Firma, která vymyslela fi rewall Snadná Barracuda Networks Přidaná hodnota Šifrování

ČERVEN 2011 / ročník XII, č. 3

BEZPEČNOST V ICT Firma, která vymyslela firewall Rozhovor se šéfem české pobočky Check Pointu Miloslavem Lujkou

Snadná

a efektivní obrana

Barracuda Networks – – nedostižná hodnota

Přidaná hodnota kamerových systémů

Šifrování

koncových stanic

1 0 ; 7 › / , " 
MJTUPQBEV

1SBIBÊ p
5SFOEZ
W
CF[QFÂOPTUJ
*$5 p
,SJNJOBMJUB
W
*$5
TZTUÃNFDI
B
KFKÇ
QSFWFODF p
-JETL×
GBLUPS
W
PCMBTUJ
CF[QFÂOPTUJ
*$5 p
#F[QFÂOPTUOÇ
W×[WZ
WF
WJSUV»MOÇN
QSPTUÒFEÇ p
)BSEXBSPW»
B
TPGUXBSPW»
CF[QFÂOPTU p
#F[QFÂOPTUOÇ
TMVxCZ p
.PCJMOÇ
CF[QFÂOPTU p
#F[QFÂO»
TÇU p
#F[QFÂO»
BSDIJWBDF
EPLVNFOUV p
0VUTPVSDJOH
CF[QFÂOPTUJ i˜iÀ?˜‰Ê«>À̘iÀ\

>ۘ‰Ê«>À̘iďˆ\

*>À̘iÀ\

/B
LPOGFSFODJ
TF
ISBKF
P
[»KF[E
OB
MVYVTOÇ
W×MFUOÇ
MPEJ
QSP

PTPCZ 3FHJTUSPWBU
TF
NÓxFUF
KJx
OZOÇ
OB

XXXEDED[LPOGFSFODF

EDITORIAL

Vážení čtenáři, vážené čtenářky, je vcelku pochopitelné, že každý z  nás vnímá pojem bezpečnosti jinak. Někdo se necítí bezpečný ani za třemi bytelnými zámky, jinému postačí pouze zaklapnuté dveře, další nepocítí strach na provazu napnutém mezi dvěma mrakodrapy, zatímco ostatním svírá žaludek pohled ze třetího stupínku na štaflích… A stejné je to i s bezpečností našich nástrojů z  oblasti informačních a  komunikačních prostředků, a to bez ohledu na to, že bohémský přístup k  bezpečnosti může každého z nás stát pomalu majlant. Obzvláště dnes, když neposedíme a  plně využíváme slastí,  které nám přinesla všudypřítomná mobilita. Ostatně studie společnosti McAfee  „Mobilita a  bezpečnost: Oslnivé příležitosti, vážné výzvy“, je v tomto ohledu více než výmluvná. Vyplývá z ní totiž, že 63 procent mobilních zařízení připojovaných k  firemní síti lidé současně používají i  pro soukromé účely, i  když konkrétní čísla se liší podle jednotlivých kategorií (notebooky, netbooky, smartphony, tablety, přenosná paměťová média...); mnoho z lidí navíc nezná politiku své firmy a  zásady, které používání těchto zařízení podrobněji upravují. Závislost na mobilních zařízeních je už dnes značná a  stále se zvyšuje (za poslední rok u sedmi z deseti zkoumaných firem). Téměř polovina organizací v  průzkumu uvedla, že na ně velmi spoléhá.

Studie zjistila, že • IT profesionálové i koncoví uživatelé vnímají jako největší bezpečnostní riziko ztrátu nebo krádež mobilního zařízení – čtyři z  deseti organizací zaznamenaly ztrátu nebo krádež mobilních zařízení, přičemž polovina z  nich obsahovala kritická podniková data. Více než třetina incidentů znamenala pro dotčenou firmu finanční ztráty. Dvě třetiny organizací ovšem v  důsledku ztráty mobilního zařízení vylepšilo svou bezpečnostní politiku. • Rizikové chování a slabé zabezpečení jsou běžné – ačkoliv je potřeba zmírňování bezpečnostních rizik souvisejících s  používáním mobilních zařízení uznávána, pouze necelá polovina uživatelů zálohuje data častěji než jen jednou týdně. Polovina lidí má v mobilním zařízení uložena citlivá data, například hesla, PIN nebo další údaje o  platební kartě. Jeden ze tří uživatelů ukládá na mobilní zařízení i citlivá firemní data. • Rozpor mezi deklarovanou firemní politikou a realitou – 95 procent organizací má zavedeny politiky vztahující se

k používání mobilních zařízení, ale pouze třetina zaměstnanců je s nimi podrobněji seznámena. Firmy mají problém svou politiku vynutit. Nicméně mnohdy je i samotná firemní politika velmi volná. Čtyři z deseti organizací nijak neomezují počet zařízení, která uživatelé mohou připojovat (resp. synchronizovat). Stejný počet firem nijak neomezuje přístup k webu z mobilních zařízení, stahování obsahu ani instalaci nových aplikací. Neradostné zjištění. I přes ty tuny papíru, které byly a  ještě budou na toto téma sepsány. Takže snad vám následující stránky přinesou inspiraci, jak se elegantně vyhnout tomu, aby právě vaše firma spadala do onoho statistického ranku „čtyři z deseti organizací“. Pěkné počtení přeji

OBSAH

Professional Computing Speciál Bezpečnost v ICT Vyšlo 30. června 2011 Samostatně neprodejná příloha ekonomických časopisů. Vydavatel: DCD Publishing Komprdova 20, 615 00 Brno IČO: 25560701 ředitelka: Kateřina Černovská www.dcd.cz

Professional Computing

Adresa redakce: Lublaňská 21, 120 00 Praha 2 tel.: 224 936 895, fax: 224 936 908 www.procomputing.cz Redakce PhDr.Vlaďka Bezecná, [email protected]

Úvodník

1

Zpravodajství

2

Microsoft Windows Intune: Cloudová správa počítačů v Windows 7 v ceně

4

Microsoft Forefront Endpoint Protection 2010: Snadná a efektní obrana 6

Grafika a sazba Radek Štěpánek, [email protected] © DCD Publishing, s. r. o.

Bezkonkurenční důvěryhodnost: Nepřekonatelná hodnota

11

IVA, přidaná hodnota: IP kamerové systémy Bosch

13

Rozhovor Check Point Software Technologies: Firma, která stvořila firewall

9

Případová studie Výrobce antivirů ESET vykupuje firmy do bezpečí

8

McAfee Endpoint Encryption: Šifrování koncových stanic

15



ZPRAVODAJSTVÍ

Až tři měsíce zdarma

vším pro výrobní, konstrukční a designérské Společnost ESET v  září uvede novou verzi společnosti, na jejichž specifickém know-  svých produktů – ESET Smart Security 5  -how je často postaven úspěch podniku na a  ESET NOD32 Antivirus 5. Objednají-li trhu. si zákazníci jednu až čtyři licence jednoho z produktů už nyní, ESET jim poskytne program ve verzi 4 až do uvedení nové verze zdarma. Oba programy, kterých se akce týká, nabízejí účinnou ochranu pro počítače domácích uživatelů, živnostníků a  malých firem a využívají osvědčené skenovací jádro ESET ThreatSense. ESET NOD32 Antivirus obsahuje moduly Antivirus a  Antispyware a  detekuje a  likviduje známé i  neznámé počítačové viry, červy, trojské koně, rootkity a  další hrozby bez zatížení systému počítače. Program obsahuje stejné vlastnosti a funkce jako ESET NOD32 Antivirus, navíc je uživatel chráněn prostřednictvím osobního firewallu a antispamového modulu, který blokuje nevyžádanou poštu.

další se potvrdila předpověď, že se útočníci stále více orientují na mobilní zařízení. Pokud porovnáme sledovaná první čtvrtletí, jsou první tři měsíce letošního roku z  hlediska celkového množství malwaru rekordní. V  únoru bylo zaznamenáno dokonce  2,75 milionů vzorků nového malwaru. Aktivní byly falešné antiviry (scareware), jichž bylo v březnu zachyceno 350 000. Co se týče České republiky, studie zmiňuje lednový incident s průnikem útočníků do registru pro obchodování s  emisními povolenkami. Útočníkům se přitom podařilo ukrást emisní povolenky v hodnotě asi 500 milionů korun.

