Για τους υπεύθυνους IT και ειδικότερα τους IT Security Managers, η προστασία της επιχείρησης ή του οργανισμού από τους επιτιθέμενους που προσπαθούν να διεισδύσουν στο εταιρικό δίκτυο, είναι μία διαρκής πρόκληση. Η ανίχνευση αυτών των απειλών και η δημιουργία αμυντικών μηχανισμών εναντίον τους, γίνεται όλο και πιο δύσκολη, καθώς οι κίνδυνοι προέρχονται από ολοένα και περισσότερες πηγές.  Πάντα θεωρείται κρίσιμης σημασίας ζήτημα η αντιμετώπιση των εξωτερικών απειλών, όμως ταυτόχρονα δεν πρέπει να παραβλέπουμε τις απειλές που μπορούν να προέλθουν από εσωτερικές πηγές.

Του Δημήτρη Θωμαδάκη

Οι επιτιθέμενοι, αναζητούν τρόπους εισβολής στο δίκτυο του οργανισμού και εξελίσσουν τα εργαλεία και τις τεχνικές τους, με βάση την επιτυχία που είχαν σε άλλες πρόσφατες επιθέσεις. Πως λοιπόν μπορούμε να βρισκόμαστε ένα βήμα μπροστά από αυτά τα νέα όπλα που μπορούν να χρησιμοποιηθούν εναντίον μας; Οι παραδοσιακοί τρόποι μπορεί να μην είναι πια αποτελεσματικοί, όμως τα καλά νέα είναι ότι διάφορα νέα εργαλεία και εφαρμογές, διατίθενται ώστε να αμβλύνουν τον κίνδυνο εισβολής.

Με εφαρμογές και λύσεις ασφαλείας που εκτείνονται από IDS/IPS, anti-malware, DLP, προστασία endpoint, firewalls, patch management, SIEM και εξελιγμένα analytics, θα λέγαμε ότι δεν υπάρχει έλλειψη διαθεσίμων εργαλείων, ούτε τεχνογνωσίας. Όμως είναι αλήθεια ότι καμία μεμονωμένη εφαρμογή δεν μπορεί να παρέχει επαρκή και αποτελεσματική ολική προστασία στους οργανισμούς.

Τεχνολογίες ασφάλειας όπως τα firewalls και οι λύσεις IDS, ήταν ανέκαθεν πολύ σημαντικές, αλλά δεν μπορούν σήμερα να παρέχουν από μόνες τους, την απαιτούμενη άμυνα εις βάθος, που είναι ιδιαίτερα κρίσιμη για την προστασία των οργανισμών. Οι εξελίξεις στα firewalls και IDS/IPS νέας γενιάς, βοηθούν σίγουρα στη προστασία των εταιρικών δικτυακών υποδομών, ενώ παράλληλα ο τομέας αυτός εξελίσσεται και βελτιώνεται. Πέρα όμως από αυτές τις εφαρμογές, εργαλεία ανάλυσης νέας γενιάς που χρησιμοποιούν τεχνολογία deep learning (εκμάθηση εις βάθος) και νευρωνικά δίκτυα, χρησιμοποιούνται ώστε να ανιχνεύουν την ασυνήθιστη δραστηριότητα στην κίνηση του δικτύου και να εντοπίζουν παρεκκλίσεις από μία γνωστή βάση. Όμως οι αναφορές από αυτά τα εργαλεία, πρέπει να είναι αρκετά περιγραφικές, προκειμένου αυτά να ανιχνεύουν πραγματικές απειλές και να παρέχουν ειδοποιήσεις με εκμεταλλεύσιμα αποτελέσματα.

Παρακάτω, θα εξετάσουμε κάποια σημαντικά στοιχεία που πρέπει να λαμβάνονται υπ’όψη όταν αναπτύσσεται ή αναθεωρείται η πολιτική ασφαλείας της επιχείρησης. Εννοείται, πως αν δεν υπάρχει πολιτική ασφαλείας, θα πρέπει να σχεδιαστεί και να υλοποιηθεί άμεσα στη βάση ενός ισχυρού σχεδίου, το οποίο θα πρέπει να αναθεωρείται συχνά στο πλαίσιο ενός περιβάλλοντος απειλών που αλλάζει συνέχεια. Ας εξετάσουμε λοιπόν, τέσσερις παράγοντες κλειδιά που μπορούν να ενισχύσουν την άμυνα  κατά των σημερινών ψηφιακών απειλών.

