Οι πληροφορίες σήμερα προσλαμβάνουν συνεχώς ολοένα και μεγαλύτερη αξία, δίνοντας έτσι κίνητρο στους επιτιθέμενους hackers να αναζητούν συνεχώς νέους τρόπους και μεθόδους ώστε να τις αποκτήσουν και να τις εκμεταλλευτούν. Από την άλλη πλευρά, η συλλογή και ανάλυση πληροφοριών με σκοπό  την κατανόηση αυτών των κινδύνων , στα πλαίσια μεθόδων CyberThreatIntelligence, είναι ζωτικής σημασίας για τη λήψη και υλοποίηση σωστών αποφάσεων για τη προστασία των κρίσιμων δεδομένων.

Ρίχνοντας μια μικρή ματιά στην εξέλιξη των κυβερνοεπιθέσεων, μπορούμε να δούμε πως η ανάπτυξη τους είναι ραγδαία, δημιουργώντας ακόμα μεγαλύτερες επιπτώσεις στα ψηφιακά συστήματα σε σύγκριση με τα προηγούμενα χρόνια. Οι αυξημένοι πόροι (οικονομικοί, υπολογιστικοί), τα νέα εργαλεία και οι σκοποί που εξυπηρετούν τους hackers καθιστούν τις κυβερνοεπιθέσεις αρκετά επικίνδυνες για οποιαδήποτε επιχείρηση.

Το φάσμα των κυβερνοαπειλών εξελίσσεται

Κυβερνοαπειλή, είναι η κακόβουλη προσπάθεια να δημιουργηθεί ζημία ή πρόβλημα στη λειτουργία τόσο ενός δικτύου όσο και ενός συστήματος. Η πληθώρα κυβερνοαπειλών που υφίσταται, μπορεί να διακριθεί και να κατανοηθεί αν αναλύσουμε τα τρία συστατικά από τα οποία αυτές αποτελούνται. Αυτά είναι:

  • Η πλευρά που εξαπολύει την κυβερνοεπίθεση. Σε αυτό το σημείο έχουμε να κάνουμε πιθανά με χακτιβιστές (hacktivists), με κυβερνήσεις, με εταιρικό espionage και κυβερνοεγκληματίες.
  • Ο αντίκτυπος που έχει μία επίθεση. Αυτός προσδιορίζεται από τον τρόπο με τον οποίο η επίθεση σχεδιάζεται και υλοποιείται, αλλά και το στόχο που εκείνη έχει (εταιρικό δίκτυο, εφαρμογές, βάσεις δεδομένων κ.α.).
  • Την ανοχή στο κίνδυνο (risktolerance) που αποφασίζει να έχει κάποια επιχείρηση, από τα κενά ασφαλείας που προκύπτουν, είτε από τις υποδομές της είτε από υπαλλήλους (δικούς της ή τρίτους που εργάζονται σε αυτή π.χ. εξωτερικούς συνεργάτες).

Οι επιθέσεις εξαρτώνται από τους σκοπούς που θέλουν οι επιτιθέμενοι να πετύχουν και μπορεί να είναι οικονομικοί ή ιδεολογικοί λόγοι, η αμαύρωση της φήμης μιας εταιρίας, αλλά και κυβερνοπόλεμος μεταξύ χωρών. Κυβερνοεπιθέσεις με τη μορφή viruses, Trojan horses, spyware και phishing και άλλα είδη malware  είναι καθημερινές ανά τον κόσμο και έχουν ως στόχο οι επιτιθέμενοι να προσποριστούν οικονομικά οφέλη. Οι επιθέσεις Denial of Service – DOS αποσκοπούν στη μείωση της παραγωγικότητας μιας επιχείρησης και επιτυγχάνονται με τη διακοπή της εύρυθμης λειτουργίας του δικτύου της. Μία νέα μορφή όμως ψηφιακών επιθέσεων που εξαπλώνεται όλο και περισσότερο στο κόσμο των ψηφιακών εγκληματιών είναι οι επιθέσεις Advanced Persistent Threats (APTs) που στοχεύουν να πλήξουν μεγάλα χρηματοπιστωτικά ιδρύματα και κολοσσιαίους οργανισμούς.

