Vzdělávání v IT bezpečnosti Program č. 2 Studijní opory

Vzdělávání v IT bezpečnosti Program č. 2 Studijní opory datum

2013/2014

zpracoval

COMGUARD s.r.o. Sochorova 38 CZ 616 00 Brno tel. +420 513 035 400 www.comguard.cz

Vzdělávání v IT bezpečnosti Program č. 2 Studijní opory 2013/2014

Obsah

1. Úvod ................................................................................................................. 6 1.1. Přehled výrobců bezpečnostních řešení pro koncová zařízení .............................................. 6

2. Popis standardního řešení v oblasti zabezpečení koncových zařízení ............ 7 2.1. Centrální správa ..................................................................................................................... 8 2.1.1. Agent Handler ............................................................................................................................. 9 2.1.2. Databáze centrální správy .......................................................................................................... 10 2.1.3. Detailní popis centrální správy .................................................................................................... 10 2.1.4. Policy Auditing ........................................................................................................................... 13 2.2. Antivirový systém – vlastní „engin“ ..................................................................................... 13 2.3. Antivirový systém pro Command line .................................................................................. 16 2.4. Anti-Spyware ....................................................................................................................... 17 2.4.1. Co je Spyware ........................................................................................................................... 18 2.4.2. Co je Adware ............................................................................................................................. 18 2.5. Host IPS a Desktop Firewall ................................................................................................ 19 2.6. Ochrana emailových serverů (MS EXCHANGE) .................................................................... 21 2.7. Device Control ...................................................................................................................... 21 2.8. Application Control .............................................................................................................. 21 2.9. Configuration Control .......................................................................................................... 22 2.10.Bezpečnost pro Sharepoint .................................................................................................. 22 2.11.SiteAdvisor s Web filtering – systém globálních reputací ................................................... 22

strana 2/62


2.12.Spojení antivirového systému s technologií INTEL vPro ..................................................... 23 2.13.Mobility management (pro smartphone a tablety) ............................................................. 23

3. Nasazení celého řešení – ukázka na systému McAfee................................... 24 3.1. Instalace centrální správy ................................................................................................... 25 3.2. Kontrola činnosti instalátoru ............................................................................................... 30

4. Zálohování...................................................................................................... 31 5. Bezpečnost a management mobilních zařízení ............................................. 32 5.1. Enterprise Mobility Management ......................................................................................... 32 5.2. Zásadní charakteristiky EMM ............................................................................................... 32 5.2.1. Distribuce a správa aplikací na koncová zařízení ................................................................ 33 5.3. Další vývoj řešení ................................................................................................................. 33 5.4. Popis řešení Fiberlink ........................................................................................................... 33 5.4.1. Správa mobilních zařízení ........................................................................................................... 33 5.4.2. Registrace mobilních zařízení ...................................................................................................... 34 5.4.3. Integrace mobilních zařízení s podnikovými systémy .................................................................... 34 5.4.1. Centrální management .......................................................................................................... 34 5.4.2. Zabezpečení mobilních zařízení ............................................................................................ 34 5.4.3. Reporty a monitorování ......................................................................................................... 34 5.4.4. Podpora zjednodušené správy mobilních zařízení ............................................................... 35 5.4.5. Skladba samotného řešení .......................................................................................................... 35 5.4.6. Nástavbové moduly ................................................................................................................... 35

strana 3/62


5.4.7. Document Management ........................................................................................................ 36 5.4.8. Content Cloud......................................................................................................................... 36 5.4.9. Mobile Expense Management ............................................................................................... 36 5.4.10.

Secure Mail ...................................................................................................................... 36

5.4.11.

Secure Browser (URL Filtering) ..................................................................................... 36

5.4.12.

BlackBerry Enterprise Server (BES) ............................................................................... 37

5.4.13.

Mobile Email Management ............................................................................................. 37

5.5. Hostované řešení pro mobility management ....................................................................... 37 5.6. Centrální správa pomocí nadřízené konzole ........................................................................ 38

6. Popis řešení Endpoint Encryption for Files and Folders ................................ 38 6.1. Klíčové vlastnosti ................................................................................................................. 39 6.2. Integrované funkce a centrální management ..................................................................... 39 6.3. Zvyšování bezpečnosti ......................................................................................................... 40 6.4. Centrální správa ................................................................................................................... 40 6.5. Nepřetržité sledování zabezpečení ...................................................................................... 40 6.6. Vynucení shody ochrany a aktualizací – izolace a karanténa pro neshodné systémy ......... 41 6.7. Ochrana mobilních uživatelů ............................................................................................... 41 6.8. Správa systémů by měla být snadná pro organizaci jakékoli velikosti – ............................ 41 6.9. Postup implementačních prací ............................................................................................. 42

7. Full Disk Encryption ....................................................................................... 43 8. DLP & Device Control ..................................................................................... 45

strana 4/62


8.1. Popis řešení DLP .................................................................................................................. 45 8.1.1. Host DLP ................................................................................................................................. 45 8.1.2. Centrální správa koncových stanic ....................................................................................... 45 8.1.3. Klasifikace citlivých dat ......................................................................................................... 46 8.1.4. Prevence ztráty a zneužití citlivých dad ............................................................................... 46 8.1.5. Průběžné reportování a monitorování .................................................................................. 46 8.1.6. Shoda se standardy a normami............................................................................................. 47 8.1.7. Jak pracuje DLP? .................................................................................................................... 47 8.1.8. Klíčové charakteristiky Data Loss Prevention: .................................................................... 48 8.2. Device Control ...................................................................................................................... 48 8.3. Často kladené otázky ........................................................................................................... 49

9. Stručný přehled cloudových bezpečnostních funkcí ..................................... 51 9.1. Vzorové schéma požadavků na projekt se zapojením cloudových služeb při ochraně emailového provozu ..................................................................................................................... 53

strana 5/62


1. Úvod Tyto studijní opory slouží jako doplněk prezenční nebo vzdálené výuky a e-learningu.

1.1.

Přehled výrobců bezpečnostních řešení pro koncová zařízení

Zdroj: Gartner (2013) Výše uvedený výčet výrobců není rozhodně kompletním seznamem dostupných produktů. Jedná se o výběr s největším podílem na trhu, a to celosvětově. Svislá osa reflektuje názor celosvětově uznávané agentury Gartner na úroveň funkčnosti jednotlivých řešení, vodorovná na komplexnost poskytovaných služeb.

strana 6/62


2. Popis standardního řešení v oblasti zabezpečení koncových zařízení Dnešní sofistikované útoky si žádají ucelený systém ochran. Řízení systémové bezpečnosti s pomocí decentralizovaných bezpečnostních systémů je zastaralé a neúčinné. Proto je nanejvýš vhodné implementovat integrované bezpečnostní systémy chránící před soudobými útoky, a to pro stanice i servery. Ochranu informačních aktiv společnosti je dále vhodné rovněž integrovat s pokročilými nástroji šifrování a řízení využívání připojitelných médií. Většina dnešních výrobců díky integračnímu prvku navíc poskytuje nejen centralizaci správy, ale také jednotný monitorovací systém s rozsáhlými možnostmi reportů a analýz. Přináší tolik potřebný přehled nad bezpečností sítě, nutný pro zajištění nepřetržité dostupnosti služeb LAN pro zaměstnance, zákazníky i obchodní partnery. Vzniká tak obdoba jednotných ERP systémů typu SAP. Přestože jsou dnes mnohem důležitější proaktivní části antivirové technologie, jako detekce neznámých, často velmi sofistikovaných hrozeb, májí současné antivirové programy vynikající výsledky i při detekci na základě signatur, jejichž využití má stále své místo díky snadnosti a rychlosti odhalování škodlivých kódů a útoků v provozu. Jejich obnovování je flexibilní a je řízeno celosvětově propojenými laboratořemi (např. Intel Security – McAfee AVERT), které disponují globální sítí center rozmístěných na všech kontinentech (USA, EU, Indie, Japonsko, Austrálie, Brazílie, …). Vše je vyhodnocováno v reálném čase, aby bylo možno vždy s novou hrozbou okamžitě reagovat obnovou DAT. (další informace: http://www.avertlabs.com ) Centrální správa v sobě integruje jak management všech výkonných systémů samotného antivirového programu, tak také produkty třetích stran, pro které zároveň zprostředkovává ucelený reporting, vzdálenou správu a instalaci a vynucuje bezpečnostní politiky na klientských stanicích. Tím, že slouží jako ústřední bod, mohou administrátoři snižovat riziko od nepřátelských, nevyhovujících systémů. Dále mohou udržovat ochranu aktualizovanou a sledovat stav zabezpečení nepřetržitě z jedné centralizované konzole. Výhody centrální správy: 

Přináší výraznou úsporu nákladů na administraci řešení díky jejímu sjednocení, rovněž tak vynucení politik, distribuce aktualizací, reporting stavu a vyhovění politikám (včetně stavu šifrování atp), monitoring a alerting (zasílání upozornění při nevyhovění politice nebo definované události). Jedna konzole rovněž přináší vyšší schopnost zastupitelnosti administrátorů uvnitř organizace, vyšší úroveň znalostí a flexibilitu při zavádění vyšších stupňů ochran (otestování nové funkce znamená jen přidání testovacího licenčního klíče bez nutnosti složitě instalovat nová rozhraní, seznamovat se s nimi atp.)

strana 7/62




Pracuje pomocí agentů umístěných na chráněných pracovních stanicích, kteří jsou plně pod správou centrální správy, a tudíž je z hlediska komfortu uživatelů obvykle volena transparentnost systému. Z tohoto důvodu bývá absence českého komunikačního rozhraní pro uživatele nevýznamná.

Jako modelový příklad je dále popisován systém společnosti McAfee, Který je rovněž používán pro praktické ukázky v rámci školení.

2.1.

Centrální správa

Centrální správa je u bezpečnostních systémů klíčová komponenta pro správu bezpečnostních produktů zodpovědná jak za instalace, nastavení a prosazení definované bezpečnostní politiky, tak za následný reporting stavu bezpečnostního vybavení. Jako datová základna serveru, na němž je instalována centrální správa, slouží SQL databáze. Server centrální správy je prakticky pasivní prvek v bezpečnostní infrastruktuře, která ji řídí a spravuje. Výkonným prvkem je jeho Agent, který se instaluje na spravovaný koncový systém a tento podle definované politiky vše řídí; stará se o instalace, aktualizace, reporting i ostatní úlohy stejně jako prosazuje vlastní nastavení jednotlivých softwarových komponent. Server centrální správy se instaluje podle požadavku na dostupnost v clusteru. Prostředí centrální správy ePO má několik podřízených komponent, které mají různé úlohy: 

Application Server – Automatické reakce, správa serverů a komponent, uživatelské rozhraní



Agent Handler – Politiky, úlohy a vlastnosti



Event Parser – parser klientských událostí a hrozeb



RSD

server – Rogue

System

Detection, pomocí agentů systém

sledující lokální síť

(neimplementováno) Politika pro nastavení jednotlivého bezpečnostního vybavení na stanicích i serverech se stromově dědí z nadřazených větví až po koncové systémy a dědičnost lze kdekoliv pro kteroukoliv politiku přerušit a nastavit jinak. Správa ePO a potažmo všech spravovaných klientů se děje přes interaktivní webový interface s využitím web 2.0. Každý definovaný správce má přidělen set oprávnění pro nastavení jednotlivých politik nebo systémů stejně jako pro reporting. Účet správce lze definovat lokálně přímo v ePO, nebo převzít existující účet např. v Active Directory.

strana 8/62


2.1.1. Agent Handler Agent Handler je softwarová komponenta zodpovědná za komunikaci agent-server, je součástí instalace ePO serveru. Lze ji instalovat samostatně jako Remote Agent Handler v různém prostředí pro pokrytí komplexních potřeb rozsáhlých sítí, load balancing apod. Agent Handler je spravován centrálním ePO serverem a připojen přímo k databázi, ze které klientům nabízí bezpečnostní software i aktualizace a naopak předává informace o jejich stavu a incidentech zpět do databáze.

Obr. Komunikační schéma komponent

strana 9/62


2.1.2. Databáze centrální správy Centrálním úložištěm veškerého nastavení, definovaných bezpečnostních politik, software i aktualizací je databáze, kterou přímo využívá ePO server pro administraci a reporting a Agent Handler jako interface pro klienty. Z hlediska správy incidentů a reportování, je SQL databáze ePO klíčovou komponentou.

2.1.3. Detailní popis centrální správy Díky integraci s McAfee ePolicy Orchestratorem (ePO) jsou všechny komponenty centrálně spravovány z jediné konzole. ePolicy Orchestrator umožňuje vzdálenou instalaci a správu, distribuovat a měnit bezpečnostní politiky, či rozesílat pravidelné aktualizace produktů. Vše je podpořeno úzkou spoluprací s MS Active Directory. Součástí systému jsou nástroje pro monitoring v reálném čase i analýzu historických událostí s množstvím předdefinovaných

reportů.

