Τρύπα ως εργαλείο ασφαλείας - 2, ή πώς να πιάσετε το APT "με ζωντανό δόλωμα"

(ευχαριστίες στον Sergey G. Brester για την ιδέα του τίτλου) σεμπρές)

Συνάδελφοι, ο σκοπός αυτού του άρθρου είναι να μοιραστούμε την εμπειρία μιας δοκιμαστικής λειτουργίας διάρκειας ενός έτους μιας νέας κατηγορίας λύσεων IDS που βασίζονται σε τεχνολογίες Deception.

Προκειμένου να διατηρηθεί η λογική συνοχή της παρουσίασης του υλικού, θεωρώ απαραίτητο να ξεκινήσω με τις προϋποθέσεις. Έτσι, το πρόβλημα:

1. Οι στοχευμένες επιθέσεις είναι ο πιο επικίνδυνος τύπος επίθεσης, παρά το γεγονός ότι το μερίδιό τους στον συνολικό αριθμό απειλών είναι μικρό.
2. Δεν υπάρχει ακόμη κανένα εγγυημένο αποτελεσματικό μέσο περιμετρικής προστασίας (ή ένα σύμπλεγμα τέτοιων μέσων) που να έχει εφευρεθεί.
3. Συνήθως, οι στοχευμένες επιθέσεις συμβαίνουν σε διάφορα στάδια. Η παραβίαση της περιμέτρου είναι μόνο ένα από τα αρχικά στάδια, το οποίο (μπορείτε να μου πετάξετε πέτρες) δεν προκαλεί μεγάλη ζημιά στο "θύμα", εκτός, φυσικά, αν πρόκειται για επίθεση DEoS (Destruction of Service - Καταστροφή Υπηρεσίας) (κρυπτογραφητές κ.λπ.). Ο πραγματικός "πόνος" ξεκινά αργότερα, όταν τα κατασχεμένα περιουσιακά στοιχεία αρχίζουν να χρησιμοποιούνται για την περιστροφή και την ανάπτυξη μιας επίθεσης "σε βάθος", και εμείς δεν το προσέξαμε.
4. Δεδομένου ότι αρχίζουμε να υφιστάμεθα πραγματικές απώλειες όταν οι επιτιθέμενοι φτάνουν τελικά στους στόχους της επίθεσης (διακομιστές εφαρμογών, ΣΔΒΔ, αποθήκευση δεδομένων, αποθετήρια, κρίσιμα στοιχεία υποδομής), είναι λογικό ότι ένα από τα καθήκοντα της υπηρεσίας ασφάλειας πληροφοριών είναι να διακόπτει τις επιθέσεις πριν από αυτό το θλιβερό συμβάν. Αλλά για να διακόψει κανείς κάτι, πρέπει πρώτα να το γνωρίζει. Και όσο πιο γρήγορα, τόσο το καλύτερο.
5. Συνεπώς, για την επιτυχή διαχείριση κινδύνου (δηλαδή, τη μείωση της ζημιάς από στοχευμένες επιθέσεις), είναι κρίσιμο να υπάρχουν εργαλεία που θα διασφαλίζουν έναν ελάχιστο χρόνο ανίχνευσης (TTD - ο χρόνος από τη στιγμή της εισβολής έως τη στιγμή της ανίχνευσης της επίθεσης). Ανάλογα με τον κλάδο και την περιοχή, αυτή η περίοδος είναι κατά μέσο όρο 99 ημέρες στις ΗΠΑ, 106 ημέρες στην περιοχή EMEA, 172 ημέρες στην περιοχή APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Τι προσφέρει η αγορά;
   • «Sandboxes». Ένας ακόμη προληπτικός έλεγχος, που απέχει πολύ από το ιδανικό. Υπάρχουν πολλές αποτελεσματικές τεχνικές για την ανίχνευση και την παράκαμψη sandboxes ή λύσεων whitelist. Οι τύποι από τη «σκοτεινή πλευρά» είναι ακόμα ένα βήμα μπροστά εδώ.
   • UEBA (συστήματα δημιουργίας προφίλ συμπεριφοράς και ανίχνευσης ανωμαλιών) – θεωρητικά, μπορεί να είναι πολύ αποτελεσματικό. Αλλά, κατά τη γνώμη μου, αυτό είναι κάποια στιγμή στο μακρινό μέλλον. Στην πράξη, εξακολουθεί να είναι πολύ ακριβό, αναξιόπιστο και απαιτεί μια πολύ ώριμη και σταθερή υποδομή πληροφορικής και συστημάτων πληροφοριών, όπου όλα τα εργαλεία που θα δημιουργήσουν δεδομένα για ανάλυση συμπεριφοράς υπάρχουν ήδη.
   • Το SIEM είναι ένα καλό εργαλείο για έρευνες, αλλά δεν είναι σε θέση να δει ή να δείξει κάτι νέο ή πρωτότυπο έγκαιρα, επειδή οι κανόνες συσχέτισης είναι ουσιαστικά οι ίδιες υπογραφές.