AreaGuard Neo ochrání data

AreaGuard Neo představuje novou generaci produktu společnosti SODATSW pro spolehlivou ochranu citlivých informací. Prostředictvím unikátní kombinace funkcí nabízí komplexní zabezpečení know-  -how pro organizace. Nástroj totiž zaručuje  Proti pirátství on-line příručky nejen ochranu dat uložených na počítaMicrosoft na www.legalnisoftware.cz, v sek- Účinná ochrana před zářením ci Licenční poradna, zveřejnil příručky, jak Nová zpráva vydaná Světovou zdravotnic- čích, ale zároveň dovoluje provádět audit správně spravovat a  účtovat softwarové kou organizací a  Mezinárodní agenturou souborů, aktivit uživatele a  připojování  licence. Zájemci v  nich naleznou doporu- pro výzkum rakoviny uvádí, že záření, které externích paměťových zařízení. AreaGuard čení, jak správně zacházet s  jednotlivými vydávají mobilní telefony, může způsobovat Neo tak například administrátorům poskytypy licencí od jejich nákupu přes evidenci rakovinu. Jistou ochranu představují ná-  tuje přehled, jaký typ dat má uživatel  až po vyřazení. Firmy a  organizace se tím hlavní soupravy, které vydávají 800krát nižší uložen na svém počítači a jak často s nimi mohou vyvarovat nesprávného užití licencí záření než mobilní telefony a  dramaticky  pracuje. a  vyhnout se tak trestním postihům i  bez- tak snižují intenzitu záření vydávanépečnostním rizikům plynoucím z  užívání ho mobily z  maximálních dvou wattů na  nelegálního softwaru. 0,0025 W, což je maximální hodnota u ná-  hlavních souprav s  technologií Bluetooth, Kaspersky Internet Security 2011 nebo na nulovou hodnotu u zařízení připo- odolal všem útokům jovaných kabelem. Společnost PCS, divize DataGuard, oznáS krádeží dat mila, že produkt Kaspersky Internet Secu-  rity 2011 vystoupil na nejvyšší příčku při se setkala většina firem testu sebeochrany provedeném uznávanou Až dvě třetiny českých firem se setkaly zkušební laboratoří pro ochranu před malwas  krádeží firemních dat a  jen třináct procent těchto krádeží bylo prostřednictvím rem. Program Kaspersky Internet Secu-  softwarových nástrojů odhaleno. Tvrdí to rity 2011 byl mezi 20 sadami pro internealespoň dubnový průzkum společnosti  tové zabezpečení, které zkušební laboratoř pro ochranu před malwarem tento rok tesGFI Software. Průzkum dále ukázal, že v plných 85 procentech zcizovali data zaměsttovala. Testovalo se na čistých virtuálních strojích (VMware Workstation 7.1.0), na nanci, v  sedmi procentech subdodavatelé  kterých běžel hostitelský systém Microsoft a  jen sedm procent útoků přicházelo Windows 7 v  64bitovém vydání. Řešezvenčí. Zvyšující se kapacita výměnných Nejohroženější jsou Symbian paměťových médií navíc rozšiřuje okruh a Android ní zabezpečení byla testována s  použitím ohrožených společností – zatímco dříve bylo V  1. čtvrtletí letošního roku se podařilo výchozích nastavení se všemi doporučenými snadné odcizit především obchodní data  zaznamenat více než šest milionů jedi- aktualizacemi a aktivovanými souvisejícími uložená převážně v  excelových souborech, nečných vzorků malwaru. Z  nové studie  součástmi. Nástroj Kaspersky Internet Secu-  dnes není obtížné uložit do USB zařízení společnosti McAfee vyplývá, že odstavení rity 2011 překonal všechna ostatní řešení, technicko-vývojová data uložená v  objem- botnetu Rustock snížilo množství spamu na když úspěšně odolal všem 33 útokům, ktených CAD souborech. A to je kritické přede- vůbec nejnižší úroveň od roku 2007. A  za rým byl během testování vystaven.



Professional Computing

Uvažujete o tom, jak zvýšit produktivitu firmy? Microsoft Office 365 mění firemní komunikaci Seznamte se se službou Microsoft Office 365, která vám přináší nástroje Exchange, SharePoint a Lync spolu se známými aplikacemi Microsoft Office a pokročilým zabezpečením v cloudu. Takto můžete efektivně spolupracovat na projektech v reálném čase v jedné kanceláři i s kolegy nebo obchodními partnery na druhém konci světa. Nemusíte ztrácet čas aktualizací softwaru, můžete se plně soustředit na svůj business. S menšími starostmi přichází vyšší produktivita. To je síla Cloud Power. Získejte další informace o službě Office 365 na microsoft.cz/cloud.

Stáhněte si zdarma mobilní aplikaci na www.microsoft.cz/tag

Bezpečnost v ICT

Microsoft Windows Intune

Cloudová správa počítačů s Windows 7 v ceně Microsoft Windows Intune je novinkou v  řadě cloudových služeb Microsoftu. Od těch ostatních se však přece jen liší. Kromě samotné cloudové aplikace pro vzdálenou správu firemních počítačů totiž obsahuje řadu důležitých doplňků, jejichž pomocí může firma získat jednotné a bezpečné IT prostředí. Za jedenáct eur měsíčně tak získáte nejen licence na profesionální bezpečnostní řešení pro koncové stanice, ale i upgrade licence na operační systém Windows 7 Enterprise. Vzdálená správa počítačů je nutností ve všech firmách, které sídlí ve více budovách či dokonce městech a jejichž zaměstnanci často cestují. Využitím vzdálené správy totiž může IT oddělení poskytovat  zaměstnancům rychlou a  efektivní podporu bez dodatečných nákladů na cestovné. Firma tak má jistotu, že se pro její zaměstnance stane počítač či notebook  skutečně jen pracovním nástrojem a  nikoliv pracovní náplní. Zejména v  době notebooků, které zaměstnanci (a  často i  jejich rodinní příslušníci včetně dětí) využívají nezřídka pro soukromé účely, přitom může přijít vzdálená správa a podpora více než vhod. Je přitom celkem jedno, jde-li  o firmu s 50 zaměstnanci nebo nadnárodní korporaci s několikanásobně vyšším počtem  počítačů.



Rozdíl je pouze v tom, že menší firmy si až do příchodu Windows Intune nemohly profesionální nástroje pro vzdálenou  správu dovolit. Intune však nastavují cenu poměrně příznivě, platí se podle počtu počítačů, a  to jedenáct eur za každý počítač. Využije-li firma Intune pro správu  více než 250 počítačů, dostává se do sy-  stému množstevních slev, stejně jako pokud využívá program Windows Software Assurance.

Správa a podpora s nulovými investicemi Softwarových nástrojů pro vzdálenou správu počítačů a  podporu jejich uživatelů  existuje relativně široká škála. Až donedávna však pro jejich využití bylo nutné zakoupit vlastní server, pak licence na 

operační systém a  teprve potom licence na samotný software pro vzdálenou správu počítačů. Pro zabezpečení notebooků  pak nezřídka následoval i  nákup firewallu či VPN nástroje, který by umožnil  bezpečný přístup k  notebookům mimo firemní síť. Intune na to však jde jinak. Firma si nemusí kupovat vůbec nic. Vše je k  dispozici ve formě služby provozované na serverové IT infrastruktuře Microsoftu  umístěné v moderním datovém centru, které zároveň garantuje dostupnost služby v řádu 99,9 procenta na měsíční bázi (tj. maximální souhrnná doba všech výpadků v kalendářním měsíci nesmí přesáhnout 43 minut). To je podstatně větší hodnota dostupnosti, než které je firma obvykle schopna vlastními prostředky dosáhnout. U Windows Intune se navíc platí podle toho, kolik počítačů chce firma vzdáleně spravovat. Namísto jednorázové investice do pořízení serveru, serverového operačního sy-  stému a aplikace pro vzdálenou správu, tak firma platí službu s pravidelným měsíčním poplatkem závislou jen na počtu počítačů, které spravuje. Navíc jí odpadají i  provozní náklady spojené se samotným serverem jako jsou energie, správa a údržba serveru. Firma může Windows Intune  využít třeba i jen pro správu vybraných počítačů – např. jen pro své obchodní zastoupení či výrobu v zahraničí.

Inventarizace, dohled nad aktualizacemi i on-line podpora A co přesně Windows Intune nabízí? Skládá se ze dvou součástí – klientské aplikace, která se instaluje na každý počítač, pro který má být Windows Intune použit, a správcovské aplikace, která funguje v  prostředí webového prohlížeče přímo z  datového centra Microsoftu. Intune umožňuje jednoduše spravovat všechny aktualizace a  poskytovat interaktivní podporu jednotlivým uživatelům. Navíc administrátorům dovoluje převzít kontrolu nad spravovaným počítačem či konkrétní aplikací, se kterou má uživatel problémy. Windows Intune také nabízí vzdálenou inventarizaci hardwaru a  softwaru, což může firmu ochránit před nežádoucí instalací programů uživateli a  umožňuje také podle nejrůznějších kritérií vzdáleně nastavovat bezpečnostní politiky pro jednotlivé uživatele či skupiny uživatelů. 

