ČERVEN 2011 / ročník XII, č. 3
BEZPEČNOST V ICT Firma, která vymyslela firewall Rozhovor se šéfem české pobočky Check Pointu Miloslavem Lujkou
Snadná
a efektivní obrana
Barracuda Networks – – nedostižná hodnota
Přidaná hodnota kamerových systémů
Šifrování
koncových stanic
1 0 ; 7 / , " MJTUPQBEV 1SBIBÊ p5SFOEZWCF[QFÂOPTUJ*$5 p,SJNJOBMJUBW*$5TZTUÃNFDIBKFKÇQSFWFODF p-JETL×GBLUPSWPCMBTUJCF[QFÂOPTUJ*$5 p#F[QFÂOPTUOÇW×[WZWFWJSUV»MOÇNQSPTUÒFEÇ p)BSEXBSPW»BTPGUXBSPW»CF[QFÂOPTU p#F[QFÂOPTUOÇTMVxCZ p.PCJMOÇCF[QFÂOPTU p#F[QFÂO»TÇU p#F[QFÂO»BSDIJWBDFEPLVNFOUV p0VUTPVSDJOHCF[QFÂOPTUJ iiÀ?Ê«>ÀÌiÀ\
>ÛÊ«>ÀÌiď\
*>ÀÌiÀ\
/BLPOGFSFODJTFISBKFP[»KF[EOBMVYVTOÇW×MFUOÇMPEJQSPPTPCZ 3FHJTUSPWBUTFNÓxFUFKJxOZOÇOBXXXEDED[LPOGFSFODF
EDITORIAL
Vážení čtenáři, vážené čtenářky, je vcelku pochopitelné, že každý z nás vnímá pojem bezpečnosti jinak. Někdo se necítí bezpečný ani za třemi bytelnými zámky, jinému postačí pouze zaklapnuté dveře, další nepocítí strach na provazu napnutém mezi dvěma mrakodrapy, zatímco ostatním svírá žaludek pohled ze třetího stupínku na štaflích… A stejné je to i s bezpečností našich nástrojů z oblasti informačních a komunikačních prostředků, a to bez ohledu na to, že bohémský přístup k bezpečnosti může každého z nás stát pomalu majlant. Obzvláště dnes, když neposedíme a plně využíváme slastí, které nám přinesla všudypřítomná mobilita. Ostatně studie společnosti McAfee „Mobilita a bezpečnost: Oslnivé příležitosti, vážné výzvy“, je v tomto ohledu více než výmluvná. Vyplývá z ní totiž, že 63 procent mobilních zařízení připojovaných k firemní síti lidé současně používají i pro soukromé účely, i když konkrétní čísla se liší podle jednotlivých kategorií (notebooky, netbooky, smartphony, tablety, přenosná paměťová média...); mnoho z lidí navíc nezná politiku své firmy a zásady, které používání těchto zařízení podrobněji upravují. Závislost na mobilních zařízeních je už dnes značná a stále se zvyšuje (za poslední rok u sedmi z deseti zkoumaných firem). Téměř polovina organizací v průzkumu uvedla, že na ně velmi spoléhá.
Studie zjistila, že • IT profesionálové i koncoví uživatelé vnímají jako největší bezpečnostní riziko ztrátu nebo krádež mobilního zařízení – čtyři z deseti organizací zaznamenaly ztrátu nebo krádež mobilních zařízení, přičemž polovina z nich obsahovala kritická podniková data. Více než třetina incidentů znamenala pro dotčenou firmu finanční ztráty. Dvě třetiny organizací ovšem v důsledku ztráty mobilního zařízení vylepšilo svou bezpečnostní politiku. • Rizikové chování a slabé zabezpečení jsou běžné – ačkoliv je potřeba zmírňování bezpečnostních rizik souvisejících s používáním mobilních zařízení uznávána, pouze necelá polovina uživatelů zálohuje data častěji než jen jednou týdně. Polovina lidí má v mobilním zařízení uložena citlivá data, například hesla, PIN nebo další údaje o platební kartě. Jeden ze tří uživatelů ukládá na mobilní zařízení i citlivá firemní data. • Rozpor mezi deklarovanou firemní politikou a realitou – 95 procent organizací má zavedeny politiky vztahující se
k používání mobilních zařízení, ale pouze třetina zaměstnanců je s nimi podrobněji seznámena. Firmy mají problém svou politiku vynutit. Nicméně mnohdy je i samotná firemní politika velmi volná. Čtyři z deseti organizací nijak neomezují počet zařízení, která uživatelé mohou připojovat (resp. synchronizovat). Stejný počet firem nijak neomezuje přístup k webu z mobilních zařízení, stahování obsahu ani instalaci nových aplikací. Neradostné zjištění. I přes ty tuny papíru, které byly a ještě budou na toto téma sepsány. Takže snad vám následující stránky přinesou inspiraci, jak se elegantně vyhnout tomu, aby právě vaše firma spadala do onoho statistického ranku „čtyři z deseti organizací“. Pěkné počtení přeji
OBSAH
Professional Computing Speciál Bezpečnost v ICT Vyšlo 30. června 2011 Samostatně neprodejná příloha ekonomických časopisů. Vydavatel: DCD Publishing Komprdova 20, 615 00 Brno IČO: 25560701 ředitelka: Kateřina Černovská www.dcd.cz
Professional Computing
Adresa redakce: Lublaňská 21, 120 00 Praha 2 tel.: 224 936 895, fax: 224 936 908 www.procomputing.cz Redakce PhDr.Vlaďka Bezecná,
[email protected]
Úvodník
1
Zpravodajství
2
Microsoft Windows Intune: Cloudová správa počítačů v Windows 7 v ceně
4
Microsoft Forefront Endpoint Protection 2010: Snadná a efektní obrana 6
Grafika a sazba Radek Štěpánek,
[email protected] © DCD Publishing, s. r. o.
Bezkonkurenční důvěryhodnost: Nepřekonatelná hodnota
11
IVA, přidaná hodnota: IP kamerové systémy Bosch
13
Rozhovor Check Point Software Technologies: Firma, která stvořila firewall
9
Případová studie Výrobce antivirů ESET vykupuje firmy do bezpečí
8
McAfee Endpoint Encryption: Šifrování koncových stanic
15
ZPRAVODAJSTVÍ
Až tři měsíce zdarma
vším pro výrobní, konstrukční a designérské Společnost ESET v září uvede novou verzi společnosti, na jejichž specifickém know- svých produktů – ESET Smart Security 5 -how je často postaven úspěch podniku na a ESET NOD32 Antivirus 5. Objednají-li trhu. si zákazníci jednu až čtyři licence jednoho z produktů už nyní, ESET jim poskytne program ve verzi 4 až do uvedení nové verze zdarma. Oba programy, kterých se akce týká, nabízejí účinnou ochranu pro počítače domácích uživatelů, živnostníků a malých firem a využívají osvědčené skenovací jádro ESET ThreatSense. ESET NOD32 Antivirus obsahuje moduly Antivirus a Antispyware a detekuje a likviduje známé i neznámé počítačové viry, červy, trojské koně, rootkity a další hrozby bez zatížení systému počítače. Program obsahuje stejné vlastnosti a funkce jako ESET NOD32 Antivirus, navíc je uživatel chráněn prostřednictvím osobního firewallu a antispamového modulu, který blokuje nevyžádanou poštu.
další se potvrdila předpověď, že se útočníci stále více orientují na mobilní zařízení. Pokud porovnáme sledovaná první čtvrtletí, jsou první tři měsíce letošního roku z hlediska celkového množství malwaru rekordní. V únoru bylo zaznamenáno dokonce 2,75 milionů vzorků nového malwaru. Aktivní byly falešné antiviry (scareware), jichž bylo v březnu zachyceno 350 000. Co se týče České republiky, studie zmiňuje lednový incident s průnikem útočníků do registru pro obchodování s emisními povolenkami. Útočníkům se přitom podařilo ukrást emisní povolenky v hodnotě asi 500 milionů korun.
