Οι σύγχρονοι πειρατές των δικτύων περιμένουν υπομονετικά τη στιγμή που θα βρουν τον στόχο ανοιχτό για να επιτεθούν. Τα όπλα τους εξελίσσονται καθημερινά και ο σκοπός τους μπορεί να είναι η διασκέδαση, τα λάφυρα ή κάποιες φορές η ολική καταστροφή. Είστε προετοιμασμένοι για ανηλεείς μάχες ή μήπως είναι προτιμότερο να αναθέσετε τη «βρόμικη» δουλειά σε ειδικούς; Θα ξεκινήσω αυτό το κείμενο με ένα φράση του Νικόλαου Κωσταρά, Γενικού Διευθυντή Συστημάτων Πληροφορικής της Wind Ελλας, συνέντευξη του οποίου δημοσιεύεται σε αυτό το τεύχος.
Μεταξύ άλλων, ο Ν. Κωσταράς λέει στη συνέντευξη «Για μένα outsourcing σημαίνει μια πρόταση που θα δώσει στην εταιρεία περισσότερη ποιότητα, μεγαλύτερη ευελιξία και θα της μειώσει το κόστος λειτουργίας».
Τα Managed Services σε οποιοδήποτε τομέα, όπως αυτός του security, των εκτυπώσεων, της διαχείρισης συστημάτων και εφαρμογών κ.λπ. είναι ουσιαστικά ένας άλλος τρόπος έκφρασης του outsourcing. Η εταιρεία αναθέτει σε ειδικούς, εκτός της εταιρείας, να κάνουν καλύτερα και με χαμηλότερο κόστος (αυτός είναι ο στόχος) ότι θα μπορούσε να κάνει η εταιρεία με δικούς της εργαζόμενους αλλά χειρότερα και με υψηλότερο κόστος (αυτός συνήθως δεν είναι στόχος).
Ισως, από όλους τους τομείς των Managed Services, το security συγκεντρώνει τις πιθανότητες να πετύχει τον ιδανικό συνδυασμό «καλύτερα – φθηνότερα». Ο λόγος είναι κυρίως το ανθρώπινο δυναμικό. Σύμφωνα με την Gartner, ο τομέας του security εμφανίζει σήμερα τις περισσότερες δυσκολίες στην εύρεση εξειδικευμένου προσωπικού. Σε έρευνα που έγινε για λογαριασμό της Symantec τον Ιανουάριο του 2009 με δείγμα από 6 χώρες, το 57% των ερωτηθέντων απάντησε ότι η σωστή υποστήριξη των συστημάτων ασφαλείας γίνεται ολοένα δυσκολότερη λόγω έλλειψης του κατάλληλου ανθρώπινου δυναμικού.
Παράλληλα, η εξέλιξη των διαφόρων τύπων απειλών είναι τόσο ραγδαία που σχεδόν καθιστά απαραίτητη την παρουσία παρατηρητών όλο το 24ωρο κάθε μέρα. Στην προαναφερόμενη έρευνα, το 61% των ερωτηθέντων απάντησε ότι κάθε χρόνο οι απειλές είναι αυξανόμενες. Οπότε, μια εταιρεία που θέλει πραγματικά να προστατέψει τα δεδομένα της, όπως μια τράπεζα για παράδειγμα, θα πρέπει να έχει τρεις βάρδιες ακριβοπληρωμένου προσωπικού.
Ανάλογο, αν και χαμηλότερο, είναι το κόστος συντήρησης των συστημάτων προστασίας. Η εγκατάσταση ενός firewall ή ενός προστατευτικού από ιούς είναι άσκοπη, αν τα συστήματα αυτά δεν ενημερώνονται για τις πιο σύγχρονες απειλές και με τις τελευταίες εκδόσεις λογισμικού που καλύπτει τα δικά τους κενά ασφάλειας.
Από το security management στο security monitoring
Αν θέλαμε να παρομοιάσουμε τα δύο στάδια, τότε το πρώτο στάδιο θα αντιστοιχούσε στην προετοιμασία των αμυντικών μηχανισμών, τη στρατηγική άμυνας και την ανάθεση ρόλων σε πολεμιστές και άμαχους, ενώ το δεύτερο στάδιο θα ήταν η δημιουργία ενός δικτύου παρατηρητών εκτός των τειχών που δίνει το σήμα για την επερχόμενη απειλή.
Στη γλώσσα της ασφάλειας των πληροφοριακών συστημάτων, το πρώτο στάδιο περιλαμβάνει το Fault Management, δηλαδή τον έλεγχο των συσκευών ασφάλειας, το Configuration Management, δηλαδή την παραμετροποίηση των συστημάτων βάσει της πολιτικής ασφάλειας και το Perfomance Management, δηλαδή πόσο ομαλά λειτουργεί το σύστημα ασφάλειας και σε τι βαθμό επηρεάζει τις επιδόσεις του εταιρικού δικτύου.
