• Σήμερα είναι: Τρίτη, 1 Δεκεμβρίου, 2020

Η ασφάλεια των πληροφοριών: Πέρα από τις δοκιμές παρείσδυσης και τις πιστοποιήσεις στην ασφάλεια, Ari Davies

Ari Davies

Senior manager, Cyber risk services Deloitte

Πλέον τα λειτουργικά συστήματα και οι εφαρμογές σχεδιάζονται έτσι ώστε να είναι όλο και πιο ασφαλή. Με τον τρόπο αυτό η περιφρούρηση της ασφάλειας απομακρύνεται σταδιακά από το μηχανογραφικό κέντρο, καθώς δεν προσφέρει ιδιαίτερο όφελος να συνεχίζουμε να εστιάζουμε στα θέματα ασφαλείας αποκλειστικά από τη σκοπιά των τεχνικών μέτρων.

Ως εκ τούτου, είναι σημαντικό να διαχωρίσουμε τις έννοιες Ασφάλεια Πληροφοριακών Συστημάτων (IT Security) και Ασφάλεια Πληροφοριών (Information Security). Αδιαμφισβήτητα, το πραγματικό πεδίο ενδιαφέροντος είναι η ασφάλεια πληροφοριών, καθώς η πληροφορία είναι αυτή που εμπεριέχει ουσιαστική αξία.

Για να επιτύχουμε, λοιπόν, πραγματική ασφάλεια πληροφοριών, πρέπει να χρησιμοποιήσουμε μια τρισδιάστατη προσέγγιση, η οποία περιλαμβάνει όχι μόνο την τεχνολογική υποδομή αλλά, επίσης, τον ανθρώπινο παράγοντα και το φυσικό περιβάλλον.

Οι καλά σχεδιασμένες επιθέσεις στοχεύουν ακόμα και έξω από το παραδοσιακό πλαίσιο του κυβερνοχώρου προκειμένου να εντοπίσουν αδυναμίες που θα οδηγήσουν σε εταιρικές πληροφορίες. Οι αδυναμίες αυτές συχνά δεν εντοπίζονται κατά τη διάρκεια των συνηθισμένων ελέγχων και δοκιμών ασφαλείας. Για τον λόγο αυτό, στη Deloitte σχεδιάσαμε την προσέγγιση «Covert Operations» ως έναν καινοτόμο συνδυασμό της μεθόδου επιθετικών δοκιμών παρείσδυσης «red teaming» και των αιφνιδιαστικών αξιολογήσεων ωριμότητας των δικλίδων ασφαλείας.

Σκοπός της υπηρεσίας αυτής είναι να βοηθήσουμε στην αξιολόγηση του βαθμού ετοιμότητας και της ευαισθητοποίησης των οργανισμών απέναντι στις κυβερνοεπιθέσεις, μέσα από την πραγματοποίηση στοχευμένων επιθέσεων βασισμένων σε προσυμφωνημένα σενάρια. Η προσέγγιση «Covert Operations» παρέχει τη δυνατότητα στους οργανισμούς να εντοπίσουν νέες ευπάθειες και ταυτόχρονα να αξιολογήσουν την ικανότητά τους να αντιμετωπίσουν πραγματικά περιστατικά επιθέσεων. Επιπλέον, μέσα από τη διαδικασία αυτή είναι δυνατό να βελτιωθεί η ευαισθητοποίηση τόσο της διοίκησης όσο και των εργαζομένων απέναντι στις απειλές που προέρχονται από τον κυβερνοχώρο, καθώς τους δίνεται η δυνατότητα να δουν στην πράξη πώς εκδηλώνονται οι κίνδυνοι που μέχρι εκείνη τη στιγμή αντιμετωπίζονταν σε θεωρητικό μόνο επίπεδο.

Οι τρελοί και οι καινοτόμοι!

Η δουλειά των επικεφαλής Ασφαλείας των Πληροφοριών και των εσωτερικών ελεγκτών είναι να ενημερώνονται συνεχώς για τις εξελίξεις στον τομέα της ασφάλειας και να προωθούν τους στόχους της ασφάλειας στους οργανισμούς. Προκειμένου να είναι κάποιος επιτυχημένος σε αυτό το επάγγελμα, πρέπει να είναι καινοτόμος και η καινοτομία συνεπάγεται ότι πρέπει να βρισκόμαστε πάντα μπροστά από τις εξελίξεις.

