Σε μια πρόσφατη συζήτηση με στέλεχος εταιρείας κατασκευής λογισμικού ασφάλειας, είχαμε ρωτήσει τον συνομιλητή αν βλέπει κάποια στιγμή στο μέλλον οι δυνάμεις του «καλού» να νικήσουν τις δυνάμεις του «κακού» και να υπάρξει ειρήνη. «Δεν πιστεύω ότι η μάχη αυτή θα σταματήσει ποτέ. Και εκτός αυτού προσωρινά είμαστε και ένα βήμα πίσω», ήταν η απάντησή του. Οι εταιρείες σε όλον τον κόσμο είναι φοβισμένες για την ασφάλεια των δεδομένων τους και όπως δείχνουν τα στοιχεία αρκετών ερευνών, καλά κάνουν.

Σύμφωνα με την έρευνα 2010 State of Enterprise Security, η οποία έγινε για λογαριασμό της Symantec, από τις μεγαλύτερες εταιρείες στο χώρο της ασφάλειας πληροφοριακών συστημάτων, το 42% των οργανισμών που ρωτήθηκαν, αξιολογούν την ασφάλεια ως κύριο ζήτημα που τους απασχολεί.

Η ανησυχία είναι δικαιολογημένη, καθώς το 75% των οργανισμών που ρωτήθηκαν αντιμετώπισαν επιθέσεις στα πληροφοριακά τους συστήματα τους τελευταίους 12 μήνες. Αν συνυπολογίσουμε ότι κατά μέσο όρο το κόστος των επιθέσεων ανήλθε στα 2 εκατ. δολάρια το χρόνο, τότε γίνεται κατανοητό ότι τα «παιχνίδια» κάποιων δεν είναι πλέον άκακα και ίσως να μην είναι καν παιχνίδια.

Αρκετές είναι οι αναφορές στο Διαδίκτυο για άτομα και εταιρείες που καλοπροαίρετα εντοπίζουν προβλήματα σε κώδικα λογισμικού και κάνουν αναφορές στους κατασκευαστές για την επίλυσή τους. Ωστόσο, μια πρόσφατη περίπτωση με κάποιο λογισμικό της Adobe δείχνει ότι οι προθέσεις δεν είναι πάντα καλοπροαίρετες. Η εταιρεία που ανακάλυψε τις ατέλειες στην ασφάλεια του λογισμικού ζήτησε από την Adobe ένα σημαντικό ποσό για να της πει πού βρίσκονται, δεδομένου ότι οι μηχανικοί της εταιρείας δεν είχαν καταφέρει να τις εντοπίσουν μόνοι τους.

Παράλληλα, με τον ίδιο τρόπο που η οικονομική κρίση ευνοεί την κοινωνική βία, δημιουργεί ανάλογες προϋποθέσεις για την ανάπτυξη του κυβερνοεγκλήματος. Δεν είναι μόνο ότι κάποιοι εργαζόμενοι είναι κάπως θυμωμένοι όταν απολύονται από τις εταιρείες τους, ούτε ότι κάποιοι υποβαθμισμένοι ευφυείς ψάχνουν μια διέξοδο να πλουτίσουν, είναι και ότι οι εταιρείες περικόπτουν προσωπικό και από το χώρο του IT security. Οι τομείς που δείχνουν πιο ευάλωτοι είναι η ασφάλεια δικτύου με 44%, η ασφάλεια τερματικών επίσης με 44% και η ασφάλεια του Instant Messaging με 39%.

Επιπλέον, στο πλαίσιο μείωσης του κόστους λειτουργίας, οι εταιρείες στρέφονται περισσότερο σε as a Service και virtualization μοντέλα λειτουργίας. Αυτό σημαίνει ότι τα δεδομένα είναι πιθανό να βρίσκονται σε περισσότερους από ένα φυσικούς χώρους.

Τέλος, η συμμόρφωση στον τομέα του IT αποτελεί επίσης μία μεγάλη δέσμευση. Οι μεγάλες επιχειρήσεις στην πλειονότητά τους εξετάζουν 19 διαφορετικά IT στάνταρτ ή πλαίσια εντός των οποίων πρέπει να λειτουργούν, ενώ αυτή την στιγμή λειτουργούν με 8 μόνο από αυτά. Τα βασικά στάνταρτ περιλαμβάνουν τα ISO, HIPAA, Sarbanes-Oxley, CIS, PCI, και ITIL.


