Strażnik czeka w porcie

Check Point jest kojarzony głównie z technologiami VPN i bramkami UTM (Unified Threat Management), ale dzięki zakupowi firmy Pointsec Mobile Technologies stał się jednym z głównych graczy na rynku zabezpieczania danych, zwłaszcza w segmencie mobilnym.

Check Point jest kojarzony głównie z technologiami VPN i bramkami UTM (Unified Threat Management), ale dzięki zakupowi firmy Pointsec Mobile Technologies stał się jednym z głównych graczy na rynku zabezpieczania danych, zwłaszcza w segmencie mobilnym.

Minęły czasy, kiedy ochronę przed wyciekiem informacji czy zainfekowaniem firmowej sieci przez jakiś nośnik zapewnić miał sam fakt, że użytkowane w przedsiębiorstwie komputery stacjonarne nie mają stacji dyskietek lub czytnika/nagrywarki CD/DVD. Rosnąca mobilność użytkowników i zwiększająca się ilość będących w użyciu laptopów, urządzeń typu pendrive, nowoczesnych telefonów komórkowych lub palmtopów, sprawiły, iż problem ochrony łatwo przenośnych danych w systemach IT staje się palący. Większość użytkowników, podpinając np. pendrive do komputera, chce jedynie przerzucić zdjęcia lub pliki muzyczne "do" lub "z" firmowego PC. Nie można jednak bagatelizować zagrożenia związanego z możliwością zainfekowania sieci przez niewiadomego pochodzenia plik, wyciekiem ważnych dokumentów firmowych czy wręcz całych baz danych, jakie można zmieścić na miniaturowym nośniku USB. Zdaniem ekspertów ds. bezpieczeństwa, temu problemowi wciąż poświęca się zbyt mało uwagi. Dostawcy rozwiązań starają się więc nie tylko odpowiadać na potrzeby klientów, ale też w dużej mierze kreować rynek. Jednym z pionierów w tym segmencie była szwedzka firma Pointsec (obecnie należąca do Check Point). Jej sztandarowym produktem jest Pointsec Protector - oprogramowanie zapewniające ochronę przed wyciekiem firmowych danych na dyskach optycznych lub nośnikach Flash wpinanych do złączy USB. Działa ono nie tylko jako "strażnik portów", ale pełni również pewne funkcje rozwiązania do filtrowania treści i szyfrowania mediów. Pointsec Protector umożliwia kontrolę wykorzystania portów USB, FireWire, a także IDE, Bluetooth itp.

Kontrola portów i szyfrowanie

Funkcjonalność Pointsec Protector i dostępnych na rynku konkurencyjnych narzędzi tego typu (np. SafeBoot Port Control) nie polega na blokowaniu działania nośników danych podłączanych do określonych portów w komputerze czy możliwości odtworzenia płyty włożonej do napędu CD/DVD. Administrator może bowiem ustawić całkowitą blokadę korzystania z wymiennych nośników, umożliwić tylko odczytywanie zapisanych na nich plików, zapewnić pełny dostęp lub też określić, że wszystkie dane zapisywane na nośniku wymiennym podłączanym do firmowego komputera muszą być szyfrowane (AES 128/256). Także i w tym przypadku administracyjnie można zapewnić otworzenie tak zabezpieczonych plików w trybie "offline", czyli poza korporacyjną siecią kontrolowaną przez Pointsec Protector. Potrzebna do tego jest niewielka aplikacja deszyfrująca pliki w locie.

Ochrona na wynos

Dostawcy systemów bezpieczeństwa coraz częściej alarmują o niebezpieczeństwie związanym z wykorzystaniem urządzeń mobilnych w przedsiębiorstwach. Rynek nie doświadczył jeszcze plagi wirusów dla PDA czy smartfonów, więc stosunkowo rzadko użytkownicy instalują na nich spowalniające pracę systemu aplikacje antywirusowe. Klienci zaczęli natomiast zdawać sobie sprawę, że obecnie największym zagrożeniem jest nie tyle zdalne włamanie do komputera przenośnego lub telefonu, ile utrata takiego urządzenia wraz z niezabezpieczonymi danymi. W przypadku notebooków masę krytyczną zyskuje więc rynek narzędzi do szyfrowania danych. Jak podkreślają eksperci, obecnie standardem powinno stać się szyfrowanie całych dysków twardych komputerów przenośnych, nie zaś pojedynczych plików czy katalogów. Nokia przekonuje klientów, że skoro można zarządzać stacjami PC, to można i trzeba zarządzać także telefonami komórkowymi. Oferowane przez fińskiego producenta rozwiązanie Nokia Intellisync Device Management ma nie tylko zautomatyzować proces inwentaryzacji firmowych komórek czy wgrywania na nie aplikacji, ale również uchronić firmę przed utratą danych. Dzięki Nokia Intellisync Device Management w krytycznych momentach (zagubienie, kradzież komórki/smartfonu) administrator IT może wysłać do takiego aparatu komendę "kill" kasującą wszystkie zapisane w nim dane (wymagany zasięg). Dodatkowe zabezpieczenie zapewni taką samą reakcję na wprowadzenie niewłaściwego specjalnego kodu PIN, autoryzującego dostęp do aparatu.