Θα ήθελα πάρα πολύ να προσποιηθώ ότι η ιδέα πίσω από το «Covert Operations» ήταν δική μου, αλλά αυτό θα ήταν ψέμα. Όταν γύρω στο 2006 ξεκίνησα, φυσικά με τη βοήθεια πολλών άλλων, να σχηματίζω την ιδέα που σήμερα έχει μετεξελιχθεί σε αυτό που ονομάζουμε «Covert Operations», πάρα πολλοί –αλλά όχι όλοι– με θεωρούσαν τρελό. Αυτό σήμαινε είτε ότι ήμουν πραγματικά τρελός είτε ότι η πρωτοβουλία αυτή ήταν καινοτόμα και είχα καταφέρει να έχω κάτι στα χέρια μου που με τοποθετούσε μπροστά από τις εξελίξεις.

«Υπάρχει μόνο μια διαφορά ανάμεσα σε εμένα και έναν τρελό. Ο τρελός νομίζει ότι είναι λογικός. Εγώ ξέρω ότι είμαι τρελός» (Σαλβαδόρ Νταλί).

Ιστορικό

Στις αρχές της δεκαετίας του 2000 η μέθοδος της «κοινωνικής μηχανικής» (social engineering) βρισκόταν σε πολύ αρχικό στάδιο. Ωστόσο, εκείνο το διάστημα είχα την ευκαιρία να εργάζομαι για έναν οργανισμό που διοικούνταν από νέους ανθρώπους, οι οποίοι ήταν διατεθειμένοι να ρισκάρουν. Συνεπώς, οι δοκιμές ασφάλειας με τη μέθοδο της «κοινωνικής μηχανικής» ήταν μια υπηρεσία που μας διαφοροποιούσε σημαντικά από τον ανταγωνισμό και φυσικά αποτελούσε ένα σημαντικό όπλο στη φαρέτρα της ομάδας πωλήσεων. Πολλοί από τους «κοινωνικούς μηχανικούς» ξεκίνησαν την καριέρα τους από αυτήν την εταιρεία στο Ηνωμένο Βασίλειο, ενώ στη συνέχεια εργάστηκαν σε πολλές άλλες χώρες ανά τον κόσμο.

Κατά τη διάρκεια του 2010 και του 2011 το «phishing» είχε αρχίσει να έρχεται στο προσκήνιο. Οι οργανισμοί άρχισαν να ζητούν επίμονα τη διεξαγωγή δοκιμών ασφαλείας με τη μέθοδο του «phishing», γεγονός που για μένα αποτελούσε τον προάγγελο για τη δημιουργία ακόμα πιο ρεαλιστικών μεθόδων αξιολόγησης της ασφάλειας στον κυβερνοχώρο. Οι δοκιμές ασφαλείας με τη μέθοδο του «phishing» μέσα σε λίγα χρόνια εξελίχθηκαν σταδιακά από μια άγνωστη έννοια σε μια καινοτόμα ιδέα, για να φτάσουν σήμερα να θεωρούνται καθιερωμένες στο εξωτερικό. Η μέθοδος του «phishing» αποτελεί σήμερα ένα από τα βασικά αλλά και πιο διασκεδαστικά συστατικά των «Covert Operations».

Τι είναι λοιπόν η υπηρεσία «Covert Operations»;

Με την πάροδο του χρόνου και την αύξηση των αντισυμβατικών τεχνικών επίθεσης, αναδείχθηκε η σημασία που έχει ο συνυπολογισμός όλων των παραγόντων που προαπαιτούνται για την ασφάλεια, καθώς και η σταδιακή απαγκίστρωση από την ιδέα ότι η ασφάλεια πληροφοριών επιτυγχάνεται μόνο με τη χρήση όλο και περισσότερων τεχνικών προστατευτικών μέσων. Η προσθήκη ενός ακόμα τείχους προστασίας (firewall) δεν αποτελεί πανάκεια. Η φυσική ασφάλεια και ο ανθρώπινος παράγοντας αναδείχθηκαν σε εξίσου βασικά συστατικά προκειμένου να επιτευχθεί μια ολιστική και τρισδιάστατη θεώρηση της ασφάλειας πληροφοριών.

Η βασική ιδέα πίσω από την υπηρεσία «Covert Operations» βασίζεται σε δυο άξονες:

Από τη μια, αποτελεί μια προσπάθεια να συνδυαστούν όλες οι πτυχές της ασφάλειας (φυσική ασφάλεια, ανθρώπινος παράγοντας και κυβερνοχώρος), με βασικό στόχο την παροχή στον εκάστοτε οργανισμό μιας ρεαλιστικής εκτίμησης σχετικά με τα επίπεδα της ασφάλειάς του.

