Αρχική Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με...Άρθρο 10 Ομάδες απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs) (άρθρο 10 της Οδηγίας (ΕΕ) 2022/2555)Σχόλιο του χρήστη Δημήτρης Γεωργίου | 22 Οκτωβρίου 2024, 22:04
|
Υπουργείο Ψηφιακής Διακυβέρνησης Δικτυακός Τόπος Διαβουλεύσεων OpenGov.gr Ανοικτή Διακυβέρνηση |
Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Πολιτική Ασφαλείας και Πολιτική Cookies Όροι Χρήσης Πλαίσιο Διαλόγου |
Creative Commons License Με Χρήση του ΕΛ/ΛΑΚ λογισμικού Wordpress. |
Είναι σημαντικό, θεωρώ, προς αποφυγή σύγχυσης να γίνει πολύ προσεκτική διαχείριση της ορολογίας στον τρόπο περιγραφής της κατάστασης ασφάλειας στην οποία βρίσκεται μια οντότητα σε σχέση με τις ενέργειες που καταγράφονται σε κάθε λογής συστήματα που την υποστηρίζουν. Είναι σημαντικό να είναι αντιληπτό και να περνά και στο κείμενο ότι τα "συμβάντα" (events) που συνήθως καταγράφονται στα αρχεία καταγραφων (log files) είναι συνεχή και πάρα πολλά σε αριθμό και διαχωρίζονται σε πολλά επίπεδα με βάση τη σοβαρότητά τους, αλλά δεν αποτελούν κατ'ανάγκη συνθήκη που εκκινεί μια ειδική διαδικασία αντιμετώπισης μια βλαπτικής κατάσταση. Τα "συμβάντα" τυγχάνουν αξιολόγησης από επάλληλα επίπεδα αναλυτών καθώς κλιμακώνονται και αναλύονται από εμπειρότερα στελέχη μέχρι την οριστική κλιμάκωση του στο επόμενο επίπεδο, αυτό του "περιστατικού" (incident) το οποίο παράγει ένα βλαπτικό αποτέλεσμα για τον οργανισμό και το οποίο συναπαρτίζουν κατά κανόνα ένας μεγάλος αριθμός "συμβάντων". Η πιθανότητα ένα "συμβάν ασφαλείας" να αναβιβαστεί σε "περιστατικό ασφαλείας" είναι βάσει της καθαρά αριθμητικής συσχέτισης των δύο στατιστικά πολύ σπάνια, ωστόσο μόνο αν μια σειρά "συμβάντων" αναβιβαστούν σε "περιστατικό ασφάλειας" μπορούν να κινητοποιήσούν την έναρξη μιας οργανωμένης "διαδικασίας αντιμετώπισης περιστατικού ασφάλειας", η οποία μπορεί να μετριάσει την επίδραση του "περιστατικού" αποτρέποντας την ευρύτςρης κλίμακας "παραβίαση" (breach), όταν αποδεδειγμένα ένα "περιστατικό" έχει οδηγήσει σε συγκεκριμένα αρνητικά αποτελέσματα όπως μη εξουσιοδοτημένη πρόσβαση, κλοπή δεδομένων, κρυπτογράφηση αρχείων κ.λπ.. Παράδειγμα περίπτωσης είναι η καταγραφή χιλιάδων "συμβάντων" αναγνώρισης των ορίων ανοχής ενός διακομιστή ιστού, με σκοπό να αντιληφθεί ένας επιτιθέμενος τα όρια μέσα στα οποία μπορεί να "πιέσει" τον διακομιστή χωρίς να μπλοκαριστεί από συστήματα ασφαλείας, ώστε να γνωρίσει ποιο είναι το βέλτιστο κατώφλι στο οποίο θα πρέπει να προγραμματίσει τις ενέργειες προσπέλασης ενός δικτύου κακόβουλα ελεγχόμενων υπολογιστών (botnet), ώστε κάθε ένα ελεγχόμενο μηχάνημα κατά μόνας να μπορεί να τραβήξει το μέγιστο αριθμό πόρων από τον διακομιστή χωρίς να μπλοκάρεται και έτσι να τον απασχολεί άσκοπα. Τα συμβάντα αυτά κατά κανόνα, ενώ καταγράφονται, δεν αξιολογούνται από τους αναλυτές και μένουν απλώς "συμβάντα" στο αρχείο καταγραφής ενός διακομιστή ιστού που εντοπίζει μια αναδρομική (ex-post) ανάλυση ψηφιακής εγκληματολογίας (digital forensics). Κατά τη στιγμή της επίθεσης Κατανεμημενης Αρνησης Υπηρεσίας (DDoS), όμως, όταν de facto ο διακομιστής χάνει τη διαθεσιμότητά του και δεν εξυπηρετεί πλέον, τότε τα χιλιάδες "συμβάντα" που τον ωθούν σε αυτή την κατάσταση από κοινού κλιμακώνονται συλλήβδην σε ένα "περιστατικό" κυβερνοεπίθεσης Κατανεμημενης Αρνησης Υπηρεσίας και ενεργοποιούν αυτόματα (ή σχεδόν αυτόματα) τη διαδικασία αντιμετώπισης περιστατικών κυβερνοασφάλειας. Ωστόσο, μια τέτοια κυβερνοεπίθεση (δηλ. ένα τέτοιο "περιστατικό") δεν θα κλιμακωθεί ποτέ στο επίπεδο της "παραβίασης" από μόνη της, εκτός και αν λειτουργεί επιβοηθητικά για την εκτέλεση παράλληλων επιθέσεων ως αντιπερισπασμός ή με σκοπό να καταλυθούν σημεία ελέγχου στον διακομιστή ή στην διαδικτυακή εφαρμογή λόγω της προηγούμενης επίθεσης. Συνεπώς: event = συμβάν (πολύ μεγάλος αριθμός) incident = περιστατικό (μικρός αριθμός) breach = παραβίαση (πολύ μικρός αριθμός)