nss Κυβερνοασφάλεια ως Υπηρεσία
nss Διαχείριση Προνομιακής Πρόσβασης
nss Διαχείριση Ασφάλειας Δεδομένων
nss IT & Security Management
nss Ολοκληρωμένες Λύσεις για MSP & ITSP
nss Διαχείριση κωδικών πρόσβασης για Παρόχους Διαχειριζόμενων Υπηρεσιών (MSPs)
nss Ασφάλεια Ταυτότητας
nss Προσδιορισμός & Διαχείριση Ευπαθειών Ασφάλειας
nss Έλεγχος ασφάλειας εφαρμογών για επιχειρήσεις
nss Link Load Balancing, Wifi & SDWAN
nss Backup & Recovery
nss Optical Networking
nss Document Security
nss Server Load Balancing, Secure GW, WAN Optimization
nss Αρχειοθέτηση email
nss PKI Solutions & Identity Services
nss Πλατφόρμα Διαχείρισης M365
nss Κλιμακωτή Αποθήκευση Αντιγράφων Ασφαλείας
nss Επιχειρησιακή Εικονικοποίηση
nss Physical / Virtual Backup & Disaster Recovery
nss Ασφάλεια Κρίσιμων Επικοινωνιών
nss SIEM & Log Management
nss Πλατφόρμα Διαχείρισης Απειλών & Ευπαθειών
ΠΡΟΪΟΝΤΑ
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
PRODUCTS
Facebook X-twitter Linkedin Youtube Rss

Cyber Security Elements by NSS

Sophos. Ασφαλές εκ Σχεδιασμού. Ενσωματώνοντας την κυβερνοασφάλεια στα θεμέλια

Η προσέγγιση «Ασφαλές εκ Σχεδιασμού» (Secure by Design) αποτελεί μια φιλοσοφία ανάπτυξης λογισμικού που αντιμετωπίζει την ασφάλεια ως θεμελιώδη απαίτηση και όχι ως σκέψη εκ των υστέρων.

Αντί να αναπτύσσεται πρώτα ένα προϊόν και στη συνέχεια να εφαρμόζονται επιδιορθώσεις ασφαλείας, η φιλοσοφία «Ασφαλές εκ Σχεδιασμού» απαιτεί οι όποιες παράμετροι ασφαλείας να ενσωματώνονται σε κάθε στάδιο του κύκλου ανάπτυξης -από την αρχιτεκτονική και τον σχεδιασμό έως και τη συγγραφή κώδικα, τη δοκιμή, την εφαρμογή και τη συντήρηση του προϊόντος. Η βασική ιδέα είναι απλή: Αν αναπτύξετε κάτι που είναι ασφαλές εξ αρχής, οι χρήστες σας θα προστατεύονται εξ ορισμού και όχι αφότου μάθουν πως να επιλέξουν τις σωστές ρυθμίσεις ή αφότου επιδιορθωθούν τα όποια κενά ασφαλείας κατόπιν εορτής.

Στην πράξη, αυτό σημαίνει ότι πρέπει να υϊοθετηθούν διάφορες βασικές αρχές ασφαλείας:

  • Η αρχή του ελάχιστου προνομίου διασφαλίζει ότι οι διεργασίες, οι πράκτορες (agents) -τεχνητής νοημοσύνης ή άλλοι- τα κοντέινερ (containers) και οι υπηρεσίες συστήματος λαμβάνουν την ελάχιστη δυνατή πρόσβαση που χρειάζονται.
  • Οι ασφαλείς προεπιλογές διασφαλίζουν ότι τα προϊόντα παραδίδονται με την ασφαλέστερη προδιαμόρφωση ενεργοποιημένη.
  • Η εις βάθος άμυνα εφαρμόζει πολλαπλούς ελέγχους ασφαλείας ώστε καμία μεμονωμένη αστοχία να μην αποβεί καταστροφική.

Οι οργανισμοί μπορούν να ενισχύσουν περαιτέρω την ανθεκτικότητα εξαλείφοντας ολόκληρες κατηγορίες ευπαθειών μέσω της χρήσης ασφαλέστερων γλωσσών προγραμματισμού, πλαισίων εργασίας και σχεδιαστικών προτύπων.