Από την άλλη, αποτελεί μια αποτελεσματική μέθοδο αξιολόγησης όχι μόνο του επιπέδου ασφαλείας των υφισταμένων δικλίδων ασφαλείας του εκάστοτε οργανισμού αλλά και του τρόπου με τον οποίο οι διάφορες ομάδες και τα τμήματά του θα ανταποκριθούν και θα αντιδράσουν σε «ελεγχόμενα περιστατικά παραβίασης της ασφάλειας» που θα λάβουν χώρα με τη μορφή αιφνιδιαστικών ελέγχων.

Ένα τυπικό έργο «Covert Operations» ξεκινά με ένα απλό ερώτημα: «Ποια είναι τα ζωτικά για τη λειτουργία του οργανισμού δεδομένα, τα οποία αν παραβιαστούν θα θέσουν άμεσα σε κίνδυνο τη λειτουργία του;» Αφότου αποκτήσουμε μια σαφή εικόνα των απειλών, των παραγόντων κινδύνου και του επιπέδου ωριμότητας του οργανισμού, σχεδιάζουμε μια σειρά σεναρίων με απειλές, βασιζόμενοι στις ανάγκες του οργανισμού όσον αφορά τη φυσική του υπόσταση, την παρουσία του στον κυβερνοχώρο αλλά και τον ανθρώπινο παράγοντα.

Ασφάλεια κυβερνοχώρου
(Cyber Security)

Οι περισσότεροι από τους επαγγελματίες ασφάλειας πληροφοριών αισθάνονται πιο άνετα όταν αναφέρονται σε αυτόν τον τομέα, καθώς συνήθως αποτελεί τον τομέα εξειδίκευσής τους. Η ασφάλεια του κυβερνοχώρου περιλαμβάνει τον ψηφιακό κόσμο, το Διαδίκτυο καθώς και εσωτερικά εταιρικά δίκτυα ή άλλα δίκτυα υπολογιστικών συστημάτων. Αποτελεί τον τομέα στον οποίο επικεντρώνονται οι περισσότερες συζητήσεις σχετικά με την ασφάλεια πληροφοριών.

Γνωρίζουμε ότι οι σοβαρότερες κυβερνοεπιθέσεις των τελευταίων χρόνων δεν πραγματοποιήθηκαν μέσω επίθεσης και εκμετάλλευσης αδυναμιών στην εξωτερική ψηφιακή περίμετρο. Οι επιτιθέμενοι είτε παραβίασαν τη φυσική περίμετρο είτε εγκατέστησαν μια φυσική συσκευή παρακολούθησης ή –τις περισσότερες φορές– έστειλαν κακόβουλο λογισμικό μέσω στοχευμένων επιθέσεων παραπλάνησης (spear-phishing attacks).

Ωστόσο, μόλις οι επιτιθέμενοι παραβιάσουν την περίμετρο και βρεθούν στο εσωτερικό του οργανισμού που έχουν στοχεύσει, τι υπάρχει για να τους σταματήσει, να τους αποτρέψει, να τους καθυστερήσει και ιδανικά να τους εντοπίσει;

Φυσική ασφάλεια

Στους περισσότερους οργανισμούς, η φυσική ασφάλεια διαχωρίζεται οργανωτικά από την ασφάλεια πληροφοριών. Παρατηρείται συνήθως ότι υπάρχει ξεχωριστή ομάδα που διαχειρίζεται τη φυσική ασφάλεια, η οποία έχει ελάχιστη ή καθόλου σχέση με την ομάδα ασφαλείας πληροφοριών. Αυτό σημαίνει ότι πολλές φορές υπάρχουν σημαντικές αποκλίσεις και καθυστερήσεις στην επικοινωνία μεταξύ των δύο ομάδων, με αποτέλεσμα η φυσική ασφάλεια να αποτελεί συχνά ένα «τυφλό σημείο» για την ασφάλεια πληροφοριών.

Σε κάθε περίπτωση, θα έπρεπε να ανησυχούμε; Φυσικά! Η πληροφορία έχει υπόσταση και στον υλικό κόσμο και –όπως ξέρουμε– οι επιτιθέμενοι θα ακολουθήσουν πάντοτε τον δρόμο με τη λιγότερη δυνατή αντίσταση.

