Οι προσεγγίσεις σχετικά με την προστασία των εταιρειών emails είναι πλέον πολύπλευρες, ως αποτέλεσμα της απαίτησης για την αντιμετώπιση των συνεχώς εξελισσόμενων ποσοτικά και ποιοτικά απειλών από κακόβουλα λογισμικά, που βρίσκουν τρόπους να εισβάλουν στα εταιρικά δίκτυα μέσω της οδού της ηλεκτρονικής αλληλογραφίας.
Συχνά και όχι αδικαιολόγητα γίνεται συζήτηση για τον τρόπο προστασίας ενός εταιρικού δικτύου, όταν αναρίθμητα emails καταφτάνουν στο κατώφλι του, περιέχοντας με τον ένα ή τον άλλο τρόπο κάποια σύνδεση με κακόβουλο λογισμικό. Και επειδή η αποστολή και παραλαβή emails αποτελεί μια καθημερινή εταιρική διεργασία, καταβάλλεται μια εξαιρετικά καλοδουλεμένη προσπάθεια από τους εκάστοτε επιτιθέμενους, να καταφέρουν να ξεγελάσουν όλα τα συστήματα προστασίας και εντέλει και τον τελικό χρήστη και να εισέλθουν στο εταιρικό δίκτυο. Οι προσπάθειες αυτές έχουν εξελιχθεί ποσοτικά αλλά και ποιοτικά και πλέον μια ουσιαστική “απώθηση” επιτυγχάνεται με συνδυασμό πολλών και διαφορετικών μέσων προστασίας, τα οποία πολλές φορές δεν άπτονται αυστηρά της λειτουργίας των εταιρικών συστημάτων προστασίας και στον τρόπο δόμησής τους. Στη συνέχεια ακολουθεί μια τμηματική ανάλυση διαφορετικών τρόπων προσέγγισης του θέματος, ώστε να καλυφθεί σε όσο το δυνατόν ευρύτερο φάσμα.
1. Η προστασία των σημερινών εταιρικών συστημάτων emails
Οι πρακτικές του παρελθόντος σχετικά με την ασφάλεια των emails, αν και δεν θεωρούνται ξεπερασμένες, σίγουρα έχουν καταστεί ανεπαρκείς. Οι επιθέσεις έχουν εξελιχθεί σε επίπεδο ευελιξίας, στοχοποίησης και ευφυΐας, σε σημείο που ο εντοπισμός τους πραγματικά καθίσταται αδύνατος. Διεισδύουν σε λογαριασμούς emails χρηστών που δεν ανήκουν στο εταιρικό δίκτυο, αλλά είναι φιλικά πρόσωπα των υπαλλήλων, με στόχο να στείλουν από εκεί το κακόβουλο λογισμικό. Επίσης εκμεταλλεύονται τα τρωτά σημεία των συστημάτων για να επιτεθούν, προτού ακόμα οι κατασκευαστές τους τα εντοπίσουν (zero-day attacks) και τα διορθώσουν. Κινούνται γρήγορα και αποτελεσματικά.
Για να προστατευτεί λοιπόν ο όγκος μιας εταιρικής ηλεκτρονικής αλληλογραφίας απαιτείται η ύπαρξη πολλαπλών δικτυακών τεχνολογιών ασφαλείας. Οι τεχνολογίες αυτές διατίθενται στην αγορά είτε ως πρόσθετα που εγκαθίστανται στους email servers είτε ως επιπλέον εξαρτήματα στις συσκευές που φροντίζουν για την προστασία των emails και οι οποίες συνεργάζονται με τους email servers.
- Υπηρεσίες διαχείρισης της ποιότητας των emails. Στην αγορά υπάρχουν πάροχοι υπηρεσιών, οι οποίοι παρακολουθούν τη ροή των emails και σε συνεργασία με διάφορους Οργανισμούς καθορίζουν τις πιθανές προθέσεις του αποστολέα. Συγκεντρώνουν πληροφορίες σχετικά με το θέμα του μηνύματος, τα επισυναπτόμενα αρχεία και φυσικά την IP διεύθυνση του αποστολέα – και αν βρεθεί ανάμεσα σε διαφορετικούς παρόχους ότι το συγκεκριμένο μήνυμα παρουσιάζει μοτίβο κακόβουλης συμπεριφοράς, τοποθετείται σε μαύρη λίστα ή ελαχιστοποιείται η ποιότητά του. Η εταιρεία με τη σειρά της, ανάλογα με τις πολιτικές ασφαλείας που ακολουθεί και σε συνεργασία με έναν τέτοιο πάροχο, μπορεί να αποφασίσει πώς θα χειρίζεται αυτές τις λίστες και κατά συνέπεια αυτά τα μηνύματα.