  1. Επιλέξτε προσεκτικά τα εργαλεία ασφαλείας

Δεν αντιμετωπίζουν όλες οι επιχειρήσεις και οργανισμοί τις ίδιες απειλές. Διαφορετικές τεχνολογίες προστασίας, είναι κατάλληλες για διαφορετικές επιχειρήσεις, εφαρμογές και συνθήκες. Για παράδειγμα, οι επιχειρήσεις παροχής υπηρεσιών υγείας και χρηματοοικονομικών, ίσως απαιτούν εφαρμογές ισχυρής συμμόρφωσης ασφάλειας, ενώ οι επιχειρήσεις λιανικού εμπορίου, ίσως να χρειάζεται να επικεντρώνονται σε εξελιγμένα εργαλεία ανάλυσης, ενώ οι οργανισμοί που δραστηριοποιούνται στη βιομηχανία και την παραγωγή, ίσως αναζητούν αξιόπιστα εργαλεία DLP και προστασίας των end nodes. Παρομοίως, δεν δημιουργούνται όλες οι εφαρμογές επί ίσοις όροις και έτσι είναι σημαντικό να προσδιορίσουμε τα κατάλληλα εργαλεία κάθε κατηγορίας για κάθε συγκεκριμένη ανάγκη. Πρέπει να είμαστε σε θέση να παρακολουθούμε τα αποτελέσματα κάθε εργαλείου, για να εξασφαλίσουμε ότι το προσωπικό της εταιρίας κατανοεί πως πρέπει να χρησιμοποιούνται τα εργαλεία αυτά και τις επιλογές που έχουν σχετικά με τις αναφορές.

  1. Δημιουργήστε μία βάση για το δίκτυο

Ως αρχικό βήμα σύνταξης του σχεδίου ασφαλείας, είναι η δημιουργία μιας βάσης για την κίνηση του δικτύου με στόχο την κατανόηση όλων των παραμέτρων που υπάρχουν. Πολλά εργαλεία, έχουν τη δυνατότητα να παράγουν μία βάση δικτύου, αλλά πρέπει να βελτιώνεται συνεχώς αυτή τη βάση, καθώς τα συστήματα εξελίσσονται παράλληλα με την επιχείρηση. Όταν διαμορφωθούν αυτές οι βάσεις, μπορούν να χρησιμοποιούνται για να ανιχνεύουν ανωμαλίες και ασυνήθιστες παρεκκλίσεις στην κίνηση του δικτύου. Για παράδειγμα, μπορούν να παρέχουν αναλύσεις σχετικά με ποια αρχεία μετακινούνται στο δίκτυο και ποιες νέες συνδέσεις δημιουργούνται. Αυτή η διαδικασία, υποβοηθείται από εξελιγμένα εργαλεία εκμάθησης, ένας τομέας όπου η καινοτομική έρευνα θεωρείται πολλά υποσχόμενη.

  1. Μηδενική ανοχή σε κενά ασφαλείας

Είναι ιδιαίτερα σημαντική μία αυστηρή προσέγγιση μηδενικής ανοχής, σε όλα τα ενδεχόμενα κενά ασφαλείας, που εμφανίζονται στο εκάστοτε σύστημα. Σύμφωνα με την έρευνα Data Breach Investigations Report της Verizon, τα μισά κενά ασφαλείας τυχαίνουν εκμετάλλευσης από τους hackers πολύ καιρό μετά από τη δημοσίευση τους. Θα πρέπει λοιπόν όλα τα τμήματα του δικτύου και όλη η κίνηση, να παρακολουθούνται για κενά ασφαλείας, σε μόνιμη βάση. Αυτό δεν πρέπει να γίνεται απλά μία φορά το χρόνο. Θα πρέπει όλα τα συστήματα να δέχονται τακτικές αναβαθμίσεις διορθώσεων, εστιάζοντας κυρίως στους browsers, στα λειτουργικά συστήματα και στις εφαρμογές.