7. Ως αποτέλεσμα, υπήρχε η ανάγκη για ένα εργαλείο που θα:
   • λειτούργησε με επιτυχία σε μια ήδη παραβιασμένη περίμετρο,
   • ανιχνεύει επιτυχημένες επιθέσεις σε σχεδόν πραγματικό χρόνο, ανεξάρτητα από τα εργαλεία και τα τρωτά σημεία που χρησιμοποιούνται,
   • δεν εξαρτιόταν από υπογραφές/κανόνες/scripts/πολιτικές/προφίλ και άλλα στατικά πράγματα,
   • δεν απαιτούσε μεγάλες ποσότητες δεδομένων και τις πηγές τους για ανάλυση,
   • θα μας επέτρεπε να ορίσουμε τις επιθέσεις όχι ως κάποιο είδος βαθμολόγησης κινδύνου ως αποτέλεσμα του έργου «των καλύτερων στον κόσμο, κατοχυρωμένων με δίπλωμα ευρεσιτεχνίας και επομένως κλειστών μαθηματικών», κάτι που απαιτεί πρόσθετη διερεύνηση, αλλά πρακτικά ως ένα δυαδικό συμβάν - «Ναι, μας επιτίθενται» ή «Όχι, όλα είναι εντάξει»,
   • ήταν καθολικό, αποτελεσματικά κλιμακωτό και εφικτό στην εφαρμογή σε οποιοδήποτε ετερογενές περιβάλλον, ανεξάρτητα από τη φυσική και λογική τοπολογία δικτύου που χρησιμοποιήθηκε.

Οι λεγόμενες λύσεις παραπλάνησης διεκδικούν επί του παρόντος τον ρόλο ενός τέτοιου εργαλείου. Δηλαδή, λύσεις που βασίζονται στην παλιά καλή έννοια των honeypots, αλλά με εντελώς διαφορετικό επίπεδο υλοποίησης. Αυτό το θέμα είναι σίγουρα σε άνοδο τώρα.

Σύμφωνα με τα αποτελέσματα Σύνοδος κορυφής Gartner Security&Risc management 2017 Οι λύσεις εξαπάτησης συγκαταλέγονται στις 3 ΚΟΡΥΦΑΙΕΣ στρατηγικές και εργαλεία που συνιστάται να χρησιμοποιούνται.

Σύμφωνα με την έκθεση Ετήσιο Έτος Κυβερνοασφάλειας TAG 2017 Η παραπλάνηση είναι μία από τις κύριες κατευθύνσεις ανάπτυξης λύσεων συστημάτων ανίχνευσης εισβολών IDS.

Ένα ολόκληρο τμήμα του τελευταίου Έκθεση Cisco για την κατάσταση ασφάλειας IT, αφιερωμένο στο SCADA, βασίζεται σε δεδομένα από έναν από τους ηγέτες σε αυτήν την αγορά, την TrapX Security (Ισραήλ), η λύση της οποίας λειτουργεί στη ζώνη δοκιμών μας εδώ και ένα χρόνο.

Το TrapX Deception Grid σάς επιτρέπει να δημιουργείτε και να λειτουργείτε μαζικά κατανεμημένα IDS κεντρικά, χωρίς να αυξάνετε το φορτίο αδειών χρήσης και τις απαιτήσεις πόρων υλικού. Στην πραγματικότητα, το TrapX είναι ένας κατασκευαστής που σας επιτρέπει να δημιουργήσετε έναν μεγάλο μηχανισμό ανίχνευσης επιθέσεων σε ολόκληρη την επιχείρηση από στοιχεία της υπάρχουσας υποδομής IT, ένα είδος "συναγερμού" κατανεμημένου δικτύου.

