Συνέντευξη με την Ομάδα Υπηρεσιών Cyber Security  της Performance Technologies  

Είχαμε τη χαρά να συναντήσουμε στα γραφεία της Performance Technologies στελέχη από την ομάδα υπηρεσιών κυβερνο-ασφάλειας της εταιρίας και να συνομιλήσουμε μαζί τους για μια σειρά σημαντικών θεμάτων όμως είναι τα Managed Security Services, οι απειλές Ransomware, οι προκλήσεις σχετικά με το cloud καθώς, οι απαιτήσεις στο Disaster Recovery Planning και για τον κρίσιμο ρόλο του ανθρώπινου παράγοντα

Αντώνης Παράβαλος, Network Security Unit Manager – Solutions Architect – Κατερίνα Ζερβονικολάκη, Cybersecurity Sales Engineer – Δημήτρης Κυριακίδης, Technology Services Director της Performance Technologies

Μια από τις μεγαλύτερες προκλήσεις που αντιμετωπίζουν σήμερα οι επιχειρήσεις και οργανισμοί, είναι αναμφισβήτητα η συνεχής και αποτελεσματική παρακολούθηση της ασφαλείας των πόρων και δικτυών τους. Ποιες είναι οι βασικές παράμετροι αυτής της αναγκαιότητας και πως καλύπτετε εσείς στην Performance Technologies, τις απαιτήσεις που πηγάζουν από τη διαμόρφωση ενός μοντέλου Managed Security Services;

Οι επιχειρήσεις ανεξαρτήτως μεγέθους και κλάδου, κάποια στιγμή θα έρθουν αντιμέτωπες να διαχειριστούν ένα περιστατικό ασφαλείας μικρότερης ή μεγαλύτερης κλίμακας. Έχει παρατηρηθεί, ότι  χρόνος που απαιτείται για να γίνει αντιληπτή μια παραβίαση ασφαλείας είναι πολύ μεγαλύτερος απ’ όσο πιθανώς εκτιμούμε οι περισσότεροι, και μπορεί να φτάσει κατά μέσο όρο τους 9-10 μήνες με βάση τους αναλυτές. Αυτό πρακτικά σημαίνει ότι οι επιχειρήσεις είναι εκτεθειμένες στους επιτιθέμενους για ένα πολύ μεγάλο διάστημα, προτού συμβεί κάποιο γεγονός το οποίο θα αποκαλύψει την ύπαρξη μιας υφιστάμενης παραβίασης.  Σε όλο αυτό το διάστημα που δε γνωρίζει ο οργανισμός ότι βρίσκεται σε κίνδυνο, ο επιτιθέμενος μαζεύει πληροφορίες και προετοιμάζει το έδαφος για να δώσει το «τελικό» χτύπημα, όπως το να προκαλέσει διαρροή πληροφοριών, μόλυνση των συστημάτων με ιομορφικό λογισμικό, πχ ransomware, μη διαθεσιμότητα κάποιων υπηρεσιών κλπ.

Στόχος των τμημάτων πληροφορικής και ασφάλειας είναι να εξασφαλιστεί η εύρυθμη  και αδιάλειπτη λειτουργία του οργανισμού και των υπηρεσιών του, και η αποφυγή καταστάσεων όπως οι παραπάνω. Ταυτόχρονα,  ισχύοντα κανονιστικά πρότυπα όπως o ΓΚΠΔ επιβάλλουν την ενημέρωση της Αρχής Προστασίας Προσωπικών Δεδομένων εντός 72 ωρών από την ώρα που θα γίνει αντιληπτό ένα περιστατικό ασφαλείας.

Για να μπορέσουν να καλύψουν τους παραπάνω στόχους και υποχρεώσεις,  οι επιχειρήσεις πρέπει  να διαθέτουν μηχανισμούς για να  παρακολουθούν τα επίπεδα ασφάλειας των υποδομών τους και να εντοπίζουν το συντομότερο δυνατό πιθανές απειλές.

Κι αυτό δεν αφορά μόνο τις μεγαλύτερες σε μέγεθος επιχειρήσεις ή τις πιο επιφανείς.

Στην πράξη αυτό που παρατηρούμε είναι ότι  είτε λόγω έλλειψης επαρκούς προϋπολογισμού, είτε λόγω έλλειψης προσωπικού εξειδικευμένου στην ασφάλεια πληροφοριών, πολλοί οργανισμοί αφήνουν σε τελευταία προτεραιότητα την Ασφάλεια, διακινδυνεύοντας να υποστούν τις συνέπειες από μια παραβίαση των αρχών ασφαλείας, την οποία δεν είναι σε θέση να εντοπίσουν και να διαχειριστούν εγκαίρως.

