Chraňte své koncové body před riziky škodlivého kódu (3.)

6. 7. 2010

Sdílet

Solidní bezpečnostní řešení pro ochranu koncových stanic ve firemní prostředí se neskládá pouze ze sady účinných klientských nástrojů, ale také z kvalitních prostředků pro efektivní centrální správu.

Dokončení včerejšího testu...

Sophos Endpoint Security and Data Protection 9.0
Společnost Sophos je specialistou na zabezpečení firemního prostředí a tomu také odpovídá struktura jejího softwarového portfolia. Endpoint Security and Data Protection je v nabídce výrobce klíčovým balíkem pro komplexní zabezpečení koncových bodů, jenž se vyznačuje podporou celé řady 32- i 64bitových platforem včetně Windows, Linuxu, Mac OS či Unixu, Netwaru a OpenVMS. Kromě toho lze jeho antivirovou ochranu využít na serveru SharePoint, úložných zařízeních NetApp nebo mobilních zařízeních s Windows Mobile.

Tento bezpečnostní systém nabízí širokou paletu nástrojů pro zajištění bezpečnosti firemních počítačů na všech frontách – vedle antiviru a antispywaru zahrnuje také klientský firewall a dále šifrování celého disku nebo dat ukládaných na USB média, DLP (data loss prevention) a podporu NAC (network access control). Stejně tak ale toto řešení poskytuje plnou kontrolu nad instalacemi a použitím neautorizovaných programů a zařízení. Všechny tyto funkce zajišťuje jediný agent, jehož dopad na výkon klientských počítačů byl během našeho testování minimální. Kontrolu všech bezpečnostních rizik provádí v rámci jediného skenování. Pro Linux, Mac OS či Unix je k dispozici pouze antivirus, to je ovšem běžné.

Správa všech klientských platforem je jednotně prováděna z Enterprise Console, která poskytuje velmi dobrou viditelnost celé sítě v rámci správy založené na rolích. Její nároky na serverové prostředky také nebyly nijak závratné, přičemž u naší zkušební instalace jsme využili databázi SQL Server Express (pro rozsahlejší nasazení lze ale využít plný SQL Server).

Distribuce a instalace klientských agentů je realizována prostřednictvím „push“ procesu ze správní konzole, kde je k dispozici průvodce pro automatické vyhledání nových počítačů – zde si můžete vybrat, zda bude seznam PC importován z Active Directory, nebo vytvořen pomocí prohledávání sítě či rozsahu IP adres. Kromě toho lze nastavit, aby konzole v určených intervalech (defaultně je to hodina) kontrolovala, zda v AD došlo ke změnám, a ty se pak automaticky promítnou také v samotné konzoli.

Během instalace klientů si můžete vybrat komponenty, jež mají být nainstalovány – antivirus (včetně kontroly dat a zařízení), firewall, kontrola shody (NAC) a detekce bezpečnostního softwaru třetích stran. Příjemnou funkcí je možnost automatického odstranění softwaru třetích stran, aby nedocházelo ke konfliktům během činnosti konkurenčních řešení (obvyklým postupem u jiných řešení je, že instalovaný software ohlásí přítomnost jiného bezpečnostního programu, a ten musíte odstranit sami, což může být u většího počtu spravovaných stanic zdlouhavé) – během testování, kdy jsme využili systémy, na nichž předtím běžely programy ostatních testovaných systémů, přitom tato funkce pracovala podle očekávání.

Ochranu v reálném čase proti virům, spywaru, rootkitům a dalším formám škodlivého kódu zajišťuje jediný engine. Existence společného detekčního jádra se odráží také v efektivnějším skenování v rámci plánovaných úloh. Systém vytváří hash pro každý soubor a tím pádem, pokud se tento hash nezmění, jej nemusí opakovaně kontrolovat a neplýtvá tak zbytečně zdroji klientské stanice. Sophos nabízí také HIPS (host intrusion prevention systém) využívající technologii Genotype pro zabezpečení proti zero-day útokům, behaviorální ochranu či prevenci před přetečením zásobníku.

Obrannou hradbu dále může posílit dobře navržený klientský firewall, který zajišťuje stavovou kontrolu paketů i ochranu na aplikační úrovni a může využívat různé politiky pro práci ve firemní síti a mimo ni.

Tentýž agent zajišťuje také veškeré úlohy týkající se kontroly aplikací, zařízení a dat, pro tyto funkce tak není třeba instalovat jakékoliv dodatečné nástroje. V rámci kontroly aplikací můžete v případě potřeby zakázat použití jakéhokoliv typu softwaru – buďto celých skupin aplikací určitého typu (IM, VoIP, P2P…) nebo konkrétních programů, jež můžete vybírat z pravidelně aktualizovaného seznamu Sophosu (můžete přitom požádat o přidání vlastní legitimní aplikace). Defaultně jsou veškeré aplikace povoleny (autorizovány), což indikuje, že je tato funkce zamýšlena spíše jako dodatečný nástroj tam, kde je třeba zavést přísnější opatření.

