείνοντας, μιας και είστε CISO & DPO της εταιρίας,<br />
θα θέλαμε να μιλήσουμε για τον ανθρώπινο<br />
παράγοντα που θεωρούμε ισότιμο αν όχι σημαντικότερο<br />
από τις τεχνολογίες. Πώς προσεγγίζετε το<br />
ζήτημα του ανθρώπινου παράγοντα, της ευαισθητοποίησης,<br />
της εκπαίδευσης και της πιστοποίησης<br />
στον τομέα της ασφάλειας στον κυβερνοχώρο<br />
Δεν είναι μυστικό ότι ο ανθρώπινος παράγοντας είναι ο πιο<br />
αδύναμος κρίκος για τη δημιουργία ασφαλών ψηφιακών<br />
περιβαλλόντων. Στην Check Point δεν φροντίζουμε μόνο<br />
για την εφαρμογή της καλύτερης ασφάλειας, αλλά πραγματοποιούμε<br />
και τακτικές εκπαιδεύσεις για τους υπαλλήλους<br />
μας, ώστε οι άνθρωποι να αναπτύξουν νοοτροπία ασφάλειας.<br />
Η γνώση είναι δύναμη. Η διεξαγωγή τακτικών εκπαιδεύσεων<br />
ασφαλείας που ενδυναμώνουν τους εργαζόμενους με<br />
τις γνώσεις και τις δεξιότητες για να παραμένουν ασφαλείς<br />
στον κυβερνοχώρο στην δουλειά και στο σπίτι ελαχιστοποιεί<br />
τους κινδύνους να δεχτούν επίθεση. Με προσομοιώσεις και<br />
εκατοντάδες πηγές πληροφόρησης και κατάρτισης, ενδυναμώνουμε<br />
τους υπαλλήλους να εντοπίζουν, να αναφέρουν<br />
και να καταπολεμούν το έγκλημα στον κυβερνοχώρο. Στο<br />
πλαίσιο της εκπαιδευτικής ομπρέλας της Check Point για την<br />
ασφάλεια στον κυβερνοχώρο, που ονομάζεται Check Point<br />
MIND, η εταιρεία προσφέρει ένα ευρύ φάσμα εκπαιδεύσεων<br />
για την ασφάλεια στον κυβερνοχώρο και πιστοποιήσεων του<br />
κλάδου. Από το πρόγραμμα SecureAcademy που παρέχει<br />
παγκόσμια εκπαίδευση σε θέματα ασφάλειας στον κυβερνοχώρο<br />
μέσω συνεργασιών με περισσότερα από 140 ανώτατα<br />
εκπαιδευτικά ιδρύματα σε 40 χώρες για την ανάπτυξη των<br />
γνώσεων των φοιτητών σε θέματα ασφάλειας στον κυβερνοχώρο,<br />
έως τη δωρεάν ηλεκτρονική μάθηση, τα μαθήματα<br />
προσομοίωσης Cyber Range και HackerPoint. Διαθέτουμε<br />
επίσης τη λύση Check Point SmartAwareness, η οποία<br />
είναι μια πλατφόρμα εκπαίδευσης σε θέματα ασφάλειας για<br />
επιχειρήσεις που έχει ως στόχο να προετοιμάσει κάθε εργαζόμενο<br />
με κορυφαία στον κλάδο εκπαίδευση ευαισθητοποίησης<br />
σε θέματα ασφάλειας στον κυβερνοχώρο, ώστε<br />
να είναι έτοιμοι όταν χτυπήσει μια πραγματική επίθεση. Το<br />
Check Point Cyber <strong>Security</strong> Awareness παρέχει εξατομικευμένη<br />
εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας<br />
και anti-phishing για να σας βοηθήσει να δεσμεύσετε κάθε<br />
εργαζόμενο, να διατηρήσετε την εκπαίδευση σχετική και να<br />
παραδώσετε την εκπαίδευση αυτόματα σε όσους την χρειάζονται<br />
περισσότερο.<br />
22 security
CL8 Secure SD-WAN<br />
Branch Office<br />
powered by Cisco<br />
Connect any user to any application with integrated capabilities<br />
for multicloud, security, unified communications, and<br />
application optimization.<br />
SD-WAN<br />
On-premises | Cloud | Multitenant<br />
Any Deployment<br />
Automation | Network | Insights | Analytics<br />
Open | Programmable | Scalable<br />
Any Service<br />
Branch<br />
<strong>Security</strong><br />
Cloud<br />
<strong>Security</strong><br />
Application<br />
Quality of<br />
Experience<br />
UC, Voice and<br />
Collaboration<br />
Cloud<br />
OnRamp<br />
Any Transport<br />
Satellite<br />
Internet<br />
MPLS<br />
5G/LTE<br />
Any Location<br />
Branch<br />
Colocation<br />
Cloud<br />
OUR CLOUD. YOUR WAY.
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
Αποτροπή Απώλειας<br />
Δεδομένων (DLP) για κρίσιμες<br />
επιχειρηματικές πληροφορίες<br />
Η πρόληψη ή αποτροπή απώλειας δεδομένων (DLP – Data Loss Prevention ) είναι η πρακτική<br />
που επιδιώκει να προστατεύσει τις επιχειρηματικές πληροφορίες αλλά και τα προσωπικά<br />
δεδομένα από παραβιάσεις αποτρέποντας την εξαγωγή τους εκτός δικτύου.<br />
ο DLP αναφέρεται επίσης σε τεχνολογικά εργαλεία<br />
που επιτρέπουν σε ένα διαχειριστή δι-<br />
Τ<br />
κτύου να παρακολουθεί δεδομένα στα οποία<br />
έχουν πρόσβαση και μοιράζονται οι τελικοί<br />
χρήστες. Οι λύσεις DLP μπορούν να χρησιμοποιηθούν<br />
για την ταξινόμηση και την ιεράρχηση της ασφάλειας<br />
των δεδομένων. Μπορείτε επίσης να χρησιμοποιήσετε<br />
αυτές τις λύσεις για να διασφαλίσετε ότι οι πολιτικές πρόσβασης<br />
πληρούν τη συμμόρφωση με τους κανονισμούς, συμπεριλαμβανομένων<br />
των HIPAA, GDPR και PCI-DSS. Οι λύσεις<br />
DLP μπορούν επίσης να προχωρήσουν πέρα από την απλή<br />
ανίχνευση, την παροχή ειδοποιήσεων, την επιβολή κρυπτογράφησης<br />
και την απομόνωση δεδομένων.<br />
Μερικά κοινά χαρακτηριστικά των λύσεων DLP είναι:<br />
• Παρακολούθηση – παροχή ορατότητας σχετικά με το<br />
ποιος έχει πρόσβαση σε δεδομένα και συστήματα και<br />
από πού<br />
• Φιλτράρισμα – φιλτράρετε ροές δεδομένων για να<br />
περιορίσετε την ύποπτη ή μη αναγνωρισμένη δραστηριότητα<br />
• Αναφορές - καταγραφή και αναφορές χρήσιμες για<br />
την αντιμετώπιση περιστατικών και τον έλεγχο<br />
• Ανάλυση - προσδιορίστε τα τρωτά σημεία και την<br />
ύποπτη συμπεριφορά και παρέχετε εγκληματολογικό<br />
πλαίσιο στις ομάδες ασφαλείας<br />
Πώς λειτουργεί το DLP;<br />
Υπάρχουν δύο κύριες τεχνικές προσεγγίσεις για το DLP:<br />
1. Η ανάλυση περιβάλλοντος εξετάζει μόνο τα μεταδεδομένα<br />
ή άλλες ιδιότητες του εγγράφου, όπως η<br />
κεφαλίδα, το μέγεθος και η μορφή.<br />
2. Η ευαισθητοποίηση περιεχομένου περιλαμβάνει<br />
την ανάγνωση και την ανάλυση του περιεχομένου<br />
ενός εγγράφου για να προσδιοριστεί εάν περιλαμβάνει<br />
ευαίσθητες πληροφορίες.<br />
Οι σύγχρονες λύσεις DLP συνδυάζουν και τις δύο αυτές προσεγγίσεις.<br />
Στο πρώτο στάδιο, το DLP εξετάζει το πλαίσιο ενός<br />
εγγράφου για να δει αν μπορεί να ταξινομηθεί. Εάν το ευρύτερο<br />
πλαίσιο είναι ανεπαρκές, διερευνάται μέσα στο έγγραφο<br />
χρησιμοποιώντας την επίγνωση περιεχομένου.<br />
24 security
Του Βλάση Αμανατίδη<br />
Υπάρχουν πολλές τεχνικές που χρησιμοποιούνται συνήθως<br />
για το content awareness:<br />
• Βάσει κανόνων – ανάλυση του περιεχομένου ενός<br />
εγγράφου χρησιμοποιώντας συγκεκριμένους κανόνες,<br />
για παράδειγμα, αναζητώντας αριθμούς πιστωτικών<br />
καρτών ή αριθμούς κοινωνικής ασφάλισης. Αυτή<br />
η προσέγγιση είναι πολύ αποτελεσματική ως αρχικό<br />
φίλτρο, επειδή είναι εύκολο να διαμορφωθεί και να<br />
επεξεργαστεί, αλλά συνήθως συνδυάζεται με πρόσθετες<br />
τεχνικές.<br />
• Λεξικά – συνδυάζοντας τη χρήση λεξικών, ταξινομιών<br />
και λεξικών κανόνων, η λύση DLP μπορεί να εντοπίσει<br />
έννοιες που υποδεικνύουν ευαίσθητες πληροφορίες<br />
σε μη δομημένα δεδομένα. Αυτό απαιτεί προσεκτική<br />
προσαρμογή στα δεδομένα κάθε οργανισμού.<br />
• Ακριβής αντιστοίχιση δεδομένων – δημιουργεί<br />
ένα "δακτυλικό αποτύπωμα" των δεδομένων και αναζητά<br />
ακριβείς αντιστοιχίσεις σε μια ένδειξη σφαλμάτων<br />
βάσης δεδομένων ή σε μια βάση δεδομένων που<br />
εκτελείται αυτήν τη στιγμή.<br />
• Ακριβής αντιστοίχιση αρχείων – δημιουργεί έναν<br />
κατακερματισμό ολόκληρου του αρχείου και αναζητά<br />
αρχεία που ταιριάζουν με αυτόν τον κατακερματισμό.<br />
Περιπτώσεις χρήσης DLP<br />
Οι λύσεις DLP μπορούν να είναι χρήσιμες σε διάφορες περιπτώσεις<br />
χρήσης, όπως:<br />
• Διασφάλιση συμμόρφωσης για προσωπικές πληροφορίες<br />
– Εάν ο οργανισμός σας πρέπει να συμμορφώνεται<br />
με κανονισμούς όπως ο ΓΚΠΔ ή ο HIPAA,<br />
το DLP μπορεί να σας βοηθήσει να εντοπίσετε και να<br />
ταξινομήσετε ευαίσθητες πληροφορίες, να προσθέσει<br />
τα απαιτούμενα στοιχεία ελέγχου ασφαλείας και να<br />
σας βοηθήσει να ρυθμίσετε την παρακολούθηση και<br />
την αναφορά για την προστασία των δεδομένων.<br />
• Αποτροπή τελικών σημείων χρήστη διαρροής δεδομένων<br />
– Οι λύσεις DLP μπορούν να προστατεύσουν<br />
τα δεδομένα που είναι αποθηκευμένα σε τελικά σημεία<br />
όπως κινητές συσκευές και φορητούς υπολογιστές, τα<br />
οποία διατρέχουν υψηλό κίνδυνο επειδή συνδέονται σε<br />
μη ασφαλή δίκτυα και ενδέχεται να χαθούν ή να κλαπούν.<br />
Το DLP μπορεί να εντοπίσει ύποπτα συμβάντα σε<br />
μια συσκευή και να ειδοποιήσει τις ομάδες ασφαλείας<br />
ότι υπάρχει κίνδυνος απώλειας δεδομένων.<br />
• Εντοπισμός δεδομένων – Το DLP μπορεί να ανακαλύπτει<br />
και να ταξινομεί συνεχώς τα ευαίσθητα δεδομένα<br />
του οργανισμού, είτε είναι αποθηκευμένα σε τελικά<br />
σημεία, συστήματα αποθήκευσης ή διακομιστές. Μπορεί<br />
επίσης να παρέχει ορατότητα σχετικά με το ποιος χρησιμοποιεί<br />
τα δεδομένα και ποιες ενέργειες εκτελούν.<br />
• Αποτρέψτε την εξαγωγή δεδομένων - Οι εξελιγμένοι<br />
επιτιθέμενοι πραγματοποιούν στοχευμένες<br />
επιθέσεις στον κυβερνοχώρο, συνήθως με στόχο την<br />
κλοπή ευαίσθητων δεδομένων. Σε περίπτωση παραβίασης,<br />
οι λύσεις DLP μπορούν να αποτρέψουν την<br />
εξαγωγή δεδομένων εντοπίζοντας μια ύποπτη μεταφορά<br />
δεδομένων, μπλοκάροντάς την και ειδοποιώντας<br />
τις ομάδες ασφαλείας.<br />
• Κεντρική διαχείριση ευαίσθητων δεδομένων –<br />
Οι λύσεις DLP παρέχουν κεντρικό έλεγχο σε όλα τα<br />
στοιχεία ευαίσθητων δεδομένων, επιτρέποντάς σας<br />
να ορίσετε πολιτικές, να παραχωρήσετε ή να ανακαλέσετε<br />
πρόσβαση και να δημιουργήσετε αναφορές<br />
συμμόρφωσης.<br />
Τάσεις που επηρεάζουν το DLP<br />
• Ανάπτυξη του ρόλου CISO - Οι επικεφαλής ασφάλειας<br />
πληροφοριών των οργανισμών (CISO) είναι υπεύθυνοι<br />
για διαρροές δεδομένων και χρησιμοποιούν μια<br />
πολιτική DLP ως εργαλείο για να αποκτήσουν ορατότητα<br />
και να αναφέρουν επιχειρηματικές πληροφορίες.<br />
• Εξελισσόμενες απαιτήσεις συμμόρφωσης – Νέοι<br />
κανονισμοί εισάγονται συνεχώς. Μετά τον ΓΚΠΔ στην<br />
Ευρώπη, ακολούθησαν πολλοί παρόμοιοι νόμοι περί<br />
απορρήτου σε όλο τον κόσμο. Οι πολιτικές DLP μπορούν<br />
να βοηθήσουν στη συμμόρφωση με αυτούς<br />
τους νέους κανονισμούς και άλλους σαν αυτούς.<br />
• Υπάρχουν περισσότερες ευκαιρίες τώρα για τα<br />
δεδομένα σας να τεθούν σε κίνδυνο - Οι επιχειρήσεις<br />
σήμερα χρησιμοποιούν εργαλεία που είναι<br />
δύσκολο να παρακολουθούνται, όπως δίκτυα εφοδιαστικής<br />
αλυσίδας και αποθήκευση στο cloud. Αυτό<br />
αυξάνει την πολυπλοκότητα της προστασίας των<br />
security<br />
25
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
δεδομένων. Η ακριβής γνώση των δεδομένων που<br />
υπερβαίνουν τα οργανωτικά όρια είναι ζωτικής σημασίας<br />
για την πρόληψη της κατάχρησης.<br />
• Η εξαγωγή δεδομένων είναι ένας αυξανόμενος<br />
κίνδυνος - Τα ευαίσθητα δεδομένα είναι ένας ελκυστικός<br />
στόχος για τους επιτιθέμενους. Ο αριθμός των<br />
απόπειρων και επιτυχημένων παραβιάσεων δεδομένων<br />
σε οργανισμούς όλων των μεγεθών αυξάνεται<br />
ραγδαία και έχει δει μια απότομη κλίση από την αρχή<br />
της μετάβασης που οφείλεται στην πανδημία στην<br />
απομακρυσμένη εργασία.<br />
• Εσωτερικές απειλές - Η απώλεια δεδομένων προκαλείται<br />
όλο και περισσότερο από κακόβουλους<br />
εσωτερικούς χρήστες, παραβιασμένους προνομιακούς<br />
λογαριασμούς ή τυχαία κοινή χρήση δεδομένων<br />
από υπαλλήλους.<br />
• Τα κλεμμένα δεδομένα αξίζουν περισσότερο - Ο<br />
σκοτεινός ιστός επιτρέπει στους αντιπάλους να αγοράζουν<br />
και να πωλούν κλεμμένες πληροφορίες. Η<br />
κλοπή δεδομένων είναι μια κερδοφόρα επιχείρηση.<br />
• Περισσότερα δεδομένα για κλοπή - Το πεδίο εφαρμογής<br />
και ο ορισμός των ευαίσθητων δεδομένων έχει<br />
διευρυνθεί με την πάροδο του χρόνου. Τα ευαίσθητα<br />
δεδομένα περιλαμβάνουν πλέον άυλα περιουσιακά<br />
στοιχεία, για παράδειγμα, επιχειρηματικές μεθοδολογίες<br />
και μοντέλα τιμολόγησης.<br />
3 λόγοι για την εφαρμογή πολιτικής πρόληψης<br />
απώλειας δεδομένων<br />
Η πρόσβαση στη σύγχρονη αποθήκευση δεδομένων είναι<br />
δυνατή από απομακρυσμένες τοποθεσίες και μέσω υπηρε-<br />
σιών cloud. Τα laptops και τα κινητά τηλέφωνα περιέχουν<br />
ευαίσθητες πληροφορίες και αυτά τα τελικά σημεία είναι συχνά<br />
ευάλωτα σε hacking, κλοπή και απώλεια. Γίνεται όλο και<br />
πιο δύσκολο να διασφαλιστεί ότι τα δεδομένα της εταιρείας<br />
είναι ασφαλή, καθιστώντας το DLP μια κρίσιμη στρατηγική.<br />
1. Συμμόρφωση - Οι επιχειρήσεις υπόκεινται σε υποχρεωτικά<br />
πρότυπα συμμόρφωσης που επιβάλλονται<br />
από κυβερνήσεις (όπως HIPAA, SOX, PCI DSS). Αυτά<br />
τα πρότυπα συχνά ορίζουν τον τρόπο με τον οποίο οι<br />
επιχειρήσεις πρέπει να προστατεύουν τις προσωπικά<br />
αναγνωρίσιμες πληροφορίες (PII) και άλλα ευαίσθητα<br />
δεδομένα. Μια πολιτική DLP είναι ένα βασικό πρώτο<br />
βήμα για τη συμμόρφωση και τα περισσότερα εργαλεία<br />
DLP είναι κατασκευασμένα για να ανταποκρίνονται<br />
στις απαιτήσεις των κοινών προτύπων.<br />
2. Πνευματική ιδιοκτησία και άυλα περιουσιακά<br />
στοιχεία – Ένας οργανισμός μπορεί να έχει εμπορικά<br />
μυστικά, άλλες στρατηγικές ιδιοκτησιακές πληροφορίες<br />
ή άυλα περιουσιακά στοιχεία, όπως λίστες<br />
πελατών και επιχειρηματικές στρατηγικές. Η απώλεια<br />
αυτού του τύπου πληροφοριών μπορεί να είναι εξαιρετικά<br />
επιζήμια, καθιστώντας την άμεσο στόχο για<br />
επιτιθέμενους και κακόβουλους εσωτερικούς. Μια<br />
πολιτική DLP μπορεί να βοηθήσει στον εντοπισμό και<br />
την προστασία κρίσιμων στοιχείων πληροφοριών.<br />
3. Ορατότητα δεδομένων - Η εφαρμογή μιας πολιτικής<br />
DLP μπορεί να παρέχει πληροφορίες σχετικά με τον<br />
τρόπο με τον οποίο οι ενδιαφερόμενοι χρησιμοποιούν<br />
τα δεδομένα. Προκειμένου να προστατευθούν οι ευαίσθητες<br />
πληροφορίες, οι οργανισμοί πρέπει πρώτα να<br />
γνωρίζουν ότι υπάρχουν, πού κατοικούν, ποιοι έχουν<br />
πρόσβαση σε αυτές και για ποιους σκοπούς χρησιμοποιούνται.<br />
Συμβουλές για τη δημιουργία μιας επιτυχημένης<br />
πολιτικής DLP<br />
• Ταξινόμηση και ερμηνεία δεδομένων – Προσδιορίστε<br />
ποιες πληροφορίες πρέπει να προστατεύονται<br />
αξιολογώντας τους παράγοντες κινδύνου και το επίπεδο<br />
ευπάθειας. Επενδύστε στην ταξινόμηση και την<br />
ερμηνεία των δεδομένων, επειδή αυτή είναι η βάση<br />
για την εφαρμογή μιας πολιτικής προστασίας δεδομένων<br />
που ταιριάζει στις ανάγκες του οργανισμού σας.<br />
• Κατανομή ρόλων – Καθορίστε με σαφήνεια τον ρόλο<br />
κάθε ατόμου που εμπλέκεται στη στρατηγική πρόληψης<br />
της απώλειας δεδομένων.<br />
• Ξεκινήστε ασφαλίζοντας τα πιο ευαίσθητα δεδομένα -<br />
26 security
Ξεκινήστε επιλέγοντας ένα συγκεκριμένο είδος πληροφοριών<br />
για προστασία, το οποίο αντιπροσωπεύει<br />
τον μεγαλύτερο κίνδυνο για την επιχείρηση.<br />
• Αυτοματοποιήστε όσο το δυνατόν περισσότερο<br />
- Όσο περισσότερες διαδικασίες DLP αυτοματοποιούνται,<br />
τόσο ευρύτερα θα μπορείτε να τις αναπτύξετε<br />
στον οργανισμό σας. Οι μη αυτόματες διαδικασίες<br />
DLP είναι εγγενώς περιορισμένες ως προς το πεδίο<br />
εφαρμογής τους και τον όγκο των δεδομένων που<br />
μπορούν να καλύψουν.<br />
• Χρησιμοποιήστε την ανίχνευση ανωμαλιών –<br />
Ορισμένα σύγχρονα εργαλεία DLP χρησιμοποιούν<br />
μηχανική εκμάθηση και ανάλυση συμπεριφοράς, αντί<br />
για απλή στατιστική ανάλυση και κανόνες συσχέτισης,<br />
για τον εντοπισμό μη φυσιολογικής συμπεριφοράς<br />
των χρηστών. Κάθε χρήστης και ομάδα χρηστών διαμορφώνεται<br />
με μια γραμμή βάσης συμπεριφοράς,<br />
επιτρέποντας τον ακριβή εντοπισμό ενεργειών δεδομένων<br />
που ενδέχεται να αντιπροσωπεύουν κακόβουλη<br />
πρόθεση.<br />
• Εμπλέξτε ηγέτες στον οργανισμό - Η διαχείριση<br />
είναι το κλειδί για να λειτουργήσει το DLP, επειδή οι<br />
πολιτικές είναι άχρηστες εάν δεν μπορούν να επιβληθούν<br />
σε οργανωτικό επίπεδο.<br />
• Εκπαιδεύστε τους ενδιαφερόμενους - Η απλή<br />
εφαρμογή μιας πολιτικής DLP δεν αρκεί. Επενδύστε<br />
στην ευαισθητοποίηση των ενδιαφερόμενων μερών<br />
και των χρηστών των δεδομένων σχετικά με την πολιτική,<br />
τη σημασία της και το τι πρέπει να κάνουν για<br />
να προστατεύσουν τα δεδομένα του οργανισμού σας.<br />
• Τεκμηρίωση της στρατηγικής DLP – Η τεκμηρίωση<br />
της πολιτικής DLP απαιτείται από διάφορα πρότυπα<br />
συμμόρφωσης. Παρέχει επίσης σαφήνεια σχετικά με<br />
τις απαιτήσεις πολιτικής και την επιβολή, τόσο σε ατομικό<br />
όσο και σε οργανωτικό επίπεδο.<br />
4 βέλτιστες πρακτικές πρόληψης απώλειας<br />
δεδομένων<br />
1. Η ταξινόμηση των δεδομένων πρέπει να είναι κεντρικής<br />
σημασίας για την εκτέλεση του DLP<br />
Πριν από την εφαρμογή μιας λύσης DLP, δώστε ιδιαίτερη<br />
προσοχή στη φύση των ευαίσθητων πληροφοριών της εταιρείας<br />
σας και στον τρόπο με τον οποίο ρέουν από το ένα σύστημα<br />
στο άλλο. Προσδιορισμός του τρόπου με τον οποίο οι<br />
