Πολλές σημερινές πρακτικές ασφαλείας πάσχουν από μια αντιδραστική και αποσπασματική προσέγγιση χωρίς συγχρονισμό. Αυτό που απαιτείται είναι ολιστικές λύσεις που ενσωματώνουν ένα ευρύτερο σύνολο τεχνολογιών για την ασφάλεια

Είναι σχεδόν βέβαιο, ότι σύντομα οι σημερινές επιχειρήσεις θα αντιμετωπίσουν προκλήσεις άνευ προηγουμένου στην ασφάλεια. Τα αποδεικτικά στοιχεία μάλιστα είναι ήδη συναρπαστικά, αφού οι κυβερνο-επιθέσεις και τα περιστατικά παραβίασης των δικτυακών υποδομών αυξάνονται τόσο σε συχνότητα, όσο σε όγκο και σε πολυπλοκότητα, φθάνοντας σε ανησυχητικά υψηλά επίπεδα, με παραδείγματα παραβίασης δικτύων κορυφαίων επιχειρήσεων στον κόσμο, όπως εταιρειών Fortune 500 και κρατικών υπηρεσιών.

Για τους υπεύθυνους ασφάλειας (Chief Security Officers / CSOs), το ερώτημα που τίθεται, είναι τί συνέβη στις «λεγόμενες» λύσεις ασφάλειας επόμενης γενιάς; Το πλήθος των επιθέσεων, το εξελισσόμενο τοπίο των απειλών και το αυξανόμενο χάος που φέρνει μαζί του το malware, είναι πράγματα που δείχνουν ότι δυστυχώς έρχονται αναπόφευκτα και άλλες παραβιάσεις ασφάλειας στο μέλλον. Και δεν υπάρχει διαθέσιμη κάποια εύκολη λύση, ούτε κάποιο μαγικό περιβάλλον ελέγχου «sandbox» και δεν θα ήταν ρεαλιστικό να περιμένουμε ότι η αυτή η κατάσταση θα βελτιωθεί βραχυπρόθεσμα. Οι υπάρχουσες υποδομές ασφάλειας σε πολλές εταιρείες και οργανισμούς είναι αναμφισβήτητα ελλιπείς με αρκετά προβλήματα και κενά, ενώ επιπλέον, οι δεκαετίες κακού σχεδιασμού και οργάνωσης δεν μπορούν να αναθεωρηθούν μόνο με την εφαρμογή μερικών patches ή με κάποια λεγόμενη λύση ασφάλειας τερματικών συσκευών «επόμενης γενιάς» (Next Generation Endpoint).

Υπάρχουν επίσης ζητήματα στη στάση που κρατάμε απέναντι στην ασφάλεια αφού υπάρχουν πολλά κενά και οι περισσότερες επιχειρήσεις δυστυχώς δεν κατανοούν τις πρωταρχικές τους ανάγκες στον τομέα αυτό. Αυτό έχει ως αποτέλεσμα, οι περισσότεροι οργανισμοί και εταιρείες να μην γνωρίζουν ποσοτικά τα περιουσιακά τους στοιχεία σε δεδομένα και πληροφορίες που διαθέτουν. Στην πραγματικότητα, αξίζει να αναφερθεί ότι η ενισχυμένη περίμετρος έχει αρχίσει να ξεθωριάζει και η περιμετροποίηση (the perimeterization) αποτελεί μία πραγματικότητα. Η καθοδηγούμενη από την Πληροφορική «τέλεια καταιγίδα», που επιδεινώθηκε περαιτέρω από τις δυνάμεις του Σύννεφου (Cloud), της Εικονικοποίησης (Virtualization) και της Φορητότητας (Mobility) κατέστησε παρωχημένη την παραδοσιακή επιχειρησιακή δικτυακή / περιμετρική ασφάλεια, στερώντας από τους διαχειριστές πληροφορικής και ασφάλειας από βασικούς ελέγχους ασφαλείας, παρεμποδίζοντας παράλληλα την ορατότητα που αφορούν συμβάντα σχετικά με τους χρήστες ή το δίκτυο. Οι επιχειρήσεις Big Data είναι εδώ, αλλά η ασφάλεια συνεχίζει να βρίσκεται στο περιθώριο. Οι μεγάλες ποσότητες δεδομένων που αποθηκεύονται και οι πολλαπλοί χρήστες που έχουν πρόσβαση σε αυτά σε μεγάλους, κατανεμημένους και ολοένα περισσότερο συνεργατικούς οργανισμούς, καθιστούν τον αποτελεσματικό τους έλεγχο μία αποθαρρυντική πρόκληση.

