Bezbolestné zabezpečení koncových bodů

Nestává se často, že by byli uživatelé nadšeni, když IT manažer na jejich notebooky instaluje bezpečnostní software...


Nestává se často, že by byli uživatelé nadšeni, když IT manažer na jejich
notebooky instaluje bezpečnostní software. Větší bezpečí totiž pro ně obvykle
znamená nutnost pamatovat si více hesel, větší omezení ohledně toho, jaký
software mohou provozovat, a rovněž více překážek, jež musí překonat, aby mohli
svou práci úspěšně dokončit.

Vedoucí technologického týmu firmy Woolpert Laura Davisová však říká, že
mobilní zaměstnanci v její společnosti, jež se zabývá architekturou a
stavebnictvím a která má kolem 800 uživatelů, byli doslova "v extázi", když na
jejich noteboocích nainstalovala Endpoint Security Suite od společnosti
Senforce Technologies. K tomuto kroku se Davisová odhodlala proto, že předtím
nekompromisně zablokovala bezdrátový přístup ze strachu, že by jej hackeři
mohli využít k přístupu do sítě Woolpertu. Či přesněji řečeno, pokusila se
uživatelům znemožnit bezdrátový přístup. "Měli jsme formální politiku, měli
jsme zablokovaný hardware, měli jsme uzamčenou konfiguraci operačního systému,"
popisuje. Avšak vychytralí uživatelé si tak jako tak našli cestičky, jak
bezdrátovou techniku používat. Davisová je nyní v polovině procesu nasazování
sady Senforce na přibližně 300 přenosných počítačů. Senforce poskytuje
uživatelům legitimní bezdrátový přístup, když jsou na cestách, a zablokuje WLAN
systém, když využívají kabelové připojení do lokální sítě Woolpertu.
Zkušenost Davisové ukazuje, jak mohou ze zabezpečení koncových bodů těžit jak
jednotliví zaměstnanci, tak i jejich zaměstnavatelé. Ve strachu úplně ze všeho
od zákonů o ochraně soukromí až po zlomyslné interní pracovníky mnohé firmy
přidávají do koncových bodů, jako jsou desktopy, notebooky a handheldy, stále
větší míru ochrany.
IT manažeři mohou zajistit systémy uživatelů takovými způsoby, jež omezují,
které aplikace na nich mohou běžet, kde mohou realizovat bezdrátové připojení a
zda mohou kopírovat soubor na USB disk či paměťovou kartu. "Avšak uživatelé
toho budou mít plné zuby, protože to bude narušovat jejich práci," vysvětluje
Clain Anderson, ředitel bezpečnosti ve společnosti Lenovo Group. IT pracovníci
se tím, že budou věnovat patřičnou pozornost potřebám uživatelů a že obezřetně
zvolí nástroje pro zabezpečení koncových bodů, mohou vyhnout vytvoření příliš
přísných bezpečnostních politik a přitom budou schopni vypracovat pravidla pro
přístup do sítě. Navíc také stráví méně času tím, že se budou zabývat falešnými
alarmy a přenastavovat bezpečnostní konfigurace.
Pokud je zabezpečení koncových bodů správně zavedeno, chrání kritická data bez
negativního dopadu na produktivitu uživatelů nebo na pracovní program beztak už
značně přetížených IT manažerů.