Γιατί εισήχθη η προσέγγιση «Ασφαλές εκ Σχεδιασμού»;

Για δεκαετίες, πολλοί προμηθευτές και πάροχοι στον τεχνολογικό κλάδο λειτουργούσαν υπό το μοντέλο «γρήγορη διάθεση, μεταγενέστερη επιδιόρθωση». Μία από τις συνέπειες αυτής της κληρονομιάς είναι ότι η κυβερνοασφάλεια μπορεί να θεωρηθεί απλώς ως ένα κέντρο κόστους -κάτι δηλαδή που καθυστερεί τη διάθεση νέων εκδόσεων και δυσχεραίνει το έργο των προγραμματιστών.

Οι επιπτώσεις εξελίσσονται σε πραγματικό χρόνο: συνεχείς αποκαλύψεις ευπαθειών, εσπευσμένες επιδιορθώσεις έκτακτης ανάγκης και παραβιάσεις που αντλούν δισεκατομμύρια από οργανισμούς ενώ εκθέτουν τα προσωπικά δεδομένα εκατοντάδων εκατομμυρίων ανθρώπων.

Οι ευπάθειες του Ivanti Connect Secure, το exploit με την ονομασία Log4Shell στην ευρέως διαδεδομένη βιβλιοθήκη ανοιχτού κώδικα Log4j και τα τρωτά σημεία του MOVEit Transfer απέδειξαν ότι η αντιδραστική ασφάλεια απλώς δεν μπορεί να συμβαδίσει με τους αποφασισμένους αντιπάλους.

Αναγνωρίζοντας αυτή την ανισορροπία, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) -μαζί με διεθνείς εταίρους- δημοσίευσε την επίσημη καθοδήγηση για το «Ασφαλές εκ Σχεδιασμού» το 2023 καλώντας τους κατασκευαστές, προμηθευτές και παρόχους προϊόντων και υπηρεσιών τεχνολογίας να αναλάβουν την ευθύνη για τα αποτελέσματα ασφάλειας των πελατών τους.

Οι αρχές της φιλοσοφίας «Ασφαλές εκ Σχεδιασμού» υποστηρίζουν ότι η ευθύνη για την ασφάλεια πρέπει να βαρύνει τις εταιρείες που αναπτύσσουν και κατασκευάζουν τεχνολογικά προϊόντα και όχι τους τελικούς χρήστες που τα εγκαθιστούν. Και αυτό απαιτεί από τους προμηθευτές να επανεξετάσουν τον τρόπο που ιεραρχούν την ταχύτητα και τα πρόσθετα χαρακτηριστικά και να αντιμετωπίζουν την ασφάλεια ως βασική απαίτηση του σχεδιασμού και όχι ως προσαρτώμενη βελτίωση. Η μεταστροφή αυτή απομακρύνει τη βιομηχανία από το να ρίχνει το φταίξιμο στους χρήστες για την αποτυχία της άμεσης εφαρμογής επιδιορθώσεων και κατευθύνεται προς την λογική της απόδοσης της ευθύνης στους κατασκευαστές/προμηθευτές για την παράδοση προϊόντων που είναι ασφαλή από την πρώτη ημέρα -ακόμα και αν αυτό συνεπάγεται την επιβράδυνση στην παροχή νέων χαρακτηριστικών ή τον επανασχεδιασμό παλαιότερων προσεγγίσεων για τη μείωση του συστημικού κινδύνου.

Γιατί το «Ασφαλές εκ Σχεδιασμού» έχει τη μεγαλύτερη σημασία για τις λύσεις κυβερνοασφάλειας

