Jak zabezpieczać punkty końcowe systemu IT

Co oferują rozwiązania Endpoint Protection, dlaczego i kiedy należy się na nie zdecydować.

Uśredniając dane podawane przez firmy analityczne, można stwierdzić, że mniej więcej połowa wszystkich incydentów związanych z bezpieczeństwem dotyczy organizacji zatrudniających mniej niż 1000 pracowników. W mediach rzeczywiście najczęściej przeczytamy tylko o największych atakach, które dotyczą międzynarodowych korporacji, niemniej w praktyce każdego dnia firmy tracą dane i muszą radzić sobie z lukami w zabezpieczeniach. O tym po prostu nikt nie mówi.

„Cyberprzestępcy nieustannie poszukują nowych i tańszych sposobów tworzenia botnetów, a także wymyślają coraz sprytniejsze scenariusze ataków, z którymi niełatwo poradzą sobie typowe rozwiązania bezpieczeństwa” – zauważa Denis Makruszin, badacz ds. cyberbezpieczeństwa, Kaspersky Lab. „Tak długo, jak występują podatne na ataki serwery, komputery i urządzenia internetu rzeczy, możemy spodziewać się dalszego wzrostu zysków z ataków” – dodaje.

Zobacz również:

Administratorzy ds. bezpieczeństwa muszą dziś radzić sobie z wieloma zagrożeniami, co dodatkowo komplikuje fakt, że pracownicy coraz częściej wykorzystują do pracy nie tylko urządzenia mobilne, ale przede wszystkim urządzenia prywatne. Zaprojektowanie szczelnego rozwiązania ochronnego to nie lada wyzwanie. Aby zapewnić dobry poziom bezpieczeństwa, warto rozważyć wdrożenie systemów Endpoint Protection.

Dlaczego Endpoint?

Ważne jest, aby wybierać systemy nowoczesne. Producenci coraz częściej stawiają na rozwiązania z machine learningu (uczenie maszynowe), których zadaniem jest proaktywna ochrona i wykrywanie zagrożeń typu zero-day. Obecnie takie mechanizmy przydają się bardziej, niż może się wydawać.

Systemy Endpoint Protection są bardzo rozbudowane, niemniej ich podstawowa rola to zabezpieczanie punktów końcowych (ang. endpoint) łączących się z siecią, często określanych jako urządzenia końcowe, takie jak laptopy i inne urządzenia mobilne, ale też komputery stacjonarne czy serwery. Dowolne urządzenia – np. smartfon czy table – jeśli tylko łączą się z internetem i siecią firmową, są potencjalnym „punktem styku” pomiędzy danymi służbowymi a cyberprzestępcami. Jeśli więc chcemy zapewnić dobre bezpieczeństwo, powinniśmy zadbać, aby wszystkie sprzęty były chronione. Rozwiązania Endpoint nie tylko kontrolują dostęp, ale też oferują narzędzia zapewniające takie możliwości jak monitorowanie czy blokowanie podejrzanych działań i złośliwego oprogramowania. To również dobre zabezpieczenie sieci m.in. przed atakami ransomware (np. WannaCry).

Rozwiązania Endpoint od antywirusów czy pakietów Internet Security odróżnia przede wszystkim fakt, że urządzenia końcowe ponoszą częściową lub całkowitą odpowiedzialność za własne bezpieczeństwo. To one są zabezpieczane (pojedynczo), nie zaś ogólne połączenie sieciowe, z jakim się łączą. Jeśli chodzi o same bezpieczeństwo, korzystając z Endpoint, zazwyczaj polegamy na dwutorowej metodzie: oprogramowanie zainstalowane jest na centralnym serwerze lub konsoli zarządzania, jak również bezpośrednio na poszczególnych urządzeniach. Listę funkcji, jakie można najczęściej znaleźć w systemach Endpoint Protection, podajemy w ramce.

Zanim zdecydujemy się wdrożyć system Endpoint, warto przemyśleć, na jakie rozwiązanie się zdecydujemy. To istotne, ponieważ będzie to prawdopodobnie decyzja na lata – producent oprogramowania stanie się poniekąd naszym partnerem biznesowym, który pomoże zabezpieczyć serwery, desktopy i urządzenia mobilne. Będziemy też korzystać z tego oprogramowania codziennie i przez lata, ponieważ zmiana systemu zwykle wiąże się z usuwaniem starego, wdrażaniem nowego, nauką jego obsługi i przenoszeniem danych. Firmy natomiast niechętnie przeprowadzają takie „przesiadki”, ponieważ to zawsze czas i zasoby, które można alokować w inne, bardziej produktywne działania. Wybierzmy więc takiego producenta, który ma ugruntowaną pozycję na rynku, doświadczenie w walce z zagrożeniami, a także dobrej jakości technologie ochronne. W ramce „Co polecają analitycy?” podajemy rozwiązania dobrze ocenione przez Gartnera w 2017 r., co może ułatwić wybór.

Co polecają analitycy?

Gartner przygotował tegoroczny raport „Magic Quadrant (MQ) for Endpoint Protection Platforms”, w którym wymienia mocne i słabe strony systemów Endpoint od 22 producentów. To już dziesiąta edycja raportu, a tym razem najlepsze pozycje przypadły firmom Trend Micro, Sophos, Kaspersky Lab oraz Symantec (sekcja Leards – liderzy).