Professional Computing

Bezpečnost v ICT

To vše je však spíše ona pověstná třešnička na dortu, kterou ocení firma v  okamžiku, kdy vše funguje tak, jak má. Aby se tak stalo, jsou v  ceně Windows Intune zahrnuty další velice důležité součásti, jejichž cena při samostatném pořízení dosahuje částky v řádu mnoha tisíců korun za každý jeden počítač.

Součástí je i bezpečnostní řešení Součástí Windows Intune je i bezpečnostní řešení pro koncové stanice. To v sobě integruje antivir a antispyware a je postaveno na stejném základě jako bezpečnostní řešení pro velké firmy z dílny Microsoftu Forefront Endpoint Protection 2010. Administrátorský panel Intune přitom získává informace o všech bezpečnostních hrozbách, které se na firemních počítačích vyskytly i o aktuál-  ním stavu virových bází na jednotlivých počítačích. Intune navíc umí ovládat i  integrovaný firewall ve Windows, což přijde zejména vhod, potřebuje-li zaměstnanec na cestách náhle zprovoznit nějakou nestandardní službu nebo aplikaci, která je ve firewallu zablokovaná. Největším příspěvkem Windows Intune k  zabezpečení a  bezproblémovému chodu firemních počítačů je v  ceně zahrnutý upgrade licence na Windows 7 Enterprise. Každý jeden počítač či notebook ve firmě, využívající Windows Intune, tak automaticky získává možnost přejít na Windows 7 Enterprise (a případné budoucí novější verze operačního systému Windows). Windows 7 přitom dokážou uživatelům (a  tím i  IT oddělením) výrazně usnadnit práci. Jednak jsou díky inteligentní prevenci schopny samy zachytit řadu bezpečnostních hrozeb a  také umějí řešit problémy (zejména s připojením) jediným kliknutím. Navíc už v  sobě obsahují bezpečné ovladače na širokou škálu hardwaru, který by mohli uživatelé potřebovat připojit.

S Windows Server 2008 vzdálený přístup do sítě Možnost bezplatného přechodu na Windows 7 přináší firmám využívajícím serverový operační systém Windows Server 2008 R2 další podstatnou výhodu.  Systém v  kombinaci právě s  Windows 7  dovoluje pro plnohodnotný zabezpečený vzdálený přístup mobilních uživatelů k  podnikové síti využít technologii DirectAccess. Ta je přitom integrální součástí Windows Server 2008 a  firma tak už

Professional Computing

nepotřebuje investovat do alternativních řešení. Uživatel s  notebookem připojeným k internetu a vybaveným operačním systémem Windows 7 se pak pouze přihlásí do Windows a vzdálené připojení k firemní síti je už automatické. Vše přitom funguje stejně, jako kdyby se nacházel přímo v kanceláři, včetně single-sign-on na úrovni Active Directory pro přihlášení uživatele do všech firemních aplikací. Uživatel tak už nemusí zadávat žádné přihlašovací údaje k  poštovnímu serveru, unified communications řešení, intranetu, podnikovému informačnímu systému atd. Denně tak každý vzdálený uživatel jen na přihlašování do firemních aplikací ušetří desítky sekund času.

Aplikační virtualizace za necelé euro měsíčně Windows Intune přináší zejména větším firmám za příplatek 0,95 eura měsíčně také využití Microsoft Desktop Optimization Pack (MDOP). Ten obsahuje řadu  nástrojů, z  nichž mezi ty nejzajímavější patří MS Application Virtualization. Ta přináší aplikační virtualizaci pro jednotlivé aplikace a  možnost radikálním způsobem změnit přístup k  zavádění nových  aplikací do firmy. Ty už není totiž třeba instalovat na každý jeden počítač.  Naopak, jednotlivé aplikace se stávají síťovou službou nezávislou na konkrétním počítači a  hlavně nezávislé na dalších aplikacích, které uživatel používá.  Každá aplikace se tak nainstaluje pouze jednou na firemní server, odkud k  ní pak jednotliví uživatelé přistupují. Totéž se týká i aktualizací a nových verzí. Přechod např. na Office 2010 tak v  celé firmě zabere jen pár minut. Virtualizace jednotlivých aplikací navíc zvyšuje i stabilitu hostitelského operačního systému a dalších aplikací. Uživateli přitom vše funguje jako dřív. I když ale uživatel vidí jednotlivé aplikace „nainstalované“ na jeho počítači, ve skutečnosti používá jen jejich dočasné virtuální kopie stažené z  podnikového serveru. V  okamžiku, kdy dojde k  porušení (např. smazání souboru, infekci virem apod.) dočasné kopie, dojde při dalším spuštění aplikace k  jejímu plnému obnovení. Uživatel tak nemůže nechtěně narušit chod jednotlivých aplikací, přičemž mu ovšem zůstává možnost individuálně měnit jejich nastavení. Kromě nástroje Microsoft Application Virtualization jsou navíc v balíčku Desktop

Optimization Pack dostupné také nástroje pro rozšířenou správu bezpečnostních politik, evidenci používaného softwaru, diagnostiku, zálohování a  obnovování dat z  klientských stanic a  pro monitoring a  předcházení problémům s  aplikacemi a systémovými komponentami na jednotlivých počítačích.

Pro koho je Windows Intune Windows Intune je vhodný pro všechny firmy, které chtějí rychle a levně vyřešit vzdálenou správu firemních počítačů a podporu uživatelů. Na velikosti firmy přitom nezáleží. Windows Intune dokáže za maximálně jedenáct eur měsíčně za počítač poskytnout okamžitý přístup k nejnovější verzi operačního systému Windows i k bezpečnostnímu řešení pro koncové stanice, za což by jinak firma musela z investičních prostředků platit několik tisíc korun. Navíc přechodem na Windows 7 se firmám se serverovou infrastrukturou od Microsoftu otevírá bezplatný přístup i k dalším technologiím, zejména pak plnohodnotnému vzdálenému přístupu do firemní sítě s  využitím technologie DirectAccess. Větší společnosti pak mohou využít za symbolický příplatek 0,95 eura měsíčně také nástroje v  sadě Microsoft Desktop Optimization Pack, které pomohou zejména tam, kde uživatelé používají množství vzájemně se negativně ovlivňujících aplikací. Intune však mohou úspěšně využít i  vývojářské společnosti, protože umožňuje vedle samotných Windows 7 Enterprise využít ještě čtyři další licence na libovolné Windows na virtuálních strojích. Tak si lze snadno vyzkoušet kompatibilitu aplikací s  různými verzemi operačního systému Windows. Každý počítač s Windows Intune také může bez dalšího nákupu licence využívat a  přistupovat k  virtuálnímu desktopu v datovém centru. Konečně poslední specifickou skupinou potenciálních uživatelů Windows Intune jsou servisní společnosti velkých korporací nebo poskytovatelé outsourcingu IT služeb. Windows Intune totiž dovoluje z  jednoho rozhraní efektivně spravovat i  počítače ve více firmách najednou. Podtrženo a  sečteno – Windows Intune není jen cloudový nástroj pro vzdálenou správu IT a  podporu uživatelů. Jde i o cenově efektivní řešení pro komplexní péči o  firemní počítače a notebooky a pro zajištění přístupu k  nejnovějšímu operačnímu systému a nejnovějším bezpečnostním nástrojům.



Bezpečnost v ICT

Microsoft Forefront Endpoint Protection 2010

Snadná a efektivní obrana Microsoft Forefront Endpoint Protection 2010 není jen obyčejným antivirem, neboť k  ochraně koncových stanic přidává i  profesionální administrátorské rozhraní dostupné přímo z nástroje System Center Configuration Manager 2007, pomocí kterého jde navíc FEP na koncové stanice i přímo nainstalovat. Péče o  zabezpečení koncových stanic se z  pohledu IT administrátorů s  léty mění. Dříve byly firemními počítači hlavně desktopy uložené v  bezpečí kanceláře, centrálních firewallů a IDS/IPS nástrojů a ochrana koncové stanice tvořila až poslední prvek celého systému zabezpečení. Dnes to však nestačí, protože všichni už převážně pracují s  notebookem. Ty se přenášejí z  místa na místo, nezřídka se připojují v nezabezpečených Wi-Fi sítích, což rizika ještě zvyšuje. Připojení k  internetu mimo firmu přes šifrovanou VPN a  firemní IT infrastrukturu přitom využívají spíše velké firmy, ty menší často využívají přímý přístup. Ochranu před viry, červy, spywarem a bezpečnostními hrozbami na internetu tak musí převzít notebook sám. Pak je ale nezbytné, aby všechny počítače ve firmě využívaly nejnovější verze virových bází, antivirů i bezpečnostních pravidel.