Θεραπεύοντας την αχίλλειο πτέρνα με την ενοποίηση της Ασφάλειας Δικτύου και Τερματικών Συσκευών

Η «τέλεια καταιγίδα» των απειλών και του μετασχηματισμού που οδήγησε η Πληροφορική, ευτυχώς δεν έχει επιφέρει μόνο άγχος και χάος, εφόσον υπάρχει βέβαια η κατάλληλη προετοιμασία στον τομέα ασφάλειας. Μέσω της δυνατότητας συνεργασίας της Δικτυακής Ασφάλειας (Network Security) και της Ασφάλειας Τερματικών Συσκευών (Endpoint Security), οι επιχειρήσεις όχι μόνο μπορούν να καταπολεμήσουν πιο αποτελεσματικά τις απειλές, αλλά επίσης μπορούν να περιορίσουν σημαντικά τα κενά ασφάλειας, να αποτρέψουν την μη εξουσιοδοτημένη πρόσβαση και να ενισχύσουν τις άμυνες τους με πολύ απλό τρόπο. Ο αυξανόμενος αριθμός των τερματικών συσκευών παραμένει η αχίλλειος πτέρνα, καθιστώντας τα δεδομένα, τις πληροφορίες και τις υποδομές επιρρεπείς σε προηγμένες κυβερνο-απειλές.

Ξεκινώντας από δικτυακές σαρώσεις (ping sweeps & port scanning) έως νέες πιο εξελιγμένες μεθόδους επίθεσης όπως ένας έντεχνα κατασκευασμένος πολυμορφικός κώδικας, οι κυβερνο-εγκληματίες βάζουν ως στόχο τις τερματικές συσκευές για να προκαλέσουν σοβαρές βλάβες σε δίκτυα επιχειρήσεων με στόχο να αποσπάσουν εμπιστευτικά δεδομένα κρίσιμης σημασίας εξ αποστάσεως (remotely).

Ο έλεγχος, τέλος, του ολοένα αυξανόμενου όγκου αλλά και της ποικιλίας των τερματικών συσκευών από μόνο του έχει γίνει μία σημαντική πρόκληση στη διαχείριση από τις ομάδες ασφαλείας πληροφορικής, οδηγώντας σε μαζικές υλικοτεχνικές υπερβολές για την αναγκαστική επιβολή πολιτικών ασφαλείας και ελέγχου πολλαπλών παραγόντων ασφαλείας σε κάθε τερματική συσκευή.

Οι περισσότερες σημερινές πρακτικές ασφαλείας πάσχουν από μια αντιδραστική και αποσπασματική προσέγγιση με πολλαπλές υποδομές, επικαλυπτόμενες λειτουργίες και ποικίλα συστήματα διαχείρισης που στερούνται κατάλληλου συγχρονισμού. Επίσης, εκείνοι που ισχυρίζονται ότι έχουν ενσωματώσει σε μία την προστασία τερματικών συσκευών και δικτύου δεν κοιτάζουν πέρα από την πρόληψη. Παρεκκλίνοντας από αυτή την αναποτελεσματική προσέγγιση, το Project Galileo της Sophos που συνθέτει ένα ευρύτερο οικοσύστημα ασφάλειας, εξερευνά μια νέα και ολιστική διάσταση που ενοποιεί και  ενσωματώνει ένα ευρύτερο σύνολο τεχνολογιών στην ασφάλεια τερματικών συσκευών και δικτύου και το ενισχύει περαιτέρω μέσω της διαχείρισης στο Cloud, της νοημοσύνης έναντι απειλών (threat intelligence) και της συνολικής διαχείρισης όλων των παραμέτρων ασφάλειας. Η συγκεκριμένη προσέγγιση έχει ως βασικό στόχο να προάγει την επικοινωνία και να συνασπίσει την ασφάλεια μεταξύ των προστασιών δικτύου, διακομιστή και τερματικών συσκευών, διασφαλίζοντας ότι οι προηγμένες επιθέσεις και οι άγνωστες απειλές όχι μόνο μπορούν να αντιμετωπιστούν αποτελεσματικά, αλλά και πως όλες οι δραστηριότητες και τα γεγονότα που ενέχουν κίνδυνο μπορούν να ανιχνεύονται και να αποκαθίστανται σε ελάχιστο χρόνο, εξασφαλίζοντας παράλληλα ότι τα κρίσιμης σημασίας δεδομένα κρυπτογραφούνται για να περιοριστούν οι απώλειες.