AreaGuard Neo ochrání data
AreaGuard Neo představuje novou generaci produktu společnosti SODATSW pro spolehlivou ochranu citlivých informací. Prostředictvím unikátní kombinace funkcí nabízí komplexní zabezpečení know- -how pro organizace. Nástroj totiž zaručuje Proti pirátství on-line příručky nejen ochranu dat uložených na počítaMicrosoft na www.legalnisoftware.cz, v sek- Účinná ochrana před zářením ci Licenční poradna, zveřejnil příručky, jak Nová zpráva vydaná Světovou zdravotnic- čích, ale zároveň dovoluje provádět audit správně spravovat a účtovat softwarové kou organizací a Mezinárodní agenturou souborů, aktivit uživatele a připojování licence. Zájemci v nich naleznou doporu- pro výzkum rakoviny uvádí, že záření, které externích paměťových zařízení. AreaGuard čení, jak správně zacházet s jednotlivými vydávají mobilní telefony, může způsobovat Neo tak například administrátorům poskytypy licencí od jejich nákupu přes evidenci rakovinu. Jistou ochranu představují ná- tuje přehled, jaký typ dat má uživatel až po vyřazení. Firmy a organizace se tím hlavní soupravy, které vydávají 800krát nižší uložen na svém počítači a jak často s nimi mohou vyvarovat nesprávného užití licencí záření než mobilní telefony a dramaticky pracuje. a vyhnout se tak trestním postihům i bez- tak snižují intenzitu záření vydávanépečnostním rizikům plynoucím z užívání ho mobily z maximálních dvou wattů na nelegálního softwaru. 0,0025 W, což je maximální hodnota u ná- hlavních souprav s technologií Bluetooth, Kaspersky Internet Security 2011 nebo na nulovou hodnotu u zařízení připo- odolal všem útokům jovaných kabelem. Společnost PCS, divize DataGuard, oznáS krádeží dat mila, že produkt Kaspersky Internet Secu- rity 2011 vystoupil na nejvyšší příčku při se setkala většina firem testu sebeochrany provedeném uznávanou Až dvě třetiny českých firem se setkaly zkušební laboratoří pro ochranu před malwas krádeží firemních dat a jen třináct procent těchto krádeží bylo prostřednictvím rem. Program Kaspersky Internet Secu- softwarových nástrojů odhaleno. Tvrdí to rity 2011 byl mezi 20 sadami pro internealespoň dubnový průzkum společnosti tové zabezpečení, které zkušební laboratoř pro ochranu před malwarem tento rok tesGFI Software. Průzkum dále ukázal, že v plných 85 procentech zcizovali data zaměsttovala. Testovalo se na čistých virtuálních strojích (VMware Workstation 7.1.0), na nanci, v sedmi procentech subdodavatelé kterých běžel hostitelský systém Microsoft a jen sedm procent útoků přicházelo Windows 7 v 64bitovém vydání. Řešezvenčí. Zvyšující se kapacita výměnných Nejohroženější jsou Symbian paměťových médií navíc rozšiřuje okruh a Android ní zabezpečení byla testována s použitím ohrožených společností – zatímco dříve bylo V 1. čtvrtletí letošního roku se podařilo výchozích nastavení se všemi doporučenými snadné odcizit především obchodní data zaznamenat více než šest milionů jedi- aktualizacemi a aktivovanými souvisejícími uložená převážně v excelových souborech, nečných vzorků malwaru. Z nové studie součástmi. Nástroj Kaspersky Internet Secu- dnes není obtížné uložit do USB zařízení společnosti McAfee vyplývá, že odstavení rity 2011 překonal všechna ostatní řešení, technicko-vývojová data uložená v objem- botnetu Rustock snížilo množství spamu na když úspěšně odolal všem 33 útokům, ktených CAD souborech. A to je kritické přede- vůbec nejnižší úroveň od roku 2007. A za rým byl během testování vystaven.
Professional Computing
Uvažujete o tom, jak zvýšit produktivitu firmy? Microsoft Office 365 mění firemní komunikaci Seznamte se se službou Microsoft Office 365, která vám přináší nástroje Exchange, SharePoint a Lync spolu se známými aplikacemi Microsoft Office a pokročilým zabezpečením v cloudu. Takto můžete efektivně spolupracovat na projektech v reálném čase v jedné kanceláři i s kolegy nebo obchodními partnery na druhém konci světa. Nemusíte ztrácet čas aktualizací softwaru, můžete se plně soustředit na svůj business. S menšími starostmi přichází vyšší produktivita. To je síla Cloud Power. Získejte další informace o službě Office 365 na microsoft.cz/cloud.
Stáhněte si zdarma mobilní aplikaci na www.microsoft.cz/tag
Bezpečnost v ICT
Microsoft Windows Intune
Cloudová správa počítačů s Windows 7 v ceně Microsoft Windows Intune je novinkou v řadě cloudových služeb Microsoftu. Od těch ostatních se však přece jen liší. Kromě samotné cloudové aplikace pro vzdálenou správu firemních počítačů totiž obsahuje řadu důležitých doplňků, jejichž pomocí může firma získat jednotné a bezpečné IT prostředí. Za jedenáct eur měsíčně tak získáte nejen licence na profesionální bezpečnostní řešení pro koncové stanice, ale i upgrade licence na operační systém Windows 7 Enterprise. Vzdálená správa počítačů je nutností ve všech firmách, které sídlí ve více budovách či dokonce městech a jejichž zaměstnanci často cestují. Využitím vzdálené správy totiž může IT oddělení poskytovat zaměstnancům rychlou a efektivní podporu bez dodatečných nákladů na cestovné. Firma tak má jistotu, že se pro její zaměstnance stane počítač či notebook skutečně jen pracovním nástrojem a nikoliv pracovní náplní. Zejména v době notebooků, které zaměstnanci (a často i jejich rodinní příslušníci včetně dětí) využívají nezřídka pro soukromé účely, přitom může přijít vzdálená správa a podpora více než vhod. Je přitom celkem jedno, jde-li o firmu s 50 zaměstnanci nebo nadnárodní korporaci s několikanásobně vyšším počtem počítačů.
Rozdíl je pouze v tom, že menší firmy si až do příchodu Windows Intune nemohly profesionální nástroje pro vzdálenou správu dovolit. Intune však nastavují cenu poměrně příznivě, platí se podle počtu počítačů, a to jedenáct eur za každý počítač. Využije-li firma Intune pro správu více než 250 počítačů, dostává se do sy- stému množstevních slev, stejně jako pokud využívá program Windows Software Assurance.
Správa a podpora s nulovými investicemi Softwarových nástrojů pro vzdálenou správu počítačů a podporu jejich uživatelů existuje relativně široká škála. Až donedávna však pro jejich využití bylo nutné zakoupit vlastní server, pak licence na
operační systém a teprve potom licence na samotný software pro vzdálenou správu počítačů. Pro zabezpečení notebooků pak nezřídka následoval i nákup firewallu či VPN nástroje, který by umožnil bezpečný přístup k notebookům mimo firemní síť. Intune na to však jde jinak. Firma si nemusí kupovat vůbec nic. Vše je k dispozici ve formě služby provozované na serverové IT infrastruktuře Microsoftu umístěné v moderním datovém centru, které zároveň garantuje dostupnost služby v řádu 99,9 procenta na měsíční bázi (tj. maximální souhrnná doba všech výpadků v kalendářním měsíci nesmí přesáhnout 43 minut). To je podstatně větší hodnota dostupnosti, než které je firma obvykle schopna vlastními prostředky dosáhnout. U Windows Intune se navíc platí podle toho, kolik počítačů chce firma vzdáleně spravovat. Namísto jednorázové investice do pořízení serveru, serverového operačního sy- stému a aplikace pro vzdálenou správu, tak firma platí službu s pravidelným měsíčním poplatkem závislou jen na počtu počítačů, které spravuje. Navíc jí odpadají i provozní náklady spojené se samotným serverem jako jsou energie, správa a údržba serveru. Firma může Windows Intune využít třeba i jen pro správu vybraných počítačů – např. jen pro své obchodní zastoupení či výrobu v zahraničí.