Ανθρώπινος παράγοντας

Ο ρόλος του ανθρώπινου παράγοντα και η συνεισφορά του στην ασφάλεια πληροφοριών γίνεται πιο ξεκάθαρος όταν προσεγγιστεί από την οπτική του επιτιθέμενου και συγκεκριμένα μέσω της έννοιας της «κοινωνικής μηχανικής». Η εκμετάλλευση των συναισθημάτων και των έμφυτων ανθρώπινων συμπεριφορών προκειμένου να αποκομιστεί ίδιον όφελος έχουν αναχθεί σήμερα σε τέχνη.

Όπως εύστοχα αναφέρει ένας καθηγητής μου: «Γιατί να μπεις στη διαδικασία να επιτεθείς σε ένα υπερπολύπλοκο δίκτυο υπολογιστών, όταν το μόνο που χρειάζεσαι είναι να κεράσεις μερικές μπύρες έναν διαχειριστή συστημάτων στην τοπική παμπ; Κι αν αυτό δε δουλέψει, μπορείς πάντα να τον εκβιάσεις. Με τον έναν ή τον άλλο τρόπο, θα βγάλεις τις πληροφορίες που θες από το κεφάλι του».

Αξίζει να σημειωθεί ότι είναι πολύ πιο εύκολο για έναν επιτιθέμενο να επιχειρήσει μια επίθεση «κοινωνικής μηχανικής» απομακρυσμένα, έχοντας ασφαλή απόσταση, παρά να έρθει σε κατά πρόσωπο συνάντηση με το υποψήφιο «θύμα». Ως εκ τούτου, έχει σημειωθεί σημαντική αύξηση τέτοιου τύπου επιθέσεων, είτε μέσω τηλεφώνου είτε μέσω επιθέσεων «phishing».

Οι υπηρεσίες δοκιμών «κοινωνικής μηχανικής» εξακολουθούν να είναι σημαντικές σήμερα, χωρίς όμως να έχουν αγγίξει το σημείο της «κρίσιμης μάζας» που θα τους επιτρέψει να αυτοτροφοδοτούν τη βιωσιμότητά τους. Αυτό πιθανότατα οφείλεται στις ισχύουσες διατάξεις για την προστασία των προσωπικών δεδομένων, καθώς και στους προβληματισμούς τόσο των οργανισμών όσο και των πωλητών σε θέματα πιθανής διατάραξης της ομαλής επιχειρησιακής λειτουργίας.

Οι νέες τάσεις

Συνεπώς, ποια είναι η τάση που επικρατεί σήμερα στον κλάδο; Τον τελευταίο χρόνο έχω παρατηρήσει μια δραστική αύξηση στην αναζήτηση υποψηφίων «Red Team Leaders» από υπεύθυνους προσλήψεων μεγάλων πολυεθνικών εταιρειών στους τομείς των Χρηματοοικονομικών Υπηρεσιών, της Ενέργειας, των Υπηρεσιών Κοινής Ωφέλειας, καθώς και της Τεχνολογίας, Μέσων Μαζικής Ενημέρωσης και Τηλεπικοινωνιών.

Αυτό είναι λογικό, αφού οι συγκεκριμένοι οργανισμοί ανησυχούν ιδιαίτερα, δεδομένου ότι βρίσκονται στο επίκεντρο των επιθέσεων, με αποτέλεσμα να διαμορφώνουν σταδιακά μια ωριμότητα όσον αφορά τον τρόπο με τον οποίο αντιμετωπίζουν τα θέματα ασφαλείας και ως εκ τούτου να έχουν πολλές πιθανότητες να καταφέρουν να βρεθούν μπροστά από τις εξελίξεις.

Σήμερα στο Ηνωμένο Βασίλειο υπάρχει μια επίσημη πιστοποίηση με τίτλο «Simulated Attack Manager/Specialist», η οποία παρέχεται από τον οργανισμό CREST, έναν αναγνωρισμένο φορέα πιστοποίησης στο Ηνωμένο Βασίλειο με ισχυρούς δεσμούς τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα και ιδιαίτερα στην κοινότητα των επαγγελματιών των υπηρεσιών ασφαλείας. Οι πιστοποιήσεις είναι συνήθως ένας πολύ καλός δείκτης των τάσεων που επικρατούν στον κλάδο και καταδεικνύουν ότι βρισκόμαστε πολύ κοντά στο να αγγίξουμε το σημείο της «κρίσιμης μάζας» που αναφέρθηκε προηγουμένως.

