Strażnik czeka w porcie

Check Point jest kojarzony głównie z technologiami VPN i bramkami UTM (Unified Threat Management), ale dzięki zakupowi firmy Pointsec Mobile Technologies stał się jednym z głównych graczy na rynku zabezpieczania danych, zwłaszcza w segmencie mobilnym.

Check Point jest kojarzony głównie z technologiami VPN i bramkami UTM (Unified Threat Management), ale dzięki zakupowi firmy Pointsec Mobile Technologies stał się jednym z głównych graczy na rynku zabezpieczania danych, zwłaszcza w segmencie mobilnym.

Minęły czasy, kiedy ochronę przed wyciekiem informacji czy zainfekowaniem firmowej sieci przez jakiś nośnik zapewnić miał sam fakt, że użytkowane w przedsiębiorstwie komputery stacjonarne nie mają stacji dyskietek lub czytnika/nagrywarki CD/DVD. Rosnąca mobilność użytkowników i zwiększająca się ilość będących w użyciu laptopów, urządzeń typu pendrive, nowoczesnych telefonów komórkowych lub palmtopów, sprawiły, iż problem ochrony łatwo przenośnych danych w systemach IT staje się palący. Większość użytkowników, podpinając np. pendrive do komputera, chce jedynie przerzucić zdjęcia lub pliki muzyczne "do" lub "z" firmowego PC. Nie można jednak bagatelizować zagrożenia związanego z możliwością zainfekowania sieci przez niewiadomego pochodzenia plik, wyciekiem ważnych dokumentów firmowych czy wręcz całych baz danych, jakie można zmieścić na miniaturowym nośniku USB. Zdaniem ekspertów ds. bezpieczeństwa, temu problemowi wciąż poświęca się zbyt mało uwagi. Dostawcy rozwiązań starają się więc nie tylko odpowiadać na potrzeby klientów, ale też w dużej mierze kreować rynek. Jednym z pionierów w tym segmencie była szwedzka firma Pointsec (obecnie należąca do Check Point). Jej sztandarowym produktem jest Pointsec Protector - oprogramowanie zapewniające ochronę przed wyciekiem firmowych danych na dyskach optycznych lub nośnikach Flash wpinanych do złączy USB. Działa ono nie tylko jako "strażnik portów", ale pełni również pewne funkcje rozwiązania do filtrowania treści i szyfrowania mediów. Pointsec Protector umożliwia kontrolę wykorzystania portów USB, FireWire, a także IDE, Bluetooth itp.

Kontrola portów i szyfrowanie

Funkcjonalność Pointsec Protector i dostępnych na rynku konkurencyjnych narzędzi tego typu (np. SafeBoot Port Control) nie polega na blokowaniu działania nośników danych podłączanych do określonych portów w komputerze czy możliwości odtworzenia płyty włożonej do napędu CD/DVD. Administrator może bowiem ustawić całkowitą blokadę korzystania z wymiennych nośników, umożliwić tylko odczytywanie zapisanych na nich plików, zapewnić pełny dostęp lub też określić, że wszystkie dane zapisywane na nośniku wymiennym podłączanym do firmowego komputera muszą być szyfrowane (AES 128/256). Także i w tym przypadku administracyjnie można zapewnić otworzenie tak zabezpieczonych plików w trybie "offline", czyli poza korporacyjną siecią kontrolowaną przez Pointsec Protector. Potrzebna do tego jest niewielka aplikacja deszyfrująca pliki w locie.

Przyłączanym do firmowych komputerów magazynom danych (nośnikom) nadawane są odpowiednie "metki" cyfrowe. Na tej podstawie Protector rozpoznaje nośniki "zaufane", które uzyskują określone prawa dostępu. Kluczem może być rodzaj urządzenia/pamięci (np. pendrive - BLOKUJ, płyta DVD - ZEZWALAJ), a nawet jego konkretny model czy występujący w nośnikach tego typu unikalny identyfikator sprzętowy. Prawa dostępu mogą być egzekwowane również według rodzaju zawartości i zasad filtrowania treści (zapisywanie plików .XLS na nośnikach flash - ZEZWALAJ; zgrywanie plików .JPG i .EXE na firmowe komputery - BLOKUJ). Filtrowanie treści ma, przynajmniej teoretycznie, dodatkowo utrudnić wyciek ważnych korporacyjnych danych, nawet jeśli będzie to spakowany plik ze zrzutem ekranu prezentującym firmowy dokument. Kolejnym kluczem, według którego ustawia się prawa użytkownika, jest środowisko, w jakim znajduje się komputer. Administrator może określić, że maszyna zalogowana do korporacyjnej sieci będzie miała pełne prawo do korzystania np. z portów USB i płyt DVD. Poza siecią zostanie natomiast ograniczona m.in. możliwość zgrywania danych na nośniki typu pendrive.

Michał JarskiWarta uwagi jest również dostępna w produkcie Check Pointa funkcja audytu. Zapewnia ona raport z pełną historią zdarzeń związanych z wykorzystaniem portów w danym komputerze - np. kiedy i jaki nośnik był podłączony do portu USB, czy uruchamiano napęd optyczny, czy do stacji był podłączony iPod, czy był wykorzystany moduł komunikacji bezprzewodowej.

Z punktu widzenia działów IT istotna jest możliwość łatwego zarządzania takim rozwiązaniem, wdrażania aplikacji (np. pakiety MSI) i zapewniania zgodności z korporacyjną polityką bezpieczeństwa. Dlatego też Pointsec Protector jest wyposażony w centralną konsolę administracyjną SmartCenter i umożliwia integrację z usługami Active Directory, eDirectory.

Należy się spodziewać, że rozwój tego typu narzędzi będzie szedł przede wszystkim w kierunku centralizacji zarządzania oraz integracji z zewnętrznymi systemami bezpieczeństwa (np. antywirusowymi).