Bezpečnost začíná jednoduchou správu Otázka zabezpečení koncových stanic tak paradoxně nezačíná ani tak u  samotného bezpečnostního řešení pro koncové stanice jako spíše u  nástrojů pro jejich vzdálenou správu. Jejich funkce i  jednoduchost při používání pak předurčí míru úspěšnosti boje proti malwaru i  celkovou dobu a  náklady spojené s  odstraňováním následků útoků. Microsoft proto u  Forefront Endpoint Protection (FEP) 2010 kladl mimořádný důraz na jednoduchost administrace a  distribuce aktualizací. Navíc spojil správu bezpečnostního řešení se správou bezpečnostních nastavení operačního systému prostřednictvím nástroje System Center Configuration Manager (SCCM). Vše, co se týká bezpečnosti, tak lze nyní konfigurovat z  jednoho místa v  admini-  strátorské konzoli. Ať už jde třeba o přístup uživatelů k  ovládacím panelům nebo čas



pravidelného povinného skenování počítače na přítomnost škodlivého softwaru. Tak se šetří čas IT administrátorů a eliminují se také případné chyby a  problémy s  kompatibilitou jednotlivých bezpečnostních nastavení. IT administrátoři navíc mohou FEP instalovat na jednotlivé stanice vzdáleně pomocí automatizované instalace přímo z  prostředí SCCM. K  distribuci aktualizací se pak využívá nativní služba Windows pro stahování aktualizací (WSUS). Bezpečnostní řešení tak nevyžaduje uživatelovu aktivní pozornost. Aktualizace FEP se nainstalují stejně snadno a bez jeho zásahu jako třeba aktualizace Windows či Office. Sjednocená administrátorská konzole navíc administrátorům umožňuje sledovat, mají-li jednotlivé koncové stanice již nainstalované nejnovější bezpečnostní aktualizace operačního systému a  další klíčové aplikace. K  dispozici je i  centralizované reportování detekovaných bezpečnostních hrozeb a jejich typů, které dovoluje reagovat na nové typy hrozeb a způsoby jejich šíření.

Uživatel nic nepozná Skutečně úspěšné a  funkční bezpečnostní řešení klade minimální nároky na koncového uživatele. Microsoft proto u Forefront Endpoint Protection 2010 šel cestou maximální jednoduchosti. FEP nabízí obdobné základní uživatelské rozhraní jako Microsoft Security Essentials, bezplatně dostupný antivirový nástroj, který mají uživatelé často instalován na domácích počítačích. Kromě něj však disponuje i dalšími nástroji, které využijí kupříkladu pokročilí uživatelé. Důležité je však to, že o  využívání FEP se koncový uživatel v praxi ani nemusí dozvědět, což je podle IT administrátorů vůbec nejlepší. FEP chod počítače nijak nezpomaluje a ani neobtěžuje oznámeními třeba o změ-

nách nastavení firewallu. S  FEP se uživatel dostane do kontaktu jen v  okamžiku, kdy FEP zaznamená akutní bezpečnostní hrozbu. I  pak však může FEP pracovat samostatně podle nastavení vypracovaného  IT administrátory z administrátorské konzole. Ta jim navíc umožňuje libovolně měnit text jednotlivých vzkazů, aby uživatelé věděli, co případně dělat (např.: „Váš počítač zaznamenal bezpečnostní hrozbu, kontaktujte prosím Ivana Chytrého z  IT oddělení na lince 2217.“).

Přehlednost šetří čas i peníze Právě přehledná administrace je vůbec nejsilnější stránkou Forefront Endpoint Protection 2010. Je-li vše v pořádku, stráví  IT administrátor kontrolou stavu zabezpečení všech firemních počítačů jen několik minut. Není-li něco v pořádku, po několika kliknutích ví, o co přesně jde, kolik a které počítače jsou zasaženy. IT administrátoři se tak plně mohou soustředit na samotnou údržbu, kterou mohou do značné míry automatizovat a nemusejí ztrácet čas zjišťováním samotného stavu věcí. Za zmínku také stojí, že od 1. srpna 2011 se Microsoft Forefront Endpoint Protec-  tion 2010 stane integrální součástí populárního licenčního balíku Core CAL Suite, takže mnoho českých firem bude moci tento produkt začít jednoduše využívat.

Microsoft Vyskočilova 1461/2a (budova Alfa) 140 00 Praha 4 Tel.: +420 841 300 300 +420 261 197 111 E-mail: [email protected] www.microsoft.cz

Professional Computing

ESET software spol. s r. o., Classic � Business Park, Jankovcova ����/��, ��� �� Praha �, tel.: +��� ��� ��� ���

BEZPEčnOST V ICT

Výrobce antivirů ESET vykupuje firmy do bezpečí Vzhledem k licenčním ujednáním a smlouvám je téměř nemožné po dobu platnosti licencí antivirových produktů začít používat jiný software bez ztráty investovaných prostředků. Jeden z největších světových výrobců antivirových programů, slovenská společnost ESET, však nabízí ojedinělou akci ESET Výkupné, která firmám pomáhá při přechodu k bezpečnostnímu softwaru této společnosti. Pokud firma používá ochranu proti virům, spamu a útokům, se kterou není spokojena a chce okamžitou změnu, je ESET Výkupné možným řešením. Důvodů  pro  takový  přechod  může  existovat řada. Ilustrativní může být případ malé  fi rmy podnikající ve fi nančním poradenství.  Její  problém  byl  jednoduchý:  fi remní  počítače  jsou  staršího  roku  výroby  a  neodpovídaly  současným  nárokům.  Firma  neměla  v  rozpočtu  dostatek  fi nancí  na  nákup  nového  hardwaru,  a  proto  se  rozhodla  pro  jiné  řešení  –  výměnu  antivirových  produktů,  které  nebudou  klást  tak  vysoké  nároky  na operační paměť zaměstnaneckých počítačů  a  notebooků.  Do  vypršení  platnosti  smlouvy  se  stávajícím  dodavatelem  však  zbývalo  ještě  půl  roku  a  fi nanční  ředitel,  který  dohlíží  na  omezený  rozpočet,  nákup  nového softwaru nepovolil. Stávající licence  antivirů  by  propadly  a  investované  peníze  by přišly nazmar.

8

Dalším modelovým příkladem může být  fi rma, která příliš pozdě zjistí, že její stávající bezpečnostní software nedokáže ochránit  nové  fi le  servery.  V  obou  případech  se  fi rma potřebuje rychle poohlédnout po novém  produktu. Řešit takové situace je možné právě prostřednictvím nabídky ESET Výkupné.  Pokud si fi rma koupí minimálně pět licencí  některého  z  antivirových  produktů  ESET,  po  zbývající  dobu  platnosti  konkurenčních  licencí  získává  koupené  produkty  zdarma.  Takto  si  fi rma  může  zajistit  ochranu  fi remních počítačů až na jeden rok, stačí doložit  fakturu nebo smlouvu od stávajícího dodavatele.  Mezi  současné  zákazníky  ESETu  patří  pestrá  paleta  zástupců  různých  segmentů.  Mezi  největší  fi remní  zákazníky  využívající  produkty  ESET  patří  Česká  pošta,  Česká  spořitelna,  Seznam.cz  či  Centrum  Holdings.  Například  poslední  zmíněná  společnost  pomocí  produktů  ESET  chrání  nejen  vlastní  fi remní  koncové  stanice  a  servery,  ale i samotné zákazníky Centrum Holdings  –  kontroluje  e-mailové  schránky  uživatelů  Centrum.cz a Atlas.cz a také stahované programy z internetové stránky Stahuj.cz. Nová  nabídka je však určena pro všechny velikosti  i  typy  podniků,  včetně  škol  nebo  státní  samosprávy. Mezi klienty společnosti ESET  patří i Fakulta podnikatelská Vysokého učení technického v Brně či Magistrát hlavního  města Prahy.  „Spousta firem, především ze segmentu malých a středních podniků, se rozhodne pro určitý bezpečnostní software, po čase ale