Σε πρόσφατη μελέτη το 2015, ο διεθνής οργανισμός ISACA (βλ. Advanced Persistent Threat Awareness Study Results) αποκάλυψε ότι οι APTs εξακολουθούν να απολαμβάνουν τα φώτα της δημοσιότητας στον απόηχο της επιτυχημένης χρήσης τους, με αρκετές παραβιάσεις δεδομένων, προφίλ. Η τέταρτη σε μια σειρά από μελέτες σχεδιασμένες για να αποκαλύψει την κατανόηση και τις θέσεις των APTs, έδειξε θετικές τάσεις που σημειώθηκαν συγκρινόμενες με την μελέτη που διεξήχθη το 2014 (74% των ερωτηθέντων πιστεύουν ότι θα είναι ένας από τους επόμενους στόχους,  94% πιστεύουν ότι είναι τουλάχιστον κάπως εξοικειωμένοι με τα APTs, 28% έχουν υποστεί μια επίθεση, 67% πιστεύουν ότι είναι έτοιμοι να ανταποκριθούν και να αντεπεξέλθουν των απειλών).

 

Η στατιστική λέει την αλήθεια

Σύμφωνα με στατιστικές συγκρίσεις, ο αντίκτυπος των ψηφιακών επιθέσεων που έγιναν το τελευταίο τρίμηνο του 2015 παρουσίασε αύξηση 15%. Σημαντικό στοιχείο επίσης που τονίζει την σημασία που πρέπει να δοθεί στην προστασία από αυτές τις επιθέσεις από τις επιχειρήσεις, είναι πως σύμφωνα με προβλέψεις, το 2016 οι εγκληματίες στοχεύουν – με αύξηση 40% – στην παραποίηση των δεδομένων. Έτσι εστιάζουν στην ακεραιότητα (Integrity) της πληροφορίας και όχι στη διαθεσιμότητα (Availability) και την εμπιστευτικότητα (Confidentiality). Οι επιχειρήσεις που θα έχουν περίοπτη θέση στο στόχαστρο των ψηφιακών επιθέσεων αναμένεται να ανήκουν στους ακόλουθους τομείς:

  • Κυβερνήσεις
  • Οικονομικοί οργανισμοί
  • Τηλεπικοινωνιακός κλάδος
  • Λιανικό Εμπόριο
  • Ενεργειακές επιχειρήσεις

Σύμφωνα μάλιστα με τη Kaspersky Lab και την B2B International μετά από έρευνα που πραγματοποίησαν για το 2015, το 57% των στελεχών των επιχειρήσεων πιστεύουν πως τα περιστατικά ψηφιακών επιθέσεων που δέχθηκαν είχαν μεγάλο αντίκτυπο στην φήμη της εταιρίας. Όπως γίνεται αντιληπτό σε μια νέα εποχή με τις κυβερνοαπειλές να εξελίσσονται με ραγδαίους ρυθμούς, τους hackers να είναι πλέον επαγγελματίες και τα συστήματα προστασίας των εταιρικών δικτύων να παραβιάζονται πολύ εύκολα, πρέπει να υιοθετηθούν νέες μέθοδοι ενίσχυσης της ασφάλειας των συστημάτων. Η επίγνωση των επικείμενων απειλών είναι το καλύτερο μέτρο προστασίας. Γνωρίζοντας πιθανές απειλές υπάρχει η δυνατότητα καλύτερης προετοιμασίας, η οποία οδηγεί σε αποτελεσματικότερες μεθόδους προστασίας. Η νέα τάση της αγοράς στην προστασία και στην αντιμετώπιση κυβερνοαπειλών σε παγκόσμιο επίπεδο ονομάζεται Cyber Threat Intelligence.

Cyber Threat Intelligence

Cyber Threat Intelligence – CTI, είναι εξελιγμένη μέθοδος που δίνει τη δυνατότητα σε οργανισμούς να συλλέξουν, να συγκεντρώσουν, να συσχετίσουν και να αναλύσουν τόσο εξωτερικές όσο και εσωτερικές πληροφορίες και δεδομένα με σκοπό να κατανοήσουν τους κινδύνους που ελλοχεύουν και μπορούν να προσαρμόζονται στα κενά ασφαλείας που έχει κάθε οργανισμός και τον κλάδο που δραστηριοποιείται. Υπάρχουν πολλοί ορισμοί για το τι είναι CIT, ο ποιο διαδεδομένος είναι:

«Threat Intelligence είναι μια γνώση βασισμένη σε αποδεικτικά στοιχεία, που περιλαμβάνει ένα γενικό πλαίσιο, μηχανισμούς, δείκτες, επιπτώσεις και δραστικές συμβουλές για μία υπάρχουσα ή πιθανή απειλή ή για έναν κίνδυνο των περιουσιακών στοιχείων που μπορούν να χρησιμοποιηθούν για να παρθούν αποφάσεις σχετικές με την αντίδραση μιας επιχείρησης σε ένα κίνδυνο ή μία απειλή» Gartner 

