Next-generation security στην εποχή των αναπόφευκτων παραβιάσεων

Διανύουμε μια εποχή, όπου οι παραβιάσεις δεδομένων είναι αναπόφευκτες. Οι ειδικοί ασφάλειας πληροφοριών χρησιμοποιούν τις ικανότητές τους και όλη την τεχνολογία που διατίθεται προκειμένου να αποτρέψουν τις παραβιάσεις, να μετριάσουν τους κινδύνους και να ανταποκριθούν κατάλληλα όταν αυτές συμβούν.

Οι παραβιάσεις συμβαίνουν και θα συνεχίσουν να συμβαίνουν ακόμη και στους οργανισμούς με ισχυρά μέτρα ασφάλειας πληροφοριών, επιχειρησιακής συνέχειας και ανάκαμψης από καταστροφή. Αυτό δε σημαίνει ότι τα τρέχοντα μέτρα ασφάλειας είναι αναποτελεσματικά.

Οι άνθρωποι καθημερινά χάνουν υπολογιστές, κινητά τηλέφωνα και άλλες συσκευές, οι οποίες περιέχουν μία εξαιρετικά μεγάλη ποσότητα εμπιστευτικών πληροφοριών. Επίσης, οι έμπιστοι άνθρωποι μπορούν να αλλάξουν συμπεριφορά κάτω από διάφορες συνθήκες και υπάρχει μια λεπτή γραμμή μεταξύ της ανάγκης για πρόσβαση σε δεδομένα, της ευκολίας του να επιτευχθεί αυτό και της ανάγκης για προστασία αυτών των δεδομένων. Η διασφάλιση της πληροφορίας γενικότερα καθιστά την πρόσβαση σε αυτή και την επεξεργασία της, δυσκολότερη.

Η αλήθεια είναι ότι, ακόμη και αν ένας οργανισμός έχει υποστεί ήδη μια παραβίαση ασφάλειας, αυτό δε σημαίνει ότι είναι ασφαλής από μια άλλη. Οι οργανισμοί πλέον δεν μπορούν να αντέξουν οικονομικά τις κυρώσεις που θα υποστούν σε περίπτωση που αγνοήσουν τις σημαντικές απειλές που θέτουν οι εγκληματίες του κυβερνοχώρου, για τα ευαίσθητα δεδομένα των επιχειρήσεων και τη φήμη των πελατών. Επομένως, πρέπει να επενδύσουν σε ισχυρές τεχνολογίες και εργαλεία προκειμένου να αναλάβουν δράση έναντι όλων αυτών των παραβιάσεων και των απειλών που βρίσκονται σε έξαρση.

Η εποχή στην οποία βρισκόμαστε, χαρακτηρίζεται από μια πληθώρα τεχνολογικών όρων που παίρνουν τα ηνία προκειμένου να επιτύχουν αυτό το στόχο. Ο όρος “next-generation security”, γεννήθηκε ως άμεσο αποτέλεσμα των νέων τύπων τεχνολογιών που απαιτούν υψηλότερα επίπεδα ευελιξίας της ασφάλειας. Οι τεχνολογίες “next-generation security” είναι πολλά περισσότερα από ένα απλό firewall. Είναι έξυπνες συσκευές οι οποίες έχουν επίγνωση των συσκευών, των εφαρμογών και των χρηστών. Τα προϊόντα ασφάλειας έχουν εξελιχθεί πέρα από την τυποποιημένη πλατφόρμα firewall σε κάτι που είναι σε θέση να υποστηρίζει πολλά διαφορετικά είδη υπηρεσιών. Σε πολλές περιπτώσεις, οι υπηρεσίες αυτές δουλεύουν όλες μαζί παρέχοντας μια ενιαία πλατφόρμα. Οι τεχνολογίες “next-generation” θα περιστρέφονται πάντα γύρω από την ασφάλεια, την ευελιξία και την ικανότητα να εξελίσσονται γρήγορα, ανταποκρινόμενες στις ανάγκες μιας αναπτυσσόμενης επιχείρησης.

Στο επίκεντρο όλων αυτών των νέων τεχνολογιών βρίσκονται τα security analytics. Τα security analytics αναφέρονται σε λύσεις τεχνολογίας πληροφοριών (IT), οι οποίες συλλέγουν και αναλύουν τα γεγονότα ασφάλειας, ώστε να φέρουν επίγνωση της κατάστασης και να επιτρέψουν την περαιτέρω ανάλυση των γεγονότων που αποτελούν το μεγαλύτερο κίνδυνο. Οι λύσεις σε αυτόν τον τομέα περιλαμβάνουν, εκτός από λύσεις security information and event management (SIEM), και λύσεις user behavior analytics (UBA) οι οποίες επικεντρώνονται στο χρήστη και τη συμπεριφορά του.