zjistí, že jim z různých důvodů nevyhovuje. Nemohou si ovšem dovolit nechat licenci propadnout, a tak čekají, až jim vyprší platnost licence a teprve poté se rozhodnou pro konkurenční řešení. Proto ESET přišel s kampaní ESET Výkupné,“  řekl  k  promoakci  Jaroslav  Fabián,  Marketing  Director  společnosti  ESET software. Nabídku však mohou využít  i  stávající  uživatelé  řešení  ESET,  a  to  na  licence produktů, které doposud nepoužívají. Modelovým příkladem může být uživatel  komplexního bezpečnostního balíčku ESET  Smart  Security  Business  Edition,  který  pro  svou  fi rmu  plánuje  pořízení  ochrany  i  pro  Windows File Server, kde doposud používal  konkurenční bezpečnostní řešení.  Akce  se  týká  všech  produktů  z  fi remního portfolia ESET, tedy řešení určených pro  ochranu pracovních stanic, serverů i mobilních telefonů. U koncových stanic produkty  ESET podporují platformy Microsoft, Linux  i Mac OS X, u mobilních telefonů pak platformy Windows Mobile a Symbian. Nabídku lze kombinovat se standardními slevami  ESET produktů, kterou společnost poskytuje například školám, nemocnicím, institucím  státní správy či nestátním neziskovým organizacím.  Ke splnění podmínek akce ESET Výkupné  stačí  doložit  platný  doklad  o  legálním  nabytí  konkurenčního  softwaru,  například  kopii  faktury  s  termínem  exspirace  konkurenčního řešení a s uvedením rozsahu licencí.  Následně  bude  poskytnuta  výhoda  ve  formě  prodloužení  platnosti  o  dobu,  která  zbývala  do  vypršení  konkurenčního  řešení.  Maximální  délka  takového  prodloužení  je  jeden  rok.  Tato  kampaň  je  platná  v  celé  prodejní  síti  ESET  Partner  a  na  www.eset. cz/vykupne,  kde  jsou  také  dostupné  další  informace.

ESET Classic 7 Business Park Jankovcova 1037/49 170 00 Praha 7 Tel.: +420 233 090 251 GSM: +420 724 877 260 E-mail: [email protected] FB: www.nemameradiviry.cz www.eset.cz

Professional Computing

Bezpečnost v ICT

Check Point Software Technologies

Firma, která stvořila firewall Prodejnímu kanálu v  české pobočce izraelského výrobce bezpečnostních řešení, společnosti Check Point, „velí“ teprve dvaatřicetiletý Miloslav Lujka. V  pohodlných křeslech jednoho nejmenovaného pražského hotelu jsme spolu hovořili nejen o  unikátním bezpečnostním řešení, ale třeba i  o  skutečnosti, proč může být Check Point pro širokou veřejnost méně známou značkou. Společnost Check Point je ve světě informačních technologií svým způsobem výjimečná, neboť se od prvopočátku důsledně specializuje na problematiku komplexní bezpečnosti… Základní kámen společnosti položil současný CEO Gil Shwed, který je otcem našeho prvního produktu, firewallu, jenž byl pojmenován FireWall-1. Šlo v  té době o  vůbec první komerčně vyvíjený a na trhu dostupný firewall, který vlastně předznamenal budoucí vývoj v  této oblasti. Tak se Check Point stal synonymem pro produkty na ochranu zařízení firem na internetu. Časem se sice výrobců firewallů objevilo hodně, nicméně nám se podařilo udržet si nejvyšší pozice. Myslím, že je to dáno skutečností, že netříštíme své síly v jiných odvětví IT a komplexní bezpečnosti zůstáváme věrni. Navíc jsme k vyvíjenému softwaru před pěti lety přidali i  výrobu vlastního hardwaru, takže naše nabídka je dnes opravdu kompletní. Udává se, že vaše produkty používá celá první stovka největších světových korporací a 98 procent z prvních 500 nejvýznamnějších společností, přitom pro širokou veřejnost na českém trhu nejste příliš známí, navíc si vás mnozí mohou lehce zaměnit třeba s  CzechPointem, českým podacím ověřovacím informačním národním terminálem. Není to škoda? Od počátku se jako Check Point soustředíme na „enterprise“ řešení. Tedy komplexní bezpečnostní řešení pro firmy. Náš marketing tedy není zaměřen na „retailové“

Professional Computing

drobné zákazníky, a  to je možná ten hlavní důvod tohoto vnímání. Celosvětově má Check Point necelé tři tisícovky lidí a podniková klientela je náš hlavní záměr, s ní spolupracujeme a jejím potřebám se věnujeme. Nemáme tedy důvod organizovat a  spouštět velké propagační a reklamní akce v TV a podobně. Zaměřujeme se spíše na konkrétní marketingové aktivity, u kterých důsledně měříme jejich efektivitu. Je důležité dělat věci správně, avšak ještě důležitější je dělat správné věci, tedy ve sportovní terminologii: „Bruslit tam, kde je puk“. Nicméně, proč by měli zbystřit sluch šéfové IT oddělení i  vedení podniků, uslyší-li jméno vaší společnosti? Protože Check Point produkuje špičkovou technologii, v reálu bez diskuse lety prověřenou těmi největšími firmami světa, armádou ale i  mobilními operátory a  řadou dalších. Navíc jde o  tradiční spolehlivou značku, která dodává komplexní bezpečností řešení, které se vyznačuje jednoduchostí a vysokou spolehlivostí. Vcelku hodně společností zmiňuje komplexnost svého řešení… To je možné, ale v našem případě trvám na svém. Check Point dodává skutečně komplexní řešení a  je ve světě uznáván i  pro jeho tolikrát oceněný management. Pro příklad nemusím chodit daleko. V  naší firmě hlídá bezpečnost všech pracovníků v  při-  bližně 60 pobočkách jeden administrátor na plný úvazek a druhý na poloviční, což je dnes, kdy lidé nejsou svázáni jen s jedním

počítačem, ale kromě pracovního počítače používají ještě notebook, iPad, smartphone a  citlivá data ještě ukládají na flash disky a  navíc neustále cestují, jasným důkazem o spolehlivosti našeho řešení. Můžete nám tedy princip bezpečnostní řešení společnosti Check Point přiblížit? Naši vizi bezpečnosti nazýváme 3D Security (proces, politika, jednoduchá a efektivní vynutitelnost politiky).

Bezpečnost dnes lidé nechápou jako produkt, ale jako proces. Každý proces je popsán politikou, která musí být jednoduše a  efektivně vynutitelná, ideálně pokud dokáže i edukovat uživatele. Bezpečnost tedy není pouze o  číslech, ale o  lidech a  jejich potřebách. Dříve byl zaměstnanec svázán se svým pracovním stolem, počítačem, IP adresou a  používal 



Bezpečnost v ICT

standardní aplikace, protokoly pro práci, e-mail, FTP, web. Dnes lidé více  cestují, pohybují se mezi lokalitami, používají řadu mobilních zařízení od notebooků přes tablety až po různé smartphony.  Navíc řada aplikací je webových a efektivně se tedy nelze zaměřit pouze na hlídání portů (e-mail, FTP, web), ale jde o  to, přiblížit se uživateli a  jeho potřebám, vědět  jaké aplikace má povolené používat a podobně.

Příkladem za všechny jsou sociální sítě, například Facebook nebo i  YouTube. Facebook obsahuje stovky aplikací, které se již pouze přes protokol nerozliší, You Tube konzumuje šířku pásma. Firma může chtít, aby Facebook i YouTube využívalo jen marketingové oddělení, protože je součásti jejich PR projektů, ale už si nepřeje, aby k sociálním sítím v pracovní době přistupovali třeba účetní. V praxi si tedy představte několik vrstev, kde firewall tvoří základní kámen (kontejner), do které je vsunuto několik vrstev (bladů). Začneme s  Identity Awareness Blade – vrstva, která dokáže správně jmenovitě rozlišit nejen uživatele, ale ho také správně zařadit do pracovní skupiny. Umí pracovat s AD, takže firma dokáže využít již nastavené skupiny v rámci Microsoft Exchange. Nad ním si představte IPS Blade, který dokáže zjistit, zda jde o legitimní provoz v síti, nebo o útok.