Δομή λύσης

Στο εργαστήριό μας μελετάμε και δοκιμάζουμε συνεχώς διάφορες καινοτομίες στον τομέα της ασφάλειας πληροφορικής. Αυτή τη στιγμή, υπάρχουν περίπου 50 διαφορετικοί εικονικοί διακομιστές που έχουν αναπτυχθεί εδώ, συμπεριλαμβανομένων των στοιχείων TrapX Deception Grid.

Λοιπόν, από πάνω προς τα κάτω:

1. Το TSOC (TrapX Security Operation Console) είναι ο εγκέφαλος του συστήματος. Πρόκειται για την κεντρική κονσόλα διαχείρισης, με τη βοήθεια της οποίας διαμορφώνεται, αναπτύσσεται η λύση και εκτελείται όλη η καθημερινή εργασία. Δεδομένου ότι πρόκειται για μια διαδικτυακή υπηρεσία, μπορεί να αναπτυχθεί οπουδήποτε - στην περίμετρο, στο cloud ή στον πάροχο MSSP.
2. Το TrapX Appliance (TSA) είναι ένας εικονικός διακομιστής στον οποίο συνδέουμε τα υποδίκτυα που θέλουμε να παρακολουθούμε μέσω μιας θύρας trunk. Όλοι οι αισθητήρες δικτύου μας στην πραγματικότητα «ζουν» εδώ.

   Στο εργαστήριό μας, έχουμε αναπτύξει ένα TSA (mwsapp1), αλλά στην πραγματικότητα μπορεί να υπάρχουν πολλά από αυτά. Αυτό μπορεί να είναι απαραίτητο σε μεγάλα δίκτυα όπου δεν υπάρχει συνδεσιμότητα L2 μεταξύ των τμημάτων (ένα τυπικό παράδειγμα είναι οι "Εταιρείες Συμμετοχών και θυγατρικές" ή "Κεντρικά γραφεία και υποκαταστήματα τράπεζας") ή εάν υπάρχουν απομονωμένα τμήματα στο δίκτυο, για παράδειγμα, ένα αυτοματοποιημένο σύστημα ελέγχου διεργασιών. Σε κάθε τέτοιο υποκατάστημα/τμήμα, μπορείτε να αναπτύξετε το δικό σας TSA και να το συνδέσετε σε ένα μόνο TSOC, όπου όλες οι πληροφορίες θα υποβάλλονται σε κεντρική επεξεργασία. Αυτή η αρχιτεκτονική σάς επιτρέπει να δημιουργείτε κατανεμημένα συστήματα παρακολούθησης χωρίς την ανάγκη ριζικής αναδιάρθρωσης του δικτύου ή διακοπής της υπάρχουσας τμηματοποίησης.

   Μπορούμε επίσης να υποβάλουμε ένα αντίγραφο της εξερχόμενης κίνησης στην TSA μέσω TAP/SPAN. Σε περίπτωση ανίχνευσης συνδέσεων με γνωστά botnets, διακομιστές εντολών, συνεδρίες TOR, θα λάβουμε επίσης το αποτέλεσμα στην κονσόλα. Ο Αισθητήρας Ευφυΐας Δικτύου (NIS) είναι υπεύθυνος για αυτό. Στο περιβάλλον μας, αυτή η λειτουργικότητα υλοποιείται στο τείχος προστασίας, επομένως δεν τη χρησιμοποιήσαμε εδώ.

3. Παγίδες εφαρμογών (Πλήρες λειτουργικό σύστημα) – παραδοσιακά honeypots που βασίζονται σε Windows-διακομιστές. Δεν απαιτούνται πολλοί, καθώς ο πρωταρχικός σκοπός αυτών των διακομιστών είναι η παροχή υπηρεσιών πληροφορικής στο επόμενο επίπεδο αισθητήρων ή η ανίχνευση επιθέσεων σε επιχειρηματικές εφαρμογές που ενδέχεται να αναπτυχθούν σε Windows-Τετάρτη. Έχουμε έναν τέτοιο διακομιστή (FOS01) εγκατεστημένο στο εργαστήριό μας.