πληροφορίες μεταφέρονται στους καταναλωτές του. Αυτό<br />
θα αποκαλύψει διαδρομές μετάδοσης και αποθετήρια δεδομένων.<br />
Ταξινομήστε τα ευαίσθητα δεδομένα κατηγοριοποι-<br />
ώντας τα με ετικέτες, όπως "δεδομένα υπαλλήλων", "πνευματική<br />
ιδιοκτησία" και "οικονομικά δεδομένα".<br />
Διερευνήστε και καταγράψτε όλα τα σημεία εξόδου δεδομένων.<br />
Οι οργανωτικές διαδικασίες ενδέχεται να μην τεκμηριώνονται<br />
και δεν πραγματοποιούνται όλες οι κινήσεις δεδομένων<br />
ως μέρος μιας συνηθισμένης πρακτικής.<br />
2. Καθιερώστε πολιτικές εκ των προτέρων<br />
Συμμετοχή του προσωπικού πληροφορικής και επιχειρήσεων<br />
στα αρχικά στάδια της ανάπτυξης πολιτικής. Αυτό το στάδιο<br />
της διαδικασίας θα πρέπει να περιλαμβάνει τον προσδιορισμό:<br />
• Κατηγορίες δεδομένων που έχουν ξεχωρίσει<br />
• Βήματα που πρέπει να εφαρμοστούν για την καταπολέμηση<br />
των αθέμιτων πρακτικών<br />
• Μελλοντική ανάπτυξη της στρατηγικής DLP<br />
• Βήματα που πρέπει να ληφθούν εάν υπάρχει ασυνήθιστη<br />
δραστηριότητα<br />
Πριν τεθεί σε εφαρμογή η στρατηγική DLP, είναι σημαντικό να<br />
καθιερωθούν διαδικασίες διαχείρισης συμβάντων και να διασφαλιστεί<br />
ότι είναι πρακτικές για κάθε κατηγορία δεδομένων.<br />
3. Πώς να ξεκινήσετε<br />
Το πρώτο βήμα για την εφαρμογή του DLP είναι η παρακολούθηση<br />
των οργανωτικών δεδομένων. Αυτό σας επιτρέπει<br />
να προβλέψετε και να βελτιώσετε την επίδραση που μπορεί<br />
να έχει το DLP στην οργανωτική κουλτούρα και τις λειτουργίες.<br />
Αποκλείοντας ευαίσθητες πληροφορίες πολύ νωρίς,<br />
μπορεί να επηρεάσετε αρνητικά τις κεντρικές επιχειρηματικές<br />
δραστηριότητες. Το DLP παρέχει πολλές πληροφορίες,<br />
όπως η διαδρομή μετάδοσης και η θέση όλων των ευαίσθητων<br />
πληροφοριών, οι οποίες μπορεί να είναι συντριπτικές.<br />
Αντισταθείτε στον πειρασμό να προσπαθήσετε να λύσετε όλα<br />
τα ζητήματα προστασίας δεδομένων σας ταυτόχρονα.<br />
4. Να ξέρετε ότι η τεχνολογία DLP έχει τους περιορισμούς<br />
της<br />
• Κρυπτογράφηση - Τα εργαλεία DLP μπορούν να εξετάσουν<br />
μόνο κρυπτογραφημένες πληροφορίες που<br />
αρχικά αποκρυπτογραφούν. Εάν οι χρήστες κρυπτογραφήσουν<br />
δεδομένα με κλειδιά στα οποία δεν μπορούν<br />
να έχουν πρόσβαση οι χειριστές του συστήματος<br />
DLP, οι πληροφορίες είναι αόρατες.<br />
• Εμπλουτισμένα μέσα - Τα εργαλεία DLP γενικά δεν<br />
είναι χρήσιμα όταν εργάζεστε με εμπλουτισμένα μέσα<br />
όπως εικόνες και βίντεο, επειδή δεν μπορούν να αναλύσουν<br />
και να ταξινομήσουν το περιεχόμενό τους.<br />
• Κινητό - Οι λύσεις DLP δεν μπορούν να παρακολουθήσουν<br />
όλους τους τύπους σύγχρονης κινητής επικοινωνίας,<br />
όπως μηνύματα που αποστέλλονται από<br />
την ιδιωτική κινητή συσκευή ενός χρήστη.<br />
security<br />
27
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
Data Loss Prevention: Εν αρχή ην...<br />
τα Endpoints!<br />
ο cloud κερδίζει διαρκώς έδαφος στην προτίμηση<br />
των εταιρειών για τη φιλοξενία υποδο-<br />
Τ<br />
μών, λειτουργιών και υπηρεσιών. Παράλληλα,<br />
έννοιες όπως το «BYOD» και το «Work<br />
from home», που μέχρι πριν λίγα χρόνια<br />
ήταν απλώς «trends», έχουν πλέον εγκαθιδρυθεί για τα καλά<br />
στην σύγχρονη επιχειρηματική κουλτούρα. Αυτονόητα, η<br />
κλασσική «περίμετρος» μιας επιχείρησης, όπως τη γνωρίζαμε<br />
μέχρι πρότινος, αποτελεί οριστικά παρελθόν. Την ίδια στιγμή,<br />
το ενδεχόμενο παραβίασης ανησυχεί τις επιχειρήσεις σε<br />
ποσοστό 70% παγκόσμια, ενώ, σε ετήσια βάση, το 34% των<br />
επιχειρήσεων έρχονται αντιμέτωπες με εσωτερικές απειλές.<br />
Με τους ενδογενείς κι εξωγενείς παράγοντες να διευρύνονται<br />
συνεχώς και να επηρεάζουν ολοένα και περισσότερο<br />
την εταιρική ασφάλεια, το κρίσιμο παραμένει η διασφάλιση<br />
της προστασίας των ευαίσθητων εταιρικών δεδομένων,<br />
που αποτελεί το «Άγιο Δισκοπότηρο» για κάθε επιχείρηση.<br />
Υπολογίζεται ότι η απώλεια δεδομένων για έναν οργανισμό με<br />
έως 500 εργαζομένους, ανέρχεται κατά μέσο όρο σε 2,64<br />
εκατ. δολ.! Σε κάθε περίπτωση, ανεξάρτητα από το μέγεθος<br />
μιας επιχείρησης, ενδεχόμενη απώλεια δεδομένων, εκτός από<br />
τον τεράστιο οικονομικό αντίκτυπο, μεταφράζεται σε πλήγμα<br />
για τη φήμη και τη διαλειτουργικότητά της.<br />
Endpoints αμφιβόλου ασφαλείας: Bring Your<br />
Own Danger!<br />
Ο διαρκώς αυξανόμενος αριθμός των endpoints που ενσωματώνονται<br />
σε ένα εταιρικό δίκτυο, αποτελεί πονοκέφαλο για<br />
τους διαχειριστές των υποδομών πληροφοριακών<br />
συστημάτων. Ειδικότερα, λόγω<br />
των αναγκών που δημιουργήθηκαν<br />
εν μέσω πανδημίας, καταγράφηκε τεράστια<br />
αύξηση ενσωμάτωσης στα εταιρικά<br />
δίκτυα επιτραπέζιων, φορητών και<br />
κινητών συσκευών, που έλυσε μεν το<br />
προφανές πρόβλημα, μιας και οι εργαζόμενοι<br />
είχαν τη δυνατότητα να εργαστούν<br />
απομακρυσμένα, ωστόσο δημιούργησε<br />
άλλα, ακόμη πιο σύνθετα προβλήματα.<br />
Δεν είναι μόνο η διεύρυνση του attack<br />
surface, αλλά και το γεγονός πώς οι συγκεκριμένες<br />
συσκευές δεν ήταν προορισμένες για εταιρική<br />
χρήση και προφανώς δε συνάδουν με τα πρότυπα ασφάλειας<br />
και τις πολιτικές μιας επιχείρησης. Παρωχημένο<br />
λογισμικό, μη εγκεκριμένες εφαρμογές και -μάλλονανύπαρκτο<br />
επίπεδο ασφάλειας, είναι μόνο ορισμένοι από<br />
τους παράγοντες που δημιουργούν κενά ασφαλείας. Δεδομένου<br />
δε ότι καμία παραδοσιακή λύση endpoint security<br />
δεν μπορεί να τα αντιμετωπίσει αποτελεσματικά, είναι ικανά<br />
να προκαλέσουν τεράστια ζητήματα στη λειτουργία ενός<br />
οργανισμού, θέτοντας ταυτόχρονα σε κίνδυνο τα δεδομένα<br />
που διακινούνται από και προς αυτές.<br />
Ανεξέλεγκτο επίπεδο πρόσβασης με<br />
διαχειριστικά δικαιώματα<br />
Εκτός από την ασφάλεια των endpoints, ύψιστης σημασίας<br />
για τη διασφάλιση της προστασίας των κρίσιμων δεδομένων<br />
μιας επιχείρησης, αποτελεί το επίπεδο πρόσβασης<br />
των χρηστών σε αυτά. Πληθώρα διαχειριστικών λογαριασμών,<br />
προνομιακή πρόσβαση αδιακρίτως, ξεχασμένοι<br />
τοπικοί λογαριασμοί διαχειριστή, αυξάνουν την ευπάθεια<br />
και την τρωτότητα κάθε οργανισμού.<br />
Εξάλλου, η επιτυχής υιοθέτηση μοντέλου ασφάλειας «Zero<br />
Trust», που αποτελεί μονόδρομο για την ανθεκτικότητα<br />
των οργανισμών στις αναδυόμενες προκλήσεις, έγκειται<br />
αποκλειστικά στον ανθρώπινο παράγοντα. Έτσι, το επίπεδο<br />
πρόσβασης πρέπει να παρέχεται σύμφωνα με το ρόλο που<br />
διαδραματίζει κάποιος μέσα σε μια επιχείρηση, κι όχι βάσει<br />
ιεραρχίας. Ειδικότερα για τα C-Level στελέχη που αποτε-<br />
28 security
Γράφει ο Ανδρέας Καραντώνης<br />
Marketing & Communications Director Cysoft<br />
www.cysoft.gr<br />
λούν τους πρωταρχικούς και πλέον ευάλωτους στόχους<br />
για τους κυβερνοεγκληματίες, ο περιορισμός της πρόσβασης<br />
στο ελάχιστο, είναι επιτακτικός.<br />
Περιφερειακές συσκευές και file shadowing<br />
Ένας ακόμη καταλυτικός παράγοντας για την προστασία των<br />
δεδομένων, είναι να διασφαλίζεται ότι τα μέσα αποθήκευσης<br />
αλλά και κάθε περιφερειακή συσκευή που συνδέεται στους<br />
εταιρικούς σταθμούς εργασίας, δεν λαμβάνει πρόσβαση σε δεδομένα<br />
χωρίς εξουσιοδότηση. Έτσι, συστήνεται ο καταρτισμός<br />
λίστας με τις αξιόπιστες συσκευές που εξουσιοδοτούμε<br />
να έχουν πρόσβαση κατά περίπτωση, ενώ προτείνονται ενέργειες<br />
όπως η επιβολή αυστηρής πολιτική ελέγχου πρόσβασης<br />
βάσει ρόλων, ο ορισμός συγκεκριμένων ευαίσθητων<br />
αρχείων μόνο για ανάγνωση, το μπλοκάρισμα κάθε απόπειρας<br />
αντιγραφής ή μετακίνησης δεδομένων κτλ. Επιπρόσθετα,<br />
στις περιπτώσεις που επιτρέπεται η μεταφορά αρχείων,<br />
θα πρέπει να περιορίζεται με συγκεκριμένα κριτήρια, όπως<br />
το μέγεθος ή / και ο τύπος. Το file shadowing, είναι ένα εξίσου<br />
χρήσιμο μέτρο που μπορεί να αποτρέψει αποτελεσματικά<br />
την απώλεια ευαίσθητων αρχείων. Δημιουργώντας<br />
ασφαλή αντίγραφα των αρχείων που εμπλέκονται σε λειτουργίες<br />
μεταφοράς, καταγράφοντας σε πραγματικό χρόνο<br />
σημαντικές λεπτομέρειες όπως η τοποθεσία και η ονομασία<br />
των αρχείων, μαζί με τις συσκευές, τα τερματικά και τους χρήστες<br />
που εμπλέκονται, και αποθηκεύοντάς τα σε μια ασφαλή<br />
θέση, μπορούμε εύκολα και γρήγορα να εντοπίσουμε τυχόν<br />
απολεσθέντα αρχεία και να τα ανακτήσουμε.<br />
Λύσεις για προστασία αρχείων και ολιστικής<br />
διαχείρισης των endpoints από την<br />
ManageEngine<br />
Η ManageEngine είναι ένας εκ των κορυφαίων κατασκευαστών<br />
λογισμικού για πληροφοριακά συστήματα, παγκόσμια,<br />
και εξειδικεύεται σε λύσεις για Service Management,<br />
Unified Endpoint Management, Identity & Access<br />
Management, <strong>IT</strong> Operations Management, SIEM και<br />
Advanced <strong>IT</strong> Analytics, διαθέσιμες τόσο on-premise, όσο<br />
και cloud και MSP. Η εγνωσμένη αξία των λύσεων που διαθέτει<br />
η ManageEngine, αντικατοπτρίζεται στο γεγονός πώς περισσότερες<br />
από 280 χιλιάδες εταιρείες σε 190 χώρες, την<br />
εμπιστεύονται για να αντιμετωπίσουν πολύπλοκα ζητήματα διαχείρισης<br />
των υποδομών πληροφορικής. Για την προστασία<br />
των ευαίσθητων εταιρικών δεδομένων και συνολικότερα<br />
για τη διαχείριση και ασφάλεια των endpoints, προτείνονται:<br />
Endpoint DLP Plus: Το ManageEngine Endpoint DLP Plus<br />
είναι ένα πλήρες λογισμικό DLP που έχει σχεδιαστεί για<br />
να προστατεύει ευαίσθητα δεδομένα σε διαχειριζόμενα<br />
endpoints, αξιοποιώντας προηγμένες στρατηγικές πρόληψης<br />
απώλειας δεδομένων, οι οποίες περιλαμβάνουν τον εντοπισμό<br />
και την ταξινόμηση δεδομένων καθώς και τον καθορισμό<br />
κανόνων για εξουσιοδοτημένη χρήση και ασφαλή μετακίνηση.<br />
Ενδείκνυται για μικρές και μικρο-μεσαίες επιχειρήσεις.<br />
Data<strong>Security</strong> Plus: Το ManageEngine Data<strong>Security</strong> Plus,<br />
είναι μια διττή λύση για την καταπολέμηση των εσωτερικών<br />
απειλών, την πρόληψη της απώλειας δεδομένων και<br />
την εκπλήρωση των απαιτήσεων συμμόρφωσης με τα<br />
κανονιστικά πρότυπα. Παρακολουθεί τους διακομιστές αρχείων<br />
Windows και παρέχει ειδοποιήσεις σε πραγματικό<br />
χρόνο για κάθε αλλαγή ή μετακίνηση που εντοπίζει, για τις<br />
ενέργειες των χρηστών σε αρχεία και εις βάθος ανάλυση<br />
των προσπαθειών πρόσβασης σε αυτά. Ιδανική επιλογή για<br />
μικρο-μεσαίες επιχειρήσεις.<br />
Endpoint Central: Η ολοκληρωμένη σουίτα διαχείρισης και<br />
ασφάλειας των εταιρικών endpoints από την ManageEngine,<br />
γνωστή μέχρι πρότινος ως Desktop Central. Μια πολυβραβευμένη<br />
και διεθνώς αναγνωρισμένη ενοποιημένη<br />
λύση, που βοηθά στη διαχείριση διακομιστών, φορητών<br />
κι επιτραπέζιων υπολογιστών, smartphone και tablet,<br />
από μια ενιαία κονσόλα. Με απεριόριστες δυνατότητες παραμετροποίησης<br />
και αυτοματοποίησης όλων των εργασιών<br />
ρουτίνας, όπως ενημερώσεις κώδικα λογισμικού και<br />
εφαρμογών τρίτων. Επιπλέον, επιτρέπει τη διαχείριση εταιρικών<br />
assets και αδειών λογισμικού, την παρακολούθηση<br />
στατιστικών χρήσης, τη διαχείριση συσκευών USB, τον<br />
απομακρυσμένο έλεγχο των endpoints και πολλές ακόμα<br />
λειτουργίες. Είναι μια σύγχρονη προσέγγιση στη διαχείριση<br />
και ασφάλεια των endpoints, που κλιμακώνεται ανάλογα με<br />
τις ανάγκες κάθε οργανισμού, ανεξαρτήτως μεγέθους και<br />
κλάδου δραστηριοποίησης.<br />
security<br />
29
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
Stop being as Sensitive as your<br />
Data…<br />
Οργανισμοί όλων των τύπων και μεγεθών συλλέγουν και αποθηκεύουν τεράστιες ποσότητες<br />
από κάθε είδους δεδομένα. Μια πολιτική πρόληψης απώλειας δεδομένων καθορίζει τον τρόπο<br />
με τον οποίο οι οργανισμοί μπορούν να μοιράζονται και να προστατεύουν τα δεδομένα.<br />
πολιτική πρόληψης καθοδηγεί πώς τα δεδομένα<br />
μπορούν να χρησιμοποιηθούν στη<br />
Η<br />
λήψη αποφάσεων χωρίς να εκτίθενται σε<br />
οποιονδήποτε δεν θα έπρεπε να έχει πρόσβαση<br />
σε αυτά.<br />
Ως Data Loss Prevention (DLP) ορίζεται ευρέως ως τεχνολογία<br />
ή διαδικασίες που:<br />
1. Προσδιορίζει εμπιστευτικά δεδομένα<br />
2. Παρακολουθεί τη χρήση δεδομένων<br />
3. Αποτρέπει τη μη εξουσιοδοτημένη πρόσβαση στα δεδομένα<br />
Τα εργαλεία που χρησιμοποιούνται από την DLP περιλαμβάνουν<br />
προϊόντα λογισμικού που μπορούν να ταξινομήσουν και<br />
να προστατεύσουν δεδομένα. Η DLP πολιτική καθοδηγεί τον<br />
τρόπο λειτουργίας αυτών των εργαλείων.<br />
Μέχρι στιγμής ξέρουμε:<br />
• Περισσότερο από το 35% των εφαρμογών Data Loss<br />
Prevention (DLP) αποτυγχάνουν.<br />
• Η εφαρμογή του DLP συχνά θεωρείται πρόκληση και<br />
οι ασυνεπείς πολιτικές Data Loss Prevention μπορεί<br />
να παρεμποδίσουν τις συνήθεις επιχειρηματικές δραστηριότητες.<br />
• Οι <strong>IT</strong> Managers που είναι υπεύθυνοι για την εφαρμογή<br />
του προγράμματος DLP συχνά αντιμετωπίζουν πολλές<br />
προκλήσεις κατά την εφαρμογή του.<br />
Εάν δεν είστε σίγουροι πώς να ξεκινήσετε, μπορεί να αναρωτηθείτε:<br />
º “Πού να ξεκινήσουμε;”<br />
º “Ποια δεδομένα είναι σημαντικά για την επιχείρηση;”<br />
º “Πού βρίσκονται όλα αυτά τα δεδομένα;”<br />
º “Σε ποιον ανήκουν τα δεδομένα;”<br />
Ένα πρόγραμμα DLP επιδιώκει να βελτιώσει την ασφάλεια<br />
των πληροφοριών και να προστατεύσει τις επιχειρηματικές<br />
πληροφορίες από παραβιάσεις δεδομένων. Δεν<br />
είναι απλώς ένα εργαλείο. Είναι μια προσέγγιση που συνδυάζει<br />
καθορισμένες διαδικασίες, καλά ενημερωμένα και εκπαιδευμένα<br />
άτομα και αποτελεσματικές τεχνολογίες. Το DLP<br />
δεν μπορεί να σταματήσει όλες τις επιθέσεις και ούτε μπορεί<br />
να μετριάσει τον κίνδυνο κακών επιχειρηματικών διαδικασιών.<br />
«Ένα πρόγραμμα DLP είναι μια μείωση του κινδύνου, όχι<br />
μια άσκηση εξάλειψης του κινδύνου», λέει ο Anthony Carpino,<br />
Διευθυντής Αναλυτής στη Gartner. Αντιμετωπίστε το DLP ως<br />
πρόγραμμα και διαδικασία, όχι ως τεχνολογία και ακολουθήστε<br />
συγκεκριμένα βήματα για να το εφαρμόσετε με επιτυχία.<br />
30 security
Γράφει ο Παναγιώτης Κούτσιος<br />
ICT & CS Solutions Architect, Algosystems S.A.<br />
www.algosystems.gr<br />
Σχεδιάζοντας ένα επιτυχημένο DLP πρόγραμμα<br />
Η αποτελεσματική πρόληψη της απώλειας δεδομένων απαιτεί<br />
μια ευρεία προσέγγιση. Είναι σημαντικό να μην υποκύψετε<br />
στον πειρασμό να επιλέξετε ένα μόνο πρόγραμμα λογισμικού<br />
και να νομίζετε ότι έχετε κάνει αρκετά. Τα δεδομένα που<br />
προστατεύετε είναι πολύ σημαντικά και οι πιθανές συνέπειες<br />
από την απώλειά τους είναι πολύ σοβαρές. Εδώ είναι τα<br />
βήματα που απαιτούνται για τη δημιουργία ενός πραγματικά<br />
αποτελεσματικού προγράμματος DLP.<br />
Πρώτον, εξασφαλίστε την έγκριση από την ηγεσία, συμπεριλαμβανομένων<br />
των επικεφαλής όλων των τμημάτων και<br />
τμημάτων που ενδέχεται να επηρεαστούν. Η υποστήριξή<br />
τους είναι απαραίτητη για την επιτυχία του προγράμματος.<br />
Δεύτερον, η διάκριση των κρίσιμων δεδομένων από τα μη<br />
κρίσιμα δεδομένα είναι ίσως το πιο σημαντικό βήμα για τη<br />
δημιουργία ενός προγράμματος πρόληψης απώλειας δεδομένων.<br />
Ακολουθούν μερικοί από τους τύπους δεδομένων<br />
που ίσως χρειαστεί να προσδιορίσετε:<br />
Intellectual property (IP) - Legal documents - Strategic<br />
planning documents - Sales data - Customer information -<br />
Personally identifiable information (PII) - Marketing data and<br />
forecasts - Operations documentation - Financial records -<br />
Human resources data - Government data - Passwords and<br />
other <strong>IT</strong> data - Data subject to any compliance regulations<br />
Προσθέστε ετικέτα σε κάθε κομμάτι κρίσιμων δεδομένων<br />
με μια ψηφιακή υπογραφή που υποδεικνύει τις ταξινομήσεις<br />
του, ώστε οι διάφορες λύσεις λογισμικού σας να μπορούν να<br />
το χειριστούν κατάλληλα.<br />
Τρίτον, μοντελοποιήστε τη δραστηριότητα γύρω από κάθε είδος<br />
κρίσιμων δεδομένων, συμπεριλαμβανομένου του ποιος<br />
έχει πρόσβαση σε αυτά και τι κάνει με αυτά. Προσδιορίστε τυχόν<br />
απειλές για την ασφάλεια κάθε τμήματος δεδομένων. Ποια<br />
τρωτά σημεία υπάρχουν σε κάθε σημείο του κύκλου ζωής<br />
των δεδομένων; Ποιος είναι υπεύθυνος για την ασφαλή χρήση<br />
των δεδομένων; Έχουν τα εργαλεία που χρειάζονται για να<br />
το προστατεύσουν; Αναλυτικά τι μπορεί να συμβεί εάν χαθούν<br />
τα δεδομένα. Φροντίστε να λάβετε υπόψη τόσο τις άμεσες επιπτώσεις<br />
στην επιχείρηση όσο και τις κυρώσεις συμμόρφωσης.<br />
Τέταρτον, καθορίστε ποιους στόχους θέλετε να επιτύχει το<br />
πρόγραμμα DLP, όπως:<br />