Insider threats & User Behavior Analytics

Οι εσωτερικές απειλές βρίσκονται στην κορυφή των ευπαθειών που προκαλούν τη μεγαλύτερη ανησυχία στους οργανισμούς. Εκτείνονται από νυν και πρώην υπαλλήλους σε εργολάβους και συνεργάτες με εξουσιοδοτημένη πρόσβαση σε δίκτυα και κρίσιμα συστήματα δεδομένων. Οι εσωτερικές απειλές είναι μία από τις περιπτώσεις που οδήγησαν στις νέες προσεγγίσεις για την ανάλυση της συμπεριφοράς των χρηστών (UBA), η οποία δίνει τη δυνατότητα στους αναλυτές ασφάλειας να παρακολουθούν τη δραστηριότητα των χρηστών.

Τα analytics της συμπεριφοράς των χρηστών επικεντρώνονται στην παρακολούθηση, τη συλλογή και την αξιολόγηση των δεδομένων του χρήστη και των δραστηριοτήτων του, με τη χρήση συστημάτων παρακολούθησης. Οι τεχνολογίες UBA αναλύουν ιστορικά logs δεδομένων −συμπεριλαμβανομένων των logs δικτύου και ελέγχου ταυτότητας (αυθεντικοποίησης), που συλλέγονται και αποθηκεύονται σε συστήματα διαχείρισης logs και SIEM− για να προσδιορίσουν τα πρότυπα της κίνησης που προκλήθηκαν από τις συμπεριφορές των χρηστών, τόσο τις φυσιολογικές, όσο και τις κακόβουλες. Ενώ τα συστήματα UBA δε λαμβάνουν δράση βάσει των ευρημάτων τους, έχουν ως κύριο σκοπό να παρέχουν στις ομάδες ασφάλειας ενημέρωση για τις δραστηριότητες των χρηστών.

Τα συστήματα UBA συλλέγουν διάφορα είδη δεδομένων, όπως ρόλους χρηστών, δικαιώματα πρόσβασης, δραστηριότητα των χρηστών, ημερομηνία και ώρα της δραστηριότητας και γεωγραφική τοποθεσία, καθώς επίσης και τις προειδοποιήσεις ασφάλειας. Τα δεδομένα αυτά μπορούν να συλλέγονται από την προγενέστερη και την τρέχουσα δραστηριότητα και η ανάλυσή τους λαμβάνει υπόψη παράγοντες, όπως οι πόροι που χρησιμοποιήθηκαν, η διάρκεια των συνεδριών (sessions), η συνδεσιμότητα και η δραστηριότητα όμοιων ομάδων,  προκειμένου να γίνει σύγκριση της ανώμαλης συμπεριφοράς.

Οι οργανισμοί πλέον χρειάζεται να γνωρίζουν όχι μόνο ποιος συνδέθηκε στο δίκτυο, αλλά και τι έκανε όσο ήταν συνδεδεμένος. Τα συστήματα UBA δεν αναφέρουν όλες τις ανώμαλες συμπεριφορές ως επικίνδυνες. Στην πραγματικότητα, αξιολογούν το πιθανό αντίκτυπο των συμπεριφορών. Εάν η συμπεριφορά αφορά λιγότερο ευαίσθητους πόρους, λαμβάνει χαμηλή βαθμολογία αντικτύπου. Εάν αφορά κάτι περισσότερο ευαίσθητο, όπως προσωπικές πληροφορίες (Personally Identifiable Information), θα λάβει υψηλότερη βαθμολογία αντικτύπου. Με αυτό τον τρόπο οι ομάδες ασφάλειας μπορούν να δώσουν προτεραιότητα στο τι πρέπει να παρακολουθήσουν, καθώς το σύστημα UBA έχει τη δυνατότητα αυτόματα να περιορίζει ή να αυξάνει τη δυσκολία της αυθεντικοποίησης του χρήστη που έχει παρουσιάσει ανώμαλη συμπεριφορά.

Τα εργαλεία UBA μπορούν να συμβάλουν στην αντιμετώπιση των επιθέσεων έναντι της ασφάλειας

Τα εργαλεία UBA χρησιμοποιούν έναν ειδικό τύπο security analytics ο οποίος εστιάζει στη συμπεριφορά των συστημάτων και των ανθρώπων που τα χρησιμοποιούν. Εκτελούν δύο βασικές λειτουργίες. Αρχικά, καθορίζουν μια βασική γραμμή των «κανονικών (normal)» δραστηριοτήτων, οι οποίες είναι ειδικά προσαρμοσμένες για τον οργανισμό και τους χρήστες του. Δεύτερον, τα εργαλεία UBA διακρίνουν γρήγορα τις αποκλίσεις από τον κανόνα, οι οποίες απαιτούν περαιτέρω διερεύνηση. Επομένως, κύριος σκοπός αυτών των εργαλείων είναι να αναδείξουν τις περιπτώσεις στις οποίες κάποια μη φυσιολογική συμπεριφορά βρίσκεται σε εξέλιξη.

