Bezpečné surfování v podniku

Stejně jako v reálné džungli se nejčastěji stávají kořistí skrytých predátorů, kteří je dostanou pomocí phishingu, vynuceného stahování či všelijakého malwaru. Samotný prohlížeč, Java, JavaScript, HTML5 a doplňky jako Adobe Flash Player uživatelům dávají skvělé příležitosti využívat bohaté aplikace, ale také doširoka otevírají dveře kyberzločincům.

Každá technologie má samozřejmě i své nevýhody, které lze zneužít. Následkem toho je internetový prohlížeč, často nazývaný jako univerzální klient, neustále se zvětšujícím kanálem pro malware směrující do moderního podniku.

Pravdou je, že škodlivý kód a jeho rizika se stále vyvíjejí na základě požadavků kyberzločinců a dalších ničemů, přičemž browser je jen obzvláště snadný a přitažlivý cíl.

Bohužel nám historie ukázala, že se tento trend jen zrychluje. Navzdory vývoji dalších bezpečnostních funkcí zůstávají prohlížeče i nadále dobrým snadným cílem, pokud není v podniku věnována dostatečná péče pro jejich omezení.

Zabezpečení prohlížeče lze zlepšit tím, že se provedou určité změny v oblasti lidských zdrojů, postupů i samotných technologií. Nemusíme být obědem piraň ani rychlou svačinou nějakého tygra, protože se můžeme v internetové džungli bránit.

Uvádíme zde 10 nejdůležitějších doporučení pro zlepšení zabezpečení vašeho prostředí pro prohlížení internetu.

1. Holistická správa oprav
Patch management není nic nového, ale je zřídkakdy prováděn holistickým všezahrnujícím způsobem. Většina organizací odvádí dobrou práci při záplatování jádra operačních systémů, ale někdy zanedbává související webové technologie jako například Adobe Flash a Reader, Apple QuickTime či technologii Java.

Holistická správa oprav řeší úplným způsobem celé prostředí desktopu, tedy nejen nativní aplikace, ale také aplikace třetích stran včetně prohlížeče a všech souvisejících doplňků.

Jakoby složitost samotného desktopu nestačila, konzumerizace (snaha mnoha uživatelů přinést si do podniku svá vlastní, obvykle mobilní zařízení) přináší nová rizika jak pro patch management, tak i pro způsob zabezpečení.

Nezávisle na tom, zda se jedná o manažera, který chce používat zbrusu nový tablet se známými neopravenými zranitelnostmi, nebo řadového pracovníka, jenž chce používat smartphone se zastaralým a zneužitelným prohlížečem – musí dojít k instalaci všech aktuálních oprav.

Ucelená holistická snaha záplatovat pomáhá v obraně vůči velkému množství známých chyb. Není to samozřejmě všelék (tím není nic na světě) a nedokážete opravit zranitelnosti nultého dne, ale vyřešením toho, co můžete, lze snížit rizika a náklady.

2. Omezení prohlížeče
I když existují spousty uživatelů open source softwarů, jako jsou Mozilla Firefox nebo Google Chrome, budeme zde řešit browser s největším tržním podílem v podnikové sféře: Microsoft Internet Explorer (IE).

Veškeré současné statistiky využití totiž uvádějí jako nejpoužívanější prohlížeč právě IE a protože Microsoft dominuje i v oblasti korporátních desktopů, je jeho penetrace v této oblasti ještě větší.

Microsoft vyvinul velké úsilí ve zvyšování zabezpečení aplikace Internet Explorer a velká část výsledků je k dispozici s využitím služby Active Directory (AD) pomocí skupinových zásad.

Active Directory je nejen centralizovaná adresářová služba nabízející autentizace a autorizace pro doménu Windows, ale může také řídit zásady zabezpečení v celém prostředí Windows. Skupinové zásady umožňují správcům centrálně řídit konfiguraci IE, a tak efektivně omezit prohlížeče celého podniku.

Internet Explorer nabízí v posledních verzích téměř 1 500 konfigurovatelných nastavení, takže byste měli docela problém dokázat, že není dostatečně flexibilní, aby splnil vaše požadavky zabezpečení. Zvláště dobrou funkcí pro podniky je možnost změny uživatelského rozhraní tím, že se odstraní některé nabídky nebo možnosti konfigurace:
nastavení zón bezpečnosti (umožňuje nastavit úroveň důvěry, kterou by měl klient nebo prohlížeč mít)
nastavení inteligentních filtrů zobrazení (pomáhají chránit před weby obsahujícími škodlivý phishing a malware)
použití ovládacích prvků ActiveX a filtrování (umožňuje kontrolovat doplňky)
správa a blokování stahování atd.
O tomto tématu bylo napsáno již mnoho, tak je postačí jen takto zmínit. Možná budete chtít tyto funkce prozkoumat blíže, abyste své podnikové prohlížeče více omezili.

3. Filtrovací proxy se skenováním na malware
Další vrstvou zabezpečení (jako součást snahy zvýšit důkladnost vaší obrany), která se může ukázat jako neocenitelná, je použití filtrovací proxy se skenováním na přítomnost malwaru. Dodavatelé nabízejí produkty, jako jsou zařízení jednotné správy hrozeb (UTM) a vyhrazené proxy s pokročilým filtrováním na vrstvě 7 a skenováním malwaru.

Tato zařízení nabízejí další hluboké zkoumání dění v aplikační vrstvě pro přenosy směřující do podniku. Jejich kombinace s blokováním URL, skenováním malwaru a vylepšeným protokolováním umožňuje celkové snížení nákladů a zvýšení výkonu.

4. Vývoj antimalwarové obrany
Antimalware se vyvinul z jednoduchých signatur a modelů a nyní může obsahovat funkce založené na heuristice a analýze chování. Ve světle současných webových hrozeb to je vítaný rozvoj.

Nyní jsou k dispozici funkce jako například detekce záškodnických adres URL, pokročilé firewally na straně klienta, částečná detekce narušení hostitele, uzavřené testovací prostředí či černé listiny aplikací.

Tyto typy ochrany přidávají další vrstvu proaktivní obrany vašeho podniku na jednom z jeho nejslabších míst. Vaše antimalwarová sada by měla mít mnoho takovýchto základních funkcí a také pokročilé nástroje správy určené pro údržbu těchto schopností v rámci podniku. V opačném případě nastává čas nakupovat jinde.

5. Péče o vaše mobilní zařízení
Chytré telefony a tablety se v podnicích začínají vyskytovat ve stále větší míře a s nimi přichází i odpovídající malware. Rozšířené mobilní platformy jako třeba Google Android či Apple iOS mají svůj podíl na bezpečnostních problémech.

Správci systémů a sítí zatím nemají v oblasti mobilních zařízení nic, co by se jen blížilo možnostem správy a bezpečnostním funkcím tradičních desktopových operačních systémů.

Uživatelé tak mohou nevědomky stahovat škodlivý kód a mohou se stát obětí phishingu a sociálního inženýrství, které je na těchto mobilních zařízeních mnohem snadnější, protože postrádají ochranu poskytovanou bezpečnostními protokoly a zabezpečením prohlížečů desktopových OS.

Apple by mohl udělat mnohem víc než jen tvrdit, že je jeho software bezpečný a nepotřebuje antimalware. Google by zase mohl nabídnout větší vhled do možností svého řešení. Obě společnosti prostě musí v oblasti zabezpečení usilovat o zlepšení.

Větší možnosti správy a zvýšení bezpečnosti v současnosti poskytují sady správy od nezávislých dodavatelů pro Android a iOS.