Inventarizace, dohled nad aktualizacemi i on-line podpora A co přesně Windows Intune nabízí? Skládá se ze dvou součástí – klientské aplikace, která se instaluje na každý počítač, pro který má být Windows Intune použit, a správcovské aplikace, která funguje v prostředí webového prohlížeče přímo z datového centra Microsoftu. Intune umožňuje jednoduše spravovat všechny aktualizace a poskytovat interaktivní podporu jednotlivým uživatelům. Navíc administrátorům dovoluje převzít kontrolu nad spravovaným počítačem či konkrétní aplikací, se kterou má uživatel problémy. Windows Intune také nabízí vzdálenou inventarizaci hardwaru a softwaru, což může firmu ochránit před nežádoucí instalací programů uživateli a umožňuje také podle nejrůznějších kritérií vzdáleně nastavovat bezpečnostní politiky pro jednotlivé uživatele či skupiny uživatelů.
Professional Computing
Bezpečnost v ICT
To vše je však spíše ona pověstná třešnička na dortu, kterou ocení firma v okamžiku, kdy vše funguje tak, jak má. Aby se tak stalo, jsou v ceně Windows Intune zahrnuty další velice důležité součásti, jejichž cena při samostatném pořízení dosahuje částky v řádu mnoha tisíců korun za každý jeden počítač.
Součástí je i bezpečnostní řešení Součástí Windows Intune je i bezpečnostní řešení pro koncové stanice. To v sobě integruje antivir a antispyware a je postaveno na stejném základě jako bezpečnostní řešení pro velké firmy z dílny Microsoftu Forefront Endpoint Protection 2010. Administrátorský panel Intune přitom získává informace o všech bezpečnostních hrozbách, které se na firemních počítačích vyskytly i o aktuál- ním stavu virových bází na jednotlivých počítačích. Intune navíc umí ovládat i integrovaný firewall ve Windows, což přijde zejména vhod, potřebuje-li zaměstnanec na cestách náhle zprovoznit nějakou nestandardní službu nebo aplikaci, která je ve firewallu zablokovaná. Největším příspěvkem Windows Intune k zabezpečení a bezproblémovému chodu firemních počítačů je v ceně zahrnutý upgrade licence na Windows 7 Enterprise. Každý jeden počítač či notebook ve firmě, využívající Windows Intune, tak automaticky získává možnost přejít na Windows 7 Enterprise (a případné budoucí novější verze operačního systému Windows). Windows 7 přitom dokážou uživatelům (a tím i IT oddělením) výrazně usnadnit práci. Jednak jsou díky inteligentní prevenci schopny samy zachytit řadu bezpečnostních hrozeb a také umějí řešit problémy (zejména s připojením) jediným kliknutím. Navíc už v sobě obsahují bezpečné ovladače na širokou škálu hardwaru, který by mohli uživatelé potřebovat připojit.
S Windows Server 2008 vzdálený přístup do sítě Možnost bezplatného přechodu na Windows 7 přináší firmám využívajícím serverový operační systém Windows Server 2008 R2 další podstatnou výhodu. Systém v kombinaci právě s Windows 7 dovoluje pro plnohodnotný zabezpečený vzdálený přístup mobilních uživatelů k podnikové síti využít technologii DirectAccess. Ta je přitom integrální součástí Windows Server 2008 a firma tak už
Professional Computing
nepotřebuje investovat do alternativních řešení. Uživatel s notebookem připojeným k internetu a vybaveným operačním systémem Windows 7 se pak pouze přihlásí do Windows a vzdálené připojení k firemní síti je už automatické. Vše přitom funguje stejně, jako kdyby se nacházel přímo v kanceláři, včetně single-sign-on na úrovni Active Directory pro přihlášení uživatele do všech firemních aplikací. Uživatel tak už nemusí zadávat žádné přihlašovací údaje k poštovnímu serveru, unified communications řešení, intranetu, podnikovému informačnímu systému atd. Denně tak každý vzdálený uživatel jen na přihlašování do firemních aplikací ušetří desítky sekund času.
Aplikační virtualizace za necelé euro měsíčně Windows Intune přináší zejména větším firmám za příplatek 0,95 eura měsíčně také využití Microsoft Desktop Optimization Pack (MDOP). Ten obsahuje řadu nástrojů, z nichž mezi ty nejzajímavější patří MS Application Virtualization. Ta přináší aplikační virtualizaci pro jednotlivé aplikace a možnost radikálním způsobem změnit přístup k zavádění nových aplikací do firmy. Ty už není totiž třeba instalovat na každý jeden počítač. Naopak, jednotlivé aplikace se stávají síťovou službou nezávislou na konkrétním počítači a hlavně nezávislé na dalších aplikacích, které uživatel používá. Každá aplikace se tak nainstaluje pouze jednou na firemní server, odkud k ní pak jednotliví uživatelé přistupují. Totéž se týká i aktualizací a nových verzí. Přechod např. na Office 2010 tak v celé firmě zabere jen pár minut. Virtualizace jednotlivých aplikací navíc zvyšuje i stabilitu hostitelského operačního systému a dalších aplikací. Uživateli přitom vše funguje jako dřív. I když ale uživatel vidí jednotlivé aplikace „nainstalované“ na jeho počítači, ve skutečnosti používá jen jejich dočasné virtuální kopie stažené z podnikového serveru. V okamžiku, kdy dojde k porušení (např. smazání souboru, infekci virem apod.) dočasné kopie, dojde při dalším spuštění aplikace k jejímu plnému obnovení. Uživatel tak nemůže nechtěně narušit chod jednotlivých aplikací, přičemž mu ovšem zůstává možnost individuálně měnit jejich nastavení. Kromě nástroje Microsoft Application Virtualization jsou navíc v balíčku Desktop
Optimization Pack dostupné také nástroje pro rozšířenou správu bezpečnostních politik, evidenci používaného softwaru, diagnostiku, zálohování a obnovování dat z klientských stanic a pro monitoring a předcházení problémům s aplikacemi a systémovými komponentami na jednotlivých počítačích.
Pro koho je Windows Intune Windows Intune je vhodný pro všechny firmy, které chtějí rychle a levně vyřešit vzdálenou správu firemních počítačů a podporu uživatelů. Na velikosti firmy přitom nezáleží. Windows Intune dokáže za maximálně jedenáct eur měsíčně za počítač poskytnout okamžitý přístup k nejnovější verzi operačního systému Windows i k bezpečnostnímu řešení pro koncové stanice, za což by jinak firma musela z investičních prostředků platit několik tisíc korun. Navíc přechodem na Windows 7 se firmám se serverovou infrastrukturou od Microsoftu otevírá bezplatný přístup i k dalším technologiím, zejména pak plnohodnotnému vzdálenému přístupu do firemní sítě s využitím technologie DirectAccess. Větší společnosti pak mohou využít za symbolický příplatek 0,95 eura měsíčně také nástroje v sadě Microsoft Desktop Optimization Pack, které pomohou zejména tam, kde uživatelé používají množství vzájemně se negativně ovlivňujících aplikací. Intune však mohou úspěšně využít i vývojářské společnosti, protože umožňuje vedle samotných Windows 7 Enterprise využít ještě čtyři další licence na libovolné Windows na virtuálních strojích. Tak si lze snadno vyzkoušet kompatibilitu aplikací s různými verzemi operačního systému Windows. Každý počítač s Windows Intune také může bez dalšího nákupu licence využívat a přistupovat k virtuálnímu desktopu v datovém centru. Konečně poslední specifickou skupinou potenciálních uživatelů Windows Intune jsou servisní společnosti velkých korporací nebo poskytovatelé outsourcingu IT služeb. Windows Intune totiž dovoluje z jednoho rozhraní efektivně spravovat i počítače ve více firmách najednou. Podtrženo a sečteno – Windows Intune není jen cloudový nástroj pro vzdálenou správu IT a podporu uživatelů. Jde i o cenově efektivní řešení pro komplexní péči o firemní počítače a notebooky a pro zajištění přístupu k nejnovějšímu operačnímu systému a nejnovějším bezpečnostním nástrojům.