• Identifying risks and ways to address them<br />
• Safeguarding data in motion, in use and at rest<br />
• Keeping data available for use without increasing risk<br />
• Standardizing procedures for security, privacy, and<br />
compliance<br />
Πέμπτο, καθιερώστε διαδικασίες και πολιτικές για την αποθήκευση<br />
και το χειρισμό κρίσιμων δεδομένων, καθώς και λεπτομερή<br />
σχέδια απόκρισης για διαρροές δεδομένων και άλλα<br />
συμβάντα ασφαλείας. Το παρακάτω διάγραμμα προσφέρει μερικές<br />
αποδεδειγμένες βέλτιστες πρακτικές για τον ασφαλή χειρισμό<br />
κρίσιμων και ευαίσθητων δεδομένων. φροντίστε να δημιουργήσετε<br />
διαδικασίες για την εφαρμογή καθενός από αυτά.<br />
Έκτο, σκεφτείτε εάν το υπάρχον υλικό και το λογισμικό σας<br />
μπορούν να ανταποκριθούν στους στόχους DLP σας. Να θυμάστε<br />
ότι τα περισσότερα συστήματα προστασίας δεδομένων<br />
δεν μπορούν να ταξινομήσουν τα δεδομένα με ακρίβεια και<br />
συνέπεια. Εάν τα τρέχοντα συστήματά σας είναι ανεπαρκή,<br />
αξιολογήστε άλλες λύσεις, λαμβάνοντας υπόψη τόσο τους<br />
στόχους σας όσο και την ανάλυση κινδύνου/κόστους. Ποιες<br />
λειτουργίες χρειάζεστε και πόσο σας αξίζουν;<br />
Έβδομο, δημιουργήστε ευαισθητοποίηση εντός του οργανισμού<br />
σχετικά με τη σημασία του προγράμματος DLP. Συμπεριλάβετε<br />
πληροφορίες σχετικά με:<br />
• What constitutes critical data<br />
• How critical data should be handled in certain situations,<br />
including email and internet use<br />
• Which laws the company must comply with<br />
Προσαρμόστε την εκπαίδευση στις ανάγκες διαφορετικών<br />
ομάδων εργαζομένων και επαναλάβετε την σε τακτική βάση.<br />
Φροντίστε να δοκιμάζετε περιοδικά τους χρήστες σας<br />
και να παρακολουθείτε άτομα που δεν ακολουθούν τις κατάλληλες<br />
διαδικασίες.<br />
Όγδοο, επιλέξτε τον κατάλληλο συνεργάτη, με εμπειρία τόσο<br />
σε συναφή εργαλεία, αλλά κυρίως με εμπειρία σε πολύπλοκα<br />
έργα, σε εταιρίες του κλάδου σας (αν δυνατόν).<br />
«Το να (επι)βάλεις την όποια λύση DLP σε<br />
Preventive Mode δεν είναι δα και η πιο εύκολη απόφαση…»<br />
Άγνωστος (?)<br />
security<br />
31
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
Διασφαλίζοντας τα ευαίσθητα<br />
δεδομένα σας<br />
Το DLP ή Data Loss Prevention (Πρόληψη Απώλειας Δεδομένων) αποτελεί ένα σύνολο<br />
εργαλείων και διεργασιών που χρησιμοποιούνται για να διασφαλιστεί ότι θα αποτραπεί<br />
η απώλεια, η κατάχρηση ή η πρόσβαση σε ευαίσθητες, εταιρικές πληροφορίες από μη<br />
εξουσιοδοτημένους χρήστες.<br />
προστατεύσουν, είτε βρίσκονται σε<br />
κατάσταση ηρεμίας, είτε σε χρήση ή<br />
ακόμα και σε κίνηση (κατά τη μεταφορά<br />
τους). Το DLP επίσης παρέχει<br />
δυνατότητα δημιουργίας αναφορών<br />
για την εκπλήρωση των απαιτήσεων<br />
συμμόρφωσης και ελέγχου και τον<br />
εντοπισμό περιοχών αδυναμίας και<br />
ανωμαλιών για την ταχύτερη ανταπόκριση<br />
σε περιστατικά ασφαλείας<br />
και τη διευκόλυνση των εγκληματολογικών<br />
ερευνών.<br />
ο DLP ταξινομεί δεδομένα που είναι εμπιστευτικά<br />
και κρίσιμης σημασίας για τις επι-<br />
Τ<br />
χειρήσεις, εντοπίζοντας παραβιάσεις στις<br />
πολιτικές που έχουν οριστεί από τους διάφορους<br />
οργανισμούς ή που έχουν προκαθοριστεί<br />
από ένα σύνολο πολιτικών που εξαρτάται από την κανονιστική<br />
συμμόρφωση, όπως είναι τα πρότυπα GDPR,<br />
HIPAA ή PCI-DSS. Μόλις εντοπιστούν παραβιάσεις, το DLP<br />
επιβάλλει μέτρα αποκατάστασης με ειδοποιήσεις, κρυπτογράφηση<br />
και άλλες προστατευτικές ενέργειες για<br />
να αποτρέψει τους τελικούς χρήστες από την ακούσια,<br />
εσκεμμένη ή κακόβουλη κοινή χρήση δεδομένων που θα<br />
μπορούσαν να θέσουν τον οργανισμό σε κίνδυνο.<br />
Το λογισμικό και τα εργαλεία πρόληψης απώλειας δεδομένων<br />
ή διαρροής πληροφοριών (DLP), παρακολουθούν και<br />
ελέγχουν τις δραστηριότητες των τερματικών συσκευών<br />
(endpoints), φιλτράρουν ροές δεδομένων σε εταιρικά<br />
δίκτυα και παρακολουθούν δεδομένα που βρίσκονται<br />
αποθηκευμένα στο σύννεφο (cloud) για να τα<br />
Χρειάζομαι το DLP; Οι τρεις<br />
βασικές περιπτώσεις χρήσης<br />
Η πρόληψη απώλειας δεδομένων<br />
επιλύει τρεις βασικούς στόχους, που<br />
αποτελούν κοινά προβληματικά σημεία για πολλούς οργανισμούς:<br />
η προστασία/συμμόρφωση προσωπικών πληροφοριών,<br />
η προστασία πνευματικής ιδιοκτησίας (IP) και η ορατότητα<br />
στα δεδομένα.<br />
Προστασία Προσωπικών Δεδομένων/Συμμόρφωση: Αν<br />
η εταιρία σας συλλέγει και αποθηκεύει Προσωπικές Αναγνωριστικές<br />
Πληροφορίες (PII), Προστατευμένες Πληροφορίες<br />
Υγείας (PHI) ή Στοιχεία Πληρωμών με Κάρτες (PCI, τότε<br />
είναι πολύ πιθανό να υπόκεισθε σε κανονισμούς συμμόρφωσης,<br />
όπως είναι οι HIPAA (για την περίπτωση PHI) και GDPR<br />
(για την προστασία των προσωπικών δεδομένων των Ευρωπαίων<br />
πολιτών), οι οποίοι απαιτούν από τον οργανισμό σας<br />
να προστατεύει ευαίσθητες πληροφορίες και δεδομένα των<br />
πελατών σας. Το DLP είναι σε θέση να αναγνωρίζει, να<br />
ταξινομεί και να προσθέτει ετικέτες στα ευαίσθητα δεδομένα<br />
(π.χ. ανάλογα με το πόσο ευαίσθητα, εμπιστευτικά<br />
είναι τα δεδομένα) αλλά και να παρακολουθεί δραστηριότητες<br />
και συμβάντα που σχετίζονται με αυτά τα δεδομένα.<br />
Επιπλέον, οι δυνατότητες δημιουργίας αναφορών παρέ-<br />
32 security
Γιώργος Καπανίρης<br />
Executive Director , NSS<br />
www.nss.gr<br />
χουν όλες τις απαραίτητες λεπτομέρειες και τα στοιχεία που<br />
απαιτούνται για τους ελέγχους συμμόρφωσης.<br />
Προστασία Πνευματικής Ιδιοκτησίας (IP): Κατέχει ο οργανισμός<br />
σας πνευματική ιδιοκτησία και σημαντικά εμπορικά<br />
ή κρατικά μυστικά που θα μπορούσαν να θέσουν σε<br />
κίνδυνο την ευημερία ή και την επωνυμία του οργανισμού<br />
σας σε περίπτωση απώλειας ή κλοπής; Αν ναι, τότε υπάρχουν<br />
ορισμένες λύσεις DLP όπως είναι το Digital Guardian<br />
της HelpSystems που αξιοποιούν «context-based<br />
classification» για να ταξινομήσουν την πνευματική<br />
ιδιοκτησία σε δομημένη όσο και σε μη δομημένη μορφή.<br />
Έχοντας εφαρμόσει τις απαραίτητες πολιτικές και ελέγχους<br />
(controls), θα είστε σε θέση να προστατεύσετε τον οργανισμό<br />
σας από την ανεπιθύμητη διαρροή ή την εξαγωγή<br />
αυτών των δεδομένων.<br />
Ορατότητα δεδομένων: Αν η εταιρία σας επιθυμεί να έχει<br />
πρόσθετη ορατότητα στη διακίνηση δεδομένων, μία ολοκληρωμένη<br />
λύση DLP για επιχειρήσεις μπορεί να σας βοηθήσει<br />
να βλέπετε και να παρακολουθείτε τα δεδομένα σας<br />
που βρίσκονται σε τερματικές συσκευές (π.χ. desktop<br />
υπολογιστές ή laptops κ.ά.), σε δίκτυα ή και στο cloud.<br />
Έτσι, θα έχετε την πολυπόθητη ορατότητα στον τρόπο που<br />
μεμονωμένοι χρήστες εντός του οργανισμού σας αλληλεπιδρούν<br />
με τα εταιρικά δεδομένα.<br />
Παρόλο που οι τρεις κύριες περιπτώσεις χρήσης ενός συστήματος<br />
DLP είναι οι παραπάνω, στη πραγματικότητα οι μπορούν<br />
να δώσουν λύση και σε μία σειρά άλλων προβλημάτων<br />
σε σχέση με την ασφάλεια ενός οργανισμού. Πιο συγκεκριμένα,<br />
μπορούν να βοηθήσουν στον εντοπισμό απειλών από<br />
το εσωτερικό, την ασφάλεια δεδομένων του Office 365, την<br />
ανάλυση της συμπεριφοράς των χρηστών, τη λειτουργικότητα<br />
του νέφους (cloud) καθώς και τον εντοπισμό προηγμένων<br />
απειλών που ενδέχεται μία εταιρία να αντιμετωπίσει. Αθροίζοντας<br />
όλα τα παραπάνω μαζί με την αδιαμφισβήτητα ανοδική<br />
τάση που βλέπουμε στις μεγάλες παραβιάσεις δεδομένων,<br />
τότε θα λέγαμε ότι η μεγάλη αύξηση που παρατηρείται<br />
στην υιοθέτηση του DLP ως μέσο προστασίας ευαίσθητων<br />
δεδομένων είναι όχι απλά δικαιολογημένη, αλλά απαραίτητη.<br />
Οι τάσεις που έχουν οδηγήσει στην ευρύτερη<br />
υιοθέτηση του DLP<br />
1. Η αναβάθμιση του ρόλου του CISO: Όλο και περισσότερες<br />
εταιρείες προσλαμβάνουν άτομα για τη θέση του Chief<br />
Information <strong>Security</strong> Officer (CISOs) που συχνά αναφέρεται<br />
απευθείας στον Διευθύνοντα Σύμβουλο της εταιρείας. Οι<br />
CEOs γενικότερα, θέλουν να γνωρίζουν ποιο είναι το σχέδιο<br />
για την πρόληψη της διαρροής δεδομένων και μία αξιόπιστη<br />
λύση DLP προσφέρει μεγάλη αξία από αυτή σε μία επιχείρηση<br />
παρέχοντας στους CISOs τις απαραίτητες δυνατότητες<br />
δημιουργίας αναφορών για να παρέχουν τις τακτικές ενημερώσεις<br />
που απαιτούν οι σημερινοί CEOs.<br />
2. Εξελισσόμενοι κανονισμοί συμμόρφωσης: Οι παγκόσμιοι<br />
κανονισμοί προστασίας δεδομένων αλλάζουν συνεχώς<br />
και ο οργανισμός σας πρέπει να είναι προετοιμασμένος και<br />
να προσαρμόζεται αναλόγως στην οποιαδήποτε νομοθετική<br />
ρύθμιση και στους κανονισμούς. Τα τελευταία δύο χρόνια, νομοθέτες<br />
τόσο στην Ευρωπαϊκή Ένωση όσο και στην Πολιτεία<br />
της Νέας Υόρκης από την άλλη πλευρά του Ατλαντικού ψήφισαν<br />
τον Ευρωπαϊκό Γενικό Κανονισμό για την Προστασία<br />
των Δεδομένων ή GDPR και τον Κανονισμό για την Κυβερνοασφάλεια<br />
γνωστό ως NYDFS αντίστοιχα οι οποίοι αυστηροποίησαν<br />
σε μεγάλο βαθμό τις απαιτήσεις για την προστασία<br />
των δεδομένων. Οι λύσεις DLP παρέχουν στους οργανισμούς<br />
την ευελιξία να εξελίσσονται παράλληλα με τις αλλαγές στους<br />
κανονισμούς και στη νομοθεσία σε παγκόσμιο επίπεδο.<br />
3. Υπάρχουν περισσότερα μέρη πλέον για να προστατεύσετε<br />
τα δεδομένα σας: Η αυξημένη χρήση του cloud, τα<br />
περίπλοκα δίκτυα της εφοδιαστικής αλυσίδας και άλλες υπηρεσίες<br />
που δεν μπορείτε πλέον να ελέγξετε πλήρως, έχουν<br />
μετατρέψει την προστασία των δεδομένων σε πραγματική<br />
πρόκληση. Η ορατότητα επίσης πάνω στα συμβάντα και στο<br />
πλαίσιο των συμβάντων που περικλείει τα δεδομένα σας πριν<br />
«βγουν» εκτός του εταιρικού δικτύου, είναι σημαντική για να<br />
ελαχιστοποιήσετε τις πιθανότητες να πέσουν σε λάθος χέρια.<br />
4. Οι παραβιάσεις δεδομένων είναι συχνές και μεγάλες:<br />
Πρέπει να γνωρίζουμε ότι άτομα όπως κυβερνοεγκληματίες<br />
και κακόβουλοι υπάλληλοι, κάτοχοι εμπιστευτικών<br />
πληροφοριών (insiders) και άλλοι, στοχεύουν τα ευαίσθητα<br />
δεδομένα σας έχοντας διάφορα κίνητρα, όπως είναι η βιομηχανική<br />
κατασκοπεία, το προσωπικό οικονομικό όφελος ή<br />
ακόμα και το πολιτικό πλεονέκτημα. Μία λύση DLP μπορεί<br />
να σας προστατεύσει από κάθε είδους αντίπαλο, κακόβουλο<br />
ή μη. Τα τελευταία χρόνια, πραγματοποιήθηκαν χιλιάδες<br />
παραβιάσεις δεδομένων και τα περιστατικά ασφάλειας πολλαπλασιάστηκαν<br />
σχεδόν εκθετικά. Δισεκατομμύρια αρχεία<br />
χάνονται ή διαρρέουν σε γιγάντιες παραβιάσεις δεδομένων.<br />
Τι να πρωτοθυμηθούμε; Την διαρροή σχεδόν 200 εκατομμυρίων<br />
αρχείων ψηφοφόρων στις ΗΠΑ το 2015 από εσφαλμένη<br />
διαμόρφωση της βάσης δεδομένων; Tην τεράστια παραβίαση<br />
του Yahoo που σχεδόν κατέστρεψε την εταιρεία επηρεάζοντας<br />
3 δισεκατομμύρια χρήστες; Τις παραβιάσεις στα<br />
LinkedIn και Dropbox που επηρέασαν τουλάχιστον 773 εκατομμύρια<br />
χρήστες; Τα παραδείγματα είναι πολλά και τονίζουν<br />
την ανάγκη προστασίας των δεδομένων του οργανισμού σας.<br />
security<br />
33
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
5. Τα κλεμμένα δεδομένα αξίζουν πολλά: Τα δεδομένα<br />
που υποκλέπτονται πωλούνται συχνά σε ιστοσελίδες ή τοποθεσίες<br />
του σκοτεινού διαδικτύου (dark web) όπου άτομα<br />
και ομάδες μπορούν να τα αγοράσουν και να τα χρησιμοποιήσουν<br />
για δικό τους όφελος. Με ορισμένους τύπους δεδομένων<br />
να πωλούνται από μερικές χιλιάδες δολάρια έως και<br />
εκατομμύρια, το οικονομικό κίνητρο για την κλοπή των δεδομένων<br />
είναι σαφές.<br />
6. Υπάρχουν πλέον περισσότερα δεδομένα για κλοπή: Με<br />
τα χρόνια, ο ορισμός του τι αποτελεί ευαίσθητη πληροφορία ή<br />
ευαίσθητα δεδομένα έχει διευρυνθεί. Τα ευαίσθητα δεδομένα<br />
ή οι εμπιστευτικές πληροφορίες περιλαμβάνουν πλέον άϋλα<br />
περιουσιακά στοιχεία, όπως μοντέλα τιμολόγησης και επιχειρηματικές<br />
μεθοδολογίες. Καθώς η παγκοσμιοποίηση, ο ψηφιακός<br />
μετασχηματισμός και η εστίαση στις υπηρεσίες εξελίσσονται,<br />
το μεγαλύτερο ποσοστό των περιουσιακών στοιχείων<br />
πλέον μίας εταιρείας έχουν καταστεί άϋλα στη φύση τους. Το<br />
19<strong>75</strong>, λιγότερο από το 20% της αγοραίας αξίας του δείκτη S&P<br />
500 προερχόταν από άϋλα περιουσιακά στοιχεία όπως διπλώματα<br />
ευρεσιτεχνίας ή ιδιόκτητη τεχνολογία. Σχεδόν 45 χρόνια<br />
μετά, το 90% της αγοραίας αξίας του S&P 500 θεωρείται πλέον<br />
άϋλη. Σήμερα, ένας οργανισμός έχει πολλά περισσότερα<br />
δεδομένα να προστατεύσει λοιπόν σε σχέση με το παρελθόν.<br />
7. Υπάρχει έλλειψη ταλέντου στον κλάδο της κυβερνοασφάλειας:<br />
Η έλλειψη ταλέντου στον χώρο της κυβερνοασφάλειας<br />
παραμένει ένα σημαντικό πρόβλημα για τους οργανισμούς<br />
σε όλον τον κόσμο. Πιθανότατα μάλιστα να έχετε<br />
ήδη νιώσει τον αντίκτυπο αυτής της έλλειψης στην δική σας<br />
εταιρεία. Αρκετές έρευνες δείχνουν ότι από το 2017, το 40-<br />
50% των εταιρειών έχουν επηρεαστεί από αυτή την έλλειψη.<br />
Οι διαχειριζόμενες υπηρεσίες DLP λειτουργούν ως απομακρυσμένες<br />
επεκτάσεις της ομάδας ασφαλείας σας για να καλύψουν<br />
το κενό που υπάρχει σε προσωπικό.<br />
Ποια λύση DLP είναι η κατάλληλη για τον<br />
οργανισμό σας;<br />
Προσδιορίστε τον βασικό στόχο της προστασίας δεδομένων.<br />
Θέλετε να προστατεύσετε την πνευματική σας<br />
ιδιοκτησία, να αποκτήσετε μεγαλύτερη ορατότητα στα<br />
δεδομένα σας ή να ικανοποιήσετε τις απαιτήσεις για<br />
κανονιστική συμμόρφωση;<br />
Προσδιορίζοντας τον κύριο λόγο, είναι ευκολότερο να<br />
προσδιοριστεί η καταλληλότερη αρχιτεκτονική υλοποίησης<br />
(deployment) για το σύστημα DLP ή ενδεχομένως κάποιος<br />
συνδυασμός αρχιτεκτονικών. Οι τέσσερις βασικές αρχιτεκτονικές<br />
υλοποίησης για ένα DLP είναι οι: Endpoint<br />
DLP, Network DLP, Discovery και Cloud. Ποιες προσφέρει<br />
ο πάροχος της λύσης DLP που σκέφτεστε να εφαρμόσετε;<br />
Υποστηρίζει το ίδιο καλά (δηλαδή προσφέροντας τα ίδια<br />
χαρακτηριστικά και δυνατότητες) τα λειτουργικά συστήματα<br />
Windows, macOS και Linux; Παρέχει διαχειριζόμενες υπηρεσίες;<br />
Μπορείτε χρησιμοποιώντας το να αμυνθείτε ενάντια<br />
σε εσωτερικές ή εξωτερικές απειλές, ή ενάντια και στις δύο;<br />
Σας ενδιαφέρει να επιθεωρείτε ή να ταξινομείτε με βάση το<br />
περιεχόμενο (content) ή το πλαίσιο (context); Χρειάζεστε και<br />
τα δύο; Επίσης θεωρείτε ότι οι υπάλληλοι σας θα πρέπει να<br />
έχουν τη δυνατότητα να ταξινομούν έγγραφα από μόνοι τους;<br />
Σας ενδιαφέρει να προστατεύσετε δομημένα ή μη δομημένα<br />
δεδομένα; Σχεδιάζετε να βλέπετε και να επιβάλετε τη μετακίνηση<br />
δεδομένων βάσει πολιτικών, συμβάντων ή χρηστών;<br />
Ποιοι κανονισμοί συμμόρφωσης σας δεσμεύουν; Θα χρειαστείτε<br />
προσωπικό για τη διαχείριση του συστήματος DLP;<br />
Όπως είναι φανερό, οι ερωτήσεις είναι πολλές για να βρείτε<br />
την κατάλληλη λύση DLP για τον οργανισμό σας. Όμως για<br />
όλες, υπάρχουν απαντήσεις και τις δίνει η λύση DLP Digital<br />
Guardian της HelpSystems.<br />
Καθορίστε με τον πλέον ξεκάθαρο<br />
τρόπο τους ρόλους<br />
και τις ευθύνες<br />
των ατόμων που<br />
συμμετέχουν στο<br />
σύστημα DLP του<br />
οργανισμού σας. Η<br />
οικοδόμηση δικαιωμάτων<br />
και υποχρεώσεων<br />
που βασίζονται<br />
σε ρόλους παρέχει πρόσθετες<br />
δυνατότητες ελέγχου<br />
και διατηρεί τις ισορροπίες. Λάβετε επίσης υπόψη σας, ότι οι<br />
οργανισμοί κατά το αρχικό rollout (του προγράμματος) συχνά<br />
πέφτουν στην παγίδα να δοκιμάσουν περίπλοκα σχέδια ή επιχειρούν<br />
να επιλύσουν πολλές περιπτώσεις χρήσης ταυτόχρονα.<br />
Καθορίστε την αρχική σας προσέγγιση και θέστε στόχους<br />
που είναι γρήγοροι και μετρήσιμοι. Θα πρέπει είτε να ακολουθήσετε<br />
την προσέγγιση ανά project, όπου αυτοπεριορίζεστε<br />
εστιάζοντας σε έναν συγκεκριμένο τύπο δεδομένων, είτε την<br />
34 security
προσέγγιση της ορατότητας πάνω στα δεδομένα, όπου πρωταρχική<br />
εστίασή σας είναι ο εντοπισμός και η αυτοματοποιημένη<br />
ταξινόμηση ευαίσθητων δεδομένων (Automatic Data<br />
Classification) για τον έλεγχο της αποστολής ή της μεταφοράς<br />
τους εκτός των «ψηφιακών τειχών» του οργανισμού σας. Συνεργαστείτε<br />
επίσης με τους επικεφαλής των τμημάτων της<br />
επιχείρησής σας για να καθορίσετε τις πολιτικές DLP που θα<br />
διέπουν τα δεδομένα του οργανισμού σας. Έτσι, θα διασφαλίσετε<br />
ότι κάθε τμήμα γνωρίζει τις ισχύουσες πολιτικές και πως<br />
μπορεί να επηρεαστεί. Λάβετε υπόψη σας ότι δεν υπάρχει μόνο<br />
ένας σωστός τρόπος ανάπτυξης πολιτικών DLP. Συχνά, η<br />