  1. Σωστές αναφορές και ειδοποιήσεις

Είναι πολύ σημαντικό, οι εφαρμογές που χρησιμοποιούνται να παράγουν τους κατάλληλους συναγερμούς και τις ειδοποιήσεις που χρειάζονται, ώστε να παραμείνει το δίκτυο ασφαλές, παρέχοντας τις σωστές πληροφορίες στον σωστό υπεύθυνο, τη σωστή στιγμή. Προσδιορίστε λοιπόν πως χρησιμοποιούνται τα εργαλεία και πως διανέμονται οι ειδοποιήσεις, φροντίζοντας ώστε οι κρίσιμες εφαρμογές να παρουσιάζουν χρήσιμα αποτελέσματα σε ενοποιημένη μορφή, προς το κέντρο επιχειρήσεων ασφαλείας. Σημαντικό είναι επίσης, το προσωπικό που παρακολουθεί την ασφάλεια να μην “ενοχλείται” από “κουραστικές” ειδοποιήσεις που δεν συνεισφέρουν κάτι σημαντικό και μπορεί να οδηγήσουν σε μεγαλύτερους χρόνους απόκρισης συμβάντων, που είναι σημαντικά ή την παράκαμψη χρήσιμων ειδοποιήσεων. Για να είναι αποτελεσματικά, τα περισσότερα εργαλεία βέλτιστης απόδοσης πρέπει να βλέπουν εις βάθος την κίνηση του δικτύου. Είναι σημαντικό να πηγαίνει η σωστή κίνηση στα σωστά εργαλεία.

Πρέπει να αντιληφθούμε ότι όλοι σε ένα οργανισμό, έχουν ρόλο – ο κάθε ένας από τη δική του πλευρά – στην προστασία των κρίσιμων υποδομών διακίνησης, διαχείρισης και αποθήκευσης των δεδομένων. Για την προστασία έναντι των επίδοξων εισβολέων, πρέπει να εφαρμόζεται μια ισχυρή πολιτική ασφαλείας και όλο το προσωπικό να κατανοεί και να χρησιμοποιεί αποτελεσματικά τις εφαρμογές ασφαλείας. Θα πρέπει να διαχειριζόμαστε προσεκτικά τους συναγερμούς και τις ειδοποιήσεις που παράγουν αυτές οι εφαρμογές και να διατηρούμε μια σταθερά αποφασιστική προσέγγιση στην παρακολούθηση του δικτύου και της ασφάλειας. Αυτός είναι ο μόνος τρόπος προκειμένου να βρισκόμαστε ένα βήμα μπροστά από την επόμενη νέα πιθανή απειλή.

Ανίχνευση εσωτερικών απειλών σε έναν κόσμο χωρίς σύνορα

Η υιοθέτηση υβριδικών υποδομών data center και IT cloud σε ευρεία κλίμακα, δημιουργεί νέα πιθανά κενά ασφαλείας, κινδύνους και εκτεταμένο εύρος απειλών. Σε αυτό τον κόσμο χωρίς σύνορα, κάποιες λύσεις cloud είναι ορισμένες φορές εντελώς εκτός του πεδίου ευθύνης του εσωτερικού τμήματος ΙΤ. Τα ευαίσθητα δεδομένα, αποθηκεύονται σε όλο τον κόσμο και έχουν πρόσβαση σε αυτά όλο και περισσότεροι υπάλληλοι, συνεργάτες και πελάτες.

Οι παραδοσιακές προσεγγίσεις δικτυακής άμυνας, όπως μόνο η χρήση firewall για την αποτροπή απειλών, δεν επαρκούν πια. Τα δίκτυα δεν περιορίζονται πλέον στους τέσσερεις τοίχους της επιχείρησης, αλλά αντίθετα εκτείνονται σε πολλαπλές υποδομές μέσω του cloud. Στο μεταξύ, η ανίχνευση εσωτερικών απειλών σε αυτό το νέο περιβάλλον, απαιτεί και αυτή διαφορετική προσέγγιση. Συγκεκριμένα, ένα συνδυασμό ασφάλειας εφαρμογών, προστασίας ταυτοτήτων και παρακολούθησης του τρόπου κατά τον οποίο οι ταυτότητες χρησιμοποιούν τις εφαρμογές.

Ασφάλεια εφαρμογών –  Οι οργανισμοί πρέπει να μπορούν να προστατεύουν τις εφαρμογές τους με αυτοματοποιημένο τρόπο. Δεν υπάρχει αρκετό προσωπικό ασφαλείας, για να παρακολουθεί όλους τους υπαλλήλους, τις τοποθεσίες τους και τις τόσες εφαρμογές που χρησιμοποιούν για πρόσβαση σε ευαίσθητα δεδομένα. Τόσο οι εφαρμογές, όσο και οι υπάλληλοι που τις χρησιμοποιούν, είναι κατανεμημένοι σε ευρεία βάση. Δεν υφίστανται σε ένα ενιαίο χώρο, ούτε χρησιμοποιούν μία μόνο συσκευή, ούτε αποτελούν μία οντότητα.