Ποια είναι όμως η διαφορά μεταξύ των securityanalytics και αυτών των εργαλείων;

Αυτές οι τεχνολογίες που βασίζονται στην ταυτότητα του χρήστη εστιάζουν πρώτα στο άτομο, παρακολουθώντας τις αλληλεπιδράσεις και χτίζοντας βασικά προφίλ για να τα συγκρίνουν με το ιστορικό των συμπεριφορών και με αυτό των όμοιων ομάδων. Οι περισσότερες από αυτές τις πλατφόρμες είναι σχεδιασμένες για να παρακολουθούν κάθε χρήστη και όχι μόνο όσους θεωρούνται υψηλού κινδύνου. Η μεγάλη διαφορά μεταξύ των UBA και άλλων τύπων security analytics είναι ότι τα εργαλεία UBA εστιάζουν στους χρήστες (παρά στα γεγονότα ή στις προειδοποιήσεις). Με άλλα λόγια, τα εργαλεία UBA απαντούν στο ερώτημα, “Συμπεριφέρεται αυτός ο χρήστης ασυνήθιστα;“.

Είτε πρόκειται για κλοπή ευαίσθητων δεδομένων και δεδομένων πνευματικής ιδιοκτησίας, είτε για τυχαία απώλεια δεδομένων που προκαλείται από καλοπροαίρετους εργαζόμενους που έχουν υποστεί κοινωνική μηχανική (social engineering), η παρακολούθηση της επικίνδυνης συμπεριφοράς των χρηστών εξακολουθεί να αποτελεί την κορυφαία ανησυχία για τους επαγγελματίες της ασφάλειας.

Πως συνδέονται τα analytics της συμπεριφοράς των χρηστών με την εκπαίδευση ευαισθητοποίησης των χρηστών σε θέματα ασφάλειας;

Το ανθρώπινο λάθος είναι μια από τις μεγαλύτερες αιτίες παραβιάσεων ασφάλειας δεδομένων. Η προσεκτική παρακολούθηση και ανάλυση της ανθρώπινης συμπεριφοράς μπορεί να προσδιορίσει περιοχές όπου, μια συγκεκριμένη προειδοποίηση ή ένας έλεγχος ασφάλειας θα μπορούσε να έχει εφαρμοστεί για να αποτρέψει μια παραβίαση ασφάλειας δεδομένων, που θα ήταν δυνατό να προκληθεί από το λάθος ενός χρήστη. Τα analytics της συμπεριφοράς των χρηστών επικεντρώνονται στην παρακολούθηση της συμπεριφοράς και των προτύπων για τον εντοπισμό εσωτερικών απειλών, είτε είναι ακούσια, είτε εκούσια. Ένα εργαλείο UBA θα αναπτύξει γενικά μια βασική γραμμή της συμπεριφοράς των εργαζομένων και από εκεί θα εντοπίσει ανωμαλίες για περαιτέρω έρευνα.

Η εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας εστιάζει (ή θα έπρεπε τουλάχιστον να εστιάζει), στις ανθρώπινες συμπεριφορές και στην ανθρώπινη ψυχολογία που κινεί τέτοιες συμπεριφορές (εσωτερικά σε κάθε εργαζόμενο). Η ασφάλεια και το απόρρητο των δεδομένων σε έναν οργανισμό, εξαρτάται από μια αλλαγή στην εταιρική κουλτούρα προς ένα περιβάλλον το οποίο δίνει αξία στην προστασία της ιδιωτικής ζωής και στην ασφάλεια των δεδομένων. Πρέπει να δοθεί ιδιαίτερη έμφαση στην αλλαγή των ανθρώπων και των συμπεριφορών προς την πεποίθηση ότι, η προστασία των δεδομένων του οργανισμού είναι ευθύνη όλων των εργαζομένων.

Η Space Hellas διαθέτει κορυφαία τεχνογνωσία στην τεχνολογία ασφάλειας πληροφοριών με εξειδικευμένο και πιστοποιημένο προσωπικό που σχεδιάζει και υλοποιεί εξελιγμένες λύσεις, οι οποίες προσαρμόζονται στις ανάγκες του πελάτη. Παρέχει προηγμένα professional services και συνεργάζεται με τους κορυφαίους κατασκευαστικούς οίκους προϊόντων ασφάλειας. Συνδυάζει τεχνολογικά προϊόντα και managed services, δίνοντας τη δική της λύση “next-generation security” προσφέροντας Security Intelligence και Analytics, με την προστιθέμενη αξία του Compliance.

Δήμητρα Ζέρβα,
Information Security Consultant, 
Networking Solutions Division, Space Hellas