varovanje končnih točk (endpoint security)
DESCRIPTION
Pred slabim desetletjem sta za zagotavljanje informacijske varnosti, predvsem z namenom doseganja visoke stopnje zaupnosti in neoporečnosti informacij, zadostovala le požarni zid in osnovne nastavitve dostopnih pravic. Pred nekaj leti smo za zagotavljanje dovolj visoke stopnje informacijske varnosti potrebovali tako bogato paleto varnostnih rešitev, kot so na primer pametna stikala in usmerjevalniki, napredni požarni zidovi, sistemi za odkrivanje in preprečevanje vdorov, raznovrstne protivirusne rešitve, sistemi za upravljanje z digitalnimi identitetami in podobno kot tudi vzpostavljen sistem vodenja varovanja informacij, ki je vključeval planiranje, izvedbo, nadzor in ukrepanje na področju varovanja informacij.TRANSCRIPT
I N F O R M A C I J S K A V A R N O S T
M A T E J S A K S I D A , V O D J A I N F O R M A C I J S K E V A R N O S T I ,
S & T S L O V E N I J A
Varovanje končnih točk (endpoint
security) – od procesov do
tehnologije
Pred slabim desetletjem sta za zagotavljanje informacijske varnosti, predvsem z
namenom doseganja visoke stopnje zaupnosti in neoporečnosti informacij, zadostovala le
požarni zid in osnovne nastavitve dostopnih pravic. Pred nekaj leti smo za zagotavljanje
dovolj visoke stopnje informacijske varnosti potrebovali tako bogato paleto varnostnih
rešitev, kot so na primer pametna stikala in usmerjevalniki, napredni požarni zidovi, sistemi
za odkrivanje in preprečevanje vdorov, raznovrstne protivirusne rešitve, sistemi za
upravljanje z digitalnimi identitetami in podobno kot tudi vzpostavljen sistem vodenja
varovanja informacij, ki je vključeval planiranje, izvedbo, nadzor in ukrepanje na področju
varovanja informacij.
Danes, poleg že naštetega, za zagotavljanje ustrezne stopnje informacijske varnosti,
potrebujemo še varovanje končnih točk, saj postaja meja med zunanjim in notranjim
okoljem vse tanjša.
Medtem ko je še pred nekaj leti veljala stroga ločitev notranja (»varnega«) in zunanjega
(»nevarnega«) okolja, tega danes preprosto ni več. Vse več uporabnikov oziroma zaposlenih
namreč dela od doma ali na terenu in dostopa do informacijskih virov znotraj podjetja. Še
zaposleni, ki se fizično nahajajo v podjetju, lahko dostopajo do informacijskih virov iz
zunanjega okolja (na primer preko mobilnega omrežja). Tu seveda ne smemo spregledati
pametne mobilne telefone, preko kateri zaposleni dostopajo predvsem do elektronske
pošte in upravljajo z bolj ali manj zaupnimi dokumentni. Ker uporabniki postajajo vse bolj
mobilni, centralizirani varnostni sistemi, v navezi z vzpostavljenim sistemom vodenja
varovanja informacij, niso več zmožni zagotavljanja celovite varnosti. Varovanje
informacijskih virov se mora zato »premakniti« do uporabnikov oziroma do končnih točk.
Čeprav na trgu najdemo že bogato paleto varnostnih rešitev za varovanje končnih točk,
jih večina zagotavlja štiri osnovne varnostne funkcionalnosti: nadzor dostopa do omrežja
(Network Access Control), varnost računalniških sistemov in mobilnih naprav (Desktop
Security, Mobile Security), šifriranje (Encryption) ter nadzor nad podatki in vmesniki (File
and Port Control).
Varnostne funkcionalnosti nadzora dostopa do omrežja (Network Access Control)
pogosto obsegajo avtentikacijo (na primer preverjanje uporabniškega imena in gesla),
avtorizacijo (na primer odobritev dostopa do informacij ali virov), uporabo varnostnih
politik (na primer forsiranje predefiniranih varnostnih politik), sistem za odpravljanje
ranljivosti programske opreme (na primer namestitev varnostnih popravkov operacijskega
sistema) ter integracijo v omrežje glede na zahteve omrežja (na primer segmentacija
omrežja). Varnostne funkcionalnosti nadzora dostopa do omrežja so ključne za
zagotavljanje ustreznega nivoja informacijske varnosti, saj v kolikor želi podjetje svojim
zaposlenim omogočiti oddaljen dostop do informacijskih virov, se mora navzven odpreti in
več kot je teh funkcionalnosti dostopnih navzven, večja je stopnja ranljivosti. V kolikor pa
napadalcu uspe pridobiti dostop do omrežja podjetja, potem je le še vprašanje časa, kdaj bo
povzročil škodo, saj lahko deluje na način, kot da bi bil fizično priključen na lokalno omrežje
podjetja.