- Προσωρινός Αποκλεισμός. Μία απλή αλλά εξαιρετικά αποδοτική τεχνική που αντικρούει ένα σημαντικό μέρος των τελευταίων επιθέσεων, είναι ο προσωρινός αποκλεισμός των ύποπτων emails. Πολλές από τις νέες επιθέσεις – και ειδικότερα το phishing – έχουν πολύ μικρό χρόνο ζωής και συνήθως πρόκειται για ζήτημα μερικών ωρών από τη στιγμή αποστολής του κακόβουλου email, έως τη στιγμή ανίχνευσής του και αποκλεισμού του ιστότοπου που το υποστηρίζει. Η διαμόρφωση της χρονοκαθυστέρησης προφανώς διέπεται από κανόνες οι οποίοι πρέπει να συνταχθούν με προσοχή, ώστε να μην υπάρχει ακούσια καθυστέρηση και σε μεγάλο όγκο επιθυμητών emails που ίσως είναι και κρίσιμα.
- Φιλτράρισμα της εξερχόμενης αλληλογραφίας. Κάθε εταιρεία στο επίπεδο ευθύνης της οφείλει να ασκεί έλεγχο για τα emails που αποστέλλει ή λαμβάνει. Δεν επιτρέπεται να γίνεται αποστολή emails που περιέχουν ευαίσθητα προσωπικά δεδομένα – είτε αυτό έγινε κατά λάθος από ένα υπάλληλο είτε υπό τη διενέργεια κάποιου κακόβουλου λογισμικού. Προτείνεται η εφαρμογή συγκεκριμένης πολιτικής ασφάλειας για την εξερχόμενη αλληλογραφία, με την οποία θα εξετάζεται το περιεχόμενο και θα αποκλείεται η αποστολή αν διαπιστωθεί η ύπαρξη συγκεκριμένων λέξεων-κλειδιών, όπως η λέξη απόρρητο.
- Κρυπτογράφηση. Σε εταιρικό επίπεδο η κρυπτογράφηση είναι προτιμότερο να τελείται βάσει πολιτικής ασφαλείας που θα καθορίζει ποια μηνύματα θα κρυπτογραφούνται. Για παράδειγμα, emails που αποστέλλονται από εταιρικά στελέχη ή που περιέχουν συγκεκριμένες λέξεις στη γραμμή θέματος. Ορισμένοι Οργανισμοί εφαρμόζουν πολιτική καθολικής κρυπτογράφησης της αλληλογραφίας τους, αλλά αν κάτι τέτοιο δεν είναι απόλυτα αναγκαίο δεν συστήνεται, γιατί αυξάνει κατά πολύ το φόρτο εργασίας στο δίκτυο. Η τεχνική θεωρείται από τις πλέον σημαντικές στις μέρες μας, μιας και υπάρχει αυξημένη χρήση των προσωπικών φορητών συσκευών των υπαλλήλων στο ενδοεταιρικό δίκτυο, κάτι που συνεπάγεται ελλιπή άσκηση ελέγχου στα επίπεδα που οι εταιρείες απαιτούν. Αν δεν υπάρχει λοιπόν ένα προϊόν διαχείρισης των φορητών συσκευών, η κρυπτογράφηση θεωρείται η αμέσως επόμενη καλύτερη λύση.
2. Υπηρεσίες παροχής ασφάλειας των emails
Στις μέρες μας, οι cloud based υπηρεσίες ασφάλειας αυξάνονται γοργά και καλύπτουν κάθε πρόκληση ασφαλείας, συμπεριλαμβανομένων των firewalls, της διαμόρφωσης των servers και τη διαχείριση ταυτότητας. Η χρήση αυτών των υπηρεσιών θεωρείται αναγκαία, μιας και είναι αδύνατο για έναν email διαχειριστή να ελέγχει το διαρκώς εξελισσόμενο τοπίο των επιθέσεων. Όμως υπάρχουν και κίνδυνοι όταν εμπιστεύεσαι σε έναν «εξωτερικό συνεργάτη» εταιρικές διεργασίες, που πολλές φορές εκθέτουν και τα δεδομένα της εταιρείας. Ακολουθούν 6 διαφορετικές πρακτικές για την αξιολόγηση των παρόχων cloud υπηρεσιών ασφαλείας και για τον καλύτερο τρόπο υπογραφής των συμφωνητικών χρήσης των υπηρεσιών αυτών.