   

4. Οι προσομοιωμένες παγίδες αποτελούν το βασικό στοιχείο της λύσης, επιτρέποντάς μας να δημιουργήσουμε ένα εξαιρετικά πυκνό ναρκοπέδιο για τους εισβολείς που χρησιμοποιούν μία μόνο εικονική μηχανή και να κατακλύσουμε το εταιρικό δίκτυο, συμπεριλαμβανομένων όλων των VLAN του, με τους αισθητήρες μας. Ο εισβολέας βλέπει έναν τέτοιο αισθητήρα, ή phantom host, ως πραγματικό. Windows Υπολογιστής ή διακομιστής, Linux διακομιστή ή άλλη συσκευή που αποφασίζουμε να το εμφανίσουμε.

   
   
   Για λόγους δουλειάς και περιέργειας, αναπτύξαμε «ένα ζευγάρι από κάθε πλάσμα» - Windows Υπολογιστές και διακομιστές διαφόρων εκδόσεων, Linux-διακομιστές, ΑΤΜ Windows ενσωματωμένο, SWIFT Web Access, έναν εκτυπωτή δικτύου, έναν διακόπτη Cisco, μια κάμερα IP Axis, ένα MacBook, μια συσκευή PLC, ακόμη και μια έξυπνη λάμπα. Αυτό σημαίνει συνολικά 13 κεντρικούς υπολογιστές. Γενικά, ο προμηθευτής συνιστά την ανάπτυξη τέτοιων αισθητήρων σε τουλάχιστον 10% του συνολικού αριθμού των πραγματικών κεντρικών υπολογιστών. Το ανώτατο όριο είναι ο διαθέσιμος χώρος διευθύνσεων.

   Ένα πολύ σημαντικό σημείο είναι ότι κάθε τέτοιος κεντρικός υπολογιστής δεν είναι μια ολοκληρωμένη εικονική μηχανή που απαιτεί πόρους και άδειες χρήσης. Είναι ένα "ομοιόμορφο", μια εξομοίωση, μια διεργασία σε TSA, η οποία έχει ένα σύνολο παραμέτρων και μια διεύθυνση IP. Επομένως, με τη βοήθεια ακόμη και ενός TSA, μπορούμε να κορεστούμε το δίκτυο με εκατοντάδες τέτοιους φανταστικούς κεντρικούς υπολογιστές που θα λειτουργούν ως αισθητήρες στο σύστημα συναγερμού. Αυτή η τεχνολογία επιτρέπει την οικονομική και αποτελεσματική κλιμάκωση της έννοιας των "honeypots" στην κλίμακα οποιασδήποτε μεγάλης κατανεμημένης επιχείρησης.

   Αυτοί οι κεντρικοί υπολογιστές είναι ελκυστικοί από την άποψη του εισβολέα, καθώς περιέχουν τρωτά σημεία και μοιάζουν με σχετικά εύκολους στόχους. Ο εισβολέας βλέπει τις υπηρεσίες σε αυτούς τους κεντρικούς υπολογιστές και μπορεί να αλληλεπιδράσει μαζί τους, να τους επιτεθεί χρησιμοποιώντας τυπικά εργαλεία και πρωτόκολλα (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, κ.λπ.). Αλλά είναι αδύνατο να χρησιμοποιήσετε αυτούς τους κεντρικούς υπολογιστές για να αναπτύξετε μια επίθεση και να εκκινήσετε τον κώδικά σας.

5. Ο συνδυασμός αυτών των δύο τεχνολογιών (FullOS και εξομοιωμένα honeypots) μας επιτρέπει να επιτύχουμε υψηλή στατιστική πιθανότητα ένας εισβολέας να συναντήσει τελικά κάποιο στοιχείο του δικτύου σηματοδοσίας μας. Πώς όμως μπορούμε να κάνουμε αυτή την πιθανότητα κοντά στο 100%;

