Bezpečnost IT a řízení přístupu

Security, Anti-X, Firewall, Šifrování, Identita, IDM, SIEM, DLP, Zranitelnost

Čím více organizace závisí na svých datech, tím závažnější je otázka bezpečnosti. Základem je fyzická bezpečnost - zamezení vniku neoprávněných osob. Je nutné zabezpečit i vnější komunikační cesty proti spamu, virům a dalším technikám napadení či pokročilým hrozbám.

Nejslabším prvkem bezpečnostních systémů je však vždy člověk. Systémy na ochranu dat před únikem či krádeží, ochrana a řízení identit (AC Identita) a celkové systémy řízení bezpečnosti událostí jsou tedy významným pomocníkem. Umíme zabezpečit bezpečnostní dohled jako službu (SOC). Naše služby a poradenství pro oblast bezpečnosti IT zahrnují testy a audity, nastavení procesů pro řízení bezpečnosti informací, plány k zajištění kontinuity i celkovou strategii bezpečnosti organizace.

Ochrana dat před únikem či krádeží

Technologie šifrování je jedinou možností jak si uživatel uchová tajemství v datech a současně zachová možnost jejich uložení ve firemních i veřejných prostředcích jako servery, cloudy, externí média aj. Šifrování je možné aplikovat dle různých scénářů a požadavků bezpečnosti. Nejčastěji se rozlišuje šifrování zaměřené na složky a soubory, šifrování datových úložišť jako pevné disky, flash disky atd., a šifrování e-mailové komunikace.

Zkratkou DLP označuje dva termíny. Jedním z nich je Data Loss Prevention a druhým je Data Leak Prevention či Data Leakage Protect. Ať si vybereme kterýkoli z popisů, vždy dojdeme ke snaze uchránit organizaci před únikem dat. DLP je technologie pro organizace uvědomující si cenu svých dat v elektronické podobě.

Více v produkových listech: Šifrování dat, DLP, RMS, Smart karta, Notebook jako trezor plný dat, ObserveIT.

Ochrana a řízení uživatelských identit

Identity management (IdM) je systém pro řízení a automatizaci celého životního cyklu identit. Jednou z hlavních výhod je centralizovaná administrace, která umožňuje použití a správu uživatelských identit na více propojených systémech, což přináší zvýšení bezpečnosti i produktivity, a tedy nižší náklady díky minimalizaci manuálních úkonů na straně administrátorů a časových prodlev na straně uživatelů.

IdM umožňuje přesunutí administrativních úkolů na různé úrovně uživatelských rolí, aby bylo možné celý systém efektivně spravovat. Odpovědnost za přístup k datům lze tedy přesunout k samotným vlastníkům dat, kteří nemusí disponovat žádnými technickými znalostmi nutnými pro obvyklé přidělování oprávnění.

Přínosem nasazení IdM je kontrola nad procesy a daty, zvýšení bezpečnosti a produktivity, možný audit přidělených oprávnění a skutečné zajištění shody s interními normami.

Více v produktových listech IdM a MS Forefront.

Ochrana aplikací a databází

Web aplikační firewall (WAF) zvyšuje celkovou úroveň bezpečnosti tím, že dokáže zabránit útokům dříve, než zasáhnou vlastní webovou aplikaci. Poskytuje ochranu před širokou škálou útoků, nabízí monitorování provozu a jeho analýzu v reálném čase. Vše s minimálním dopadem na existující infrastrukturu. WAF poskytuje ochranu tam, kde jsou běžné paketové firewally a IPS neúčinné.

WAF je je vhodné používat pro zajištění souladu s bezpečnostními standardy, redukci rizik a rychlou nápravu, okamžitou ochranu, snížení nákladů pro nasazení a detailní přehled provozu nad sledovanými aplikacemi.

Ochrana před pokročilými hrozbami

V poslední době, spolu s dostupností technologií pro rozvoj a modifikaci persistentních hrozeb, vzrostlo riziko cílených útoků na firmy ze strany organizovaného zločinu. Výjimkou nejsou útoky modifikacemi známých ransomware ani útoky pomocí dat získaných předchozí infiltrací zařízení s přístupem do firemní sítě.

Tyto pokročilé hrozby (Advanced Persistent Threats – APT) jsou charakteristické tím, že nejde o běžné plošné útočení naslepo pomocí automatických skriptů, ale o sofistikovanou akci. Její počátek mnohdy bývá mimo dosah firemní ochrany – zpravidla jde o infikaci mobilních telefonů zaměstnanců.

Pomocí kombinace vhodných nástrojů jako je centrální správa mobilních zařízení (MDM), dohled nad provozem na síti (netflow monitoring), sondy pro detekci a prevenci kybernetických útoků (IPS/IDS) a nástroje na korelaci incidentů a událostí (SIEM), lze takové chování v síti identifikovat a podniknout opatření, která zastaví probíhající útok nebo omezí jeho dopady.