στρατηγική DLP ευθυγραμμίζεται με την εταιρική σας κουλτούρα.<br />
Θα πρέπει να τεκμηριώσετε επίσης προσεκτικά τις διαδικασίες<br />
σας. Κάτι τέτοιο θα σας βοηθήσει να εφαρμοστούν με<br />
συνέπεια οι πολιτικές, θα παρέχει έγγραφα καταγραφής συμβάντων<br />
για τις περιπτώσεις που χρειαστούν να γίνουν έλεγχοι<br />
και βεβαίως θα φανεί ιδιαίτερα χρήσιμο κατά την ενσωμάτωση<br />
νέων μελών στην ομάδας σας ή υπαλλήλων. Επιπλέον,<br />
μπορείτε να καθορίσετε μετρήσεις επιτυχίας του συστήματος<br />
DLP και να μοιραστείτε τις σχετικές αναφορές με ηγετικά<br />
στελέχη της επιχείρησης για να δείξετε την αξία του για την<br />
επιχείρηση. Αρκεί να καθορίσετε τους δείκτες απόδοσης<br />
(KPI) και να τους παρακολουθείτε στενά για να προσδιορίσετε<br />
την επιτυχία του προγράμματος και τους τομείς που διαπιστώθηκε<br />
βελτίωση. Μην ξεχνάτε, ότι το DLP είναι ένα σύστημα<br />
και όχι ένα προϊόν. Η εγκατάσταση ενός DLP αποτελεί το<br />
πρώτο βήμα στην πρόληψη απώλειας δεδομένων. Αν και θα<br />
σας βοηθήσει να επιτύχετε «γρήγορες νίκες», είναι σπουδαίο<br />
να κατανοήσετε ότι η υλοποίηση ενός συστήματος DLP είναι<br />
μία πολύ σοβαρή διεργασία για την οποία πρέπει να εργάζεστε<br />
συνεχώς αν θέλετε να πετύχει σε βάθος χρόνου. Το DLP<br />
είναι μια συνεχής διαδικασία κατανόησης των δεδομένων σας<br />
και του τρόπου με τον οποίο οι χρήστες, τα συστήματα και τα<br />
συμβάντα αλληλοεπιδρούν με αυτά τα δεδομένα για την καλύτερη<br />
προστασία τους.<br />
Το Digital Guardian είναι μια πλατφόρμα προστασίας δεδομένων<br />
επόμενης γενιάς που βασίζεται στο σύννεφο (cloudbased)<br />
και είναι η μοναδική λύση στην αγορά που συγκεντρώνει<br />
δυνατότητες DLP, EDR και UEBA, δηλαδή πρόληψη<br />
διαρροής εταιρικών πληροφοριών, δυνατότητες εντοπισμού<br />
απειλών σε τερματικές συσκευές και ανταπόκρισης<br />
και δυνατότητες ανάλυσης συμπεριφοράς χρηστών και<br />
οντοτήτων (UEBA) για να παρέχει προστασία στα δεδομένα<br />
από όλες τις απειλές. Η ολοκληρωμένη πλατφόρμα DLP της<br />
HelpSystems εξαλείφει την ανάγκη για πρόσθετα agents<br />
και κονσόλες διαχείρισης για τα EDR ή UEBA και επιτρέπει<br />
στις ομάδες ασφάλειας πληροφοριακών συστημάτων στην<br />
εταιρία σας να ενοποιήσουν τις δυνατότητές ασφαλείας τους.<br />
Η πλατφόρμα έχει λάβει πολλές διακρίσεις και η εταιρεία έχει<br />
ονομαστεί Leader του Magic Quadrant της Gartner στον τομέα<br />
του Enterprise DLP για αρκετά συνεχόμενα χρόνια, και<br />
πρόκειται για μία εξαιρετική λύση για την προστασία πνευματικής<br />
ιδιοκτησίας (IP).<br />
Η πλατφόρμα Digital Guardian παρέχει:<br />
Βαθύτερη ορατότητα. Η πλατφόρμα βλέπει, παρακολουθεί<br />
και συσχετίζει συμβάντα συστημάτων, συμβάντα χρηστών<br />
και συμβάντα δεδομένων στις τερματικές συσκευές, στο δίκτυο,<br />
στο cloud και στις βάσεις δεδομένων για να παράσχει<br />
μια προοπτική 360 μοιρών σχετικά με τη μετακίνηση δεδομένων<br />
εντός του οργανισμού σας. Και αυτό είναι κρίσιμης σημασίας<br />
για την προστασία των ευαίσθητων δεδομένων από<br />
όλες τις απειλές, είτε εσωτερικές ή εξωτερικές.<br />
Αναλύσεις σε πραγματικό χρόνο. Το Digital Guardian<br />
Analytics & Reporting Cloud χρησιμοποιεί μία big data αρχιτεκτονική<br />
υπηρεσιών cloud για τη συγκέντρωση και ανάλυση<br />
εκατομμυρίων συμβάντων συστήματος, συμβάντων χρήστη<br />
και συμβάντων δεδομένων. Τα γεγονότα οργανώνονται σε<br />
actionable πληροφορίες, επιτρέποντας στους αναλυτές να<br />
ιεραρχούν τις απειλές και να ανταποκρίνονται πιο έξυπνα<br />
και αποτελεσματικά.<br />
Ευέλικτοι έλεγχοι. Επιπλέον, η πλατφόρμα αυτοματοποιεί<br />
τους ελέγχους για να αποτρέψει τις παραβιάσεις δεδομένων<br />
προτού συμβούν. Τα στοιχεία ελέγχου είναι ευέλικτα και λεπτομερή<br />
όσον αφορά την κάθε κατάσταση/περίσταση, ώστε<br />
να μην παρεμποδίζουν τις καθημερινές δραστηριότητες μίας<br />
επιχείρησης. Είναι δεδομένο ότι υπάρχει έλλειψη ταλέντου<br />
στον χώρο της κυβερνοασφάλειας. Μία πλατφόρμα όπως το<br />
Digital Guardian μπορεί να καλύψει το κενό που υπάρχει. Το<br />
Managed <strong>Security</strong> Program της HelpSystems επεκτείνει τις<br />
δυνατότητες της ομάδας ασφαλείας σας. Οι ομάδες εργασίας<br />
της Digital Guardian αποτελούνται από αναλυτές ασφαλείας<br />
παγκόσμιας εμβέλειας που εργάζονται 24 ώρες το 24ωρο, 7<br />
ημέρες την εβδομάδα και είναι σε θέση να σας βοηθήσουν να<br />
διασφαλίσετε ότι τα ευαίσθητα δεδομένα σας θα παραμείνουν<br />
εντός του οργανισμού σας. Η HelpSystems μπορεί να σας<br />
βοηθήσει με τη πλήρη διαχείριση της υποδομής προστασίας<br />
των δεδομένων σας αλλά και να ολοκληρώσετε την υλοποίηση<br />
του συστήματος το ταχύτερο δυνατόν.<br />
security<br />
35
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
Αντώνης Καλοχριστιανάκης<br />
Διευθυντής Πωλήσεων, Digital Sima<br />
www.digitalsima.gr<br />
Trend Micro Apex One – Όλοι οι<br />
μηχανισμοί ασφάλειας σε έναν agent<br />
Το Apex One προσφέρει ένα σύνολο προηγμένων μηχανισμών ασφάλειας σε έναν agent για να<br />
ελαχιστοποιήσει τα κενά ασφάλειας σε όλες τις δραστηριότητες των χρηστών στα end points.<br />
ο Apex One προσφέρει ένα σύνολο προηγμένων<br />
μηχανισμών ασφάλειας σε έναν<br />
Τ<br />
agent για να ελαχιστοποιήσει τα κενά ασφάλειας<br />
σε όλες τις δραστηριότητες των χρηστών<br />
στα end points. Η υπηρεσία παρέχει<br />
μεταξύ άλλων αυτοματοποιημένο detection και response<br />
ενάντια σε απειλές τύπου fileless και ransomware. Επιπλέον<br />
προσφέρει κεντρική ορατότητα και έλεγχο, με δυνατότητα<br />
ενσωμάτωσης με το EDR (endpoint detection and response)<br />
και το MDR (managed detection and response) για προηγμένη<br />
έρευνα και ορατότητα σε όλο το δίκτυο. Διατίθεται είτε<br />
ως λογισμικό SaaS είτε ως on-premise εγκατάσταση, με<br />
έναν «ελαφρύ» all-in-one agent.<br />
Τα κύρια χαρακτηριστικά των βασικών μηχανισμών είναι:<br />
• ‘Endpoint Sensor -Προηγμένο EDR/XDR με καταγραφή<br />
και αναφορά δραστηριοτήτων σε επίπεδο συστήματος<br />
για την ταχεία αξιολόγηση των επιθέσεων<br />
σε email, τελικό σημείο και server. Παράλληλα προσφέρεται<br />
λεπτομερής ανάλυση RCA (Root Cause<br />
Analysis) που δείχνει την πηγή και την<br />
εξάπλωση των επιθέσεων. Έτσι επιτυγχάνεται<br />
γρήγορη αντιμετώπιση των<br />
απειλών για τον περιορισμό των επιπτώσεων<br />
και την προστασία ευαίσθητων<br />
δεδομένα πριν αυτά χαθούν.<br />
• ‘Vulnerability Protection - Υποστηρίζεται<br />
από τους παγκοσμίως<br />
κορυφαίους οργανισμούς ανίχνευσης ευπαθειών<br />
(DVLabs και ZDI). Εξαλείφει την έκθεση σε κίνδυνο<br />
λόγω έλλειψης ενημερώσεων κώδικα (patches). Επίσης<br />
παρέχει κρίσιμες ενημερώσεις κώδικα σε παλαιού<br />
τύπου λειτουργικά συστήματα που δεν επιδιορθώνονται<br />
πλέον από τον κατασκευαστή τους.<br />
• ‘Application Control - Αποτρέπει τη ζημιά από ανεπιθύμητες/άγνωστες<br />
εφαρμογές (εκτελέσιμα, DLL<br />
και άλλα αρχεία PE). Διαθέτει ευέλικτες και δυναμικές<br />
πολιτικές και δυνατότητες whitelisting/ blacklisting<br />
για τη μείωση της έκθεσης σε επιθέσεις.<br />
• ‘Endpoint Encryption - Διασφαλίζει το απόρρητο<br />
των δεδομένων κρυπτογραφώντας όσα δεδομένα είναι<br />
αποθηκευμένα στα τελικά σημεία.<br />
• ‘Data Loss Prevention (DLP) - Παρέχει ορατότητα<br />
και έλεγχο δεδομένων και αποτρέπει την απώλειά<br />
τους μέσω USB, email ή αποθήκευση μέσω cloud<br />
κ.λπ. Επίσης προστατεύει τα δεδομένα είτε βρίσκονται<br />
στάσιμα είτε εν κινήσει, με λιγότερο κόστος από<br />
τις παραδοσιακές λύσεις DLP. Με απλή εγκατάσταση<br />
και παραμετροποίηση, προσφέρει συμμόρφωση με<br />
κανονιστικά πλαίσια, ενώ επίσης μπορεί να λειτουργήσει<br />
στο cloud με DLP κρυπτογράφηση αρχείων και<br />
εφαρμογή SaaS με DLP για Microsoft® Office 365®.<br />
Εντοπίζει ακατάλληλη χρήση δεδομένων με βάση λέξεις-κλειδιά,<br />
κανονικές εκφράσεις και χαρακτηριστικά αρχείου και εκπαιδεύει<br />
τον χρήστη σχετικά με τις εταιρικές πολιτικές χρήσης<br />
δεδομένων μέσω ειδοποιήσεων, αποκλεισμού ή soft-blocking<br />
και αναφορές. Η ασφάλεια σε μεμονομένους σταθμούς εργασίας,<br />
ο έλεγχος συσκευής και το περιεχόμενο<br />
DLP μειώνουν τον αντίκτυπο στους<br />
πόρους και την απόδοση. Η Trend Micro<br />
με το Apex One προσφέρει Enterpriselevel<br />
ασφάλεια με ένα agent, απλουστεύοντας<br />
την εγκατάσταση και συντήρηση,<br />
ενώ παράλληλα προσφέρει πλήρες σετ<br />
μηχανισμών ασφάλειας στο end point<br />
με κορυφαίες τεχνολογίες.<br />
36 security
Του Χρήστου Αντωνόπουλου<br />
Technology Director Systecom<br />
www.systecom.gr<br />
Απλοποιώντας την προστασία της<br />
εμπιστευτική πληροφορίας<br />
ασφάλεια των δεδομένων<br />
Η<br />
σήμερα απασχολεί τους<br />
οργανισμούς όλων των τύπων<br />
και μεγεθών. Από τη<br />
μία πλευρά, καλούνται να<br />
συμβαδίζουν με κανονιστικές οδηγίες και<br />
την προστασία της πνευματικής ιδιοκτησίας<br />
από κακόβουλες επιθέσεις και τυχαία/<br />
ακούσια απώλεια δεδομένων, ενώ από την<br />
άλλη η υιοθέτηση εφαρμογών cloud, η μετάβαση<br />
σε υβριδικά περιβάλλοντα και οι νέες<br />
τάσεις όπως το BYOD, αυξάνουν τους<br />
δυνατούς τρόπους διαρροής δεδομένων.<br />
Οι ομάδες ασφάλειας πρέπει να ελέγχουν όλα τα κανάλια<br />
επικοινωνίας (web,email,cloud κ.λπ.) με την χρήση ενός ενιαίου<br />
μέσου διαχείρισης και να έχουν ορατότητα σε όλα τα<br />
δεδομένα είτε αυτά βρίσκονται on-premises είτε στο cloud.<br />
Η SysteCom καλύπτει τις ανάγκες αυτές εφαρμόζοντας την<br />
τεχνολογία Forcepoint Data Loss Prevention, η οποία αποτελεί<br />
την πιο αξιόπιστη λύση του κλάδου και είναι αναγνωρισμένη<br />
από την Gartner και Frost & Sullivan ως ηγέτης. Τα<br />
βασικότερα σημεία που στα οποία ξεχωρίζει είναι:<br />
✓ Ταχεία συμμόρφωση<br />
Η συμμόρφωση με κανονισμούς ασφαλείας στον τομέα της<br />
πληροφορικής, ιδίως όταν υπάρχει χρήση cloud εφαρμογών<br />
και τηλεργασία, συνιστά τεράστια πρόκληση. Η Forcepoint<br />
χρησιμοποιεί πάνω από 1500 προκαθορισμένα πρότυπα και<br />
πολιτικές που ισχύουν για τις ρυθμιστικές αρχές σε 83 χώρες,<br />
επιταχύνοντας τη συμμόρφωση.<br />
✓ Προηγμένος εντοπισμός και έλεγχοι που ακολουθούν<br />
τα εμπιστευτικά δεδομένα<br />
Βασικό χαρακτηριστικό αποτελεί η ικανότητα εντοπισμού<br />
και αναγνώρισης δεδομένων είτε βρίσκονται σε στασιμότητα<br />
(data at rest), σε κίνηση (data in motion) ή σε χρήση (data<br />
in use), με τεχνικές όπως:<br />
• Optical Character Recognition<br />
• Robust identification for PII<br />
• Custom encryption identification<br />
• Drip DLP detection<br />
• Integration with Azure Information Protection<br />
• Machine learning<br />
• Fingerprinting of structured and unstructured data<br />
• User behavior analytics<br />
✓ Προσδιορισμός, διαχείριση και αποκατάσταση<br />
του κινδύνου<br />
Αξιοποιώντας τις αναλύσεις και τη μεγαλύτερη βιβλιοθήκη<br />
έτοιμων προτύπων και πολιτικών, το Forcepoint DLP μειώνει<br />
δραστικά τα false positives, κάνοντας τις ομάδες ασφαλείας<br />
πιο αποτελεσματικές. Επίσης, συμβάλει στην αύξηση<br />
του security awareness των εργαζομένων, καθώς υποστηρίζει<br />
την καθοδήγησή τους και την ενσωμάτωση λύσεων<br />
data classification για τη σωστή ταξινόμηση των δεδομένων.<br />
✓ Ορατότητα παντού<br />
Σήμερα, η απαίτηση προστασίας δεδομένων που βρίσκονται<br />
διασκορπισμένα σε μέρη που δεν αποτελούν πεδίο διαχείρισης<br />
ή ιδιοκτησίας του οργανισμού αποτελεί δύσκολο έργο.<br />
Το Forcepoint DLP επεκτείνει τις αναλύσεις και πολιτικές<br />
ασφάλειας που εφαρμόζονται στις κρίσιμες εφαρμογές είτε<br />
βρίσκονται on-premises είτε στο cloud.<br />
✓ Σωστή εφαρμογή<br />
Η εκτεταμένη εμπειρία της SysteCom στο σχεδιασμό και την<br />
υλοποίηση έργων Forcepoint DLP σε πολλά περιβάλλοντα,<br />
με διαφορετικές απαιτήσεις και δομή τόσο της πληροφορίας<br />
όσο και του δικτύου, την καθιστά τον κατάλληλο συνεργάτη<br />
για κάθε οργανισμό που επιθυμεί να αξιοποιήσει βέλτιστα τις<br />
εξαιρετικές δυνατότητες που παρέχει η λύση, ώστε να διασφαλίσει<br />
την προστασία των δεδομένων του.<br />
security<br />
37
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
Συνδυάζοντας DLP και IRM για τη<br />
μέγιστη ασφάλεια!<br />
Ενισχύστε την προστασία<br />
των δεδομένων σας, μέσω<br />
αυτοματοποίησης και<br />
ενοποίησης μεταξύ<br />
ενός DLP και μιας λύσης<br />
Δεδομενο-κεντρικής<br />
Ασφάλειας<br />
ι οργανισμοί πρέπει να προλαμβάνουν τις<br />
Ο<br />
εσωτερικές απειλές, καθώς μια διαρροή ή<br />
παραβίαση δεδομένων μπορεί να κοστίσει<br />
πολύ ακριβά σε έναν οργανισμό. Δύο από τις<br />
τεχνολογίες που συνήθως εξετάζονται είναι<br />
η DLP (Πρόληψη Απώλειας Δεδομένων) και η IRM (Διαχείριση<br />
Δικαιωμάτων Πληροφοριών). Και οι δύο τεχνολογίες<br />
μπορούν να αλληλοσυμπληρώνονται για τη μεγιστοποίηση<br />
της ασφάλειας των δεδομένων του οργανισμού χωρίς τριβές<br />
για τον τελικό χρήστη.<br />
Οι προκλήσεις του DLP<br />
Παρόλο που το DLP είναι μια εξαιρετικά ισχυρή τεχνολογία,<br />
χρειάζεται να ξεπεράσει σημαντικές προκλήσεις για την προστασία<br />
των ευαίσθητων δεδομένων:<br />
• Πώς μπορεί να καθορίσει αποτελεσματικά τι μπορεί<br />
να βγει από την περίμετρο και τι όχι;<br />
• Είναι δυνατόν να "κλείσει" αποτελεσματικά όλα τα πιθανά<br />
σημεία εξόδου των δεδομένων της εταιρείας ή<br />
να τα ελέγξει;<br />
• Μπορεί να ελέγξει όλους τους τύπους συσκευών της<br />
εταιρείας, συμπεριλαμβανομένων των κινητών τηλεφώνων,<br />
του cloud κ.λπ.<br />
• Και τι γίνεται αν κάτι φύγει από το δίκτυο και διαφύγει<br />
του ελέγχου αυτού του "αστυνόμου"; Μπορώ να απαγορεύσω<br />
την πρόσβαση;<br />
Οι παραδοσιακές λύσεις DLP μπορούν μόνο να εξετάσουν τι<br />
προσπαθεί να φύγει και να αποφασίσουν αν θα πρέπει ή όχι<br />
να φύγει. Πρόκειται για μια δυαδική διαδικασία. Ωστόσο, οι<br />
καταστάσεις της καθημερινότητας δεν είναι "δυαδικές". Είναι<br />
πολύ δύσκολο για έναν επαγγελματία <strong>IT</strong> να ορίσει<br />
πολιτικές που περιγράφουν τις απαιτήσεις για τα δεδομένα<br />
που εξέρχονται από τον οργανισμό με αποτελεσματικό τρόπο,<br />
χωρίς να δημιουργηθεί ένας αριθμός "ψευδών θετικών<br />
αποτελεσμάτων".<br />
Ωστόσο, να ληφθεί υπόψιν ότι είναι δύσκολο για ένα τμή-<br />
38 security
Jon Ander González<br />
Marketing Manager, SealPath<br />
jonander.gonzalez@sealpath.com<br />
Nikos Christakis<br />
Europe Sales Director, Multipoint<br />
nikos@multipoint-group.com<br />
μα <strong>IT</strong> να καθορίσει τι είναι εμπιστευτικό και τι όχι. Οι χρήστες<br />
που εργάζονται καθημερινά με αυτά τα δεδομένα είναι αυτοί<br />
που πραγματικά γνωρίζουν τι είναι σημαντικό και πρέπει να<br />
προστατεύεται και τι όχι.<br />
Μόλις τα δεδομένα βρεθούν εκτός του οργανισμού, τίποτα<br />
δεν εμποδίζει τους παραλήπτες να τα προωθήσουν σε<br />
μη εξουσιοδοτημένους χρήστες, να τα αποθηκεύσουν σε<br />
USB κ.λπ. Αυτό ισχύει και για τις φορητές συσκευές, όπου<br />
η προσέγγιση της προστασίας τείνει να είναι "όλα ή τίποτα".<br />
Απαιτώντας μια εκλεπτυσμένη διαχείριση των πολιτικών<br />
και της ταξινόμησης, οι εταιρείες συνήθως ξεκινούν<br />
με μια φάση "παρακολούθησης" για να εντοπίσουν τι είδους<br />
δεδομένα φεύγουν από το δίκτυο, πριν προχωρήσουν σε μια<br />
φάση "αποκλεισμού".<br />
Εάν η πολιτική είναι εκλεπτυσμένη, ο έλεγχος των εξερχόμενων<br />
δεδομένων θα είναι αποτελεσματικός και οι διαδικασίες<br />
αποκλεισμού δεν θα δημιουργούν ψευδώς θετικά αποτελέσματα.<br />
Εάν όχι, η αναστάτωση που θα προκληθεί στον οργανισμό<br />
λόγω του αποκλεισμού δεδομένων που θα έπρεπε να<br />
είναι προσβάσιμα ή που θα έπρεπε να αποστέλλονται μπορεί<br />
να είναι σημαντική.<br />
Τα εργαλεία DLP είναι πολύ ισχυρά και μπορούν να ταξινομήσουν,<br />
να παρακολουθήσουν και να μπλοκάρουν την έξοδο<br />
ευαίσθητων δεδομένων από το δίκτυο, αλλά δεν πρέπει να<br />
υποτιμάται η προσπάθεια που απαιτείται για την εφαρμογή<br />
τους, την βελτίωσή τους και την αποφυγή ψευδώς<br />
θετικών αποτελεσμάτων. Τέλος, αν και προστατεύουν<br />
την "περίμετρο" του δικτύου, στις μέρες μας τα δεδομένα<br />
χρειάζεται να μεταφέρονται οπουδήποτε.<br />
Τα οφέλη της λύσης IRM<br />
Εδώ είναι που έρχεται μια λύση IRM να βοηθήσει και να παρέχει<br />
τον τέλειο συνδυασμό.<br />
Οι τεχνολογίες IRM/E-DRM επικεντρώνονται στην αποτροπή<br />
διαρροών δεδομένων και στην ασφαλή συνεργασία,<br />
εφαρμόζοντας ένα στρώμα προστασίας στα μη δομημένα<br />