Πρόκειται για μία σοβαρή υπενθύμιση ότι ακόμη και εργαλεία ασφαλείας ενδέχεται κάποιες φορές να αποτελέσουν το σημείο εισόδου για μια επίθεση. Μάλιστα κάτι τέτοιο συμβαίνει με ανησυχητική συχνότητα. Και αυτό στην ουσία αναδεικνύει μία κρίσιμης σημασίας αδυναμία για πολλούς οργανισμούς: Όταν μία συσκευή περιμέτρου εκτεθεί, οι επιτιθέμενοι επανέρχονται σε αυτήν επανειλημμένως ωσότου ασφαλιστεί πλήρως. Τα τείχη προστασίας και άλλα συστήματα στο άκρο της περιμέτρου επίσης ενδέχεται να παραμείνουν ευάλωτα ακόμη και μετά τη διαθεσιμότητα μίας επιδιόρθωσης. Από μία ανάλυση που πραγματοποίησε η Sophos για περιστατικά που αντιμετώπισε επιτυχημένα προέκυψε ότι σε όλες τις επιβεβαιωμένες περιπτώσεις εκμεταλλεύσιμων ευπαθειών, ο διάμεσος χρόνος μεταξύ της δημοσίευσης μίας οδηγίας αντιμετώπισης ή μίας επιδιόρθωσης (από τον κατασκευαστή, πάροχο ή προμηθευτή) και της εκμετάλλευσης της (από κάποιον επιτιθέμενο) ήταν 322 ημέρες -σχεδόν ένας ολόκληρος χρόνος ευκαιριών για τους αντιπάλους. Επομένως, οι κατασκευαστές, προμηθευτές και πάροχοι προϊόντων και υπηρεσιών κυβερνοασφάλειας δεν μπορούν να υπολογίζουν ότι οι χρήστες θα εφαρμόσουν άμεσα τις όποιες οδηγίες ή επιδιορθώσεις τους.

Το πρόβλημα της προνομιακής θέσης

Τα εργαλεία κυβερνοασφάλειας λειτουργούν στα πιο ευαίσθητα και προνομιακά μέρη της υποδομής ενός οργανισμού. Για παράδειγμα, οι πράκτορες εντοπισμού απειλών τερματικών συσκευών εκτελούνται με πρόσβαση σε επίπεδο πυρήνα. Οι πλατφόρμες SIEM συλλέγουν αρχεία καταγραφής από κάθε σύστημα. Οι πάροχοι ταυτοτήτων κατέχουν τα κλειδιά για κάθε λογαριασμό. Τα τείχη προστασίας λειτουργούν οριακά μεταξύ έμπιστων και μη έμπιστων δικτύων.

Όταν τα προϊόντα κυβερνοασφαλείας βρίσκονται στην καρδιά της άμυνας ενός οργανισμού, φέρουν την υποχρέωση να ακολουθούν τις αρχές της φιλοσοφίας «Ασφαλές εκ Σχεδιασμού». Οι προμηθευτές στον κλάδο της κυβερνοασφαλείας παίζουν κρίσιμο ρόλο στην προστασία των πελατών και αυτή η εμπιστοσύνη συνοδεύεται από προσδοκίες σχετικά με τους τρόπους σχεδίασης και ανάπτυξης των προϊόντων τους.

Αυτή η προνομιακή θέση σημαίνει ότι ένα τρωτό σημείο σε ένα προϊόν ασφαλείας δεν εκθέτει μόνο το ίδιο το προϊόν, αλλά εκθέτει οτιδήποτε αυτό σχεδιάστηκε να προστατεύει. Ένας εισβολέας που παραβιάζει έναν πράκτορα ανίχνευσης και απόκρισης τερματικού σημείου (EDR) δεν ελέγχει απλώς ένα εργαλείο — ελέγχει το τερματικό σημείο με τα υψηλότερα προνόμια. Ένα ελάττωμα σε μια συσκευή VPN δεν διακόπτει απλώς την απομακρυσμένη πρόσβαση, αλλά παραδίδει στον αντίπαλο μια απευθείας σήραγγα (tunnel) που παρακάμπτει κάθε έλεγχο περιμέτρου.

Τι συμβαίνει όταν το «Ασφαλές εκ Σχεδιασμού» αγνοείται;

Οι συνέπειες της παραμέλησης των αρχών «Ασφαλές εκ Σχεδιασμού» είναι καλά τεκμηριωμένες και όταν δεν τηρούνται και εφαρμόζονται σωστά, καθιστούν τις επιχειρήσεις, τους χρήστες και συνολικά τον κυβερνοχώρο λιγότερο ασφαλή.

