Zarządzanie ochroną punktów końcowych

Rozwój zdalnych metod dostępu - wykorzystywanych przez pracowników mobilnych, klientów czy partnerów biznesowych - jest poważnym wyzwaniem dla bezpieczeństwa infrastruktury IT. Tradycyjne rozwiązania, takie jak VPN, zapewniają bezpieczne połączenia, ale nie obejmują bezpieczeństwa klienta podłączającego się do sieci.

Rozwój zdalnych metod dostępu - wykorzystywanych przez pracowników mobilnych, klientów czy partnerów biznesowych - jest poważnym wyzwaniem dla bezpieczeństwa infrastruktury IT. Tradycyjne rozwiązania, takie jak VPN, zapewniają bezpieczne połączenia, ale nie obejmują bezpieczeństwa klienta podłączającego się do sieci.

Dostęp szerokopasmowy zapewnia zdalnym użytkownikom dostateczne pasmo do wykonywania pracy w domu, hotelu czy innych lokalizacjach. Taki użytkownik jest łatwiejszym celem dla napastnika, który penetrując klienta, uzyskuje także możliwość przeniknięcia do sieci przez VPN. Użytkownicy mogą też używać swoich laptopów do celów niezwiązanych z wykonywaną pracą, a następnie podłączać je do sieci przedsiębiorstwa, co otwiera drogę przenikania do niej zagrożeń.

Punktem końcowym sieci może być pecet lub urządzenie mobilne, a także aplikacja, np. przeglądarka webowa lub aplikacja messagingu z podłączeniami do innych punktów końcowych w sieci. Punkt końcowy to zakończenie połączenia sieciowego współpracujące z użytkownikiem, który ma zasadniczy wpływ na jego bezpieczeństwo, a tym samym i całej sieci.

Krytycznym zagadnieniem staje się więc zarządzanie ochroną punktów końcowych oraz sieci, do których się podłączają.

Słabość na końcu sieci

Kiedy zapory ogniowe wyznaczały granice pomiędzy sieciami lokalnymi i rozległymi, zaufanie było dwuwartościowe: pracownicy w obrębie zapory ogniowej byli zaufani, a cały świat poza zaporą był obcy. Ten uproszczony podział musiał ulec zmianie z powodu zaniku wyraźnego perymetru sieci.

Pojawiają się jednostki, które wymagają odmiennych poziomów zaufania. Na przykład partnerzy biznesowi mogą mieć dostęp do cen, planów dyskontowych, pewnych szczegółów technicznych produktów itp. Klienci mogą uzyskiwać szerszy dostęp jedynie do informacji technicznych. Nawet pracownicy mają zróżnicowany poziom dostępu.

Rozprzestrzenianie robaków, wirusów czy trojanów to najczęściej wina zdalnych użytkowników, którzy nie chronią dostatecznie swoich maszyn. Tradycyjne technologie ochrony obwodowej uwierzytelniają zdalnych użytkowników i zapewniają ich bezpieczne połączenie z siecią korporacyjną, nie zapewniają jednak ochrony urządzeń podłączających się do sieci.

Coraz większym problemem staje się dla IT nieewidencjonowana infrastruktura. Składają się na nią produkty i usługi, które są zakupywane przez użytkowników - prywatnie lub na poziomie jednostki biznesowej. Obejmują one usługi bezprzewodowe, punkty dostępu bezprzewodowego, inteligentne telefony czy oprogramowanie (aplikacyjne, ochronne, gry, synchronizujące, bezprzewodowe, messagingu i współdzielenia plików). Instalowane z własnej inicjatywy, wypadają spod kontroli IT.

Urządzenia klienckie stają się ostatnio coraz częściej celem ataków, które nie mają intencji ich niszczenia. Można natomiast zaobserwować wykorzystywanie klienta jako agenta transferu zagrożeń do sieci przedsiębiorstwa.

Skuteczne wykorzystywanie zabezpieczeń

Zarządzanie ochroną punktów końcowych

Zmienny perymetr dzisiejszych sieci

W wielu przypadkach problemem jest brak wiedzy o tym, czy zdalni użytkownicy uruchamiają na swoich terminalach planowane rozwiązania ochronne. Oznacza to konieczność dysponowania mechanizmami kontroli zainstalowania i pracy właściwych aplikacji ochronnych, ich regularnego uaktualniania i aktualności łatek programowych.

Urządzenia klienckie są często administrowane przez właściciela. Może być też zarządzanie w ramach przedsiębiorstwa, ale zarządzanie to często jest niespójne w ramach struktury organizacyjnej, a wiele ataków może być powstrzymywanych przez połączenie technik już dostępnych.

Jeżeli np. punkt końcowy VPN operuje w trybie rozdzielonego tunelu - z jednym interfejsem do VPN i drugim do sieci publicznej - ciężar ochrony sieci przedsiębiorstwa spada przede wszystkim na sam punkt końcowy. Ryzyko zwiększa się, gdy taki punkt znajduje się w sieci bezprzewodowej, gdzie kontrola dostępu może być niespójna, a nawet nieobecna.