Το στάδιο του security management απαιτεί εγρήγορση, αλλά όχι στο βαθμό του security monitoring, όπου υπάρχει ανάγκη για επαγρύπνηση, καθώς ο «εχθρός» μπορεί να χτυπήσει κάθε στιγμή. Πρακτικά, για αυτό το στάδιο αξίζει κυρίως να πληρώσετε έναν πάροχο Managed Security Services. Στην πρόσφατη έρευνα της Symantec, το 65% των ερωτηθέντων απάντησε ότι ο βασικός λόγος για outsourcing του IT security είναι η 24 x 7 υποστήριξη, ο δεύτερος σημαντικός λόγος, με 55% ήταν η μείωση του συνολικού κόστους και ο τρίτος, με 53%, η πρόσβαση σε εξειδικευμένη γνώση.
Μεταξύ αυτών που πρέπει να κάνει ο MSSP (Managed Security Service Provider) για να σας προστατέψει είναι η αδιάλειπτη συλλογή δεδομένων από όλες τις συσκευές ασφάλειας και η διαμόρφωσή τους σε μια κοινή μορφή, ώστε να είναι διαθέσιμες σε ένα σύστημα data mining. Ο ίδιος αναλαμβάνει στη συνέχεια το data mining, ώστε να διαχωρίσει τα «ύποπτα» δεδομένα, από το σύνολο των δεδομένων που διακινείται στο δίκτυο της εταιρείας. Αυτό είναι ίσως και το κρισιμότερο σημείο του security monitoring.
Η εμπειρία και η γνώση που έχει αποθηκεύσει ο MSSP στο data mining σύστημα που χρησιμοποιεί, συντελεί στον ακριβέστερο και άρα αποτελεσματικότερο εντοπισμό των απειλών. Τα βήματα που ακολουθούν έχουν στόχο τη δημιουργία ενός report, το οποίο δημιουργείται κατόπιν αξιολόγησης των αποτελεσμάτων του data mining από αναλυτές. Σε αυτό το report βασίζονται οι δράσεις που θα κάνει στη συνέχεια η εταιρεία.
Αυτές μπορεί να είναι προς τους χρήστες, όπως ένα email notification ή ίσως και voice notification, αν η κατάσταση είναι πολύ κρίσιμη. Ή να έχουν ως στόχο την αλλαγή της παραμετροποίησης συστημάτων, ώστε να κλείσουν κάποιες «πόρτες» που κάνουν το σύστημα ευάλωτο σε απειλές.
Security as a Service: Εναλλακτική με περιορισμούς
Το Security as a Service, το Managed Security και το Security in the Cloud είναι τρεις διαφορετικοί μηχανισμοί για την εξ’ αποστάσεως παροχή υπηρεσιών security. Μια από τις ομοιότητες των τριών μηχανισμών είναι ότι μειώνουν (Managed Security) ή και μηδενίζουν (SaaS και Security in the Cloud) τις επενδύσεις παγίων μεταφέροντας το βάρος από το CAPEX στο OPEX.
Οι διαφορές, ωστόσο, είναι πολύ περισσότερες. Ο μηχανισμός SaaS δεν είναι εφαρμόσιμος σε λειτουργίες που βασίζονται σε Intrusion/Detection Systems, Firewalls, Network Antispyware/Antivirus και γενικά σε λειτουργίες που απαιτούν πρόσβαση στη ροή δεδομένων του εταιρικού δικτύου. Επίσης, δεν είναι εφαρμόσιμος σε λειτουργίες που απαιτούν μεταφορά μεγάλου όγκου δεδομένων και συσχετισμούς σε σχεδόν πραγματικό χρόνο, όπως για παράδειγμα συμβαίνει με το Security Event Management.
Τέλος, οι λειτουργίες Network Behavioral Analysis, Network Access Control, Content Monitoring & Filtering, οι οποίες απαιτούν πολλαπλές πολιτικές ασφάλειας μέσα στην ίδια εταιρεία και επαρκή πρόσβαση σε δεδομένα, ώστε να λειτουργήσουν σωστά, θα δημιουργούσαν περισσότερα προβλήματα ασφάλειας από όσα θα έλυναν, μέσω ενός μηχανισμού SaaS.
Σύμφωνα με την Gartner, υπηρεσίες που μπορούν να είναι διαθέσιμες μέσω του μηχανισμού SaaS και αναμένεται να γνωρίσουν σημαντική ανάπτυξη τα ερχόμενα χρόνια είναι οι Message Security, Remote Vulnerability Assessment, Security Information/Log Management, Security Intelligence, Authentication, Endpoint Security, Host Vulnerability Assessment και Distributed Denial of Service.
Εξ αυτών περισσότερο ευνοημένες αναμένεται να είναι οι υπηρεσίες Message Security και Security Intelligence, οι οποίες, σύμφωνα με τις προβλέψεις της Gartner, θα γνωρίσουν ανάπτυξη 70% και 80% αντίστοιχα μέχρι και το 2013.