Έτσι, οι εταιρείες πρέπει να μπορούν να παρακολουθούν μεμονωμένες ταυτότητες, όπως και τις ίδιες τις εφαρμογές, ώστε να κρίνουν πότε ένας χρήστης έχει μη εξουσιοδοτημένη πρόσβαση σε μία εφαρμογή ή συγκεκριμένα δεδομένα, όπως πληροφορίες πιστωτικών καρτών.

Εκτός από αυτές τις επιπλοκές, ο αριθμός των ατόμων που απαιτούνται για να παρακολουθούν επαρκώς τις απειλές και το bandwidth που απαιτείται για τη διαχείριση όλων των αιτημάτων για δεδομένα της επιχείρησης, ειδικά στις περιόδους φόρτου εργασίας, είναι ανέφικτο να γίνουν «με το χέρι». Κάπου εδώ, η ανάλυση συμπεριφοράς και η μηχανική εκμάθηση μπορούν να βοηθήσουν στην ασφαλή χρήση των εφαρμογών.

Κλείδωμα ταυτοτήτων – Τα παραδοσιακά frameworks ταυτοποίησης, συχνά δυσκολεύουν τον περιορισμό των κατάλληλων δικαιωμάτων σε μεμονωμένες ταυτότητες. Αυτό συχνά οδηγεί σε προφίλ «καρμπόν» κατά την έκδοση νέων ταυτοτήτων, παρέχοντας πλεονασματικά δικαιώματα που συχνά δεν απαιτούνται για συγκεκριμένους ρόλους ή δουλειές. Για να περιοριστούν οι κίνδυνοι απειλών, οι ταυτότητες πρέπει να κλειδώνονται. Η πρόκληση για πολλές εταιρείες, είναι να προσδιορίζουν όχι μόνο ποιες ταυτότητες έχουν πρόσβαση σε εφαρμογές που δεν χρειάζονται, αλλά επίσης ποιες έχουν περισσότερα δικαιώματα πρόσβασης σε εφαρμογές που χρειάζονται για τη δουλειά τους.

Ένας τρόπος αντιμετώπισης αυτού του προβλήματος, περιλαμβάνει τη χρήση ανάλυσης ταυτότητας (identity analytics – IdA) για την παρακολούθηση όλων των δικαιωμάτων πρόσβασης και της δραστηριότητας που συσχετίζεται με κάποια ταυτότητα, ανεξάρτητα από συσκευές, εφαρμογές ή δεδομένα, ώστε να εντοπιστούν τα πλεονασματικά δικαιώματα και να αφαιρεθούν. Η χρήση IdA μειώνει το πεδίο πρόσβασης από απειλές, που μπορούν να εκμεταλλευτούν κακόβουλα άτομα εκ των έσω.

Παρακολούθηση του τρόπου χρήσης εφαρμογών από ταυτότητες – Παρακολουθώντας τη συμπεριφορά των χρηστών, με τη χρήση μηχανικής εκμάθησης και ανάλυσης, μία εταιρεία μπορεί να αναγνωρίσει ύποπτες δράσεις που χρίζουν περεταίρω έρευνας από επαγγελματίες αναλυτές ασφάλειας. Έτσι, αντί να ψάχνετε για κώδικα που συμπεριφέρεται με γνωστό κακόβουλο τρόπο, αυτή η προσέγγιση εστιάζει αντίθετα σε μεμονωμένες ταυτότητες και τις συμπεριφορές τους.

Σε κάποιες περιπτώσεις, οι βαθμοί κινδύνου μπορούν να κρίνουν ότι χρειάζεται κάποια αυτοματοποιημένη απόκριση κινδύνου, όπως η ταυτοποίηση πολλαπλών επιπέδων, η αποκατάσταση παραμέτρων πρόσβασης, ή ο αυτοέλεγχος για τον χρήστη και τον διευθυντή, ώστε να επαληθεύσουν κάποιο πλαίσιο που δεν βρίσκεται σε ένα τυπικό κέντρο επιχειρήσεων ασφαλείας.