Bezpečnost v ICT
Microsoft Forefront Endpoint Protection 2010
Snadná a efektivní obrana Microsoft Forefront Endpoint Protection 2010 není jen obyčejným antivirem, neboť k ochraně koncových stanic přidává i profesionální administrátorské rozhraní dostupné přímo z nástroje System Center Configuration Manager 2007, pomocí kterého jde navíc FEP na koncové stanice i přímo nainstalovat. Péče o zabezpečení koncových stanic se z pohledu IT administrátorů s léty mění. Dříve byly firemními počítači hlavně desktopy uložené v bezpečí kanceláře, centrálních firewallů a IDS/IPS nástrojů a ochrana koncové stanice tvořila až poslední prvek celého systému zabezpečení. Dnes to však nestačí, protože všichni už převážně pracují s notebookem. Ty se přenášejí z místa na místo, nezřídka se připojují v nezabezpečených Wi-Fi sítích, což rizika ještě zvyšuje. Připojení k internetu mimo firmu přes šifrovanou VPN a firemní IT infrastrukturu přitom využívají spíše velké firmy, ty menší často využívají přímý přístup. Ochranu před viry, červy, spywarem a bezpečnostními hrozbami na internetu tak musí převzít notebook sám. Pak je ale nezbytné, aby všechny počítače ve firmě využívaly nejnovější verze virových bází, antivirů i bezpečnostních pravidel.
Bezpečnost začíná jednoduchou správu Otázka zabezpečení koncových stanic tak paradoxně nezačíná ani tak u samotného bezpečnostního řešení pro koncové stanice jako spíše u nástrojů pro jejich vzdálenou správu. Jejich funkce i jednoduchost při používání pak předurčí míru úspěšnosti boje proti malwaru i celkovou dobu a náklady spojené s odstraňováním následků útoků. Microsoft proto u Forefront Endpoint Protection (FEP) 2010 kladl mimořádný důraz na jednoduchost administrace a distribuce aktualizací. Navíc spojil správu bezpečnostního řešení se správou bezpečnostních nastavení operačního systému prostřednictvím nástroje System Center Configuration Manager (SCCM). Vše, co se týká bezpečnosti, tak lze nyní konfigurovat z jednoho místa v admini- strátorské konzoli. Ať už jde třeba o přístup uživatelů k ovládacím panelům nebo čas
pravidelného povinného skenování počítače na přítomnost škodlivého softwaru. Tak se šetří čas IT administrátorů a eliminují se také případné chyby a problémy s kompatibilitou jednotlivých bezpečnostních nastavení. IT administrátoři navíc mohou FEP instalovat na jednotlivé stanice vzdáleně pomocí automatizované instalace přímo z prostředí SCCM. K distribuci aktualizací se pak využívá nativní služba Windows pro stahování aktualizací (WSUS). Bezpečnostní řešení tak nevyžaduje uživatelovu aktivní pozornost. Aktualizace FEP se nainstalují stejně snadno a bez jeho zásahu jako třeba aktualizace Windows či Office. Sjednocená administrátorská konzole navíc administrátorům umožňuje sledovat, mají-li jednotlivé koncové stanice již nainstalované nejnovější bezpečnostní aktualizace operačního systému a další klíčové aplikace. K dispozici je i centralizované reportování detekovaných bezpečnostních hrozeb a jejich typů, které dovoluje reagovat na nové typy hrozeb a způsoby jejich šíření.
Uživatel nic nepozná Skutečně úspěšné a funkční bezpečnostní řešení klade minimální nároky na koncového uživatele. Microsoft proto u Forefront Endpoint Protection 2010 šel cestou maximální jednoduchosti. FEP nabízí obdobné základní uživatelské rozhraní jako Microsoft Security Essentials, bezplatně dostupný antivirový nástroj, který mají uživatelé často instalován na domácích počítačích. Kromě něj však disponuje i dalšími nástroji, které využijí kupříkladu pokročilí uživatelé. Důležité je však to, že o využívání FEP se koncový uživatel v praxi ani nemusí dozvědět, což je podle IT administrátorů vůbec nejlepší. FEP chod počítače nijak nezpomaluje a ani neobtěžuje oznámeními třeba o změ-
nách nastavení firewallu. S FEP se uživatel dostane do kontaktu jen v okamžiku, kdy FEP zaznamená akutní bezpečnostní hrozbu. I pak však může FEP pracovat samostatně podle nastavení vypracovaného IT administrátory z administrátorské konzole. Ta jim navíc umožňuje libovolně měnit text jednotlivých vzkazů, aby uživatelé věděli, co případně dělat (např.: „Váš počítač zaznamenal bezpečnostní hrozbu, kontaktujte prosím Ivana Chytrého z IT oddělení na lince 2217.“).
Přehlednost šetří čas i peníze Právě přehledná administrace je vůbec nejsilnější stránkou Forefront Endpoint Protection 2010. Je-li vše v pořádku, stráví IT administrátor kontrolou stavu zabezpečení všech firemních počítačů jen několik minut. Není-li něco v pořádku, po několika kliknutích ví, o co přesně jde, kolik a které počítače jsou zasaženy. IT administrátoři se tak plně mohou soustředit na samotnou údržbu, kterou mohou do značné míry automatizovat a nemusejí ztrácet čas zjišťováním samotného stavu věcí. Za zmínku také stojí, že od 1. srpna 2011 se Microsoft Forefront Endpoint Protec- tion 2010 stane integrální součástí populárního licenčního balíku Core CAL Suite, takže mnoho českých firem bude moci tento produkt začít jednoduše využívat.
Microsoft Vyskočilova 1461/2a (budova Alfa) 140 00 Praha 4 Tel.: +420 841 300 300 +420 261 197 111 E-mail:
[email protected] www.microsoft.cz
Professional Computing
ESET software spol. s r. o., Classic � Business Park, Jankovcova ����/��, ��� �� Praha �, tel.: +��� ��� ��� ���
BEZPEčnOST V ICT
Výrobce antivirů ESET vykupuje firmy do bezpečí Vzhledem k licenčním ujednáním a smlouvám je téměř nemožné po dobu platnosti licencí antivirových produktů začít používat jiný software bez ztráty investovaných prostředků. Jeden z největších světových výrobců antivirových programů, slovenská společnost ESET, však nabízí ojedinělou akci ESET Výkupné, která firmám pomáhá při přechodu k bezpečnostnímu softwaru této společnosti. Pokud firma používá ochranu proti virům, spamu a útokům, se kterou není spokojena a chce okamžitou změnu, je ESET Výkupné možným řešením. Důvodů pro takový přechod může existovat řada. Ilustrativní může být případ malé fi rmy podnikající ve fi nančním poradenství. Její problém byl jednoduchý: fi remní počítače jsou staršího roku výroby a neodpovídaly současným nárokům. Firma neměla v rozpočtu dostatek fi nancí na nákup nového hardwaru, a proto se rozhodla pro jiné řešení – výměnu antivirových produktů, které nebudou klást tak vysoké nároky na operační paměť zaměstnaneckých počítačů a notebooků. Do vypršení platnosti smlouvy se stávajícím dodavatelem však zbývalo ještě půl roku a fi nanční ředitel, který dohlíží na omezený rozpočet, nákup nového softwaru nepovolil. Stávající licence antivirů by propadly a investované peníze by přišly nazmar.