δεδομένα που τα συνοδεύει σταθερά όπου κι αν ταξιδεύουν,<br />
πέρα ακόμη και από την περίμετρο ασφαλείας του οργανισμού.<br />
Μέσω μιας πολιτικής προστασίας αποτρέπετε τη<br />
μη εξουσιοδοτημένη κοινοποίηση ευαίσθητων πληροφοριών,<br />
δεν θα έχουν πρόσβαση στα δεδομένα.<br />
Μέσω της ενσωμάτωσης του IRM, το DLP μπορεί να καθιερώσει<br />
την αυτόματη προστασία του αρχείου ως διορθωτική<br />
ενέργεια χρησιμοποιώντας μια πολιτική προστασίας IRM. Για<br />
παράδειγμα, εάν σαρωθεί ένα τελικό σημείο ή ένας φάκελος<br />
δικτύου και εντοπιστούν στα έγγραφα τυχόν δεδομένα πιστωτικών<br />
καρτών, προσωπικές πληροφορίες κ.λπ., το DLP<br />
μπορεί να διασφαλίσει την αυτόματη προστασία τους με μια<br />
πολιτική "Εσωτερικής Χρήσης", ώστε να έχουν πρόσβαση<br />
σε αυτά μόνο άτομα του τομέα ή ορισμένων τμημάτων.<br />
Η Sandrine Roux, Διευθύντρια Καναλιού της SealPath,<br />
επισημαίνει ότι: "Οι πελάτες που έχουν εφαρμόσει αυτήν την<br />
ενσωμάτωση είναι πολύ ευχαριστημένοι επειδή έχουν επιτύχει<br />
υψηλό επίπεδο ασφάλειας για τα ευαίσθητα δεδομένα<br />
τους, είτε εντός είτε εκτός της περιμέτρου του οργανισμού<br />
τους. Υπογραμμίζουν επίσης την αυτοματοποίηση ως ένα<br />
εξαιρετικό χαρακτηριστικό που τους διευκολύνει να συμμορφώνονται<br />
με τα μέτρα προστασίας χωρίς ανθρώπινη<br />
παρέμβαση αποφεύγοντας παραλείψεις.<br />
Το SealPath IRM μπορεί να προστατεύσει τις πληροφορίες<br />
εύκολα και αποτελεσματικά ενσωματώνοντας τις κύριες<br />
λύσεις DLP της αγοράς διευκολύνοντας την προστασία των<br />
ευαίσθητων δεδομένων στον οργανισμό και τον έλεγχό τους<br />
ανεξάρτητα από το πού βρίσκονται.<br />
Ένα από τα πιο κρίσιμα σημεία ορισμένων λύσεων είναι η<br />
ανάγκη ελαχιστοποίησης των τριβών στη χρήση από τους<br />
τελικούς χρήστες. Σε αυτόν τον τομέα, η αυτοματοποίηση<br />
της προστασίας χωρίς την παρέμβαση του χρήστη είναι ιδιαίτερα<br />
ενδιαφέρουσα.»<br />
Ο Νίκος Χριστάκης, Διευθυντής Πωλήσεων της Multipoint,<br />
σημειώνει ότι: «Πάντα τους προτείνουμε τις καλύτερες τεχνολογίες<br />
προς εφαρμογή. Οι δύο αυτές τεχνολογίες είναι<br />
συνήθως αυτές που προσφέρουμε στους πελάτες μας όταν<br />
θέλουν να ενισχύσουν τα μέτρα προστασίας των δεδομένων<br />
τους. Είναι ένας εξαιρετικός συνδυασμός για την αποφυγή<br />
διαρροής δεδομένων».<br />
Μπορείτε να δημιουργήσετε κανόνες αποκατάστασης βάσει<br />
γεγονότων εντοπισμού που σας επιτρέπουν να εφαρμόζετε<br />
αυτόματα την ασφάλεια σε συγκεκριμένα έγγραφα<br />
τεκμηρίωσης.<br />
Αυτή η ενσωμάτωση μπορεί να οδηγήσει στο 1 + 1 > 2 όσον<br />
αφορά τα πλεονεκτήματα για τη μεγιστοποίηση της προστασίας<br />
σε σύγκριση με το να έχετε μια μεμονωμένη απομονωμένη<br />
τεχνολογία προστασίας εντός της εταιρείας.<br />
About SealPath - Η SealPath είναι ένας ευρωπαϊκός ηγέτης<br />
στον τομέα της Zero-Trust Data-Centric <strong>Security</strong> και της<br />
Enterprise Digital Rights Management, συνεργαζόμενη με<br />
μεγάλες εταιρείες σε περισσότερες από 25 χώρες.<br />
About MultiPoint Group - Η MultiPoint Group είναι ηγέτιδα<br />
στη διανομή τεχνολογιών κυβερνοσφάλειας, παρέχοντας<br />
στους συνεργάτες της αξιόπιστες λύσεις που υποστηρίζονται<br />
από τους κορυφαίους κατασκευαστές λογισμικού στον κόσμο.<br />
Η εταιρεία ιδρύθηκε από τον Ricardo Resnik το 2009,<br />
ως Διευθύνων Σύμβουλος και συνεργάτης.<br />
security<br />
39
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
Enterprise DLP της GTB<br />
Technologies<br />
Η λύση για Data Breaches και GDPR Compliance<br />
Τα data breaches έχουν γίνει πλέον καθημερινό φαινόμενο, την στιγμή που το 32% των<br />
επιχειρήσεων δεν πιστεύουν πως διαθέτουν την κατάλληλη τεχνολογία για να τηρήσουν το GDPR,<br />
ενώ 42% δεν έχει μεθόδους να διαχειριστεί ποια δεδομένα πρέπει να αποθηκεύονται και ποια να<br />
διαγράφονται. Τη λύση και στα δύο αυτά προβλήματα έρχεται να δώσει το Data Loss Prevention.<br />
Τι είναι το Data Loss Prevention<br />
Με τον όρο DLP(Data Loss Prevention) αναφερόμαστε σε μια<br />
συλλογή λύσεων σχεδιασμένη για να δώσει data visibility<br />
και για τον εντοπισμό πιθανών διαρροών δεδομένων, την<br />
καταγραφή και την παρέμβαση όπου χρειάζεται. Αυτό θα<br />
πρέπει να γίνεται σε όλα τα κανάλια, δηλαδή στα δεδομένα<br />
κατά τη χρήση(endpoint), σε κίνηση(network traffic) και<br />
σε ηρεμία(data storage). Ένα λειτουργικό και πλήρες DLP<br />
θα πρέπει επίσης να επιβεβαιώνει και επιβάλει την συμμόρφωση<br />
με βιομηχανικές, ρυθμιστικές και εταιρικές πολιτικές.<br />
Το δυσεπίλυτο πρόβλημα των Insider Threats<br />
Όταν αξιολογούμε τις στρατηγικές κυβερνοασφάλειας για<br />
προστασία δεδομένων, πρώτο στη λίστα μας βρίσκουμε την<br />
προστασία ενάντια σε εξωτερικές απειλές. Ωστόσο, οι επιθέσεις<br />
τύπου headline-grabbing αφορούν μόνο μισό κομμάτι<br />
των διαρροών δεδομένων σύμφωνα με σχετική έρευνα 1 , το<br />
υπόλοιπο κομμάτι οφείλεται σε εσωτερικές απειλές και σε<br />
δυσλειτουργίες συστήματος. Ο ανθρώπινος παράγοντας<br />
συχνά είναι ο δυσκολότερος να ελεγχθεί και να προβλεφθεί<br />
όταν μιλάμε για προστασία δεδομένων. Σε πολλούς οργανισμούς<br />
αρκεί ένας απρόσεκτος υπάλληλος για να έχουμε<br />
ζημιογόνο περιστατικό ασφάλειας.<br />
Συνήθεις κίνδυνοι από εσωτερικές απειλές (insider threats 2<br />
αποτελούν:<br />
Phising και social engineering. Ειδικά σε συνδυασμό με<br />
έναν χρήστη που έχει πρόσβαση σε στοιχεία που δε θα έπρεπε<br />
εξ’ αρχής να έχει.<br />
Κοινοποίηση δεδομένων εκτός εταιρίας. Συνήθως λόγο<br />
απροσεξίας, για παράδειγμα ένα απλό reply all αντί για simple<br />
reply, και η πληροφορία πήγε σε λάθος διεύθυνση email.<br />
Shadow <strong>IT</strong>. Ένα DLP εργαλείο θα πρέπει να μπορεί να εμποδίζει<br />
εργαζομένους από το να διαχειρίζονται ευαίσθητες πληροφορίες<br />
με μη εξουσιοδοτημένα προγράμματα.<br />
Χρήση εξωτερικών συσκευών. Τα φώτα πέφτουν στο<br />
USB, δε πρέπει όμως να ξεχνάμε και τα υπόλοιπα όπως για<br />
παράδειγμα τους εκτυπωτές. Πέραν των μη εξουσιοδοτημένων<br />
συσκευών, θα πρέπει και στις εξουσιοδοτημένες να έχω<br />
40 security
Γράφει ο Νικόλαος Βάνας<br />
Technical Engineer, n.vanas@data-ally.com, Data.Ally<br />
www.data-ally.com<br />
και επιλογές επιβολής πολιτικών πέρα του blocking, όπως<br />
force encryption, watermark, κ.α.<br />
Ο δρόμος προς τη συμμόρφωση με το<br />
νομοθετικό και κανονιστικό πλαίσιο<br />
Οι νομοθετικές ρυθμίσεις που άπτονται τη διαχείριση δεδομένων,<br />
όπως GDPR, PCI, PII κ.α. δημιουργούν ένα πολύπλοκο<br />
πλέγμα απαιτήσεων σε έναν οργανισμό. Το κόστος των<br />
ποινών είναι μεγάλο, καθώς επίσης μεγάλος είναι και ο κίνδυνος<br />
να χάσουμε τους πελάτες μας. Θα πρέπει λοιπόν, να<br />
μπορούμε να ελέγχουμε και να καταγράφουμε τα δεδομένα<br />
σε όλα τα κανάλια όπου βρίσκονται, καθώς και κατά το διαμοιρασμό<br />
τους προς άλλες οντότητες. Τόσο το πρόβλημα των<br />
εσωτερικών απειλών όσο και η ανάγκη για συμμόρφωση, δε<br />
μπορούν να αντιμετωπιστούν από παραδοσιακές λύσεις<br />
κυβερνοασφάλειας όπως antivirus, EDR, Firewall, Email<br />
Spam Filtering, IDS που είναι σχεδιασμένες και ικανές να<br />
αντιμετωπίσουν άλλες απειλές. Ο χάρτης της κυβερνοασφάλειας<br />
ήδη έχει αλλάξει, και πλέον ένα DLP είναι εξίσου ζωτικής<br />
σημασίας με τις παραδοσιακές λύσεις κυβερνοασφάλειας<br />
για έναν οργανισμό που διαχειρίζεται ευαίσθητη πληροφορία.<br />
Η προσέγγιση του Enterprise DLP της GTB<br />
Technologies<br />
H GTB Technologies παρέχει ένα πλήρες Enterprise DLP,<br />
που μπορεί να καλύψει όλα τα παραπάνω προβλήματα. Η<br />
λειτουργεία του οποίου βασίζεται σε τέσσερις άξονες:<br />
1. Κατηγοριοποιεί δομημένα και αδόμητα δεδομένα με<br />
χρήση εκτεταμένων έτοιμων λιστών και ενσωματωμένου<br />
προγράμματος Fingerprinting. Αξίζει να σημειώσουμε<br />
εδώ πως τον Fingerprinting λογισμικό της<br />
GTB επιτυγχάνει μοναδική ταυτοποίηση πνευματικής<br />
ιδιοκτησίας διαφόρων μορφών(πηγαίος κώδικας, διαγράμματα,<br />
πατέντες) και οδηγεί λόγο του αποτυπώματος<br />
αυτού σε μηδενικά ψευδός θετικά περιστατικά όταν<br />
προσπαθούμε να κατηγοριοποιήσουμε δεδομένα.<br />
2. Ανιχνεύει σε πραγματικό χρόνο, με τη χρήση διάφορων<br />
τεχνολογιών (TCP Inspection, Integrated OCR,<br />
κ.α.) τη πληροφορία σε όλα τα κανάλια, παρέχοντας<br />
ακριβές data visibility και καταγράφοντας όλα τα περιστατικά<br />
που περιλαμβάνουν διακίνηση δεδομένων. Η<br />
Image Analysis OCR τεχνολογία παρέχει δυνατότητα<br />
ανίχνευσης ανεξαρτήτως του τύπου του αρχείου<br />
που είναι αποθηκευμένη η πληροφορία. Υπάρχει τέλος<br />
δυνατότητα ανίχνευσης πάνω στα endpoints, σε File<br />
Servers, Databases αλλά και στο Cloud.<br />
3. Επιβάλει αυτόματα πολιτικές όπως για παράδειγμα<br />
μπλοκάρισμα, κρυπτογράφηση, μεταφορά ή διαγραφή,<br />
πάνω σε δεδομένα που ανιχνεύτηκαν ως κατηγοριοποιημένα<br />
ή σε συμβάντα που τα περιλαμβάνουν. Μπορούμε<br />
ακόμα, να ορίσουμε και προγραμματισμένες<br />
ενέργειες ώστε να κατηγοριοποιούνται νέα δεδομένα.<br />
4. Διαχειρίζεται τον Ανθρώπινο Παράγοντα με τη χρήση<br />
User Behavior Analytics (UBA) και Insider Threat<br />
Management (<strong>IT</strong>M) τεχνολογιών, ταυτόχρονα εκπαιδεύοντας<br />
και ενημερώνοντας τους χρήστες αναφορικά<br />
με τα ευαίσθητα δεδομένα και τις εσωτερικές<br />
πολιτικές. Επιπλέον δίνεται στο χρήστη η δυνατότητα<br />
να βλέπει ανά πάσα στιγμή τον τύπο επικινδυνότητας<br />
των δεδομένων που διαχειρίζεται.<br />
Ως μια ανεξάρτητη εταιρία που εστιάζει τις υπηρεσίες της στο<br />
DLP, η GTB παρέχει τις καλύτερες στη κατηγορία της τεχνολογίες<br />
και εξυπηρέτηση πελατών. 4<br />
Η αυτόνομη και ολιστική πλατφόρμα της GTB υποστηρίζει<br />
μεταξύ άλλων:<br />
• Κεντρική κονσόλα διαχείρισης και αυτοματοποιημένα<br />
εργαλεία reporting και remediation<br />
• Κάλυψη για όλα τα δικτυακά πρωτόκολλα, τερματικά<br />
(Windows, Linux και Mac OS) , SSL και Cloud εφαρμογές<br />
• Ενσωματωμένες λύσεις Fingerprinting και Image<br />
Analysis (OCR)<br />
• Ελληνική γλώσσα<br />
• Εύκολη εγκατάσταση και απλότητα στη χρήση<br />
Στην εποχή της πληροφορίας μπορούμε να μάθουμε από<br />
τα λάθη των άλλων, δε χρειάζεται να μάθουμε με το δύσκολο<br />
τρόπο αφού έρθει η καταστροφή στη πόρτα μας. Με την<br />
εγκατάσταση ενός επιτυχημένου και αναγνωρισμένου<br />
DLP, θα εξασφαλίσετε σωστή διακυβέρνηση και εποπτεία<br />
πάνω στην ασφάλεια των δεδομένων του οργανισμού σας,<br />
των πελατών σας και των συνεργατών σας στο σήμερα και<br />
στα χρόνια που έρχονται.<br />
Η Data.Ally εκπροσωπεί την GTB Technologies σε Ελλάδα,<br />
Κύπρο και Σερβία. Στοιχεία επικοινωνίας: data-ally.<br />
com, τηλ. : 215 215 4480, Data Ally (LinkedIn)<br />
1 Cost of a Data Breach Report 2021- IBM, https://www.ibm.com/security/data-breach<br />
2 Preventing Data Exfiltration (White Paper) – Osterman Research, https://www.blackfog.com/adx-white-paper/<br />
3 Defining Insider Threats – CISA, https://www.cisa.gov/defining-insider-threats<br />
4 GTB Technologies DLP Reviews – Gartner Peer Insights, https://www.gartner.com/reviews/market/enterprise-data-loss-prevention/vendor/,<br />
gtb-technologies/product/gtb-technologies-dlp<br />
security<br />
41
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
Digitize OT – Protect Production<br />
Η 4η Βιομηχανική επανάσταση είναι σε εξέλιξη με στόχο τη μετατροπή του βιομηχανικού<br />
περιβάλλοντος σε ένα “έξυπνο εργοστάσιο” [2] με τεράστια οφέλη και προκλήσεις. Μια από τις<br />
κυριότερες προκλήσεις και μόνιμος “πονοκέφαλος” είναι η κυβερνοασφάλεια της OT υποδομής.<br />
ανάλυση μεγάλων δεδομένων και η χρήση<br />
Η<br />
υπολογιστικών εφαρμογών του νέφους θα<br />
βοηθήσουν στην έγκαιρη ανίχνευση ελαττωμάτων<br />
και αποτυχιών παραγωγής, επιτρέποντας<br />
έτσι την πρόληψη τους και την αύξηση<br />
της παραγωγικότητας, της ποιότητας και της ευελιξίας. Βέβαια,<br />
αυτό προϋποθέτει τη διασύνδεση της παραγωγής με<br />
την <strong>IT</strong> υποδομή και το νέφος με αποτέλεσμα ένα παραδοσιακά<br />
απομονωμένο περιβάλλον να αυξάνει το ψηφιακό του<br />
αποτύπωμα και να είναι εκτεθειμένο στους επιτιθέμενους.<br />
Οι κυριότεροι λόγοι που καθιστούν ένα OT περιβάλλον ευάλωτο<br />
σε επιθέσεις είναι:<br />
• Η χρήση συσκευών δεκαετίας-εικοσαετίας.<br />
• Η χρήση μη υποστηριζόμενων λειτουργικών συστημάτων<br />
χωρίς τις τελευταίες ενημερώσεις.<br />
• Η μη τμηματοποίηση του δικτύου (flat network).<br />
• Το περιβάλλον δεν είναι δομημένο για να συνδεθεί στο<br />
internet.<br />
• Οι επιθέσεις πολλές φορές μπορούν να θεωρηθούν<br />
νόμιμες αλλαγές.<br />
Είναι επιτακτική ανάγκη η νέα δομή του βιομηχανικού περιβάλλοντος<br />
να έχει ως δομικό στοιχείο την κυβερνοασφάλεια,<br />
ώστε οι οργανισμοί να επωφελούνται από τα πλεονεκτήματα<br />
των τεχνολογικών εξελίξεων όντας ασφαλείς. Η επένδυση<br />
στην OT ασφάλεια είναι μονόδρομος, διαφορετικά θα αρχίσουν<br />
να πληθαίνουν τα πρωτοσέλιδα όπως οι επιθέσεις που<br />
δέχθηκαν η Ultrapar 3 , η Colonial Pipeline 4 και η Wiregrass<br />
energy 1 .<br />
Μια ερεύνα για το 2022 6 ανέδειξε ότι οι οργανισμοί έχουν<br />
λάβει το μήνυμα και σχεδιάζουν να επενδύσουν στη κυβερνοασφάλεια.<br />
Συγκεκριμένα, το 98% των ερωτηθέντων<br />
θεωρεί ότι έχει αυξηθεί ο κίνδυνος και το ρίσκο μιας<br />
επίθεσης τα τελευταία τρία χρόνια (έχει αυξηθεί ελαφρώς<br />
31%, έχει αυξηθεί σημαντικά 67%). Το 58% παραδέχθηκε ότι<br />
δεν ενημερώνει τις αρμόδιες κυβερνητικές υπηρεσίες για το<br />
20% των περιστατικών που λαμβάνουν χώρα. Οι κυριότεροι<br />
τύποι επιθέσεων που τους προβληματίζουν είναι οι επιθέσεις<br />
στην εφοδιαστική αλυσίδα (supply-chain attacks) κατά<br />
53%, οι φυσικές ζημιές κατά 43% και η διαρροή δεδομένων<br />
κατά 42%. Παράλληλα, το 61% παρατηρεί αύξηση των κα-<br />
42 security
Του Δημήτρη Τσακτσήρα<br />
Cyber<strong>Security</strong> Solutions Consultant, Networking Solutions<br />
Space Hellas, www.space.gr<br />
νονισμών και των standards στα οποία θα πρέπει να συμμορφωθούν.<br />
Το κανονιστικό πλαίσιο από τη μια πλευρά και<br />
ο αυξανόμενος κίνδυνος από την άλλη έχει ως αποτέλεσμα<br />
οι οργανισμοί να επιθυμούν να επεκτείνουν την κυβερνοασφάλεια<br />
στην OT υποδομή. Το 54% των ερωτηθέντων<br />
σχεδιάζουν να αυξήσουν το budget πάνω από 50%.<br />
Μια από της λύσης που έρχεται να καλύψει αυτή την ανάγκη<br />
και να προσφέρει επιπλέον δυνατότητες είναι το Cyber Vision<br />
7<br />
της Cisco που ονομάστηκε Leader για το Q4 του 2021 από<br />
τη Forrester 5 . Το Cyber Vision προσφέρει πλήρη ορατότητα<br />
της υποδομής, εύκολη καταγραφή των συστημάτων, αναγνώριση<br />
ευπαθειών και μη ομαλής λειτουργίας, καταγραφή<br />
των αλλαγών σε συσκευές και διαδικασίες.<br />
Η λύση επεκτείνει την ασφάλεια στην OT υποδομή και είναι<br />
εφικτό για μια <strong>IT</strong> ομάδα ασφαλείας να παρακολουθεί και να<br />
ελέγχει την υποδομή με όρους και τρόπους που γνωρίζει.<br />
Ειδικότερα, όσον αφορά την διασύνδεση με λύσεις SIEM, η<br />
ομάδα του SOC λαμβάνει τα δεδομένα που χρειάζεται για να<br />
αποφασίσει εάν ένα συμβάν αποτελεί επίθεση ή όχι. Τα κομμάτια<br />
στα οποία συμβάλει το Cyber Vision είναι:<br />
1. Visibility: Καταγραφή και αναγνώριση συστημάτων<br />
με αναλυτικές πληροφορίες, καθώς και δυναμικό<br />
χάρτη επικοινωνιών.<br />
2. Vulnerabilities: Αναγνώριση των ευπαθειών και<br />
υπολογισμός ρίσκου εκμετάλλευσης αυτών.<br />
3. Intrusions: Χρήση IDS / IPS στο βιομηχανικό περιβάλλον.<br />
4. Anomalies: Ανίχνευση κακόβουλης και μη ομαλής<br />
λειτουργίας των συστημάτων.<br />
Όμως, επωφελείται και η operational ομάδα της βιομηχανικής<br />
μονάδας, διότι η λύση παράγει πληροφορίες που βοηθούν:<br />
• Στη βελτίωση της απόδοσης του δικτύου.<br />
• Στη μείωση του χρόνου απόκρισης και επιδιόρθωσης<br />
σφαλμάτων.<br />
• Στη μείωση του downtime μέσω της έγκαιρης αναγνώρισης<br />
των προβλημάτων.<br />
• Στον έλεγχο των αλλαγών στα συστήματα από εξωτερικούς<br />
συνεργάτες.<br />
Το Cyber Vision στηρίζεται σε 2-tier αρχιτεκτονική αποτελούμενο<br />
από την κεντρική κονσόλα διαχείρισης και τους αισθητήρες<br />
άκρων. Οι αισθητήρες αναλαμβάνουν τον έλεγχο της<br />
δικτυακής κίνησης μέσω Deep Packet Inspection, ενώ η κεντρική<br />
κονσόλα αναλύει τα δεδομένα που λαμβάνει από τους<br />
αισθητήρες και διασυνδέεται με άλλες λύσεις ασφαλείας όπως<br />
Τείχος Προστασίας και SIEM. Δίνεται η δυνατότητα να χρησιμοποιηθούν<br />
