Καθώς το έγκλημα στον κυβερνοχώρο συγκλίνει προς προηγμένες μεθόδους συνεχών απειλών, οι εγκληματίες του κυβερνοχώρου βρίσκουν νέες τακτικές και τεχνικές ώστε να προκαλέσουν μεγαλύτερη ζημιά. Το πιο ανησυχητικό, είναι το γεγονός ότι οι απειλές αυξάνονται σε ένταση και πλήθος.
Γράφει ο Νικήτας Κλαδάκης
General Manager της ADACOM
Δεδομένης της επιτυχίας των κυβερνοεγκληματιών με το RaaS (Ransomware as a Service), προβλέπουμε ότι θα υπάρχει μεγάλη αύξηση στο κυβερνοέγκλημα ως υπηρεσία μέσω του dark web. Εκτός από την πώληση του malware as a Service, θα αρχίσουμε να βλέπουμε νέες εγκληματικές λύσεις με τη διάθεση τους κατά παραγγελία (a-la-carte).
Για να αντιμετωπίσουν το νέο περιβάλλον της επικινδυνότητας, οι οργανισμοί θα πρέπει να υιοθετήσουν το μοντέλο μηδενικής εμπιστοσύνης, το οποίο προσαρμόζεται πιο αποτελεσματικά στο περίπλοκο σύγχρονο περιβάλλον, το οποίο πλαισιώνει τον υβριδικό χώρο εργασίας και προστατεύει τους χρήστες, τις συσκευές, τις εφαρμογές και τα δεδομένα, όπου κι αν αυτά βρίσκονται.
Το μοντέλο μηδενικής εμπιστοσύνης υποθέτει ότι υπάρχει παραβίαση και επαληθεύει κάθε αίτημα. Ανεξάρτητα από την προέλευση του αιτήματος ή τους πόρους στους οποίους έχει πρόσβαση, η μηδενική εμπιστοσύνη βασίζεται στην αρχή “Δεν εμπιστευόμαστε ποτέ και πάντα επαληθεύου-με”.
Έτσι σε κάθε αίτημα πρόσβασης γίνεται πλήρης έλεγχος ταυτότητας και κατόπιν εξουσιοδοτείται, ενώ κρυπτογραφείται πριν από την εκχώρηση πρόσβασης. Επίσης εφαρμόζοντας μικροκατάτμηση (microsegmentation) του δικτύου και υιοθετώντας την πρόσβαση με τα ελάχιστα προνόμια, εξαλείφεται η πιθανότητα πλευρικών ενεργειών σε ένα δίκτυο.
H πρόταση της ADACOM
Για τον εντοπισμό και την αντιμετώπιση των απειλών σε πραγματικό χρόνο, η ADACOM έχει υιοθετήσει αλγόριθμους μηδενικής εκμάθησης και τεχνητής νοημοσύνης. Πηγαίνοντας ένα βήμα πιο μπροστά η εταιρεία έχει υιοθετήσει το μοντέλο Μηδενικής Εμπιστοσύνης με Μηδενικό Άγγιγμα (Zero Trust with Zero Touch) μέσω της ολοκλήρωσης της πλατφόρμας διαχείρισης περιστατικών ασφαλείας eASIS (βασισμένη στο IBM QRadar) με τη λύση Cisco Secure Workload.
Μέσω της εν λόγω ολοκλήρωσης παρέχεται η δυνατότητα υλοποίησης αυτοματοποιημένων μηχανισμών εφαρμογής πολιτικών ελέγχου και ανίχνευσης απειλών σε επίπεδο δικτύου με την χρήση μηχανισμών μηχανικής εκμάθησης και τεχνητής νοημοσύνης.
H συγκεκριμένη λύση παρέχει ολιστική προστασία σε επίπεδο private ή public cloud workloads υλοποιώντας το μοντέλο μηδενικής εμπιστοσύνης με χρήση αυτοματοποιημένων πολιτικών ασφάλειας πρόσβασης. Με την υιοθέτηση του συγκεκριμένου μοντέλου, είμαστε σε θέση να εντοπίσουμε και να αποκριθούμε άμεσα και αποτελεσματικά σε οποιοδήποτε περιστατικό ασφάλειας, να περ ορίσουμε τις πλευρικές κινήσεις ενός εισβολέα και να μειώσουμε την επιφάνεια επίθεσης.