  • Αυξανόμενα κόστη παραβίασης. Όταν τα τρωτά σημεία και οι ευπάθειες ανακαλύπτονται μετά την κυκλοφορία, η επιδιόρθωσή τους είναι εκθετικά δαπανηρότερη από την αντιμετώπισή τους κατά τη διάρκεια της ανάπτυξης.
  • Διάβρωση εμπιστοσύνης. Οι πελάτες, οι ρυθμιστικές αρχές και οι εταίροι χάνουν την εμπιστοσύνη τους σε οργανισμούς που υφίστανται επαναλαμβανόμενα περιστατικά ασφάλειας. Η ζημιά στη φήμη μπορεί να διαρκέσει πολύ περισσότερο από την τεχνική αποκατάσταση.
  • Κανονιστική και νομική έκθεση. Οι κυβερνήσεις παγκοσμίως αυστηροποιούν τους κανονισμούς κυβερνοασφάλειας. Για παράδειγμα, ο νέος κανονισμός για την Κυβερνοανθεκτικότητα (Cyber Resilience Act) της Ευρωπαϊκής Ένωσης θα επιβάλει υποχρεωτικές απαιτήσεις ασφαλείας σε προϊόντα με ψηφιακά στοιχεία που πωλούνται στην Ευρώπη. Οι οργανισμοί που αγνοούν τις αρχές του «Ασφαλές εκ Σχεδιασμού» διακινδυνεύουν τη μη συμμόρφωση τους, μεγάλα πρόστιμα και τον αποκλεισμό τους από την αγορά.
  • Κίνδυνοι για την εθνική ασφάλεια. Οι κρίσιμες υποδομές -δίκτυα ηλεκτροδότησης, επεξεργασία υδάτων, συστήματα υγείας- βασίζονται ολοένα και περισσότερο σε συσκευές και συστήματα συνδεδεμένα στο διαδίκτυο. Προϊόντα που δεν είναι ασφαλή εξ ορισμού σε αυτά τα περιβάλλοντα δημιουργούν ανοίγματα για κρατικά υποστηριζόμενους αντιπάλους και ομάδες λυτρισμικού (ransomware) με δυνητικά ανατρεπτικές συνέπειες για την καθημερινότητα των πολιτών.
  • Διαρκής κόπωση από τις επιδιορθώσεις. Χωρίς ασφαλή θεμέλια, οι οργανισμοί παγιδεύονται σε έναν αντιδραστικό κύκλο: σάρωση για τρωτά σημεία, ιεράρχηση επιδιορθώσεων, δοκιμή ενημερώσεων και εφαρμογή επιδιορθώσεων -επανειλημμένως. Αυτό εξαντλεί πόρους που θα μπορούσαν να δαπανηθούν σε βαθύτερες έρευνες για την κυβερνοασφάλεια.

Η δέσμευση της Sophos στο πλαίσιο «Ασφαλές εκ Σχεδιασμού»

Στις 8 Μαΐου 2024, η Sophos έγινε ένας από τους πρώτους οργανισμούς που δεσμεύτηκαν στην πρωτοβουλία «Ασφαλές εκ Σχεδιασμού» της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) που εστιάζει σε επτά βασικούς πυλώνες της τεχνολογίας και της ασφάλειας των προϊόντων:

  1. Πιστοποίηση ταυτότητας πολλαπλών παραγόντων
  2. Προεπιλεγμένοι κωδικοί πρόσβασης.
  3. Μείωση ολόκληρων κατηγοριών ευπαθειών.
  4. Ενημερώσεις ασφαλείας.
  5. Πολιτική αποκάλυψης τρωτών σημείων και ευπαθειών.
  6. CVEs.
  7. Αποδεικτικά στοιχεία εισβολών.

Συμβαδίζοντας με τις βασικές οργανωτικές μας αξίες γύρω από τη διαφάνεια, το «Ασφαλές εκ Σχεδιασμού» αποτελεί καθοδηγητική δύναμη καθώς αξιολογούμε και βελτιώνουμε συνεχώς τις πρακτικές ασφαλείας μας.

Δημοσιεύσαμε τις δεσμεύσεις μας για βελτίωση και μοιραζόμαστε δημόσια την πρόοδο που σημειώνουμε στους επτά βασικούς πυλώνες του πλαισίου «Ασφαλές εκ Σχεδιασμού». Φυσικά, η κυβερνοασφάλεια εξελίσσεται συνεχώς και η δουλειά δεν «τελειώνει» ποτέ. Η συνέχιση της βελτίωσης και της ενίσχυσης της εφαρμογής των αρχών του «Ασφαλές εκ Σχεδιασμού» σε όλο το χαρτοφυλάκιό μας είναι ένα διαρκές -και κεντρικό- μέρος του ήθους μας.