10

Dále Application Control Blade, jež rozliší, které aplikace jsou používány a  povoleny. Vlastníme celosvětově největší databázi aplikací, jež je dostupná na  http://appwiki.checkpoint.com/ a  obsahuje přes 4,500 aplikací, více jak 100 000 widgetů v sociálních sítích. To vše je roztříděno do více než 80 kategorií. Nad ním si můžeme představit tolik diskutované DLP, tedy vrstvu, která umí ohlídat, aby neunikala citlivá firemní data, a kontroluje e-maily. Tady je vhodné zmínit také edukaci zaměstnanců. DLP lze nastavit tak, aby se uživatele dotázala, zda e-mail skutečně chce poslat, nebo zda šlo o  omyl a  je nutné jeho odesílání zastavit. Vše je auditované a  firma může v  určitých případech nechat rozhodnout samotného uživatele s nutností však svůj krok zdůvodnit. Je prokázáno, že 98 procent všech úniků dat jsou nechtěnými. Pokud skutečně někdo bude chtít ukrást data, tak to zřejmě dokáže jinými způsoby, například natočením obrazovky na video apod.

A nakonec můžeme zmínit Mobile Blade – tedy vrstvu, která dokáže zakončit na bráně mobilní zařízení. To celé zastřešuje komplexní management, z něhož lze pohodlně a vizuálně kontrolovat, zjišťovat incidenty, tvořit reporty pro management a  nastavovat politiky pro všechny zmíněné vrstvy (blady). Jako třešničku na dortu jmenuji náš Check Point Secure Workspace – bezpečnou mobilní kancelář o  velikosti flash disku s  hardwarovým a  softwarovým šifrováním s  VPN, která uživatele dokáže bezpečně připojit do firemní sítě. Kde se mohou případní zájemci s vaším řešením seznámit? Měli by oslovit některého z našich partnerů, které mohou najít na www.checkpoint.com (vpravo dole je odkaz „Find a  reseller“), nebo přímo jednoho z  našich distributorů,

společnost DNS. S ní velmi úzce spolupracujeme na jednotlivých zakázkách a  víme, že pro ni pracují vysoce erudovaní odborníci, kteří mají o  našich produktech hluboké znalosti. DNS také nabízí zájemcům vyzkoušet naše řešení zdarma na zkoušku a  umí například nainstalovat bránu s  výše zmíněnými technologiemi (blady) v  jejich vlastním firemním prostředí. Po určité době jim na jejich vlastních datech získaných z provozu ukáže slabá místa sítě, incidenty a poradí s jejich řešením. Prakticky tak dokáže, že naše řešení má skutečně vynikající poměr ceny a  výkonu, že je jednoduché, flexibilní a snadno nasaditelné.

Check Point Software Technologies IBC Building Pobřežní 3/620 186 00 Praha 8 Tel.: +420 222 311 495 Fax: +420 222 311 495 E-mail: [email protected] www.checkpoint.com

DNS Na Strži 1702/65 140 00  Praha 4 Tel.: +420 296 377 400 Fax: +420 296 377 402 E-mail: [email protected] www.dns.cz

Professional Computing

Bezpečnost v ICT

Bezkonkurenční důvěryhodnost

Nepřekonatelná hodnota

Barracuda Web Filter Zvýšená produktivita, snížená rizika

Vysoce oceňovaná řešení Barracuda Networks používá celosvětově už více než 130 000 organizací, které jim svěřují bezpečnost svých sítí a jejich uživatelů. Přinášejí také úsporu nákladů a času vašeho týmu IT – instalace je rychlá, používání je snadné. K  dosažení vašich bezpečnostních cílů a kompatibility s bezpečnostními předpisy vystačíte s produkty jediného výrobce.

Čím se Barracuda Networks liší? Od okamžiku uvedení na trh Barracuda Networks získává široké uznání od zákazníků, tisku a  odborných specialistů nabídkou prvotřídních produktů a výjimečného zákaznického servisu. Společnosti a  organizace všech velikostí spoléhají na řešení Barracuda Networks kvůli pěti základním důvodům: • Instalace během 15 minut. Není potřeba instalovat software nebo provádět síťové modifikace. Všechny Barracuda Networks produkty jsou jednoduché k nasazení a provozování. • Není zapotřebí detailních IT znalostí. Všechny Barracuda Networks produkty mají intuitivní web interface, který umožňuje snadný management zařízení a  nevyžaduje, aby pracovníci IT byli experty pro daná řešení. • Rychlý support po telefonu. Speciálně vyškolení Barracuda Networks servis-

Professional Computing

Barracuda Web Filter integruje filtraci obsahu s vysoce účinnou ochranou proti spywaru a  virům. Kromě ochrany vaší sítě před ní technici jsou dostupní 24 x 7 k zodpo- hrozbami pomáhá Barracuda Web Filter implementovat firemní politiku využívání vězení telefonických dotazů zákazníků. • Automatický update produktů. internetu zaměstnanci, zvyšuje produktivitu Součástí každého Barracuda Networks práce mj. i  blokováním přístupu na rizikořešení je Barracuda Energize Update, vé webovské stránky, omezením stahovákteré průběžně aktualizuje nastavení ní souborů a  činnosti aplikací. Barracuda  zařízení proti nejnovějším bezpečnostním  Web Filter nedávno získal ocenění 5 z pěti hvězdiček SC Magazine pro svou výkonhrozbám. • Nízké celkové náklady na zařízení nost, použité funkce, cenu a  jednoduchost  a  jeho provoz. Výkonnost Barracuda použití. Barracuda Web Filter je filtračNetworks řešení může být jednoduše ní řešení obsahu internetu, které si organastavena nebo zvětšena podle růstu nizace všech velikostí nemohou dovolit  a požadavků organizací. přehlédnout.

11

BEZPEčnOST V ICT

Barracuda NG Firewall Barracuda Web Barracuda  NG  Firewall  je  rodina  hardwaru  Application Firewall a virtuálních „appliance“ vyvinutá k ochraně síťové infrastruktury, zlepšení site-to-site  spojení  a  zjednodušení  administrace  a  servisování  síťových  operací.  Vedle  výkonného  síťového  fi rewallu  a  VPN  technologií  Barracuda NG Firewall integruje kompletní  seznam „next generation“ fi rewall technologií včetně ochrany web stránek a web aplikací, ochrany proti průniku, fi ltrování webu,  spamu a virů.  Kvalitu řešení dokladuje např. jeho nasazení  ve  většině  rakouských  bankovních  institucí doma i v cizině.

Je Váš web zranitelný? Odstraňte rizika ihned – bez týdnů čekání na úpravu programů!

Virtuální „appliance“ Barracuda Networks

Barracuda  Web  Application  Firewall  je  kompletní  a  výkonné  bezpečnostní  řešení  pro  ochranu  web  aplikací  a  web  stránek,  které  získalo  celou  řadu  prestižních  ocenění.  Poskytuje  ochranu  proti  hackerům,  kteří  se  snaží    s  využitím  slabin  protokolů  a  zranitelností  web  aplikací  docílit  úniku  citlivých  dat,  poškodit  dostupnost  nebo  strukturu, funkčnost a vzhled web stránek.  Barracuda  Web  Application  je  dostupný  a komplexní aplikační fi rewall, který zabezpečuje  web  aplikace,  zvyšuje  jejich  výkon  a dostupnost.

•  Populární  hardwarová  řešení  nyní  dostupná jako software appliance. •  Umožňují standardizaci hardwaru a optimalizaci zdrojů. •  Jsou ideální pro nasazení v již existujícím  virtuálním prostředí. •  Výrazně snižují celkovou cenu řešení. Virtuální  appliance  produkty  zajišťují  stejně  silnou  bezpečnost  a  funkčnost  síťových  technologií,  jaká  je  u  hardwarových  řešení Barracuda Networks. Virtuální appliance  produkty  jsou  ideálním  řešením  pro  společnosti, které standardizují hardwarové  platformy  nebo  již  používají  virtuální  platformy  jako  VMware,  Citrix  a  Hyper  V.  Tak  jak společnosti rostou, lze tato virtuální řešení  jednoduše škálovat pro vyšší  požadovaný  výkon  a  kapacitu.  Umožňují  rychlejší  zálohování a obnovení dat v případě jejich  poškození. Jsou k dispozici virtuální, cloudové i hybridní možnosti nasazení.



Celosvětově oblíbená řešení Barracuda Networks pokrývají kvalitně a komplexně tyto oblasti: Bezpečnost •  Barracuda Spam & Virus Firewall •  Barracuda Web Application Firewall •  Barracuda Web Filter •  Barracuda IM Firewall •  Barracuda NG Firewall •  Firewall Barracuda SSL VPN Síťové prvky •  Barracuda Load Balancer •  Barracuda Link Balancer

Gesto Communications Korunní 106 101 00 Praha 10 Tel.: +420 271 735 344 +420 271 731 481 +420 267 310 034 E-mail: [email protected] www.gestocomm.cz

Ukládání dat •  Barracuda Message Archiver •  Barracuda Backup Server •  Barracuda Backup Service

Evaluace po dobu 30 dní zdarma –  www.barracuda.com, www.barracudanetworks.cz

Distributorem zařízení Barracuda Networks pro Českou republiku a Slovensko je společnost Gesto Communications.

