 |
Ασφάλεια Απομακρυσμένων Χρηστών
Όλο και περισσότερο παρουσιάζεται η ανάγκη για την πρόσβαση απομακρυσμένων χρηστών σε εσωτερικούς πόρους ενός οργανισμού. Σύμφωνα με το Gartner Group, έως το 2010, το 80% κύριων δραστηριοτήτων επιχειρήσεων εμπλέκουν ανταλλαγή δεδομένων σε πραγματικό χρόνο μέσω απομακρυσμένων χρηστών. Οι χρήστες αυτοί μπορεί να είναι διαχειριστές, απλοί χρήστες ή και συνεργάτες της Τράπεζας. Από την άλλη, το πλήθος και η ποικιλία των συσκευών που χρησιμοποιούνται για να συνδέονται στην υποδομή είναι όλο και μεγαλύτερο: από κινητά τηλέφωνα/ smart phones, laptops, tablets έως και Internet Cafe ή Internet Browser.
Κίνδυνοι:
Η παροχή της δυνατότητας απομακρυσμένης σύνδεσης προσφέρει ευελιξία σε έναν οργανισμό αλλά αυξάνει πολύ την επικινδυνότητα διαρροής ή απώλειας κρίσιμων πληροφοριών. Ελλείψει ισχυρών μηχανισμών αυθεντικοποίησης, κακόβουλοι χρήστες μπορούν να πάρουν στα χέρια τους ευαίσθητα δεδομένα του οργανισμού. Οι κινητές/ mobile συσκευές φιλοξενούν εφαρμογές οι οποίες υποστηρίζονται από κώδικα ο οποίος δεν σχεδιάστηκε βάσει προτύπων ασφάλειας, αλλά επικεντρώθηκε μόνο στην λειτουργικότητα τις εκάστοτε υπηρεσίας αφήνοντας ευάλωτη την εκάστοτε συσκευή. Κατά τη διαδικασία απομακρυσμένης πρόσβασης έχουν παρατηρηθεί «Man in the middle attacks» κατά τις οποίες ένας ενδιάμεσος χρήστης μπορεί να υποκλέψει όλη την ανταλλαγή πληροφορίας. Ταυτόχρονα, η απομακρυσμένη πρόσβαση των χρηστών πολλές φορές υλοποιείται μέσω κάποιου «μη ασφαλούς» δικτύου όπως δημόσια ασύρματα δίκτυα. Ως εκ τούτου, αυτόματα ένας κακόβουλος μπορεί να πάρει πρόσβαση στο εσωτερικό δίκτυο της Τράπεζας. Στις περισσότερες περιπτώσεις, ένος οργανισμός πρώτα προσφέρει υπηρεσίες απομακρυσμένης πρόσβασης και έπειτα θέτει τους κανόνες και την πολιτική ασφάλειας που την αφορούν. Αυτό έχει σαν αποτέλεσμα να είναι απροετοίμαστη τόσο η πληροφοριακή υποδομή όσο και ο ίδιος ο χρήστης και οι συσκευές αυτού.
Λύσεις:
SSL VPN προϊόντα, μηχανισμοί ισχυρής αυθεντικοποίησης, λύσεις Data Leakage Prevention- DLP, Encryption Μηχανισμοί, Endpoint Security (host based firewall, IPS), Unified Threat Management Firewalls.
|