Αναγνωρίζοντας  λοιπόν ως εταιρία πως αυτές οι ανάγκες είναι κοινές σε επιχειρήσεις ανεξαρτήτως μεγέθους, σχεδιάσαμε και παρέχουμε στους πελάτες μας Υπηρεσίες Παρακολούθησης και Αντιμετώπισης Περιστατικών Ασφαλείας και Διαθεσιμότητας των συστημάτων και κρίσιμων υποδομών.

Οι υπηρεσίες Παρακολούθησης Ασφαλείας παρέχονται απ’ το κέντρο διαχείρισης ασφαλείας της Performance Technologies (SOC/NOC), το οποίο είναι πιστοποιημένο κατά ISO 27001 & 22301.

Το SOC/NOC της Performance βοηθά τους οργανισμούς να μειώσουν την πολυπλοκότητα στη διαχείριση της ασφάλειας και συμμόρφωσης με μια πλήρη προσέγγιση, που παρέχει στις επιχειρήσεις και στους Υπεύθυνους Ασφαλείας πληρέστερη εποπτεία.

Οι παραπάνω υπηρεσίες SOC/NOC αποτελούν ένα βασικό άξονα του security portfolio της Performance, το οποίο έχει το όνομα Guard. Το Guard συμπεριλαμβάνει μια «ομπρέλα» προϊόντων και υπηρεσιών ασφαλείας και αποτελεί μια ολιστική προσέγγιση, που αφορά την προστασία των εφαρμογών, των δεδομένων, των συστημάτων, των δικτύων και των χρηστών ενός οργανισμού.

Όλα τα offerings του Guard portfolio προσφέρονται και σαν ξεχωριστές λύσεις με το μοντέλο του as-a-Service.  Η άποψη μας είναι πως το μοντέλο Security-as-a-Service θα επικρατήσει, μιας και παρατηρείται πραγματική έλλειψη εξειδικευμένου προσωπικού ασφαλείας στην αγορά. Έτσι στοχεύουμε στο να διαδοθούν οι υπηρεσίες ασφαλείας και να είναι προσβάσιμες από οικονομικής πλευράς, από οργανισμούς που μέχρι πρότινος μπορεί να θεωρούσαν την Ασφάλεια ως ένα σύνθετο και ακριβό εγχείρημα.

 

Σίγουρα το άλλο μεγάλο ζήτημα που απασχολεί όλους τους οργανισμούς, κάθε κατηγορίας και κλίμακας μεγέθους, είναι το Ransomware. Πως βλέπετε να εξελίσσεται αυτή η παγκόσμια απειλή και τι μπορείτε να κάνετε εσείς για να βοηθήσετε τις επιχειρήσεις να μην πέσουν θύματα;

Είναι αλήθεια πως τα τελευταία χρόνια αυτός ο τύπος ιομορφικού λογισμικού γνωρίζει μεγάλη έξαρση τόσο παγκοσμίως όσο και στην Ελλάδα.  Το ransomware φαίνεται πλέον πως αποτελεί για τους cybercriminals μια εξαιρετικά επικερδής βιομηχανία, στην οποία οι συναλλαγές δεν εντοπίζονται εφόσον πραγματοποιούνται με τη χρήση κρυπτονομίσματων.  Με βάση αυτά τα δεδομένα, εκτιμούμε ότι αυτός ο τύπος malware θα συνεχίσει να εξελίσσεται και να επικρατεί.

Προκειμένου μια επιχείρηση να προετοιμαστεί κατάλληλα και να προλάβει μια μόλυνση από ransomware και την κρίση που θα προκύψει ως επακόλουθο, υπάρχουν πολλαπλά σημεία που πρέπει να λάβει υπόψιν και στα οποία μέσω των υπηρεσιών και των λύσεων που προσφέρουμε μπορούμε να βοηθήσουμε  τους πελάτες μας.

Αρχικά ο συνηθέστερος τρόπος «εισόδου» του ransomware σε μια υποδομή, είναι μέσω κάποιας αρχικής επίθεσης από κάποιο email που θα λάβει ένας χρήστης στον οργανισμό, στο οποίο χρησιμοποιείται πιθανώς καποια απ’ τις πιο εξειδικευμένες τεχνικές εξαπάτησης, όπως spear phishing, social engineering κλπ.  Γι’ αυτό το σκοπό παρέχουμε υπηρεσίες για τη συνεχή και συστηματική εκπαίδευση των χρηστών, ώστε να αναγνωρίζουν και να αποφεύγουν πιθανά ύποπτα μηνύματα.