Centrální

management

zajišťovaný

ePolicy

Orchestratorem

tak

šetří

administrátorům čas, kapacitu linek a výrazně snižuje celkové náklady na zajištění kontinuity služeb sítě. Nepřetržité sledování zabezpečení - Integrované služby výstrah ePO a grafické reporty poskytují nepřetržitou visibilitu potřebnou pro

efektivní

sledování zabezpečení systému, posuzování stavu

bezpečnostních zásad a vyhledávání slabin sítě. ePO poskytuje integrovaný systém poplachů a výstrah o shodě, aktivitě hrozeb a nepřátelských systémech. Po překročení hranic nastavených administrátorem jsou odeslány kritické výstrahy specifikovaným osobám prostřednictvím e-mailu, SMS, pagerem, nebo pomocí SNMP trap. Výstrahy zahrnují všechny nebezpečné činnosti, úroveň shody s antivirovými programy a detekci nepřátelských systémů. Navíc je vyhledání nevyhovujících systémů, sledování epidemií až k jejich zdroji nebo stanovení účinnosti zásad zabezpečení, nenáročné díky širokému spektru více než čtyřiceti předdefinovaných reportů ePO. Vytváření reportů přesně na míru je stejně snadné. Administrátoři si mohou vybrat z velké řady tiskových šablon a exportovatelných typů diagramů. ePO se integruje s technologií Business Objects Crystal Reports a Microsoft MSDE/SQL serverem s cílem využít jednoduchost a sílu řešení hodící se pro firmu každé velikosti. Vynucení shody ochrany a aktualizací – izolace a karanténa pro neshodné systémy - Jedním z nejsložitějších aspektů proaktivní správy bezpečnostní politiky je udržení všech systému v souladu s nejnovější ochranou. ePO zajišťuje shodu na úrovni celé firmy automatickým vynucováním zásad. Zabraňuje tomu, aby nějaký systém nevyhovoval. Rovněž zabraňuje uživatelům měnit nastavení nebo vypínat důležité stupně ochrany. ePO je centrem efektivní správy procesu aktualizace. Ty mohou být v předem určených intervalech nastaveny a mohou být zvoleny pro systém, pro skupinu nebo pro jinou skupinu dle volby administrátora. Využívá se inteligentní systém distribuovaných skladů, které nezatěžují server a šiří aktualizace v celé síti. Síťový provoz

strana 10/62


přitom zůstává nízký a výkon vysoký. ePO poskytuje komplexní služby a umí rozmisťovat aktualizace pro všechny soubory McAfee DAT, enginy, service packy, opravy (hotfix) a záplaty. Snížení rizika nepřátelských a nevyhovujících systémů - Byť jediný, neznámý systém postrádající přiměřenou ochranu, představuje významné riziko pro celou síť. Znalost všech míst připojení systému do sítě je proto kritické pro úspěšnou ochranu celé společnosti. Smluvní partneři, externí pracovníci, návštěvníci konferenčních místností nebo prostě zapomenutý

systém,

mají

všechny

stejnou

příležitost připojení k firemní síti. Neúmyslně tak představují riziko pro integritu a dostupnost sítě. ePO

používá

senzorů,

přístup

které

pomocí distribuovaných

pasivně

sledují

síť.

Rychle

stanovuje, zda jsou spravovány ePO a poskytuje široké spektrum odezev založených na zásadách při zjištění nepřátelských systémů, které nejsou spravovány ePO. Administrátoři tak mohou rychle redukovat slabiny nevyhovujících systémů a významně zvýšit shodu zabezpečení systému. Proaktivní posuzování shody oprav Microsoft - Přijetí proaktivních opatření pro snížení zranitelnosti systému a měření účinnosti rozmístění záplat je v ePO snadné a přímočaré. System Compliance Profiler (SCP) je integrální součástí ePO. Umožňuje profesionálům v oblasti zabezpečení rychle posoudit na úrovni celé společnosti shodu systémů, včetně přítomnosti důležitých záplat Microsoft. Toto profilování je založeno na pravidlech upravovaných administrátorem nebo na šablonách stažených od McAfee. Umožňuje vyhledat soubor, službu, klíč v registrech nebo specifickou referenci záplaty Microsoft. K dispozici je rovněž Patch

fingerprinting (využívá kontrolní kódy MD5). Tím je zaručena absolutní integrita bezpečnostních záplat Microsoft a zabráněno nesprávné funkci těchto záplat. Kritickou úroveň shody, kterou nastavuje administrátor, lze snadno sledovat ve formě podrobných, grafických reportů o shodě. Rychlá odezva při epidemii - Pro rychlou reakci při epidemii poskytuje ePO administrátorům prostředky navržené tak, aby byla odezva specifická k dané hrozbě. V nouzových případech potřebujete aktualizovat všechny počítače okamžitě. Server v takovém případě může dát všem agentům povel k okamžité aktualizaci (update now) a změna se provede v rámci celé sítě. Alternativně může být v případě epidemie požadována změna zásad bezpečnosti systémového firewallu nebo může být dostatečná aktualizace nebo změna zásad na bráně. Díky ePO je odezva okamžitá a méně náročná na manuální úkony.

strana 11/62


Ochrana mobilních uživatelů - Díky ePO se nemusí děsit bezpečnostní tým ani zaměstnanců s mobilními zařízeními. Vynucováním dodržování politiky, i když není laptop připojen k síti, a prováděním aktualizací pokaždé, když je zjištěno připojení k Internetu, umožňuje ePO efektivní správu i obtížně spravovatelné infrastruktury. A protože vzdálení uživatelé požadují větší flexibilitu, zajišťuje ePO automaticky jejich aktualizaci z nejbližší lokality s nejlepším spojením a umožňuje přerušování a obnovování procesu aktualizace. ePO definitivně zaručuje, že jsou vzdálení a mobilní uživatelé stejně dobře chránění. Spravují se stejně snadno jako uživatelé připojení k LAN. Správa systémů je stejná pro organizaci jakékoli velikosti - Při navrhování ePO se pamatovalo na dobrou škálovatelnost. Správa až 250 000 uživatelů na jeden server je stejná odkudkoliv pomocí vzdálené konzole. To firmám šetří náklady na další hardware a správu. Zásady bezpečnosti, které pokrývají každou vrstvu ochrany před hrozbami (od frekvence aktualizací, přes nastavení osobních firewallů, ověřování bezpečnostních záplat, typu kontrolovaných souborů, až po nastavení heuristického prohledávání) mohou být centrálně zvoleny pro skupinu počítačů nebo skupinu uživatelů. Administrátor je může snadno upravovat. Vše je vynucováno automaticky, což zajišťuje požadovanou úroveň ochrany.

Obr. Ukázka default dashboard

strana 12/62


Integrace s klíčovými investicemi do infrastruktury - Při navrhování se také myslelo na efektivnost práce administrátorů. ePO je zaměřen na zhodnocení klíčových investic do Microsoft Active Directory. Real Time for McAfee ePO - Slouží k nalezení podrobných informací o PC a dalších zařízeních zapojených v síti v řádu sekund. Díky technologii P2P je daleko rychlejší než tradiční řešení a uplatnění najde především v rozsáhlých sítích.

2.1.4. Policy Auditing Pro kontrolu shody s bezpečnostní politikou pro spravované produkty McAfee je možné využít předdefinované „compliance reporty“ z centrální správy ePolicy Orchestrator, či si vytvořit vlastní na základě vašich požadavků.

2.2.

Antivirový systém – vlastní „engin“

McAfee antivirový systém reaguje stejně jako další soudobé systémy na omezení tradičních antivirových systémů a zastavuje hrozby, i když nejsou signatury aktualizovány. Poskytuje prevenci narušení pomocí ochrany proti přetečení vyrovnávací paměti specifických aplikací. Tato inovační technologie rozšiřuje ochranu i na dosud neznámá bezpečnostní rizika, čímž snižuje náklady na řízení odezvy v případě napadení. Hlavní charakteristiky: 

Kompletní ochrana proti PUP a Rootkitům



Detekce neznámých útoků v čase nula



Proaktivní

ochrana

napojená

na

systém

globální inteligence – technologie Artemis 

On-Access skenování



Buffer Overflow ochrana a blokování portů



Prohledávání skriptů (Java a Visual Basic)



Trasování a blokování zdroje infekce

Organizace si nemohou dovolit nechat nechráněné okno zranitelnosti a čekat na aktualizovaný definiční soubor, proto McAfee integruje do svého antivirového systému i technologie vlastní především firewallům a systémům prevence narušení. Ve spojení s pokročilými heuristickými a generickými technologiemi detekce je pak antivirový systém připraven chránit pracovní stanice a servery proti novým sofistikovaným hrozbám, často

strana 13/62


kombinovaným, skrývajícím se v komprimovaných souborech, skriptech apod., které jsou zahrnovány pod termín malware. Moderní antivirový systém by měl mít tyto charakteristiky: 

Zastavuje hrozby, i když není systém aktualizován



Poskytuje základní ochranu proti adware, spyware key loggerům, trojanům, … integrovaná přímo do antivirového enginu



Napojení na výzkumné středisko zajišťující rychlé reakce formou automatických updatů DAT a „enginu“



Centrální správa s vynutitelností dodržení nastavení politik



Optimalizace pro mobilní uživatele

Pokročilé vlastnosti a funkce K rysům antivirových systémů patří funkce, které chrání před běžnými technikami napadení a zastavují mnoho nových a neznámých škodlivých programů, kódů a útoků. Schopnost proaktivně zvládat nové kombinované hrozby minimalizuje pravděpodobnost vzniku epidemie, tzn., že administrátoři nejsou omezeni na tradiční odezvu aktualizací signatur. 

Antivirový systém nabízí prevenci narušení pomocí ochrany proti přetečení vyrovnávací paměti specifických aplikací. Poskytuje proaktivní ochranu proti zneužití přetečení vyrovnávací paměti, jenž je nejzranitelnějším místem aplikací v prostředí Microsoft a služeb OS. Použití této metody útoku na OS může způsobit opětovnou infekci koncových systémů, i když mají aktualizovány definiční soubory.

strana 14/62




Blokování portu umožňuje administrátorům zablokovat specifické porty pro příchozí a/nebo odchozí síťový provoz. Stínění příchozího síťového provozu znamená omezení zranitelnosti červy nebo hackery. Blokování nepoužívaných portů znemožňuje sondování slabých míst v OS a aplikacích.



Blokování jména souboru je funkce zabezpečení prevence narušení, která umožňuje administrátorům vytvářet zásady pro kontrolu povolených akcí systému nebo síťových procesů se specifikovaným souborem nebo skupinou souborů.



Uzamčení adresářů a složek je další funkce zabezpečení prevence narušení. Umožňuje administrátorům vytvářet zásady pro kontrolu povolených akcí, které může systém nebo příchozí síťový proces provádět s obsahem dané složky nebo adresáře.



Sdílené uzamčení umožňuje vytvářet zásady pro kontrolu činností, které může systém nebo příchozí síťový proces provádět ve sdílené oblasti.



Pravidla pro ochranu přístupu chrání prostředí organizace především proti soudobým kombinovaným formám malwaru. Administrátoři mohou snadno nasadit více pravidel, které účinně brání inteligentním hrozbám a jejich nebezpečnému chování v napadaných sítích.



Script Scanner (Java a Visual Basic) zabraňuje ve spuštění škodlivým programovým kódům a to dříve, než mohou infikovat koncové systémy prostřednictvím webových stránek nebo využitím vlastností skriptů.



Sledování a blokování infekce umožňuje administrátorům objevit (vysledovat) IP adresu nebo koncový bod systému (zdroj infekce), který odeslal škodlivý programový kód do systému se spuštěným programem antivirový systém a automaticky zablokovat další komunikaci se zdrojem infekce.



Skenování emailů antivirový systém podporuje systémy s instalovaným klientem Outlook i Lotus Notes a to včetně HTML textu a příloh.



Sebeobranné mechanizmy jsou velmi důležitou součástí McAfee Antivirový systému, který znemožňuje útočícím hrozbám odstavení systému. Pokud je to žádoucí, lze stejný princip uplatnit i na vlastní uživatele.



Ochrana proti Rootkitům na základě signatur i pravidel chování účinně detekuje a odstraňuje tyto „samomaskovatelné“ nebezpečné kódy.



„Engin“ umožňuje inkrementálně updatovat jednotlivé části enginu a podporuje nasazení několika specializovaných DAT souborů současně.



Mcafee Antivirový systém proaktivně detekuje a odstraňuje nebezpečné „cookie“.



Blokuje útoky zapisující do paměti místo pevného disku.



Chrání proti specifickým útokům na aplikace a služby Microsoft prostředí, zejména Microsoft Windows OS služby, Microsoft Word, Microsoft Excel, Internet Explorer, Microsoft Outlook a SQL server.

strana 15/62


Zabezpečení před nežádoucími programy Antivirový systém poskytuje uživatelům a administrátorům možnost přijmout opatření proti programům identifikovaným jako potenciálně nežádoucí. Rozšířená podpora proti této kategorii škodlivých programů zvyšuje bezpečnost a chrání citlivé hodnoty firmy. Základní podpora zahrnuje nejnebezpečnější formy nežádoucích programů a kódů. Systémové požadavky McAfee antivirový systém spravuje jediný, vysoce integrovaný agent softwarové bezpečnosti s malými celkovými nároky na systém a HW. Rozmisťuje se, konfiguruje a spravuje lépe než systémy založené na více agentech. Antivirový systém šetří prostor tím, že umožňuje drobné inkrementální aktualizace, které jsou rychlejší a minimálně zatěžují přenosové pásmo.

2.3.

Antivirový systém pro Command line

Spouští se z příkazového řádku. Umožňuje pouze On-Demand skenování a nabízí alternativu k antivirovým skenerům, které používají GUI. Nejčastěji bývá nasazován na zálohovací servery, file servery, atp. 

Využívá stejný skenovací engine jako standarní antivirový systém pro koncová zařízení



Kompletní ochrana proti PUP, virům, trojanům, a Rootkitům



Skenuje soubory a složky i ve vzdálených uložištích, NTFS streamy, chráněné soubory, procesy v paměti a externí disky



Nastavení automatických alertů a akcí při detekování infekce



Tvorba reportů, např list infikovaných souborů

Skener dokáže detekovat a nahlásit infekce i v komprimovaných a archivačních souborech. V případě souborů typu ZIP lze zavirovaný soubor zbavit infekce. Skener dále umí detekovat a hlásit potencionálně nechtěný software, cookie a změny v registrech. Umožňuje také zvýšit rychlost skenování pomocí zvýšení přidělené paměti počítače. Nabízí také možnost skenování procesů přímo v paměti spolu se spjatými soubory. Antivirový systém pro Command Line využívá jak heuristickou analýzu, tak i detekování virů na základě signatur. Při heuristické analýze skener analyzuje programový kód, aby odhalil nakažené soubory, které se prokazují specifickými vlastnostmi. Skener dále dokáže detekovat i viry, které jsou zašifrované. Pomocí detekce na základě signatur a heuristické analýzy, tak dokáže skener odhalit jak známé hrozby a viry tak i nové viry a jejich různé varianty.

strana 16/62


Pomocí příkazové řádky, lze také nastavit, jak se skener bude chovat při objevení infekce. Je možné také využít kombinace přednastavených akcí a reportů. Pro co nejlepší ochranu před nejnovějšími hrozbami je dobré pravidelně stahovat aktualizace nových virových databází ve formě DAT souborů. Tyto aktualizace poskytuje McAfee zcela zdarma a je možné je stáhnout ze speciálního FTP.