είτε ενσωματωμένοι αισθητήρες στους υποστηριζόμενους<br />
μεταγωγείς είτε hardware αισθητήρες στη περίπτωση<br />
που ο οργανισμός δε διαθέτει μεταγωγείς που υποστηρίζουν<br />
τη συγκεκριμένη λειτουργία. Αντίστοιχα, η κεντρική πλατφόρμα<br />
είναι διαθέσιμη σε hardware και software appliance. Η λύση<br />
διαθέτει επεκτασιμότητα, διότι μπορεί να χρησιμοποιηθεί είτε<br />
από οργανισμό αποτελούμενο από μια μονάδα παραγωγής είτε<br />
από οργανισμό με πολλαπλά σημεία (π.χ. HQ, Transmission<br />
Grid, Distribution Grids) προσφέροντας σε κάθε ομάδα διαφορετική<br />
προσβασιμότητα αναλόγως τα δικαιώματα και το ρόλο.<br />
Οι οργανισμοί επιθυμούν τη μετάβαση σε “έξυπνες μονάδες<br />
παραγωγής”, οι επιτιθέμενοι είναι έτοιμοι να εκμεταλλευτούν<br />
οποιοδήποτε κενό ασφαλείας και τα στελέχη της κυβερνοασφάλειας<br />
είναι υποχρεωμένα να χαράξουν ένα ασφαλές μονοπάτι<br />
ψηφιακού μετασχηματισμού.<br />
1 https://www.securityweek.com/rural-alabama-electric-cooperative-hit-ransomware-attack<br />
2 https://en.wikipedia.org/wiki/Fourth_Industrial_Revolution<br />
3 https://www.nasdaq.com/articles/brazil-fuel-distributor-ultrapar-interrupts-operations-after-cyber-attack-2021-01-12<br />
4 https://www.bloomberg.com/news/articles/2021-06-04/hackers-breached-colonial-pipeline-using-compromised-password#xj4y7vzkg<br />
5 https://blogs.cisco.com/security/cisco-named-a-leader-in-the-forrester-wave-ics-security<br />
6 https://go.otorio.com/spot-assessment-survey<br />
7 https://www.cisco.com/c/en/us/products/security/cyber-vision/index.html<br />
security<br />
43
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
“To Trust or Not to Trust…”<br />
Αναζητώντας την πραγματική εμπιστοσύνη στον ψηφιακό κόσμο των σημερινών απειλών, η<br />
υλοποίηση ενός μοντέλου Zero Trust επαναπροσεγγίζει την ασφάλεια των δεδομένων και των<br />
ICT υποδομών<br />
Αυξάνονται οι απειλές στα ψηφιακά<br />
οικοσυστήματα<br />
Λειτουργώντας στη καρδιά του έξυπνου ψηφιακού κόσμου<br />
ερχόμαστε συχνά αντιμέτωποι με δυνητικούς ψηφιακούς κινδύνους.<br />
Και όταν αναφερόμαστε για ψηφιακούς κινδύνους<br />
μιλάμε για σοβαρές απειλές με σημαντικό αντίκτυπο στην<br />
πρακτική λειτουργία της κοινωνίας, τις οποίες δεν πρέπει<br />
να αντιμετωπίζουμε περιστασιακά ή να τις υποβαθμίζουμε<br />
καθώς τα πραγματικά συμβάντα είναι πολλά και επικίνδυνα.<br />
Μερικά από αυτά περιλαμβάνουν τις σχετικά πρόσφατες κυβερνο-επιθέσεις<br />
σε έξι Ευρωπαϊκά ιδρύματα, στο Ιταλικό<br />
υπουργείο ενέργειας, στον Ευρωπαϊκό οργανισμό φαρμάκων,<br />
καθώς και σε πολλούς άλλους οργανισμούς οι οποίοι<br />
πέσανε θύματα ransomware με αποτέλεσμα είτε να χάσουν<br />
τα δεδομένα και τις υποδομές τους, είτε να πληρώσουν αδρά<br />
για να την ανάκτησή τους.<br />
Με την συγκυρία της πανδημίας των τελευταίων ετών και<br />
ειδικά με την αύξηση της online παρουσίας, της μετάβασης<br />
από τα παραδοσιακά δίκτυα στο cloud, τις προηγμένες<br />
διασυνδέσεις, την ανάπτυξη της τεχνητής νοημοσύνης<br />
(ΑΙ) και της υβριδικής εργασίας, είδαμε τις απειλές στο<br />
κυβερνοχώρο να αυξάνονται σε αριθμούς, πολυπλοκότητα<br />
και επιπτώσεις, να γίνονται πιο σύνθετες, πιο καινοτόμες<br />
και να προσαρμόζονται στις νέες συνιστώσες της κοινωνίας<br />
μας. Τα τελευταία δυο χρόνια είδαμε τις επιθέσεις σχετικά<br />
με Ransomware και κυβερνητικούς οργανισμούς να<br />
φτάνουν στην κορυφή της πυραμίδας των απειλών. Βιώσαμε<br />
επιθέσεις με γνώμονα το κέρδος και την υποκλοπή κρυπτονομισμάτων,<br />
οι οποίες αυξήθηκαν σε επίπεδα ρεκόρ, ενώ<br />
παρατηρήσαμε ότι η αύξηση των IoT συσκευών εξέλιξε τις<br />
Distributed Denial-of-Service επιθέσεις σε πιο επίμονες και<br />
πολυδιάστατες από ποτέ.<br />
44 security
Του Ιωάννη Σολωμάκου<br />
CSO Huawei - South Balkans<br />
Οι απαιτήσεις υλοποίησης ενός περιβάλλοντος<br />
Zero Trust<br />
Με βάση τα δεδομένα αυτά γεννάται το εξής απλό και εύλογο<br />
ερώτημα: Μπορούμε να έχουμε εμπιστοσύνη στο ψηφιακό<br />
κόσμο? Η απάντηση σαφώς δεν είναι ούτε απλή, ούτε<br />
μονοδιάστατη. Το μόνο σίγουρο είναι πως η εμπιστοσύνη<br />
στο ψηφιακό κόσμο δεν μπορεί πλέον να βασίζεται σε<br />
υποκειμενικού χαρακτήρα κριτήρια αλλά μόνο σε αντικειμενικά<br />
πολυδιάστατες πολιτικές και πρακτικές ασφάλειας<br />
που δεν εμπεριέχουν συναισθηματισμούς.<br />
Έτσι προκύπτει η έννοια του Zero Trust, όπου πλέον αποτολμάται<br />
η εφαρμογή πρακτικών μηδενικής εμπιστοσύνης<br />
από τη γένεση ενός προϊόντος ή μιας υπηρεσίας μέχρι και<br />
την απόσυρσή τους από την αγορά. Υπό το μοντέλο του Zero<br />
trust, οι παραδοσιακές έννοιες, όπως η περίμετρος δικτύου,<br />
οι έμπιστοι χρήστες ή το εσωτερικό δίκτυο, γίνονται λιγότερο<br />
σημαντικές καθώς η επέλαση του cloud computing,<br />
των IoT devices, και της ολοένα αυξανόμενης απομακρυσμένης<br />
πρόσβασης, δημιουργούν νέες σταθερές όπου προϊόντα,<br />
υπηρεσίες, λογισμικό, και προσβασιμότητα διέπονται συνεχώς<br />
υπό συστημική αμφισβήτηση σχετικά με την ασφάλειά<br />
τους, ενώ υπόκεινται σε συνεχείς πολυδιάστατους ελέγχους<br />
και πολιτικές ασφαλείας καθ’ ολη την πορεία τους μέσα στο<br />
εκάστοτε δίκτυο, από το στάδιο του σχεδιασμού τους μέχρι<br />
και το στάδιο της απόσυρσής τους.<br />
Για την επίτευξη ενός περιβάλλοντος Zero Trust με την ελάχιστη<br />
δυνατή διεπαφή και ενόχληση προς τον τελικό χρήστη,<br />
χρειάζεται να επανασχεδιάσουμε τον τρόπο με τον οποίο<br />
προσεγγίζουμε την ασφάλεια των δεδομένων αλλά και<br />
των ευρύτερων ICT υποδομών μας. Τα εκάστοτε συστατικά<br />
του οικοσυστήματος δεν πρέπει να αντιμετωπίζονται ως<br />
μεμονωμένα, αλλά ως διασυνδεδεμένα κομμάτια του ίδιου<br />
συνόλου, το οποίο διέπεται από πολυσύνθετες και ανθεκτικές<br />
συστημικές πολιτικές ασφαλείας καθ’ όλη την διάρκεια<br />
της διεπαφής του χρήστη και της συσκευής.<br />
Η υλοποίηση ενός περιβάλλοντος μηδενικής εμπιστοσύνης<br />
δεν είναι μια συγκεκριμένη διαδικασία και μπορεί να επιτευχθεί<br />
με πολλούς διαφορετικούς τρόπους. Σε κάθε<br />
περίπτωση είναι σύνηθες να επικεντρωνόμαστε στις τεχνικές<br />
πτυχές του θέματος και να ξεχνάμε τους μη τεχνικούς<br />
παράγοντες που περιβάλουν την προσπάθεια μας, οι οποίοι<br />
παίζουν εξίσου σημαντικό ρόλο και αποτελούν εξίσου σημαντικά<br />
εργαλεία στα χέρια μας. Ένας από αυτούς τους παράγοντες<br />
είναι τα διεθνή πρότυπα (standards) της εκάστοτε βιομηχανίας<br />
που όταν βασίζονται σε αντικειμενικά κριτήρια και<br />
τυγχάνουν κοινής αποδοχής από τον κλάδο γίνονται ισχυρές<br />
πλατφόρμες εμπιστοσύνης στο ψηφιακό κόσμο. Το ίδιο ισχύει<br />
και για τους αντίστοιχους μηχανισμούς πιστοποίησης,<br />
που μας βοηθούν να δημιουργούμε εμπιστοσύνη γύρω από<br />
προϊόντα και υπηρεσίες και που διευκολύνουν και στοιχειοθετούν<br />
τις αποφάσεις στις διαδικασίες και πολιτικές ασφαλείας<br />
σε ένα περιβάλλον μηδενικής εμπιστοσύνης.<br />
Ένας άλλος εξίσου σημαντικός πυλώνας στην υλοποίηση<br />
ενός περιβάλλοντος μηδενικής εμπιστοσύνης είναι<br />
η ανάληψη των μεριδίων ευθύνης και υποχρεώσεων<br />
που αντιστοιχούν στους εκάστοτε εταίρους της εφοδιαστικής<br />
και παραγωγικής αλυσίδας. Με άλλα λόγια, η συνολική<br />
διασφάλιση δεν πρέπει να είναι μονομερής υποχρέωση του<br />
τελικού αποδέκτη-προμηθευτή αλλά πρέπει να μοιράζεται<br />
κατά αναλογία και με τεχνικά αποδεκτά κριτήρια σε όλους<br />
τους συμμετέχοντες στη παραγωγή ενός τελικού προϊόντος<br />
ή υπηρεσίας, ανεξαρτήτως του κομματιού της αλυσίδας το<br />
οποίο εξυπηρετούν.<br />
Και καθώς όλα αυτά είναι ωραία και δημιουργούν έναν εφησυχασμό<br />
στον εκάστοτε μικρόκοσμό μας, καταλήγουμε στο<br />
ότι για να λειτουργήσουμε προς μια θετική κατεύθυνση είναι<br />
ζωτικής σημασίας να γίνουμε απόλυτα διαφανείς και<br />
εξωστρεφείς, σε ότι αφορά τις προσπάθειες υλοποίησης<br />
οικοσυστημάτων ασφαλείας στο σύνολό τους. Έτσι θα δώσουμε<br />
την δυνατότητα σε όλους τους stakeholders να δουν,<br />
επεξεργασθούν εις βάθος, και γιατί όχι να αμφισβητήσουν<br />
τα λεγόμενά μας, έτσι ώστε μέσα από αυτή τη διαδικασία να<br />
χτιστεί αμοιβαία εμπιστοσύνη σε πιο γερές βάσεις.<br />
Στην προσπάθεια αλλαγών και εγκαθίδρυσης εκσυγχρονισμένων<br />
αντιλήψεων υπάρχει πάντα η σχετική παραφιλολογία<br />
που μπορεί εμμέσως να επηρεάσει αρνητικά<br />
τις σχετικές αποφάσεις υλοποίησης. Για αυτό είναι σημαντικό<br />
σε κάθε προσπάθεια υλοποίησης περιβάλλοντος μηδενικής<br />
εμπιστοσύνης να ξεκαθαρίζονται από νωρίς οι μύθοι<br />
που περιβάλλουν το εγχείρημα, έτσι ώστε να υπερισχύουν<br />
τα πραγματικά δεδομένα γύρω από αυτό.<br />
Στην περίπτωση του Zero Trust τα θετικά στοιχεία είναι πολλά<br />
και ισχυροποιούν την ασφάλεια γύρω από τις υποδομές αλλά<br />
και τα δεδομένα που εμπεριέχουν αυτές, ενώ παράλληλα<br />
απλοποιούν την ενσωμάτωση νέων χρηστών ή συσκευών<br />
στο ICT οικοσύστημα. Και παρόλο που αυτό δεν είναι πάντα<br />
τόσο εύκολο όσο ακούγεται, η υλοποίηση μιας λογικής μηδενικής<br />
εμπιστοσύνης η οποία βασίζεται στη διαφάνεια, στους<br />
συνεχείς ελέγχους, τις βέλτιστες πρακτικές και πολιτικές<br />
προστασίας, τα διεθνή πρότυπα και τις πιστοποιήσεις, είναι<br />
ίσως η μονή βιώσιμη στρατηγική διασφάλισης και προστασίας<br />
δεδομένων και υποδομών στο κυβερνοχώρο<br />
η οποία δύναται να δημιουργήσει πραγματική εμπιστοσύνη<br />
μεταξύ των εμπλεκομένων μερών.<br />
security<br />
45
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
Ευαισθητοποίηση και<br />
εκπαίδευση του προσωπικού σε<br />
θέματα κυβερνοασφάλειας<br />
Τι είναι και πως λειτουργεί καλύτερα;<br />
Υπάρχει μια παλιά ρήση στην κυβερνοασφάλεια που λέει ότι ο άνθρωπος είναι ο πιο αδύναμος<br />
κρίκος στην αλυσίδα ασφαλείας.<br />
υτό ισχύει όλο και περισσότερο, καθώς οι<br />
Α<br />
φορείς απειλών ανταγωνίζονται μεταξύ τους<br />
στο πώς θα εκμεταλλευτούν τους ευκολόπιστους<br />
ή απρόσεκτους υπαλλήλους. «Όμως,<br />
μπορείτε αυτόν τον αδύναμο κρίκο να τον<br />
μετατρέψετε σε μια πρώτη γραμμή άμυνας», λέει ο Phil<br />
Muncaster από την ομάδα της παγκόσμιας εταιρείας ψηφιακής<br />
ασφάλειας ESET. «Το κλειδί είναι να εφαρμόσετε ένα<br />
αποτελεσματικό πρόγραμμα ευαισθητοποίησης και εκ-<br />
παίδευσης γύρω από την κυβερνοασφάλεια». Σύμφωνα<br />
με σχετική έρευνα, το 82% των παραβιάσεων δεδομένων<br />
που μελετήθηκαν το 2021 εμπλέκουν το «ανθρώπινο στοιχείο».<br />
Λαμβάνοντας υπόψη το τοπίο των σύγχρονων απειλών<br />
στον κυβερνοχώρο, είναι αναμενόμενο ότι οι εργαζόμενοι<br />
αποτελούν το νούμερο ένα στόχο για επιθέσεις. «Δώστε<br />
τους όμως τις απαραίτητες γνώσεις για να εντοπίζουν τα<br />
προειδοποιητικά σημάδια μιας επίθεσης και να κατανοούν<br />
το πότε και το πώς μπορεί να θέτουν σε κίνδυνο ευαίσθητα<br />
46 security
ESET Hellas<br />
www.eset.com/gr<br />
δεδομένα και υπάρχει μια τεράστια πιθανότητα να μειωθεί ο<br />
κίνδυνος» παροτρύνει ο ειδικός από την ESET.<br />
Τι είναι η εκπαίδευση για την ευαισθητοποίηση<br />
στην κυβερνοασφάλεια;<br />
Ίσως η λέξη «ευαισθητοποίηση» να μην περιγράφει ακριβώς<br />
όλα όσα θέλουν να πετύχουν οι υπεύθυνοι ασφαλείας πληροφορικής<br />
με τα προγράμματα εκπαίδευσης. Στην πραγματικότητα,<br />
ο στόχος τους είναι να αλλάξουν οι συμπεριφορές<br />
μέσω της εκπαίδευσης για το πού κρύβονται οι βασικοί κίνδυνοι<br />
στον κυβερνοχώρο και ποιες απλές βέλτιστες πρακτικές<br />
μπορούν να μετριάσουν τον κίνδυνο.<br />
Στόχος αυτής της διαδικασίας είναι να ενδυναμώσει τους<br />
υπαλλήλους ώστε να παίρνουν τις σωστές αποφάσεις γύρω<br />
από τους κινδύνους κυβερνοασφάλειας. Ως εκ τούτου,<br />
μπορεί να θεωρηθεί ως ένας θεμελιώδης πυλώνας για τους<br />
οργανισμούς που επιθυμούν να δημιουργήσουν μια εταιρική<br />
κουλτούρα security-by-design.<br />
Γιατί είναι απαραίτητη η εκπαίδευση<br />
ευαισθητοποίησης σε θέματα ασφάλειας;<br />
Όπως κάθε πρόγραμμα εκπαίδευσης, ο στόχος είναι να ενισχυθούν<br />
οι δεξιότητες του ατόμου ώστε να γίνει καλύτερος<br />
στη δουλειά του. Στην προκειμένη περίπτωση, η βελτίωση<br />
σε θέματα ασφάλειας όχι μόνο θα βοηθήσει το άτομο<br />
να ανταπεξέλθει σε διάφορους ρόλους, αλλά θα μειώσει<br />
και τον κίνδυνο μιας δυνητικά επιζήμιας παραβίασης της<br />
ασφάλειας.<br />
Η αλήθεια είναι ότι οι εταιρικοί χρήστες βρίσκονται στην καρδιά<br />
κάθε οργανισμού. Αν πέσουν θύματα παραβίασης, τότε<br />
μπορεί να πέσει θύμα παραβίασης και ο οργανισμός. Κατά<br />
παρόμοιο τρόπο, η πρόσβαση που έχουν σε ευαίσθητα δεδομένα<br />
και συστήματα <strong>IT</strong> αυξάνει τον κίνδυνο να συμβούν<br />
ατυχήματα που θα μπορούσαν επίσης να επηρεάσουν<br />
αρνητικά την εταιρεία.<br />
Υπάρχουν διάφορες<br />
τάσεις που<br />
αναδεικνύουν την<br />
επείγουσα ανάγκη<br />
για εκπαιδευτικά<br />
προγράμματα<br />
σε θέματα<br />
ασφάλειας:<br />
Κωδικοί πρόσβασης: Τα στατικά<br />
διαπιστευτήρια υπάρχουν<br />
από τότε που υπάρχουν τα συστήματα<br />
υπολογιστών. Και παρά τις εκκλήσεις των ειδικών<br />
σε θέματα ασφάλειας όλα αυτά τα χρόνια, παραμένουν η πιο<br />
δημοφιλής μέθοδος πιστοποίησης ταυτότητας χρηστών. Ο<br />
λόγος είναι απλός: οι άνθρωποι γνωρίζουν ενστικτωδώς πώς<br />
να χρησιμοποιούν τους κωδικούς πρόσβασης. Η πρόκληση<br />
είναι ότι αποτελούν επίσης τεράστιο στόχο για τους χάκερ.<br />
Αν καταφέρουν να ξεγελάσουν έναν υπάλληλο ώστε να παραδώσει<br />
τους κωδικούς του ή αν μπορέσουν να μαντέψουν<br />
αυτούς του κωδικούς, τότε συχνά δεν υπάρχει τίποτα άλλο<br />
που να στέκεται εμπόδιο στην πλήρη πρόσβαση στο δίκτυο<br />
της εταιρείας.<br />
Σύμφωνα με εκτιμήσεις, πάνω από τους μισούς υπαλλήλους<br />
στην Αμερική έχουν γράψει τους κωδικούς πρόσβασης<br />
σε χαρτί. Οι κακές πρακτικές χρήσης κωδικών πρόσβασης<br />
ανοίγουν την πόρτα στους χάκερ. Και καθώς αυξάνεται<br />
ο αριθμός των διαπιστευτηρίων που πρέπει να θυμούνται<br />
οι εργαζόμενοι, αυξάνεται και η πιθανότητα κακής χρήσης.<br />
Κοινωνική μηχανική: Οι άνθρωποι είμαστε κοινωνικά πλάσματα.<br />
Αυτό μας κάνει ευάλωτους στην πειθώ. Θέλουμε να<br />
πιστεύουμε στις ιστορίες που μας λένε και στο άτομο που τις<br />
αφηγείται. Αυτός είναι και ο λόγος για τον οποίο έχει τόσο<br />
καλά αποτελέσματα η κοινωνική μηχανική: η χρήση τεχνικών<br />
πειθούς, όπως η πίεση του χρόνου και η αντιποίηση<br />
αρχής από τους κακόβουλους δράστες για να εξαπατήσουν<br />
το θύμα και να το αναγκάσουν να εκτελέσει τις εντολές τους.<br />
Η μέθοδος της κοινωνικής μηχανής έχει εφαρμογή πχ σε ένα<br />
μήνυμα ηλεκτρονικού ψαρέματος (phishing), ένα μήνυμα<br />
κειμένου (smishing) ή ένα τηλεφώνημα<br />
(vishing), αλλά χρησιμοποιείται<br />
επίσης και σε επιθέσεις<br />
παραβίασης ηλεκτρονικού<br />
ταχυδρομείου επιχειρήσεων<br />
(BEC) αλλά<br />
και σε άλλες απάτες.<br />
Η «επαγγελματοποίηση»<br />
του κυβερνοεγκλήματος:<br />
Σήμερα οι φορείς απειλών<br />
διαθέτουν ένα πολύπλοκο<br />
και εξελιγμένο υπόγειο δίκτυο<br />
σκοτεινών δικτυακών τόπων μέ-<br />
security<br />
47
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
σω του οποίου αγοράζουν και πωλούν δεδομένα και<br />
υπηρεσίες – τα πάντα, από την φιλοξενία ιστοσελίδων μέχρι<br />
το ransomware-as-a-service. Λέγεται ότι ο τζίρος<br />
του κυβερνοεγκλήματος ανέρχεται σε τρισεκατομμύρια.<br />
Αυτή η «επαγγελματοποίηση» του κυβερνοεγκλήματος<br />
έχει φυσικά οδηγήσει τους κακόβουλους παράγοντες στο<br />
να εστιάζουν τις προσπάθειές τους εκεί όπου η απόδοση της<br />
επένδυσης είναι υψηλότερη. Σε πολλές περιπτώσεις, αυτό<br />
σημαίνει ότι βάζουν στο στόχαστρο τους ίδιους τους χρήστες:<br />
υπαλλήλους εταιρειών και καταναλωτές.<br />
Υβριδική εργασία: Οι εργαζόμενοι που δουλεύουν από το<br />
σπίτι θεωρείται ότι είναι πιο πιθανό να κάνουν κλικ σε συνδέσμους<br />
ηλεκτρονικού «ψαρέματος» και να εμπλακούν σε<br />
επικίνδυνες συμπεριφορές, όπως η χρήση συσκευών εργασίας<br />
για προσωπική χρήση. Ως εκ τούτου, η εμφάνιση μιας<br />
νέας εποχής υβριδικής εργασίας έχει ανοίξει την πόρτα<br />
στις επιθέσεις σε εταιρικούς χρήστες όταν αυτοί είναι πιο<br />
ευάλωτοι. Χωρίς να αναφέρουμε το γεγονός ότι τα οικιακά<br />
δίκτυα και οι υπολογιστές μπορεί να είναι λιγότερο καλά προστατευμένα<br />
από τα αντίστοιχα εταιρικά.<br />
Γιατί η εκπαίδευση είναι σημαντική;<br />
Σε τελική ανάλυση, μια σοβαρή παραβίαση της ασφάλειας,<br />
είτε προέρχεται από επίθεση τρίτων είτε από τυχαία αποκάλυψη<br />
δεδομένων, θα μπορούσε να οδηγήσει σε μεγάλη οικονομική<br />