Η πρόσβαση στα δεδομένα της εταιρείας πρέπει να περιορίζεται σε συγκεκριμένες, εξουσιοδοτημένες χρήσεις. Αν και κάποιος στο εμπορικό τμήμα μπορεί να έχει λόγους για πρόσβαση στο ιστορικό αγορών των πελατών, για στοχευμένο marketing, ή για επέκταση των προωθητικών ενεργειών σε μεγαλύτερο κοινό, το συγκεκριμένο τμήμα δεν χρειάζεται πρόσβαση στις πληροφορίες πιστωτικών καρτών των πελατών. Παρομοίως, το λογιστικό τμήμα έχει λόγο για πρόσβαση στις λεπτομέρειες πιστωτικών καρτών, ειδικά αν υπάρχει πρόβλημα με κάποια πληρωμή, αλλά δεν χρειάζεται πρόσβαση σε άλλες πληροφορίες προσωπικής ταυτότητας.

3 συμβουλές βελτίωσης της ανίχνευσης απειλών και απόκρισης σε συμβάντα

Το μεγάλο ερώτημα δεν είναι πλέον πως θα αποφύγετε τις επιθέσεις, αλλά πως θα είστε αποτελεσματικοί και ευέλικτοι όταν λάβει χώρα κάποιο συμβάν. Ανεξάρτητα από τις προδιαγραφές του “τείχους προστασίας”, η ατυχής πραγματικότητα είναι ότι κατά πάσα πιθανότητα κάποιος θα καταφέρει να το παραβιάσει. Είναι απλά θέμα πότε και πως. Οι ακόλουθοι τρεις μηχανισμοί ασφαλείας, αποτελούν τις βασικές κατευθύνσεις για να ενισχύσετε τις αμυντικές δυνατότητες του συστήματος και του δικτύου μιας επιχείρησης ή ενός οργανισμού.

  1. Μάθετε τους πόρους και τα μέσα που έχετε στη διάθεση σας

Αν κάποιος σας ζητούσε να φτιάξετε μία λίστα με τις συσκευές του σπιτιού σας  που συνδέονται στο internet και να υπολογίσετε τις δυνατότητες αποθήκευσης δεδομένων αυτών των συσκευών, θα μπορούσατε να δώσετε μία ακριβή απάντηση; Κατά πάσα πιθανότητα δεν θα μπορούσατε να τις απαριθμήσετε όλες. Σε ένα σπίτι λοιπόν που είναι ένα σχετικά μικρό και περιορισμένο περιβάλλον υπάρχει αυτή η δυσκολία. Έτσι φανταστείτε λοιπόν, πόσο μεγαλύτερη πρόκληση αποτελεί για τις επιχειρήσεις και τους οργανισμούς να αναγνωρίσουν πλήρως τα μέσα και τους πόρους που διαθέτουν και να γνωρίζουν που βρίσκονται όλα τα δεδομένα τους. Αν συμπεριλάβετε επίσης, όλες τις επιπλέον συσκευές που οι υπάλληλοι συνδέουν στο εταιρικό δίκτυο, τότε το «γνώθι» σε ένα εταιρικό περιβάλλον, γίνεται ακόμα μεγαλύτερη πρόκληση.

Οι επιχειρήσεις πρέπει να γνωρίζουν βασικά στοιχεία πριν αναπτύξουν και εφαρμόσουν κάποιο σχέδιο ασφαλείας όπως: ποια μέσα διαθέτουν, που βρίσκονται αυτά και ποια χρειάζονται περισσότερη προστασία. Όταν μάθετε ποια είναι αυτά τα μέσα και οι IT πόροι υψηλής προτεραιότητας, τότε μπορείτε να εφαρμόσετε κατάλληλους μηχανισμούς ασφαλείας, για την προστασία και την παρακολούθηση τους. Έτσι θα εξασφαλίσετε ότι αν ένα μέσο παραβιαστεί, δεχτεί επίθεση ή βρεθεί σε επισφαλή θέση, θα μπορέσετε να ανιχνεύσετε το σχετικό συμβάν και να αποκριθείτε άμεσα.