Przyłączanym do firmowych komputerów magazynom danych (nośnikom) nadawane są odpowiednie "metki" cyfrowe. Na tej podstawie Protector rozpoznaje nośniki "zaufane", które uzyskują określone prawa dostępu. Kluczem może być rodzaj urządzenia/pamięci (np. pendrive - BLOKUJ, płyta DVD - ZEZWALAJ), a nawet jego konkretny model czy występujący w nośnikach tego typu unikalny identyfikator sprzętowy. Prawa dostępu mogą być egzekwowane również według rodzaju zawartości i zasad filtrowania treści (zapisywanie plików .XLS na nośnikach flash - ZEZWALAJ; zgrywanie plików .JPG i .EXE na firmowe komputery - BLOKUJ). Filtrowanie treści ma, przynajmniej teoretycznie, dodatkowo utrudnić wyciek ważnych korporacyjnych danych, nawet jeśli będzie to spakowany plik ze zrzutem ekranu prezentującym firmowy dokument. Kolejnym kluczem, według którego ustawia się prawa użytkownika, jest środowisko, w jakim znajduje się komputer. Administrator może określić, że maszyna zalogowana do korporacyjnej sieci będzie miała pełne prawo do korzystania np. z portów USB i płyt DVD. Poza siecią zostanie natomiast ograniczona m.in. możliwość zgrywania danych na nośniki typu pendrive.

Strażnik czeka w porcie

Michał Jarski

Warta uwagi jest również dostępna w produkcie Check Pointa funkcja audytu. Zapewnia ona raport z pełną historią zdarzeń związanych z wykorzystaniem portów w danym komputerze - np. kiedy i jaki nośnik był podłączony do portu USB, czy uruchamiano napęd optyczny, czy do stacji był podłączony iPod, czy był wykorzystany moduł komunikacji bezprzewodowej.

Z punktu widzenia działów IT istotna jest możliwość łatwego zarządzania takim rozwiązaniem, wdrażania aplikacji (np. pakiety MSI) i zapewniania zgodności z korporacyjną polityką bezpieczeństwa. Dlatego też Pointsec Protector jest wyposażony w centralną konsolę administracyjną SmartCenter i umożliwia integrację z usługami Active Directory, eDirectory.

Należy się spodziewać, że rozwój tego typu narzędzi będzie szedł przede wszystkim w kierunku centralizacji zarządzania oraz integracji z zewnętrznymi systemami bezpieczeństwa (np. antywirusowymi).

Dla COMPUTERWORLD komentuje Michał Jarski, dyrektor regionalny, Check Point Software Technologies

Wraz z rosnącą mobilnością pracowników na całym świecie dostrzegana jest coraz bardziej potrzeba bezpośredniej ochrony danych przenoszonych wraz z nimi na notebookach, smartfonach i PDA. Mam tu na myśli zarówno szyfrowanie danych na pamięciach masowych i tych wbudowanych lub dołączanych w postaci kart, czy urządzeń USB, jak i kontrolowanie, jakie urządzenia zewnętrzne mogą być podłączane do komputera i jakie dane mogą być z nimi wymieniane. Dodatkowym stymulatorem dla zainteresowania rozwiązaniami data security jest pojawiające się zarówno w USA, jak i w Unii Europejskiej prawodawstwo wymuszające stosowanie bezpośrednich zabezpieczeń danych przechowywanych i przetwarzanych w systemach IT. W Polsce mieliśmy już "przygrywkę" w tym zakresie - ustawy o ochronie danych osobowych i informacji niejawnych. W zasadzie dotyczy to wszystkich organizacji przetwarzających dane klientów, zbierających informacje o darczyńcach, obsługujących różnorodne transakcje finansowe.


TOP 200