Για να αποφευχθεί η εξάπλωση του ransomware στα συστήματα, μια λύση Endpoint Detection & Response (EDR) είναι απαραίτητη για να σταματήσει την εκτέλεση του, μιας και αναλύει και εντοπίζει τις ύποπτες ενέργειες στα συστήματα. Προσφέρουμε λύσεις EDR, κυρίως με τη μορφή Managed Services ώστε οι πελάτες μας να έχουν στη φαρέτρα τους ένα μηχανισμό για να εντοπίσουν και να σταματήσουν την εξέλιξη ενός περιστατικού που σχετίζεται με μη γνωστές απειλές (zero days) & ransomware, χωρίς να χρειάζεται να χτίσουν τεχνογνωσία στη συγκεκριμένη περιοχή.

Επειδή όμως υπάρχουν κι οι περιπτώσεις όπου το ransomware θα μολύνει τα συστήματα μιας επιχείρησης, είναι αναγκαίο να έχουν ληφθεί μέτρα που θα μετριάσουν την έκταση και την έκθεση του οργανισμού στους επιτιθέμενους.

Πιο συγκεκριμένα, οι επιχειρήσεις συστήνεται να έχουν διαμορφώσει τα δίκτυα τους με τέτοιο τρόπο ώστε να απομονώνουν τα κρίσιμα συστήματα και πόρους, δυσκολεύοντας την πρόσβαση σε αυτά, απ’ άλλα σημεία του δικτύου.

Για να γίνει εφικτό αυτό προσφέρουμε λύσεις οι οποίες μπορούν να περιορίσουν ακόμη και τις προσβάσεις που αφορούν συστήματα που συμπληρώνουν το ίδιο δίκτυο ή και την ίδια εφαρμογή/υπηρεσία. Μόνο όταν περιορίσουμε και αυτές τις προσβάσεις θα μπορέσουμε να πιάσουμε το στόχο του Micro Segmentation που περιγράφεται στο Zero Trust Model και θα μας προστατέψει από τις γνωστές ως επιθέσεις διείσδυσης ( Lateral Movement Attacks).

Τέλος, ιδιαίτερης προσοχής χρήζει η προστασία των συστημάτων λήψης αντιγράφων ασφαλείας (backup), μιας και για να μπορέσεις να ανακάμψεις από μια μόλυνση από ransomware, θα πρέπει να μπορείς να ανακτήσεις τα δεδομένα που βρίσκονται στα backups – εφόσον υπάρχουν βέβαια. Η εταιρεία μας, μέσω της συνεργασίας της με τους κορυφαίους παρόχους λύσεων backup προσφέρει υπηρεσίες Backup as a Service, ώστε να εξασφαλίζεται η σωστή λήψη αντιγράφων ασφαλείας απ’ τα καίρια συστήματα, εφαρμόζοντας ταυτόχρονα μηχανισμούς προστασίας από ransomware κι ακολουθώντας μια προληπτική και ενοποιημένη προσέγγιση.

 

Η διαδεδομένη και ολοένα και πιο διευρυμένη χρήση cloud υπηρεσιών δημιουργεί και αυξημένες απαιτήσεις ασφάλειας. Τι θα συμβουλεύατε τους οργανισμούς προκειμένου να πετύχουν μια ασφαλή και αποτελεσματική μετάβαση στο cloud;

Παρατηρώντας την αγορά και συνομιλώντας με ενδιαφερόμενους που έχουν ή που σκέφτονται να μεταφέρουν υπηρεσίες τους στο cloud, έχουμε προσέξει έναν καθησυχασμό ως προς το κομμάτι της ασφάλειας στο cloud. Είναι πολύ σημαντικό να κατανοήσουμε πως το γεγονός ότι τα δεδομένα μας βρίσκονται σε έναν ασφαλή χώρο (physical security) που δυνητικά υπάρχουν διαθέσιμα όλα τα μέσα προστασίας (security controls) τα οποία μπορούν να τα προστατέψουν, δεν καθιστά αυτομάτως το cloud ένα ασφαλές σημείο.