2.4.

Anti-Spyware

Anti-Spyware je snadno aplikovatelný plug-in pro antivirový systém (nebo samotný produkt), který maximalizuje prevenci a aktivní ochranu počítačových systémů před PUPs (potenciálně nechtěnými programy, jako jsou spyware, adware a jiné). Za pomoci signatur v kombinaci s pravidly chování chrání koncová zařízení před: 

krádeží identity,



korupcí systému a sítě,



pomalejším přístupem na Internet,



snížením produktivity systému,



zvýšeným počtem vyskakujících reklam.

Systém

vyhledává

nežádoucí

programy ihned na vstupu za účelem aktivního zablokování a bezpečné likvidace potenciálně nežádoucích programů. Těmi jsou různé typy spyware, adware, key-loggers, cookies, programů dálkového ovládání včetně vstupů do rejstříku Windows Registry a dalších oblastí, kde programy zanechávají své stopy. Posiluje bezpečí práce na počítači tím, že chrání počítače před nežádoucími programy, které by mohly sledovat, zaznamenávat a odesílat externím subjektům citlivé informace o společnosti. Tento systém představuje významný stupeň ochrany proti těmto dynamicky se vyvíjejícím hrozbám Podpora vyhledávání PUPs (nežádoucích programů) PUPs jsou kódy, o kterých by každá firma pečující o zabezpečení svých počítačů, chtěla být informována, popřípadě by se jich mohla chtít zbavit. Systém antispyware zvyšuje funkčnost zjišťování PUPs přidáním

strana 17/62


vyhledávání vstupů PUPs do registrů a souborů – nejen při realizaci. Je také schopen tyto nežádoucí aplikace odstraňovat. To zajišťuje větší stabilitu systému, vyšší výkon a pomáhá bránit opětovné instalaci těchto programových kódů. Vyhledávání na vstupu (Rezidentní štít) Vyhledávání na vstupu, On-Access Scanning, a blokování tamtéž pomáhá v boji proti spyware ještě před jeho instalací do počítačového systému firmy, což je lepší než zjištění spyware o několik dnů nebo týdnů později jako výsledek vyhledávání na požádání - On-Demand Scan. Aktivní detekce a blokování instalace PUPs zvyšuje návratnost investice do řešení díky tomu, že snižuje celkové náklady na obnovu napadených počítačový systémů. Auto-Update Vlastnost automatické aktualizace McAfee AntiSpyware , auto-update, udržuje aktuálnost zabezpečovacího software a zajišťuje ochranu systémů před nejaktuálnějšími hrozbami spyware, adware a jinými nechtěnými programy.

2.4.1. Co je Spyware Spyware je program, který využívá Internetu k odesílání dat z počítače bez vědomí jeho uživatele. Na rozdíl od backdooru jsou odcizovány pouze „statistická“ data jako přehled navštívených stránek či nainstalovaných programů. Tato činnost bývá odůvodňována snahou zjistit potřeby nebo zájmy uživatele a tyto informace využít pro cílenou reklamu. Nikdo však nedokáže zaručit, že informace nebo tato technologie nemůže být zneužita. Proto je spousta uživatelů rozhořčena samotnou existencí a legálností spyware. Důležitým poznatkem je, že spyware se šíří společně s řadou sharewarových programů a jejich autoři o této skutečnosti vědí. V takovém případě je většinou uživatel na tuto skutečnost upozorněn. Může se ovšem stát, že software bude mít i jiné „dobré“ a nezveřejněné vlastnosti. Bude odečítat a odesílat hesla z klávesnice, bude hledat bankovní certifikáty na disku apod.

2.4.2. Co je Adware Byly doby, kdy aby si čtenář mohl koupit knihu, kterou chce a která ho zajímá, musel si pořídit i knihu jinou, která ho vůbec nezajímala, většinou politickou. Toto se nyní v mnoha případech praktikuje i u software. Software pak může být levný nebo zcela zadarmo. Placen je pak z reklam, které jsou vnuceny uživateli.

strana 18/62


Obvykle jde o produkt, který znepříjemňuje práci s PC reklamou. Typickým příznakem jsou „vyskakující“ popup reklamní okna během surfování, společně s vnucováním stránek (např. výchozí stránka MS IS), o které nemá uživatel zájem. Část Ad-ware je doprovázena tzv. „EULA“ - End User License Agreement – licenčním ujednáním. Uživatel tak v řadě případů musí souhlasit s instalací. Ad-ware může být součástí některých produktů (např. DivX). Ačkoliv nás reklama doprovází během celé činnosti s daným programem, odměnou je větší množství funkcí, které nejsou v klasické free verzi (bez reklamy) dostupné.

2.5.

Host IPS a Desktop Firewall

Host Intrusion Prevention pro desktopy je IPS a Desktop firewall systémem nové generace který kombinuje několik stupňů detekce narušení od rozpoznání známých útoků na základě aktualizovaných signatur přes pravidla chování pro detekci neznámých útoků včetně DoS útoků, anomálií provozu a Zero Day Attack ochran s možnostmi desktop firewallů. Všechna řešení poskytují přesnou detekci za využití několika detekčních metod a snadný přechod z detekce na prevenci. IPS složky jsou pravidelně aktualizovány o nové signatury známých útoků, což zajišťuje maximální přesnost detekce. Jestliže IPS identifikuje přicházející nebo odcházející útoky, může zablokovat průnik, umožnit výstrahu a provést záznam do logu událostí. Intrusion prevention dovoluje chránit klienty před zákeřnými útoky a ochranu jejich zneužití pro útoky na jiné klienty. Host IPS systém 

Detekuje a zabraňuje útoku proniknout na aplikace a databáze



Kombinuje detekce na základě signatur a pravidel chování



Vulnerability shielding snižuje urgentnost instalace bezpečnostních záplat



Blokování útoků přes USB disky a blokování odcizení dat



Integruje Desktop Firewall s možností blokování aplikací

Pravidla chování 

Dokonalé pro detekci nových, neznámých útoků



Blokování zlomyslných aktivit



Cenově efektivní proti Day-Zero útokům



IIS Envelope – File Execution u IIS Web User



MS SQL Injection



Přidání Guest Account, atp.

Signatury 

Detekují známé útoky velice přesně

strana 19/62




Některé útoky mohou být zastaveny pouze za použití signatur (DOS způsobený vzdáleným buffer overflow útokem)



Vztažené ke specifickému útoku Příklad: o

Code Red / Index Server idq.dll Buffer Overflow

o

GetAdmin Privilege Escalation

o

IIS Chunked Encoding Heap Overflow

Desktop Firewall chrání klienty před odesláním a příjmem nepřátelského útoku z neautorizovaného síťového provozu nebo aplikace, umožňuje blokovat porty apod. Rovněž zajišťuje prevenci před manipulací s autorizovanými aplikacemi přes veřejnou síť. Desktop Firewall obsahuje aplikační monitoring zajišťující prevenci před spuštěním neautorizovaných aplikací nebo jejich „zaháčkování“ k jiným aplikacím. Centrální správa zajišťuje škálovatelnou centrální správu, rozmístění, reportování a především zajištění vynutitelnosti bezpečnostních politik.

Karanténní mód Karanténní mód dovoluje vynutit na uživatelích dodržení bezpečnostní politiky organizace spoluprací s centrální správnou. Jestliže je klient shledán neaktuální, nebo používá starou bezpečnostní politiku, má omezený přístup do sítě. Jakmile jsou IPS signatury, pravidla na desktop firewallu a Antivirový systém spolu s DATovými soubory aktualizovány, může být klient uvolněn z jeho karantény. Karanténní mód chrání síť před zastaralým antivirem, Desktop Firewallem a bezpečnostní politikou a odstraňuje bezbrannost klienta před novými útoky. Charakteristiky: 

Systém Host IPS pracuje na úrovni OS, protože všechny procesy vyžadují služby OS



Kernel-level technologie zachycuje Systémové a API volání před jejich spuštěním v jádru OS o

Kontroluje je proti databázi známých útoků (signatury)

o

Na principu pravidel chování detekuje neznámé útoky

o

Zamítá je, pokud jde o útok nebo zlomyslný kód, nebo povoluje, jde-li o standardní proces



Ochrana (ne pouze detekce útoků) stanic



Ochrany pro databáze a ochrana desktop aplikací



Firewally a IDS technologie nemohou chránit OS a aplikace serverů – útočník obchází tyto technologie při průniku na servery



Některé útoky jsou vedeny pouze na určité systémy

strana 20/62


o

Získání lokálních práv

o

Šifrované útoky



Vulnerability Shielding – čas na implementaci záplat



Reportovací a monitorovací nástroje



Podpora platforem: Windows, Solaris, HP-UX, IIS, Apache, iPlanet, SQL 2000

2.6.

Ochrana emailových serverů (MS EXCHANGE)

Obsahuje nástroje pro kontrolu příchozího i odchozího poštovního provozu na existenci spamu, virů a jiného nežádoucího obsahu s téměř 100% úspěšností a nulovou „false positive“. Podezřelé emaily mohou být ukládány do karantény a podrobovány podrobnějším analýzám pro zamezení šíření hrozeb v rámci sítě. Tato ochrana je nasaditelná na Microsoft Exchange Server a Lotus Domino. Tradiční antivirové produkty nemohou skenovat uvnitř proprietárních databází a komunikačních metod. Uspokojivé řešení ochrany může poskytnout pouze produkt, který je plně integrován se systémem groupwaru a dokáže detailně sledovat jeho operace. Dnešní produkty zajišťují kompletní ochranu proti virům a spamu v prostředí systému Lotus Domino, respektive Microsoft Exchange.

2.7.

Device Control

Device Control umožňuje řídit přístup k přenosným médiím, jako jsou USB disky a řídit přístupy přes připojitelné kanály jako jsou Bluetooth, IR nebo Wi-Fi. Navazující balíčky navíc nabízí funkce pro zašifrování celých disků, adresářů a souborů včetně přenosných zařízení jako jsou USB klíčenky bez nutnosti využívat specializovaných nástrojů dalších výrobců.

2.8.

Application Control

Zajišťuje provozování pouze důvěryhodných aplikací na serverech a koncových bodech. To snižuje riziko neoprávněného užívání softwaru, zvyšuje kontrolu a bezpečnost koncových bodů. V neposlední řadě představuje účinnou hráz proti všem druhům škodlivých kódů, jelikož se nemají jak spustit.

strana 21/62


2.9.

Configuration Control

Nabízí efektivní způsob, jak automatizovat a dodržovat shodu konfigurace pro kritické servery, šetřit čas a peníze na auditní činnosti blokováním neoprávněných změn. Je přizpůsobitelný a jednoduchý k používání.

2.10.

Bezpečnost pro Sharepoint

Dnešní antivirové systémy umožňují bezpečně sdílet a publikovat informace napříč organizací i externím partnerům. Informace se tak nestanou nositelem virů nebo malware, nebudou zahrnovat nevhodný obsah nebo nedojde k vynášení klíčových informací. Pro zabezpečení platformy MS Sharepoint je třeba mít: 

Proaktivní ochrany proti Malware



Povědomí o publikovaném obsahu (obsahová pravidla umožňují zabránit šíření nepatřičného obsahu, jsou snadná k použití a okamžitě efektivní). Obsahová pravidla mohou zabránit downloadům a uploadům a reportovat detaily o dokumentech v repository, které obsahují důvěrné nebo nežádoucí informace. Pravidla musí být možné aplikovat nad více typů dokumentů včetně Adobe Acrobat a Microsoft Office.



Enhanced quarantine management, tj. lokální uložení dokumentů, které jsou pravidly zařazeny do karantény v PostgreSQL databázi. Karanténa je asociovaná s doplňkovými vyhledávacími schopnostmi.

2.11.

SiteAdvisor s Web filtering – systém globálních reputací

Technologie Web Filtering blokuje přístup uživatelů na webové stránky s nevhodným obsahem a ať už se uživatel nachází v podnikové síti nebo nikoli. SiteAdvisor pak rozšiřuje ochranu vedle tradičních URL filtrů a zabraňuje uživatelům prohledávání nebezpečných web serverů, blokuje a upozorňuje na web stránky se spywarem, phishing scams nebo spam agenty. Celosvětově je oskenováno více než 95% web serverů a stránek. 

Rozšiřuje ochranu vedle tradičních URL filtrů



Zabraňuje uživateli prohledávání nebezpečných web serverů



Blokuje a upozorňuje na web stránky se spywarem, phishing scams nebo spam agenty



Ochrana web komunikace na základě chování

strana 22/62


2.12.