Μια ακόμα κατηγορία υπηρεσιών που βρίσκεται μπροστά από τις εξελίξεις και για την οποία παρατηρούμε αυξημένα επίπεδα ζήτησης και, κατά συνέπεια, ωριμότητας από τις εταιρείες του κλάδου είναι αυτή των υπηρεσιών παροχής πληροφοριών σχετικά με τις απειλές ασφαλείας (threat intelligence). Υπάρχει πλέον πληθώρα εταιρειών που παρέχουν πληροφορίες «threat intelligence» και ο όρος Open Source Intelligence (OSINT) γίνεται σταδιακά ιδιαίτερα δημοφιλής. Οι υπηρεσίες «threat intelligence» αποτελούν, από μια επιχειρησιακή σκοπιά, ένα τμήμα των υπηρεσιών «Covert Operations», αφού καμία λειτουργία δεν μπορεί να πραγματοποιηθεί με επιτυχία αν υπάρχει έλλειψη πραγματικών και έγκυρων πληροφοριών.

Συμπεράσματα

Τόσο η επίτευξη της συμμόρφωσης με τα όσα καθορίζονται από τα πρότυπα και τα πλαίσια σχετικά με την ασφάλεια των πληροφοριών και τη διακυβέρνηση των πληροφοριακών συστημάτων όσο και ο έλεγχος των δικλίδων ασφαλείας βάσει των αξιολογήσεων κινδύνων δεν συνεπάγονται ότι είμαστε προετοιμασμένοι για μια στοχευμένη κυβερνοεπίθεση.

Το πεδίο του κυβερνοχώρου είναι τόσο δυναμικό που μας υποχρεώνει να χρησιμοποιήσουμε πρακτικότερες μεθόδους ώστε να καλύψουμε τα κενά που αφήνουν οι υπάρχουσες δικλίδες ασφαλείας. Με αυτόν τον τρόπο θα έχουμε την ευκαιρία να παρατηρήσουμε τις ενέργειες που ένας εισβολέας θα μπορούσε να πραγματοποιήσει στο περιβάλλον μας. Οι ρεαλιστικές δοκιμές ασφαλείας όχι μόνο αποκαλύπτουν τις ασφαλιστικές δικλίδες που μπορούν να παρακαμφθούν αλλά, επιπλέον, μας επιτρέπουν να καταλάβουμε τον τρόπο με τον οποίο οι ομάδες διαχείρισης συστημάτων, παρακολούθησης των προστατευτικών μηχανισμών και αντιμετώπισης περιστατικών θα αντιδράσουν σε ένα πραγματικό γεγονός παραβίασης της ασφάλειας.

Η κατανόηση του περιβάλλοντός μας, πέραν των απαιτήσεων των προτύπων διακυβέρνησης της ασφάλειας, μας δίνει τη δυνατότητα να βελτιώσουμε τον τρόπο με τον οποίο αντιμετωπίζουμε την ασφάλεια και να πραγματοποιήσουμε μια ρεαλιστική αξιολόγηση του οργανισμού μας βάσει των πραγματικών απαιτήσεων του εσωτερικού ελέγχου.

Είναι αλήθεια ότι απλά και μόνο στο άκουσμα των υπηρεσιών «Covert Operations» μπορεί να αισθανόμαστε μια σύγχυση, που προκύπτει από την περιπλοκότητα του όρου. Ωστόσο, η κατανόηση του κυβερνοχώρου και του τρόπου με τον οποίο αυτός εξελίσσεται αποτελεί βασική προϋπόθεση ώστε να μπορέσουμε να καταλάβουμε τη σημασία που έχει για την ασφάλεια του εκάστοτε οργανισμού η διαφοροποίηση από τα καθιερωμένα και η υιοθέτηση νέων μεθόδων ελέγχου της ασφάλειας.

Ως επαγγελματίες της ασφάλειας, για να το πετύχουμε αυτό θα πρέπει να εργαστούμε σκληρά, να είμαστε συγκεντρωμένοι στον στόχο, να αποδείξουμε την «τρέλα» μας και να είμαστε ένα βήμα μπροστά από τις εξελίξεις, έτοιμοι να συμπαρασύρουμε τους συναδέλφους μας, τον κλάδο μας και, γιατί όχι, τους ανταγωνιστές μας προς αυτήν την κατεύθυνση.