Do sieci chronionej mogą podłączać się także partnerzy biznesowi, którzy też muszą być świadomi zagrożeń wnoszonych do obcych sieci. Przedsiębiorstwa często ograniczają się do kontroli swoich systemów, jednak użytkownicy często przenoszą osobiste urządzenia do innych sieci zaufanych bądź łączą się zdalnie z systemów domowych.

Użytkownicy są zazwyczaj angażowani w utrzymanie i ochronę punktów końcowych, ale nie zawsze przestrzegają obowiązujących procedur. Przy odpowiednich narzędziach, dostępnych dla użytkownika, i dobrze określonej polityce można założyć, że użytkownicy sami właściwie zabezpieczą się przed ryzykiem. Jednak pomimo dobrej woli stosowania zasad polityki bezpieczeństwa, niezbędna jest architektura wymuszająca ich stosowanie.

Wymuszone bezpieczeństwo

Zarządzanie ochroną punktów końcowych

Ochrona klienta przez wymuszenia reguł polityki bezpieczeństwa

IDC proponuje model wymuszania bezpieczeństwa klienta (Policy Enforcement Client Security - PECS). Podstawą jest polityka, której reguły mogą określać proste wymogi, np. użytkownik nie może utworzyć tunelu VPN dopóty, dopóki nie zostaną spełnione szczególne warunki: obecność oprogramowania antywirusowego z najnowszymi sygnaturami czy aktywna osobista zapora ogniowa w aktualnej wersji. Poszerzone reguły mogą obejmować również uwierzytelnianie, zarządzanie tożsamością, zapobieganie wtargnięciom i regularne kontrolowanie konfiguracji sprzętu i oprogramowania.

Poza podstawowymi wymogami potrzebne jest też scentralizowane zarządzanie, pozwalające nie tylko na wdrażanie nowych reguł polityki na poziomie klienta, ale także na określanie, czy: dopuścić, zabronić lub poddać kwarantannie żądanie dostępu pochodzące od klienta. Jeżeli klient podlega kwarantannie, możliwe jest jego uzupełnienie (naprawa), np. przez wyposażenie w odpowiednią wersję sygnatur antywirusowych. Scentralizowane zarządzanie zapewnia także możliwość rejestracji zdarzeń i audytu, niezbędnych dla określania zgodności poszczególnych elementów infrastruktury z wymogami polityki obowiązującymi w całym przedsiębiorstwie.

Koncepcja zarządzania polityką bezpieczeństwa nie jest nowa i jest implementowana w takich segmentach, jak konfigurowanie oprogramowania lub zapory ogniowej. Dzisiaj poszukuje się technik spokrewnionych z zarządzaniem siecią i systemem, dostosowanych do zarządzania bezpieczeństwem. Jedną z takich inicjatyw jest Endpoint Compliance Enforcement (ECE).

Zarządzanie ochroną punktów końcowych

Elementy ECE

ECE dotyczy przede wszystkim ochrony punktów końcowych przed:

  • obecnością oprogramowania nieautoryzowanego lub szkodliwego, niedozwolonych aplikacji, a także ustawień konfiguracyjnych;
  • nieautoryzowanym dostępem do hosta lub sieci;
  • nieautoryzowaną konfiguracją punktu końcowego (np. wymienny dysk, zakazane połączenia lub nieuzgodnione połączenia bezprzewodowe);
  • nieautoryzowanym ruchem sieciowym, niezależnie od tego, czy związany jest z użytkownikiem uwierzytelnionym czy nieuwierzytelnionym.
Implementacja każdego z tych elementów strategii zależy od środowiska. Jeżeli połączenie z zaufaną siecią nawiązywane jest z platformy ulotnej, takiej jak publiczne przeglądarki webowe lub kioski, to staje się ona punktem końcowym sieci. W tej sytuacji ECE zakłada większą rolę aplikacji wspierających funkcje zapory ogniowej, która chroni punkty końcowe sieci przed nieautoryzowanym ruchem. W efekcie takie ECE staje się rozszerzeniem zapory ogniowej na czas trwania sesji, wymuszając ustawienia konfiguracyjne i kontroli zawartości. Funkcjonalność ta może znikać po zamknięciu sesji lub może istnieć pomiędzy sesjami w całości lub częściowo.

Jeżeli punkty końcowe nie spełniają wymogów polityki, sieciowy ECE może reagować na różne sposoby: zapobiegając ustanowieniu połączenia, kończąc aktywne połączenia lub kierując punkt końcowy do miejsca, gdzie mogą być zastosowane środki naprawcze. Funkcje naprawcze są szczególnie ważne, ponieważ mogą ułatwiać zabezpieczanie punktów końcowych zamiast, po prostu, wyrzucać je z sieci z powodu niespełnienia wymagań.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200