Ενας για όλους και όλοι για έναν
Η ασφάλεια ενός συστήματος κρίνεται από την αποτελεσματικότητα και τη διαφάνεια της. Οπως συνηθίζουν να λένε τα στελέχη του IT, ο ασφαλέστερος υπολογιστής βρίσκεται σε ένα υπόγειο χωρίς ρεύμα και χωρίς πρόσβαση στο δίκτυο. Μόνο που κανένας δεν έχει νόημα να τον χρησιμοποιήσει, εκτός από τα ποντίκια και τις κατσαρίδες για φωλιά.

Μια από τις συχνότερες ανησυχίες των Security Managers είναι το «βάρος» του λογισμικού που θα χρησιμοποιήσουν. Παρά το γεγονός ότι το λογισμικό έχει μάζα, δεν είναι αυτή που ανησυχεί τους managers για το βάρος του. Περισσότερο ανησυχούν για τους πόρους που απορροφά από το σύστημα που έχει διαταχθεί να φυλάξει.

Οι κατασκευαστές λογισμικού έχουν ανάγει σε βασική τους προτεραιότητα τον τελευταίο καιρό να ενημερώνουν τους πελάτες τους για το πόσο «ελαφρύ» είναι το λογισμικό τους, δηλαδή τι πόρους απορροφά κυρίως, από τη μνήμη και τη CPU του υπολογιστή.  Ομως δεν είναι μόνο αυτός ο κρίσιμος παράγοντας. Σίγουρα αρκετοί έχουμε βρεθεί σε παρουσιάσεις και έχουμε διαπιστώσει ότι είναι συνηθισμένο το φαινόμενο του pop up παραθύρου ενός προγράμματος προστασίας, το οποίο κάνει τον παρουσιαστή να αισθανθεί αμήχανα. Επίσης, αν παίζετε παιχνίδια σε υπολογιστή ξέρετε πόσο εκνευριστικό είναι την ώρα που έχετε σημαδέψει το τέρας, ένα pop up παράθυρο να γονατίζει τις επιδόσεις του υπολογιστή σας και να γίνεστε θύμα από θύτης.

Και τα δύο ζητήματα έχουν να κάνουν με τη διαφάνεια του λογισμικού ασφάλειας και εν τέλει με την εξυπνάδα που ενσωματώνει και του επιτρέπει να ξέρει πότε πραγματικά πρέπει να σας ενοχλήσει για κάτι που θεωρεί σοβαρό. Τέλος, αλλά ίσως και πιο σημαντικό, η αποτελεσματικότητα ενός λογισμικού ασφάλειας στηρίζεται στην ενημέρωσή του. Καθημερινά, κάνουν την εμφάνισή τους εκατοντάδες νέες απειλές σε μορφή ιών, malware, trojan κ.λπ. Επομένως, ένα σύστημα που δεν ενημερώνεται καθημερινά δεν μπορεί να αντιμετωπίσει τις απειλές.

Δυστυχώς πλέον, ακόμα και η καθημερινή ενημέρωση μπορεί να μην είναι αρκετή. Οπως γράψαμε και στην εισαγωγή οι «κακοί» βρίσκονται ένα βήμα μπροστά. Από την στιγμή που τα κεντρικά συστήματα των κατασκευαστών λογισμικού ασφάλειας θα εντοπίσουν μια νέα απειλή μέχρι και την στιγμή που η απειλή αυτή θα έχει ενσωματωθεί στο σύστημα προστασίας των υπολογιστών της εταιρείας, μπορεί κάποιος εργαζόμενος να έχει κάνει τη λάθος κίνηση και να μολύνει το PC και από εκεί άλλα PC του δικτύου.

Ετσι δημιουργείται η ανάγκη για ένα λογισμικό ασφάλειας που πρακτικά θα μπορεί να βλέπει μια απειλή σχεδόν την στιγμή που αυτή αρχίζει να δημιουργείται. Μια λύση είναι το σύστημα να απορρίπτει οτιδήποτε θεωρεί άγνωστο ως επικίνδυνο. Ομως η λύση αυτή προσκρούει στη διαφάνεια που προαναφέραμε. Μια άλλη λύση είναι το λογισμικό να αντιλαμβάνεται το «αεράκι που προηγείται της καταιγίδας».

Η ιδέα χρήσης της συλλογικής ευφυΐας για την αντιμετώπιση απειλών δεν είναι καθόλου καινούργια και χρησιμοποιείται πολύ επιτυχημένα από τις μυστικές υπηρεσίες των κρατών, αλλά και από εξελιγμένα συστήματα χρηματιστηριακών εταιρειών.