- Πρόσβαση στα εταιρικά δεδομένα. Η χρήση οποιασδήποτε cloud υπηρεσίας ασφαλείας, συνεπάγεται ότι ένας εξωτερικός παράγοντας έχει την πλήρη γνώση και εποπτεία για τις πληροφορίες που ανταλλάσσονται μεταξύ εταιρείας και πελατών. Αυτό το ρίσκο πρέπει να αντιμετωπιστεί με την αξιολόγηση πρώτα των ανταλλασσόμενων πληροφοριών, ώστε να μην υπάρχει κίνδυνος σοβαρής έκθεσης.
- Επιλέξτε προσεκτικά τον πάροχο. Οι cloud υπηρεσίες ασφαλείας πολλές φορές επιλέγονται για να βοηθήσουν την εκάστοτε εταιρεία σε θέματα συμμόρφωσης με τους τοπικούς κανόνες ασφαλείας. Παρόλα αυτά χρησιμοποιούν τεχνολογίες όπως είναι η κρυπτογράφηση, η αρχειοθέτηση και η προστασία απώλειας δεδομένων (Data Loss Prevention-DLP), που έχουν αποδειχθεί ιδανικές για λειτουργία σε cloud δομές και είθισται να εφαρμόζονται ταυτόχρονα για πιο αποδοτική προστασία. Οι εταιρείες με μεγάλο όγκο δεδομένων, συνήθως καταφεύγουν σε cloud λύσεις αποθήκευσης και διαχείρισης.
Όμως σε όλα αυτά ελλοχεύουν δύο σημαντικοί κίνδυνοι. Αρχικά η απόφαση αλλαγής παρόχου υπηρεσίας ή εσωτερικής διαχείρισης των δεδομένων μπορεί να αποδειχθεί ανέφικτη, μιας και δεν υπάρχει ένα πρότυπο που να καθορίζει τον τρόπο διαμόρφωσης που κάθε πάροχος αποθηκεύει τα δεδομένα, τα αρχειοθετεί και τα κρυπτογραφεί. Η αλλαγή λοιπόν παρόχου μπορεί να αποδειχθεί ένα δυσβάσταχτο έργο για να επανέλθουν τα δεδομένα σε μία πιο διαχειρίσιμη μορφή. Γι’ αυτό, προτού επιλεγεί υπηρεσία ασφαλείας πρέπει να έχουν προσυμφωνηθεί ο τρόπος διαμόρφωσης των δεδομένων, η ευκολία μετακίνησής τους και φυσικά το κόστος επιστροφής των δεδομένων στο νόμιμο κάτοχό τους. - Ποσοστό χρήσης της υπηρεσίας. Κατά τη συμφωνία μεταξύ παρόχου υπηρεσίας και Οργανισμού, έχει προσυμφωνηθεί ένας όγκος δεδομένων που θα αποθηκεύονται και έχει κοστολογηθεί αυτή η προσφορά. Αν τα δεδομένα ξεπεράσουν αυτά τα όρια, τότε το κόστος αυξάνεται γοργά, ενώ η βάση δεδομένων καθίσταται δύσχρηστη και δύσκολη στην έρευνα. Ο διαχειριστής οφείλει να παρακολουθεί τον όγκο της βάσης και να επεμβαίνει προτού η επιχείρηση χρεωθεί με υπέρογκα ποσά που δεν έχουν καμία ωφέλεια.