Hrozby a protiopatření
Koncovým bodem se přitom rozumí jakékoliv inteligentní zařízení připojené k
síti, které je ovládáno koncovým uživatelem a lze pomocí něho pracovat
(respektive k němu přistupovat) mimo sídlo organizace. Tou nejzjevnější hrozbou
pro podnikovou síť je přitom všudypřítomný přenosný počítač s bezdrátovým
připojením. Avšak dokonce i síťové tiskárny a kopírky mají dostatečný výpočetní
výkon a úložný prostor k tomu, aby mohly provést útok. Jakékoliv inteligentní
zařízení s I/O portem může být zranitelné, dokonce i vůči tradičním hrozbám,
jako je krádež. Pro Conrada Pearsona byla drsným probuzením série vloupání, k
níž došlo poblíž jeho firmy. "Sídlím v jedné z nejexkluzivnějších kancelářských
budov, v jaké jen můžete být," říká. Před několika lety ale zloději ukradli
počítače a další věci ze sousedních budov. Pro Pearsona, finančního poradce
Pearson Financial Group, firmy se 30 zaměstnanci, jež se zabývá finančním
plánováním pro 500 zákazníků, to bylo dostatečným varováním.
Od té doby firma nainstalovala nástroje, jako je software Centennial DeviceWall
od společnosti Centennial Software, který zamyká osobní počítače uživatelů tak,
aby nemohli kopírovat informace na paměťové flash karty, CD nebo diskety. To
pomáhá zabezpečit informace o zákaznících, které by byly "hotovým pokladem" pro
zloděje identit, jak dodává Pearson.
Protiopatření začínají u základů: software typu antivirus a antispyware a na
každém počítači v hraničním bodě také firewall. Další krok zahrnuje nasazení
takových produktů, jaké používá Pearson, tedy těch, které umožní
administrátorům u centrální konzole zablokovat aplikace nebo fyzická zařízení,
k nimž může uživatel přistupovat na svém stroji, a monitorovat veškeré pokusy o
obcházení regulace.
Tou nejnáročnější a také nejdražší strategií, jež je obvykle využívána většími
organizacemi, je systém pro kontrolu přístupu do sítě, který běží na serverech
nebo v síťových zařízeních a jenž za účelem odhalení útoků pronikajících do
sítě přes koncový bod, skenuje veškerý síťový provoz. Takové produkty mohou
vyžadovat, aby mělo zařízení před tím, než bude přistupovat do sítě,
nainstalovány patřičné bezpečnostní záplaty a aktualizace, dále určují, kdy a
jak mohou uživatelé přistupovat do bezdrátové sítě, a také, aby omezily možnost
útoků, kontrolují tok provozu v síti. Ať už jde o jakýkoliv přístup, vždy
platí, že uživatelé nechtějí být ochromeni a IT manažeři nehodlají být zahlceni
prací spojenou se správou.
"Když systémy koncových bodů příliš omezíte, může to uživatelům překážet v tom,
aby mohli dobře vykonávat svou práci," varuje Diana Kelleyová, analytička
společnosti Burton Group. "Musíte najít rovnováhu mezi tím, jak pevně tyto
systémy uzamknout, a tím, co uživatelé nebudou moci dělat."
Čtečky otisků prstů, které nahrazují hesla skenováním prstu, mohou zvýšit
zabezpečení bez toho, aby ztěžovaly život uživatelům. Lenovo už prodalo téměř
milion notebooků s takovými snímači, tvrdí Anderson. "Technologie se vyvinula
až do bodu, kde se stává schůdnější variantou pro mobilní uživatele," říká Matt
Wagner, senior manažer marketingu bezpečnostních a bezdrátových produktů ve
společnosti Hewlett-Packard.
S vědomím, že většina koncových uživatelů nemá čas, zájem nebo znalosti, aby se
rozhodli, který software nebo zařízení je na jejich PC bezpečné používat, se
někteří výrobci namísto toho soustřeďují na to, aby nabídli systémy, které
podporují celofiremní bezpečnostní politiky, které uvedená rozhodnutí činí za
uživatele samy. To však ale může přesunout práci z koncového uživatele na IT
manažera.

Jednoduše pro IT
Vytváření politik, které určují, co všechno může a co nemůže běžet v koncových
bodech, po IT manažerech vyžaduje, aby určili, jaký software v jejich
organizacích skutečně běží a které z těchto aplikací jsou opravdu kriticky
důležité. "Manažeři si často neuvědomují, jak dlouho trvá vytvořit politiky,
jež zohledňují, jak uživatelé ve skutečnosti své systémy využívají, a proto
také podceňují náklady na implementaci bezpečnostního softwaru," upozorňuje
analytička Natalie Lambertová ze společnosti Forrester Research.
Implementace omezujících nástrojů, jež spoléhají na takzvanou "bílou listinu"
schválených aplikací, například vyžaduje rozpoznat a zaznamenat každou
aplikaci, již zaměstnanci používají. "Uzamčení fyzického přístupu dat ke stroji
zamezením použití USB flash paměti může například zabránit šíření viru,
současně ale uživateli znemožní legitimně sdílet soubor se spolupracovníkem,"
říká Lambertová. "Dokonce i když používáte hostovaný system IDS (Intrusion
Detection System), který si vytváří znalosti o běžném síťovém provozu, budete
možná muset program provozovat v režimu učení déle než měsíc pak teprve IDS
zjistí, co se ve vašem prostředí děje," dodává Lambertová.
A pak přichází na řadu nekončící práce spočívající v číhání na útoky a v boji
proti nim. Když nedávno převzal virus vládu nad notebooky studentů na
univerzitě v Severní Karolíně (University of North Karolina) a použil je k
chrlení spamu, Mike Hawkins, náměstek ředitele síťové infrastruktury, jej
zneškodnil zablokováním příslušného provozu v přepínačích na okraji sítě. Díky
tomu, že univerzita používá Dragon Intrusion Defense System od společnosti
Enterasys Networks, byl Hawkins schopen změnit konfiguraci všech přepínačů bez
toho, že se musel přihlásit a odhlásit na každém z nich. "Nemám dostatek lidí
(vlastně vůbec nikdo je nemá) na to, abych takové změny prováděl manuálně,"
říká.
"Robustní správa je naprosto nezbytná, neboť ve velmi rozsáhlém prostředí
spravujete třeba 70 tisíc desktopů," říká Kelleyová. Doporučuje bezpečnostní
nástroje, které zjednodušují nejenom proces, kdy je nutné nasadit, monitorovat
a rekonfigurovat agenty, ale během nějž musíte také provádět zmíněné úlohy přes
připojení s nízkou šířkou pásma nebo když je zařízení často odpojováno ze sítě.
"Zákazníci požadují zabezpečení, které je jednoduché, spolehlivé a efektivní,
ale přitom i snadno udržovatelé," vysvětluje Brian Hazzard, ředitel
produktového managementu ve společnosti Bit9. Produkt Bit9 Parity využívá
agenty, kteří monitorují systémy koncových bodů s využitím "šedé listiny"
neznámého softwaru, který může agent buď zablokovat, nebo jen monitorovat, a to
na základě politik centrálně nastavených administrátorem.
"Jednoduchost použití přiměla naši firmu k rozhodnutí, že zvolila Bit9," tvrdí
Javed Ikbal, šéf informační bezpečnosti firmy Omgeo, která provádí obchodování
s akciemi, dluhopisy a dalšími finančními aktivy. Nasadil produkt Bit9 na téměř
tisíc strojů včetně koncových zařízení, produkčních serverů a serverů pro
řízení kvality u nových aplikací. "Každý produkt, který ke své činnosti využívá
analýzu jevů, vyžaduje neustálé ladění a údržbu, abyste si byli jistí, že
zachytává skutečně to, co by měl," říká. Řešení Bit9 Ikbalovi dovoluje, aby
stroje zamkl, aniž by to vyžadovalo příliš mnoho údržby.

