ISC2 Hellenic Chapter March 2017

1. Cyber Security
Expect the Unexpected
Christakis Topakas
Information Security Executive

2. Βασική διαπίστωση: οι πληροφοριακοί πόροι δηλαδή τα
πληροφοριακά συστήματα και τα δεδομένα τους, βρίσκονται
συνεχώς υπό καθεστώς κινδύνου.
Καλούμαστε να αντιμετωπίσουμε αυτούς τους κινδύνους και να
δημιουργήσουμε ένα πλαίσιο προστασίας μέσω μίας διαδικασίας
ανάλυσης κινδύνων.
Πληροφοριακά Συστήματα – Απειλές – Κίνδυνοι
Στην προσπάθεια αυτή, οι έως τώρα κίνδυνοι
που γνωρίζουμε έχουν συγκεκριμενοποιηθεί,
καταγραφεί, κατηγοριοποιηθεί, οριοθετηθεί,
αναλυθεί, ενώ έχουν διαπιστωθεί οι
επιπτώσεις τους και έχουν υλοποιηθεί τρόποι
αντιμετώπισής τους.

3. Απειλές σε φυσικό επίπεδο:
Απάτη, δολιοφθορά, βανδαλισμός, κλοπή, διαρροές πληροφορίας,
μη εξουσιοδοτημένη πρόσβαση, επιθέσεις τρομοκρατικές,
διαφθορά, εκβιασμός
Καταστροφή, απώλεια πληροφοριακών πόρων:
Διαρροή πληροφοριών, λανθασμένη χρήση ή διαχείριση συστημάτων,
λανθασμένος σχεδιασμός, απώλεια υπολογιστικών συστημάτων,
καταστροφή αρχείων
Φυσικές καταστροφές:
Σεισμός, πλημμύρα, φωτιά, μόλυνση, έκρηξη, διαρροή ραδιενέργειας,
ηλεκτρομαγνητική ακτινοβολία
Αστοχίες και δυσλειτουργία:
Αστοχία συσκευών και συστημάτων, επικοινωνιών, παροχής
ενέργειας, παροχής υπηρεσιών τρίτων καθώς και δυσλειτουργία
εξοπλισμού

4. Διακοπή, απώλεια:
Απώλεια πόρων, Ελλείψεις σε προσωπικό, Απεργίες, Διαδικτυακές και
δικτυακές διακοπές, διακοπή λειτουργίας μηχανογραφικού εξοπλισμού.
Παρείσφρηση, υποκλοπή, πειρατεία:
Παρακολούθηση επικοινωνιών, υποκλοπή πληροφοριών, δικτυακή
αναγνώριση, χειραγώγηση δικτυακής κίνησης και συλλογή
πληροφοριών, man in the middle.
Θεσμικής, Νομικής φύσης:
Παραβίαση Νομοθεσίας, αδυναμία τήρησης συμβάσεων, κατάχρηση
προσωπικών δεδομένων και πληροφοριών, μη εξουσιοδοτημένη χρήση
διαβαθμισμένης πληροφορίας.

5. Κακόβουλη, καταχρηστική δραστηριότητα:
Υποκλοπή Ταυτότητας, Λογαριασμών,
Λήψη πλαστών E-mail, επιθέσεις DDoS,
κακόβουλο λογισμικό, ιοί, ransomware,
επιθέσεις κοινωνικής μηχανικής,
phishing, κατάχρηση πρόσβασης σε
πληροφορία, διαρροή πληροφοριών,
δημιουργία και χρήση πλαστών
πιστοποιητικών, hardware και software
τροποποιήσεις, κακή χρήση εργαλείων
ελέγχου, μη εξουσιοδοτημένες ενέργειες, μη εξουσιοδοτημένη
εγκατάσταση προγραμμάτων, έκθεση σε κίνδυνο εμπιστευτικών
πληροφοριών, απάτες, επιθέσεις απομακρυσμένης πρόσβασης,
στοχευόμενες επιθέσεις (APTs etc.), επιθέσεις brute force,
κατάχρηση δικαιωμάτων πρόσβασης σε συστήματα και
πληροφορίες.