Kontrolou zařízení pak můžete flexibilně omezit použití hardwaru pro ukládání dat (výměnné disky, čtečky karet…), síťovou komunikaci (modemy, Wi.Fi karty atd.) či přenos dat na krátké vzdálenosti (Bluetooth, IrDA). Přitom můžete zařízení pouze detekovat, zcela blokovat, nebo se až při výskytu události (detekci) rozhodnout, zda např. USB disk danému uživateli povolit či zakázat. Přitom lze ale jednoduše definovat výjimky pro konkrétní instance či modely hardwaru. U síťových zařízení stojí za zmínku možnost blokování přemostění, kdy budou pro daného klienta zakázány Wi-Fi prvky, pokud se připojí k pevné firemní síti, ale jakmile se odpojí, může opět využívat bezdrátové připojení – tím lze zamezit nechtěnému přemostění firemní a jiné nežádoucí sítě.

Kontrola dat (DLP), která má zamezit nechtěnému úniku citlivých informací, je založena na dvou typech pravidel. Ta první se týkají pokusů o přenos souborů specifikovaného jména či typu do určité destinace (např. přenos databáze na výměnný disk), druhá pak samotného obsahu (čísla kreditních karet atd.). K dispozici je opět předdefinovaná knihovna pravidel, jež můžete filtrovat i podle regionu (Evropa) a navíc si vytvořit vlastní seznam, který se bude týkat třeba údajů o zákaznících apod. Na události je opět možné reagovat pouze zanesením do logu, vyžádáním povolení či zablokováním.

Další užitečnou (volitelně instalovanou) komponentou řešení je SafeGuard Disk Encryption, která slouží pro šifrování celého disku klienta na úrovni sektorů nebo dat na přenosném médiu. V prvním případě je autentizace vyžadována ještě před nabootováním OS.

Správu a sledování veškerých klientských zařízení, a to i v heterogenním prostředí, kde se vyskytuje kterákoliv z podporovaných platforem, zajišťuje jednotně Enteprise Console, která nabízí i přehledný dashboard. V něm jsou zobrazena veškerá varování a stavy, jež jsou vyhodnocovány na základě nastavených prahových hodnot. Varování týkající se malwaru je zobrazováno také na klientském systému a prostřednictvím nabídnutého odkazu lze na stránkách Sophosu také ihned získat bližší informace o problematickém objektu.

Prostřednictvím různých pohledů a filtrů lze v konzoli zobrazit pouze počítače, jež vyžadují provedení nápravné akce, ať už jde o vzdálené centralizované vyčištění souborů či záznamů v registru nebo aktualizaci. Správce aktualizací pak zajišťuje stahování updatů, jež můžete umístit do jedné či více sdílených složek v síti pro automatickou aktualizaci koncových bodů. Velmi dobře, dá se říci intuitivně je řešeno definování a vynucování politik, které je logicky rozčleněno do sedmi základní oblastí, jimiž jsou aktualizace, antivirus a HIPS, aplikační kontrola, kontrola zařízení, kontrola dat, firewall a NAC. Každou politiku lze potom aplikovat na jednu nebo více skupin uživatelů. Potěší například předkonfigurované politiky NAC, jež usnadní život správcům, kteří v této oblasti dosud nemají mnoho zkušeností.

Kladně je třeba hodnotit možnosti reportingu, jež nabízí připravené typy výstupů týkající se varovných hlášení, shody s definovanými politikami atd. K dispozici jsou výstupy v textové i grafické podobě a je možné je zákaznicky upravovat podle požadavků. Je možný i export do celé řady formátů (PDF (HTML, XLS, DOC, XML atd.).

Sophos Endpoint Security and Data Protection představuje vyspělé a ucelené řešení pro komplexní ochranu koncových bodů a dat ve firemní síti, jež správcům poskytuje spolehlivé nástroje pro zabezpečení na všech úrovních. Za jeho přímé konkurenty na trhu lze označit systémy jako Check Point Endpoint Security, McAfee Total Protection for Endpoint nebo Symantec Endpoint Protection.

Výhodou řešení Sophosu je zejména jednoduchá a přímočará administrace v Enterprise Console, která většinu úloh správy v takto funkčně bohatém systému maximálně usnadňuje a urychluje bez toho, aby to znamenalo jakékoliv omezení flexibility. Na straně klienta je třeba pochválit sjednocení veškerých bezpečnostních nástrojů do „lehkého“ agenta, který provádí kontrolu systému jediným skenováním. V rámci jediného řešení přitom Sophos nabízí nástroje pro zabezpečení firemních počítačů na všech frontách.