ζημία και ζημία στην φήμη της εταιρείας. Μια πρόσφατη<br />
μελέτη αποκάλυψε ότι το 20% των επιχειρήσεων<br />
που υπέστησαν μια τέτοια παραβίαση σχεδόν χρεοκόπησαν.<br />
Μια άλλη έρευνα υποστηρίζει ότι το μέσο κόστος μιας<br />
παραβίασης δεδομένων παγκοσμίως είναι πλέον υψηλότερο<br />
από ποτέ: πάνω από 4,2 εκατ. δολάρια ΗΠΑ.<br />
Δεν είναι μόνο ένας υπολογισμός κόστους για τους εργοδότες.<br />
Πολλοί κανονισμοί, όπως οι HIPAA, PCI DSS και<br />
Sarbanes-Oxley (SOX), απαιτούν από τους οργανισμούς που<br />
συμμορφώνονται να εκτελούν προγράμματα εκπαίδευσης<br />
ευαισθητοποίησης των εργαζομένων σε θέματα ασφάλειας.<br />
Πώς να κάνετε τα προγράμματα εκπαίδευσης να<br />
λειτουργήσουν<br />
Εξηγήσαμε το «γιατί», αλλά τι γίνεται με το «πώς»; Οι υπεύθυνοι<br />
ασφάλειας πληροφοριακών συστημάτων (CISO) θα πρέπει<br />
να ξεκινήσουν καταρχάς κάνοντας μια εισαγωγική συζήτηση<br />
με το τμήμα ανθρώπινου δυναμικού, που συνήθως<br />
διαχειρίζεται τα εταιρικά προγράμματα κατάρτισης. Μπορεί<br />
να είναι σε θέση να δώσει συμβουλές ή να προσφέρει συντονισμένη<br />
υποστήριξη.<br />
Μεταξύ των θεματικών που θα μπορούσαν να καλυφθούν<br />
από την εκπαίδευση θα μπορούσαν να είναι:<br />
1. Κοινωνική μηχανική και phishing/vishing/<br />
smishing<br />
2. Τυχαία αποκάλυψη πληροφοριών μέσω ηλεκτρονικού<br />
ταχυδρομείου<br />
3. Προστασία στο διαδίκτυο (ασφαλής αναζήτηση και<br />
χρήση δημόσιου Wi-Fi)<br />
4. Βέλτιστες πρακτικές κωδικών πρόσβασης και<br />
έλεγχος ταυτότητας πολλαπλών παραγόντων<br />
5. Ασφαλής απομακρυσμένη και κατ’ οίκον εργασία<br />
6. Πώς να εντοπίζετε εσωτερικές απειλές<br />
Πάνω απ’ όλα, να έχετε κατά νου ότι τα μαθήματα θα<br />
πρέπει να είναι:<br />
• Διασκεδαστικά και να μοιάζουν με παιχνίδι (σκεφτείτε<br />
τη θετική ενίσχυση αντί για μηνύματα που βασίζονται<br />
στο φόβο).<br />
• Να βασίζονται σε ασκήσεις προσομοίωσης πραγματικού<br />
κόσμου<br />
• Να πραγματοποιούνται σε τακτά διαστήματα σε όλη τη<br />
διάρκεια του έτους, σε μορφή σύντομων μαθημάτων<br />
(10-15 λεπτά)<br />
• Να περιλαμβάνουν όλα τα μέλη του προσωπικού,<br />
συμπεριλαμβανομένων των στελεχών, των μερικώς<br />
απασχολούμενων και των συμβασιούχων<br />
• Να είναι ικανά να παράγουν αποτελέσματα που μπορούν<br />
να χρησιμοποιηθούν για την προσαρμογή των<br />
προγραμμάτων στις ατομικές ανάγκες<br />
• Να προσαρμόζονται για να ταιριάζουν σε διαφορετικούς<br />
ρόλους<br />
Αφού αποφασιστούν όλα αυτά, είναι σημαντικό να βρείτε τον<br />
κατάλληλο πάροχο κατάρτισης. Τα καλά νέα είναι ότι υπάρχουν<br />
πολλές επιλογές στο διαδίκτυο σε διάφορες τιμές, συμπεριλαμβανομένων<br />
δωρεάν εργαλείων.<br />
Και ο Phil Muncaster της ESET κλείνει λέγοντας: «Δεδομένου<br />
του σημερινού τοπίου απειλών, η αδράνεια δεν αποτελεί<br />
επιλογή»<br />
48 security
Νίκος Γεωργόπουλος<br />
Cyber Risks Insurance Advisor – Cromar Insurance Brokers<br />
Co-Founder DPO Academy.<br />
Νέα πολιτική στην Ανάληψη<br />
Κινδύνου<br />
Η ταχύτατη αύξηση του κυβερνοεγκλήματος καθιστούν αναγκαία την επένδυση στην<br />
κυβερνοασφάλεια και στην κυβερνοασφάλιση!<br />
ι επιθέσεις ransomware εξελίσoνται συνεχώς<br />
και οι κυβερνοεγκληματίες δεν απει-<br />
Ο<br />
λούν μόνο με την κρυπτογράφηση των αρχείων<br />
και την διακοπή της λειτουργίας μίας<br />
επιχείρησης λόγω αδυναμίας χρήσης των<br />
πληροφοριακών συστημάτων της. Τώρα οι κυβερνοεγκληματίες<br />
απειλούν ότι θα αποκαλύψουν τα δεδομένα που έχουν<br />
φροντίσει να αφαιρέσουν από τα εταιρικά συστήματα, πριν η<br />
επιχείρηση ανακαλύψει ότι τα συστήματά της έχουν παραβιαστεί<br />
και θα επικοινωνήσουν με πελάτες και συνεργάτες<br />
της λέγοντας τους ότι έχουν διαρρεύσει τα δεδομένα τους<br />
πλήττοντας την αξιοπιστία της επιχείρησης αν δεν καταβληθούν<br />
άμεσα τα λύτρα που ζητάνε.<br />
Ο κίνδυνος παραβίασης συστημάτων αυξάνει και από την συμπεριφορά<br />
των ίδιων των επιχειρήσεων που μεταφέρουν<br />
τις υποδομές τους στο cloud, χωρίς να έχει γίνει πολλές<br />
φορές σωστή μελέτη και λήψη των κατάλληλων μέτρων<br />
ασφαλείας για αυτή τη μετάβαση, θεωρώντας ότι μεταφέρουν<br />
και την ευθύνη σε περίπτωση περιστατικού παραβίασης<br />
ασφάλειας στον πάροχο των υποδομών cloud.<br />
Για να μειωθούν τα περιστατικά Ransomware οι επιχειρήσεις<br />
θα πρέπει να υλοποιήσουν άμεσα την δυνατότητα πρόσβασης<br />
στα εταιρικά συστήματα μέσω ελέγχου ταυτότητας<br />
πολλαπλών παραγόντων (MFA). Χωρίς την ύπαρξη MFA<br />
οι επιχειρήσεις που θα χαθούν οι κωδικοί πρόσβασης εργαζομένων<br />
τους, μέσω εκστρατειών phishing ή κοινωνικής<br />
μηχανικής, στα εταιρικά συστήματα έχουν διπλάσιες πιθανότητες<br />
οι κυβερνοεγκληματίες να καταφέρουν να παραβιάσουν<br />
τα εταιρικά συστήματα και να δημιουργήσουν<br />
προβλήματα. Εκτός από την αύξηση των ασφαλίστρων η<br />
οποία την τελευταία διετία κατα μέσο όρο ήταν της τάξεως<br />
του 185% ο αυξημένος αριθμός των ζημιών ανάγκασε<br />
τις ασφαλιστικές εταιρίες να επανεκτιμήσουν την διαδικασίας<br />
ανάληψης κινδύνου. Η επανεκτίμηση συνοδεύτηκε με μεγαλύτερο<br />
έλεγχο των τεχνικών και οργανωτικών μέτρων κάθε<br />
εταιρίας για την αντιμετώπιση περιστατικών παραβίασης, με<br />
χρήση ειδικού λογισμικού εξέτασης των συστημάτων της,<br />
με αλλαγές των παρεχόμενων καλύψεων, με μείωση ορίων<br />
ασφαλιστικής κάλυψης , εισαγωγή συνασφάλισης , αύξηση<br />
απαλλαγών και μεγάλες αυξήσεις ασφαλίστρων.<br />
Η νέα πολιτική ανάληψης κινδύνου ζητά από τον ασφαλισμένο<br />
ή την υπό ασφάλιση εταιρία να αποδείξει ότι έχει εφαρμόσει<br />
ενισχυμένα επίπεδα ελέγχου ασφάλειας για την<br />
πρόληψη, τον εντοπισμό και την ανταπόκριση στα σημερινά<br />
εξελιγμένα περιστατικά παραβίασης ασφάλειας.<br />
H έλλειψη των παρακάτω μέτρων ασφαλείας καθιστά τις<br />
εταιρίες μη ασφαλίσιμες.<br />
• ‘Eλεγχος πρόσβασης χρήστη μέσω ελέγχου ταυτότητας<br />
πολλαπλών παραγόντων (MFA) και η χρήση Εικονικού<br />
Ιδιωτικού Δικτύου (VPN) για απομακρυσμένη<br />
πρόσβαση.<br />
• Εκπαίδευση ευαισθητοποίησης του Ανθρώπινου<br />
Δυναμικού στον κυβερνοχώρο.<br />
• Ύπαρξη αντίγραφου ασφαλείας δεδομένων και<br />
ελεγμένες διαδικασίες ανάκτησής τους<br />
• Εγκατάσταση ενημερώσεων διορθώσεων προγραμμάτων.<br />
Η ασφάλιση αποτελεί μια εταιρική υποδομή που βοηθά<br />
στην απρόσκοπτη συνέχιση των εταιρικών λειτουργιών.<br />
Οι εταιρίες που δεν έχουν φροντίσει να έχουν τις κατάλληλες<br />
υποδομές και δεν έχουν δώσει έμφαση την εκπαίδευση<br />
του ανθρώπινου δυναμικού τους δεν έχουν πλέον δυνατότητα<br />
να ασφαλιστούν ή να διατηρήσουν το ασφαλιστικό<br />
πρόγραμμα και τις παροχές που έχουν.<br />
security<br />
49
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
Οριοθετήστε την Ασφάλεια<br />
της Επιχείρησης σας, σε 4 επίπεδα<br />
υλοποίησης!<br />
ια πάνω από δύο δεκαετίες, η WatchGuard<br />
Γ<br />
πρωτοπορεί στην τεχνολογία αιχμής για την<br />
ασφάλεια στον κυβερνοχώρο, προσφέροντας<br />
ολοκληρωμένες λύσεις, εύκολες στην<br />
ανάπτυξη και τη διαχείριση. Οι κορυφαίες<br />
τεχνολογίες που αναπτύσσει η WatchGuard για την ασφάλεια<br />
δικτύων, τελικών σημείων και Wifi καθώς και οι λύσεις<br />
ελέγχου ταυτότητας πολλαπλών παραγόντων και οι ευφυείς<br />
υπηρεσίες, προστατεύουν περισσότερες από 250.000 μικρές<br />
και μεσαίες επιχειρήσεις σε όλο τον κόσμο ενώ πάνω<br />
από 10 εκατομμύρια χρήστες βασίζονται στην τεχνολογία της<br />
WatchGuard για να παραμείνουν ασφαλείς καθώς εργάζονται<br />
εξ αποστάσεως. Το ξεχωριστό χαρτοφυλάκιο λύσεων<br />
ασφάλειας της εταιρίας εστιάζει στον χρήστη και αντιμετωπίζει<br />
κρίσιμες ευπάθειες σε δίκτυα, τελικά σημεία και εφαρμογές.<br />
Για την υλοποίηση ασφάλειας end-to-end, εστιάζοντας<br />
στον χρήστη η WatchGuard προσεγγίζει τέσσερα επίπεδα<br />
υλοποίησης, η εφαρμογή των οποίων θα συμβάλει αποτελεσματικά<br />
στη δραματική μείωση των απειλών.<br />
Επίπεδο 1: Αποκλεισμός γνωστών απειλών και<br />
αποτροπή μη εξουσιοδοτημένης πρόσβασης<br />
Έλεγχος ταυτότητας πολλαπλών παραγόντων - Όταν<br />
ένας κακόβουλος χάκερ μπορεί να χρησιμοποιήσει έναν<br />
μόνο παραβιασμένο κωδικό πρόσβασης για να παρακάμψει<br />
ακόμη και την πιο εξελιγμένη ασφάλεια, οι επιχειρήσεις<br />
πρέπει να καταβάλουν κάθε δυνατή προσπάθεια για να διατηρήσουν<br />
τα διαπιστευτήρια των χρηστών ασφαλή. Απαιτώντας<br />
πρόσθετους παράγοντες ελέγχου ταυτότητας, ο έλεγχος<br />
ταυτότητας πολλαπλών παραγόντων μετριάζει την απειλή,<br />
μειώνοντας τις παραβιάσεις δεδομένων.<br />
Προστασία τελικού σημείου επαγγελματικού επιπέδου<br />
- Οι πιθανότητες, η επιχείρησή σας να χρησιμοποιεί ένα ευρύ<br />
φάσμα σταθερών υπολογιστών, φορητών υπολογιστών,<br />
κινητών συσκευών και διακομιστών που χρειάζονται προστασία<br />
από μια σειρά γνωστών απειλών, είναι πολύ μεγάλη.<br />
Η μόλυνση από κακόβουλο λογισμικό ακόμη και σε ένα από<br />
αυτά τα τελικά σημεία, μπορεί να προκαλέσει διακοπή επιχειρησιακής<br />
λειτουργίας.<br />
Τείχος προστασίας δικτύου, VPN και ασφαλής απομακρυσμένη<br />
πρόσβαση - Ένα τείχος προστασίας (firewall)<br />
στην καρδιά του δικτύου, παίζει ζωτικό ρόλο στη συνολική<br />
ασφάλεια της επιχείρησης. Με ένα τείχος προστασίας μπορείτε<br />
όχι μόνο να αναλύσετε τη ροή των απειλών, αλλά και<br />
να διευκολύνετε τις συνδέσεις VPN για την παροχή ασφαλούς<br />
πρόσβασης σε εφαρμογές web, εσωτερικές εφαρμογές<br />
και υπηρεσίες Microsoft Exchange, καθώς και ασφαλείς<br />
περιόδους λειτουργίας RDP και SSH σε τοπικούς πόρους.<br />
Επίπεδο 2: Έλεγχος της κίνησης του δικτύου,<br />
απλοποίηση του ελέγχου ταυτότητας και<br />
αποκλεισμός του phishing<br />
Push-based έλεγχος ταυτότητας - Οι λύσεις ελέγχου ταυτότητας<br />
push-based, παρέχουν καλύτερη ισορροπία μεταξύ<br />
ασφάλειας και εμπειρίας χρήστη, εξαλείφοντας την ανάγκη<br />
για token και βελτιώνοντας παράλληλα την ορατότητα.<br />
50 security
WatchGuard<br />
www.watchguard.com<br />
Με ένα smartphone στην τσέπη όλων, γιατί να ζητήσετε από<br />
τους χρήστες σας να φέρουν ένα token; Οι χρήστες μπορούν<br />
απλά να εγκρίνουν ή να απορρίψουν τη συσκευή που προτιμούν<br />
μέσα από τη συσκευή τους.<br />
Προστασία από ηλεκτρονικό "ψάρεμα" και φιλτράρισμα<br />
DNS - Οι εταιρικοί χρήστες αποτελούν πρωταρχικό στόχο για<br />
ηλεκτρονικό "ψάρεμα", ειδικά όταν συνδέονται εξ αποστάσεως.<br />
Οι λύσεις ανίχνευσης σε επίπεδο DNS εντοπίζουν προληπτικά<br />
κακόβουλα αιτήματα DNS που σχετίζονται με επιθέσεις<br />
ηλεκτρονικού "ψαρέματος", παρέχοντας ένα επιπλέον επίπεδο<br />
ασφάλειας για τον αποκλεισμό των κυβερνο-εγκληματιών.<br />
Φιλτράρισμα περιεχομένου - Τα firewalls παρέχουν ευρεία<br />
προστασία από εισβολές και κακόβουλο λογισμικό για<br />
κάθε συσκευή που είναι συνδεδεμένη στο δίκτυό σας. Μπορούν<br />
επίσης να επιβάλουν πολιτική χρησιμοποιώντας εργαλεία<br />
φιλτραρίσματος web για να αποκλείσουν επικίνδυνο<br />
περιεχόμενο, να διατηρήσουν το εύρος ζώνης δικτύου, να<br />
διατηρήσουν την παραγωγικότητα των εργαζομένων.<br />
Επίπεδο 3: Περιορίστε την έκθεση με βάση τον<br />
κίνδυνο και αντιμετωπίστε προηγμένες απειλές<br />
Κρυπτογραφημένος έλεγχος κυκλοφορίας και προηγμένο<br />
λογισμικό προστασίας από κακόβουλο λογισμικό<br />
- Οι κακόβουλοι χάκερ σήμερα κρύβουν απειλές σε μια κρυπτογραφημένη<br />
ροή και το κακόβουλο λογισμικό που φτάνει<br />
μέσω συνδέσεων με κρυπτογράφηση TLS, όπως το HTTPS,<br />
αντιπροσωπεύει πάνω από το 40% των συνολικών ανιχνεύσεων<br />
στο δίκτυο. Η δυνατότητα ελέγχου αυτής της κυκλοφορίας<br />
είναι πλέον μια κρίσιμη απαίτηση για οποιοδήποτε<br />
τείχος προστασίας. Τα προηγμένα εργαλεία, όπως το Cloud<br />
sandboxing και το anti-malware που υποστηρίζεται από AI,<br />
μπορούν να βοηθήσουν να εντοπίσετε ακόμη και τις πιο προηγμένες<br />
απειλές που κρύβονται σε κρυπτογραφημένη κίνηση.<br />
Risk-based έλεγχος ταυτότητας - Χωρίς πολιτικές διαχείρισης<br />
κινδύνου, η εταιρεία σας θα πρέπει να ενεργοποιήσει<br />
την πιο ασφαλή μέθοδο ελέγχου ταυτότητας ανά πάσα<br />
στιγμή, για όλους τους χρήστες. Ο έλεγχος ταυτότητας βάση<br />
κινδύνου είναι ένας τρόπος για να εκσυγχρονίσετε τη στρατηγική<br />
εντοπισμού και ανταπόκρισης σε απειλές.<br />
Εντοπισμός και απόκριση τελικού σημείου - Δυστυχώς,<br />
οι επιθέσεις zero day, το ransomware, το cryptojacking και<br />
οι προηγμένες απειλές στοχεύουν όλο και περισσότερο μικρότερες<br />
επιχειρήσεις. Αυτοί οι τύποι επιθέσεων μπορούν<br />
να παρακάμψουν τις περισσότερες παραδοσιακές λύσεις<br />
προστασίας. Οι λύσεις ανίχνευσης και απόκρισης τελικού<br />
σημείου παρακολουθούν τα τελικά σημεία για κακόβουλη<br />
δραστηριότητα και μπορούν να ανιχνεύσουν και να ανταποκριθούν<br />
αυτόματα σε στοχευμένες επιθέσεις.<br />
Επίπεδο 4: Ακολουθήστε μια προσέγγιση "ποτέ<br />
μην εμπιστεύεστε, επαληθεύετε πάντα"<br />
Ασφαλές Wi-Fi - Τα τείχη προστασίας είναι σε θέση για να<br />
παρέχουν ευρεία προστασία από εισβολές και κακόβουλο λογισμικό<br />
για κάθε συσκευή που είναι συνδεδεμένη στο δίκτυό<br />
σας. Μπορούν επίσης να επιβάλουν πολιτική ιστού χρησιμοποιώντας<br />
εργαλεία φιλτραρίσματος web για να αποκλείσουν<br />
ακατάλληλο περιεχόμενο, να διατηρήσουν το εύρος ζώνης δικτύου,<br />
να διατηρήσουν την παραγωγικότητα των εργαζομένων.<br />
Έλεγχος ταυτότητας zero-trust - Η εταιρεία σας θα πρέπει<br />
να ενεργοποιήσει την πιο ασφαλή μέθοδο ελέγχου ταυτότητας<br />
ανά πάσα στιγμή για όλους τους χρήστες, εάν δεν<br />
υπήρχαν πολιτικές κινδύνου. Ο έλεγχος ταυτότητας κινδύνου<br />
είναι ένας τρόπος για να εκσυγχρονίσετε τη στρατηγική σας<br />
χρησιμοποιώντας ένα ακριβές ποσό ασφάλειας με προσαρμοσμένη<br />
προστασία κινδύνου που βελτιώνει την ικανότητά<br />
σας να εντοπίζετε και να ανταποκρίνεστε σε απειλές.<br />
Αναζήτηση απειλών και έλεγχος εφαρμογών “denyby-default”<br />
- Οι απειλές μπορούν να παραμείνουν για εκατοντάδες<br />
ημέρες. Η μείωση του χρόνου ανίχνευσης είναι<br />
κρίσιμη για την ελαχιστοποίηση των επιπτώσεων μιας κυβερνοεπίθεσης.<br />
Η συνεχής παρακολούθηση των συμπεριφορών<br />
τελικού σημείου βοηθά στην αποτροπή εισβολής<br />
προηγμένου κακόβουλου λογισμικού και στην αποκάλυψη<br />
ι εσωτερικών απειλών. Είναι επίσης χρήσιμο να ακολουθήσετε<br />
μια προσέγγιση άρνησης από προεπιλογή (deny-bydefault)<br />
για την προστασία τελικού σημείου, περιορίζοντας<br />
την εκτέλεση μόνο σε εκείνες τις εφαρμογές που είναι γνωστό<br />
ότι είναι ασφαλείς.<br />
security<br />
51
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
Πως να δημιουργήσετε ένα Captive<br />
Portal για τα Access Points της<br />
σειράς GWN της Grandstream<br />
Ένα Captive Portal προσφέρει πολλά οφέλη όταν αναπτύσσεται σε ένα δίκτυο Wi-Fi. Η<br />
δυνατότητα ελέγχου πρόσβασης στο δίκτυο, η παροχή νέων leads για Wi-Fi σε εμπορικούς<br />
χώρους, ή η διασφάλιση πως ο χρήστης αποδέχεται τους όρους και τις προϋποθέσεις,<br />
συμπεριλαμβάνονται στα προτερήματα ενός Captive Portal.<br />
στήματος διαχείρισης GWN.Cloud, ή την πλατφόρμα GWN<br />
Manager, έτσι και τα captive portals μπορούν να δημιουργηθούν<br />
μέσω οποιασδήποτε από τις παραπάνω πλατφόρμες.<br />
Ο τρόπος με τον οποίο χειρίζεται ο καθένας τα access<br />
points του είναι και ο τρόπος με τον οποίο θα δημιουργήσει<br />
τα captive portals που θα χρησιμοποιηθούν από το συγκεκριμένο<br />
δίκτυο.<br />
Είναι σημαντικό να αναφερθεί ότι τα captive portals που<br />
δημιουργούνται μέσω του GWN.Cloud ή μέσω του GWN<br />
Manager, διαθέτουν επιπλέον αναλυτικές πληροφορίες,<br />
όπως τον αριθμό των επισκεπτών σε μία συγκεκριμένη χρονική<br />
περίοδο, τον αριθμό των επισκεπτών μία δεδομένη στιγμή<br />
και αποτυχίες σύνδεσης στο δίκτυο. Ακόμη, τα captive<br />
portals που δημιουργούνται στο GWN.Cloud ή στο GWN<br />
Manager μπορούν να εφαρμοστούν πιο εύκολα σε διάφορα<br />
access points/SSIDs, χρησιμοποιώντας τις επιλογές ρύθμισης<br />
της εκάστοτε πλατφόρμας.<br />
δημιουργία ενός Captive Portal στη σειρά<br />
Η<br />
GWN είναι μία απλή υπόθεση και η ποικιλία<br />
των διαφορετικών χαρακτηριστικών που<br />
προσφέρουν τα προϊόντα της σειράς, σημαίνει<br />
πως υπάρχει η δυνατότητα δημιουργίας<br />
ενός Captive Poral ιδανικό για το εκάστοτε δίκτυο. Μέσω αυτού<br />
του άρθρου θα λάβετε μία βήμα προς βήμα καθοδήγηση<br />
για τη δημιουργία ενός Captive Portal για της σειρά GWN<br />
Wi-Fi Access Points.<br />
Βήμα 1ο: δημιουργήστε το μέσω Access Point,<br />