- Φυσική αποθήκευση: Δεν πρέπει να ξεχνάμε ότι παρόλο που τα δεδομένα της εταιρείας έχουν δοθεί για εξωτερική αποθήκευση, τελικά κάπου βρίσκεται η γεωγραφική τους θέση και τα πραγματικά μέσα αποθήκευσης. Ως αγοραστής πρέπει να ελέγξετε το πλάνο δράσης του παρόχου που εμπιστεύεστε σε περίπτωση φυσικής καταστροφής ή έλλειψης τροφοδοσίας στα μόνιμα συστήματα αποθήκευσής του, εκ των προτέρων. Επίσης η γεωγραφική θέση καθορίζει συνήθως και τους τοπικούς κανόνες ασφαλείας με τους οποίους θα πρέπει να συμμορφώνεται ο πάροχος, ενώ η αλλαγή αυτής της τοποθεσίας μπορεί να συνεπάγεται κολλήματα που δεν την καθιστούν εφικτή. Όλα τα νομικά θέματα πρέπει να εξεταστούν επίσης προκαταβολικά της τελικής συμφωνίας.
- Μην υπογράφετε μακροχρόνια συμβόλαια. Kαθώς οι επιθέσεις εξελίσσονται και αλλάζουν, διαφοροποιούνται και οι τρόποι αντιμετώπισής τους με τη χρήση νέων τεχνολογιών ή με το συνδυασμό δύο ή περισσοτέρων. Ο πάροχος της υπηρεσίας προστασίας των emails πρέπει να είναι ευέλικτος και να αναβαθμίζεται τεχνολογικά, όσο γοργά αυτό απαιτείται. Αν κάτι τέτοιο δεν είναι εφικτό, τότε κάθε επιχείρηση οφείλει να αλλάζει υπηρεσία προστασίας, κάτι που δεν επιτρέπεται αν το υπογεγραμμένο συμβόλαιο είναι μακράς διάρκειας.
- Αύξηση της απόδοσης. Aν και κάθε πελάτης πρέπει να είναι προσεκτικός κατά την επιλογή cloud υπηρεσίας προστασίας email, είναι συνετό να στραφεί προς αυτή την επιλογή. Αφενός θα απαιτηθούν λιγότερα εταιρικά συστήματα ασφαλείας και λιγότερες εργατοώρες για τη διαμόρφωση όλων αυτών. Η λύση όμως πλεονεκτεί και σε επίπεδο χρήσης του δικτυακού εύρους. Εφόσον ένας τρίτος κατασκευαστής έχει αναλάβει να τελέσει τη χρονοβόρα εργασία του φιλτραρίσματος των emails και απομάκρυνσης όλης της ανεπιθύμητης αλληλογραφίας, επιτρέπεται στην εταιρεία να ασχοληθεί μόνο με τα σημαντικά emails.
3. Εναλλακτικές λύσεις σχετικά με τα προϊόντα antivirus
Η αποτελεσματικότητα κάποιων εταιρικών συστημάτων antivirus ορισμένες φορές τίθεται υπό αμφισβήτηση, μιας και η πράξη αποδεικνύει ότι καθημερινά πολλοί Οργανισμοί πέφτουν θύματα σε περιπτώσεις zero-day επιθέσεων. Θεωρείται ότι πλέον αντιμετωπίζουν ένα ποσοστό των επιθέσεων, κάτι που δεν πρέπει να εκπλήσσει, αφού οι δημιουργοί κακόβουλων λογισμικών προτού τα τοποθετήσουν στο δίκτυο τα έχουν δοκιμάσει ενάντια στα πιο κοινά antivirus. Αν και αποτελούν τμήμα της αλυσίδας της προστασίας του τελικού χρήστη και πολλές φορές η εφαρμογή τους επιβάλλεται από πρότυπα ασφαλείας, δεν αποτελεί τη μόνη λύση προστασίας.
Η διαδρομή που ακολουθεί ένα κακόβουλο λογισμικό προτού φτάσει στον προορισμό του, δεν είναι μικρή. Το αρχείο εξαπολύεται από το δημιουργό του και κατορθώνει να περάσει μέσα από το Internet στο τοπικό δίκτυο, στα εταιρικά συστήματα και από εκεί στον τελικό χρήστη. Σε όλη αυτή τη διαδρομή υπάρχουν πολλές ευκαιρίες για να εντοπιστεί και να ανακοπεί η πορεία του. Σε όλα αυτά τα σημεία ελέγχου, εντοπισμού και αντιμετώπισης θα αναφερθούμε ακολούθως.
