Zabezpečení koncových bodů se komplikuje

10. 6. 2011

Sdílet

Uživatelé prohlašují, že ochrana klientů zapojených do sítě se stává obtížnější, protože roste množství typů zařízení - desktopy, notebooky, chytré telefony - a to dělá ze zabezpečení složitý úkol.

Problém je tvořen tím, co skupiny v rámci korporací na těchto zařízeních dělají, a to se transformuje na různé úrovně ochrany pro třídy uživatelů na mnoha zařízeních.

„Rozhodnutí o odpovídající ochraně zařízení se stává nejdůležitější činností specialistů na zabezpečení klientů," tvrdí Jennifer Jabbushová, ředitelka zabezpečení informačních systémů v konzultační firmě Carolina Advanced Digital. V závislosti na zařízení a roli uživatele musí být klienti omezeni na větší či menší úroveň.

 

Ochrana citlivých dat

Například zdravotnické zařízení Wyoming Medical Center, v Casperu ve státě Wyoming, má definovány čtyři třídy počítačů – „otevřené počítače na chodbách pro použití personálem, počítače na ošetřovnách, počítače v kancelářích a mobilní počítače, které se přesouvají mezi místnostmi pacientů a zpracovávají velmi specifické a omezené aplikace," uvádí tamní Rob Pettigrew, manažer technických systémů a linky technické podpory.

Pettigrew nasazuje produkt Novell ZenWorks na 850 z 900 počítačů centra za účelem zajistit, že každá třída bude mít správný software. Vysvětluje, že se 110 aplikacemi a 40 hlavními systémy zdravotnického softwaru to tvoří velkou základnu typů počítačů a omezení, které je nutno zvládnout.

Lékaři z přidružených klinik mohou navíc využívat přístup pomocí sítě SSL VPN, ale jen k webovým serverům na portálu lékařů, který je chráněn z datové sítě nemocnice. „K ochraně informací před únikem jsou využíváni tencí klienti Citrix, ale celkově se strategie pro nespravované počítače teprve rozpracovává," uvádí Pettigrew. „Doufáme v rozšíření linky technické podpory" pro práci s externími lékaři," vysvětluje.

Důvěrnost dat lze vyřešit zabezpečením klientů. „Pro oddělení zdravotních služeb okrsku Los Angeles je to zcela prvořadé," vysvětluje Don Zimmer, manažer zabezpečení informací tohoto oddělení. Podporuje cca 18 tisíc desktopů a notebooků a při provozu musí dodržovat omezení daná zákonným předpisem HIPAA (Health Insurance Portability and Accountability Act). „To mimo jiné znamená šifrování disků," vysvětluje.

„Pokud není provedeno kódování dat a dojde k jejich narušení, máme z toho potíže," dodává. Aby nedošlo ke ztrátě soukromí pacientů a s tím související důvěry veřejnosti, šifruje oddělení disky všech klientských počítačů pomocí softwaru společnosti PointSec.

Stejně důležité je udržení citlivých informací mimo vyměnitelná média, která lze připojit přes porty USB. Oddělení používá produkt Safend USB Port Protector, který buď zabrání v přístupu k citlivým dokumentům, nebo před jejich umístěním na vyměnitelné médium vyžaduje jejich zašifrování a ochranu heslem.

Zimmer zkoumá software pro prevenci úniku dat a také omezení přístupu k datům. I když technologie může být efektivní, vyžaduje také, aby firmy lokalizovaly a klasifikovaly svá data a nastavily pro ně související zásady -- činnost, která se může zdát v závislosti na způsobu uložení dat neproveditelná.

Pro Pettigrewa to znamená hledání 5 % důvěrných dat uložených mimo elektronický systém zdravotních záznamů zdravotnického centra.

 

Další možnosti

Některé firmy dávají namísto jednání s mnoha dodavateli specifických produktů ochrany klientů raději přednost bezpečnostním klientským sadám, které se vyvinuly z antivirových kořenů dodavatelů, jako jsou společnosti McAfee a Symantec.

Sam Ghelfi, ředitel zabezpečení ve finanční firmě Raymond James, zvolil sadu Sophos Endpoint Protection and Data Security Suite, která nabízí firewall, antivirus, systém prevence před únikem dat, antispyware, šifrování a řízení přístupu k síti (NAC). Společnost si přeje použít přísnou kontrolu nad obsahem webu, který je dostupný uživatelům, aby se minimalizovalo množství malwaru pocházející z obyčejného prohlížení webu. Firma používá produkt Sophos Web proxy, který filtruje weby podle reputace, ale také podle zasílaného obsahu.

Mobilní zařízení, která by mohla obsahovat důvěrné informace společnosti, mají zašifrované disky pomocí agentů softwaru Sophos. Dojde-li ke ztrátě nebo krádeži, je šifrovací klíč smazán a dešifrovat obsah disku je potom nemožné.

Ghelfi uvádí, že věří v osobní firewally v jednotlivých počítačích, protože mohou zastavit komunikaci mezi skupinami zařízení. „Při centrální správě mohou odhalit vzory síťových přenosů," dodává.

Zatím však nevyužívá všechny funkce sady Sophos. Například se snaží zvládnout implementaci NAC, aby nespravované klientské počítače zůstaly v síti, ale zároveň se minimalizovalo riziko jejich infekce.

Jejich čistota bude zajištěna pomocí ověřování, metody přístupu a typu počítače, ale u smluvních partnerů vyžadujících přístup do hlavní sítě bude podmínkou instalace sady Sophos. Dalším nespravovaným počítačům, například návštěvníků, je dovolen přístup jen přes vyhrazenou bezdrátovou síť, která zpřístupňuje jen omezenou množinu serverů v síťovém segmentu chráněném firewally.

„Takové sady zabezpečení klientů mohou být finančně atraktivní," tvrdí Jabbushová, „protože zákazníci mohou dosáhnout nižšího počtu agentů, licencí, nižších poplatků za podporu a menší náročnosti správy. Pokud se zákazníci rozhodou využívat více aplikací ze sady, může to přinést určitou míru pohodlí.

 

Příliš chytré telefony

Nejnovější třída zařízení -- chytré telefony -- představuje přetrvávající výzvy, protože organizace zjišťují, jak se s nimi vypořádat. Zejména ošidné je, zda dovolit zaměstnancům používat osobní zařízení pro firemní účely a umožnit jim přístup do firemní sítě.

Výsledek je stále nejasný, minimálně u ředitelů informačních technologií vládních úřadů. Nedávný průzkum Národní asociace státních ředitelů informačních technologií uvádí, že ze 36 států, které se zúčastnily, se 39 procent vyjádřilo, že dovolí zaměstnancům používat osobní chytré telefony, pokud budou chráněny státními bezpečnostními opatřeními.

Dvacet sedm procent tvrdí, že je nedovolí nasadit ve svých sítích, 17 % uvádí, že teprve zkoumají zásady a 17 % informuje, že nemají celostátní kontrolu a každá agentura si vytváří vlastní zásady.

Separátní průzkum společnosti Forrester Research uvádí, že 73 procent dotazovaných firem se minimálně nějak zabývá chytrými telefony z hlediska povolení pro firemní použití.

Jabbushová tvrdí, že faktorem je typ chytrého telefonu. „Nedokáži si zatím představit generální povolení pro iPhone," upřesňuje. „BlackBerry je na tom lépe," protože přístroje BlackBerry mají propracovanou infrastrukturu pro správu a zařízení lze omezit podle podnikových zásad.

ICTS24

 

Tento článek vyšel v tištěném Security Worldu 3/2010.