6. Από τη διαβάθμιση, κατηγοριοποίηση και ανάλυση της έκθεσης του
κινδύνου στις απειλές που υπόκεινται οι πληροφοριακοί πόροι
καθώς και των απαιτήσεων από θεσμικά όργανα και ιδρύματα
πιστοποίησης, υλοποιούμε ένα πλαίσιο ασφάλειας και δομές
προστασίας που περιλαμβάνουν πολιτικές, διαδικασίες, συστήματα,
εφαρμογές και μηχανισμούς προστασίας όπως ενδεικτικά:
Antivirus, Firewalls, Log Analyzers, Intrusion Prevention Systems,
Intrusion Detection Systems, Penetration Tests, Vulnerabilities
Assessments, Cyber Risk analysis, Incident Handling Procedures,
Spam Ε-mail administration, AntiDDoS Services, Data Classifications,
Software Updates and Upgrades, Passwords, Data Encryption, Data
Leakage Prevention, Back up, Disaster sites, Ενημερώσεις
Προσωπικού και πολλά άλλα.
Πληροφοριακά Συστήματα – Προστασία – Πλαίσιο Ασφάλειας

7. Είναι η συνήθης διαπίστωση βέβαια, πως όλα τα μέτρα προστασίας
που λαμβάνουμε δεν προσφέρουν την απόλυτη προστασία και
πάντα υπάρχει κάτι νέο που θα πρέπει να αντιμετωπίσουμε μιας και
η ανθρώπινη εφευρετικότητα δεν έχει όρια.
Κάθε νέα όμως απειλή είτε εκμεταλλεύεται προϋπάρχοντα κενά
ασφάλειας άγνωστα έως τώρα είτε στηρίζεται εν γένει σε
μετασχηματισμούς παλαιότερων απειλών επαναφέροντας τες στο
νέο τεχνολογικά επίπεδο.
Ο προβληματισμός μας είναι απειλές που θα προκύψουν ως
νεοτερισμοί και θα ξεπηδήσουν αυθύπαρκτες εκμεταλλευόμενες τα
όρια της τεχνολογίας, απειλές που θα προέλθουν από την σύμπραξη
διαφορετικών τρόπων αντίληψης και κατανόησης της τεχνολογικής
πραγματικότητας.
Οι επιτιθέμενοι ένα βήμα μπροστά

8. Παράδειγμα μη σχετικό με ασφάλεια:
Ο ερευνητής μηχανικός Roland Meertens ασχολείται με νευρωνικά
δίκτυα. Στόχος του ήταν να μπορέσει μέσω αυτών να αναπαράγει
φωτορεαλιστικές φωτογραφίες από την απλή ασπρόμαυρη κάμερα
ανάλυσης 190x144 pixel του Nintendo Gameboy.
Τροφοδοτώντας το κύκλωμα με φωτογραφίες των προσώπων
κανονικά και σε αντιπαραβολή με τις φωτογραφίες που έβγαζε το
Nintendo Gameboy μετά από μερικές επαναλήψεις το νευρωνικό
δίκτυο είχε διδαχθεί.
Τα αποτελέσματα είναι παραπάνω από θεαματικά.

9. Σκεφτείτε λοιπόν αντίστοιχα
για το πώς θα μπορούσε ένα
νευρωνικό δίκτυο σε χέρια
hacker να χρησιμοποιηθεί και
λαμβάνοντας περιορισμένη
πληροφορία από τους χρήστες
μας, από τα δίκτυά μας, από
τις ιστοσελίδες μας, από
κοινωνικά δίκτυα πληροφορίες
που θεωρούνται ως μη
διαβαθμισμένες, θα μπορούσε
τελικά να του αποκαλύψει και
να συνθέσει συνδυαστικά
εξαιρετικές πληροφορίες ώστε
να τον βοηθήσει να μας
επιτεθεί αποτελεσματικά!

10. Δεν μπορούμε να προβλέψουμε την επόμενη νέα απειλή.
Πρέπει να είμαστε έτοιμοι να αντιδράσουμε το ταχύτερο δυνατό.
Δεν εφησυχάζουμε, δεν μειώνουμε τις άμυνες μας αλλά το αντίθετο
συνεχώς να τις ενδυναμώνουμε.
Παραμένουμε αυστηροί στις πολιτικές και τις διαδικασίας μας
περιορίζοντας στο ελάχιστο δυνατό τις εξαιρέσεις.
Δεν υποτιμούμε τον αντίπαλο.
Παραμένουμε πάντα σε ετοιμότητα.
Διατηρούμε ένα οργανωμένο Incident Response Plan, καλά
σχεδιασμένο, ενημερωμένο, δοκιμασμένο, και επαρκώς στελεχωμένο
με το κατάλληλο προσωπικό.
Τρόποι προστασίας