Professional Computing

Bezpečnost v ICT

IVA, Přidaná hodnota

IP kamerové systémy Bosch Současným trendem IP kamerových systémů je vysoké rozlišení kamer, automatizace ovládání a  možnost integrace. Požadavek snadné integrace splňuje Bosch kamerami v souladu se standardem ONVIF a navíc podporou pro softwarové firmy prostřednictvím softwaru development kit SDK. U  obrazu s  vysokým rozlišením se Bosch zaměřuje na standardizované HD formáty, které jsou definovány přenosem plného počtu 25 snímků za vteřinu, poměrem stran 16:9, progresivním scanováním a rozlišením 1 920 x 1 080, nebo 1 280 x 720. Vzhledem

Professional Computing

k  nízkému datovému toku Bosch používá efektivní rozdílovou kompresi H.264. Velký důraz při vývoji IP kamerových systémů klade Bosch na maximální možnou míru automatizace a  efektnímu využití celého systému. K tomu slouží inteligentní analýza

obrazu (IVA), kterou mají Bosch IP kamery již v sobě integrovánu. Podle statistik již po dvaceti minutách provozu i profesionální operátor není schopen zaregistrovat 90 procent děje v obraze. Prostřednictvím IVA získává pomocníka, který se neunaví a  pracuje 24 hodin denně, sedm dní v  týdnu. Navíc v  moderních kamerových systémech s desítkami či stovkami kamer ani nelze všechny kamery zobrazit. IVA se stává užitečným pomocníkem také v  instalacích, kde není trvalá obsluha kamerového systému, neboť snadno upozorní na nebezpečí. V  kamerových sy-  stémech bývá IVA využita také ke spuštění záznamu či přepnutí záznamu na vyšší kvalitu či počet snímků za sekundu. Tak lze omezit potřebnou kapacitu úložiště a ušetřit náklady na systém. Veškeré analýzy a  vyhodnocení se v  Bosch IP kamerových systémech provádí přímo na procesoru IP kamery. Tímto decentralizovaným řešením se výpočetní výkon rozprostře mezi jednotlivé kamery a systém se tak nepřetíží, ani když analyzuje 

13

BEZPEčnOST V ICT

obraz  na  stovkách  kamer  současně.  Ani  závady  na  jedné  kameře  nijak  neovlivní  funkci ostatních kamer v systému. Tím, že  IVA se provádí v samotné kameře, lze snížit  nároky na datový tok a potřebné přenosové trasy, protože není třeba přenášet kompletní datový tok do analytického serveru.  Zároveň  lze  do  takových  kamer  nahrát  poslední fi rmware a zpřístupnit tím pro IVA  vždy aktuální funkce. IVA  je  schopná  upozornit  na  narušení  oblasti,  detekovat  tzv.  „pofl akování“  v  oblasti,  zanechaný  nebo  odebraný  předmět, překročení linie od jednoduchého překročení po kombinace překročení až tří linií  ve  stanoveném  pořadí  a  detekovat  změnu  stavu  jako  například  rychlosti,  velikosti,  směru  pohybu.  Posledním  druhem  detekce  je  tzv.  Flow  detection,  které  se  využívá  v  prostorách,  v  nichž  pobývá  hodně  lidí,  typicky na stadionech a nádražích. 

Pro  přesnou  specifi kaci  poplachových  stavů lze využít řadu tzv. fi ltrů. Nastavit lze  velikost objektu, jeho rychlost a směr, poměr  výšky  a  šířky  a  barvu  objektu  pro  detekci  specifi cké  situace.  Filtry  lze  libovolně  kombinovat a přesně tedy nastavit požadované  parametry  detekce.  Pro  správné  fungování  fi ltrů  je  potřeba  přesně  parametrizovat  danou  scénu,  tj.  dát  ji  patřičnou  perspektivu.  Příkladem  využití  IVA  je  například  detekce  auta  stojícího  v  odstavném  pruhu  dálnice,  zatarasený  nouzový  východ  zbožím, auto jedoucí v protisměru, upozornění na lelkující osoby u bankomatu, příliš  vysoká  rychlost  vozidla  v  areálu,  sledování  uměleckých  předmětů  v  muzeích  atd.  Důležitou  součástí  pro  plné  využití  funkcí  IVA  je  zobrazovací  software,  který  dokáže  s  kamerami,  na  nichž  je  aktivována  IVA,  plnohodnotně  komunikovat.  Výsledkem  je 

potom rozlišení jednotlivých poplachových  stavů  od  stejné  kamery  na  monitoru  operátora.  Funkce  IVA  také  umí  snímaná  data  zaznamenávat.  Tyto  informace,  nazývané  metadata, jsou v záznamu uloženy společně s videosnímky, aniž by uložení dat bylo  závislé  na  vyhlašování  poplachů  v  živém  režimu.  Ukládají  se  vždy  pro  oblast  záběru,  která  je  označena.  Metadata  obsahují  podrobnosti  o  všech  objektech,  které  se  nacházejí  ve  sledovaných  oblastech.  Metadata, která se skládají z jednoduchých  textových  řetězců  popisujících  konkrétní  detaily  v  obrazu,  mají  mnohem  menší  objem než nahrané video. Proto je vyhledávání  v  metadatech  velice  rychlé  bez  ohledu na to, jak je záznam starý. V postatě se  videozáznam  zpětně  neanalyzuje,  ale  hledají  se  pouze  potřebná  metadata  pomocí  chytrých  postupů  podobných  těm,  které  poskytují internetové vyhledávače.  Vyhledávání  záznamu,  tzv.  Forensic  Search, se přitom provádí pomocí stejných  úloh a fi ltrů jako nastavení detekce pro živý  režim. Funkci Forensic Search ocení uživatel  zejména  tehdy,  když  hledá  v  záznamu  konkrétní  událost,  ale  neví,  kdy  se  přesně  odehrála.  Vzhledem k tomu, že se IVA provádí ve  snímaném  obraze,  je  spolehlivá  analýza  závislá na kvalitě příchozího videosignálu.  Nekvalitní videosignál výrazně snižuje kvalitu a spolehlivost analýzy. Sněžení a silný  déšť  je  dalším  nepřítelem  IVA.  Další  omezením  funkčnosti  může  způsobit  snímaná  scéna.  Je  například  vhodné  se  vyvarovat  nasměrování kamery na moderní prosklené  budovy,  které  odrážejí  procházející  osoby  a auta jako v zrcadle. Je vhodné se předem  rozmyslet, zda požadovaná funkce analýzy  je reálná k danému záběru a používat „selský rozum“.

Robert Bosch odbytová Security Systems Pod Višňovkou 35/1661 140 00 Praha 4 Tel.: +420 261 300 244 Fax: +420 261 300 249 E-mail: [email protected] www.bosch-security.cz



Professional Computing

Případová studie

McAfee Endpoint Encryption

Šifrování koncových stanic Celosvětový průzkum společnosti McAfee zaměřený na zmapování situace v oblasti ochrany duševního vlastnictví firem ukázal, že právě únik dat pokládají bezpečnostní experti ve firmách za nejvážnější variantu narušení firemní bezpečnosti. Duševní vlastnictví a citlivá data se staly novým platidlem počítačových podvodníků. Krádeže se soustřeďují na obchodní tajemství, výsledky výzkumů, vývoje nebo i na zdrojové kódy softwaru. Aleš Pikora, ředitel divize DataGuard

Jak takové prekérní situaci předejít si nyní ukážeme prostřednictvím případové studie z prostředí automobilového průmyslu.

Záměr Rozsáhlá ICT infrastruktura každé firmy vyžaduje pro svou ochranu nasazení sofistikovaných bezpečnostních prvků. Jedním z úkolů, před kterými společnost stála, bylo zabezpečení koncových stanic (notebooků a PC). Jak uvádí Aleš Pikora, ředitel divize DataGuard, PCS, která uskutečnila analýzu a implementaci, ochrana koncových stanic je naprosto nezbytná z důvodů jejich možných ztrát a poškození a navíc je vyžadována i firemními předpisy. „Firma používala řešení pro šifrování koncových stanic od konkurenčního dodavatele, avšak nebyla s tímto řešením plně spokojena. Důvodem byla zejména jeho hardwarová náročnost, způsobující zpomalení běhu počítačů. Při práci s původním řešením pro kryptování zaznamenávali také problé-

McAfee Endpoint Encryption zajišťuje ochranu PC i notebooků před neoprávněným přístupem díky šifrování dat. Nabízí snadné centralizované řízení pro správu, rozmístění, upgrady, revizi, náhlé storno (odpojení), synchronizaci apod. Napomáhá uplatňování celkové bezpečnostní politiky závazné pro podnik. Kromě toho nabízí bootovací ochranu, předbootovací identifikaci, předbootovací logging a chrání před master boot viry.