Σκοπός αυτής της πρακτικής είναι να δοθεί η δυνατότητα σε επιχειρήσεις να αντιμετωπίσουν τις επιθέσεις που μπορούν να συμβούν στο μέλλον, να ανταποκριθούν δραστικότερα και αποτελεσματικότερα σε περίπτωση που δέχονται ήδη κάποια ψηφιακή εισβολή, ώστε να αποτρέψουν την κλοπή των δεδομένων τους ή να την περιορίσουν (στη μικρότερη δυνατή απώλεια). Επίσης, γνωρίζοντας νέους τρόπους επίθεσης και τους στόχους αυτών, ποια δεδομένα επιδίωκαν να αποκτήσουν οι hackers, είναι σε θέση να δημιουργήσουν μηχανισμούς που θα τους βοηθήσουν τις επιχειρήσεις να ανταποκριθούν πιο άμεσα σε μελλοντικές απόπειρες παραβίασης των συστημάτων τους. Η διαδικασία που χρησιμοποιείται σήμερα στην αντιμετώπιση των κυβερνοαπειλών αρχίζει να μην μπορεί να υποστηριχτεί. Τα τρία αυτά στάδια είναι:

  • TacticalLevel (NOC, SOC): το πλήθος των alerts δυσκολεύει τους αναλυτές να αναγνωρίσουν τον κίνδυνο.
  • OperationLevel (Incident Response, Security Forensics): υπάρχει έλλειψη πληροφορίας / γνώσης, ώστε να αποσαφηνιστούν οι απειλές και να αποτραπούν οι επιθέσεις.
  • StrategicLevel (CISO, IT Management): δεν υπάρχει η απαιτούμενη πληροφορία / γνώση που οδηγεί στη λήψη αποφάσεων για το προσωπικό και τον τρόπο “προτεραιοποίησης” των στόχων.

Η νέα λοιπόν διαδικασία που αναπτύσσεται και ξεκινάει να επιλέγεται έχει να κάνει με την πιθανότητα ενός κινδύνου. Εξυπηρετεί τη δημιουργία μιας βάσης με τα περιστατικά παραβίασης της ψηφιακής ασφαλείας που έχουν συμβεί και το πώς αντιμετωπίστηκαν, την κατανόηση των εσωτερικών δομών, τους πιθανούς στόχους που μπορεί μια κυβερνοεπίθεση να πλήξει καθώς και τη παρακολούθηση των κυβερνοαπειλών που συμβαίνουν σε παγκόσμιο επίπεδο. Όλα αυτά γίνονται με ένα στόχο, ο οργανισμός που χρησιμοποιεί το Cyber Threat Intelligence να οργανώσει και να δημιουργήσει ένα πολύ ισχυρό πλάνο για την άμυνα των υποδομών του.

Υλοποίηση- Οι πιο σημαντικές και θεμελιώδεις υπηρεσίες που προσφέρει η χρήση του CTI είναι η συλλογή δεδομένων σχετικά με τις κυβερνοαπειλές και η δυνατότητα ζωντανής ενημέρωσης για αυτές τις απειλές μαζί με τις αντίστοιχες αναφορές για κάθε μία από αυτές.

Threat Data Collection (Συλλογή Δεδομένων) – Η υπηρεσία αυτή έχει να κάνει με τη συλλογή και τη πρόσβαση σε συνεχή και εμπεριστατωμένα δεδομένα σχετικά με τις κυβερνοαπειλές που ενδιαφέρουν την εκάστοτε επιχείρηση. Τα δεδομένα αυτά δεν είναι μόνο απλοί τρόποι επίθεσης όπως αναφέρθηκε παραπάνω, αλλά μπορούν να δώσουν πληροφορίες για επικίνδυνες ή μη – απειλές από το στοιχεία ήδη επιτυχημένων εισβολών ή και ακόμα επιθέσεων στηριζόμενες στο social engineering.