GWN.Cloud, ή GWN Manager.<br />
Με τον ίδιο τρόπο που τα access points μπορούν να διαχειριστούν<br />
μέσω εγκατεστημένων χειριστηρίων, μέσω του συ-<br />
Βήμα 2ο: εξοικειωθείτε με τη διαμόρφωση του<br />
captive portal<br />
Μόλις αποφασιστεί το πως θα γίνει η διαχείριση του captive<br />
portal, για το δίκτυο για το οποίο διαμορφώνεται, η δημιουργία<br />
του είναι μία εύκολη διαδικασία που γίνεται μέσω<br />
του ενσωματωμένου GWN χειριστηρίου, του GWN.Cloud, ή<br />
του GWN Manager. Ανεξαρτήτως πλατφόρμας, η δημιουργία<br />
του captive portal γίνεται πιέζοντας το πλήκτρο "Captive<br />
Portal" στο μενού, στη σελίδα της εκάστοτε πλατφόρμας.<br />
Υπάρχουν 4 υποκατηγορίες με τις οποίες θα πρέπει να αποκτήσετε<br />
εξοικείωση:<br />
1. Guest: Αυτή η υποκατηγορία εμφανίζει πληροφορίες<br />
τόσο για τους τρέχοντες, όσο και για τους παλαιότερους<br />
χρήστες, που έχουν συνδεθεί μέσω όλων των captive<br />
portals. Οι πληροφορίες που παρέχονται είναι η MAC<br />
52 security
Partnernet<br />
www.partnernet-ict.com<br />
address του χρήστη, το Hostname, το Access Point, η SSIS,<br />
η RSSI, ο Τύπος Αυθεντικοποίησης, η Πολιτική, ο Χρόνος<br />
Έναρξης, ο Χρόνος Λήξης και η Κατάσταση Πιστοποίησης.<br />
Οι χρήστες και οι πληροφορίες τους μπορούν να εξαχθούν,<br />
ή να φιλτραριστούν μέσω της υποκατηγορίας Guest.<br />
2. Policy List: Η υποκατηγορία αυτή είναι το σημείο απ'<br />
όπου ξεκινά η κατασκευή ενός captive portal. Εδώ δε δημιουργείται<br />
μόνο το captive portal, αλλά και όλα τα χαρακτηριστικά<br />
του. Η συγκεκριμένη υποκατηγορία θα εξεταστεί<br />
αναλυτικότερα στο βήμα 4.<br />
3. Splash Page: Η υποκατηγορία αυτή παρέχει ένα εξειδικευμένο<br />
εργαλείο για την εξατομίκευση της splash page,<br />
στην οποία θα κατευθύνονται οι χρήστες όταν συνδέονται<br />
στο Wi-Fi μίας SSID, μέσω του captive portal. Μία splash<br />
page μπορεί να έχει εξατομικευμένες εικόνες, κείμενο,<br />
όρους χρήσης, χρώμα background, και πολλά άλλα. Τα παρακάτω<br />
συστατικά σύνδεσης είναι διαθέσιμα στα captive<br />
portals της Grandstream:<br />
• Free: Παρέχει ένα πλήκτρο που επιτρέπει στους χρήστες<br />
να συνδεθούν χωρίς να εισάγουν πληροφορίες.<br />
Αυτό είναι ιδανικό για κάθε δίκτυο το οποίο απαιτεί<br />
από τους χρήστες μόνο να αποδεχτούν τους όρους<br />
χρήσης.<br />
• Simple Password: Ένας απλός κωδικός που είναι ο<br />
ίδιος για κάθε χρήστη που συνδέεται στο δίκτυο μέσω<br />
του captive portal. Αυτός ο κωδικός δημιουργείται<br />
στην υποκατηγορία splash page.<br />
• RADIUS Server: Για πιο προηγμένη ασφάλεια, ένας<br />
RADIUS server μπορεί να χρησιμοποιηθεί για την<br />
ταυτοποίηση των διαπιστευτηρίων ενός χρήστη.<br />
• Voucher: Μέσω του web GUI, υπάρχει η δυνατότητα<br />
δημιουργίας έντυπων vouchers, με συγκεκριμένους<br />
κωδικούς, που χρησιμοποιούνται για την είσοδο σε<br />
ένα captive portal. Αυτό μπορεί να χρησιμοποιηθεί σε<br />
καφετέριες, ξενοδοχεία και άλλες εμπορικές επιχειρήσεις,<br />
έτσι ώστε να παρέχεται προσωρινή σύνδεση<br />
στο Wi-Fi στους επισκέπτες.<br />
• Custom Field: Η συγκεκριμένη επιλογή εισόδου επιτρέπει<br />
στο διαχειριστή ενός δικτύου να δημιουργήσει<br />
ένα είδους φόρμας, η οποία θα πρέπει να συμπληρωθεί<br />
ώστε να γίνει σύνδεση στο Wi-Fi. Μερικές από τις<br />
κατηγορίες της φόρμας μπορεί να είναι email, όνομα,<br />
τηλέφωνο κλπ. ενώ όλες οι επιλογές μπορούν να είναι<br />
υποχρεωτικές ή προαιρετικές.<br />
• SMS: Κωδικοί μπορούν να αποστέλλονται στο κινητό<br />
τηλέφωνο του χρήστη, επιλέγοντας τη συγκεκριμένη<br />
εναλλακτική. Μόλις ληφθεί ο κωδικός, μπορεί να<br />
χρησιμοποιηθεί για σύνδεση στο Wi-Fi SSIS μέσω του<br />
captive portal.<br />
• Facebook, Twitter, Google: Μπορεί να γίνει σύνδεση<br />
μέσω των πλατφορμών του Facebook, του Twitter<br />
και της Google. Οι χρήστες μπορούν να χρησιμοποιήσουν<br />
τους λογαριασμούς τους ώστε να αποκτήσουν<br />
ένα κλειδί captive portal, μέσω του οποίου συνδέονται<br />
στο Wi-Fi.<br />
• Διαφήμιση: Υπάρχει η δυνατότητα κατεύθυνσης<br />
των χρηστών σε οπτικό υλικό μόλις συνδέονται στο<br />
captive portal μέσω της splash page. Μέσω της<br />
επιλογής "διαφήμιση¨στις υποκατηγορίες της Slash<br />
Page, μπορεί να αναρτηθεί υλικό και να τρέχει με<br />
κάθε σύνδεση. Ο υποχρεωτικός χρόνος παρακολούθησης<br />
μπορεί να ρυθμιστεί, ενώ μετά την παρακολούθηση<br />
ο χρήστης θα μπορεί να έχει πρόσβαση στο<br />
Wi-Fi.<br />
4. Vouchers: Το τελευταίο στοιχείο των υποκατηγοριών για<br />
τα captive portals είναι το μενού των Vouchers, που χρησιμεύουν<br />
στη δημιουργία κωδικών για την επιλογή voucher<br />
login στη splash page. Τα Vouchers είναι έντυποι κωδικοί<br />
που μπορούν να χρησιμοποιηθούν για να παρέχουν στους<br />
χρήστες σύνδεση Wi-Fi περιορισμένου χρόνου, μέσω του<br />
captive portal.<br />
Δημιουργώντας ένα νέο voucher, μπορεί κανείς να αποφασίσει<br />
αρχικά πόσους κωδικούς θέλει να φτιάξει, πόσες συσκευές<br />
μπορεί να υποστηρίξει ο κάθε κωδικός, τη διάρκεια<br />
της σύνδεσης με το Wi-Fi που υποστηρίζει το κάθε voucher,<br />
για πόσο μένει ενεργό το voucher πριν χρησιμοποιηθεί και<br />
τέλος τα όρια uploads, downloads και bytes.<br />
Μόλις δημιουργηθεί, μπορεί να εξαχθεί ένα αρχείο PDF<br />
που μπορεί να έχει μέχρι 6 vouchers ανά σελίδα. Ακόμη,<br />
τα vouchers μπορούν να φέρουν λογότυπο και ένα σύντομο<br />
σλόγκαν.<br />
security<br />
53
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
Βήμα 3: Δημιουργείστε μία splash page<br />
Πριν προχωρήσετε σε πιο εξελιγμένες ρυθμίσεις του captive<br />
portal, πρέπει πρώτα να δημιουργηθεί η splash page. Μετά<br />
αυτή η splash page θα συνδεθεί με μία SSID, κατά τη<br />
δημιουργία ενός captive portal. Όπως αναφέρθηκε και στο<br />
προηγούμενο βήμα, η splash page είναι η αρχική σελίδα<br />
που βλέπει ο χρήστης μόλις συνδεθεί στο δίκτυο Wi-Fi στο<br />
οποίο είναι συνδεδεμένο το captive portal. Δημιουργώντας<br />
τη splash page είναι σημαντική η κατανόηση του σκοπού<br />
του captive portal. Όπως προαναφέραμε υπάρχουν πολλές<br />
επιλογές εισόδου για μία splash page και δεν είναι όλε κατάλληλες,<br />
για όλες τις εγκαταστάσεις. Αν για παράδειγμα το<br />
captive portal υπάρχει απλά για να υποχρεώσει τους χρήστες<br />
να αποδεχτούν τους όρους, τότε η επιλογή "Free" είναι<br />
η κατάλληλη. Οποιαδήποτε και αν είναι η ανάγκη, η splash<br />
page μπορεί να εξατομικευτεί πλήρως και να χρησιμοποιηθεί<br />
για ένα captive portal.<br />
Βήμα 5ο: Συσχετίστε το<br />
captive portal με την SSID<br />
Τώρα που έχει δημιουργηθεί το<br />
captive portal, η splash page έχει<br />
εξατομικευτεί και οι λεπτομέρειες<br />
έχουν οριστικοποιηθεί, μπορεί πλέον<br />
να συσχετιστεί με μία SSID. Στο<br />
web GUI είτε του master GWN ή της<br />
πλατφόρμας διαχείρισης του GWN,<br />
εντοπίστε την επιλογή SSID primary<br />
menu. Έπειτα, βρείτε την επιθυμητή<br />
SSID και επεξεργαστείτε την. Τέλος,<br />
διαλέξτε την επιλογή "Enable Captive<br />
Portal" και επιλέξτε το captive portal<br />
που δημιουργήσατε. Τώρα το captive<br />
portal έχει συσχετιστεί με την SSID<br />
και όλες οι μελλοντικές είσοδοι θα πρέπει να περάσουν από<br />
το portal πριν συνδεθούν στο διαδίκτυο. Ένα captive portal<br />
είναι ένα βοηθητικό εργαλείο για τη διασφάλιση πως οι χρήστες<br />
θα παρέχουν συγκεκριμένες πληροφορίες πριν τη σύνδεση<br />
στην SSID ενός Wi-Fi δικτύου, και για να παραμείνει<br />
ασφαλές ένα δίκτυο. Όλα τα δίκτυα διαφέρουν, και τα χαρακτηριστικά<br />
του GWN captive portal της Grandstream επιτρέπουν<br />
τη δημιουργία μίας εξατομικευμένης διαδικασίας εισόδου,<br />
που ταιριάζει στο κάθε δίκτυο. Για οποιαδήποτε χρήση<br />
και αν προορίζεται, ένα captive portal διατηρεί την ασφάλεια<br />
και την εξατομίκευση κάθε σύνδεσης.<br />
Βήμα 4ο: Policy List<br />
Η δημιουργία μίας policy list είναι αυτό που συνδέει τα διάφορα<br />
χαρακτηριστικά ενός captive portal παρέχει περισσότερη<br />
λεπτομέρεια. Για τη δημιουργία της, αρχικά επιλέξτε από<br />
μια σειρά υποχρεωτικών πεδίων όπως το όνομα, το όριο λήξης<br />
της σύνδεσης κάθε χρήστη, και τη splash page. Παρόλα<br />
αυτά, μετά από αυτό υπάρχουν πολλές ακόμη ρυθμίσεις που<br />
μπορούν να χρησιμοποιηθούν για να αλλάξουν τον τρόπο με<br />
τον οποίο συμπεριφέρεται το captive portal και πως συνδέονται<br />
στο δίκτυο οι χρήστες. Για παράδειγμα, η αρχική σελίδα<br />
μετά την αυθεντικοποίηση μέσω του captive portal μπορεί<br />
να ρυθμιστεί ώστε να πηγαίνει είτε στο URL που επιθυμούσε<br />
ο χρήστης, ή σε ένα προκαθορισμένο URL, όπως η ιστοσελίδα<br />
του ξενοδοχείου.<br />
54 security
ΤΟ ΣΗΜΕΊΟ ΑΝΑΦΟΡΑΣ ΣΤΗΝ<br />
ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΟ MANAGEMENT<br />
ΚΑΙ ΤΙΣ ΤΕΧΝΟΛΟΓΊΕΣ<br />
ΓΙΑ ΤΗ ΦΥΣΊΚΗ ΑΣΦΑΛΕΊΑ<br />
Το <strong>Security</strong> Manager αποτελεί το πρώτο και μοναδικό επαγγελματικό περιοδικό<br />
στην Ελλάδα που ειδικεύεται συνολικά στα θέματα φυσικής ασφάλειας,<br />
αποτελώντας μαζί με την ηλεκτρονική του έκδοση www.securitymanager.gr<br />
το μέσο με τη μεγαλύτερη επιρροή στους επαγγελματίες του χώρου<br />
εδώ και πάνω από 15 Χρόνια!
T<strong>75</strong>06/07/08.2022<br />
Issue<br />
Zero Trust Privilege – Το μέλλον<br />
του PAM<br />
<strong>Security</strong> is Broken. Long Live <strong>Security</strong>.<br />
Στη Delinea έχουμε γράψει αρκετά για το πώς έχουν αυξηθεί<br />
οι παραβιάσεις των identities, τροφοδοτούμενες από τον<br />
μετασχηματισμό στο cloud, μια διευρυνόμενη επιφάνεια επίθεσης<br />
και τη μαζική απομακρυσμένη VPN πρόσβαση λόγω<br />
της αύξησης της εργασίας από το σπίτι. Οι επιχειρήσεις παγκοσμίως<br />
αναπτύσσουν έναν αυξανόμενο αριθμό εικονικών<br />
συστημάτων, workloads και δεδομένων στο cloud. Eξωτερικοί<br />
συνεργάτες έχουν πλέον πρόσβαση στο <strong>IT</strong>.<br />
Αυτό καθιστά πιο δύσκολο για τις ομάδες ασφαλείας να ορίσουν<br />
και να υπερασπιστούν μια περίμετρο και να αντιμετωπίσουν<br />
τα τρωτά σημεία σε αυτήν την εκτεταμένη επιφάνεια<br />
επίθεσης του υβριδικού <strong>IT</strong>. Αυτή είναι μια σημαντική ανησυχία<br />
για όλους τους οργανισμούς, επειδή το 70% με 80% των<br />
παραβιάσεων δεδομένων αφορούν παραβιασμένα προνομιακά<br />
credentials. Μας νοιάζει γιατί το cloud προσθέτει σε<br />
αυτήν την επιφάνεια επίθεσης με νέα identities και οι επιτιθέμενοι<br />
απλά προσαρμόζονται. Πώς το καταφέρνουμε αυτό<br />
όταν αγωνιζόμαστε να ασφαλίσουμε την πρόσβαση στην<br />
παραδοσιακή μας data center υποδομή; Η απάντηση είναι η<br />
σύγχρονη Διαχείριση Προνομιακής Πρόσβασης (PAM) σε<br />
συνδυασμό με τις αρχές του Zero Trust .<br />
Μια ακόμη πιο σύντομη ιστορία του Zero-Trust.<br />
To Zero-Trust δεν είναι κάτι νέο. Υπάρχει εδώ και λίγο καιρό<br />
(εννοιολογικά, από το 2005 από το Jericho Forum, αλλά η<br />
εταιρεία αναλυτών Forrester το διέδωσε με το ψευδώνυμο<br />
Zero Trust το 2010). Αναμφισβήτητα ήταν μπροστά από την<br />
εποχή του, προσβλέποντας τη στροφή που θα έφερνε μελλοντικά<br />
το cloud. Σήμερα κερδίζει δυναμική, καθώς το cloud<br />
προστίθεται στην <strong>IT</strong> υποδομή και καθώς οι κατασκευαστές<br />
λύσεων ασφάλειας ενσωματώνουν τη Zero Trust μεθοδολογία<br />
στα προϊόντα τους. Εάν δεν είστε ήδη εξοικειωμένοι<br />
με το Zero Trust, είναι ένα πλαίσιο ασφαλείας που εστιάζει<br />
στην αποπαραμετροποίηση και το micro-segmentation σε<br />
επίπεδο δικτύου και συσκευών. Έτσι ξεκίνησε η ζωή του<br />
Zero Trust, στο domain παρόχων δικτύου όπως η Palo Alto<br />
Networks, η Cisco και η Twingate .<br />
Το 2017, η Forrester επέκτεινε αυτό το πλαίσιο ως Zero Trust<br />
Extended Ecosystem Platforms, παρέχοντας στους οργανισμούς<br />
(και στους κατασκευαστές) πρόσθετες διεξόδους. To<br />
Zero Trust είναι μια σύγχρονη βέλτιστη πρακτική ασφάλειας<br />
σε συνδυασμό με το σύγχρονο PAM ως μια προσέγγιση<br />
ασφάλειας με επίκεντρο το identity (έναντι του δικτύου) σε<br />
έναν υβριδικό κόσμο πληροφορικής.<br />
56 security
Tony Goulding<br />
Sr. Director, Cybersecurity Evangelist, Delinea<br />
www.delinea.com<br />
Το «Εμπιστεύσου αλλά Επαλήθευσε» είναι τώρα<br />
«Ποτέ μην Εμπιστεύεσαι, πάντα Επαλήθευσε».<br />
Αυτός είναι ένας τρόπος "ας μην εμπιστευόμαστε σιωπηρά<br />
τους διαχειριστές μας ότι κάνουν το σωστό με τους προνομιακούς<br />
λογαριασμούς", επειδή η ιστορία μας λέει ότι αυτό<br />
δεν είναι καλή ιδέα. Είναι το αντίθετο από την εποχή που οι<br />
διαχειριστές είχαν εν λευκώ πρόσβαση σε λογαριασμούς<br />
superuser όπως root, local admins, oracle, cisco, sa , admin<br />
και άλλους ενσωματωμένους λογαριασμούς διαχειριστή. Το<br />
παλιό δόγμα ασφαλείας του "εμπιστεύσου αλλά επαλήθευσε"<br />
αντικαθίσταται από το "ποτέ μην εμπιστεύεσαι, πάντα<br />
επαλήθευσε".<br />
PoLP ως η σύνδεση μεταξύ Zero Trust και PAM<br />
Δεν μπορείτε να αγοράσετε το Zero Trust. Το Zero Trust δεν<br />
είναι προϊόν. Είναι ένα μοντέλο, ιδέα ή πλαίσιο. Εναπόκειται<br />
σε κατασκευαστές όπως η Delinea να ενσωματώσουν τις αρχές<br />
και την καθοδήγησή της στα προϊόντα τους.<br />
Το Zero Trust και το PAM ευθυγραμμίζονται με την ιδέα ότι<br />
οι άνθρωποι είναι ο πιο αδύναμος κρίκος. Κάνουμε λάθη,<br />
πέφτουμε θύματα επιθέσεων κοινωνικής μηχανικής (social<br />
engineering). Κάποιοι μπορεί να δωροδοκηθούν ή και να<br />
εκβιαστούν ή γενικά δεν υπάρχει ισχυρή υγιεινή κωδικών<br />
πρόσβασης. Επομένως, δεν έχει νόημα να εμπιστευόμαστε<br />
συνηθισμένες πρακτικές των «keys to the kingdom»<br />
credentials από τους administrators. Με αυτόν τον τρόπο,<br />
αυξάνουμε το ρίσκο μιας κρίσιμης διακοπής λειτουργίας,<br />
μιας διαρροής δεδομένων ή μιας επίθεσης ransomware.<br />
Μπορούμε να το επιλύσουμε αυτό μέσω της Αρχής του Ελάχιστου<br />
Προνομίου ( PoLP, Principle of Least Privilege), μια<br />
βασική ιδέα ασφάλειας στο Zero Trust και το PAM. Το PoLP<br />
υποστηρίζει την εξάλειψη της εμπιστοσύνης στους χρήστες,<br />
υποχρεώνοντάς τους να περνούν τακτικά τη μέρα τους χρησιμοποιώντας<br />
έναν ατομικό (όχι κοινόχρηστο) λογαριασμό με<br />
ελάχιστα δικαιώματα. Εάν χρειάζονται πραγματικά περισσότερα,<br />
πρέπει να επαληθεύσουμε τον χρήστη και το αίτημα,<br />
παραχωρώντας μόνο ό,τι είναι απαραίτητο για περιορισμένο<br />
χρονικό διάστημα. Έτσι, εάν το identity του χρήστη παραβιαστεί,<br />
η ακτίνα της ζημιάς περιορίζεται και αποτρέπεται το<br />
lateral movement εντός του δικτύου.<br />
Πράγματα που πρέπει να αναζητήσετε σε μια<br />
λύση PAM<br />
Πρέπει να αξιολογήσετε κριτικά την ικανότητα της PAM λύσης<br />
σας να υποστηρίζει τη μηδενική εμπιστοσύνη σε δύο μέτωπα.<br />
Το ένα είναι η ικανότητά του να υποστηρίζει τα Ελάχιστα<br />
Προνόμια (Least Privilege). Το άλλο είναι εάν ο προμηθευτής<br />
του PAM το σχεδίασε για να υποστηρίζει υβριδική<br />
υποδομή πληροφορικής που βασίζεται στο cloud.<br />
Υπάρχουν δύο κρίσιμα κινούμενα μέρη του PAM. Η Gartner<br />
τα ορίζει ως Προνομιακή Διαχείριση Λογαριασμού και Συνεδρίας<br />
(PASM) και Διαχείριση Κλιμάκωσης και Εκχώρησης<br />
Προνομίων (PEDM). Πιο απλά, το PASM σάς επιτρέπει να τοποθετείτε<br />
κοινόχρηστους προνομιακούς λογαριασμούς σε<br />
ένα ασφαλές vault μόνο για καταστάσεις έκτακτης ανάγκης.<br />
Το PEDM είναι το τμήμα που δίνει τη δυνατότητα σε έναν χρήστη<br />
με ελάχιστα δικαιώματα να κλιμακώσει και να εκτελέσει<br />
προνομιακές εργασίες. Λειτουργούν από κοινού, επομένως<br />
η λύση PAM σας χρειάζεται και τα δύο για ασφάλεια Zero<br />
Trust, αλλά μόνο ένα vault είναι ανεπαρκές.<br />
Στη συνέχεια, με την <strong>IT</strong> υποδομή να μην περιορίζεται πλέον<br />
από μια υπερασπίσιμη περίμετρο (το data center σας), οι παλαιού<br />
τύπου λύσεις PAM που έχουν δημιουργηθεί για αυτό<br />
το παράδειγμα είναι ακατάλληλες και δεν μπορούν να προσαρμοστούν.<br />
Αυτό που απαιτείται είναι μια σύγχρονη SaaS<br />
πλατφόρμα για κεντρική διαχείριση πολιτικών PAM και κατανεμημένους<br />
clients για την επιβολή των πολιτικών στα κατανεμημένα<br />
VPC, VNet και τα πολλαπλά cloud.<br />
Με αυτό, το αποτέλεσμα είναι μια λύση PAM που υποστηρίζει<br />
σύγχρονες ανάγκες που βασίζονται στο cloud, ευθυγραμμισμένες<br />
με τις αρχές της Μηδενικής Εμπιστοσύνης που προστατεύουν<br />
την κρίσιμη υποδομή πληροφορικής και τα δεδομένα<br />
σας από identity-σχετιζόμενες επιθέσεις.<br />
Για περισσότερες λεπτομέρειες, επισκεφθείτε τη Delinea στο<br />
delinea.com<br />
security<br />
57