Bezpečnost koncových zařízení

Antivirové/AntiSpyware řešení nesmí chybět na žádném počítači především s operačním systémem Microsoft, ale i Linux a Mac OS. Antivirový klient v počítači zajištuje ochranu proti každoročně se vyskytujícím novým hrozbám virů, červů, Spyware, Trojských koňů, Rootkitů.

Klient slouží také jako personální firewall kontrolující bezpečnostní politikou povolený síťový provoz. Kontroluje spuštění nepovolených aplikací a připojování nepovolených zařízení. Vynucuje tak bezpečnostní zásady a zajištuje svou aktualizaci a posílá data o dění na centrální server pro vyvolání protireakcí a upozornění. Antivirový klient musí být v systému co nejmenší zátěží a zároveň zajištovat 100% ochranu.

Moduly Firewallu je možné aplikovat dle pravidel pro vynucení bezpečnostní politiky společnosti a to jak vně tak mimo připojení do korporátní sítě. Centrální správa antivirových klientů vynucuje politiky nastavení klientů, zajištuje přehled o dění a vytváří reporty.

Více v produktovém listu Silná ochrana pro firemní prostředí

Bezpečnost sítí a připojení k internetu

Firewall je zařízení, které primárně zabezpečuje přístup do Internetu, popřípadě odděluje oblasti s jinou bezpečnostní úrovní.

Hovoří se o tzv. "Next Generation" firewallech (NGFW). Pro něž je charakteristický posun vnímaní od "Connection" kontroly směrem ke "Content- Base" kontrole. Řízení přístupu pak není řízeno na úrovni IP adres, ale na úrovni uživatelů, aplikací a konkrétního obsahu. Intrusion Prevention System, nebo-li systém pro odhalení resp. prevenci průniku je bezpečnostní zařízení, které monitoruje síťový provoz a snaží se odhalit podezřelé aktivity, proti kterým následně aktivně zasahuje. IPS systémy jsou dnes často součástí Firewallů, ale ve větších instalacích se nasazují jako samostatná zařízení, především z výkonnostního pohledu.

Komplexní ochranu perimetru pak zajišťují "Unified Threat Management" systémy (UTM). Ty kontrolují celou škálu aspektů provozu pomocí nástrojům zaměřeným na funkcionality DLP, Anti-X a ochrany koncových stanic.

Bezpečnost objektů a osob

Nezbytnou součástí koncepční bezpečnosti nejen IT je zajištění bezpečnosti prostor a identity osob, oprávněných přistupovat ke zdrojům firmy.

Problematiku zabezpečení objektů a autentizace oprávněných osob řešíme individuálním přístupem k jednotlivým případům způsobem, který významně zvyšuje celkovou bezpečnost, může být provázán s docházkovým systémem, systémem monitoringu vozidel, dohledem vzdáleného přístupu a personálním systémem společnosti.

Využitím vhodné korelace v SIEMu umožní včasnou detekci hrozeb a její eliminaci.

Systémy řízení přístupu (AAA)

Zkratka AAA znamená autentizaci, autorizaci a accounting. V oblasti zajištění vysoké úrovně bezpečnosti přístupu do firemní sítě je to proces, který je jedním z prvních kroků pro postup na vyšší level.

Autentizace pomocí standardu 802.1x, autorizace radius serverem a následné přidělení oprávnění k prostředkům a zdrojům umožňuje správcům uchovat si přehled o zařízeních v síti a s pomocí napojení na SIEM vést evidenci bezpečnostních incidentů a událostí, které mohou pomoci odhalit hrozbu v samém počátku.

Systémy řízení bezpečnosti událostí (SIEM)

SIEM poskytuje monitoring systémových změn a uživatelských aktivit v reálném čase, je schopen objevit hrozby a neoprávněné vniknutí, poskytuje správu bezpečnostních událostí a jejich vzájemné propojení, nabízí správu logů a automatizaci odpovědí na incidenty - vše v rámci jedné, integrované a škálovatelné infrastruktury. Je schopen uspokojit nároky na nejnáročnější standardy automatizací revize bezpečnostních aktivit, aby byla zajištěna integrita souborových systémů. Provádí také audit změn a správu reakcí na incidenty.

SIEM poskytuje komplexní znalostní bázi, která automaticky vytváří aktivní bezpečnostní nástroje a vstřebává nové a aktualizované informace. To napomáhá ke získání znalosti důležité k vyřešení problému v čase, kdy je potřeba.

Více v produktovém listu Security information and Event Management

Služby bezpečnostního dohledu (SOC)

Pro společnosti znamená dohled nad bezpečnostními incidenty a událostmi potřebu udržovat tým správců, analytiků a bezpečnostních expertů na vysoké úrovni. Jen tak může předcházet hrozbám a minimalizovat následky proběhnuvších útoků.

Jinou cestou je využití služeb Security Operations Centra a svěření dohledu nad incidenty do rukou zkušeného týmu. Je to cesta redukce nákladů za současného zvýšení pasívní bezpečnosti firmy.

SOC nabízí nejen monitoring, ale také analýzu a návrh nápravných opatření, spolupracuje na jejich implementaci a provádí testování úrovně bezpečnosti chráněných perimetrů sítě.

Detaily