Γενικότερα η συλλογή των ηλεκτρονικών απειλών μπορεί να διαχωριστεί σε τρεις κατηγορίες:

  • Threat Indicators: Θέλουν ιδιαίτερη προσοχή στην επιλογή τους, διότι αναπτύσσονται και πολλαπλασιάζονται σε καθημερινή βάση και μπορούν να περιλαμβάνουν file hashes (signatures) και πληροφορίες για domain names, IPs και γενικότερα malwares. Βοηθούν στον αποκλεισμό πολλών τεχνολογιών και χρησιμοποιούνται από τις υπόλοιπες υπηρεσίες που προσφέρει το CTI.
  • Threat Data feeds: Αποτελούν στατιστικά δεδομένα και τάσεις που κυκλοφορούν αλλά και την ανάλυση των Threat Indicators που προαναφέρθηκαν. Μπορούν να βρεθούν με οποιονδήποτε τρόπο από τις συγκεκριμένες πηγές (βλ. παρακάτω). Δίνουν την δυνατότητα στους αναλυτές των SOC και Incident Response τμημάτων να διακρίνουν τα κοινά χαρακτηριστικά μεταξύ των κυβερνοαπειλών.
  • Strategic Cyber Threat Intelligence:  Πρόκειται για τις πληροφορίες που αφορούν τους hackers που στοχεύουν να εισβάλουν στη δομή ενός οργανισμού, συνεπαρμένοι από τα κίνητρα που έχουν. Η χρήση της γνώσης αυτής βοηθάει τους managers να βελτιώσουν την ψηφιακή άμυνα των επιχειρήσεων τους, να επενδύσουν κατάλληλα αλλά και τις ομάδες Incidence Response και εγκληματολογικής ανάλυσης (forensics) να πραγματοποιήσουν (δήθεν) επιθέσεις, ώστε να υπάρχει η καλύτερη δυνατή πρόληψη.

Τα δεδομένα που συλλέγονται με τις παραπάνω μεθόδους μπορούν να προκύψουν από διαφορετικούς τύπους Threat Intelligence. Μπορεί να είναι Internal Threat Intelligence (εσωτερικές δομές τις εταιρίας), External Threat Intelligence (phishing details, botnets, locations and networks with high alert, IP mapping, malicious web sites), Community Threat Intelligence (καθημερινή παρατήρηση exploits και κενών ασφαλείας, μοτίβα επιθέσεων που συνέβησαν βοηθώντας την προστασία κάποιου άλλου) και Contextual Threat Intelligence (εσωτερικοί χρήστες υπό επιτήρηση, συσκευές που έχουν δεχθεί επίθεση, συσχετισμός ιστορικών και στατιστικών δεδομένων).

Σημαντικό συστατικό λοιπόν για το CTI είναι οι πηγές από τις οποίες αντλούνται όλες αυτές οι πληροφορίες για τις κυβερνοαπειλές που μπορεί να προέρχονται από μεγάλη γκάμα πηγών. Σημαντικότερη πηγή από αυτές που αναφέρθηκαν είναι η γνώση που προκύπτει από τη παγκόσμια κοινότητα της ψηφιακής ασφάλειας. Άλλες πηγές προκύπτουν από εταιρίες υπηρεσιών ασφάλειας ψηφιακών συστημάτων,  διασύνδεση ανάμεσα στις πλατφόρμες Cyber Threat Intelligence και ανταλλαγή πληροφοριών, επιχειρήσεις στο τομέα των Antivirus, πηγές open source στο διαδίκτυο καθώς και – τελευταία αλλά εξίσου σημαντική – από κυβερνητικές υπηρεσίες χωρών.

Alerting and Reporting (Ειδοποιήσεις & Αναφορές)

Στα πλαίσια αυτής της υπηρεσίας οι πλατφόρμες που έχουν αναπτυχθεί, παρέχουν ζωντανές (on line) ειδοποιήσεις, δίνουν συνεχώς νέες πληροφορίες που βοηθούν τη συνεχόμενη προστασία των επιχειρήσεων από διάφορους νέους κινδύνους. Μαζί με τις ειδοποιήσεις αυτές, χορηγούν και εκτενείς αναφορές που μπορεί να δίνονται σε καθημερινή ή εβδομαδιαία ή μηνιαία βάση σχετικά με διάφορα malware, επικείμενες απειλές, υποκινητές των επιθέσεων καθώς και των κινήτρων αυτών. Μπορούν όχι μόνο να σταλούν στα αντίστοιχα τμήματα ενός οργανισμού ανάλογα με το τμήμα που επηρεάζει η έκβαση μιας κυβερνοαπειλής, αλλά και ο ίδιος ο οργανισμός μπορεί να επιλέξει την ποσότητα των δεδομένων που θέλει να λαμβάνει γνώση και την περιοδικότητα αυτών των αναφορών. Τα εργαλεία είναι έτσι σχεδιασμένα να δίνουν το καλύτερο δυνατό αποτέλεσμα στον χρήστη τους όπως αυτός το επιθυμεί.