Οι cloud vendors γνωρίζουν πολύ καλά πως πρέπει να είναι συμμορφωμένοι στους κανόνες ασφαλείας  που τους επιβάλλονται από διάφορους ελεγκτικούς φορείς και αυτό πράττουν. Στο τέλος της ημέρας όμως, εάν τα δεδομένα ενός πελάτη/οργανισμού τους τεθούν σε κίνδυνο, ο πελάτης/οργανισμός είναι αυτός που θα πρέπει να απαντήσει στους άμεσα ενδιαφερόμενους γιατί αυτά τα δεδομένα παραβιάστηκαν η χάθηκαν. Ομοίως, εάν ένας οργανισμός πέσει θύμα επίθεσης ransomware, ο ίδιος ο οργανισμός είναι αυτός που πρέπει να πληρώσει τον hacker ή να έχει φροντίσει να έχει διαθέσιμο backup για αυτά τα δεδομένα.

Οι κοινές αιτίες παραβιάσεων στο cloud είναι δύο: Α) Οι εσφαλμένοι περιορισμοί πρόσβασης στα δεδομένα και Β) Τα μη ασφαλισμένα συστήματα τα οποία είτε είναι πρσβάσιμα απευθείας από το internet είτε από μη προστατευόμενα απομακρυσμένα σημεία. Οι προστασία των δύο παραπάνω βρίσκεται υπό την ευθύνη του οργανισμού και όχι του cloud vendor. Για τις επιχειρήσεις που κάνουν τη μετάβαση στο cloud, η σωστή μελέτη σχετικά με την ασφάλεια των δεδομένων τους είναι επιτακτική. Οι απειλές για την ασφάλεια των δεδομένων εξελίσσονται συνεχώς με αποτέλεσμα το cloud computing κάθε άλλο παρά να κινδυνεύει λιγότερο σε σχέση με ένα on-premise datacenter.

Όπως λοιπόν είναι κατανοητό πρέπει να επιλέξουμε λύσεις οι οποίες απαραιτήτως θα καλύπτουν τη πρόσβαση στα δεδομένα, την πρόσβαση στα συστήματα αλλά και φυσικά την τήρηση των backups όπως ακριβώς θα κάναμε και σε ένα on-premises data center. Λύσεις οι οποίες επιτρέπουν την «επέκταση» της πολιτικής ασφαλείας που έχει ένας οργανισμός για τα δεδομένα του είτε αυτά βρίσκονται στο cloud είτε σε κάποιο on-premises data center, προβλέπουμε πως θα επιλεχθούν περισσότερο καθώς διευκολύνουν την ομαλή μετάβαση ενός οργανισμού στο cloud. Εκτός των άλλων, λύσεις οι οποίες θα μπορούν αυτή την πολιτική να την επεκτείνουν ακόμα και σε multi-cloud εγκαταστάσεις θα διευκολύνουν τη συνολική διαχείριση για τους administrators. Ο νούμερο 1 εχθρός της ασφάλειας είναι η πολυπλοκότητα και είναι σίγουρα κάτι που θέλουμε να αποφύγουμε.

 

Δίνουν οι Ελληνικές επιχειρήσεις τη δέουσα προσοχή που χρειάζεται σχετικά με το Disaster Recovery Planning; Πως μπορείτε εσείς να συμβάλετε στην υλοποίηση ενός σχεδιασμού DR;

Αν μας κάνατε την ίδια ερώτηση πριν δύο με τρία χρόνια η απάντηση θα ήταν πολύ διαφορετική. Πλέον όμως φαίνεται πως έχει αρχίσει να δίδεται η δέουσα βαρύτητα στο κομμάτι του Disaster Recovery Planning (DRP) αλλά και στη δημιουργία ενός γενικότερου Business Continuity Plan (BCP). Ας επικεντρωθούμε όμως στο Disaster Recovery που είναι κάτι πιο στοχευμένο αλλά και απαραίτητο μέρος ενός BCP.