Professional Computing

my s výkonem a postrádali centrální správu. Měli zájem o řešení, které by bylo možné řídit z jediného místa. Výběr vhodného řešení probíhal mezi několika dodavateli, do užšího výběru jsme se však dostali pouze dva. Řešení McAfee Endpoint Encryption vybrali na základě naší dlouhodobé spolupráce – pro zabezpečení koncových stanic používají již od roku 2001 produkty firmy McAfee. Toto řešení klientovi vyhovuje, protože je integrováno s dalšími produkty McAfee, které využívají,“ říká Aleš Pikora.

Implementace a současný stav Pilotní projekt začínal na počátku ro-  ku 2009 na 20 testovacích licencích. Během testování bylo zjištěno, že řešení McAfee Endpoint Encryption má skutečně nižší nároky na systémové zdroje, což bylo jed-

ním z důležitých parametrů. Dalším důležitou vlastností byla centrální správa, která je při počtu koncových zařízení používaných u klienta nutností. „Šifrování koncových stanic je plně integrováno s  platformou McAfee ePolicy Orchestrator, která zastřešuje všechna bezpečnostní řešení a  zajišťuje prosazování bezpečnostních politik. McAfee Endpoint Encryption také podporuje synchronizaci hesel a jednotné přihlašování (Single Sign-On) a  nabízí i  podporu PKI karet, které jsou ve společnosti standardem,“ říká Jan Pergler, Senior Technical Consultant, ze společnosti PCS, divize DataGuard. „V  současnosti je řešení nasazeno přibližně na 2 500 noteboocích. Během cyklu obnovy hardwaru by mělo být řešení instalováno na dalších asi 7 500 PC,“ dále uvádí.

Pobočky: Praha, Brno, Blansko, Žďár nad Sázavou, Bratislava

15

PřÍPADOVá STuDIE

Výhled do budoucna Chystáme se klientovi implementovat řešení  McAfee  Total  Protection  for  Data,  jehož  součástí  jsou  další  funkcionality.  Zatímco  na  noteboocích  jsou  šifrovány  celé  pevné 

Divize DataGuard Tradiční  dodavatel  bezpečnostních  řešení  špičkové  kvality  s  přidanou  hodnotou,  vznikl  v  roce  1992.  Zastupuje  zahraniční  výrobce  komplexní  antivirové  ochrany.  Je  „Elite  Partner“  společnosti  McAfee,  výhradním  distributorem  produktů  Kaspersky Lab v ČR a SR. DataGuard je držitelem  nejvyšších  úrovní  partnerství,  které  předpokládají technické a obchodní certifi kace.  Na  základě  požadavků  zákazníka  nabízíme  širokou  škálu  služeb  v  oblasti  bezpečnosti  dat  od  analýzy  bezpečnostních  rizik,  navržení  řešení,  instalace  testovacích produktů až k následné realizaci  doporučených  postupů.  Běžnou  součástí  všech služeb je hot-line a hot-mail servis,  pravidelné  kontroly  nainstalovaných  produktů, stálá technická pohotovost, školení  zaměstnanců nebo úplný outsourcing bezpečnostních prvků.

Skupina PCS Společnosti  sjednocené  pod  názvem  PCS  se zabývají širokým spektrem činností – od  komplexních  služeb  v  oblasti  zabezpečovacích a komunikačních systémů, detekce  nebezpečných  předmětů,  přes  dodávky  analytických přístrojů a měřících ústředen,  až po řešení bezpečnosti dat. Významnou  součást tvoří vývoj vlastního ekonomické-



disky,  aby  nedošlo  ke  ztrátě  nebo  zneužití  dat, na desktopech se uvažuje pouze o šifrování  virtuálního  disku,  kam  by  si  uživatelé mohli ukládat data, což řešení McAfee  umožňuje. 

ho softwaru a nemocničních informačních  systémů.  Skupina  PCS  působí  na  českém  a  slovenském  trhu  již  od  roku  1990,  zaměstnává  přes  100  pracovníků  a  její  roční  obrat  přesahuje  200  milionů  korun  (2010).  Vzájemná  synergie  jednotlivých  činností  je  zárukou  rozvoje  a  stability  i do dalších let. Více informací najdete na  www.pcs.cz a www.pcs.sk.

McAfee McAfee,  stoprocentně  dceřiná  společnost  Intel  Corporation  (NASDAQ:INTC),  je  společností  specializovanou  na  bezpečnostní  technologie.  McAfee  dodává  aktivní osvědčená řešení a služby, které chrání  systémy,  sítě  a  mobilní  zařízení  po  celém  světě,  poskytuje  uživatelům  možnost  se  bezpečně připojovat na internet, bezpečně  prohlížet  web  či  zde  nakupovat.  Společnost McAfee, za podpory své sítě informací o hrozbách – Global Threat Inteligence,  vytváří inovační produkty, které umožňují  domácím  uživatelům,  fi rmám,  veřejnému  sektoru  a  poskytovatelům  služeb  zajistit  soulad  s  regulačními  požadavky,  chránit  data,  předcházet  výpadkům,  identifi kovat  zranitelnosti  a  průběžně  sledovat  a  zdokonalovat  jejich  bezpečnost.  Společnost  McAfee  zajišťuje  bezpečnost  vašeho  digitálního světa. www.mcafee.com

Tato varianta je ve hře kvůli menší hardwarové  náročnosti,  než  je  šifrování  celého  disku. Současně bude zavedeno také šifrování výměnných médií.

Přínosy řešení Klient  na  McAfee  Endpoint  Encryption  oceňuje především rychlost, která se oproti  dříve používanému řešení výrazně zlepšila.  Na  druhém  místě  je  centrální  správa,  kdy  administrátor  na  své  konzoli  může  měnit  nastavení jednotlivých uživatelů.  Mezi další výhody patří možnost lokalizace a personifi kace řešení. Je do něho možné  umístit  vlastní  hlášení  v  českém  jazyce  a také například vložit loga. „Pro zákazníka je rovněž velmi důležitá kvalita lokální podpory. Produkt má standardně podporu na úrovni Gold, ale naše společnost garantuje reakční časy v případě havárie, nefunkčnosti apod.,“ říká A. Pikora.

PCS, divize DataGuard Aleš Pikora, ředitel Šátalská 1 c/d 140 00 Praha 4 Tel.: +420 241 091 003 Fax: +420 241 091 007 E-mail: [email protected] E-mail: [email protected] www.pcs.cz/dataguard www.mcafee.com

Professional Computing

Partneři časopisu Professional Computing Speciál BEZPEČNOST V ICT

Bosch Security Systems

ESET software

Robert Bosch odbytová Pod Višňovkou 35/1661 140 00 Praha 4 Tel.: +420 261 300 244 Fax: +420 261 300 249 E-mail: [email protected] www.bosch-security.cz

Classic 7 Business Park Jankovcova 1037/49 170 00 Praha 7 Tel.: +420 233 090 251 GSM: +420 724 877 260 E-mail: [email protected] FB: www.nemameradiviry.cz www.eset.cz

DNS

Check Point Software Technologies

Na Strži 1702/65 140 00 Praha 4 Tel.: +420 296 377 400 Fax: +420 296 377 402 E-mail: [email protected] www.dns.cz

IBC Building Pobřežní 3/620 186 00 Praha 8 Tel.: +420 222 311 495 Fax: +420 222 311 495 E-mail: [email protected] www.checkpoint.com

Gesto Communications

IBM

Korunní 106 101 00 Praha 10 Tel.: +420 271 735 344 +420 271 731 481 +420 267 310 034 E-mail: [email protected] www.gestocomm.cz

V parku 2294/4 148 00 Praha 4 Tel.: +420 272 131 111 Fax: +420 272 131 401 E-mail: [email protected] www.ibm.com/cz

Microsoft

PCS, divize DataGuard

Vyskočilova 1461/2a (budova Alfa) 140 00 Praha 4 Tel.: +420 841 300 300 +420 261 197 111 E-mail: [email protected] www.microsoft.cz

Šátalská 1 c/d 140 00 Praha 4 Tel.: +420 241 091 003 Fax: +420 241 091 007 E-mail: [email protected] www.pcs.cz/dataguard www.mcafee.com