Information vs Intelligence (Πληροφορίαvs. Ευφυΐα)

Είναι σημαντικό να κατανοηθεί η διαφορά μεταξύ της απλής πληροφορίας και του intelligence για να γίνει κατανοητό πόσο σημαντική είναι η χρήση του CTI. Οι πληροφορίες είναι ακατέργαστά και αφιλτράριστα δεδομένα που δεν παρέχουν επιπλέον χαρακτηριστικά για μία κυβερνοαπειλή σε αντίθεση με την έξυπνη πληροφορία η οποία είναι επεξεργασμένη και φιλτραρισμένη περιέχοντας πιο περιεκτικά χαρακτηριστικά που μπορούν να βοηθήσουν τους αναλυτές. Πάνω σε αυτή τη διαφορά έγκειται ακόμα μία, η πρώτη δεν αξιολογείται και απλά λαμβάνεται υπόψη ενώ η δεύτερη αναλύεται και αξιολογείται από ειδικούς αναλυτές. Επιπλέον, η μια συλλέγεται από οποιαδήποτε πιθανή πηγή ενώ η άλλη συλλέγεται μόνο από αξιόπιστες πηγές και στη συνέχεια εξετάζεται πόσο ακριβής είναι βελτιώνοντας έτσι τη λειτουργία των πλατφόρμων που παρέχουν CTI. Η απλή ανεπεξέργαστη πληροφορία μπορεί να είναι αληθής ή ψευδής, σχετική ή μη και να σε οδηγεί σε λάθος συμπεράσματα και ενέργειες, Η νοημοσύνη που προστίθεται σε αυτή την πληροφορία αποκλείει αυτές τις πιθανότητες και βελτιστοποιεί τα αποτελέσματα προς όφελος των χρηστών του CTI. Έτσι το «intelligence» (η ευφυΐα) σε σχέση με την απλή πληροφορία δίνει περισσότερα χαρακτηριστικά γνωρίσματα για μία κυβερνοαπειλή, παρέχοντας πληροφορίες για την επικινδυνότητα, το στόχο που έχει, ακόμα και την σύνδεσή της με τον κίνδυνο (την πιθανότητα η απειλή να εκμεταλλευτεί μια ευπάθεια) και σαφέστατα είναι σημαντικό/ή για τις επιχειρήσεις.

Για να μπορέσει όμως να χρησιμοποιηθεί στο μέγιστο βαθμό και να είναι αποτελεσματικό θα πρέπει το «intelligence» να είναι:

  • timely – θα πρέπει δηλαδή να αναφέρει ένα συμβάν που είναι σε εξέλιξη ή την δυνατότητα του να συμβεί μελλοντικά,
  • accurate – να παρουσιάζει με ακρίβεια τις επικείμενες κυβερνοαπειλές που παρουσιάζονται,
  • actionable – να επιφέρει μια απόφαση, μία αντίδραση ή και πληροφορία σε εξωτερικές πηγές να μην δράσουν,
  • relevant – το περιεχόμενο και τα χαρακτηριστικά που δίδει προφανώς θα πρέπει να έχουν σχέση με την επιχείρηση, τον τομέα που βρίσκεται και καλύπτοντας στο μέτρο του δυνατού τις «ανησυχίες» της ίδιας επιχείρησης.

Πλεονεκτήματα

Με τη χρήση του Cyber Threat Intelligence ένας οργανισμός μπορεί να προνοήσει και να αντιμετωπίσει ένα πιθανόν συμβάν κυβερνοεπίθεσης σε βάρος του. Συνεχής έλεγχος και αναφορές σχετικά με πιθανές κυβερνοαπειλές μπορούν να βοηθήσουν στη μείωση του κόστους σε ό,τι αφορά το κομμάτι της ασφάλειας των ψηφιακών συστημάτων, αλλά και στον περιορισμό (αν αυτό είναι εφικτό) των κινήτρων των hackers να επιλέξουν τον οργανισμό για να εξαπολύσουν την επίθεση τους. Το πιο σημαντικό όφελος όμως είναι η ενίσχυση της φήμης του οργανισμού, κάνοντας τον περιζήτητο στην αγορά, αυξάνοντας παράλληλα την ασφάλεια και την εμπιστοσύνη τόσο στους πελάτες όσο και στους «stakeholders». Η επίτευξη των προαναφερόμενων είναι εφικτή, διότι οι εταιρίες θα γνωρίζουν την εσωτερική τους δομή και θα είναι σε θέση να παρατηρήσουν μία αλλαγή στην συμπεριφορά του περιβάλλοντος τους και θα ανταλλάσσουν στοιχεία για κυβερνοαπειλές με την ευρύτερη κοινότητα. Θα είναι έτσι καλύτερα προετοιμασμένες (οι εταιρίες) σε επιθέσεις μεγαλύτερου μεγέθους / βεληνεκούς, καθώς πιθανώς να υπάρχει μια υπογραφή που θα έχει ήδη αναγνωριστεί και διαμοιραστεί. Μπορούν λοιπόν να ελαχιστοποιήσουν τις ευπάθειες των συστημάτων, τις αδυναμίες ή τις σχεδιαστικές ατέλειες τους, τις εφαρμογές ή τις υποδομές που μπορούν να γίνουν αιτία για την παραβίαση της ασφάλειας και της ακεραιότητας του συστήματος,