Κοιτάζοντας πέρα από την “Αλυσίδα του Κυβερνο-θανάτου”

Η βασική πτυχή της παραπάνω προσέγγισης είναι ότι επιτρέπει σε στελέχη στον τομέα της ασφάλειας ή σε διαχειριστές να κοιτάζουν πέρα από τις κλισέ πρακτικές, συμπεριλαμβανομένης και της αντιδραστικής προσέγγισης, έχοντας αντίληψη ουσιαστικά του Cyber Kill Chain που περιλαμβάνει τα διαφορετικά στάδια μίας κυβερνο-επίθεσης. Αρκετά συχνά, ακούμε από τους αναλυτές ασφαλείας ότι υπάρχει μια αυξανόμενη ανάγκη για να ενσωματωθεί η ασφάλεια στις βασικές επιχειρηματικές διαδικασίες, συμπεριλαμβανομένου και του τρόπου που γίνεται η διαχείριση πληροφορικής. Ωστόσο, πολλές επιχειρήσεις εξακολουθούν να αποτυγχάνουν να ακολουθήσουν μια προληπτική προσέγγιση από εξελιγμένους παράγοντες απειλών για την προστασία των δικτύων τους, των περιουσιακών στοιχείων πληροφορικής, των δεδομένων, των χρηστών και της επιχειρησιακής φήμης τους, επειδή πολύ απλά η προσέγγιση τους είναι εσφαλμένη και συνεχίζει να είναι αντιδραστική. Έτσι, τα δίκτυα των επιχειρήσεων παραμένουν ευάλωτα σε κυβερνο-επιθέσεις, δυστυχώς ακούσια.

Αλλά γιατί συμβαίνει αυτό; Η απάντηση πάντως δεν μπορεί να είναι ότι πολλές επιχειρήσεις δεν αντιμετωπίζουν την ασφάλεια δικτύου σοβαρά, με τόσες παραβιάσεις δικτύων που συμβαίνουν και που βρίσκονται στις επικεφαλίδες των μεγαλύτερων ειδησεογραφικών ιστοσελίδων. Από ότι φαίνεται, οι επιχειρήσεις βασίζονται σε μεγάλο βαθμό σε μυωπικές ή αντιδραστικές μεθόδους ασφαλείας, που δεν επιτρέπουν στον τακτικό και έγκαιρο εκσυγχρονισμό των πληροφοριακών συστημάτων, κάτι που επίσης θολώνει τον τρόπο σκέψης των υπευθύνων ασφάλειας των εταιρειών.

Υπάρχει απόλυτη ανάγκη για απόκλιση από αυτήν την προσέγγιση, η οποία επικεντρώνεται περισσότερο στην πρόληψη από γνωστές απειλές ή εξωτερικές απειλές και δεν λαμβάνει υπόψη τις ασύμμετρες απειλές, όπως επεμβατικές μεθόδους ή απειλές που προέρχονται από το εσωτερικό της επιχείρησης (π.χ κάποιον υπάλληλο). Οι περισσότερες επιχειρήσεις δεν λαμβάνουν υπόψιν τη νοημοσύνη έναντι απειλών (threat intelligence) που αφορά σε αξιοποιήσιμα γεγονότα κρίσιμης σημασίας, και που σε διαφορετική περίπτωση θα τις βοηθούσε να εντοπίσουν άγνωστες απειλές, ανωμαλίες στο δίκτυο ή ύποπτες δραστηριότητες χρηστών.