Τα κύρια τεχνικά και λειτουργικά χαρακτηριστικά της είναι:
- Μείωση της επιφάνειας επίθεσης: Οι επιφάνειες επίθεσης μίας υποδομής συσχετίζονται άμεσα με τις ευπάθειες του λογισμικού, του λειτουργικού συστήματος και των παρεχόμενων υπηρεσιών που παρέχονται. Η εν λόγω λύση καταγράφει σε πραγματικό χρόνο όλα τα πακέτα του λογισμικού που είναι εγκατεστημένα στην υποδομή και εντοπίζει τα τυχόν τρωτά σημεία που μπορεί να εκμεταλλευτεί ένας κυβερνοεγκληματίας. Επίσης είναι δυνατή η καραντίνα ή ο περιορισμός της επικοινωνίας όταν εντοπίζονται συγκεκριμένα κρίσιμα ευπαθή σημεία. Η λύση μπορεί να εντοπίσει τις ανοιχτές θύρες που δεν χρησιμοποιούνται από καμία εφαρμογή με αποτέλεσμα να είναι δυνατή η απενεργοποίηση τους από τους διαχειριστές.
- Τηλεμετρία και επιβολή πολιτικών: Μέσω του μοντέλου παρέχονται agents με σκοπό την συλλογή της τηλεμετρίας από τα φορτία εργασίας και την επιβολή πολιτικών μικροτμηματοποίησης. Οι ως άνω agents μπορούν να υλοποιηθούν σε ετερογενή περιβάλλοντα, σε δημόσια ή ιδιωτικά νέφη, σε εικονικές μηχανές, σε κοντέινερ αλλά και σε φυσικούς εξυπηρετητές. Επιπλέον, ενσωματώνεται εγγενώς με τρίτα συστήματα για να λαμβάνει πληροφορίες από τα φορτία εργασίας όπως πλατφόρμες ενορχήστρωσης (VMWare vCenter, Kubernetes κ.λπ.), συστήματα διαχείρισης διευθύνσεων IP, διακομιστές DNS, συστήματα CMD κ.λπ. Επιπροσθέτως για περιβάλλοντα όπου δεν είναι επιθυμητή η εγκατάσταση agent, παρέχουμε ένα σύνολο από μηχανισμούς συλλογής τηλεμετρίας από τα φορτία εργασίας, μέσω δικτύου όπως ERSPAN, NetFlow, IPFIX φορτίου κ.λπ. Η επιβολή της πολιτικής μικροτμηματοποίησης στα ως άνω περιβάλλοντα μπορεί να υλοποιηθεί μέσω της υποδομής δικτύου όπως αναχώματα (firewalls), συστήματα κατανομής φόρτου (Load Balancers) κ.λπ.
- Αναλύσεις ασφάλειας: Η τηλεμετρία και η συλλογή πληροφοριών σχετικά με το περιεχόμενο των φορτίων εργασίας αποστέλλονται στην κεντρική πλατφόρμα διαχείρισης, η οποία αναλύει όλες τις πληροφορίες με χρήση μη εποπτευόμενης μηχανικής εκμάθησης και μοτίβων συμπεριφορικής ανάλυσης. Για κάθε φορτίο εργασίας καθορίζεται η ομαλή συμπεριφορά του, και με την αλγοριθμική ανάλυση και την μηχανική εκμάθηση προσδιορίζεται η μικροτμηματοποίηση που πρέπει να υλοποιηθεί, η ανώμαλη συμπεριφοράς του φόρτου εργασίας και η μείωση της επιφάνειας επίθεσης τους.
- Ανίχνευση ανώμαλης συμπεριφοράς ενός φόρτου εργασίας: Παρακολουθείται η επικοινωνία στα φορτία εργασίας ώστε να δημιουργηθούν τα ομαλά συμπεριφορικά μοντέλα και να εντοπιστούν οι δραστηριότητες κακόβουλης συμπεριφοράς όπως κλιμακώσεις προνομίων, εκτελέσεις κώδικα κελύφους, τεχνικές και τακτικές κατά MITRE, πλευρικές κινήσεις, κ.λπ. Είναι λοιπόν αντιληπτό ότι η υιοθέτηση του μοντέλου Zero Trust with Zero Touch είναι σχεδιασμένη με τέτοιο τρόπο ώστε να αντιμετωπίζει με επιτυχία το σύγχρονο περιβάλλον της επικινδυνότητας, όπως οι κυβερνοεπιθέσεις λυτρισμικού λογισμικού, που μπορούν να επιφέρουν σημαντικές ζημιές στους Οργανισμούς. Έτσι, αξιοποιώντας τις τεχνολογίες μηχανικής μάθησης και τεχνητής νοημοσύνης, μπορούμε να ανιχνεύσουμε και να αποκριθούμε άμεσα σε κάθε κυβερνοεπίθεση από τους hackers που δρουν ανεξέλεγκτα στο χώρου του διαδικτύου