   Τα λεγόμενα tokens (Deception tokens) μπαίνουν στη μάχη. Χάρη σε αυτά, μπορούμε να συμπεριλάβουμε όλους τους διαθέσιμους υπολογιστές και διακομιστές της επιχείρησης στα κατανεμημένα IDS μας. Τα tokens τοποθετούνται σε πραγματικούς υπολογιστές χρηστών. Είναι σημαντικό να κατανοήσουμε ότι τα tokens δεν είναι ένας παράγοντας που καταναλώνει πόρους και μπορεί να προκαλέσει συγκρούσεις. Τα tokens είναι παθητικά στοιχεία πληροφοριών, ένα είδος "ψωμιού" για την επιτιθέμενη πλευρά, που την οδηγεί σε παγίδα. Για παράδειγμα, συνδεδεμένοι δίσκοι δικτύου, σελιδοδείκτες σε ψεύτικα πάνελ διαχειριστή ιστού στο πρόγραμμα περιήγησης και αποθηκευμένοι κωδικοί πρόσβασης σε αυτούς, αποθηκευμένες συνεδρίες ssh/rdp/winscp, οι παγίδες μας με σχόλια σε αρχεία hosts, κωδικοί πρόσβασης αποθηκευμένοι στη μνήμη, διαπιστευτήρια ανύπαρκτων χρηστών, αρχεία γραφείου, το άνοιγμα των οποίων θα ενεργοποιήσει το σύστημα και πολλά άλλα. Έτσι, τοποθετούμε τον εισβολέα σε ένα παραμορφωμένο περιβάλλον κορεσμένο με φορείς επίθεσης που στην πραγματικότητα δεν αποτελούν απειλή για εμάς, αλλά μάλλον το αντίθετο. Και δεν έχει κανέναν τρόπο να προσδιορίσει πού οι πληροφορίες είναι αληθείς και πού είναι ψευδείς. Έτσι, όχι μόνο διασφαλίζουμε την ταχεία ανίχνευση της επίθεσης, αλλά και επιβραδύνουμε σημαντικά την πρόοδό της.

Ένα παράδειγμα δημιουργίας μιας παγίδας δικτύου και ρύθμισης διακριτικών. Φιλικό προς το χρήστη περιβάλλον εργασίας και χωρίς χειροκίνητη επεξεργασία ρυθμίσεων, σεναρίων κ.λπ.

Στο περιβάλλον μας, έχουμε διαμορφώσει και αναπτύξει έναν αριθμό τέτοιων διακριτικών στο FOS01 υπό τον έλεγχο του Windows Server 2012R2 και ένας δοκιμαστικός υπολογιστής υπό Windows 7. Αυτά τα μηχανήματα εκτελούν RDP και τα "κρεμάμε" περιοδικά στην DMZ, όπου βρίσκονται επίσης αρκετοί από τους αισθητήρες μας (προσομοιωμένες παγίδες). Με αυτόν τον τρόπο, λαμβάνουμε μια συνεχή ροή συμβάντων, ας πούμε, φυσικά.

Λοιπόν, ακολουθούν μερικά σύντομα στατιστικά στοιχεία για το έτος:

56 – καταγεγραμμένα περιστατικά,
2 – Εντοπίστηκαν κεντρικοί υπολογιστές πηγής επίθεσης.

Διαδραστικός χάρτης επίθεσης με δυνατότητα κλικ

Ταυτόχρονα, η λύση δεν δημιουργεί κάποιο mega-log ή ροή συμβάντων που χρειάζεται πολύ χρόνο για να ταξινομηθεί. Αντίθετα, η ίδια η λύση ταξινομεί τα συμβάντα ανάλογα με τον τύπο τους και επιτρέπει στην ομάδα ασφάλειας πληροφοριών να επικεντρωθεί κυρίως στα πιο επικίνδυνα - όταν ο εισβολέας προσπαθεί να αυξήσει τις συνεδρίες ελέγχου (αλληλεπίδραση) ή όταν εμφανίζονται δυαδικά ωφέλιμα φορτία (μόλυνση) στην κυκλοφορία μας.

Όλες οι πληροφορίες σχετικά με τα γεγονότα είναι ευανάγνωστες και παρουσιάζονται, κατά τη γνώμη μου, σε μια εύκολα κατανοητή μορφή ακόμη και για έναν χρήστη με βασικές γνώσεις στον τομέα της ασφάλειας πληροφοριών.

Τα περισσότερα από τα καταγεγραμμένα περιστατικά αφορούν προσπάθειες σάρωσης των κεντρικών υπολογιστών μας ή μεμονωμένων συνδέσεων.

Ή προσπαθεί να χρησιμοποιήσει κωδικούς πρόσβασης με βίαιη δύναμη για RDP

Υπήρχαν όμως και πιο ενδιαφέρουσες περιπτώσεις, ειδικά όταν οι εισβολείς «κατάφεραν» να υποκλέψουν τον κωδικό πρόσβασης για το RDP και να αποκτήσουν πρόσβαση στο τοπικό δίκτυο.

