Bezpečnost koncových zařízení

Pod pojmem „koncové zařízení“ nespadá dnes pouze klasický PC a notebook. Patří sem také mobilní platformy jako tablety a chytré mobilní telefony a v době virtualizace a Internetu věcí i zařízení typu tenký klient či PLC ovlivňující chod průmyslových zařízení. Nemůžeme zapomenout ani na jejich periferie. Všechna tato zařízení mají operační systém nebo minimálně firmware, který je potřeba mít pod kontrolou.

Moderní ochrana koncových zažízení je založena na současném použití více technologií chránící nejen soubory, ale již samotné zavádění operačních systémů a jejich běžící procesy. Dnešní řešení běžně obsahují technologie typu Antivir, Antispam, Host Firewall & IPS, Device & Application Control, WEB Filtering a některá i znaky Device Managementu. To vše musí zajišťovat maximální ochranu a přesto být co nejmenší systémovou zátěží. 

Antivir

Antivirové/AntiSpyware řešení nesmí chybět na žádném počítači především s operačním systémem Microsoft, ale i Linux a Mac OS. Antivirový klient v počítači zajištuje ochranu proti každoročně se vyskytujícím novým hrozbám virů, červů, Spyware, Trojských koňů, Rootkitů. Jedná se o základní součást bezpečnostních balíčků ochrany koncových zařízení pracujících především se subscribcemi známých hrozeb a heuristickou analýzou kontrolovaných souborů vnořených maker či scriptů.

Antispam

Elektronická pošta je v současnosti největším vektorem šíření malware. Proto je součástí každé end-point ochrany také technologie antispamu. Ta umožňuje v poštovních klientech kontrolu došlé pošty. Dnešní nástroje využívají nejen známých signatur, ale také mechanismy reputačních databází a dalších algoritmů, které finalizují tzv. bezpečnostní skore každého e-mailu. Pokud důvěryhonost překročí definovanou hranici, je možné zvolit, jak s takovým mailem naložit. Součástí řešení bývá karanténa, definice povolených a zakázaných odesílatelů, příjemců a také alerting uživatelů. Antispam pravidla bývají také součástí NG Firewalů, ale až na koncové stanici je možné hloubkově kontrolovat šifrovanou komunikaci end-to-end.

Host Firewall

Firewall na stanici zabezpečuje nejen kontrolu síťové komunikace, ale protože operuje i mezi operačním systémem a uživatelskými aplikacemi, dokáže kontrolovat komunikaci nejen na základě služeb, portů a IP adres, ale také odlišuje konkrétní aplikace.

Host IPS

Intrusion Prevention System neboli systém pro odhalení resp. prevenci průniku je bezpečnostní technologie, která monitoruje síťový provoz a snaží se odhalit podezřelé aktivity, proti kterým následně aktivně zasahuje. Na rozdíl od firewalu IPS vidí až na úroveň protokolů jednotlivých aplikací a dokáže rozpoznat i škodlivý kód vetknutý do legitimní síťové komunikace. V případě IPS na koncových zařízení jsou funkce rozšířeny o "File Integrity Monitoring". FIM sleduje aktivity zápisů do konfiguračních a systémových souborů a míst jako jsou i DLL knihovny či registry. K detekci se využívá nejen známých signatur, ale také strojové učení a umělá inteligence. Vyhodnocuje se také dlouhodobé chování a upozorňuje na anomálie.

Device Control

Flash disk ve formě USB, CD medium a další vyměnitelná media jsou velmi častým nosičem rúzných forem malware. Proto je důležitou součástí ochrany koncových stanic, přehled a hlavně řízení jejich použití v rámci organizace. K prosazení definovaných pravidel slouží nástroje na centrální správu připojovaných zařízení. Existují i samostatné produkty, ale velmi často bývá řešení součástí bezpečnostního balíčku end-point ochrany různých výrobců. Nasazení takového řešení umožní kontrolu nejen nad výměnnými datovými nosiči, ale také nad jinými plug and play zařízeními. I zde je dnes reálné, potkat formu kybernetické hrozby v podobě zranitelného webového rozhraní tiskových serverů sdílených tiskáren nebo HW keylogerů v klávesnicích apod. Sofistikovaná řešení se pak neomezují jen na fyzické formy komunikačních sběrnic jako je USB, ale je možné řídit pravidla připojování periferií také na bezdrátových technologiích jako je WiFi nebo Bluetooth.

Application Control

Řízený rozsah a oprávnění spouštěných aplikací patří dnes k základním pilířům kybernetické bezpečnosti koncových zařízení. Každá aplikace, které je umožněno spuštění konkrétním uživatelem na konkrétní stanici, je definována svým otiskem včetně digitálního podpisu, verze, místa spuštění, běžícího procesu, oprávnění, pod kterým je spouštěna a dalšími parametry. Tento otisk je označen za akceptovatelný a jakékoli odchylky jsou protokolovány a mnohdy i zakázány. Ne vždy je možné zavést takto striktní omezení, tzv. "white listening" aplikací, i když je tím zajištěna naprostá legitimita. Důležitá je samotná viditelnost (visibilita) aplikací, které jsou v infrastruktuře spouštěny a je možné reagovat i pomocí procesních opatření.

WEB Filtering

Filtrování a kontrola přístupu na Internet se původně využívala jako nástroj pro sledování "struktury" webové komunikace a pro zvyšování produktivity práce. Díky tomu jsou dnes weby přehledně kategorizovány v databázích se stovkami tisíc až miliony záznamy. Kategorie webů se využívají nejen k ochraně morálky různých věkových skupin, ale jsou především definičním zdrojem pro hloubkové kontroly HTTP a HTTPS provozu. Využívají další bezpečnostní aspekt detekce hrozeb, a tím je reputace. Na základě reputace konkrétní webové stránky se pak rozhoduje, zda se uživateli zobrazí či nikoli. Velice se tím eliminuje přístup a odkazy na weby obsahující škodlivý kod.

Device Management

Zajímavou cestou zvýšení bezpečnosti je definice standardů HW a jejich OS (např. základní, střední a vysoký). Ty pak mohou být vyžadovány pro jednotlivé role lidí v organizaci. VIP role jako admin a manažer budou mít vybavení KZ v úrovni bezpečnosti „vysoká“, zatímco administrativní pracovníci třeba jen základní, protože jsou většinu času také chráněni firemním Next Generation Firewallem.

Konfiguraci a SW vybavení všech KZ z jednoho místa zajišťují systémy centrální správy (UEM - Unified Endpoint Management). Zajišťují prosazení firemních konfiguračních standardů, implementaci patchů OS a distribuci aplikací a celkový přehled o vlastnictví HW a používání SW organizace, a to včetně mobilních platforem (MDM).

Chcete více informací?