Spojení antivirového systému s technologií INTEL vPro

Systém zvaný Deep Defender byl od začátku tvořen jako nástroj pro real-time detekci a blokaci rootkitů, je aktivován ještě před zavedením operačního systému a jeho ovladačů a načtení registrů. Hlavní výhodou je účast společnosti Intel na jeho vývoji. Díky této spolupráci totiž bylo možné počítat s tímto nástrojem již při vývoji samotného hardwaru a to, v případě Deep Defenderu, speciálně procesorů. Takto není problém detekovat ani malware běžící na stejné úrovni jako operační systém. Takový malware je jinak pro antivirus prakticky neviditelný. Útok může být okamžitě blokován a následně je zaslána informace agentovi běžícímu na operačním systému. Ten incident oznámí centrální správě (McAfee ePolicy Orchestratoru) a případně, pokud tak zvolíte, i uživateli. Administrátorovi tak nabízí možnost okamžité reakce a distribuce informací o problémovém souboru do celé sítě. Dopad na výkon stroje je minimální a obrana proti rootikitům je prakticky neustálá (Deep Defender pracuje již v prvních fázích bootování počítače). I agent běžící na operačním systému je minimalistický program, s téměř nulovými výkonovými nároky. Jedinou podmínkou, krom instalace agenta a ovladačů, je provoz na procesoru Intel i3, i5, i7 s technologií vPro.

2.13.

Mobility management (pro smartphone a tablety)

Řešení, které je určené pro správu mobilních zařízení a umožňuje nabízet zaměstnancům typ mobilního přístroje dle jejich volby (BYOD) a zároveň poskytovat bezpečný přístup k podnikovým aplikacím. Umožňuje plný přístup k emailu pomocí protokolu ActiveSync. Agent na zařízení umožňuje autentizaci heslem, vzdálenou

strana 23/62


funkci mazání, blokovat zdroje a aplikace (např. Wi-Fi, Bluetooth, MMS), blacklisting aplikací pro Android a iOS a plnou podporu Apple MDM. Hlavním znakem řešení je integrace s centrální správou, což umožňuje administrátorů mít kompletní přehled o všech pracovních stanicích nehledě na to, zda se jedná a PC, tablet nebo chytrý telefon. Podpora diverzity zařízení 

EMM je řešení, které umožňuje nabízet zaměstnancům typ mobilního přístroje dle jejich volby



poskytuje bezpečný a snadný přístup k podnikovým aplikacím.

Eliminace hrozeb 

Chrání citlivá data na mobilních zařízeních díky funkcím řízeným centrálními politikami;



umožňuje blokovat modifikovaná zařízení, jako jsou iPhony a iPady;



monitoruje a preventivně brání neautorizovaná zařízení před vstupem do sítě organizace;



podporuje řízení shody se standardy a IT audity.

Snižování nákladů (TCO) 

Řídí a kontroluje smartphony a mobilní zařízení „over the air“ (OTA) z centralizované konzoly;



systém je integrován i do McAfee ePO;



automatizuje řízení životního cyklu zařízení, což zahrnuje uživatelsky samoobslužné funkce;



využívá stávající IT infrastrukturu organizace, její zdroje a nástroje s webovým rozhraním;



výrazně zjednodušuje podporu uživatelů díky help desku, reportingu a přehledu zařízení v reálném čase.

3. Nasazení celého řešení – ukázka na systému McAfee Prvním krokem při nasazování výše zmíněného řešení je instalace centrální správy (ePO) na MS Windows Serveru. K ukládání dat je použit externí MS SQL Server ve verzi Express dodávaný přímo se serverem ePO. Jak databázový server, tak ePO, mohou běžet na stejném stroji. Na Stanicích uživatelů nabízíme nasazení McAfee agenta. McAfee Agent je klientský software určený pro komunikaci s ePO, vynucování politik na klientské stanici, sběr a odesílání logů a instalace jednotlivých bezpečnostních komponent (resp. jejich aktualizací). Komunikuje ve stanoveném intervalu s ePO serverem, interval je vhodné určit podle povahy bezpečnostního řešení, které McAfee Agent spravuje. Jakmile je agent na stroji nainstalovaný, je z hlediska ePO považován za „spravovaný“. Komunikaci agent-server lze centrálně vynutit a spustit okamžitě, pro získání aktuálních událostí nebo vynucení změn provedených v centrální správě. Vynucení komunikace lze aplikovat

strana 24/62


na jednotlivé stroje nebo celé skupiny a je využíváno zejména během nasazování a testování řešení. Komunikace mezi ePO a Agentem je zabezpečena TLS. Popis instalace ePO je popsán v následujícím bodě.

3.1.

Instalace centrální správy

Instalace konzole centrální správy pro McAfee produkty je přímočará. Obsahuje dva zásadní body, které závisí na okolní infrastruktuře – konfigurace přístupu k databázi a výběr portů určených pro různé druhy komunikace, které ePO využívá. Po spuštění instalačního průvodce (Setup.exe) se provede kontrola nainstalovaného softwaru, který ePO potřebuje ke svému běhu. Pokud nějaký software chybí, informuje uživatele o tom, že bude v dalším kroku nainstalován (viz Obrázek 1). Zároveň je nabízena možnost automatické instalace SQL Server Express 2005.

strana 25/62


Obrázek 1

Po instalaci nutného softwaru se již objeví informace o instalaci ePolicy Orchestrator. Jedná se pouze o informativní krok.

Obrázek 2

V dalším kroku je po uživateli vyžadován licenční klíč. Je možnost jej nezadat a pokračovat v tzv. Evaluation módu, který bude funkční 60 dnů od instalace. Po uplynutí této lhůty je možné zadat zakoupený klíč a není potřeba ePO instalovat znovu.

strana 26/62


Obrázek 3

Na čtvrtém obrázku je zobrazena EULA, kterou je třeba odsouhlasit pro pokračování v instalaci.

Obrázek 4

Na obrázku číslo pět lze změnit cestu, na kterou bude ePO nainstalováno.

strana 27/62


Obrázek 5

Zadání přístupového jména a hesla pro superuživatele ePO serveru. Tento uživatel bude po čisté instalaci v systému jediný a bez přístupového hesla nelze systém spravovat. Výchozí jméno je nastaveno na „admin“.

Obrázek 6

Na obrázku č. 7 je zobrazen krok se zadáváním informací pro autentizaci na databázový server. Je možné využít jak NT autentizaci, tak klasickou SQL autentizaci. Pokud služba SQL serveru běží na nestandardním portu, je třeba jej explicitně nadefinovat. Instalační průvodce sám ověří, jestli je možné se k databázi připojit a nepustí instalaci do dalšího kroku, pokud se mu to nepodaří.

strana 28/62


Obrázek 7

Definice portů na obrázku číslo 8 je velmi důležitá pro další funkcionalitu celého systému. Je vhodné volit porty, které nepoužívají další aplikaci v organizaci. Výchozí port pro komunikaci agent-server je port 80 (nastaven jako výchozí kvůli pravděpodobnosti průchodu firewally), ale i výrobce jej doporučuje změnit. Vybrané porty je zapotřebí zakomponovat do pravidel na firewallech, aby komunikace mezi McAfee produkty nebyla blokována. Výchozí port 8443 je použit pro přístup na https službu konzole ePO serveru. Ze samotného serveru tedy můžeme na konzoli z browseru přistoupit zadáním příkazu https://localhost:8443

Obrázek 8

Před samotnou instalací je možné provést revizi zadaných údajů. Kliknutím na tlačítko Next začne samotná instalace a inicializace databáze.

strana 29/62


Obrázek 9

Na obrázku č. 10 je zobrazen klasický indikátor průběhu instalace.

Obrázek 10

Instalace je hotova. Závěrečná obrazovka na obrázku č. 11 dává uživateli možnost ePO rovnou spustit.

3.2.

Kontrola činnosti instalátoru

Pro detailní přehled o vykonaných činnostech ePO instalátoru je možné procházet instalační log soubor umístěný zde: %temp%\mfelogs\ EPO450-Install-MSI.LOG

strana 30/62


Obrázek 11

4. Zálohování Občas se objevuje otázka, co má společné zálohování dat s bezpečností a virovou problematikou. Odpověď je poměrně jednoduchá, pokud selžou všechny jiné mechanizmy ochrany dat, je tu poslední pomoc a to je právě záloha dat a programů. Zálohování je jednou z velmi důležitých činností. Zálohy se provádějí na několika úrovních. Jedná se o úroveň operačního systému, úroveň souborového systému a úroveň aplikační. Zálohy se provádějí u některých systémů spojitě u jiných periodicky, zpravidla jednou denně. Pokud se zálohování provádí jednou denně na speciální medium, každý zálohovaný den se uchovává jeden týden, po týdnu se medium přepisuje. Páteční záloha se uchovává obvykle jeden měsíc, poslední pátek v měsíci se vytváří měsíční záloha a ta se uchovává jeden rok. Roční záloha se pak uchovává podle druhu dat jeden až pět let. Zálohovací media musí být uložena v jiném objektu a musí být odpovídajícím způsobem chráněna. Důležitá data se ukládají např. v bezpečnostní schránce v bankovním domě apod. Minimálně jedenkrát měsíčně se provádí testy zálohování a testy medií, o provedeném testu se vede protokol nebo se zaznamenává v provozním deníku počítače. Je třeba také rozlišovat mezi zálohováním dat a archivací. Zálohování je uchování dat mimo počítač s cílem především obnovit co nejlépe současný stav dat v počítači. Archivace slouží k uchovávání nějakého časově definovaného průřezu dat, ne k obnově aktuálního stavu. Z těchto rozdílů vyplývá i charakteristika těchto metod. Přesto archivy dat mohou být obvykle tvořeny z jednotlivých záloh.

strana 31/62


5. Bezpečnost a management mobilních zařízení 5.1.

Enterprise Mobility Management

Řešení správy mobilních zařízení (EMM) slouží jako rozhraní mezi vnější sítí a interními zdroji pro mobilní zařízení a zároveň dává administrátorům možnost mobilní zařízení spravovat. Architektura je obvykle založená na technologiích, které jsou osvědčené a ve společnostech často zavedené (MS Windows Server, MS IIS, MS SQL). Pro dosažení vysoké dostupnosti a případně škálovatelnosti jsou použity nativní vlastnosti těchto platforem. Příklad architektury je na následujícím obrázku.

5.2. 

Zásadní charakteristiky EMM

Veškerá komunikace ze zařízení na EMM je prováděna po portu 443 a šifrovaná SSL. Je možné se připojovat i na restriktivních sítí, které žádné jiné porty než 80 a 443 nepovolují.



Navázání politik na skupiny z Active Directory je podstatné pro rozlišení různých skupin uživatelů. Bez této logické vazby by mohlo docházet k chybám v přidělení politik a omezení uživatele.



Velká škálovatelnost a jednoduché dosažení vysoké dostupnosti. Jedná se většinou o transparentní softwarové řešení, které nefunguje jako black box s minimálními možnostmi škálovatelnosti.



EMM je řešení bezpečnosti mobilních zařízení, MobileIron se oproti tomu pozicuje jako „řešení na všechno“, ale nejde zdaleka tolik do hloubky.

strana 32/62




Obvykle existuje automatický provisioning celého zařízení včetně emailu WiFi, VPN, certifikátů a dalších atributů.

5.2.1. Distribuce a správa aplikací na koncová zařízení 

Je třeba, aby existovala velmi dobrá podpora i starších zařízení (např. Windows Mobile) – např. automatizovaná distribuce softwaru na Windows Mobile zařízení over-the-air



Součástí licence je obvykle spravovatelný klient pro synchronizaci dat přes ActiveSync – udržuje veškerá data šifrovaná (secure container) a umožňuje řídit pohyb korporátních dat mimo šifrovanou oblast.



Součástí licence je obvykle VirusScan Enterprise Mobile – antivirové řešení pro OS Android

5.3.

Další vývoj řešení

Sjednocení EMM pod existující centrální správu. Klasické endpointy a mobilní zařízení by měly být spravovány ze společné management konzole. S přesunem správy pod centrální konzoli se silně rozšíří možnosti přidávání dalších modulů řešení - další bezpečnostní software jako DLP, autentizační software, firewall/IPS, NAC, aplikační whitelisting a další. Potvrzené bezpečnostní produkty, které mají být k dispozici brzy po integraci do centrální správy, se budou soustředit na reputační hodnocení mobilních aplikací a ochranu webového provozu (URL reputaci a obsahovou kontrolu).

5.4.

Popis řešení Fiberlink

Společnost Fiberlink nabízí rychlé a komplexní řešení v oblasti správy mobilních zařízení, díky kterému snadno nakonfigurujete firemní smartphony a tablety a zároveň na nich zabezpečíte citlivá data. Tato cloudová platforma řeší veškeré požadavky, které jsou kladeny na Mobile Device Management (MDM), jako je zvýšení bezpečnosti, vynucení politik, zvýšení produktivity práce nebo správu aplikací.

5.4.1. Správa mobilních zařízení Produkt MaaS360 představuje cloudovou platformu, která nabízí veškerou nezbytnou funkcionalitu MDM pro mobilní zařízení typu iPhone, iPad, BlackBerry, Kindle Fire nebo pro operační systémy Android a Windows Phone. Kromě základních funkcionalit nabízí také např. řízení přístupu k emailu, správu certifikátů, správu aplikací a jejich distribuci, zabezpečené sdílení dokumentů nebo integraci s firemní adresářovou strukturou.

strana 33/62


5.4.2. Registrace mobilních zařízení Zaslání požadavku na registraci zařízení lze provést tzv. over-the-air (OTA) pomocí SMS, emailu nebo vlastní URL adresy. Autentizace je prováděna proti Active Directory nebo LDAP využitím jednorázového kódu nebo SAML. Následně je možné vytvářet a distribuovat vlastní politiky pro využívání zařízení.

5.4.3. Integrace mobilních zařízení s podnikovými systémy MaaS360 Cloud Extender umožňuje napojit chytré telefony na firemní systémy, jako jsou Microsoft Exchange, Lotus Notes nebo např. Microsoft Office 365. Dále monitoruje zařízení, které k těmto systémům přistupují a dokáže spravovat politiky připojení přes BlackBerry Enterprise Server. Napojení ostatních operačních systémů je možné pomocí robustní webové API.