- Επίπεδο cloud. Επιθυμητό είναι η πορεία του malware να ανακοπεί όσο το δυνατόν εγγύτερα στην πηγή του. Αν εντοπιστεί από cloud υπηρεσίες, τότε με βεβαιότητα δεν θα φτάσει στα εταιρικά συστήματα. Τέτοιες υπηρεσίες υπάρχουν και οφείλουν την επιτυχία τους στο συνδυασμό πληροφοριών από χιλιάδες πελάτες, συνεργάτες ή ακόμα και από άλλες antivirus υπηρεσίες. Όλες αυτές οι πληροφορίες επιτρέπουν η προστασία να βασίζεται στην πρόβλεψη και σημειώνουν μεγάλη επιτυχία. Η χρήση μια τέτοιας υπηρεσίας εξασφαλίζει τη σάρωση όλης της δικτυακής ροής προς τα εταιρικά συστήματα και τερματίζει έγκαιρα οτιδήποτε θεωρείται ύποπτο.
- Επίπεδο δικτύου. Σε αυτό το επίπεδο τα εταιρικά συστήματα οπλίζονται με μία πληθώρα συσκευών, όπως είναι τα firewalls νέας γενιάς, τα email και spam firewalls με τα οποία ελέγχουν και αξιολογούν την κίνηση προς τον Οργανισμό, δίνοντας μια σαφή εικόνα για τα δεδομένα που λαμβάνονται – κάτι που παλαιότερα δεν ήταν εφικτό. Οι περισσότερες επιθέσεις διενεργούνται μέσω phishing, στις οποίες ένας σύνδεσμος βρίσκεται στο email και οδηγεί σε ένα μολυσμένο ιστότοπο. Τα spam firewalls πλέον συνεργάζονται με cloud συστήματα και λαμβάνουν σε πραγματικό χρόνο λίστες με αυτούς τους ιστότοπους ώστε να αντιδρούν άμεσα. Τέλος, υπάρχει ακόμα μία τεχνολογία που βοηθά στον εντοπισμό ύποπτης συμπεριφοράς στο σύστημα. Η τεχνολογία SIEM (Security Information and Event Management) εντοπίζει το malware αφού εισέλθει στο σύστημα, αξιοποιώντας τα αρχεία καταγραφής του και έτσι εμποδίζει την εξάπλωση της μόλυνσης και βοηθά στον εντοπισμό του.
- Επίπεδο χρήστη. Αν τελικά το κακόβουλο λογισμικό φτάσει στον τελικό χρήστη, πρέπει να υπάρχουν όλα εκείνα τα μέσα που θα του αποτρέψουν την είσοδο, όπως είναι τα antivirus. Όμως σε εταιρικό επίπεδο αυτό δεν αρκεί και θεωρείται συνετό να οριστούν από τους ΙΤ διαχειριστές, λίστες επιτρεπόμενων ή μη εφαρμογών προς εγκατάσταση. Ακόμα πιο αποτελεσματικό θεωρείται το μέτρο της άρνησης εγκατάστασης οποιασδήποτε εφαρμογής, χωρίς πρώτα να εγκριθεί από τους διαχειριστές. Βέβαια, εδώ ανακύπτει το πρόβλημα των ενημερώσεων του λειτουργικού συστήματος, που επιλύεται με τη χρήση ενός endpoint agent. Η πλειοψηφία των malware στοχεύει στα τρωτά σημεία που υπάρχουν στο λογισμικό τρίτων κατασκευαστών που υιοθετεί η εκάστοτε εταιρεία, οπότε ο περιορισμός της δυνατότητας εφαρμογής αλλαγών από το χρήστη θεωρείται το πιο αποδοτικό μέτρο.
Ανακεφαλαιώνοντας, η αντιμετώπιση οποιασδήποτε επίθεσης σε δικτυακό επίπεδο δεν είναι μια μονοδιάστατη εργασία και δεν έχει πάντα τα επιθυμητά αποτελέσματα. Ουσιαστικά αποτελεί μια πολύπλοκη διεργασία στην οποία θα έπρεπε να συμμετέχουν πληθώρα φορέων και συστημάτων, ώστε να αναλαμβάνουν ξεχωριστά αλλά και σε συνεργασία, να ανακόψουν την πορεία μιας επίθεσης. Φυσικά οι επιθέσεις εξελίσσονται και δυσχεραίνεται η αντιμετώπισή τους, αλλά όσο περισσότεροι προσπαθούν να διατηρήσουν το δίκτυο ασφαλές, τόσο καλύτερα αποτελέσματα αναμένονται.
Της Παναγιώτας Τσώνη