8
Dalším modelovým příkladem může být fi rma, která příliš pozdě zjistí, že její stávající bezpečnostní software nedokáže ochránit nové fi le servery. V obou případech se fi rma potřebuje rychle poohlédnout po novém produktu. Řešit takové situace je možné právě prostřednictvím nabídky ESET Výkupné. Pokud si fi rma koupí minimálně pět licencí některého z antivirových produktů ESET, po zbývající dobu platnosti konkurenčních licencí získává koupené produkty zdarma. Takto si fi rma může zajistit ochranu fi remních počítačů až na jeden rok, stačí doložit fakturu nebo smlouvu od stávajícího dodavatele. Mezi současné zákazníky ESETu patří pestrá paleta zástupců různých segmentů. Mezi největší fi remní zákazníky využívající produkty ESET patří Česká pošta, Česká spořitelna, Seznam.cz či Centrum Holdings. Například poslední zmíněná společnost pomocí produktů ESET chrání nejen vlastní fi remní koncové stanice a servery, ale i samotné zákazníky Centrum Holdings – kontroluje e-mailové schránky uživatelů Centrum.cz a Atlas.cz a také stahované programy z internetové stránky Stahuj.cz. Nová nabídka je však určena pro všechny velikosti i typy podniků, včetně škol nebo státní samosprávy. Mezi klienty společnosti ESET patří i Fakulta podnikatelská Vysokého učení technického v Brně či Magistrát hlavního města Prahy. „Spousta firem, především ze segmentu malých a středních podniků, se rozhodne pro určitý bezpečnostní software, po čase ale
zjistí, že jim z různých důvodů nevyhovuje. Nemohou si ovšem dovolit nechat licenci propadnout, a tak čekají, až jim vyprší platnost licence a teprve poté se rozhodnou pro konkurenční řešení. Proto ESET přišel s kampaní ESET Výkupné,“ řekl k promoakci Jaroslav Fabián, Marketing Director společnosti ESET software. Nabídku však mohou využít i stávající uživatelé řešení ESET, a to na licence produktů, které doposud nepoužívají. Modelovým příkladem může být uživatel komplexního bezpečnostního balíčku ESET Smart Security Business Edition, který pro svou fi rmu plánuje pořízení ochrany i pro Windows File Server, kde doposud používal konkurenční bezpečnostní řešení. Akce se týká všech produktů z fi remního portfolia ESET, tedy řešení určených pro ochranu pracovních stanic, serverů i mobilních telefonů. U koncových stanic produkty ESET podporují platformy Microsoft, Linux i Mac OS X, u mobilních telefonů pak platformy Windows Mobile a Symbian. Nabídku lze kombinovat se standardními slevami ESET produktů, kterou společnost poskytuje například školám, nemocnicím, institucím státní správy či nestátním neziskovým organizacím. Ke splnění podmínek akce ESET Výkupné stačí doložit platný doklad o legálním nabytí konkurenčního softwaru, například kopii faktury s termínem exspirace konkurenčního řešení a s uvedením rozsahu licencí. Následně bude poskytnuta výhoda ve formě prodloužení platnosti o dobu, která zbývala do vypršení konkurenčního řešení. Maximální délka takového prodloužení je jeden rok. Tato kampaň je platná v celé prodejní síti ESET Partner a na www.eset. cz/vykupne, kde jsou také dostupné další informace.
ESET Classic 7 Business Park Jankovcova 1037/49 170 00 Praha 7 Tel.: +420 233 090 251 GSM: +420 724 877 260 E-mail:
[email protected] FB: www.nemameradiviry.cz www.eset.cz
Professional Computing
Bezpečnost v ICT
Check Point Software Technologies
Firma, která stvořila firewall Prodejnímu kanálu v české pobočce izraelského výrobce bezpečnostních řešení, společnosti Check Point, „velí“ teprve dvaatřicetiletý Miloslav Lujka. V pohodlných křeslech jednoho nejmenovaného pražského hotelu jsme spolu hovořili nejen o unikátním bezpečnostním řešení, ale třeba i o skutečnosti, proč může být Check Point pro širokou veřejnost méně známou značkou. Společnost Check Point je ve světě informačních technologií svým způsobem výjimečná, neboť se od prvopočátku důsledně specializuje na problematiku komplexní bezpečnosti… Základní kámen společnosti položil současný CEO Gil Shwed, který je otcem našeho prvního produktu, firewallu, jenž byl pojmenován FireWall-1. Šlo v té době o vůbec první komerčně vyvíjený a na trhu dostupný firewall, který vlastně předznamenal budoucí vývoj v této oblasti. Tak se Check Point stal synonymem pro produkty na ochranu zařízení firem na internetu. Časem se sice výrobců firewallů objevilo hodně, nicméně nám se podařilo udržet si nejvyšší pozice. Myslím, že je to dáno skutečností, že netříštíme své síly v jiných odvětví IT a komplexní bezpečnosti zůstáváme věrni. Navíc jsme k vyvíjenému softwaru před pěti lety přidali i výrobu vlastního hardwaru, takže naše nabídka je dnes opravdu kompletní. Udává se, že vaše produkty používá celá první stovka největších světových korporací a 98 procent z prvních 500 nejvýznamnějších společností, přitom pro širokou veřejnost na českém trhu nejste příliš známí, navíc si vás mnozí mohou lehce zaměnit třeba s CzechPointem, českým podacím ověřovacím informačním národním terminálem. Není to škoda? Od počátku se jako Check Point soustředíme na „enterprise“ řešení. Tedy komplexní bezpečnostní řešení pro firmy. Náš marketing tedy není zaměřen na „retailové“
Professional Computing
drobné zákazníky, a to je možná ten hlavní důvod tohoto vnímání. Celosvětově má Check Point necelé tři tisícovky lidí a podniková klientela je náš hlavní záměr, s ní spolupracujeme a jejím potřebám se věnujeme. Nemáme tedy důvod organizovat a spouštět velké propagační a reklamní akce v TV a podobně. Zaměřujeme se spíše na konkrétní marketingové aktivity, u kterých důsledně měříme jejich efektivitu. Je důležité dělat věci správně, avšak ještě důležitější je dělat správné věci, tedy ve sportovní terminologii: „Bruslit tam, kde je puk“. Nicméně, proč by měli zbystřit sluch šéfové IT oddělení i vedení podniků, uslyší-li jméno vaší společnosti? Protože Check Point produkuje špičkovou technologii, v reálu bez diskuse lety prověřenou těmi největšími firmami světa, armádou ale i mobilními operátory a řadou dalších. Navíc jde o tradiční spolehlivou značku, která dodává komplexní bezpečností řešení, které se vyznačuje jednoduchostí a vysokou spolehlivostí. Vcelku hodně společností zmiňuje komplexnost svého řešení… To je možné, ale v našem případě trvám na svém. Check Point dodává skutečně komplexní řešení a je ve světě uznáván i pro jeho tolikrát oceněný management. Pro příklad nemusím chodit daleko. V naší firmě hlídá bezpečnost všech pracovníků v při- bližně 60 pobočkách jeden administrátor na plný úvazek a druhý na poloviční, což je dnes, kdy lidé nejsou svázáni jen s jedním
počítačem, ale kromě pracovního počítače používají ještě notebook, iPad, smartphone a citlivá data ještě ukládají na flash disky a navíc neustále cestují, jasným důkazem o spolehlivosti našeho řešení. Můžete nám tedy princip bezpečnostní řešení společnosti Check Point přiblížit? Naši vizi bezpečnosti nazýváme 3D Security (proces, politika, jednoduchá a efektivní vynutitelnost politiky).
Bezpečnost dnes lidé nechápou jako produkt, ale jako proces. Každý proces je popsán politikou, která musí být jednoduše a efektivně vynutitelná, ideálně pokud dokáže i edukovat uživatele. Bezpečnost tedy není pouze o číslech, ale o lidech a jejich potřebách. Dříve byl zaměstnanec svázán se svým pracovním stolem, počítačem, IP adresou a používal
Bezpečnost v ICT
standardní aplikace, protokoly pro práci, e-mail, FTP, web. Dnes lidé více cestují, pohybují se mezi lokalitami, používají řadu mobilních zařízení od notebooků přes tablety až po různé smartphony. Navíc řada aplikací je webových a efektivně se tedy nelze zaměřit pouze na hlídání portů (e-mail, FTP, web), ale jde o to, přiblížit se uživateli a jeho potřebám, vědět jaké aplikace má povolené používat a podobně.
Příkladem za všechny jsou sociální sítě, například Facebook nebo i YouTube. Facebook obsahuje stovky aplikací, které se již pouze přes protokol nerozliší, You Tube konzumuje šířku pásma. Firma může chtít, aby Facebook i YouTube využívalo jen marketingové oddělení, protože je součásti jejich PR projektů, ale už si nepřeje, aby k sociálním sítím v pracovní době přistupovali třeba účetní. V praxi si tedy představte několik vrstev, kde firewall tvoří základní kámen (kontejner), do které je vsunuto několik vrstev (bladů). Začneme s Identity Awareness Blade – vrstva, která dokáže správně jmenovitě rozlišit nejen uživatele, ale ho také správně zařadit do pracovní skupiny. Umí pracovat s AD, takže firma dokáže využít již nastavené skupiny v rámci Microsoft Exchange. Nad ním si představte IPS Blade, který dokáže zjistit, zda jde o legitimní provoz v síti, nebo o útok.