και να αντιμετωπίσουν τέτοιου είδος επιθέσεις.

Casestudies

Για να γίνουν καλύτερα αντιληπτά τα πλεονεκτήματα που παρέχει το CIT, μπορούμε να αναλύσουμε δύο περιπτώσεις, στις οποίες το CIT θα μπορούσε να αποτρέψει μια κυβερνοαπειλή.

Στις 23 Δεκεμβρίου το ηλεκτρικό δίκτυο της Ουκρανίας δέχθηκε επίθεση με αποτέλεσμα να μην λειτουργούν οι 30 από τους 135 υποσταθμούς που υπάρχουν. Το συμβάν αυτό μάλιστα δεν ήταν μικρής σημασίας, γιατί η πτώση του ρεύματος διήρκησε για τουλάχιστον έξι ώρες. Σήμερα πολλοί αναλυτές και εταιρίες προσπαθούν να αναλύσουν διεξοδικά αυτήν την επίθεση και να κατανοήσουν τον τρόπο με τον οποίο αυτή επιτεύχθηκε. Μάλιστα έχουν καταλήξει στο συμπέρασμα πως αυτή η κυβερνοεπίθεση πραγματοποιήθηκε σε δύο μέρη. Στο πρώτο στάδιο με τη βοήθεια ενός malware οι hackers κατάφεραν να αποσυνδέσουν τους υπολογιστές που ήλεγχαν τους υποσταθμούς που χτυπήθηκαν και στην συνέχεια με τη χρήση ενός ιού (virus) έκαναν τους υπολογιστές αυτούς να μην μπορούν να λειτουργήσουν.

Έχοντας ως δεδομένο τα ευρήματα αυτά και το γεγονός πως το malware ήταν ήδη γνωστό στην κοινότητα των ψηφιακών αναλυτών, το Cyber Threat Intelligence θα μπορούσε να αποτρέψει τα καταστροφικά αποτελέσματα. Εφόσον δηλαδή υπήρχαν αναφορές με αναλύσεις του συγκεκριμένου malware στη βάση δεδομένων, θα βοηθούσε το SIEM (Security Information and Event Management) να εντοπίσει κατευθείαν τον κίνδυνο και να στείλει ειδοποίηση (alert) στους ειδικούς για να αποτρέψουν τον κίνδυνο. Η αναφορά αυτή θα μπορούσε να περιέχει στοιχεία με τους στόχους που είχε επηρεάσει στο παρελθόν, το σκοπό της χρήσης – ποιοι ήταν οι υποκινητές δηλαδή αλλά και το πώς χτυπάει τους στόχους – ποιες ευπάθειες εκμεταλλεύεται. Εν τέλει, από τα στοιχεία που συλλέχθηκαν, φαίνεται να υπάρχει πιθανότητα πίσω από την επίθεση να κρύβεται κυβερνητικό espionage μεταξύ της Ουκρανίας και της Ρωσίας.

Πέρυσι η Carbanak, μια κακόβουλη για τον τραπεζικό τομέα συμμορία ανιχνεύθηκε, η οποία τροποποιούσε επιλεκτικά έναν σχετικά μικρό αριθμό πολύ συγκεκριμένων συναλλαγών. Αυτή η οργανωμένη ομάδα έκλεψε από 300 εκατομμύρια έως ένα δισεκατομμύριο δολάρια συνολικά σε πάνω από 100 τράπεζες, μεταβάλλοντας μόνο λίγες συναλλαγές. Τέτοιες επιτυχίες ενισχύουν τη συνέχιση των δραστηριοτήτων των εισβολέων.