5.4.1. Centrální management Centrální konzole slouží ke konfiguraci emailu, kalendářů, kontaktů, Wi-Fi a VPN profilů over-the-air. Schvaluje nebo umístí do karantény nové zařízení v síti, umožňuje distribuovat a spravovat veřejné a podnikové aplikace, bezpečně sdílet a aktualizovat dokumenty nebo vyřadit zařízení ze zprávy MDM a odstranit firemní data. Přes tuto centrální konzoly bude probíhat management jednotlivých zákazníků v závislosti na jejich požadavcích a firmních politikách.

5.4.2. Zabezpečení mobilních zařízení Pomocí MaaS360 lze vynutit politiky týkající se nastavení hesel, jejich kvality, délky a doby trvání. Lze také vynutit šifrování a umožňuje aplikovat omezení na vlastnosti mobilních telefonů, využívané aplikace nebo např. na iCloud. Pomáhá také odhalit a zamezit přístupu zařízením do sítě, na kterých byl proveden tzv. Jailbreak (iOS) nebo root (Android). Další výhodou je vzdálená lokalizace, uzamknutí nebo vymazání dat na ztracených nebo ukradených telefonech. Mazaní dat lze provádět selektivně, kdy lze vybrat pouze firemní data a soukromá data ponechat nedotčená.

5.4.3. Reporty a monitorování Management MI360™ poskytuje detailní inventář zařízení, které přistupují do firemní sítě, poskytuje informace o nastaveních a zranitelnostech a umožňuje pokročilé vyhledávání založeném na jakémoliv atributu. Pro zachování trendu BYOD je možné blokovat sběr soukromých informací z telefonů zaměstnanců.

strana 34/62


5.4.4. Podpora zjednodušené správy mobilních zařízení MaaS360 umožňuje diagnostikovat a řešit problémy uživatelů, zařízení nebo aplikací v reálném čase přímo z webového rozhraní. Vzdáleně lze resetovat zapomenutá hesla, aktualizovat konfigurace smartphonů nebo lokalizovat ukradená nebo ztracená zařízení. Dostupný je také samoobslužný portál, kde si mohou sami uživatelé diagnostikovat problémy se zařízením a najít řešení daného problému.

5.4.5. Skladba samotného řešení Mobile Device Management Je software, který je základním kamenem celého řešení a lze jej rozšiřovat o další níže uvedené moduly. MDM umožňuje správu a zabezpečení firemních a zaměstnanci vlastněných zařízení a to takzvaně „over the air“. Součástí licence jsou základní funkce typu     Systém    

jako je řízení zápisu konfigurace management bezpečnostních politik Vzdálená provádění akcí typu odesílání SMS zpráv, vyhledání zařízení, uzamknutí a vymazání dat / wipe poskytuje i pokročilé funkce, mezi které patří: Automatické vynucování dodržování pravidel Pro zařízení BYOD nastavení ochrany osobních údajů Řízení pravidel na základě geolokace například vypnutí fotoaparátu ve firmě Pokročilý reporting a dashboardy o Možnost customizace reportů o logo společnosti

Je důležité zmínit, že možnost využití jednotlivých funkcí je závislá na operačním systému chytrého telefonu nebo tabletu. Jelikož vždy využívá jeho schopností a prostředků.

5.4.6. Nástavbové moduly Mobile Application Management MaaS360 Mobile Application Management poskytuje možnost distribuovat aplikace do podporovaných zařízení spravovaných MaaS360. Součástí licence je MaaS360 App Catalog, což je seznam firemních aplikacím, případně aplikací, které společnost využívá. Administrátor pak může, v závislosti na platformě, aplikaci na mobilní zařízení zavést případně uživatele upozornit na možnost instalace. Směrem k uživateli se jeví jako standardní store, ze kterého si uživatele aplikace stáhnou, případně jsou přesměrování na korektní strore, kde je aplikace k dispozici. Mobile Application Security MaaS360 Mobile Application Security poskytuje dodatečnou ochranu dat pro podnikové aplikace. Držitel licence může nahrávat aplikace typu .ipa, distribuovat profily a podepisovat bezpečnostní certifikáty. Dále

strana 35/62


může vynucovat bezpečnostní prvky, jako je ověření uživatele, omezit funkce kopírování / vyjmutí / vkládání v rámci aplikací, omezit zálohování dat a vynucovat dodržování firemních politik na zařízení. Distribuce do podporovaných zařízení se provádí pomocí MaaS360 Mobile Application Management.

5.4.7. Document Management Jedná se o modulo pro bezpečné sdílení dokumentů, který umožňuje přidávat dokumenty a distribuovat je na podporovaná zařízení spravovaná přes MaaS360 MDM. Zahrnuje MaaS360 Doc katalog a aplikaci pro mobilní zařízení, která umožňuje uživatelům bezpečný přístup k zobrazení sdílených dokumentů. Na každý dokument může být uplatněna vlastní bezpečnostní politika, jako je - autentizace, omezení kopírování / vkládání a blokace možnosti otevřít dokument nebo jej sdílet v jiných aplikacích.

5.4.8. Content Cloud MaaS360 Content Cloud spolupracuje s modulem Document Management a umožňuje nahrávat aplikace a dokumenty do cloudové služby MaaS360's Content Distribution system. Držitel licence má schopnost uložit až 1 GB dat a roční šířka pásma je 6GB na jedno zařízení. V případě překročení těchto limitů bude držiteli dofakturována částka za překročení limitu.

5.4.9. Mobile Expense Management Tento modul umožňuje uživateli specifikovat politiky a zásady pro vyžívání datových služeb a následně je aplikovat na podporovaná zařízení. Politiky jsou konfigurovány na základě povoleného množství přenesených dat (v MB). Držitel licence může přiřadit tyto politiky na zařízení, skupiny nebo na globální úrovni.

5.4.10. Secure Mail MaaS360 Secure Mail nabízí samostatné a bezpečné kancelářské aplikace, které uživatelům zprostředkují bezpečný přístup a správu e-mailů, kalendáře a kontaktů. Nedílnou součástí modulu je také funkce kontroly emailů a jejich příloh před únikem dat tím, že je omezena možnost data předat dále nebo přesunout obsah do jiné aplikace. Dále je možné vynutit autentizaci, omezení kopírování / vyjmutí / vkládání a uzamčení emailových příloh pouze pro zobrazení.  

Email, kalendář a kontakty (vše šifrováno AES-256) Politiky pro práci s emaily (přesměrování atd.)

5.4.11. Secure Browser (URL Filtering) MaaS360 Secure Browser je plně vybavený webový prohlížeč pro iOS a Android zařízení. Držitel licence může definovat filtrování URL adres a bezpečnostní politiky a zajišťuje, že uživatelé mají přístup pouze ke schválenému webového obsahu. Zahrnuje možnost vypnout nativní a třetí prohlížeče prostřednictvím aplikačních politik nebo black-listu, v kombinaci s MaaS360 MDM.

strana 36/62


 

URL filtrace a blokování závadných stránek Propojení na interní systémy

5.4.12. BlackBerry Enterprise Server (BES) Poskytuje podporu pro BlackBerry Enterprise Server (BES) připojené mobilní zařízení s využitím BlackBerry API. Funkce zahrnují dálkově řízené činnosti, jako je odeslání zprávy, reset hesla, BES přiřazení politiky a smazání dat, stejně jako detailní reporty o atributech zařízení.

5.4.13. Mobile Email Management Exchange ActiveSync: Poskytuje podporu pro mobilní zařízení připojení k serveru Microsoft Exchange přes protokol ActiveSync. Funkce modulu zahrnují základní mobilní funkce pro správu zařízení, jako je schopnost konfigurovat zařízení, vytvářet a prosazovat ActiveSync politiky (Hesla, blokovat nebo povolit přístup k emailu), případně provádět akce se zařízením, jako je uzamknutí a smazání. Poskytuje také podrobný výpis atributů zařízení. Lotus Traveler: Poskytuje podporu pro mobilní zařízení připojené k IBM Lotus Notes Traveler přes protokol Lotus. Mezi vlastnosti řešení patří možnost konfigurovat zařízení, blokovat nebo povolit zařízení, vynucovat politky přístupových hesel, smazat zařízení a podrobný výpis atributů zařízení.

5.5.

Hostované řešení pro mobility management

Řešení Fiberlink MaaS360 je hostováno v datacentrech společnosti Fiberlink a nevyžaduje od uživatele žádnou vlastní infrastrukturu. Řešení MaaS360 bylo od začátku koncipováno a vyvíjeno jako cloudové řešení a je proto vhodné i pro nejmenší organizace s malým počtem zařízení. Pokud je vyžadováno napojení na vlastní infrastrukturu, je možné toho dosáhnout pomocí softwaru MaaS360 Cloud Extender, který zprostředkuje informace z Active Directory, MS Exchange, apod. Každý může mít přístup ke své management konzoli, kde má k dispozici své unikátní politiky, přehled o zařízeních, uživatelských účtech a administrátorských rolích. Na zákaznický účet jsou vázány i informace o licencích – jejich typ a množství.

strana 37/62


5.6.

Centrální správa pomocí nadřízené konzole

Všichni, jimž je služba poskytována, budou spravováni z jedné nadřízené konzole. Ta umožňuje správu podřízených zákaznických účtů a sledování informací o licencích. Zároveň je možné provádět úpravy na úrovni této konzole a doplňovat vlastní vizuální prvky přímo do zákaznických konzolí a reportů. Skrze partnerskou konzoli může organizace spravovat účty a zařízení jednotlivých zákazníků, kteří budou mít o takové služby zájem.

6. Popis řešení Endpoint Encryption for Files and Folders Produkt Endpoint Encryption for Files and Folders poskytuje ochranu důležitých informací, čímž pomáhá organizacím zamezovat únikům důvěrných dat a chránit integritu hlavních činností společnosti. Řešení zajišťuje vysokou míru bezpečnosti dat pomocí silných šifrovacích mechanismů ve sdílených souborech a složkách. Důležitá je rovněž podpora vynucení centrální bezpečnostní politiky organizace a zároveň vyhovění oborovým standardům.

strana 38/62


Endpoint Encryption for Files and Folders dovoluje organizacím zabezpečit všechny typy dat, jako jsou inoformace o zákaznících, intelektuální vlastnictví, právní a finanční záznamy, informace o zaměstnancích atd. Řešení používá silné šifrovací mechanismy, jako jsou AES-256 a RC5-1024 pro zajištění té nejlepší možné ochrany. S podporou „Single Sign-On“, přenosnou autentizací a bezpečnou offline uživatelskou obnovou, je uživatelům přístupný jednoduchý a přitom zabezpečený přístup k citlivým datům. Je přitom jedno, o jaká data jde, nebo kde se nacházejí.

6.1. 

Klíčové vlastnosti Snižuje celkové náklady vlastnictví (TCO) díky nasazení a správě integrovaného systému od jednoho výrobce.



Zabraňuje neautorizovanému přístupu k informacím na PC, noteboocích, síťových serverech a přenosných médiích.



Poskytuje mechanismus sdílení klíčů, což umožňuje uživatelům sdílet bezpečný přístup.



Podporuje virtuálně neomezený počet uživatelů.



Zajišťuje integritu dat, konzistenci bezpečnosti a fungování klíčových procesů organizace.



Rozšiřuje ochranu na více typů dat (informace o zákaznících, Know-How, záznamy o zaměstnancích apod.).



Zjednodušuje správu, nasazení, auditování a reporting díky integrované platformě centrální správy



Napomáhá vynutit centrální bezpečnostní politiku organizace a řídit shodu s interními pravidly i bezpečnostními standardy (ISO 27001).



6.2.

Využívá stávajících systémů a sdílí bezpečnostní přínosy napříč celou IT infrastrukturou společnosti.

Integrované funkce a centrální management

Endpoint Encryption for Files and Folders využívá infrastrukturu centrální správy pro automatizovaný bezpečnostní reporting, monitoring, nasazení, správu a vynucení centrálních bezpečnostních politik. Řešení Endpoint Encryption umožňuje organizacím efektivně šifrovat a dešifrovat data v jakémkoli čase bez narušení výkonu systému či práce uživatele. Šifrovaná data mohou být monitorována, přičemž je stále zajištěna bezpečnost dat. Uživatelé v roli administrátorů smějí upravovat nastavení a vybírat patřičné složky či souboruy

strana 39/62


vytvořené různými aplikacemi. Vždy je snadné umožnit či odepřít jiným uživatelům či skupinám přístup k informacím.

6.3.

Zvyšování bezpečnosti

Endpoint Encryption for files and folders řešení je snadno integrovatelné s dalšími produkty, stejně jako se stávajícími systémy organizace, což přináší organizacím komplexnost zabezpečení, snadné nasazení a snížení celkových nákladů na vlastnictví (TCO).

6.4.

Centrální správa

Díky integraci s centrální správou jsou komponenty Endpoint Encryption for Files and Folders centrálně spravovány z jediné konzoly. Centrální správa umožňuje vzdálenou instalaci a správu, distribuovat a měnit bezpečnostní politiky, či rozesílat pravidelné aktualizace produktů. Vše je podpořeno úzkou spoluprací s MS Active Directory. Součástí systému jsou nástroje pro monitoring v reálném čase i analýzu historických událostí s množstvím předdefinovaných reportů. Centrální management tak šetří administrátorům čas, kapacitu linek a výrazně snižuje celkové náklady na zajištění kontinuity služeb sítě.

6.5.

Nepřetržité sledování zabezpečení

Integrované služby výstrah a grafické reporty poskytují nepřetržitou vizibilitu potřebnou pro efektivní sledování zabezpečení systému, posuzování stavu bezpečnostních zásad a vyhledávání slabin sítě. Poskytuje integrovaný systém poplachů a výstrah o shodě a aktivitě hrozeb. Po překročení hranic nastavených administrátorem jsou odeslány kritické výstrahy specifikovaným osobám prostřednictvím e-mailu, SMS, pagerem, nebo pomocí SNMP trap. Navíc je vyhledání nevyhovujících systémů, stanovení účinnosti zásad zabezpečení, nenáročné díky širokému spektru předdefinovaných reportů. Vytváření reportů přesně na míru je stejně snadné. Administrátoři si mohou vybrat z velké řady tiskových šablon a exportovatelných typů diagramů. Centrální správa se integruje s technologií Business Objects Crystal Reports a Microsoft MSDE/SQL serverem s cílem využít jednoduchost a sílu řešení hodící se pro firmu každé velikosti.

strana 40/62


6.6.