10
Dále Application Control Blade, jež rozliší, které aplikace jsou používány a povoleny. Vlastníme celosvětově největší databázi aplikací, jež je dostupná na http://appwiki.checkpoint.com/ a obsahuje přes 4,500 aplikací, více jak 100 000 widgetů v sociálních sítích. To vše je roztříděno do více než 80 kategorií. Nad ním si můžeme představit tolik diskutované DLP, tedy vrstvu, která umí ohlídat, aby neunikala citlivá firemní data, a kontroluje e-maily. Tady je vhodné zmínit také edukaci zaměstnanců. DLP lze nastavit tak, aby se uživatele dotázala, zda e-mail skutečně chce poslat, nebo zda šlo o omyl a je nutné jeho odesílání zastavit. Vše je auditované a firma může v určitých případech nechat rozhodnout samotného uživatele s nutností však svůj krok zdůvodnit. Je prokázáno, že 98 procent všech úniků dat jsou nechtěnými. Pokud skutečně někdo bude chtít ukrást data, tak to zřejmě dokáže jinými způsoby, například natočením obrazovky na video apod.
A nakonec můžeme zmínit Mobile Blade – tedy vrstvu, která dokáže zakončit na bráně mobilní zařízení. To celé zastřešuje komplexní management, z něhož lze pohodlně a vizuálně kontrolovat, zjišťovat incidenty, tvořit reporty pro management a nastavovat politiky pro všechny zmíněné vrstvy (blady). Jako třešničku na dortu jmenuji náš Check Point Secure Workspace – bezpečnou mobilní kancelář o velikosti flash disku s hardwarovým a softwarovým šifrováním s VPN, která uživatele dokáže bezpečně připojit do firemní sítě. Kde se mohou případní zájemci s vaším řešením seznámit? Měli by oslovit některého z našich partnerů, které mohou najít na www.checkpoint.com (vpravo dole je odkaz „Find a reseller“), nebo přímo jednoho z našich distributorů,
společnost DNS. S ní velmi úzce spolupracujeme na jednotlivých zakázkách a víme, že pro ni pracují vysoce erudovaní odborníci, kteří mají o našich produktech hluboké znalosti. DNS také nabízí zájemcům vyzkoušet naše řešení zdarma na zkoušku a umí například nainstalovat bránu s výše zmíněnými technologiemi (blady) v jejich vlastním firemním prostředí. Po určité době jim na jejich vlastních datech získaných z provozu ukáže slabá místa sítě, incidenty a poradí s jejich řešením. Prakticky tak dokáže, že naše řešení má skutečně vynikající poměr ceny a výkonu, že je jednoduché, flexibilní a snadno nasaditelné.
Check Point Software Technologies IBC Building Pobřežní 3/620 186 00 Praha 8 Tel.: +420 222 311 495 Fax: +420 222 311 495 E-mail:
[email protected] www.checkpoint.com
DNS Na Strži 1702/65 140 00 Praha 4 Tel.: +420 296 377 400 Fax: +420 296 377 402 E-mail:
[email protected] www.dns.cz
Professional Computing
Bezpečnost v ICT
Bezkonkurenční důvěryhodnost
Nepřekonatelná hodnota
Barracuda Web Filter Zvýšená produktivita, snížená rizika
Vysoce oceňovaná řešení Barracuda Networks používá celosvětově už více než 130 000 organizací, které jim svěřují bezpečnost svých sítí a jejich uživatelů. Přinášejí také úsporu nákladů a času vašeho týmu IT – instalace je rychlá, používání je snadné. K dosažení vašich bezpečnostních cílů a kompatibility s bezpečnostními předpisy vystačíte s produkty jediného výrobce.
Čím se Barracuda Networks liší? Od okamžiku uvedení na trh Barracuda Networks získává široké uznání od zákazníků, tisku a odborných specialistů nabídkou prvotřídních produktů a výjimečného zákaznického servisu. Společnosti a organizace všech velikostí spoléhají na řešení Barracuda Networks kvůli pěti základním důvodům: • Instalace během 15 minut. Není potřeba instalovat software nebo provádět síťové modifikace. Všechny Barracuda Networks produkty jsou jednoduché k nasazení a provozování. • Není zapotřebí detailních IT znalostí. Všechny Barracuda Networks produkty mají intuitivní web interface, který umožňuje snadný management zařízení a nevyžaduje, aby pracovníci IT byli experty pro daná řešení. • Rychlý support po telefonu. Speciálně vyškolení Barracuda Networks servis-
Professional Computing
Barracuda Web Filter integruje filtraci obsahu s vysoce účinnou ochranou proti spywaru a virům. Kromě ochrany vaší sítě před ní technici jsou dostupní 24 x 7 k zodpo- hrozbami pomáhá Barracuda Web Filter implementovat firemní politiku využívání vězení telefonických dotazů zákazníků. • Automatický update produktů. internetu zaměstnanci, zvyšuje produktivitu Součástí každého Barracuda Networks práce mj. i blokováním přístupu na rizikořešení je Barracuda Energize Update, vé webovské stránky, omezením stahovákteré průběžně aktualizuje nastavení ní souborů a činnosti aplikací. Barracuda zařízení proti nejnovějším bezpečnostním Web Filter nedávno získal ocenění 5 z pěti hvězdiček SC Magazine pro svou výkonhrozbám. • Nízké celkové náklady na zařízení nost, použité funkce, cenu a jednoduchost a jeho provoz. Výkonnost Barracuda použití. Barracuda Web Filter je filtračNetworks řešení může být jednoduše ní řešení obsahu internetu, které si organastavena nebo zvětšena podle růstu nizace všech velikostí nemohou dovolit a požadavků organizací. přehlédnout.
11
BEZPEčnOST V ICT
Barracuda NG Firewall Barracuda Web Barracuda NG Firewall je rodina hardwaru Application Firewall a virtuálních „appliance“ vyvinutá k ochraně síťové infrastruktury, zlepšení site-to-site spojení a zjednodušení administrace a servisování síťových operací. Vedle výkonného síťového fi rewallu a VPN technologií Barracuda NG Firewall integruje kompletní seznam „next generation“ fi rewall technologií včetně ochrany web stránek a web aplikací, ochrany proti průniku, fi ltrování webu, spamu a virů. Kvalitu řešení dokladuje např. jeho nasazení ve většině rakouských bankovních institucí doma i v cizině.
Je Váš web zranitelný? Odstraňte rizika ihned – bez týdnů čekání na úpravu programů!
Virtuální „appliance“ Barracuda Networks
Barracuda Web Application Firewall je kompletní a výkonné bezpečnostní řešení pro ochranu web aplikací a web stránek, které získalo celou řadu prestižních ocenění. Poskytuje ochranu proti hackerům, kteří se snaží s využitím slabin protokolů a zranitelností web aplikací docílit úniku citlivých dat, poškodit dostupnost nebo strukturu, funkčnost a vzhled web stránek. Barracuda Web Application je dostupný a komplexní aplikační fi rewall, který zabezpečuje web aplikace, zvyšuje jejich výkon a dostupnost.
• Populární hardwarová řešení nyní dostupná jako software appliance. • Umožňují standardizaci hardwaru a optimalizaci zdrojů. • Jsou ideální pro nasazení v již existujícím virtuálním prostředí. • Výrazně snižují celkovou cenu řešení. Virtuální appliance produkty zajišťují stejně silnou bezpečnost a funkčnost síťových technologií, jaká je u hardwarových řešení Barracuda Networks. Virtuální appliance produkty jsou ideálním řešením pro společnosti, které standardizují hardwarové platformy nebo již používají virtuální platformy jako VMware, Citrix a Hyper V. Tak jak společnosti rostou, lze tato virtuální řešení jednoduše škálovat pro vyšší požadovaný výkon a kapacitu. Umožňují rychlejší zálohování a obnovení dat v případě jejich poškození. Jsou k dispozici virtuální, cloudové i hybridní možnosti nasazení.