Vzdělávejte a konvertujte
Žádný bezpečnostní nástroj nebude účinně pracovat bez úzké kooperace s
uživateli ti musí být podrobně informováni o omezeních toho, co mohou dělat.
Když Pearsonová nainstalovala ve Woolpertu software DeviceWall, generální
ředitelka Denise Reinertová zaměstnancům vysvětlila, proč se pro ně díky novým
předpisům a potřebě chránit zákazníky stalo tak důležité chránit firemní data.
"To vytvořilo dobrý základ pro konverzaci," říká, "a když o tom lidé začali
mluvit, rychle si uvědomili, jak hodně jsme dosud riskovali."
Ve firmě Omgeo pomohla "velmi obsáhlá komunikace s uživateli" rozmělnit opozici
vůči implementaci příslušných systémů. "Když Bit9 vychrlí zprávu, která
říká ,Není vám dovoleno spustit tento software, program nasměruje uživatele na
webovou stránku helpdesku a poskytne mu telefonní číslo na odpovědného
pracovníka," říká Ikbal. Během několik týdnů poté, co byl Bit9 nasazen, se
stávalo, že helpdesk obdržel dva až tři telefonáty denně, nyní však jejich
počet klesl na nulu.
"Lidé mají určité mínění o tom, co mohou a nemohou dělat na svých systémech
koncových bodů," říká Ikbal. "Je na nás, abychom uživatele vzdělávali, a to
také děláme."
V krátkodobé perspektivě takové vzdělávání znamená ještě více práce pro IT
manažery, avšak z dlouhodobého hlediska může všem značně zjednodušit život.



Zdivočelé tiskárny
"Protože mnohé tiskárny a kopírky mají procesor, úložný prostor, operační
systém i síťové připojení, jsou schopné provést útok stejně jako klasické PC,"
říká Mike Hawkins, náměstek ředitele síťové infrastruktury na univerzitě v
Severní Karolíně. Hawkins tvrdí, že se setkal s tím, jak "mnoho a mnoho"
tiskáren na této vysoké škole uchovávalo a stahovalo soubory nebo "podnikalo
útoky proti ostatním počítačům".
"Zjistili jsme takřka nesčetné množství příkladů toho, jak je kompromitace
kancelářského produkčního systému, jako je tiskárna, kopírka nebo fax, využita
pro nedovolené účely," říká John Rose, CTO firmy Enterasys Network, výrobce
mimo jiné systémů síťové bezpečnosti.
Předejít takovým útokům vyžaduje stejnou regulaci a monitoring, jaký se využívá
pro PC a servery. "Ačkoliv mají kopírky neodmyslitelně slabou autentizaci,"
dodává Rose, "striktní politiky omezující šířku pásma, k níž mohou přistupovat,
a síťové protokoly, které mohou používat, je nutí pracovat v menším rozsahu než
PC i proto se z nich ale stává méně atraktivní terč hackerů. Mezi další
možnosti, jak nebezpečnost uvedených kancelářských strojů snížit, patří podle
analytičky Diany Kellerové z firmy Burton Group rovněž jejich umístění do
chráněné virtuální LAN nebo v prostoru za síťovou bránou.
Ať už děláte cokoliv, nepředpokládejte, že se z dobré tiskárny nemůže stát ta
špatná...









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.