Vynucení shody ochrany a aktualizací – izolace a karanténa pro neshodné systémy

Jedním z nejsložitějších aspektů proaktivní správy bezpečnostní politiky je udržení všech systému v souladu s nejnovější ochranou. Centrální správa zajišťuje shodu na úrovni celé firmy automatickým vynucováním zásad. Zabraňuje tomu, aby nějaký systém nevyhovoval. Rovněž zabraňuje uživatelům měnit nastavení nebo vypínat důležité stupně ochrany. Centrální správa je také centrem efektivní správy procesu aktualizace. Ty mohou být v předem určených intervalech nastaveny a mohou být zvoleny pro systém, pro skupinu nebo pro jinou skupinu dle volby administrátora. Využívá se inteligentní systém distribuovaných skladů, které nezatěžují server a šiří aktualizace v celé síti. Síťový provoz přitom zůstává nízký a výkon vysoký. Centrální správa poskytuje komplexní služby a umí rozmisťovat aktualizace pro všechny soubory DAT, enginy, service packy, opravy (hotfix) a záplaty.

6.7.

Ochrana mobilních uživatelů

Díky centrální správě se nemusí děsit bezpečnostní tým ani mobilní zaměstnanec. Vynucováním dodržování politiky, i když není laptop připojen k síti, a prováděním aktualizací pokaždé, když je zjištěno připojení k Internetu, umožňuje centrální správa efektivní správu i obtížně spravovatelné infrastruktury. A protože vzdálení uživatelé požadují větší flexibilitu, zajišťuje centrální správa automaticky jejich aktualizaci z nejbližší lokality s nejlepším spojením a umožňuje přerušování a obnovování procesu aktualizace. Centrální správa definitivně zaručuje, že jsou vzdálení a mobilní uživatelé stejně dobře chránění. Spravují se stejně snadno jako uživatelé připojení k LAN.

6.8.

Správa systémů by měla být snadná pro organizaci jakékoli velikosti –

Při navrhování centrální správy se pamatovalo na dobrou škálovatelnost. Správa uživatelů je obvykle snadná odkudkoliv pomocí vzdálené konzole. To firmám šetří náklady na další hardware a správu. Zásady bezpečnosti, které pokrývají každou vrstvu ochrany před hrozbami (od frekvence aktualizací, přes nastavení osobních firewallů, ověřování bezpečnostních záplat, typu kontrolovaných souborů, až po nastavení heuristického prohledávání) mohou být centrálně zvoleny pro skupinu počítačů nebo skupinu uživatelů. Administrátor je může snadno upravovat. Vše je vynucováno automaticky, což zajišťuje velmi solidní ochranu.

strana 41/62


6.9.

Postup implementačních prací

Pro úspěšnou a kvalitní implementaci celého řešení bude nezbytně nutná součinnost mezi zadavatelem a dodavatelem (implementátorem) celého řešení. Součinností jsou myšleny především tyto činnosti: 1) Práce na definici politik produktu vzhledem k jeho možnostem 2) Zadání údajů do centrální správy nutných pro propojení s okolními systémy (např. Active Directory) 3) Poskytnutí vzdáleného přístupu pro instalaci a parametrizaci centrální správy. 4) Přítomnost při testování a ověřování funkčnosti na klientech (spojeno se zaškolením)

Implementační práce, které budou prováděny při nasazování celého řešení, lze rozdělit do dvou kategorií: 1) Instalace a parametrizace centrální správy a. Instalace konzole a vytvoření iniciální databáze

strana 42/62


b. Naplnění konzole uživatelskými/administrátorskými účty (manuálně nebo napojení např. na Active Directory) c.

Definice obecných politik (např. délka držení klíčů v cache, osobní klíče, atd.)

d. Příprava instalačních balíků na stanice 2) Instalace klientského softwaru a. Instalace softwaru na dvě vybrané stanice, kontrola propojení s centrální správou b. Definice konkrétních politik pro šifrování (např. jaké lokální/síťové složky mají být šifrovány, jakým klíčem, atd.) c.

Zaškolení administrátora během instalace

d. Testování funkcionality softwaru a akceptace zadavatelem Všechny úkony definované v bodě „Instalace a parametrizace centrální správy“, budou prováděny vzdáleně v rozsahu 8h. Práce popsané v bodě „Instalace klientského softwaru“, se budou provádět na místě (on-site) u zadavatele a v průběhu instalace bude provedeno základní zaškolení zaměstnanců zadavatele.

7. Full Disk Encryption Jedním z největších rizik dat stále zůstává fyzické odcizení nebo ztráta Vašeho PC, či notebooku. V případě nezabezpečení dat na takové zařízení, se i laik bez větších komplikací dostane k citlivým datům. Pro uzavření této bezpečnostní mezery existuje nástroj Fulld Disk Encryption, který zajišťuje výkonné šifrování nasaditelné na PC, notebook, USB zařízení a apod. Organizace může zabezpečit všechny typy dat, jako jsou informace o zákaznících, intelektuální vlastnictví, právní a finanční záznamy, informace o zaměstnancích atd. Řešení dnes obvykle používá silné šifrovací mechanismy, jako jsou AES-256 a RC5-1024 pro zajištění té nejlepší možné ochrany. Celý princip šifrování je zobrazen na následujícím obrázku, je důležité zmínit, že šifrování se děje až pod úrovní operačního systému. Takže i v případě nabourání do OS se útočník k datům nedostane.

strana 43/62


V rámci řešení se dnes předpokládá nasazení Single Sign-on. S podporou „Single Sign-On“, přenosnou autentizací a bezpečnou offline uživatelskou obnovou, je uživatelům přístupný jednoduchý a přitom zabezpečený přístup k citlivým datům. Díky tomu nezáleží na druhu chráněných dat, či kde se data nacházejí. 

Single Sign-on při preboot autentizaci



Šifrování může probíhat bez zásahu uživatele, nastavuje se přes ePO (centrální správu)



Přihlášení pomocí tokenu

V případě ztráty autentizačních údajů, řešení dovoluje uživateli vyřešit problém se ztrátou ve spolupráci s administrátorem nebo sám (podle stanovené politiky). Existuje několik způsobů, jak problém řešit: 

Challenge-response – uživatel nadiktuje administrátorovi řetězec znaků, který administrátor vloží do centrální konzole a přečte uživateli nově vygenerovaný řetězec nazpět.



Self Recovery – otázky a odpovědi předvyplněné uživatelem.



Recovery CD – v případě problémů s bootováním je možné přistoupit k datům pomocí aplikace běžící na WinPE (tedy nabootovat z CD a pracovat s daty).

Na koncové stroje může být přiřazen speciální (záložní) uživatelský účet, který budou sloužit k recovery procesům. Administrátorská konzole umožňuje získat recovery ke koncovým stanicím klíč vybraným administrátorům. Recovery klíč je nutné kombinovat s tzv. “Encryption code of the day”, který je obvykle dostupný v autentizované části portálu výrobce.

strana 44/62


8. DLP & Device Control 8.1.

Popis řešení DLP

8.1.1. Host DLP Data Loss Prevention Host systematicky monitoruje a chrání informace před jejich neoprávněným užitím vlastními uživateli. Tímto způsobem pokrývá a zabezpečuje síťovou komunikaci (email, webmail, Instant Messaging, atd.), fyzická zařízení (tiskárny, USB zařízení, CD/DVD-RW), peer-to-peer aplikace, trojany, červy, viry, atp. Všechny pokusy o neautorizované přesunutí chráněných dat jsou monitorovány, reportovány a v případě potřeby blokovány – vždy na základě bezpečnostních politik společnosti.

8.1.2. Centrální správa koncových stanic Data Loss Prevention Host je centrálně řízené „host-based“ řešení ochrany firemních dat před jejich ztrátou a zneužitím. Politiky ochrany datových toků jsou nastaveny přes Data Loss Prevention Host Management konzoli a automaticky propagovány na koncové stanice skrze infrastrukturu Active Directory. Každé porušení těchto zásad ze strany koncových uživatelů je monitorováno a preventivně regulováno v reálném čase, přičemž bezpečnostní politiky jsou kontinuálně prosazovány na úrovni koncových stanic i v případě, kdy je koncová stanice odpojena od LAN společnosti. Poté, co se stanice opět připojí do vnitřní sítě, jsou události postoupeny reportovacímu serveru.

strana 45/62


8.1.3. Klasifikace citlivých dat Řešení Data Loss Prevention Host implementuje patentovaný algoritmus klasifikace obsahu, který analyzuje jak strukturovaná, tak nestrukturovaná data. Klasifikace může být například založena na umístění dokumentu na file serverech, dle klíčových slov a regulárních výrazů, nebo dle aplikací, či ve kterých byla data vytvořena. Poté, co je obsah klasifikován a označkován, zůstává označení spojeno s těmito daty po celou dobu jejich životního cyklu, samozřejmě včetně změn. Tato procedura umožňuje přesné vystopování citlivých dat nezávisle na tom, jaké změny v dokumentech či jejich derivátech uživatelé provedli.

8.1.4. Prevence ztráty a zneužití citlivých dad Implementovaný soubor reaktivních pravidel je připraven monitorovat a preventivně bránit jakýmkoli porušením politik zacházení s citlivými daty. Data Loss Prevention Host umožňuje bezpečnostním manažerům a administrátorům následující: 

monitorování, analýzu a ochranu před nepovoleným přesouváním dat skrze o

email, web, IM,

o

neznámé síťové protokoly,

o

fyzická zařízení,

o

aplikace pro sdílení dat, trojské koně, malware,



monitorování a ochranu před neautorizovaným tiskem dokumentů,



kontrolu nad fyzickými zařízeními na koncových stanicích (USB, Wi-Fi, Bluetooth, atd.),



monitorování a ochranu před instalací a užíváním neautorizovaných aplikací.

8.1.5. Průběžné reportování a monitorování Data Loss Prevention Host využívá integraci s centrální správou a poskytuje tak systémovým administrátorům široké možnosti auditování systému a reportování. Události jsou zobrazovány v reálném čase a obsahují detailní popis každé událostí – porušení bezpečnostních politik. Vysoce flexibilní filtry dovolují rychlé uspořádání událostí dle jejich typu, času a klasifikace dat, mimo jiné parametry. Správci můžou také registrovat různé uživatele jako příjemce uživatelsky filtrovaných RSS. Pro úplnost obsahuje také reportování pro výkonné manažery a vedoucí pracovníky.

strana 46/62


8.1.6. Shoda se standardy a normami Data Loss Prevention Host umožňuje flexibilní nastavení pravidel v souladu s definovanými bezpečnostními politikami společnosti. Navíc dovoluje využít vestavěné soubory předloh, které jsou vytvořeny pro dosažení shody s vládními nařízeními a jinými normami jako jsou HIPAA, GLBA, SOX a další.

8.1.7. Jak pracuje DLP? 1) DLP Management console -Umístěný na CSO/bezpečnostní administrátorském desktopu

2) System Agent -Umístěný na všech podnikových stanicích kde monitoruje nebo blokuje možné ztráty dat 3) Roaming users - Agent pracuje v offline módu, kde monitoruje nebo blokuje přístup k datům nebo fyzickým zařízením 4) DLP Reporting Server - Umístěný na podnikové síti kde sbírá události a data od všech agentů na síti

strana 47/62


8.1.8. Klíčové charakteristiky Data Loss Prevention: 

Minimalizuje možnost ztráty dat a tím i takto vznikající náklady



Ochraňuje drahocenné, pro společnost kritické informace a intelektuální vlastnictví



Brání vzniku nechtěných právních kolizí



Napomáhá chránit integritu dobrého jména společnosti



Preventivně brání hrozbám ztrát dat ještě před jejich vznikem



Redukuje riziko ztráty a zneužití dat vyplývající ze zranitelností na koncových stanicích



Poskytuje vedení úplnou transparentní kontrolu nad datovými toky



Snadno se nasazuje do stávající IT infrastruktury



Představuje neintruzivní ochranu



Prosazuje mnohostranné, vysoce flexibilní politiky s možností využití sofistikovaných předvoleb pro shodu se standardy.

8.2.

Device Control

Device Control umožňuje řídit přístup k přenosným médiím, jako jsou USB disky a řídit přístupy přes připojitelné kanály jako jsou Bluetooth, IR nebo Wi-Fi. Některé varianty navíc nabízí funkce pro zašifrování celých disků, adresářů a souborů včetně přenosných zařízení jako jsou USB klíčenky bez nutnosti využívat specializovaných nástrojů. Vlastnosti: •

Založeno na technologii Data Loss Prevention (DLP).

•

Kompletní, content-aware a context-aware blokování zařízení (obsah/kontext).

•

Reguluje, jak uživatel smí kopírovat data na USB zařízení, CD, DVD a další externí úložiště dat.

•

Umožňuje definovat, jaká zařízení může uživatel používat pro svoji práci – není nutné blokovat všechna zařízení.

•

Umožňuje kontrolu I/O zařízení, jako USB, CD/DVD, floppy, Bluetooth, IrDA, imaging devices, COM and LPT ports a další.

strana 48/62


8.3. 

Často kladené otázky Existuje omezení při instalaci nového SW, včetně instalace z výměnných médií? o

Ano, Host DLP s Device Control, kdy je sledováním sběrnic a definováním výměnných médií možno povolit či blokovat připojení daného média. Whitelistingem důvěryhodných aplikací pak lze vynutit omezení používání.