Σε ένα μόνο παράδειγμα, η τελευταία έκδοση (v22) του Sophos Firewall επεκτείνει περαιτέρω τις δυνατότητες «Ασφαλές εκ Σχεδιασμού» της λύσης, συμπεριλαμβάνοντας:

  • Τη νέα λειτουργία «Έλεγχος Υγείας» (Health Check) για τη μείωση του κινδύνου μιας εσφαλμένης διαμόρφωσης/ρύθμισης που θα μπορούσε να οδηγήσει σε πιθανή επίθεση.
  • Ένα εντελώς νέου επιπέδου ελέγχου που επιτρέπει την αρθρωτοποίηση, την απομόνωση και την κοντεϊνεροποίηση υπηρεσιών όπως είναι για παράδειγμα το IPS ώστε να εκτελούνται ως «εφαρμογές» στην πλατφόρμα του τείχους προστασίας εξαλείφοντας μια ολόκληρη κατηγορία τρωτών σημείων. Επιτρέπει επίσης τον πλήρη διαχωρισμό των προνομίων.
  • Την προσθήκη του αισθητήρα Sophos XDR Linux που επιτρέπει την παρακολούθηση από τις δικές μας ομάδες ασφαλείας της ακεραιότητας των συστημάτων ολόκληρης της πελατειακής μας βάσης σε πραγματικό χρόνο, για τον ταχύτερο εντοπισμό απειλών και την ταχύτερη ανταπόκριση σε επιθέσεις.
  • Ενημερώσεις υλικολογισμικού (firmware) που είναι κρυπτογραφημένες και με «κλειδωμένο» πιστοποιητικό για τη διασφάλιση της αυθεντικότητας.

Μαζί, τα γνωστά χαρακτηριστικά και δυνατότητες του Sophos Firewall και οι αλλαγές στην έκδοση v22 ενισχύουν την ιατροδικαστική ορατότητα, την καταγραφή και την προστατευτική παρακολούθηση. Οι συγκεκριμένες βελτιώσεις ευθυγραμμίζονται επίσης και καλύπτουν και τις οδηγίες του Εθνικού Κέντρου Κυβερνοασφάλειας (NCSC) του Ηνωμένου Βασιλείου για τις δικτυακές συσκευές.

Επιπλέον, με το έργο μας στην εκστρατεία Pacific Rim αποκτήσαμε μία ολοκληρωμένη εικόνα του τρόπου λειτουργίας ορισμένων αποφασισμένων, καλά αμειβομένων και εφοδιασμένων φορέων απειλών -καθώς και του τι απαιτείται για ισχυρή άμυνα εναντίον τους. Η εκστρατεία επιβεβαίωσε ότι οι αντίπαλοι δεν περιμένουν να εμφανιστούν αδυναμίες· αναζητούν ενεργά «συντομεύσεις στον σχεδιασμό», κενά στη διαμόρφωση και μη επιδιορθωμένα συστήματα σε παγκόσμιας εμβέλειας υποδομές. Αυτή η εμπειρία διαμόρφωσε άμεσα την προσέγγισή μας για το «Ασφαλές εκ Σχεδιασμού».

Υπογράμμισε επίσης ότι οι σύγχρονες άμυνες πρέπει να ξεκινούν με τη μείωση της επιφάνειας επίθεσης σε επίπεδο προϊόντος, την ενσωμάτωση ισχυρών προεπιλογών, την αυστηροποίηση των διαδρομών πιστοποίησης της ταυτότητας και την εξάλειψη των όποιων ευκαιριών για κατάχρηση πολύ προτού κάποια ευπάθεια κάνει την εμφάνιση της.

Η πορεία προς το μέλλον

Το πλαίσιο «Ασφαλές εκ Σχεδιασμού» δεν εξαλείφει όλα τα τρωτά σημεία, ούτε απαλλάσσει τους οργανισμούς από τη συνεχή επαγρύπνηση. Έχει καταστεί ωστόσο θεμελιώδες υπόβαθρο για την κυβερνοασφάλεια όσον αφορά τη μείωση της επιφάνειας επίθεσης. Το ερώτημα δεν είναι πλέον αν το «Ασφαλές εκ Σχεδιασμού» είναι μια καλή ιδέα. Είναι το πόσο γρήγορα θα υιοθετηθεί.

Πηγή: Sophos