Για αρκετό κόσμο που συνομιλούμε καθημερινά, η κύρια απειλή που δυνητικά μπορεί να προκαλέσει ένα καταστροφικό γεγονός και κατ’ επέκταση τη διακοπή της λειτουργίας μιας επιχείρησης είναι οι φυσικές καταστροφές (Πλημύρες, Σεισμοί, Φωτιές κλπ.).  Σίγουρα μια φυσική καταστροφή είναι μια υπαρκτή απειλή που θα πρέπει να ληφθεί υπόψιν αλλά δεν είναι η μοναδική. Ένας οργανισμός πρέπει να τρέξει μια διαδικασία αξιολόγησης κινδύνου (Risk Evaluation) ώστε να αναγνωρίσει όλους τους  πιθανούς παράγοντες που θέτουν τον οργανισμό σε κίνδυνο.  Μετά από αυτή την αξιολόγηση πολλοί οργανισμοί κατανοούν πως ίσως οι φυσικές καταστροφές να μην είναι και οι πιο συχνές αιτίες καταστροφής. Μια καταστροφή που μπορεί να προέλθει από μια κυβερνοεπίθεση για πολλούς οργανισμούς θα βρεθεί πιο ψηλά στον πίνακα εκτίμησης κινδύνου ως προς τη πιθανότητα της να συμβεί (Risk Likelihood). Οι πολλές πιθανότητες μιας κυβερνοεπίθεσης μάλιστα καθιστούν αυτό τον κίνδυνο τόσο σημαντικό ώστε να καταλαμβάνει ένα ξεχωριστό κεφάλαιο πλέον στο DRP.

Σχετικά με το δεύτερο σκέλος της ερώτησης, η Performance Technologies κατέχει πολυετή εμπειρία σε σχεδιασμό, υλοποίηση και διαχείριση κρίσιμων υποδομών. Η γνώση αυτή αλλά και η εμπειρία στη διαχείριση καταστροφών που έχουμε αναλάβει μέχρι σήμερα μας οδήγησε στη δημιουργία μιας ομάδας έμπειρων συμβούλων και μηχανικών οι οποίοι αναλαμβάνουν από την αρχή ως το τέλος τη δημιουργία ενός Disaster Recovery Plan. Η δημιουργία του, άλλα και η πιθανή υλοποίηση του μετέπειτα, είναι μια υπηρεσία που έχουμε προσφέρει και συνεχίζουμε να προσφέρουμε σε υφιστάμενους και μη πελάτες μας.

 

Ας κλείσουμε με τον ανθρώπινο παράγοντα που είναι και ο πλέον βασικός σε ότι αφορά την ασφάλεια. Πως προσεγγίζετε στην Performance Technologies το θέμα της εκπαίδευσης  και κατάρτισης χρηστών με επίκεντρο την ευαισθητοποίηση σε θέματα ασφάλειας των πληροφοριών & προστασίας δεδομένων;

Μια επιχείρηση προκειμένου να προστατεύσει τις αρχές ασφαλείας στην υποδομή της, θα υιοθετήσει τεχνολογίες ασφάλειας και θα αξιοποιήσει υπηρεσίες συνεργατών για να προστατευτεί καλύτερα, ανάλογα με τις δυνατότητές και το risk appetite της.  Μια αλυσίδα είναι όμως τόσο δυνατή όσο ο πιο αδύναμος της κρίκος. Είναι δεδομένο λοιπόν ότι ο ανθρώπινος παράγοντας είναι ο αδύναμος κρίκος στην εφαρμογή ενός πλαισίου ασφαλείας.

Μπορεί η επιχείρηση να έχει κάνει μεγάλες επενδύσεις στον τομέα της ασφάλειας, αλλά ένας σύνδεσμος σε ύποπτο email που κλίκαρε ένας χρήστης να συμβάλλουν στην έκθεση της σε μεγάλο κίνδυνο και πιθανή διαρροή πληροφοριών.

Όπως είπαμε και νωρίτερα, ως εταιρεία δίνουμε μεγάλη έμφαση στην εμπλοκή του ανθρώπινου παράγονται στο ταξίδι της ασφάλειας. Προς αυτή την κατεύθυνση, παρέχουμε στους πελάτες μας υπηρεσίες για τη συνεχή και συστηματική εκπαίδευση των χρηστών τους ως προς θέματα ασφάλειας πληροφοριών και προστασίας δεδομένων (προσωπικών και μη).

Ως αποτέλεσμα, οι πελάτες μας έχουν στη διάθεση τους ένα μηχανισμό τόσο για να εκπαιδεύουν τους χρήστες όποτε το κρίνουν αναγκαίο, όσο και για να εντοπίσουν προληπτικά αδυναμίες που μπορεί να εκθέσουν τον οργανισμό σε μια απειλή, έχοντας παράλληλα μια συνολική εποπτεία για το επίπεδο ωριμότητας του οργανισμού.

O Βλάσης Αμανατίδης με τα στελέχη της ομάδας  υπηρεσιών κυβερνό-ασφάλειας της Performance Technologies:   Αντώνη Παράβαλο, Κατερίνα Ζερβονικολάκη και Δημήτρη Κυριακίδη