Důvodem je to, že tím nejcennějším, co každá firma má, jsou informace (know-how) a každá ztráta může být až zničující. Když si položíme otázku, co je cennější, zda hmotné prostředky (počítač, stroj) nebo informace (kontakty, smlouvy), většina odpoví, že informace. Jak potvrzují analýzy významných institucí (Gartner, FBI), největší nebezpečí úniku dat hrozí firmám zevnitř a téměř 80 % všech úniků informací je způsobeno zaměstnanci. A přesně o tom endpoint security je.
Vezměme si jen nejčastěji používaný operační systém Windows a přenosná zařízení, na která je možné uložit data. Takových zařízení je čím dál tím více. Stačí se jen podívat kolem sebe. Jednoduché USB klíčenky, externí disky, MP3 přehrávače, ale také zařízení jako digitální fotoaparát nebo kamera. Jednoduše řečeno: vše, co se dá připojit k počítači a lze na to nahrát data, je zdrojem nebezpečí úniku dat. To je bohužel odvrácená strana přístupu plug and play. Ten je na jednu stranu uživatelsky velmi příjemný, protože stačí zařízení připojit a většinou ihned používat. Ve Windows ale chybí možnost přístup k těmto zařízením po připojení omezit a kontrolovat.
V čem nebezpečí spočívá? V tom nejjednodušším, co lze s daty udělat. Překopírovat a odnést. Nebo něco "nebezpečného" přinést. Standardní možnosti Windows (XP a vyšší) jsou jen na úrovni plného zákazu/povolení, popřípadě pro určitý typ zařízení omezení na čtení. Tyto možnosti navíc nejsou pro normálního a méně znalého uživatele jednoduše přístupné a na první pohled zřejmé. Takže jejich využití pak závisí na tom, zda správce tuto problematiku sleduje. Vždyť kolik administrátorů ještě dnes nepoužívá politiky, které operační systémy Windows podporují. Kolik z nich zná strukturu klíčů v registrech a ví, jak klíč nastavit, aby se zvýšila bezpečnost systému? V různých konferencích jsou pak k dispozici další řešení, která dokumentují nedostatky systému. Velmi často jde o nastavení práv k systémovým ovladačům, mazání standardně nainstalovaných souborů nebo na té nejnižší úrovni plné znepřístupnění portů odpojením kabelů od základní desky, zákazem v BIOSu nebo zalitím epoxidem. To určitě není to pravé. Zkusme si tedy definovat požadavky, které od tohoto druhu ochrany očekáváme.
Základní věcí, kterou je nutné v oblasti endpoint security řešit, je kontrola přístupu k přenosným zařízením. Zatímco na úrovni Windows je kontrola řešena jen na úrovni přístupu k portům - USB, floppy, CD/DVD - správnější je řešit toto zabezpečení na úrovni zařízení. Proč zakazovat například celý USB port, když potřebujeme připojit skener nebo tiskárnu a zakázat jen připojení USB klíčů. Nebo potřebujeme připojit USB klíč pro načítání dat přinesených od obchodních zástupců, ale chceme zakázat připojení tiskárny. Stejně tak mohou být přes porty připojené například čtečky karet nebo přístupových tokenů - a bez nich, jak každý pochopí, to nejde. Závěr je tedy jasný. Standardní možnosti operačního systému jsou minimální.
Další vlastností, kterou většinou vyžadujeme, je možnost nastavování práv s vazbou na uživatele nebo skupiny uživatelů. Zkuste zakázat panu řediteli možnost připojit si digitální diář, do kterého nebo z kterého přenáší všechny své schůzky a kontakty. A na druhou stranu mu zase vysvětlit, že nelze jednoduše zakázat tento přístup jeho asistentce, která má do jeho kanceláře volný přístup. A co teprve, když máme ve společnosti počítače, které sdílí více uživatelů a každý z nich má jiné požadavky na připojení vnějších zařízení. Systémová podpora je minimální.
Poslední a důležitou vlastností, na kterou se klade velký důraz, je možnost auditu. Nejprve potřebujeme možnost provedení auditu zařízení, které jsou nebo byly k některému z počítačů připojeny, většinou pro účely vytvoření databáze povolených a zakázaných zařízení. Při běžném provozu nás pak zajímá sledování aktivit uživatelů, minimálně na úrovni sledování připojení zařízení a pokusů o porušení nastavených práv. Proč? Protože ne vždy je možné přístup plně zakázat. Jsou uživatelé, kteří si potřebují data odnášet i mimo firmu - například prezentace pro zákazníky, elektronické nabídky, návrhy na CD atd. V tomto případě je auditování jedinou možností dohledat co, kdo a kdy dělal, nebo indikace nestandardního chování uživatele. Když se k tomu přidá rozšíření auditu na úroveň možnosti zobrazení přenášeného obsahu, je šance odnést nepozorovaně cenná data menší.
Přidáme-li k tomu ještě možnosti jako je centrální přístup k nastavení a kontrole, různé režimy chování (on-line, off-line, plánovaný přístup), ošetření pro spuštění v nouzovém režimu a další, zjistíme, že standardními prostředky to opravdu nejde. A protože nebezpečí existuje, nezbývá než se poohlédnout (jak tomu velmi často bývá i v jiných případech) jinde.
Naštěstí existují nástroje třetích stran, které tuto problematiku řeší. Jejich funkčnost je na první pohled obdobná. Liší se především tím, jak k řešení přistupují - vazba do systému (služba, ovladač), vliv na bezpečnost Windows, náročnost na komunikaci (TCP, RPC) a v neposlední řadě i jejich cena. Pro spoustu zákazníků jsou důležité i získané bezpečnostní certifikáty (Common Criteria).
K zástupcům a dá se říct i k lídrům trhu v této oblasti patří produkty společností SecureWave nebo Safend. Popřípadě lze na internetu najít další výrobce, kteří tuto problematiku řeší formou specializovaných nástrojů nebo modulů komplexních nástrojů pro sledování a řízení uživatelů.
Pavel Náplava pracuje ve společnosti Strom B-systems
PŘEDPLATNÉ
ČLÁNKY DO MAILU