Celosvětově oblíbená řešení Barracuda Networks pokrývají kvalitně a komplexně tyto oblasti: Bezpečnost • Barracuda Spam & Virus Firewall • Barracuda Web Application Firewall • Barracuda Web Filter • Barracuda IM Firewall • Barracuda NG Firewall • Firewall Barracuda SSL VPN Síťové prvky • Barracuda Load Balancer • Barracuda Link Balancer
Gesto Communications Korunní 106 101 00 Praha 10 Tel.: +420 271 735 344 +420 271 731 481 +420 267 310 034 E-mail:
[email protected] www.gestocomm.cz
Ukládání dat • Barracuda Message Archiver • Barracuda Backup Server • Barracuda Backup Service
Evaluace po dobu 30 dní zdarma – www.barracuda.com, www.barracudanetworks.cz
Distributorem zařízení Barracuda Networks pro Českou republiku a Slovensko je společnost Gesto Communications.
Professional Computing
Bezpečnost v ICT
IVA, Přidaná hodnota
IP kamerové systémy Bosch Současným trendem IP kamerových systémů je vysoké rozlišení kamer, automatizace ovládání a možnost integrace. Požadavek snadné integrace splňuje Bosch kamerami v souladu se standardem ONVIF a navíc podporou pro softwarové firmy prostřednictvím softwaru development kit SDK. U obrazu s vysokým rozlišením se Bosch zaměřuje na standardizované HD formáty, které jsou definovány přenosem plného počtu 25 snímků za vteřinu, poměrem stran 16:9, progresivním scanováním a rozlišením 1 920 x 1 080, nebo 1 280 x 720. Vzhledem
Professional Computing
k nízkému datovému toku Bosch používá efektivní rozdílovou kompresi H.264. Velký důraz při vývoji IP kamerových systémů klade Bosch na maximální možnou míru automatizace a efektnímu využití celého systému. K tomu slouží inteligentní analýza
obrazu (IVA), kterou mají Bosch IP kamery již v sobě integrovánu. Podle statistik již po dvaceti minutách provozu i profesionální operátor není schopen zaregistrovat 90 procent děje v obraze. Prostřednictvím IVA získává pomocníka, který se neunaví a pracuje 24 hodin denně, sedm dní v týdnu. Navíc v moderních kamerových systémech s desítkami či stovkami kamer ani nelze všechny kamery zobrazit. IVA se stává užitečným pomocníkem také v instalacích, kde není trvalá obsluha kamerového systému, neboť snadno upozorní na nebezpečí. V kamerových sy- stémech bývá IVA využita také ke spuštění záznamu či přepnutí záznamu na vyšší kvalitu či počet snímků za sekundu. Tak lze omezit potřebnou kapacitu úložiště a ušetřit náklady na systém. Veškeré analýzy a vyhodnocení se v Bosch IP kamerových systémech provádí přímo na procesoru IP kamery. Tímto decentralizovaným řešením se výpočetní výkon rozprostře mezi jednotlivé kamery a systém se tak nepřetíží, ani když analyzuje
13
BEZPEčnOST V ICT
obraz na stovkách kamer současně. Ani závady na jedné kameře nijak neovlivní funkci ostatních kamer v systému. Tím, že IVA se provádí v samotné kameře, lze snížit nároky na datový tok a potřebné přenosové trasy, protože není třeba přenášet kompletní datový tok do analytického serveru. Zároveň lze do takových kamer nahrát poslední fi rmware a zpřístupnit tím pro IVA vždy aktuální funkce. IVA je schopná upozornit na narušení oblasti, detekovat tzv. „pofl akování“ v oblasti, zanechaný nebo odebraný předmět, překročení linie od jednoduchého překročení po kombinace překročení až tří linií ve stanoveném pořadí a detekovat změnu stavu jako například rychlosti, velikosti, směru pohybu. Posledním druhem detekce je tzv. Flow detection, které se využívá v prostorách, v nichž pobývá hodně lidí, typicky na stadionech a nádražích.
Pro přesnou specifi kaci poplachových stavů lze využít řadu tzv. fi ltrů. Nastavit lze velikost objektu, jeho rychlost a směr, poměr výšky a šířky a barvu objektu pro detekci specifi cké situace. Filtry lze libovolně kombinovat a přesně tedy nastavit požadované parametry detekce. Pro správné fungování fi ltrů je potřeba přesně parametrizovat danou scénu, tj. dát ji patřičnou perspektivu. Příkladem využití IVA je například detekce auta stojícího v odstavném pruhu dálnice, zatarasený nouzový východ zbožím, auto jedoucí v protisměru, upozornění na lelkující osoby u bankomatu, příliš vysoká rychlost vozidla v areálu, sledování uměleckých předmětů v muzeích atd. Důležitou součástí pro plné využití funkcí IVA je zobrazovací software, který dokáže s kamerami, na nichž je aktivována IVA, plnohodnotně komunikovat. Výsledkem je
potom rozlišení jednotlivých poplachových stavů od stejné kamery na monitoru operátora. Funkce IVA také umí snímaná data zaznamenávat. Tyto informace, nazývané metadata, jsou v záznamu uloženy společně s videosnímky, aniž by uložení dat bylo závislé na vyhlašování poplachů v živém režimu. Ukládají se vždy pro oblast záběru, která je označena. Metadata obsahují podrobnosti o všech objektech, které se nacházejí ve sledovaných oblastech. Metadata, která se skládají z jednoduchých textových řetězců popisujících konkrétní detaily v obrazu, mají mnohem menší objem než nahrané video. Proto je vyhledávání v metadatech velice rychlé bez ohledu na to, jak je záznam starý. V postatě se videozáznam zpětně neanalyzuje, ale hledají se pouze potřebná metadata pomocí chytrých postupů podobných těm, které poskytují internetové vyhledávače. Vyhledávání záznamu, tzv. Forensic Search, se přitom provádí pomocí stejných úloh a fi ltrů jako nastavení detekce pro živý režim. Funkci Forensic Search ocení uživatel zejména tehdy, když hledá v záznamu konkrétní událost, ale neví, kdy se přesně odehrála. Vzhledem k tomu, že se IVA provádí ve snímaném obraze, je spolehlivá analýza závislá na kvalitě příchozího videosignálu. Nekvalitní videosignál výrazně snižuje kvalitu a spolehlivost analýzy. Sněžení a silný déšť je dalším nepřítelem IVA. Další omezením funkčnosti může způsobit snímaná scéna. Je například vhodné se vyvarovat nasměrování kamery na moderní prosklené budovy, které odrážejí procházející osoby a auta jako v zrcadle. Je vhodné se předem rozmyslet, zda požadovaná funkce analýzy je reálná k danému záběru a používat „selský rozum“.
Robert Bosch odbytová Security Systems Pod Višňovkou 35/1661 140 00 Praha 4 Tel.: +420 261 300 244 Fax: +420 261 300 249 E-mail:
[email protected] www.bosch-security.cz
Professional Computing
Případová studie
McAfee Endpoint Encryption
Šifrování koncových stanic Celosvětový průzkum společnosti McAfee zaměřený na zmapování situace v oblasti ochrany duševního vlastnictví firem ukázal, že právě únik dat pokládají bezpečnostní experti ve firmách za nejvážnější variantu narušení firemní bezpečnosti. Duševní vlastnictví a citlivá data se staly novým platidlem počítačových podvodníků. Krádeže se soustřeďují na obchodní tajemství, výsledky výzkumů, vývoje nebo i na zdrojové kódy softwaru. Aleš Pikora, ředitel divize DataGuard
Jak takové prekérní situaci předejít si nyní ukážeme prostřednictvím případové studie z prostředí automobilového průmyslu.
Záměr Rozsáhlá ICT infrastruktura každé firmy vyžaduje pro svou ochranu nasazení sofistikovaných bezpečnostních prvků. Jedním z úkolů, před kterými společnost stála, bylo zabezpečení koncových stanic (notebooků a PC). Jak uvádí Aleš Pikora, ředitel divize DataGuard, PCS, která uskutečnila analýzu a implementaci, ochrana koncových stanic je naprosto nezbytná z důvodů jejich možných ztrát a poškození a navíc je vyžadována i firemními předpisy. „Firma používala řešení pro šifrování koncových stanic od konkurenčního dodavatele, avšak nebyla s tímto řešením plně spokojena. Důvodem byla zejména jeho hardwarová náročnost, způsobující zpomalení běhu počítačů. Při práci s původním řešením pro kryptování zaznamenávali také problé-
McAfee Endpoint Encryption zajišťuje ochranu PC i notebooků před neoprávněným přístupem díky šifrování dat. Nabízí snadné centralizované řízení pro správu, rozmístění, upgrady, revizi, náhlé storno (odpojení), synchronizaci apod. Napomáhá uplatňování celkové bezpečnostní politiky závazné pro podnik. Kromě toho nabízí bootovací ochranu, předbootovací identifikaci, předbootovací logging a chrání před master boot viry.