  1. Εφαρμόστε παρακολούθηση συμπεριφοράς

Η παρακολούθηση συμπεριφοράς βασίζεται στην κατανόηση των στοιχείων που συνθέτουν την κανονική ή αποδεκτή συμπεριφορά. Το προσωπικό IT, μπορεί να παρατηρεί συγκεκριμένες πτυχές της υποδομής πληροφορικής, ώστε να γνωρίζει ποιες δραστηριότητες θεωρούνται κανονικές και έτσι να προσδιορίσει μία βάση για τη συμπεριφορά των υπαλλήλων. Αν τεθεί μία συνήθης ρουτίνα για την παρακολούθηση δραστηριότητας και την ανάλυση μοτίβων, τότε οι ύποπτες συμπεριφορές που παρεκκλίνουν από τον κανόνα, μπορούν να σημειώνονται ως πιθανά θέματα και να ερευνώνται κατάλληλα.

Για παράδειγμα, η παρακολούθηση υπηρεσιών προσφέρει ορατότητα στη λειτουργία τους και όποιες απροσδόκητες διακοπές μπορούν να αναγνωριστούν γρήγορα, αν ο χρόνος διακοπής δεν συμπίπτει με αναμενόμενη συμπεριφορά. Παρομοίως, η ανάλυση ροής του δικτύου δείχνει τάσεις συμπεριφοράς υψηλού επιπέδου, σχετικά με ποια πρωτόκολλα χρησιμοποιούνται, ποιες συσκευές χρησιμοποιούν αυτά τα πρωτόκολλα, όπως και για το μέσο όρο χρήσης bandwidth. Οποιεσδήποτε μεγάλες αποκλίσεις από τους κανόνες, καταδεικνύουν κακόβουλη δραστηριότητα.

Η πραγματική αξία της παρακολούθησης συμπεριφοράς είναι ότι αν προσδιοριστεί μία βάση, τότε κάποιος δεν χρειάζεται να έχει μεγάλη οικειότητα με την υποκείμενη τεχνολογία ώστε να αναγνωρίζει τις ανωμαλίες.

 Προτεραιότητα στον έλεγχο ευπαθειών

Οι τεχνολογίες και μεθοδολογίες ελέγχου και διαχείρισης ευπαθειών έχουν εξελιχθεί ώστε να ανταποκρίνονται στις ανάγκες πελατών που θέλουν να ικανοποιήσουν τις απαιτήσεις συμμόρφωσης και ρυθμιστικών αρχών. Με απλά λόγια, ο έλεγχος ευπαθειών περιλαμβάνει της αναζήτηση τους μέσα σε ένα συγκεκριμένο περιβάλλον.

Για να καταλάβετε καλύτερα αυτή την έννοια, ας υποθέσουμε ότι τρέχουμε έναν έλεγχο για τρωτότητες ασφάλειας σε ένα σπίτι. Τα αποτελέσματα θα ανέφεραν τα εξής: ανοιχτό παράθυρο κρεβατοκάμαρας, ξεκλείδωτο παράθυρο μπάνιου, ανίσχυρη κλειδαριά γκαράζ, ξεκλείδωτη πόρτα, ανοιχτές κουρτίνες / εξώφυλλα, κτλ.

Οι έλεγχοι ευπαθειών σε ένα δίκτυο, μπορούν να επιστρέφουν αποτελέσματα με εκατοντάδες, αν όχι χιλιάδες, ευπάθειες. Για τις περισσότερες εταιρείες, η αντιμετώπιση κάθε μίας δεν είναι εφικτή. Έτσι, ένα μεγαλύτερο ερώτημα είναι ποιες από τις αναγνωρισμένες ευπάθειες χρίζουν προσοχής και αντιμετώπισης.

Οι εξωγενείς παράγοντες παίζουν επίσης μεγάλο ρόλο στην εκτίμηση σοβαρότητας των ευπαθειών.

Αποτελεσματικότητα & Ευελιξία

Μπορούμε πλέον να συμφωνήσουμε ότι το μεγάλο ερώτημα που τίθεται πια, δεν είναι απλά πως να αποφύγουμε να δεχτούμε μια επίθεση, αλλά πως να είμαστε αποτελεσματικοί και ευέλικτοι, όταν λαμβάνει χώρα κάποιο συμβάν. Αν καταφέρουμε να ανιχνεύσουμε τις απειλές και να ανταποκριθούμε άμεσα, μπορούμε να ελαχιστοποιήσουμε τη ζημιά σε μεγάλο βαθμό. Σε έναν κόσμο όπου υποθέτουμε ότι ένας υπομονετικός κακόβουλος χάκερ, θα βρει εν καιρώ σίγουρα έναν τρόπο διείσδυσης, αυτό ίσως είναι ότι καλύτερο μπορούμε να ελπίζουμε.