Ker se do informacijskih virov dostopa z računalniškimi sistemi (osebnimi, prenosnimi in
žepnimi računalniki) in mobilnimi telefoni, je ključnega pomena tudi njihova zaščita.
Predvsem to velja za prenosne in žepne računalnike, saj jih zaposleni pogosto uporabljajo v
nezaščitenih omrežjih in brezplačnih kavno dostopnih točkah, so zato bolj izpostavljeni
škodljivim programskim kodam. Tu je seveda potrebno upoštevati tudi mobilne telefone, ki
postajajo vse bolj priljubljena tarča nepridipravov. Varnostne funkcionalnosti varnosti
računalniških sistemov (Desktop Security) pogosto obsegajo osebni požarni zid (Personal
FW), sistem za nadzorovanje delovanja programov (Program Control), sistem za prevencijo
udorov (HIPS), sistem proti škodljivim programskim kodam (Anti-X), sistem proti
računalniški nesnagi (Content Security) ter sisteme za varen oddaljen dostop (Remote
Access - IPsec, SSL). Za mobilne naprave pa so na voljo sistemi proti škodljivim programskim
kodam in računalniški nesnagi, sistemi proti neželeni sporočilom SMS ter požarni zidovi.
Mobilne naprave iz dneva v dan postajajo vse bolj zanimive tudi za kriminalce. Razlog za
to gre iskati v tem, da se jih da relativno preprosto ukrasti ter da se na njih hranijo podatki
zaupne narave kot so zaupna pošta, naslovi strank, gesla za dostop do informacijskega
sistema in drugi pomembni podatki. Zaradi tega je pomembno, da vsebino mobilnih naprav
šifriramo. Varnostne funkcionalnosti šifriranja (Encryption) pogosto obsegajo šifrirnaje
pomnilniškega medija (Full Disk Encryption) in šifrirnaje pomnilniških medijev (Media
Encryption). Celoto varovanja končnih točk zaključuje še funkcionalnost nadzora nad
podatki in vmesniki (File and Port Control). Tu gre predvsem za omejevanje dostopa do
podatkov (File Access Control) ter omejevanje uporabe prenosnih naprav in vmesnikov
(USB, DVD, WLAN, Bluetooth in podobno).
Ko se v podjetje vpeljuje sistem varovanja končnih točk, se je potrebno v vsakem
trenutku zavedati, da to je le tehnologija, ki nam bo v pomoč le v primeru, da nam bo
povsem jasno zakaj vpeljujemo tak sistem, kaj hočemo z njim doseči, v kakšnem obsegu ga
bomo vpeljali, kdo bo pri tem sodeloval, kdo bo s sistemom upravljal, kdo ga bo nadziral in
podobno. Torej je najprej potrebno urediti procesni del varovanja informacij. Seveda bo to
v praksi delovalo le tedaj, v kolikor ima podjetje urejene osnovne stvari na področju
informacijske varnosti. To pa obsega varnostno klasifikacijo informacij, natančno definirane
vloge, urejene dostopne pravice, ustrezna politika dostopa, nadzorne sisteme,
izobraževanje zaposlenih in podobno. Brez urejenih temeljev informacijske varnosti, nam
sistem varovanja končnih točk ne bo prinesel bistvene dodane vrednosti.
cij ne navdaja z optimizmom. Tako ima povprečno podjetje, ki izgubi vse podatke, le šest
odstotkov možnosti, da informacijsko nesrečo preživi. Še bolj zgovoren je podatek, da
informacijsko nesrečo v kar 87 odstotkih primerov povzročijo privilegirani uporabniki
(menedžerji, direktorji, vodje oddelkov); sami ali pa njihovo identiteto zlorabi zunanji ali
notranji napadalec. Nedolžne ovčice niso niti ostali zaposleni. V raziskavi nizozemskega
varnostnega podjetja je kar 59 odstotkov zaposlenih priznalo, da bi ob zapustitvi delovnega
mesta s seboj odneslo podatke zaupne narave. Izmed njih bi jih kar 67odstotkov te podatke
uporabilo za pridobitev nove službe v konkurenčnem podjetju.