Źródło: Gartner, styczeń 2017

Warto podkreślić, że analitycy Gartnera, obserwując rynek, zwracają uwagę, że systemy Endpoint Protection Platform (EPP) coraz częściej mają w sobie funkcje z oprogramowania Endpoint Detection and Response (EDR) i do 2019 r. najprawdopodobniej będziemy kupować już tylko jedno, kompleksowe rozwiązanie. Pełny raport: https://goo.gl/MZo5GN

Chmura jest lepsza

Warto rozważyć wykupienie abonamentu w usłudze SaaS na kilka lat. Nie tylko będzie to rozwiązanie korzystniejsze ze względu na cenę w porównaniu do wdrożeń on-premise (w siedzibie naszej firmy), ale też będziemy mogli korzystać z oprogramowania administrowanego i aktualizowanego przez jego dostawcę. Rozwiązanie SaaS, działające w chmurze, zdejmuje z działu IT konieczność instalacji na własnych serwerach, przez co pozwala zaoszczędzić dużo czasu.

Systemy działające w chmurze mogą być także zarządzane poza biurem, więc administratorzy nie muszą znajdować się w siedzibie firmy, aby sprawdzić stan poszczególnych urządzeń. W przypadku wdrożeń on-premise było to możliwe, ale często niezbyt łatwe. Co więcej, w usłudze chmurowej mamy do dyspozycji konsolę zarządzania, do której możemy zalogować się np. z urządzenia mobilnego w podróży. Takie udogodnienie przydaje się, gdy administrator ds. bezpieczeństwa nie jest akurat w siedzibie, a pojawi się zagrożenie, np. pracownik znajduje się w innej strefie czasowej.

Endpoint Protection w usłudze SaaS daje korzyść w postaci aktualizacji dla urządzeń, które akurat nie są w korporacyjnej sieci. Nawet jeśli dana osoba nie znajduje się w biurze, używane przez nią urządzenie jest chronione, a administrator może bez trudu je monitorować i nim zarządzać.

Endpoint Protection w usłudze SaaS daje jeszcze korzyść w postaci aktualizacji dla urządzeń, które akurat nie są w korporacyjnej sieci (pracownicy zdalni; na wyjeździe). Nawet jeśli dana osoba nie znajduje się w biurze, wykorzystywane przez nią urządzenie jest chronione, a administrator może bez trudu je monitorować i nim zarządzać. W przypadku wdrożeń on-premise, kiedy dany laptop opuszczał budynek firmy, administrator musiał poczekać, aż znów pojawi się w wewnętrznej sieci (lub połączył się przez VPN) i dopiero wtedy mógł sprawdzić status bezpieczeństwa, zainstalować aktualizacje czy usunąć zagrożenia.

Poza wersją chmurową warto wybrać też system, który ma dopracowane wersje mobilne dla Androida i iOS.Tutaj trzeba zauważyć, że wersje dla Androida są bogatsze w funkcje. Poza możliwością zarządzania urządzeniami (m.in. lokalizacja, zdalne czyszczenie danych) i tworzeniem polityk (m.in. siła haseł dostępu, kontrola aplikacji, ustawienia Wi-Fi), które są dostępne dla Androida i iOS, wersje androidowe mają dodatkowo pełną ochronę software'ową, czyli zabezpieczenia przed oprogramowaniem malware, zapobieganie włamaniom, czy też firewall. Brak lepszego wsparcia dla iOS nie wynika jednak z niechęci producentów, lecz z samej polityki Apple. Producent iPhone'ów twierdzi, że jego system jest na tyle bezpieczny, że nie są potrzebne dodatkowe rozwiązania innych dostawców.

Endpoint Protection – lista najczęściej występujących funkcji

Systemy Endpoint często zawierają następujące funkcje i możliwości:

• zapobieganie utracie danych,

• ochrona przed zagrożeniami wewnętrznymi,

• szyfrowanie dysków, punktów końcowych, poczty elektronicznej,

• kontrola nad dostępem do aplikacji (listy Whitelist),

• kontrola dostępu do sieci,

• klasyfikacja danych,

• wykrywanie zagrożeń dla pojedynczych urządzeń końcowych,

• uwierzytelnianie urządzeń końcowych i aktualizacje oprogramowania (jeśli to konieczne),

• ochrona antywirusowa, antyspyware, firewall, system HIPS (Host-based Intrusion Prevention System – zapobieganie włamaniom),

• zintegrowana ochrona przed utratą danych (DLP – data loss prevention).

Ważna kwestia onboardingu

Przy wyborze systemu Endpoint Protection nie powinniśmy zaniedbywać kwestii obsługi po stronie użytkownika. Administrator ds. bezpieczeństwa z pewnością nie będzie miał problemu z podjęciem decyzji, jeśli chodzi o liczbę funkcji i wygodę użytkowania konsoli zarządzania, natomiast użytkownicy – pracownicy firmy – mogą być mniej obeznani z technologiami. Proces uczenia ich obsługi systemu (onboarding) powinien być możliwie krótki i nieskomplikowany. Warto z tego powodu zdecydować się na takie oprogramowanie, które ma intuicyjny interfejs, oparty na znanych schematach.

Dodatkowo ważne jest, czy Endpoint Protection będzie współgrać z dotychczas użytkowanymi aplikacjami. Polecamy wypróbować na kilku komputerach wersję próbną danego systemu i upewnić się, że wszystkie funkcje działają poprawnie w naszym przypadku. Równie istotne są wymagania sprzętowe – często producenci zalecają 8 GB pamięci RAM dla wersji desktopowych, a wiele obecnie wykorzystywanych komputerów biurowych ma mniej RAM-u. Na koniec pamiętajmy jeszcze, aby wybierać systemy możliwie najbardziej nowoczesne. Producenci coraz częściej stawiają na rozwiązania z machine learningu (uczenie maszynowe), których zadaniem jest proaktywna ochrona i wykrywanie zagrożeń typu zero-day. W obecnych czasach takie mechanizmy przydają się bardziej, niż może się wydawać.


TOP 200