Σε άλλη περίπτωση, έστω ότι έχουμε μια τράπεζα με μεγάλο αριθμό προσωπικού και πελάτες υψηλής δημοτικότητας. Επομένως θα έχει στην κατοχή της πληθώρα προσωπικών πληροφοριών που πρέπει να προστατευτούν με κάθε κόστος, ειδάλλως θα υποστεί ζημία η  φήμη της τράπεζας. Ας θεωρηθεί ότι η τράπεζα έχει επιλέξει να χρησιμοποιεί ένα σύστημα SIEM και ένας υπάλληλος της τράπεζας δέχεται επίθεση phishing μέσω ενός ψεύτικου email. Την ανωμαλία αυτή την εντοπίζει το SIEM και λαμβάνονται τα απαραίτητα μέτρα. Αποσυνδέεται ο υπολογιστής από το δίκτυο, ελέγχεται, διορθώνεται και επανέρχεται πάλι σε λειτουργία. Εδώ έρχεται το «intelligence» και παίρνει /λαμβάνει αυτή την πληροφορία και την αξιοποιεί. Γίνεται εκτενής έλεγχος της πηγής του phishing από διάφορες βάσεις δεδομένων, ελέγχεται το domain name, οι λίστες που έχουν τις πηγές phishing, ελέγχεται με βάση την IP. Με τις πληροφορίες που συλλέχθηκαν δημιουργείται το «intelligence». Συνδυάζοντας τα στοιχεία καταλήγουμε στο ότι η επίθεση γίνεται από μία κοινότητα που αποσκοπεί στο κέρδος, η επίθεση δεν είναι ιδιαίτερα «τεχνική», δεν απαιτεί πολλή γνώση και σκοπός ήταν το κέρδος και όχι η καταστροφή ή απόκτηση δεδομένων. Εν συνεχεία μπορούν να προκύψουν ορισμένες ενέργειες και αντίμετρα για το μέλλον, όπως π.χ. να ανανεωθούν τα firewall, οι λίστες με μπλοκαρισμένες IP, να γίνει έλεγχος στα logs με βάση αυτές τις IP και domain names και πολλές ακόμα δράσεις πρόληψης παρόμοιων επιθέσεων.

H αγορά σήμερα

Υπάρχουν αρκετές εταιρίες που προσφέρουν υπηρεσίες Cyber Threat Intelligence στην αγορά που δίνουν πληροφορίες από διαφορετικές πηγές για τις κυβερνοαπειλές και παρέχουν αναλύσεις πάνω σε αυτές. Υπάρχουν ορισμένες διαφοροποιήσεις σχετικά με το που στοχεύει η καθεμία, άλλες ασχολούνται περισσότερο με το τεχνικό κομμάτι – technical intelligence, άλλες με την παροχή πληροφοριών για τις απειλές. Ο διαχωρισμός μπορεί ακόμα να γίνει με βάση τις απειλές που ερευνούν, άλλες εταιρίες δίνουν σημασία σε APT απειλές για παράδειγμα και ασχολούνται με το εταιρικό ή κυβερνητικό espionage και άλλες με απειλές που πραγματοποιούνται από χακτιβιστές (hacktivists).

Συμπεράσματα – Μελλοντικές Προβλέψεις

Στην πρόσφατη σύσκεψη του Παγκόσμιου Οικονομικού Φόρουμ (World Economic Forum), ειπώθηκε ευθαρσώς ότι οι πληροφορίες και συγκεκριμένα τα δεδομένα είναι το νέο πετρέλαιο της ψηφιακής οικονομίας. Τα δεδομένα στον 21ο αιώνα, όπως το πετρέλαιο του 18ου αιώνα, είναι πολύτιμα στοιχεία και βρίσκονται στα χέρια των ανθρώπων. Ο Joris Toonders της Yonego, σε συνέντευξή του στο περιοδικό WIRED επιμένει σε αυτό, τονίζοντας «όπως και στην περίπτωση του πετρελαίου, για όσους καταλαβαίνουν την αξία των δεδομένων και μάθουν να τα εξάγουν και να τα «χρησιμοποιούν» σωστά, θα υπάρξουν τεράστιες ανταμοιβές. Είμαστε σε μια ψηφιακή οικονομία, όπου τα δεδομένα είναι πιο πολύτιμα από ποτέ. Είναι το κλειδί για την ομαλή λειτουργία των πάντων από τις κυβερνήσεις έως τις τοπικές επιχειρήσεις. Χωρίς αυτό, η πρόοδος θα σταματήσει».