Existuje omezení spuštění programů z výměnných médií? o



Ano, Host DLP s Device Control, viz bod nahoře

Existuje kontrola přístupu a použití externích zařízení plošně, nebo selektivně na základě sériových čísel externích zařízení? o

Ano, Host DLP s Device Control, definováním sériových čísel důvěryhodných externích zařízení lze vynutit používání pouze těch to zařízení, jak je popsáno výše.



Existuje ochrana systémových složek a registrů? o

Ano, Host DLP, označením požadovaných souborů a složek, které pak nebudou přístupné ke kopírování



Existuje omezení přístupu k souborům? o

Ano, Host DLP, otagováním jednotlivých souborů lze pak vynucovat bezpečnostní politiky pro dané soubory s citlivými údaji nebo celoplošně



Existuje evidence využívání výpočetní techniky zaměstnancem? o

Ano, Device Control + centrální správa, audit připojených a odpojených zařízení lze zobrazit pomocí Device Control, v centrální správa pak lze provést inventarizaci hardware (cpu, ram, mainbord, disky, graf. karty, atd.)



Existuje evidence využití internetu? o

Ano, Host DLP umožnuje definovat přístupné/blokované url destinace, v kombinaci s email destination a network destination pak lze definovat i přístupné email domény a servery na základě IP adresy. Alternativa přímo zaměřená na využití internetu a přístupu na stránky je Site Advisor s Web filteringem, v reportech na centrální správě pak lze vygenerovat a zobrazit i délku přístupu na jednotlivé stránky, případně jen monitorovat nebo blokovat.



Existuje monitorování připojení do venkovní sítě? o

Ano, Host DLP, lze definovat chování uvnitř sítě i mimo ni a prosazovat politiky ochrany i mimo interní síť



Existuje evidence tisků na lokálních i síťových tiskárnách? o

Ano, Host DLP, definováním fyzických tiskáren lze sledovat a reportovat, která data byla odeslána a vytištěna či vytištění blokovat



Existuje evidence využití aplikací? o



Ne, DLP je primárně určeno pro ochranu citlivých dat ne pro monitorování uživatelských aktivit

Existuje sledování pohybu dat v STC (pohyb informací na lokálních discích, sdílených úložištích a výměnných zařízení)?

strana 49/62


o 

Existuje sledování zásahů do operačního systému? o



Ano, přehledové reporty pak lze uživatelsky definovat v centrální správě Ano, report lze uživatelsky definovat v centrální správě

Existuje upozornění na nežádoucí aktivity uživatelů díky alertovacímu systému (e-mail, spuštěný proces, akce na stanicích? o

Ano, centrální správa, pomocí automatické odpovědi na událost lze definovat jakou akci provést při konkrétní události



Existuje evidence bezpečnostních incidentů? o

Ano, Host DLP s centrální správou, evidence je pak přehledně zobrazena v centrální správě a je možné na tyto události navázat automatické upozornění – viz bod výše.



Existuje plánování převodu informací do centrálního úložiště? o

Ano, agent+ centrální správa, všechny informace z jednotlivých agentů na stanicích předávají v časově zadaném úseku informace, tyto časy lze konfigurovat v nastavení agenta v závislosti na velikosti sítě pro její optimální rozložení a minimální zátěž.



Existuje přehledné tiskové sestavy vždy k dispozici každému vedoucímu, či řediteli? o

Ano, centrální správa, tiskové sestavy lze definovat vlastní nebo použít již předdefinované z centrální správy



Existuje filtrace informací, které jsou zapsány do logů? o

Ano, centrální správa, filtrace logů a informací lze nastavit v centrální správě pro jak agenta tak i pro reportovací nástroje a následní zobrazení



Existuje rychlá evidence HW a SW vybavení stanic napříč organizací? o

Ano, centrální správa, nastavením agenta lze sledovat, jaký HW je na stanici použit a přes reportovací nástroje pak zobrazit. SW tímto způsobem lze také sledovat.



Existuje okamžité rozpoznávání instalovaného SW na základě daných kritérií? o

Ano, Host DLP, funkcí whistelistu aplikací lze definovat použitelné aplikace označené za důvěryhodné v rámci nasazení v síti či na stanici



Existuje správa SW balíků? o



Existuje pravidelný audit dat v STC (rozdělení dle skupin a to na video, dokumenty, hudba atd.)? o



Ano, centrální správa, správa balíků v centrální správě a jejich verzí Ano, report v centrální správě

Eviduje se historie změn HW a SW na stanicích? o

Ano, Device Control, audit připojených zařízení, SW – ano v DLP pomocí funkce Enterprise applications



Jsou k dispozici rychlé dotazy na konkrétní typ SW nebo HW? o



Ano, Device Control, auditovací report v centrální správě,

Existují tiskové sestavy umožňující vyhodnotit informace přímo z rozhraní aplikace? o

Ano, centrální správa, tisky reportů jsou možné buď na tiskárnu nebo do pdf či html formátu.

strana 50/62




Je možný přenos dat mezi klienty? o

Ano, DLP, sledování přenosu dat mezi sdílenými složkami, nahrávání dat z nebo na USB flash disk či tok dat na optická média jako CD/DVD.



Je k dispozici rychlé vyhodnocení činností uživatelů na stanicích? o

Ano, centrální správa +RealTime, použitím modulu RealTime se minimalizují časové prodlevy při získávání a vyhodnocení událostí



Jsou k dispozici vyhodnocení pohybu dat na výměnných médiích? o



Ano, centrální správa, reporty lze uživatelsky definovat či upravoavat

Existuje statická a dynamická publikace reportů do intranetu v STC? o

Ano, centrální správa, na základě události lze vydefinovat automatické vypublikování reportů nebo odeslání reportu na email

9. Stručný přehled cloudových bezpečnostních funkcí Anti-virus - blokuje široké spektrum virů a hrozby jiného škodlivého kódu s pomocí vyspělé heuristické analýzy a detekce. McAfee chrání před novými viry a dalšími hrozbami, včetně exploitů, které se zaměřují na Microsoft aplikace a OS služby. Proprietární WormTraq® Worm detekční technologie identifikuje a zachytí zero-hour červy zneužívající hromadnou korespondenci, ještě než se dostanou do sítě, zatímco Anti-Virus engine s pomocí signatur udržuje viry „v šachu“. Anti-spyware - detekuje a blokuje spyware, ještě než se nainstaluje a šíří. Odstraňuje bezpečnostní hrozby a obtěžující vyskakující okna, které mohou narušit produktivitu. McAfee produkty skenují procesy a soubory běžící v paměti a neutralizují spyware ještě předtím než se stačí zakořenit. Díky skenování spywaru nejen v souborech, ale i v položkách systémových registrů, dochází k účinnému zamezení obtěžujících reinstalací. Desktop firewall – integrovaný firewall chrání počítač před hackery, krádežemi identity a blokuje nevyžádaný přístup z Internetu nebo vnitřní sítě. Hosted Management - centrální management, komplexní správa a reportování pomocí vždy dostupného webového rozhraní Security Center. Global Threat Intelligence (technologie McAfee TrustedSource, McAfee Artemis)- zajišťuje ochranu před hrozbami a škodlivými kódy v provozu (Anti-Malware a URL filtering). Web Safe surfing - ochrana před hrozbami s použitím nástroje McAfee SiteAdvisor. Při procházení nebo vyhledávání obsahu webových stránek upozorňuje nástroj McAfee SiteAdvisor pomocí barevně značeného bezpečnostního hodnocení na potenciálně škodlivé weby ještě před tím, než kliknete na danou URL.

strana 51/62


Web Content filtering - eliminuje nevhodný webový obsah. Web Site blocking - umožňuje vyhnout se phishing útokům a stránkám s nebezpečným obsahem. Anti-Spam - vícevrstvý systém klasifikace hrozeb blokuje více než 99 % spamu a radikálně tak snižuje náklady spojené s odstraněním. Filtruje příchozí a odchozí e-maily proti spamu, nevhodnému obsahu, virům a vytváří karanténu podezřelých e-mailů, aby se zabránilo vyvíjejícím se hrozbám a poškození sítě či uživatelů. Email Content Filtering - automatické filtrování identifikuje a blokuje nevhodný a škodlivý obsah v těle emailových zpráv. Email Attachment Filtering - filtruje a blokuje přílohy v emailech na základě nastavení jako je velikost a typ souboru. Email Outbound Message Filtering – filtruje odchozí emailové zprávy a zabraňuje šíření citlivých informací. Navíc umožňuje přidat volitelné zápatí nebo článek do odchozích zpráv (např. odmítnutí odpovědnosti). Email Attack Protection - unikátní technika maskování záznamů skrývá e-mailové servery ve veřejném internetu a zároveň poskytuje okamžité zablokování Denial-of-Service (DoS) a dalších útoků směřujících na SMTP servery. Email Fail Safe Disaster Recovery - zapíná se automaticky vždy, když dojde ke ztrátě připojení emailových serverů v důsledku plánovaných či neplánovaných výpadků. Nikdy neztratíte emaily kvůli výpadku, protože tato služba zahrnuje skladování záznamů cyklicky 5 dnů zpětně. Email Continuity - pokud se vaše vlastní e-mailové servery staly nedostupné, můžete stále používat McAfee Secure, jednoduché webové rozhraní k odesílání či přijímání zpráv, vyhledávání a načítání uložených zpráv a spravovat karanténu a úložiště zpráv stejně, jako byste byli ve svém normálním prostředí. Email Archiving - archivace Vašich emailové komunikace v datovém centru McAfee. Zajišťuje jistotu, že o Vaše emaily nepříjdete i v případě zničení Vaší lokální databáze. Tento nástroj lze zakoupit i samostatně. TLS Encryption - pro maximální bezpečnost je možné při nasazení TLS Encryption kontrolovat i šifrovaný emailový provoz proudící z a do Vaší společnosti. Email Encryption - tato cloudová služba šifruje Vaši emailovou komunikaci a zajišťuje tak maximální ochranu Vašich cených informací.

strana 52/62


Email Anti-virus & Anti-spam (server) - kontrola proti virům a spamu přímo na emailovém serveru zákazníka (tento nástroj obsahuje pouze produkt McAfee Total Protection for Endpoint - Enterprise Edition Suite). Vulnerability Scanning - poskytuje automatické kontroly zabezpečení sítě a vyhledává zranitelná místa v systémech a aplikacích.

9.1.

Vzorové schéma požadavků na projekt se zapojením cloudových služeb při ochraně emailového provozu

1) Poskytované služby, popis jejich schopností a možností AntiSPAM (používané metody/techniky pro odhalení SPAMu a Phishingu, úspěšnost) Díky unikátní kombinaci technologií odfiltruje McAfee Email Protection téměř 100% spamu. Používá k tomu systém mechanizmů čítající soubor obsahových analýz, speciálních analýz pro tělo a hlavičku zprávy, enginy spam signatur, spam anomálií a URL detekce, funkce pro detekci falzifikátů a hromadných zpráv. Dalším efektivním nástrojem pro detekci nežádoucího obsahu je integrace s Intel Security Global Threat Intelligence (GTI), poskytující systém reputační kontroly. Přesnost detekce spočívá v kombinaci jednotlivých analýz, na základě kterých je zprávě přidělováno skóre. Díky své obousměrnosti brána zachytí taktéž spam chtě-nechtě odeslaný vlastními uživateli.

AntiVirová ochrana (parametry, omezení, konfigurace) McAfee Email Protection disponuje antivirovým systém McAfee včetně real-time kontroly Global Threat Intelligence. Navíc je možné ochranu posílit zdvojením antivirové ochrany AV enginem Cyren.

Advanced Malware Protection (sandboxing, AntiZero day) McAfee Email Protection je možné provázat s McAfee Advanced Threat Defense (ATD) řešení pro pokročilou analýzu a detekci cíleného malware včetně nebezpečných příloh šířených emaily. McAfee ATD je sofistikované řešení kombinující několik přístupů k identifikaci ne/známého (zero-day) pokročilého škodlivého kódu (Advanced Malware). Integruje se (nejen) se stávající McAfee infrastrukturou od perimetru až po koncová zařízení a ve větších organizacích maximalizuje schopnost detekovat jakýkoli malware i efektivně na nákazu reagovat v minimálním časovém rozpětí.

strana 53/62


Obr.: Funkční schéma McAfee ATD AntiDoS (ochrana proti zahlcení resp. odstavení služby, možnosti a omezení služby) McAfee Email Protection je víceúčelové zařízení se zabezpečeným OS schopným reagovat na útoky typu buffer overflow, denial-of-service, directory harvest, protocol attacks či port scans. Chrání poštovní servery před zlomyslnými kódy a neautorizovanými spojeními využitím znalosti chování, vynucováním dodržení protokolu a nepřetržitými aktualizacemi signatur známých útoků.

další nabízené funkce a služby výše nespecifikované 1. Detailní log všech SMTP konverzací i.

Dostupný skrz grafické rozhraní nebo centralizovaný v McAfee ePolicy Orchestratoru (součást řešení)a

ii.

Usnadňuje troubleshooting a objasňuje důvody reakcí McAfee Email Protection

2. Onbox karanténa emailů i.

Přístup do karantény optimalizovaný i pro prohlížeče v mobilních zařízeních

strana 54/62


3. Umožňuje využít McAfee Security-as-a-Service cloud pro prvotní anti-spam filtraci a šetření interních zdrojů 4. Kontrola URL i.

Kontrola reputace URL obsažených v emailech a ochrana proti podvodným zprávám

ii.

U varianty subscription licence navíc ProtectPlus funkce, chránící i při následném kliknutí na odkaz uživatelem

5. Analýza obrázků - na základě detekce kompozice (ne pouze dle procentuálních analýz) dokáže rozpoznávat pornografické obrázky v přílohách emailů a tím chránit vaše uživatele před nevhodným obsahem a zároveň dobrou pověst organizace. 6. ClickProtect pomáhá chránit koncové zařízení před advanced persistent threats (APTs), spear-phishing a odkazy na nebezpečné webové stránky Hlavní funkce: i.