Ένας εισβολέας επιχειρεί να εκτελέσει κώδικα χρησιμοποιώντας psexec.

Ο εισβολέας βρήκε μια αποθηκευμένη συνεδρία που τον οδήγησε σε μια παγίδα με τη μορφή Linux-server. Αμέσως μετά τη σύνδεση, χρησιμοποιώντας ένα μόνο, προκαθορισμένο σύνολο εντολών, επιχείρησε να καταστρέψει όλα τα αρχεία καταγραφής και τις αντίστοιχες μεταβλητές συστήματος.

Ένας εισβολέας επιχειρεί να εκτελέσει μια SQL injection σε ένα honeypot που μιμείται το SWIFT Web Access.

Εκτός από τέτοιες «φυσικές» επιθέσεις, πραγματοποιήσαμε επίσης μια σειρά από δικές μας δοκιμές. Μία από τις πιο ενδεικτικές είναι η δοκιμή του χρόνου που απαιτείται για την ανίχνευση ενός worm δικτύου στο δίκτυο. Για αυτό, χρησιμοποιήσαμε ένα εργαλείο από την GuardiCore που ονομάζεται Μαϊμού μόλυνσηςΑυτό είναι ένα σκουλήκι δικτύου που μπορεί να συλλάβει Windows и Linux, αλλά χωρίς κανένα «χρήσιμο» φορτίο.
Αναπτύξαμε ένα τοπικό κέντρο εντολών, εκτοξεύσαμε την πρώτη παρουσία του worm σε ένα από τα μηχανήματα και λάβαμε την πρώτη ειδοποίηση στην κονσόλα TrapX σε λιγότερο από ενάμιση λεπτό. TTD 90 δευτερόλεπτα έναντι 106 ημερών κατά μέσο όρο...

Χάρη στη δυνατότητα ενσωμάτωσης με άλλες κατηγορίες λύσεων, μπορούμε να μεταβούμε από την απλή γρήγορη ανίχνευση απειλών στην αυτόματη ανταπόκριση σε αυτές.

Για παράδειγμα, η ενσωμάτωση με συστήματα NAC (Network Access Control) ή CarbonBlack θα επιτρέψει την αυτόματη αποσύνδεση των παραβιασμένων υπολογιστών από το δίκτυο.

Η ενσωμάτωση με sandboxes σάς επιτρέπει να υποβάλλετε αυτόματα αρχεία που εμπλέκονται σε μια επίθεση για ανάλυση.

Ενσωμάτωση McAfee

Η λύση διαθέτει επίσης το δικό της ενσωματωμένο σύστημα συσχέτισης συμβάντων.

Αλλά δεν μείναμε ικανοποιημένοι με τις δυνατότητές του, οπότε το ενσωματώσαμε με το HP ArcSight.

Το ενσωματωμένο σύστημα έκδοσης εισιτηρίων βοηθά στην αντιμετώπιση των εντοπισμένων απειλών «ως ομάδα».

Δεδομένου ότι η λύση αναπτύχθηκε «από την αρχή» για τις ανάγκες κυβερνητικών υπηρεσιών και ενός μεγάλου εταιρικού τμήματος, εφαρμόζει φυσικά ένα μοντέλο πρόσβασης βασισμένο σε ρόλους, ενσωμάτωση με το AD, ένα ανεπτυγμένο σύστημα αναφορών και ενεργοποιητών (ειδοποιήσεις συμβάντων), ενορχήστρωση για μεγάλες δομές διαχείρισης ή παρόχους MSSP.

Αντί ενός βιογραφικού σημειώματος

Αν υπάρχει ένα τέτοιο σύστημα παρακολούθησης, το οποίο, μεταφορικά μιλώντας, καλύπτει την πλάτη μας, τότε με την παραβίαση της περιμέτρου, όλα μόλις ξεκινούν. Το πιο σημαντικό είναι ότι εμφανίζεται μια πραγματική ευκαιρία για την καταπολέμηση περιστατικών ασφάλειας πληροφοριών και όχι για την αντιμετώπιση της εξάλειψης των συνεπειών τους.

Πηγή: www.habr.com