Επόμενης γενιάς ασφάλεια πληροφοριών για το μέλλον

Η φράση «νοημοσύνη έναντι απειλών» (threat intelligence) ενδεχομένως να ακούγεται κάπως περίεργα, όμως υπάρχουν σίγουρα πολλά περισσότερα που πρέπει να γίνουν ακόμα. Ανεξάρτητες εταιρείες στον τομέα της ασφάλειας, αλλά και ομάδες ερευνητών σε διάφορες επιχειρήσεις, συνεχώς αναζητούν νέες απειλές, ευπάθειες zero-day και διεξάγουν διαρκώς πολλές έρευνες σε βάθος για το θέμα. Παρόλο που υπάρχει ένας τεράστιος όγκος κρίσιμης σημασίας ερευνών πάνω στη νοημοσύνη έναντι απειλών, το μεγαλύτερο μέρος είναι πληροφορίες μη επεξεργασμένες. Αν και η νοημοσύνη έναντι απειλών και ο διαμοιρασμός αξιοποιήσιμων πληροφοριών ασφαλείας μπορούν να βοηθήσουν να εστιάσουμε και να δώσουμε προτεραιότητα στην χρήση τεράστιων ποσοτήτων σύνθετων πληροφοριών ασφάλειας δικτύου, οι οργανισμοί έχουν μια στοιχειώδη ανάγκη για τυποποιημένη και δομημένη παρουσίαση των πληροφοριών αυτών, για να τις μετατρέπουν σε πληροφορίες που μπορούν να διαχειριστούν και να κοινοποιηθούν σε άλλους. Είναι ζωτικής σημασίας να εκτιμήσουμε αυτή την διάκριση σήμερα, όπου σχεδόν κάθε συνδεδεμένη επιχείρηση είναι ένας big-data οργανισμός. Το ευρύ φάσμα δικτυακών συσκευών, συστημάτων ασφαλείας καθώς και των πολλαπλών χρηστών, παράγουν terabytes δεδομένων και αρχείων καταγραφής συμβάντων (logfiles). Αν και υπάρχουν πολλές ενδείξεις και στοιχεία εγκληματικής δραστηριότητας που καταγράφονται, οι κρίσιμης σημασίας και αξιοποιήσιμες πληροφορίες ασφαλείας χάνονται ή παρερμηνεύονται εξαιτίας της τεράστιας ποσότητας δεδομένων. Επιπλέον, μία ακόμα παρανόηση που συνδέεται με τη νοημοσύνη έναντι απειλών (threat intelligence) είναι ότι συχνά συγχέεται με τις ψηφιακές υπογραφές απειλών (threat signatures) ! Ευτυχώς, πολλοί αναλυτές και ερευνητές στον τομέα της ασφάλειας, έχουν συμβάλλει στην καταπολέμηση τέτοιων λανθασμένων εντυπώσεων σχετικά με έννοιες που αφορούν το security / threat intelligence.

Το παλλόμενο καρδιοχτύπι της επόμενης γενιάς ασφαλείας πληροφοριών

Στη Sophos έχει επικρατήσει η αντίληψη στο να προσφέρονται πραγματικά αξιοποιήσιμες πληροφορίες νοημοσύνης έναντι απειλών με πλούσιες εισροές σχετικών σημαντικών πληροφοριών (contextual inputs) που βοηθούν τις ομάδες ασφαλείας να κατανοήσουν σε μεγάλο ποσοστό τις παλαιότερες, σημερινές αλλά και μελλοντικές μεθοδολογίες επιθέσεων καθώς και να κατανοήσουν τις διάφορες μεθόδους επίθεσης, είτε πρόκειται για εσωτερικές ή εξωτερικές. Για την αποτελεσματική αντιμετώπιση της τρέχουσας κατάστασης στον τομέα της ασφάλειας του δικτύου, θα πρέπει να αντικαταστήσουμε τις υπάρχουσες πρακτικές ασφαλείας, με ένα πολυδιάστατο παράδειγμα σχετικών πληροφοριών που έχει περισσότερη ουσία και επιτρέπει στις τεχνολογίες ασφαλείας δικτύου και τερματικών συσκευών να μοιράζονται σημαντικές πληροφορίες με τη χρήση ενός μηχανισμού που ονομάζεται “Heartbeat”. Το Heartbeat μπορεί να προσφέρει καλύτερη προστασία αλλά και να παρακολουθεί την κατάσταση των τερματικών συσκευών, εξασφαλίζοντας ότι μόνο οι τερματικές συσκευές που έχουν συμμορφωθεί με την πολιτική ασφάλειας, έχουν πρόσβαση στο δίκτυο και σε άλλους πόρους της επιχείρησης.

 

Γιώργος Καπανίρης

Διευθυντής Στρατηγικής Ανάπτυξης, NSS