Παρά την κρίση αυξάνονται οι παγκόσμιες επενδύσεις σε ΙΤ security
Τόσο η Gartner όσο και η IDC, αν και διαφωνούν στα ποσοστά, συμφωνούν ότι η οικονομική κρίση έχει επιβραδύνει τις επενδύσεις σε τεχνολογίες Πληροφορικής και η τάση αυτή αναμένεται να συνεχιστεί και μέσα στο 2009. Ωστόσο, οι επενδύσεις που αφορούν θέματα ασφάλειας, θα ακολουθήσουν ανοδική πορεία, σύμφωνα με τις προβλέψεις των δύο εταιρειών.
Πρόσφατη έρευνα που έγινε για λογαριασμό της CompTIA (Computer Technology Industry Association) αναφέρει ότι το 45% των εταιρειών στις Η.Π.Α. με περισσότερους από 500 εργαζόμενους θα αυξήσουν τις επενδύσεις τους σε IT security το 2009, ενώ το 52% θα έχει ένα προϋπολογισμό στα ίδια επίπεδα με το 2008. Στην Ινδία και την Κίνα, τα ποσοστά των εταιρειών που σκέφτονται να αυξήσουν τις επενδύσεις σε IT security είναι ακόμα υψηλότερα.
Ο Tim Herbert, υπεύθυνος για τη συγκεκριμένη έρευνα αναφέρει ότι «οι ιοί, τα worms και το spyware βρέθηκαν στην κορυφή των θεμάτων ασφάλειας το 2008, αλλά αυτό αναμένεται να αλλάξει, καθώς οι εργαζόμενοι χρησιμοποιούν περισσότερο smartphones, notebooks και επισκέπτονται social networking sites. Οι υπεύθυνοι ασφάλειας θα πρέπει να δείξουν μεγαλύτερη προσοχή στην περιμετρική ασφάλεια».
Στη χώρα μας η δράση e-security, η οποία εντάχθηκε στο σύνολο δράσεων Ψηφιακής Ασφάλειας, έχει πλέον ολοκληρώσει το στάδιο της κατάθεσης προτάσεων και μάλιστα με μεγάλη ανταπόκριση, καθώς σε όλες τις περιφέρειες υπήρξε υπερκάλυψη του διαθέσιμου προϋπολογισμού των 10,5 εκατ. ευρώ. Στο πλαίσιο της δράσης, οι επιλέξιμες δαπάνες αφορούσαν την προμήθεια υλικού και λογισμικού, καθώς και υπηρεσίες συντήρησης των ανωτέρω.
Ως εκ τούτου, μια εταιρεία έχει τη δυνατότητα να προμηθευτεί Firewalls, Intrusion/Detection/Protection Systems, εξοπλισμό backup και ελέγχου πρόσβασης χώρου, λογισμικό προστασίας από ιούς και συμβουλευτικές υπηρεσίες στην πολιτική ασφάλειας, αλλά δεν έχει τη δυνατότητα να προμηθευτεί Managed Services.
Επομένως, το αποτέλεσμα της δράσης ναι μεν θα είναι να βελτιωθεί το επίπεδο ασφάλειας των ελληνικών εταιρειών, οι οποίες όμως θα διαπιστώσουν ότι για να διατηρήσουν αποτελεσματική την ασφάλειά τους, θα πρέπει να δαπανήσουν χρόνο και χρήμα σε εξειδικευμένο προσωπικό. Και το ερώτημα είναι αν θα το κάνουν ή θα αρκεστούν στα alerts και automated updates του εξοπλισμού που αγόρασαν;
In numbers
- Το 2008, το 28% των επιθέσεων που στόχευαν στην περιοχή EMEA, προέρχονταν από τις Η.Π.Α. Το ποσοστό αυτό είναι αυξημένο 6% σε σχέση με το 2007. Στη 2η θέση είναι η Κίνα με 14%.
- Μόλις 0,04 δολάρια κοστίζει πλέον στo underground market η διεύθυνση ενός PC με bot, ενώ το 2007 η τιμή ήταν κοντά στο 1 δολάριο. Τα PCs με bots χρησιμοποιούνται ως αφετηρία για διάφορους τύπους επιθέσεων.
- To 20% των υπολογιστών που ελέγχουν bots στην περιοχή της EMEA βρίσκεται στη Ρωσία. Ακολουθεί η Γερμανία με 15%.
- Οι εφαρμογές που χρησιμοποιήθηκαν περισσότερο το 2008 ως πύλες επιθέσεων ήταν της Adobe.
- Το 31% των web based επιθέσεων το 2008 έγιναν από την Ουκρανία, ενώ ακολουθεί η Ολλανδία με 19% και η Ρωσία με 13%.
- Ρωσία και Τουρκία στέλνουν το περισσότερο spam στο EMEA με ποσοστά 14% και 13% αντίστοιχα.
- To 76% των επιθέσεων που έγιναν το 2008 είχε ως στόχο το οικονομικό όφελος.
- Το 2008 προϊόν με τη μεγαλύτερη ζήτηση στην underground αγορά είναι στοιχεία πιστωτικών καρτών.