Professional Computing
my s výkonem a postrádali centrální správu. Měli zájem o řešení, které by bylo možné řídit z jediného místa. Výběr vhodného řešení probíhal mezi několika dodavateli, do užšího výběru jsme se však dostali pouze dva. Řešení McAfee Endpoint Encryption vybrali na základě naší dlouhodobé spolupráce – pro zabezpečení koncových stanic používají již od roku 2001 produkty firmy McAfee. Toto řešení klientovi vyhovuje, protože je integrováno s dalšími produkty McAfee, které využívají,“ říká Aleš Pikora.
Implementace a současný stav Pilotní projekt začínal na počátku ro- ku 2009 na 20 testovacích licencích. Během testování bylo zjištěno, že řešení McAfee Endpoint Encryption má skutečně nižší nároky na systémové zdroje, což bylo jed-
ním z důležitých parametrů. Dalším důležitou vlastností byla centrální správa, která je při počtu koncových zařízení používaných u klienta nutností. „Šifrování koncových stanic je plně integrováno s platformou McAfee ePolicy Orchestrator, která zastřešuje všechna bezpečnostní řešení a zajišťuje prosazování bezpečnostních politik. McAfee Endpoint Encryption také podporuje synchronizaci hesel a jednotné přihlašování (Single Sign-On) a nabízí i podporu PKI karet, které jsou ve společnosti standardem,“ říká Jan Pergler, Senior Technical Consultant, ze společnosti PCS, divize DataGuard. „V současnosti je řešení nasazeno přibližně na 2 500 noteboocích. Během cyklu obnovy hardwaru by mělo být řešení instalováno na dalších asi 7 500 PC,“ dále uvádí.
Pobočky: Praha, Brno, Blansko, Žďár nad Sázavou, Bratislava
15
PřÍPADOVá STuDIE
Výhled do budoucna Chystáme se klientovi implementovat řešení McAfee Total Protection for Data, jehož součástí jsou další funkcionality. Zatímco na noteboocích jsou šifrovány celé pevné
Divize DataGuard Tradiční dodavatel bezpečnostních řešení špičkové kvality s přidanou hodnotou, vznikl v roce 1992. Zastupuje zahraniční výrobce komplexní antivirové ochrany. Je „Elite Partner“ společnosti McAfee, výhradním distributorem produktů Kaspersky Lab v ČR a SR. DataGuard je držitelem nejvyšších úrovní partnerství, které předpokládají technické a obchodní certifi kace. Na základě požadavků zákazníka nabízíme širokou škálu služeb v oblasti bezpečnosti dat od analýzy bezpečnostních rizik, navržení řešení, instalace testovacích produktů až k následné realizaci doporučených postupů. Běžnou součástí všech služeb je hot-line a hot-mail servis, pravidelné kontroly nainstalovaných produktů, stálá technická pohotovost, školení zaměstnanců nebo úplný outsourcing bezpečnostních prvků.
Skupina PCS Společnosti sjednocené pod názvem PCS se zabývají širokým spektrem činností – od komplexních služeb v oblasti zabezpečovacích a komunikačních systémů, detekce nebezpečných předmětů, přes dodávky analytických přístrojů a měřících ústředen, až po řešení bezpečnosti dat. Významnou součást tvoří vývoj vlastního ekonomické-
disky, aby nedošlo ke ztrátě nebo zneužití dat, na desktopech se uvažuje pouze o šifrování virtuálního disku, kam by si uživatelé mohli ukládat data, což řešení McAfee umožňuje.
ho softwaru a nemocničních informačních systémů. Skupina PCS působí na českém a slovenském trhu již od roku 1990, zaměstnává přes 100 pracovníků a její roční obrat přesahuje 200 milionů korun (2010). Vzájemná synergie jednotlivých činností je zárukou rozvoje a stability i do dalších let. Více informací najdete na www.pcs.cz a www.pcs.sk.
McAfee McAfee, stoprocentně dceřiná společnost Intel Corporation (NASDAQ:INTC), je společností specializovanou na bezpečnostní technologie. McAfee dodává aktivní osvědčená řešení a služby, které chrání systémy, sítě a mobilní zařízení po celém světě, poskytuje uživatelům možnost se bezpečně připojovat na internet, bezpečně prohlížet web či zde nakupovat. Společnost McAfee, za podpory své sítě informací o hrozbách – Global Threat Inteligence, vytváří inovační produkty, které umožňují domácím uživatelům, fi rmám, veřejnému sektoru a poskytovatelům služeb zajistit soulad s regulačními požadavky, chránit data, předcházet výpadkům, identifi kovat zranitelnosti a průběžně sledovat a zdokonalovat jejich bezpečnost. Společnost McAfee zajišťuje bezpečnost vašeho digitálního světa. www.mcafee.com
Tato varianta je ve hře kvůli menší hardwarové náročnosti, než je šifrování celého disku. Současně bude zavedeno také šifrování výměnných médií.
Přínosy řešení Klient na McAfee Endpoint Encryption oceňuje především rychlost, která se oproti dříve používanému řešení výrazně zlepšila. Na druhém místě je centrální správa, kdy administrátor na své konzoli může měnit nastavení jednotlivých uživatelů. Mezi další výhody patří možnost lokalizace a personifi kace řešení. Je do něho možné umístit vlastní hlášení v českém jazyce a také například vložit loga. „Pro zákazníka je rovněž velmi důležitá kvalita lokální podpory. Produkt má standardně podporu na úrovni Gold, ale naše společnost garantuje reakční časy v případě havárie, nefunkčnosti apod.,“ říká A. Pikora.
PCS, divize DataGuard Aleš Pikora, ředitel Šátalská 1 c/d 140 00 Praha 4 Tel.: +420 241 091 003 Fax: +420 241 091 007 E-mail:
[email protected] E-mail:
[email protected] www.pcs.cz/dataguard www.mcafee.com
Professional Computing
Partneři časopisu Professional Computing Speciál BEZPEČNOST V ICT
Bosch Security Systems
ESET software
Robert Bosch odbytová Pod Višňovkou 35/1661 140 00 Praha 4 Tel.: +420 261 300 244 Fax: +420 261 300 249 E-mail:
[email protected] www.bosch-security.cz
Classic 7 Business Park Jankovcova 1037/49 170 00 Praha 7 Tel.: +420 233 090 251 GSM: +420 724 877 260 E-mail:
[email protected] FB: www.nemameradiviry.cz www.eset.cz
DNS
Check Point Software Technologies
Na Strži 1702/65 140 00 Praha 4 Tel.: +420 296 377 400 Fax: +420 296 377 402 E-mail:
[email protected] www.dns.cz
IBC Building Pobřežní 3/620 186 00 Praha 8 Tel.: +420 222 311 495 Fax: +420 222 311 495 E-mail:
[email protected] www.checkpoint.com
Gesto Communications
IBM
Korunní 106 101 00 Praha 10 Tel.: +420 271 735 344 +420 271 731 481 +420 267 310 034 E-mail:
[email protected] www.gestocomm.cz
V parku 2294/4 148 00 Praha 4 Tel.: +420 272 131 111 Fax: +420 272 131 401 E-mail:
[email protected] www.ibm.com/cz
Microsoft
PCS, divize DataGuard
Vyskočilova 1461/2a (budova Alfa) 140 00 Praha 4 Tel.: +420 841 300 300 +420 261 197 111 E-mail:
[email protected] www.microsoft.cz
Šátalská 1 c/d 140 00 Praha 4 Tel.: +420 241 091 003 Fax: +420 241 091 007 E-mail:
[email protected] www.pcs.cz/dataguard www.mcafee.com