Στον τομέα της ασφάλειας, η συλλογική ευφυΐα αφορά ένα εργαλείο αξιολόγησης της αξιοπιστίας ενός λογισμικού πριν αυτό περάσει την πόρτα της εταιρείας σας. Ας υποθέσουμε ότι έχετε βγει για ένα ποτό και στην είσοδο του μαγαζιού υπάρχει ο γνωστός πορτιέρης. Η δουλειά του είναι να σας «κόψει», δηλαδή να προσλάβει ερεθίσματα από τις αισθήσεις του και το ένστικτό του, να επεξεργαστεί τις πληροφορίες μέσα σε κάποιο πλαίσιο που του έχει θέσει το μαγαζί (όχι πάντα εύκολο για τους πορτιέρηδες) και τελικά να σας δώσει την άδεια να περάσετε ή να σας το απαγορέψει.

Τώρα φανταστείτε τον πορτιέρη να αξιοποιεί την αντίληψη που έχουν δημιουργήσει για εσάς όλοι οι πορτιέρηδες του κόσμου και να λαμβάνει την απόφασή του βάσει αυτής της συλλογικής εμπειρίας. Σε γενικές γραμμές έτσι λειτουργεί η τεχνολογία Reputation based Security, η οποία αξιοποιεί τη γνώση του πλήθους για να αποφασίσει εάν ένα λογισμικό είναι καλό ή κακό και μπορεί να περάσει την πόρτα της εταιρείας. Το PC του κάθε χρήστη στέλνει τις δικές του «εμπειρίες» σε μια κεντρική βάση δεδομένων και στη συνέχεια ένα πρόγραμμα ανάλυσης βασιζόμενο σε αυτές τις εμπειρίες αποφασίζει για την επικινδυνότητα του «ύποπτου» λογισμικού.


Security as a Service και δωρεάν Security
Στο γενικότερο πλαίσιο του as a Service, το endpoint security δηλώνει το «παρών». Υπάρχει μια σαφής διαχωριστική γραμμή ανάμεσα στα Managed Security Services και στο Security As A Service. Το πρώτο μοντέλο, συνήθως, αφαιρεί από τα χέρια της εταιρείας όλο τον έλεγχο της ασφάλειας των συστημάτων και του επιτρέπει να ορίζει μόνο την πολιτική ασφάλειας, ενώ ακόμα και σε αυτήν ο εξωτερικός manager μπορεί να έχει λόγο υπό μορφή προτάσεων ή συμβουλών. Στο μοντέλο Security as a Service, ο Security Manager έχει τον έλεγχο της πολιτικής του και μπορεί να είναι υπεύθυνος για την αναβάθμιση και ενημέρωση των συστημάτων του.

Τα οφέλη του Security as a Service πηγάζουν συνήθως από το κόστος των αδειών χρήσης, τη μείωση χρήσης πόρων σε τοπικά συστήματα και τέλος στο γεγονός ότι το κέντρο ασφάλειας βρίσκεται πιο κοντά στους «ειδικούς» και άρα ενημερώνεται ταχύτερα για τις νέες απειλές.

Στη λίστα επιλογών των επιχειρήσεων υπάρχουν, τυπικά ή άτυπα, κάποιες δωρεάν λύσεις endpoint security, όπως το avast και πρόσφατα το Security Essentials της Microsoft, το οποίο πλέον είναι διαθέσιμο και για την Ελλάδα. Αν και οι δύο λύσεις προτείνονται από τους κατασκευαστές τους ως consumer security products, το χάσμα ανάμεσα σε μια μικρή επιχείρηση και σε έναν καταναλωτή δεν είναι μεγάλο. Το λογισμικό της Microsoft εφαρμόζει σε ένα βαθμό τη λογική της συλλογικής ευφυΐας, καθώς με την εγκατάστασή του, εντάσσει αυτόματα το PC στην κοινότητα Microsoft Spynet, η οποία στέλνει στην εταιρεία πληροφορίες σχετικά με απειλές που δέχτηκε το PC και πώς τις αντιμετώπισε.

Τα ερωτήματα, όσον αφορά το λογισμικό της Microsoft είναι αν θα πυροδοτήσει παρόμοιες ενέργειες από άλλους μεγάλους κατασκευαστές και με ποιο τρόπο η εταιρεία θα μπορεί να αποδείξει εάν το λογισμικό της χρησιμοποιείται παράνομα από μια επιχείρηση, η οποία έχει άδειες χρήσεις των Windows. Πρακτικά, το μόνο εμπόδιο για μια επιχείρηση, είναι η άδεια χρήσης του προϊόντος, η οποία διευκρινίζει ότι αυτό απευθύνεται σε οικιακούς υπολογιστές.