Τα μηνύματα για το 2016 δεν είναι αρκετά αισιόδοξα, καθότι, θα δούμε μια επέκταση των τεχνικών των επιτιθεμένων (attackers’ techniques). Οι επιθέσεις που θα βλάπτουν την ακεραιότητα των δεδομένων θα αυξηθούν. Αυτές θα είναι πιο εξελιγμένες, καλά σχεδιασμένες και εκτελέσιμες (π.χ. τροποποίηση αξιόπιστων επικοινωνιών, ransomware βλ. Fleece). Οι εγκληματίες επωφελούνται από τα σαφή πλεονεκτήματα των τεχνικών και θα συνεχίσουν την δράση τους όσο πιο «λαίμαργα» μπορούν. Είναι δύσκολο για τις εταιρίες επιθέσεις να προστατευτούν, την ανιχνεύσουν τις απειλές και την αποκαταστήσουν άμεσα τις «βλάβες». Η βιομηχανία της ασφάλειας δεν έχει ακόμη προσαρμοστεί στις νέες προκλήσεις και οι επιτιθέμενοι εκμεταλλεύονται την ευκαιρία. Όμως οι εταιρίες μπορούν και πρέπει να λάβουν – στο μέτρο του δυνατού – τα μέτρα τους και να μην αγνοήσουν την προβληματική κατάσταση.

Χρειαζόμαστε λοιπόν ένα οικοσύστημα, όπου οι πληροφορίες για τις απειλές στον κυβερνοχώρο θα μοιράζονται αυτόματα σε όλες τις δομές των ΤΠΕ δημόσιου και ιδιωτικού τομέα σε πραγματικό χρόνο. Έφτασε πλέον η ώρα να διαχειριστούμε το συνεχώς αυξανόμενο σε απειλές στον κυβερνοχώρο τοπίο (threat landscape) με συγκεκριμένη στρατηγική. Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) δημιουργήθηκε για να ενδυναμώσει τη δυνατότητα της Ευρωπαϊκής Ένωσης, των Κρατών μελών της Ε.Ε. και της επαγγελματικής κοινότητας να αποφεύγει, να διευθύνει και να ανταποκρίνεται σε προβλήματα που αφορούν την ασφάλεια των δικτύων και πληροφοριών. Το 2014, ο ENISA εξέδωσε μια έκθεση για το τοπίο των απειλών (Threat Landscape) για να ενημερώσει όσο το δυνατόν περισσότερους για την κατάσταση στον κυβερνοχώρο. Για να καταλάβει κάποιος την τάση στην εποχή του Internet of Things (IoT) και την διάθεση για ενημέρωση, πρόσφατα (01/2016) “βγήκε στο φως” μια μελέτη με τίτλο «Cyber Security and Resilience of Intelligent Public Transport. Good practices and recommendations». Αυτή ουσιαστικά προτείνει μια ρεαλιστική προσέγγιση που θα αναδείξει τα κρίσιμα περιουσιακά στοιχεία των ευφυών συστημάτων δημόσιων μεταφορών, δίδει μια γενική επισκόπηση των υφιστάμενων μέτρων ασφάλειας (καλές πρακτικές) που θα μπορούσαν να χρησιμοποιηθούν για την προστασία των κρίσιμων στοιχείων και τη διασφάλιση της ασφάλειας του συστήματος IPT, βασισμένη σε έρευνα και συνεντεύξεις από ειδικούς του τομέα, δήμους, φορείς, κατασκευαστές και διαφόρους “policy-makers”.

Κλείνοντας, ας χρησιμοποιήσουμε ένα απόσπασμα από τον Γουόλτερ Λίλαντ Κρόνκαϊτ – παλαιό Αμερικανό δημοσιογράφο του ραδιοφώνου και της τηλεόρασης που μας προτρέπει στο να «δουλέψουμε» περισσότερο πάνω στις θεματικές περιοχές της επίγνωσης (awareness), της εκπαίδευσης (education/training) και εν τέλει ευφυΐας (intelligence) – “Whatever the cost of our libraries, the price is cheap compared to that of an ignorant nation” («Οποιοδήποτε και αν είναι το κόστος των βιβλιοθηκών μας, η τιμή του είναι φθηνή συγκρινόμενη με εκείνη του έθνους εν αγνοία»). Τα συμπεράσματα δικά σας.

 

Πασσάς Σταμάτης

 MSc, MBA, Υποψήφιος Διδάκτορας (PhD Candidate) Παντείου Πανεπιστημίου

Μαϊμάρης Δημήτρης

Διπλ. Ηλεκτρολόγος Μηχανικός & Μηχανικός Υπολογιστών (ΗΜΜΥ) Δημοκριτείου Πανεπιστημίου Θράκης (Δ.Π.Θ.)