Kontroluje reputaci URL adresy při “scan-time” – při příchodu emailu na email gateway kontroluje reputaci URL adres obsažených v emailu

ii.

Kontroluje URL adresy při “click-time” – Systém kontroluje bezpečnost URL adresy při kliknutí uživatele na link v emailu

2) Obecné vlastnosti bezpečnostní emailové brány a. Požadavky a předpoklady úspěšného nasazení v prostředí zákazníka 1. možné scénáře nasazení Součást řešení v prostředí organizace je možné provozovat jako fyzický hardwarový box a nebo ve virtuálním prostředí VMware. Topologie viz architektura služby. 2. možnost využití PoC testu (uveďte nabízený rozsah, předpoklady, omezení)

strana 55/62


PoC je doporučené dle dohody v rámci vyhrazeného testovacího prostředí u klienta. Výsledná konfigurace PoC je pak z velké míry použita ve finálním řešení.

b. Bezpečnostní architektura služby (schéma a slovní popis) McAfee Email Protection nabízí možnost kombinovaného propojení ochrany emailového provozu pomocí virtuální nebo fyzické appliance a cloudové služby. Software pro virtuální prostředí je v ceně řešení. Řešení počítá s hybridním nasazením produktu McAfee Email Gateway (virtuálně) instalovaném v prostředí organizace pro kontrolu příchozí i odchozí emailové komunikace s napojením na McAfee SaaS Email Protection Service pro kontrolu příchozí emailové komunikace v cloudu. Následující diagram ukazuje typické nasazení řešení.

1. Příchozí emaily jsou nejprve zpracovány cloudovou službou.

2. Následně jsou uplatněny detailní politiky

na

on-site

(virtuální)

appliance. Po zpracování dojde k doručení na koncový emailový server v organizaci.

3. Odchozí emailový provoz je s ohledem na DLP zpracován na on-site (virtuální) appliance a následně

opouští

organizaci

přímo na cílový emailový server příjemce. c.

Podpora zasílání příloh (omezení velikosti příloh, možnosti dešifrování a inspekce obsahu) Řešení umožňuje přílohy kontrolovat dle názvu a přípony, typu i velikosti. Stejně tak dokáže detekovat šifrované přílohy. Řešení dále podporuje DLP a je schopno na základě slovníků a frází detekovat obsah.

d. Možnosti řízení výkonnosti (škálovatelnost, Load Balancing). Část řešení provozované on-site v organizaci podporuje Cluster Load-Balancing.

strana 56/62


e. Způsob zajištění vysoké dostupnosti služby (např. podpora více vstupně/výstupních kanálů pro email na straně objednatele, provozování služby ve více datacentrech, Multihoming) a kontinuity služby Vysoká dostupnost je zajištěna na on-site (virtuální) appliance pomocí clusteru, na straně cloudu jsou datová centra v režimu vysoké dostupnosti i na úrovni geolokace, datová centra jsou vzájemně zálohována. Datová centra pracují s připojením k nezávislým zdrojům a ISP. McAfee cloud datacentera využívají externí směrování nástroje, jako je UltraDNS, Managed External DNS service či Border Gateway Protocal (BGP) pro zajištění nejrychlejší a nejefektivnější způsob připojení k internetu. K požadovanému fyzickému prostředí datacentrer patří následující:  High capacity HVAC systems (N+1 configuration)  Redundant fiber entry points  VESDA early warning fire detection systems  Biometric scanners controlling physical access  Continuous video surveillance through Closed Circuit TV (CCTV)  Backup generators  UPS power back-up with at least N+1 configuration Datová centra jsou spravována a monitorována v režimu 24x7x365 McAfee SaaS Network Operations Center (NOC).

f.

Autentizace, autorizace uživatelů (možnosti, omezení, role a oprávnění, možno řešit odkazem na dokumentaci) K ověření uživatelů pro administraci řešení jsou k dispozici explicitně definované účty, autentizace CAC (Common Access Card), dále je podporován autentizační server RADIUS a Kerberos. V rámci emailové komunikace lze řešit ověření uživatelů (emailových adres), např. proti definovanému LDAP serveru. Tento můžeme využít mimo Recipient Authentication i pro Address

Masquerading

nebo

Policy

selection

či

Delivery

routes.

3) Scénáře nasazení služby a. Možné scénáře nasazení služby (možnosti, omezení, předpoklady) On-site appliance může pracovat v několika režimech variantně v režimu vysoké dostupnosti:

 Proxy  Bridge

strana 57/62


 Router Upřesnění dle vstupních konzultací a PoC.

b. Doporučená kritéria pro rozhodnutí správného scénáře nasazení pro daného zákazníka (volitelné) Dle konzultací a PoC, především u virtuální on-site appliance je doporučením Proxy Mode.

c.

Možnosti

reportovacích

schopností

služby

(možno

řešit

přílohou

nebo

odkazem)

Součástí řešení jsou reportovací nástroje, navíc je možné využít vazbu na centrální správu McAfee ePolicy Orchestrator, která je zdarma součástí řešení.

4) Nabízené parametry služby a. Popis nabízených SLA (Service Lever Agreement) a jejich parametrů (nabízené parametry zajištění dostupnosti, zajištění důvěrnosti a integrity zpracovávaných dat apod.) Datová centra jsou spravována a monitorována v režimu 24x7x365 McAfee SaaS Network Operations Center (NOC).

5) Vyhodnocení požadovaných vlastností služby Formou vyplnění tabulky uveďte, zdali služba splňuje níže uvedené požadavky a vlastnosti:

Vlastnost služby

Vyhodnocení (podporuje/nepodporuje, upřesnění)

Blokování příloh emailů dle přípony vydefinovaných zákazníkem (provádí poskytovatel).

Podporuje

Blokování příloh emailů dle přípony vydefinovaných zákazníkem (provádí zákazník).

Podporuje

Time – of – click URL proxy

Podporuje

Message-rate shaping control

Podporuje

Průměrná úspěšnost filtrování SPAMu v procentech.

Ve vazbě na konkrétní typy dle VirusBuletin 99.xx %

Blokace závadných URL v těle emailu

Podporuje

Možnost definice vlastních nebo úprava stávajících reportů zákazníkem.

Podporuje

strana 58/62


6) Odpovědi na otázky a. Jakým způsobem mohou administrátoři ze strany zákazníka přistupovat k administračnímu nástroji služby (Web interface přes HTTPS, nemohou, SSH, jiné)? Administrace je dostupná přes HTTPS web interface.

b. Lze k přístupu pro administraci služby použít dvoufaktorovou autentizaci? Pokud ano, jaké typy jsou podporovány? Ano, autentizace CAC (Common Access Card), dále je podporován autentizační server RADIUS a Kerberos.

c.

V jakých zemích jsou umístěna datacentra poskytovatele služby? Londýn, Amsterdam, Sydney, Tokyo, Hong Kong a několik datacenter v USA.

d. Může zákazník smluvně omezit, v jakých zemích budou jeho data zpracovávána? Pokud ano, uveďte možnosti a omezení. V řešení bude v cloudu zpracována jen příchozí emailová komunikace, odchozí je zpracována přímo na on-site (virtuální) appliance. Možnost omezit cloudové zpracování na konkrétní datacentra v tuto chvíli nelze potvrdit ani vyvrátit.

e. Jaká antivirová řešení jsou použita pro ochranu před škodlivým kódem? 1. McAfee 2. Cyren AV Engine

f.

Jaké komprimované typy archivů (např. zip, 7 zip, RAR) řešení umožňuje podrobit antivirové kontrole? Řešení podporuje kontrolu archivů jako je PKZip, LHA, ARJ, RAR.

g. Jaké komprimační metody (např. Deflate, BZip2, LZMA, PPMd) řešení podporuje pro dekompresi archivů a následnou antivirovou kontrolu? Podporované archivy jsou zip, gzip, bzip2, tar, případně gziptar (tgz/tar.gz) či bziptar (tbz/tar.bz/tbz2/tar.bz2).

strana 59/62


h. Může si zákazník vybrat, jaká antivirová řešení budou použita pro ochranu emailů proti Malware? Pokud ano popište, jaké jsou možnosti a omezení (počet, jaká antivirová řešení jsou k dispozici apod.). Nativním AVO je v rámci řešení McAfee Engine, volitelně je k dispozici navíc druhý antivirový engine Cyren.

i.

Podporuje řešení zabezpečené spojení (přenos) emailů mezi zákazníkem a službou (např. TLS)? McAfee Email Protection nabízí díky integraci kryptografie několik možností, jak zajistit důvěrnost poštovních zpráv. Díky principu přednastavených pravidel je vůči koncovým uživatelům zcela transparentní. 1. Business-to-Business (B2B): šifruje zprávy mezi branami užitím standardu TLS, S/MIME a OpenPGP. 2. Business-to-Consumer (B2C): dovoluje příjemcům bez šifrovacích nástrojů přijímat poštu přes zabezpečené webové rozhraní.

j.

Jaké jsou možnosti napojení na IDM resp. LDAP zákazníka k ověřování uživatelů k administraci parametrů služby? K ověření uživatelů pro administraci řešení jsou k dispozici explicitně definované účty, autentizace CAC (Common Access Card), dále je podporován autentizační server RADIUS a Kerberos. Řešení podporuje následující typy LDAP serverů:  Microsoft Active Directory  Lotus Domino  Novell NDS  Netscape/Sun iPlanet  Microsoft Exchange  Generic

k.

LDAP

Server

v3

Jaké jsou možnosti ověřování uživatelů? Viz předchozí bod, resp. při definici emailové politiky pak Recipient Authentication, Address Masquerading nebo Policy selection či Delivery routes.

strana 60/62


l.

Je

službou

podporována

technologie

DLP?

Pokud

ano,

uveďte

jakým

způsobem.

Veškerý emailový (SMTP) provoz ze sítě může v ideálním případě (v závislosti na konfiguraci perimetrového firewallu) procházet pouze skrz emailové brány s aktivní DLP funkcí. Tímto způsobem je podrobena DLP kontrole veškerá odchozí emailová komunikace bez ohledu na platformu, ze které je email odeslán (mobilní zařízení, specifické aplikace a operační systémy, apod.). Příklady využití DLP na emailové bráně 1. Odesílání emailů ze smartphonů a tabletů Přímo na úrovni mobilních zařízení prakticky neexistují mechanismy jak kontrolovat odchozí poštu. Ze smartphonů může být takto odeslána i omylem pošta s citlivými údaji, aniž by to mohlo zaznamenat DLP řešení na klasických koncových bodech. 2. Možnost řídit tok různých typů dat Na úrovni emailové brány je možné aplikovat různé akce na různé typy dat. Pohyby některých dat mohou být pouze monitorovány, u citlivějších dat je možné vynucovat šifrování při jejich doručení a zaručit tak, že nebudou po internetu přenášena v čitelné podobě a data, která nemají opustit organizaci, mohou být na emailové bráně úplně blokována. 3. Selhání DLP řešení na koncových bodech DLP na emailové bráně může být považováno za spolehlivou pojistku k DLP řešením nasazeným na koncových bodech. DLP na koncových bodech může v rámci nestability operačního systému nebo zastaralostí politik selhat při kontrole a povolit odeslání citlivých dat. I při správné funkci DLP na koncových bodech může být emailová brána další vrstva ochrany dat (využití odlišné logiky, knihoven, apod.), která nemá negativní vliv na infrastrukturu a je jednoduchá na nasazení.

Možnosti identifikace dat Data jsou identifikována v rámci těla emailu a v přílohách. McAfee Email Protection modul DLP umí zpracovat více než 500 typů souborů a porovnávat je s definovanou politikou. Řešení umí rozpoznat i šifrované přílohy a může na ně aplikovat specifickou reakci v případě, že je nežádoucí, aby někdo takové přílohy zasílal a vyhnul se tak DLP kontrole. 1. Slovníky a regulární výrazy Výrobce poskytuje přímo ve výchozí instalaci sadu slovníků mířenou přímo na „Banking and Financial Sector“ (v anglickém jazyce, může sloužit jako návod pro customizaci). Řešení umožňuje definici velkého množství vlastních slovníků a

strana 61/62


regulárních výrazů, které budou cílit na potřeby identifikace citlivých dat organizace. Slovníky mohou využívat různé druhy logiky i.

Conditional-based – logické spojky (AND/OR) mezi jednotlivými výrazy ve slovníku vyjadřují podmínku, za které slovník identifikuje citlivá data

ii.

Score-based – jednotlivé výrazy mají určitou váhu a citlivá data jsou identifikována tak, že je při kontrole obsahu překročena definovaná prahová hodnota (threshold)

2. Document fingeprinting Řešení nabízí možnost vytvořit tzv. otisky na základě poskytnutých dokumentů. Na zařízení není ukládán obsah vzorových dokumentů, pouze zpracované otisky (cca 3 řádky textu v dokumentu vygenerují asi 10 signatur). Otisky jsou přiřazeny do konkrétní kategorie dokumentů (např. „Smlouvy“) a každá kategorie může být následně vyhledávána v emailovém provozu na základě následujících podmínek nebo jejich kombinace i.

Procentuální shoda dokumentů – je možné definovat shodu obsahu emailu s kategorií dat v rozmezí 1-100%. Při dosažení požadované úrovně je dokument zařazen do dané kategorie a emailová brána uplatní jednu z mnoha možných akcí.

ii.

Shoda po sobě jdoucích signatur – požadavek na určité číslo po sobě následujících signatur. Tímto způsobem je možné vynutit shodu konkrétního bloku textu v odesílaném emailu se vzorovým dokumentem (např. doložka ve smlouvě, hlavička, apod.).

strana 62/62

Vzdělávání v IT bezpečnosti Program č. 2 Studijní opory

Recommend Documents